本页介绍了如何在 AlloyDB for PostgreSQL 实例上配置 SSL 强制执行模式。
默认情况下,AlloyDB 实例仅接受使用 SSL 的连接。
AlloyDB 使用 SSL 建立与 AlloyDB 实例的安全、经过身份验证的加密连接。此外,可配置的 SSL 强制执行模式可确保与实例的所有数据库连接都使用 SSL 加密。
本主题介绍了如何在现有实例上配置 SSL 强制执行模式。如需了解如何在创建实例时配置 SSL 强制执行模式,请参阅创建主实例。
准备工作
- 您使用的 Google Cloud 项目必须已启用对 AlloyDB 的访问权限。
- 您必须在所使用的 Google Cloud 项目中拥有以下 IAM 角色之一:
roles/alloydb.admin(AlloyDB 管理员预定义 IAM 角色)roles/owner(Owner 基本 IAM 角色)roles/editor(Editor 基本 IAM 角色)
如果您不具备上述任何角色,请与您的组织管理员联系以请求访问权限。
在实例上配置 SSL 强制执行模式
如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell。
控制台
- 前往集群页面。
- 点击资源名称列中的某个集群。
- 在概览页面中,前往集群中的实例部分,然后点击修改主实例。
- 在修改主实例窗格中,展开高级配置选项。
- 启用仅允许 SSL 连接。此选项默认处于启用状态。
- 点击更新实例。
gcloud
将 gcloud alloydb instances update 命令与 --ssl-mode=ENCRYPTED_ONLY 参数搭配使用,以仅允许对 AlloyDB 实例建立加密数据库连接。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--ssl-mode=ENCRYPTED_ONLY替换以下内容:
- INSTANCE_ID:您要更新的实例的 ID。
- REGION_ID:实例所在的区域。
- CLUSTER_ID:实例所在的集群的 ID。
- PROJECT_ID:集群所在项目的 ID。
如需允许对实例进行未加密的数据库连接,请将 gcloud alloydb instances update 命令与 --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED 参数结合使用。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED如果该命令返回包含 invalid cluster state MAINTENANCE 字样的错误消息,则表示集群正在进行常规维护。这会暂时禁止实例重新配置。集群恢复为 READY 状态后,请再次运行该命令。如需查看集群的状态,请参阅查看集群详情。