Questa pagina elenca alcune best practice per l'utilizzo del proxy di autenticazione AlloyDB.
Mantieni aggiornato il client proxy di autenticazione
Google rilascia nuove versioni del proxy di autenticazione ogni mese. Puoi trovare la versione attuale controllando la pagina delle release di GitHub del proxy di autenticazione AlloyDB.
Utilizza l'automazione per aggiornare la versione di Auth Proxy e testare la nuova versione in ambienti non di produzione prima di promuovere la modifica alla produzione.
Esegui il client proxy di autenticazione come servizio persistente o sidecar
In produzione, devi eseguire il client Auth Proxy come servizio permanente o sidecar.
Se il processo client del proxy di autenticazione viene interrotto, tutte le connessioni esistenti tramite il proxy vengono interrotte e la tua applicazione non può creare altre connessioni all'istanza AlloyDB con il proxy di autenticazione AlloyDB. Per evitare questo scenario, esegui il client Auth Proxy come servizio permanente, in modo che se il client Auth Proxy viene chiuso per qualsiasi motivo, venga riavviato automaticamente.
A seconda di dove esegui il client, utilizza le seguenti opzioni:
- Per il client proxy di autenticazione in esecuzione su VM Linux, utilizza un servizio come
systemd,upstartosupervisor. - Per i carichi di lavoro Windows, esegui il client proxy di autenticazione come servizio Windows. Per saperne di più, consulta la Guida al servizio Windows.
- Per le configurazioni Kubernetes, esegui il client proxy di autenticazione come sidecar.
Esegui il client proxy di autenticazione sulla stessa macchina del tuo carico di lavoro
Il client Auth Proxy presuppone di essere eseguito sulla stessa macchina del carico di lavoro. Il traffico client verso il proxy di autenticazione non verrà criptato. Il traffico dal proxy di autenticazione ad AlloyDB viene criptato utilizzando mTLS.
Assicurati che qualsiasi client del proxy di autenticazione si trovi sulla stessa macchina in modo che nessun traffico non criptato esca dalla macchina. Il proxy di autenticazione AlloyDB deve trovarsi nella stessa posizione di un client che vuole accedere alla tua istanza AlloyDB.
Utilizzare un account di servizio distinto per ogni workload
Il proxy di autenticazione AlloyDB utilizza l'entità Identity and Access Management (IAM) dell'ambiente per creare un tunnel sicuro a un'istanza AlloyDB. Per seguire il principio del privilegio minimo, ogni carico di lavoro, ad esempio un'app web o un'app di elaborazione dati di backend, deve utilizzare un account di servizio distinto. L'utilizzo di un account di servizio distinto garantisce che le autorizzazioni di ogni workload possano essere gestite (o revocate) separatamente.
Non eseguire il deployment del proxy di autenticazione AlloyDB come collo di bottiglia
Potrebbe essere allettante eseguire il deployment del proxy di autenticazione AlloyDB su una VM condivisa e utilizzarlo per instradare tutto il traffico da una serie di carichi di lavoro all'istanza AlloyDB. Tuttavia, questo approccio non è sicuro e crea un unico punto di errore.
Quando più client finiscono per utilizzare la stessa entità IAM utilizzata dal proxy di autenticazione, diventa difficile identificare il workload che accede effettivamente all'istanza AlloyDB, rendendo questo approccio non sicuro.
Questo approccio crea un unico punto di errore perché se il proxy di autenticazione AlloyDB è sovraccarico di un picco di traffico, tutte le connessioni client ne risentiranno negativamente.
In alternativa, implementa un client Auth Proxy su ogni macchina che necessita di una connessione sicura come servizio sidecar o persistente.
Riduci l'output dei log del proxy di autenticazione AlloyDB per i deployment di produzione
Se devi limitare le dimensioni dei log del proxy di autenticazione AlloyDB, imposta l'opzione
--verbose=false quando avvii il proxy di autenticazione AlloyDB. Tieni presente che l'utilizzo di questa
opzione riduce l'efficacia dell'output del proxy di autenticazione AlloyDB nella diagnosi
dei problemi di connessione.
Leggi il messaggio di aiuto del proxy di autenticazione AlloyDB
Il proxy di autenticazione AlloyDB include molte funzionalità aggiuntive e un messaggio di aiuto dettagliato. Esegui il comando ./alloydb-auth-proxy --help per
scoprire altre opzioni di configurazione.
Interagisci con il team di sviluppo su GitHub
Se ritieni di aver trovato un bug o hai una richiesta di funzionalità, puoi interagire con il team di sviluppo nel repository GitHub di AlloyDB Auth Proxy.