Auf dieser Seite werden einige Best Practices für die Verwendung des AlloyDB Auth-Proxys aufgeführt.
Auth-Proxy-Client auf dem neuesten Stand halten
Google veröffentlicht monatlich neue Versionen des Auth-Proxys. Die aktuelle Version finden Sie auf der GitHub-Seite mit den Releases des AlloyDB Auth-Proxys.
Verwenden Sie die Automatisierung, um die Auth-Proxy-Version zu aktualisieren und die neue Version in Nicht-Produktionsumgebungen zu testen, bevor Sie die Änderung in die Produktion übertragen.
Auth-Proxy-Client als persistenten Dienst oder Sidecar ausführen
In der Produktion sollten Sie den Auth-Proxy-Client als persistenten Dienst oder Sidecar ausführen.
Wenn der Auth-Proxy-Clientprozess beendet wird, werden alle darüber hergestellten Verbindungen ebenfalls beendet. Außerdem kann die Anwendung dann keine weiteren Verbindungen mit der AlloyDB-Instanz über den AlloyDB Auth-Proxy herstellen. Achten Sie darauf, dass der Auth-Proxy-Client als persistenter Dienst ausgeführt wird, um dieses Szenario zu vermeiden. Wenn der Auth-Proxy-Client dann aus irgendeinem Grund beendet wird, erfolgt automatisch ein Neustart.
Je nachdem, wo Sie den Client ausführen, haben Sie folgende Möglichkeiten:
- Verwenden Sie für den Auth-Proxy-Client, der auf Linux-VMs ausgeführt wird, einen Dienst wie
systemd,upstartodersupervisor. - Führen Sie für Windows-Arbeitslasten den Auth-Proxy-Client als Windows-Dienst aus. Weitere Informationen finden Sie im Windows Service Guide.
- Bei Kubernetes-Einrichtungen führen Sie den Auth-Proxy-Client als Sidecar aus.
Auth-Proxy-Client auf demselben Computer wie Ihre Arbeitslast ausführen
Der Auth-Proxy-Client geht davon aus, dass er auf demselben Computer wie die Arbeitslast ausgeführt wird. Der gesamte Client-Traffic zum Auth-Proxy ist unverschlüsselt. Der Traffic vom Auth-Proxy zu AlloyDB wird mit mTLS verschlüsselt.
Achten Sie darauf, dass sich alle Clients des Auth-Proxys auf demselben Computer befinden, damit kein unverschlüsselter Traffic den Computer verlässt. Der AlloyDB Auth-Proxy sollte sich am selben Ort wie ein Client befinden, der auf Ihre AlloyDB-Instanz zugreifen möchte.
Für jede Arbeitslast ein eigenes Dienstkonto verwenden
Der AlloyDB Auth-Proxy verwendet das IAM-Hauptkonto (Identity and Access Management) der Umgebung, um einen sicheren Tunnel zu einer AlloyDB-Instanz zu erstellen. Um das Prinzip der geringsten Berechtigung zu befolgen, muss für jede Arbeitslast, z. B. eine Web-App oder eine Backend-App zur Datenverarbeitung, ein separates Dienstkonto verwendet werden. Durch die Verwendung eines separaten Dienstkontos kann die Berechtigung jeder Arbeitslast separat verwaltet oder widerrufen werden.
AlloyDB Auth-Proxy nicht als Engpass bereitstellen
Es kann verlockend sein, den AlloyDB Auth-Proxy auf einer freigegebenen VM bereitzustellen und damit den gesamten Traffic von mehreren Arbeitslasten zu Ihrer AlloyDB-Instanz weiterzuleiten. Dieser Ansatz ist jedoch unsicher und führt zu einem Single Point of Failure.
Wenn mehrere Clients dasselbe IAM-Hauptkonto verwenden, das auch der Auth-Proxy verwendet, ist es schwierig, die Workload zu identifizieren, die tatsächlich auf Ihre AlloyDB-Instanz zugreift. Daher ist dieser Ansatz unsicher.
Bei diesem Ansatz entsteht ein Single Point of Failure, da alle Clientverbindungen beeinträchtigt werden, wenn der AlloyDB Auth-Proxy durch einen Traffic-Burst überlastet wird.
Stattdessen stellen Sie einen Auth-Proxy-Client auf jedem Computer bereit, der eine sichere Verbindung benötigt, entweder als Sidecar oder als persistenter Dienst.
Protokollausgabe des AlloyDB Auth-Proxys für Produktionsbereitstellungen reduzieren
Wenn Sie die Größe der AlloyDB Auth-Proxylogs begrenzen möchten, legen Sie die Option --verbose=false beim Starten des AlloyDB Auth-Proxys fest. Beachten Sie, dass die Effizienz der AlloyDB Auth-Proxyausgabe bei der Diagnose von Verbindungsproblemen durch die Verwendung dieser Option verringert wird.
Hilfemeldung zum AlloyDB Auth-Proxy lesen
Der AlloyDB Auth-Proxy bietet viele zusätzliche Funktionen und enthält eine ausführliche Hilfemeldung mit Details. Führen Sie den Befehl ./alloydb-auth-proxy --help aus, um weitere Konfigurationsoptionen zu ermitteln.
Mit dem Entwicklungsteam auf GitHub interagieren
Wenn Sie der Meinung sind, dass Sie einen Fehler gefunden haben, oder eine Funktionsanfrage haben, können Sie sich im GitHub-Repository von AlloyDB Auth Proxy an das Entwicklungsteam wenden.