En esta página, se enumeran algunas prácticas recomendadas para usar el proxy de autenticación de AlloyDB.
Mantén actualizado el cliente del proxy de autenticación
Google lanza versiones nuevas del proxy de autenticación todos los meses. Puedes consultar la versión actual en la página de versiones de GitHub del proxy de autenticación de AlloyDB.
Usa la automatización para actualizar la versión del proxy de autenticación y probar la nueva versión en entornos que no sean de producción antes de promover el cambio a producción.
Ejecuta el cliente del proxy de autenticación como un servicio persistente o un sidecar
En producción, debes ejecutar el cliente del proxy de autenticación como un servicio persistente o un sidecar.
Si se detiene el proceso del cliente del proxy de autenticación, se descartan todas las conexiones existentes a través de este y tu aplicación no podrá crear más conexiones a la instancia de AlloyDB con el proxy de autenticación de AlloyDB. Para evitar esta situación, ejecuta el cliente del proxy de autenticación como un servicio persistente, de modo que si el cliente del proxy de autenticación se cierra por algún motivo, se reinicie automáticamente.
Según dónde ejecutes el cliente, usa las siguientes opciones:
- Para el cliente del proxy de autenticación que se ejecuta en VMs de Linux, usa un servicio como
systemd,upstartosupervisor. - Para las cargas de trabajo de Windows, ejecuta el cliente del proxy de autenticación como un servicio de Windows. Para obtener más información, consulta la Guía de servicios de Windows.
- En las configuraciones de Kubernetes, ejecuta el cliente del proxy de autenticación como un sidecar.
Ejecuta el cliente del proxy de autenticación en la misma máquina que tu carga de trabajo
El cliente del proxy de autenticación supone que se ejecuta en la misma máquina que la carga de trabajo. Todo el tráfico de clientes hacia el proxy de autenticación no estará encriptado. El tráfico desde el proxy de autenticación hacia AlloyDB se encripta con mTLS.
Asegúrate de que cualquier cliente del proxy de autenticación se encuentre en la misma máquina para que no salga tráfico sin encriptar de ella. El proxy de autenticación de AlloyDB debe ubicarse junto con un cliente que quiera acceder a tu instancia de AlloyDB.
Usa una cuenta de servicio distinta para cada carga de trabajo
El proxy de autenticación de AlloyDB usa la principal de Identity and Access Management (IAM) del entorno para crear un túnel seguro a una instancia de AlloyDB. Para seguir el principio de privilegio mínimo, cada carga de trabajo, como una app web o una app de procesamiento de datos de backend, debe usar una cuenta de servicio distinta. El uso de una cuenta de servicio distinta garantiza que los permisos de cada carga de trabajo se puedan administrar (o revocar) por separado.
No implementes el proxy de autenticación de AlloyDB como un cuello de botella
Puede ser tentador implementar el proxy de autenticación de AlloyDB en una VM compartida y usarlo para enrutar todo el tráfico de varias cargas de trabajo a tu instancia de AlloyDB. Sin embargo, este enfoque es inseguro y crea un único punto de fallo.
Cuando varios clientes terminan usando el mismo principal de IAM que usa el proxy de autenticación, se dificulta la identificación de la carga de trabajo que realmente accede a tu instancia de AlloyDB, lo que hace que este enfoque sea inseguro.
Este enfoque crea un único punto de falla, ya que, si el proxy de autenticación de AlloyDB se sobrecarga con una ráfaga de tráfico, todas las conexiones de los clientes se verán afectadas negativamente.
En su lugar, implementa un cliente de Auth Proxy en cada máquina que necesite una conexión segura, ya sea como un servicio persistente o de sidecar.
Reduce el resultado del registro del proxy de autenticación de AlloyDB para las implementaciones de producción
Si necesitas limitar el tamaño de los registros del proxy de autenticación de AlloyDB, configura la opción --verbose=false cuando inicies el proxy de autenticación de AlloyDB. Ten en cuenta que usar esta opción reduce la efectividad del resultado del proxy de autenticación de AlloyDB para diagnosticar problemas de conexión.
Lee el mensaje de ayuda del proxy de autenticación de AlloyDB
El proxy de autenticación de AlloyDB incluye muchas funciones adicionales y un mensaje de ayuda detallado. Ejecuta el comando ./alloydb-auth-proxy --help para descubrir opciones de configuración adicionales.
Interactúa con el equipo de desarrollo en GitHub
Si crees que encontraste un error o tienes una solicitud de función, puedes comunicarte con el equipo de desarrollo en el repositorio de GitHub de AlloyDB Auth Proxy.