En esta página se enumeran algunas prácticas recomendadas para usar el proxy de autenticación de AlloyDB.
Mantener actualizado el cliente de Auth Proxy
Google publica nuevas versiones del proxy de autenticación cada mes. Puedes consultar la versión actual en la página de lanzamientos de GitHub de AlloyDB Auth Proxy.
Usa la automatización para actualizar la versión de Auth Proxy y probar la nueva versión en entornos que no sean de producción antes de aplicar el cambio al entorno de producción.
Ejecutar el cliente de Auth Proxy como un servicio persistente o un contenedor sidecar
En producción, debes ejecutar el cliente de Auth Proxy como un servicio persistente o un sidecar.
Si se detiene el proceso del cliente de Auth Proxy, se cerrarán todas las conexiones existentes a través de él y tu aplicación no podrá crear más conexiones a la instancia de AlloyDB con AlloyDB Auth Proxy. Para evitar esta situación, ejecuta el cliente de Auth Proxy como un servicio persistente. De esta forma, si el cliente de Auth Proxy se cierra por cualquier motivo, se reiniciará automáticamente.
En función de dónde ejecutes el cliente, utiliza las siguientes opciones:
- En el caso del cliente de proxy de autenticación que se ejecuta en VMs Linux, usa un servicio como
systemd,upstartosupervisor. - En el caso de las cargas de trabajo de Windows, ejecuta el cliente Auth Proxy como un servicio de Windows. Consulta la guía de servicios de Windows para obtener más información.
- En las configuraciones de Kubernetes, ejecuta el cliente Auth Proxy como un sidecar.
Ejecuta el cliente Auth Proxy en el mismo equipo que tu carga de trabajo
El cliente de proxy de autenticación da por hecho que se ejecuta en el mismo equipo que la carga de trabajo. El tráfico de clientes al proxy de autenticación no estará cifrado. El tráfico del proxy de autenticación a AlloyDB se cifra mediante mTLS.
Asegúrate de que todos los clientes del proxy de autenticación estén ubicados en la misma máquina para que no salga tráfico sin cifrar de la máquina. El proxy de autenticación de AlloyDB debe estar ubicado junto a un cliente que quiera acceder a tu instancia de AlloyDB.
Usar una cuenta de servicio distinta para cada carga de trabajo
El proxy de autenticación de AlloyDB usa la entidad principal de Gestión de Identidades y Accesos (IAM) del entorno para crear un túnel seguro a una instancia de AlloyDB. Para seguir el principio de mínimos accesos, cada carga de trabajo, como una aplicación web o una aplicación de procesamiento de datos backend, debe usar una cuenta de servicio distinta. El uso de una cuenta de servicio distinta asegura que los permisos de cada carga de trabajo se puedan gestionar (o revocar) por separado.
No despliegues el proxy de autenticación de AlloyDB como cuello de botella
Puede que te resulte tentador desplegar AlloyDB Auth Proxy en una VM compartida y usarlo para enrutar todo el tráfico de varias cargas de trabajo a tu instancia de AlloyDB. Sin embargo, este enfoque no es seguro y crea un único punto de fallo.
Cuando varios clientes terminan usando el mismo principal de IAM que usa el proxy de autenticación, resulta difícil identificar la carga de trabajo que está accediendo a tu instancia de AlloyDB, lo que hace que este enfoque sea poco seguro.
Este enfoque crea un único punto de fallo, ya que, si el proxy de autenticación de AlloyDB se sobrecarga con un pico de tráfico, todas las conexiones de cliente se verán afectadas negativamente.
En su lugar, implementa un cliente de Auth Proxy en cada máquina que necesite una conexión segura, ya sea como sidecar o como servicio persistente.
Reducir la salida de registro del proxy de autenticación de AlloyDB en las implementaciones de producción
Si necesitas limitar el tamaño de los registros de AlloyDB Auth Proxy, define la opción --verbose=false al iniciar AlloyDB Auth Proxy. Ten en cuenta que, si usas esta opción, se reduce la eficacia de la salida del proxy de autenticación de AlloyDB a la hora de diagnosticar problemas de conexión.
Leer el mensaje de ayuda del proxy de autenticación de AlloyDB
AlloyDB Auth Proxy incluye muchas funciones adicionales y un extenso mensaje de ayuda con detalles. Ejecuta el comando ./alloydb-auth-proxy --help para
descubrir otras opciones de configuración.
Interactuar con el equipo de desarrollo en GitHub
Si crees que has encontrado un error o tienes una solicitud de función, puedes ponerte en contacto con el equipo de desarrollo en el repositorio de GitHub de AlloyDB Auth Proxy.