Halaman ini menjelaskan cara menerapkan enkripsi SSL/TLS untuk instance guna memastikan bahwa semua koneksi dienkripsi. Anda juga dapat mempelajari lebih lanjut cara Cloud SQL menggunakan sertifikat SSL/TLS yang dikelola sendiri untuk terhubung ke instance Cloud SQL dengan aman.
Ringkasan
Cloud SQL membuat sertifikat server secara otomatis saat Anda membuat instance. Sebaiknya menerapkan semua koneksi untuk menggunakan SSL/TLS.
Untuk memvalidasi identitas klien/server menggunakan sertifikat SSL/TLS, Anda harus membuat sertifikat klien dan mendownload sertifikat tersebut ke mesin host klien PostgreSQL. Saat Anda menerapkan SSL untuk instance, instance tersebut tidak perlu dimulai ulang. Namun, perubahan pada sertifikat SSL/TLS dapat menyebabkan dimulai ulangnya instance secara otomatis dan dapat menyebabkan periode nonaktif.Perubahan pada konfigurasi mode SSL hanya berlaku untuk koneksi baru. Jika Anda menerapkan SSL dan instance Anda memiliki koneksi yang tidak dienkripsi, koneksi akan tetap terhubung dan tidak dienkripsi. Untuk menutup koneksi yang tidak dienkripsi dan menerapkan SSL pada semua koneksi, Anda harus memulai ulang instance.
Menerapkan enkripsi SSL/TLS
Anda dapat menggunakan setelan mode SSL untuk menerapkan enkripsi SSL dengan cara berikut:
Mengizinkan koneksi non-SSL/non-TLS dan SSL/TLS. Sertifikat klien tidak diverifikasi untuk koneksi SSL/TLS. Ini adalah setelan defaultnya.
Hanya izinkan koneksi yang dienkripsi dengan SSL/TLS. Sertifikat klien tidak diverifikasi untuk koneksi SSL.
- Hanya izinkan koneksi yang dienkripsi dengan SSL/TLS dan dengan sertifikat klien yang valid.
Jika Anda memilih Izinkan koneksi non-SSL/non-TLS dan SSL/TLS untuk instance Cloud SQL, koneksi SSL/TLS akan diterima, serta koneksi yang tidak dienkripsi dan tidak aman. Jika Anda tidak mewajibkan SSL/TLS untuk semua koneksi, koneksi yang tidak dienkripsi tetap diizinkan. Oleh karena itu, jika Anda mengakses instance menggunakan IP publik, sebaiknya terapkan SSL untuk semua koneksi.
Anda dapat terhubung langsung ke instance menggunakan sertifikat SSL/TLS, atau Anda dapat terhubung menggunakan Proxy Auth Cloud SQL atau Cloud SQL Connector. Jika Anda terhubung menggunakan Proxy Auth Cloud SQL atau Cloud SQL Connector, koneksi tersebut akan otomatis dienkripsi dengan SSL/TLS. Dengan Proxy Auth Cloud SQL dan Konektor Cloud SQL, identitas klien dan server juga akan otomatis diverifikasi, apa pun setelan mode SSL.
Untuk mengaktifkan requiring SSL/TLS, lakukan hal berikut:
Konsol
-
Di konsol Google Cloud, buka halaman Instance Cloud SQL.
- Untuk membuka halaman Overview instance, klik nama instance.
- Klik Connections dari menu navigasi SQL.
- Pilih tab Keamanan.
- Pilih salah satu opsi berikut:
- Mengizinkan traffic jaringan yang tidak dienkripsi (tidak direkomendasikan)
- Hanya izinkan koneksi SSL. Opsi ini hanya mengizinkan koneksi yang menggunakan enkripsi SSL/TLS. Sertifikat tidak divalidasi.
- Wajibkan sertifikat klien tepercaya. Opsi ini hanya mengizinkan koneksi dari klien yang menggunakan sertifikat klien yang valid dan dienkripsi SSL. Jika klien atau pengguna terhubung menggunakan autentikasi database IAM, mereka harus menggunakan Proxy Auth Cloud SQL atau Konektor Cloud SQL untuk menerapkan verifikasi identitas klien.
gcloud
gcloud sql instances patch INSTANCE_NAME \ --ssl-mode=SSL_ENFORCEMENT_MODE
Ganti SSL_ENFORCEMENT_MODE dengan salah satu opsi berikut:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
mengizinkan koneksi non-SSL/non-TLS dan SSL/TLS. Untuk koneksi SSL, sertifikat klien tidak diverifikasi. Ini adalah nilai defaultnya.ENCRYPTED_ONLY
hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS. Sertifikat klien tidak diverifikasi untuk koneksi SSL.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS dan dengan sertifikat klien yang valid. Jika klien atau pengguna terhubung menggunakan autentikasi database IAM, mereka harus menggunakan Proxy Auth Cloud SQL atau Konektor Cloud SQL untuk menerapkan verifikasi identitas klien.
