Cette page liste quelques bonnes pratiques pour utiliser le proxy d'authentification AlloyDB.
Maintenir le client proxy d'authentification à jour
Google publie de nouvelles versions du proxy d'authentification tous les mois. Pour connaître la version actuelle, consultez la page GitHub sur les versions du proxy d'authentification AlloyDB.
Utilisez l'automatisation pour mettre à jour la version du proxy d'authentification et tester la nouvelle version dans des environnements hors production avant de promouvoir la modification en production.
Exécuter le client du proxy d'authentification en tant que service persistant ou side-car
En production, vous devez exécuter le client Auth Proxy en tant que service persistant ou side-car.
Si le processus client du proxy d'authentification est arrêté, toutes les connexions existantes sont interrompues et votre application ne peut plus créer de connexions à l'instance AlloyDB avec le proxy d'authentification AlloyDB. Pour éviter ce cas de figure, exécutez le client Auth Proxy en tant que service persistant. Ainsi, s'il s'arrête pour une raison quelconque, il redémarre automatiquement.
Selon l'endroit où vous exécutez le client, utilisez les options suivantes :
- Pour le client Auth Proxy exécuté sur des VM Linux, utilisez un service tel que
systemd,upstartousupervisor. - Pour les charges de travail Windows, exécutez le client proxy d'authentification en tant que service Windows. Pour en savoir plus, consultez le Guide des services Windows.
- Pour les configurations Kubernetes, exécutez le client du proxy d'authentification en tant que side-car.
Exécuter le client proxy d'authentification sur la même machine que votre charge de travail
Le client proxy d'authentification suppose qu'il s'exécute sur la même machine que la charge de travail. Le trafic client vers le proxy d'authentification ne sera pas chiffré. Le trafic provenant du proxy d'authentification et transmis à AlloyDB est chiffré à l'aide de mTLS.
Assurez-vous que tous les clients du proxy d'authentification se trouvent sur la même machine afin qu'aucun trafic non chiffré ne quitte la machine. Le proxy d'authentification AlloyDB doit être colocalisé avec un client qui souhaite accéder à votre instance AlloyDB.
Utilisez un compte de service distinct pour chaque charge de travail.
Le proxy d'authentification AlloyDB utilise le principal Identity and Access Management (IAM) de l'environnement pour créer un tunnel sécurisé vers une instance AlloyDB. Pour respecter le principe du moindre privilège, chaque charge de travail, telle qu'une application Web ou une application de traitement de données de backend, doit utiliser un compte de service distinct. L'utilisation d'un compte de service distinct garantit que les autorisations de chaque charge de travail peuvent être gérées (ou révoquées) séparément.
Ne déployez pas le proxy d'authentification AlloyDB comme goulot d'étranglement
Il peut être tentant de déployer le proxy d'authentification AlloyDB sur une VM partagée et de l'utiliser pour acheminer tout le trafic de plusieurs charges de travail vers votre instance AlloyDB. Toutefois, cette approche n'est pas sécurisée et crée un point de défaillance unique.
Lorsque plusieurs clients finissent par utiliser le même compte principal IAM que le proxy d'authentification, il devient difficile d'identifier la charge de travail qui accède réellement à votre instance AlloyDB, ce qui rend cette approche non sécurisée.
Cette approche crée un point de défaillance unique, car si le proxy d'authentification AlloyDB est surchargé par un pic de trafic, toutes les connexions client seront affectées.
Déployez plutôt un client Auth Proxy sur chaque machine nécessitant une connexion sécurisée, soit en tant que side-car, soit en tant que service persistant.
Réduire la sortie des journaux du proxy d'authentification AlloyDB pour les déploiements en production
Si vous devez limiter la taille des journaux du proxy d'authentification AlloyDB, définissez l'option --verbose=false lorsque vous démarrez le proxy d'authentification AlloyDB. Notez que l'utilisation de cette option réduit l'efficacité de la sortie du proxy d'authentification AlloyDB pour le diagnostic des problèmes de connexion.
Lire le message d'aide du proxy d'authentification AlloyDB
Le proxy d'authentification AlloyDB inclut de nombreuses fonctionnalités supplémentaires et un message d'aide détaillé. Exécutez la commande ./alloydb-auth-proxy --help pour découvrir d'autres options de configuration.
Échanger avec l'équipe de développement sur GitHub
Si vous pensez avoir trouvé un bug ou si vous souhaitez demander une fonctionnalité, vous pouvez contacter l'équipe de développement sur le dépôt GitHub d'AlloyDB Auth Proxy.