AlloyDB Omni ausführen und eine Verbindung herstellen

Wählen Sie eine Dokumentationsversion aus:

Auf dieser Seite wird beschrieben, wie Sie AlloyDB Omni ausführen und eine Verbindung dazu herstellen, nachdem Sie die Datenbank in Ihrem Kubernetes-Cluster bereitgestellt haben.

Für die Kubernetes-spezifischen Anleitungen auf dieser Seite werden Grundkenntnisse im Umgang mit Kubernetes vorausgesetzt.

AlloyDB Omni ausführen

Die Verfahren, die Sie zum Ausführen von AlloyDB Omni verwenden, hängen davon ab, ob Sie AlloyDB Omni in einem Kubernetes-Cluster ausführen.

AlloyDB Omni starten

Starten Sie einen beendeten Datenbankcluster, indem Sie isStopped in der Manifestdefinition auf false setzen.

Sie können dies in der Befehlszeile mit kubectl ausführen:

  kubectl patch dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME \
    -p '{"spec":{"primarySpec":{"isStopped":false}}}' --type=merge -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

  • DB_CLUSTER_NAME: Der Name dieses Datenbankclusters, z. B. my-db-cluster.
  • DB_CLUSTER_NAMESPACE (optional): Der Namespace, in dem Sie diesen Datenbankcluster erstellt haben, z. B. my-db-cluster-namespace.

Status von AlloyDB Omni prüfen

  kubectl get dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

AlloyDB Omni beenden

Wenn Sie einen Datenbankcluster beenden möchten, legen Sie in seiner Manifestdefinition isStopped auf true fest.

Sie können dies in der Befehlszeile mit kubectl ausführen:

  kubectl patch dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME -p '{"spec":{"primarySpec":{"isStopped":true}}}' --type=merge -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

  • DB_CLUSTER_NAME: Der Name dieses Datenbankclusters, z. B. my-db-cluster.
  • DB_CLUSTER_NAMESPACE (optional): Der Namespace, in dem Sie diesen Datenbankcluster erstellt haben, z. B. my-db-cluster-namespace.

Verbindung zu AlloyDB Omni auf Kubernetes herstellen

Der AlloyDB Omni Kubernetes-Operator ermöglicht Verbindungen zum Datenbankcluster innerhalb desselben Kubernetes-Clusters, optional mit Zertifikaten für die Authentifizierung.

Verbindung über das vorinstallierte psql herstellen

Sie können eine Testverbindung mit einem psql-Client herstellen, der bereits auf dem Pod installiert ist, auf dem die Datenbank ausgeführt wird.

Führen Sie dazu die folgenden Befehle aus:

export DBPOD=`kubectl get pod --selector=alloydbomni.internal.dbadmin.goog/dbcluster=DB_CLUSTER_NAME,alloydbomni.internal.dbadmin.goog/task-type=database -n DB_CLUSTER_NAMESPACE -o jsonpath='{.items[0].metadata.name}'`
kubectl exec -ti $DBPOD -n DB_CLUSTER_NAMESPACE -c database -- psql -h localhost -U postgres

Ersetzen Sie DB_CLUSTER_NAME durch den Namen Ihres Datenbankclusters. Das ist derselbe Datenbankclustername, den Sie beim Erstellen des Clusters angegeben haben.

Sie können das Festlegen von DB_CLUSTER_NAMESPACE überspringen, wenn Sie den Datenbankcluster im Standardnamespace erstellt haben.

Nachdem Sie den Befehl eingegeben haben, werden Sie vom Datenbankserver zur Eingabe eines Passworts aufgefordert. Geben Sie das Passwort ein, dessen base64-codierte Version Sie beim Erstellen des Datenbankclusters als Kubernetes-Secret angegeben haben. Wenn Sie den Datenbankcluster beispielsweise mit einem Secret von Q2hhbmdlTWUxMjM= erstellt haben, ist das hier zu verwendende Anmeldepasswort ChangeMe123.

Der AlloyDB Omni-Operator stellt eine Verbindung zum Server als Nutzer mit der Rolle postgres her und zeigt einen postgres=#-Befehls-Prompt an. Sie können jetzt psql-Befehle und SQL-Abfragen ausführen.

Um psql zu beenden, führen Sie den Befehl \q aus.

Verbindung von einem separaten Pod im selben Cluster herstellen

Der Pod, auf dem der AlloyDB Omni-Datenbankcluster ausgeführt wird, lässt standardmäßig Verbindungen innerhalb desselben Kubernetes-Clusters zu. Als Best Practice empfehlen wir, alle Verbindungen zum Datenbankcluster mit TLS zu sichern.