Untuk mengetahui informasi selengkapnya, lihat
Setelan untuk Cloud SQL untuk PostgreSQL.
Terraform
Untuk menerapkan enkripsi SSL/TLS, gunakan resource Terraform:
Menerapkan perubahan
Untuk menerapkan konfigurasi Terraform di project Google Cloud, selesaikan langkah-langkah di bagian berikut.
Menyiapkan Cloud Shell
- Luncurkan Cloud Shell.
-
Tetapkan project Google Cloud default tempat Anda ingin menerapkan konfigurasi Terraform.
Anda hanya perlu menjalankan perintah ini sekali per project, dan dapat dijalankan di direktori mana pun.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Variabel lingkungan akan diganti jika Anda menetapkan nilai eksplisit dalam file konfigurasi Terraform.
Menyiapkan direktori
Setiap file konfigurasi Terraform harus memiliki direktorinya sendiri (juga disebut modul root).
-
Di Cloud Shell, buat direktori dan file baru di dalam direktori tersebut. Nama file harus memiliki
ekstensi
.tf
—misalnyamain.tf
. Dalam tutorial ini, file ini disebut sebagaimain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Jika mengikuti tutorial, Anda dapat menyalin kode contoh di setiap bagian atau langkah.
Salin kode contoh ke dalam
main.tf
yang baru dibuat.Atau, salin kode dari GitHub. Tindakan ini direkomendasikan jika cuplikan Terraform adalah bagian dari solusi menyeluruh.
- Tinjau dan ubah contoh parameter untuk diterapkan pada lingkungan Anda.
- Simpan perubahan Anda.
-
Lakukan inisialisasi Terraform. Anda hanya perlu melakukan ini sekali per direktori.
terraform init
Secara opsional, untuk menggunakan versi penyedia Google terbaru, sertakan opsi
-upgrade
:terraform init -upgrade
Menerapkan perubahan
-
Tinjau konfigurasi dan pastikan resource yang akan dibuat atau
diupdate oleh Terraform sesuai yang Anda inginkan:
terraform plan
Koreksi konfigurasi jika diperlukan.
-
Terapkan konfigurasi Terraform dengan menjalankan perintah berikut dan memasukkan
yes
pada prompt:terraform apply
Tunggu hingga Terraform menampilkan pesan "Apply complete!".
- Buka project Google Cloud Anda untuk melihat hasilnya. Di Konsol Google Cloud, buka resource Anda di UI untuk memastikan bahwa Terraform telah membuat atau mengupdatenya.
Menghapus perubahan
Untuk menghapus perubahan Anda, lakukan langkah-langkah berikut:
- Untuk menonaktifkan perlindungan penghapusan, di file konfigurasi Terraform Anda, tetapkan
argumen
deletion_protection
kefalse
.deletion_protection = "false"
- Terapkan konfigurasi Terraform dengan menjalankan perintah berikut dan
memasukkan
yes
pada prompt:terraform apply
-
Hapus resource yang sebelumnya diterapkan dengan konfigurasi Terraform Anda dengan menjalankan perintah berikut dan memasukkan
yes
pada prompt:terraform destroy
REST v1
-
Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:
- PROJECT_ID: ID project
- SSL_ENFORCEMENT_MODE: Gunakan salah satu opsi berikut:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
: mengizinkan koneksi non-SSL/non-TLS dan SSL/TLS. Untuk koneksi SSL, sertifikat klien tidak diverifikasi. Ini adalah nilai defaultnya.ENCRYPTED_ONLY
: hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
: hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS dan dengan sertifikat klien yang valid. Jika klien atau pengguna terhubung menggunakan autentikasi database IAM, mereka harus menggunakan Proxy Auth Cloud SQL atau Konektor Cloud SQL untuk menerapkan verifikasi identitas klien.
