Auf dieser Seite wird beschrieben, wie Sie Verbindungen sichern, indem Sie erzwingen, dass Anwendungen nur über Connectors eine Verbindung zu vorhandenen AlloyDB for PostgreSQL-Instanzen herstellen. Außerdem wird beschrieben, wie Sie diese Erzwingung für eine Instanz entfernen. Informationen zum Sichern von Verbindungen beim Erstellen einer Instanz finden Sie unter Primäre Instanz erstellen.
AlloyDB-Instanzen akzeptieren Verbindungen über zwei TCP-Ports:
Port 5432, der PostgreSQL-Standardport, über den Anwendungen eine direkte Verbindung zur Instanz herstellen.
Port 5433, über den Connectors, einschließlich des AlloyDB Auth-Proxys, eine Verbindung zur Instanz herstellen.
Mit anderen Worten: Anwendungen stellen eine Verbindung zu einem ausgewählten Connector auf dem Host und Port her, auf dem sie ausgeführt werden. Dieser Connector kommuniziert dann mit Ihrer AlloyDB-Instanz über den Port 5433 dieser Instanz.
Connectors für eine Instanz erzwingen
Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.
Console
- Zur Clusterseite.
- Klicken Sie in der Spalte Ressourcenname auf einen Cluster.
- Gehen Sie auf der Seite Übersicht zum Abschnitt Instanzen in Ihrem Cluster und klicken Sie auf Primäre bearbeiten.
- Maximieren Sie im Bereich Primäre Instanz bearbeiten die Option Erweiterte Konfigurationsoptionen.
- Wählen Sie mTLS über AlloyDB-Connectors erzwingen aus.
- Klicken Sie auf Instanz aktualisieren.
gcloud
Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.
Verwenden Sie den Befehl gcloud alloydb instances update mit dem Flag --require-connectors, um eine sichere Verbindung in einer AlloyDB-Instanz zu erzwingen.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--require-connectorsErsetzen Sie Folgendes:
- INSTANCE_ID: Die ID der Instanz, die Sie aktualisieren.
- REGION_ID: Die Region, in der sich die Instanz befindet.
- CLUSTER_ID: Die ID des Clusters, in dem sich die Instanz befindet.
- PROJECT_ID: Die ID des Projekts, in dem sich der Cluster befindet.
Wenn der Befehl eine Fehlermeldung zurückgibt, die den Ausdruck invalid cluster state MAINTENANCE enthält, wird der Cluster routinemäßig gewartet. Dadurch wird die Neukonfiguration der Instanz vorübergehend verhindert. Führen Sie den Befehl noch einmal aus, nachdem der Cluster wieder den Status READY erreicht hat. Informationen zum Prüfen des Clusterstatus finden Sie unter Clusterdetails ansehen.
Connector-Erzwingung für eine Instanz deaktivieren
Console
- Zur Clusterseite.
- Klicken Sie in der Spalte Ressourcenname auf einen Cluster.
- Gehen Sie auf der Seite Übersicht zum Abschnitt Instanzen in Ihrem Cluster und klicken Sie auf Primäre bearbeiten.
- Maximieren Sie im Bereich Primäre Instanz bearbeiten die Option Erweiterte Konfigurationsoptionen.
- Deaktivieren Sie mTLS über AlloyDB-Connectors erzwingen.
- Klicken Sie auf Instanz aktualisieren.
gcloud
Verwenden Sie den Befehl gcloud alloydb instances update mit dem Flag --no-require-connectors, um Connectors für eine AlloyDB-Instanz zu deaktivieren.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--no-require-connectorsErsetzen Sie Folgendes:
- INSTANCE_ID: Die ID der Instanz, die Sie aktualisieren.
- REGION_ID: Die Region, in der sich die Instanz befindet.
- CLUSTER_ID: Die ID des Clusters, in dem sich die Instanz befindet.
- PROJECT_ID: Die ID des Projekts, in dem sich der Cluster befindet.