SSL-Erzwigungsmodus für AlloyDB-Instanzen konfigurieren

Auf dieser Seite wird beschrieben, wie Sie den SSL-Erzwingungsmodus für AlloyDB for PostgreSQL-Instanzen konfigurieren.

Standardmäßig akzeptiert eine AlloyDB-Instanz nur Verbindungen, die SSL verwenden.

AlloyDB verwendet SSL, um sichere, authentifizierte und verschlüsselte Verbindungen zu AlloyDB-Instanzen herzustellen. Außerdem sorgt ein konfigurierbarer SSL-Erzwigungsmodus dafür, dass alle Datenbankverbindungen zu einer Instanz die SSL-Verschlüsselung verwenden.

In diesem Thema erfahren Sie, wie Sie den SSL-Erzwingungsmodus für eine vorhandene Instanz konfigurieren. Informationen zum Konfigurieren des SSL-Erzwingungsmodus beim Erstellen einer Instanz finden Sie unter Primäre Instanz erstellen.

Hinweise

  • Für das von Ihnen verwendete Google Cloud-Projekt muss der Zugriff auf AlloyDB aktiviert sein.
  • Sie benötigen eine der folgenden IAM-Rollen im verwendeten Google Cloud-Projekt:
    • roles/alloydb.admin (die vordefinierte IAM-Rolle „AlloyDB Admin“)
    • roles/owner (die einfache IAM-Rolle „Inhaber“)
    • roles/editor (einfache IAM-Rolle „Bearbeiter“)

    Wenn Sie keine dieser Rollen haben, wenden Sie sich an den Administrator Ihrer Organisation, um Zugriff anzufordern.

SSL-Erzwingungsmodus für eine Instanz konfigurieren

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

Console

  1. Rufen Sie die Seite Cluster auf.

    Zu den Clustern

  2. Klicken Sie in der Spalte Ressourcenname auf einen Cluster.
  3. Klicken Sie auf der Seite Übersicht im Abschnitt Instanzen in Ihrem Cluster auf Primäre bearbeiten.
  4. Maximieren Sie im Bereich Primäre Instanz bearbeiten die Option Erweiterte Konfigurationsoptionen.
  5. Aktivieren Sie Nur SSL-Verbindungen zulassen. Diese Option ist standardmäßig aktiviert.
  6. Klicken Sie auf Instanz aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud alloydb instances update mit dem Argument --ssl-mode=ENCRYPTED_ONLY, um nur verschlüsselte Datenbankverbindungen zu einer AlloyDB-Instanz zuzulassen.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Ersetzen Sie Folgendes:

  • INSTANCE_ID: Die ID der Instanz, die Sie aktualisieren.
  • REGION_ID: Die Region, in der sich die Instanz befindet.
  • CLUSTER_ID: Die ID des Clusters, in dem sich die Instanz befindet.
  • PROJECT_ID: Die ID des Projekts, in dem sich der Cluster befindet.

Wenn Sie unverschlüsselte Datenbankverbindungen zu einer Instanz zulassen möchten, verwenden Sie den Befehl gcloud alloydb instances update mit dem Argument --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Wenn der Befehl eine Fehlermeldung mit dem Begriff invalid cluster state MAINTENANCE zurückgibt, wird der Cluster gerade routinemäßig gewartet. Dadurch ist die Neukonfiguration der Instanz vorübergehend nicht möglich. Führen Sie den Befehl noch einmal aus, nachdem der Cluster wieder den Status READY hat. Informationen zum Prüfen des Clusterstatus finden Sie unter Clusterdetails ansehen.