- INSTANCE_ID: ID instance
Metode HTTP dan URL:
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID
Meminta isi JSON:
{ "settings": { "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"} } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan menerima respons JSON yang mirip dengan yang berikut ini:
REST v1beta4
-
Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:
- PROJECT_ID: ID project
- SSL_ENFORCEMENT_MODE: Gunakan salah satu opsi berikut:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
: mengizinkan koneksi non-SSL/non-TLS dan SSL/TLS. Untuk koneksi SSL, sertifikat klien tidak diverifikasi. Ini adalah nilai defaultnya.ENCRYPTED_ONLY
: hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
: hanya mengizinkan koneksi yang dienkripsi dengan SSL/TLS dan dengan sertifikat klien yang valid. Jika klien atau pengguna terhubung menggunakan autentikasi database IAM, mereka harus menggunakan Proxy Auth Cloud SQL atau Konektor Cloud SQL untuk menerapkan verifikasi identitas klien.
- INSTANCE_ID: ID instance
Metode HTTP dan URL:
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
Meminta isi JSON:
{ "settings": { "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"} } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan menerima respons JSON yang mirip dengan yang berikut ini:
Sertifikat Server
Cloud SQL membuat sertifikat server secara otomatis saat Anda membuat instance. Selama sertifikat server valid, Anda tidak perlu mengelola sertifikat server secara aktif. Cloud SQL memungkinkan Anda memilih antara dua hierarki certificate authority (CA) yang berbeda. Hierarki CA yang Anda pilih akan menjadi mode CA server instance. Jika Anda menggunakan CA per instance sebagai mode CA server untuk instance, sertifikat server memiliki tanggal habis masa berlaku 10 tahun. Jika Anda menggunakan CA bersama sebagai mode CA server untuk instance (Pratinjau), sertifikat server memiliki tanggal habis masa berlaku 1 tahun. Setelah tanggal habis masa berlaku, sertifikat server tidak lagi valid, dan klien tidak dapat lagi membuat koneksi yang aman ke instance Anda menggunakan sertifikat tersebut. Jika klien dikonfigurasi untuk memverifikasi CA atau memverifikasi nama host di sertifikat server, koneksi klien tersebut ke instance Cloud SQL dengan sertifikat server yang sudah tidak berlaku akan gagal. Untuk mencegah gangguan pada koneksi klien, rotasi sertifikat server sebelum masa berlaku sertifikat berakhir. Anda akan diberi tahu secara berkala bahwa sertifikat server hampir habis masa berlakunya. Notifikasi dikirim dalam jumlah hari sebagai berikut sebelum tanggal habis masa berlaku: 90, 30, 10, 2, dan 1.
Anda dapat memperoleh informasi tentang sertifikat server, seperti kapan sertifikat dibuat, dan kapan masa berlakunya berakhir. Sebelum tanggal habis masa berlaku, Anda dapat membuat yang baru secara manual.
Konsol
-
Di konsol Google Cloud, buka halaman Instance Cloud SQL.
- Untuk membuka halaman Overview instance, klik nama instance.
- Klik Connections dari menu navigasi SQL.
- Pilih tab Keamanan.
- Buka bagian Manage server certificates.
Anda dapat melihat tanggal habis masa berlaku sertifikat server pada tabel.
gcloud
Untuk instance yang menggunakan sertifikat server yang ditandatangani sendiri (CA per instance):
- Untuk mendapatkan informasi tentang sertifikat server, gunakan perintah sql ssl server-ca-certs list:
gcloud sql ssl server-ca-certs list \ --instance=INSTANCE_NAME
- Untuk membuat sertifikat server, gunakan perintah sql ssl server-ca-certs create:
gcloud sql ssl server-ca-certs create \ --instance=INSTANCE_NAME
- Download informasi sertifikat ke file PEM lokal:
gcloud sql ssl server-ca-certs list \ --format="value(cert)" \ --instance=INSTANCE_NAME > \ FILE_PATH/FILE_NAME.pem
- Perbarui semua klien Anda untuk menggunakan informasi baru dengan
menyalin file yang didownload ke mesin host klien, menggantikan
file
server-ca.pem
yang sudah ada.