Wenn Sie Ihr eigenes TLS-Zertifikat für den Server bereitstellen möchten, geben Sie beim Konfigurieren des Datenbankclusters ein Zertifikatgeheimnis an. Wenn Sie kein Zertifikatssecret angeben, erstellt der AlloyDB Omni Kubernetes-Operator ein TLS-Zertifikatssecret für Sie, das auf einem Zertifikat basiert, das von einer selbstsignierten Zertifizierungsstelle signiert wurde. In beiden Fällen können Sie festlegen, dass für den Datenbankclient-Pod bei jeder Verbindung eine Zertifikatsvalidierung erforderlich ist, um die TLS-Sicherheit zu gewährleisten.

So stellen Sie sichere Datenbankverbindungen mit TLS her:

  • Geben Sie im Manifest, das den Pod definiert, der die Clientverbindungen herstellt, ein TLS-Zertifikatgeheimnis an. Mögliche Werte:

    • Ein TLS-Zertifikat-Secret, das Sie bereits in Ihrem Kubernetes-Cluster erstellt haben. Weitere Informationen zum Arbeiten mit TLS-Zertifikat-Secrets in Kubernetes finden Sie unter TLS-Secrets.

    • Das Standardzertifikats-Secret, das der AlloyDB Omni Kubernetes-Operator für Sie erstellt, heißt DB_CLUSTER_NAME-ca-cert, wenn Sie kein TLS-Secret als Teil des Manifests Ihres Datenbankclusters angeben.

  • Wenn Ihr Client-Pod eine Verbindung zum Datenbankcluster herstellt, müssen die folgenden Umgebungsvariablen definiert werden, bevor die Verbindung hergestellt wird:

    • Setzen Sie PGSSLMODE auf "verify-ca".

    • Legen Sie PGSSLROOTCERT auf den absoluten Pfad der relevanten ca.crt-Datei im Dateisystem des Client-Pods fest.

Das folgende Beispielmanifest zeigt, wie Sie einen Pod konfigurieren, der das offizielle PostgreSQL-Image installiert, das den psql-Befehlszeilenclient enthält. Im Beispiel wird davon ausgegangen, dass Sie im Manifest, das Ihren Datenbankcluster definiert, keine TLS-Secret-Konfiguration angeben. Daher verwendet der AlloyDB Omni Kubernetes-Operator das standardmäßige TLS-Secret mit dem Namen dbs-al-cert-DB_CLUSTER_NAME.

apiVersion: v1
kind: Pod
metadata:
  name: postgres
  namespace: DB_CLUSTER_NAMESPACE
spec:
  containers:
  - image: "docker.io/library/postgres:latest"
    command:
      - "sleep"
      - "604800"
    imagePullPolicy: IfNotPresent
    name: db-client
    volumeMounts:
    - name: ca-cert
      mountPath: "/DB_CLUSTER_NAME-ca-cert"
      readOnly: true
  volumes:
  - name: ca-cert
    secret:
      secretName: dbs-al-cert-DB_CLUSTER_NAME
  restartPolicy: Always

Ersetzen Sie Folgendes:

  • DB_CLUSTER_NAME: Der Name Ihres Datenbankclusters. Das ist derselbe Datenbankclustername, den Sie beim Erstellen des Clusters angegeben haben.
  • DB_CLUSTER_NAMESPACE (optional): Der Namespace, in dem Sie den Datenbankcluster erstellt haben.

Sie können den Pod jetzt verwenden, um sicher eine Verbindung zu Ihrem Datenbankcluster herzustellen. Gehen Sie dazu so vor:

  1. Ermitteln Sie die interne IP-Adresse Ihres Datenbankclusters:

    kubectl get dbclusters.alloydbomni.dbadmin.goog -n DB_CLUSTER_NAMESPACE

    Die Ausgabe sollte so aussehen:

    NAME              PRIMARYENDPOINT   PRIMARYPHASE   DBCLUSTERPHASE
DB_CLUSTER_NAME   IP_ADDRESS        Ready          DBClusterReady

    Notieren Sie sich IP_ADDRESS und verwenden Sie es im nächsten Schritt.

  2. Verwenden Sie psql, um eine Verbindung zu Ihrem Cluster über den Client-Pod herzustellen. Legen Sie dabei die Umgebungsvariablen fest, die die TLS-Zertifikatsprüfung aktivieren und erfordern:

    kubectl exec -it postgres -n DB_CLUSTER_NAMESPACE -- bash
PGSSLMODE="verify-ca" PGSSLROOTCERT=/DB_CLUSTER_NAME-ca-cert/ca.crt psql -h IP_ADDRESS -p 5432 -U postgres -d postgres

    Ersetzen Sie IP_ADDRESS durch die interne IP-Adresse, die Sie im vorherigen Schritt ermittelt haben.

Nächste Schritte