このページでは、アプリケーションがコネクタ経由でのみ AlloyDB for PostgreSQL インスタンスに接続するように強制することで、接続を保護する方法について説明します。また、インスタンスに対するこの適用を削除する手順も示します。
AlloyDB インスタンスは、次の 2 つの TCP ポートで接続を受け入れます。
ポート 5432: アプリケーションがインスタンスに直接接続するために使用するデフォルトの PostgreSQL ポート。
ポート 5433。AlloyDB Auth Proxy などのコネクタがインスタンスへの接続に使用します。
つまり、アプリケーションは、実行されているホストとポートで選択したコネクタに接続し、そのコネクタは、そのインスタンスのポート 5433 で AlloyDB インスタンスと通信します。
このページでは、既存のインスタンスでコネクタの使用を適用する方法について説明します。インスタンスの作成時に接続を保護する方法については、プライマリ インスタンスを作成するをご覧ください。
インスタンスにコネクタを適用する
gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。
コンソール
- [クラスタ] ページに移動します。
- [リソース名] 列でクラスタをクリックします。
- [概要] ページで、[クラスタ内のインスタンス] セクションに移動し、[プライマリを編集] をクリックします。
- [プライマリ インスタンスを編集] ペインで、[詳細設定オプション] を開きます。
- [コネクタが必要] を選択します。
- [Update instance] をクリックします。
gcloud
gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。
--require-connectors フラグを指定して gcloud alloydb instances update コマンドを使用すると、AlloyDB インスタンスで安全な接続を適用できます。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--require-connectors次のように置き換えます。
- INSTANCE_ID: 更新するインスタンスの ID。
- REGION_ID: インスタンスが配置されるリージョン。
- CLUSTER_ID: インスタンスが配置されているクラスタの ID。
- PROJECT_ID: クラスタが配置されるプロジェクトの ID。
コマンドから「invalid cluster state MAINTENANCE」というフレーズを含むエラー メッセージが返された場合は、クラスタが定期メンテナンス中です。これにより、インスタンスの再構成が一時的に禁止されます。クラスタが READY 状態に戻ったら、コマンドをもう一度実行します。クラスタのステータスを確認するには、クラスタの詳細を表示するをご覧ください。
インスタンスでコネクタの適用を無効にする
コンソール
- [クラスタ] ページに移動します。
- [リソース名] 列でクラスタをクリックします。
- [概要] ページで、[クラスタ内のインスタンス] セクションに移動し、[プライマリを編集] をクリックします。
- [プライマリ インスタンスを編集] ペインで、[詳細設定オプション] を開きます。
- [コネクタを必須にする] をオフにします。
- [Update instance] をクリックします。
gcloud
AlloyDB インスタンスでコネクタを無効にするには、--no-require-connectors フラグを指定して gcloud alloydb instances update コマンドを使用します。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--no-require-connectors次のように置き換えます。
- INSTANCE_ID: 更新するインスタンスの ID。
- REGION_ID: インスタンスが配置されるリージョン。
- CLUSTER_ID: インスタンスが配置されているクラスタの ID。
- PROJECT_ID: クラスタが配置されるプロジェクトの ID。