Untuk instance yang menggunakan sertifikat server yang dikeluarkan oleh CA bersama (Pratinjau):
- Untuk mendapatkan informasi tentang sertifikat server, gunakan perintah
beta sql ssl server-certs list:
gcloud beta sql ssl server-certs list \ --instance=INSTANCE_NAME
- Untuk membuat sertifikat server, gunakan perintah beta sql ssl server-certs create:
gcloud beta sql ssl server-certs create \ --instance=INSTANCE_NAME
- Download informasi sertifikat ke file PEM lokal:
gcloud beta sql ssl server-certs list \ --format="value(ca_cert.cert)" \ --instance=INSTANCE_NAME > \ FILE_PATH/FILE_NAME.pem
- Perbarui semua klien Anda untuk menggunakan informasi baru dengan
menyalin file yang didownload ke mesin host klien, menggantikan
file
server-ca.pem
yang sudah ada.
Terraform
Untuk memberikan informasi sertifikat server sebagai output, gunakan sumber data Terraform:
- Tambahkan kode berikut ke file konfigurasi Terraform Anda:
data "google_sql_ca_certs" "ca_certs" { instance = google_sql_database_instance.default.name } locals { furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0] latest_ca_cert = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time] } output "db_latest_ca_cert" { description = "Latest CA certificate used by the primary database server" value = local.latest_ca_cert sensitive = true }
- Untuk membuat file
server-ca.pem
, jalankan perintah berikut:terraform output db_latest_ca_cert > server-ca.pem
Sertifikat klien
Membuat sertifikat klien baru
Anda dapat membuat hingga 10 sertifikat klien untuk setiap instance. Untuk membuat sertifikat
klien, Anda harus memiliki peran IAM Cloud SQL Admin
.
Berikut adalah beberapa hal penting yang perlu diketahui tentang sertifikat klien:
- Jika kunci pribadi untuk sertifikat hilang, Anda harus membuat yang baru; kunci pribadi tidak dapat dipulihkan.
- Secara default, sertifikat klien memiliki tanggal habis masa berlaku selama 10 tahun.
- Anda tidak akan menerima notifikasi saat sertifikat klien hampir habis masa berlakunya.
- Instance Cloud SQL harus dalam keadaan berjalan untuk membuat sertifikat SSL.
Konsol
-
Di konsol Google Cloud, buka halaman Instance Cloud SQL.
- Untuk membuka halaman Overview instance, klik nama instance.
- Klik Connections dari menu navigasi SQL.
- Pilih tab Security.
- Klik Create client certificate.
- Di dialog Create a client certificate, tambahkan nama yang unik.
- Klik Create.
- Di bagian pertama dialog New SSL certificate created, klik Download client-key.pem untuk mendownload kunci
pribadi ke file bernama
client-key.pem
. - Di bagian kedua, klik Download client-cert.pem untuk mendownload
sertifikat klien ke file bernama
client-cert.pem
. - Di bagian ketiga, klik Download server-ca.pem untuk mendownload
sertifikat server ke file bernama
server-ca.pem
. - Klik Close.
gcloud
Buat sertifikat klien menggunakan perintah
ssl client-certs create
:gcloud sql ssl client-certs create CERT_NAME client-key.pem \ --instance=INSTANCE_NAME
Ambil kunci publik untuk sertifikat yang baru saja Anda buat dan salin ke dalam file
client-cert.pem
menggunakan perintahssl client-certs describe
:gcloud sql ssl client-certs describe CERT_NAME \ --instance=INSTANCE_NAME \ --format="value(cert)" > client-cert.pem
Salin sertifikat server ke dalam file
server-ca.pem
menggunakan perintahinstances describe
:gcloud sql instances describe INSTANCE_NAME \ --format="value(serverCaCert.cert)" > server-ca.pem
Terraform
Untuk membuat sertifikat klien, gunakan resource Terraform:
REST v1
Buat sertifikat SSL/TLS, dengan memberikan nama unik untuk instance ini:
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- project-id: ID project
- instance-id: ID instance
- client-cert-name: Nama sertifikat klien
Metode HTTP dan URL:
POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts
Meminta isi JSON:
{ "commonName" : "client-cert-name" }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan menerima respons JSON yang mirip dengan yang berikut ini:
-
Salin semua konten sertifikat dalam tanda kutip (tetapi tidak dengan
tanda kutipnya) dari respons ke file lokal seperti berikut:
- Salin
serverCaCert.cert
keserver-ca.pem
. - Salin
clientCert.cert
keclient-cert.pem
. - Salin
certPrivateKey
keclient-key.pem
.
