Esta página apresenta algumas práticas recomendadas para usar o AlloyDB Auth Proxy.
Mantenha o cliente do proxy Auth atualizado
A Google lança novas versões do proxy de autorização mensalmente. Pode encontrar a versão atual na página AlloyDB Auth Proxy GitHub releases.
Use a automatização para atualizar a versão do proxy de autorização e testar a nova versão em ambientes de não produção antes de promover a alteração para produção.
Execute o cliente do proxy de autorização como um serviço persistente ou um sidecar
Em produção, deve executar o cliente do proxy de autorização como um serviço persistente ou um sidecar.
Se o processo do cliente do proxy de autorização for parado,todas as ligações existentes através dele são terminadas, e a sua aplicação não pode criar mais ligações à instância do AlloyDB com o proxy de autorização do AlloyDB. Para evitar este cenário, execute o cliente do proxy de autenticação como um serviço persistente. Deste modo, se o cliente do proxy de autenticação for terminado por qualquer motivo, é reiniciado automaticamente.
Com base no local onde está a executar o cliente, use as seguintes opções:
- Para o cliente do Proxy Auth executado em VMs do Linux, use um serviço como o
systemd, oupstartou osupervisor. - Para cargas de trabalho do Windows, execute o cliente do proxy de autorização como um serviço do Windows. Consulte o guia de serviços do Windows para mais informações.
- Para configurações do Kubernetes, execute o cliente do proxy de autorização como um sidecar.
Execute o cliente do proxy de autorização na mesma máquina que a sua carga de trabalho
O cliente do proxy de autorização pressupõe que é executado na mesma máquina que a carga de trabalho. Todo o tráfego de clientes para o proxy de autorização não é encriptado. O tráfego do proxy de autorização para o AlloyDB é encriptado através do mTLS.
Certifique-se de que qualquer cliente do proxy de autorização está localizado na mesma máquina para que nenhum tráfego não encriptado saia da máquina. O proxy Auth do AlloyDB deve estar localizado juntamente com um cliente que queira aceder à sua instância do AlloyDB.
Use uma conta de serviço distinta para cada carga de trabalho
O proxy de autenticação do AlloyDB usa o principal do IAM do ambiente para criar um túnel seguro para uma instância do AlloyDB. Para seguir o princípio do menor privilégio, cada carga de trabalho, como uma app Web ou uma app de processamento de dados de back-end, tem de usar uma conta de serviço distinta. A utilização de uma conta de serviço distinta garante que as autorizações de cada carga de trabalho podem ser geridas (ou revogadas) separadamente.
Não implemente o proxy Auth do AlloyDB como um gargalo
Pode ser tentador implementar o AlloyDB Auth Proxy numa VM partilhada e usá-lo para encaminhar todo o tráfego de várias cargas de trabalho para a sua instância do AlloyDB. No entanto, esta abordagem é insegura e cria um único ponto de falha.
Como vários clientes acabam por usar o mesmo principal do IAM que o Auth Proxy usa, torna-se difícil identificar a carga de trabalho que está realmente a aceder à sua instância do AlloyDB, o que torna esta abordagem insegura.
Esta abordagem cria um único ponto de falha porque, se o AlloyDB Auth Proxy estiver sobrecarregado com um pico de tráfego, todas as ligações de cliente serão afetadas negativamente.
Em alternativa, implemente um cliente de proxy de autenticação em cada máquina que precise de uma ligação segura como um componente complementar de um serviço persistente.
Reduza o resultado do registo do AlloyDB Auth Proxy para implementações de produção
Se precisar de limitar o tamanho dos registos do AlloyDB Auth Proxy, defina a opção --verbose=false quando iniciar o AlloyDB Auth Proxy. Tenha em atenção que a utilização desta opção reduz a eficácia da saída do proxy de autorização do AlloyDB no diagnóstico de problemas de ligação.
Leia a mensagem de ajuda do proxy Auth do AlloyDB
O AlloyDB Auth Proxy inclui muitas funcionalidades adicionais e uma mensagem de ajuda detalhada. Execute o comando ./alloydb-auth-proxy --help para descobrir opções de configuração adicionais.
Interaja com a equipa de desenvolvimento no GitHub
Se considerar que encontrou um erro ou tiver um pedido de funcionalidade, pode interagir com a equipa de desenvolvimento no repositório do GitHub do AlloyDB Auth Proxy.