- Salin
REST v1beta4
Buat sertifikat SSL/TLS, dengan memberikan nama unik untuk instance ini:
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- project-id: ID project
- instance-id: ID instance
- client-cert-name: Nama sertifikat klien
Metode HTTP dan URL:
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts
Meminta isi JSON:
{ "commonName" : "client-cert-name" }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan menerima respons JSON yang mirip dengan yang berikut ini:
-
Salin semua konten sertifikat dalam tanda kutip (tetapi tidak dengan
tanda kutipnya) dari respons ke file lokal seperti berikut:
- Salin
serverCaCert.cert
keserver-ca.pem
. - Salin
clientCert.cert
keclient-cert.pem
. - Salin
certPrivateKey
keclient-key.pem
.
- Salin
Pada tahap ini, Anda memiliki:
- Sertifikat server yang disimpan sebagai
server-ca.pem
. - Sertifikat kunci publik klien yang disimpan sebagai
client-cert.pem
. - Kunci pribadi klien yang disimpan sebagai
client-key.pem
.
sslrootcert
,
sslcert
, dan sslkey
dalam
string koneksi psql. Untuk contoh koneksi menggunakan klien psql dan SSL/TLS, lihat
Menghubungkan ke klien psql.
Tentang verifikasi identitas server
Verifikasi identitas server bergantung pada konfigurasi hierarki otoritas sertifikasi (CA) server instance Cloud SQL Anda.
Jika instance Anda dikonfigurasi untuk menggunakan CA per instance, memverifikasi CA juga akan memverifikasi identitas server karena setiap instance memiliki CA yang unik.
Jika instance Anda dikonfigurasi untuk menggunakan CA bersama (Pratinjau), verifikasi nama host beserta verifikasi CA diperlukan untuk verifikasi identitas server karena CA server dibagikan di seluruh instance.
Jika memiliki CA per instance, Anda hanya dapat melakukan verifikasi identitas server berbasis nama DNS untuk instance Private Service Connect.
Jika memiliki CA bersama (Pratinjau), Anda dapat melakukan verifikasi identitas server berbasis nama DNS untuk semua jenis instance, yaitu Private Service Connect, akses layanan pribadi, dan instance IP publik.
Anda dapat melihat hierarki CA yang dikonfigurasi untuk instance Cloud SQL dengan melihat detail instance.
Untuk informasi selengkapnya, lihat Melihat informasi instance atau bagian berikut, Mengaktifkan verifikasi identitas server.
Mengaktifkan verifikasi identitas server
Jika Anda memilih CA bersama sebagai mode CA server instance Cloud SQL (Pratinjau), sebaiknya Anda juga mengaktifkan verifikasi identitas server. Instance yang menggunakan CA bersama sebagai mode CA server berisi nama DNS instance di kolom Subject Alternative Name (SAN) sertifikat server. Anda bisa mendapatkan nama DNS ini menggunakan API pencarian instance dan menggunakan respons sebagai nama host untuk verifikasi identitas server. Anda perlu menyiapkan resolusi DNS untuk nama DNS.
Untuk mengaktifkan verifikasi identitas server, selesaikan langkah-langkah berikut:
Ambil nama DNS.
Untuk melihat informasi ringkasan tentang instance Cloud SQL, termasuk nama DNS instance tersebut, gunakan perintah
gcloud sql instances describe
:gcloud sql instances describe INSTANCE_NAME \ --project=PROJECT_ID
Lakukan penggantian berikut:
- INSTANCE_NAME: nama instance Cloud SQL
- PROJECT_ID: ID atau nomor project project Google Cloud yang berisi instance
Dalam respons, pastikan nama DNS muncul. Nama ini memiliki pola berikut:
INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.
Contoh:
1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.
Buat data DNS di zona DNS. Jika Anda terhubung secara pribadi, buat data DNS di zona DNS pribadi di jaringan Virtual Private Cloud (VPC) yang sesuai.
Saat Anda terhubung ke instance Cloud SQL untuk PostgreSQL, konfigurasikan nama DNS sebagai nama host. Kemudian, aktifkan verifikasi identitas server di klien Anda.
Misalnya, saat menggunakan klien
psql
, tentukan flagsslmode=verify-full
. Driver klien PostgreSQL lainnya memiliki flag konfigurasi yang serupa.
Langkah selanjutnya
- Kelola sertifikat SSL/TLS di instance Cloud SQL.
- Pelajari lebih lanjut cara penanganan enkripsi di Google Cloud.
- Hubungkan ke instance Cloud SQL Anda menggunakan sertifikat SSL/TLS.
- Pelajari lebih lanjut cara PostgreSQL menggunakan sertifikat SSL/TLS.