Contrôler l'application forcée des connecteurs

Cette page explique comment sécuriser les connexions en obligeant les applications à se connecter aux instances AlloyDB pour PostgreSQL existantes uniquement via des connecteurs. Il fournit également des étapes pour supprimer cette application sur une instance. Pour savoir comment sécuriser les connexions lorsque vous créez une instance, consultez Créer l'instance principale.

Les instances AlloyDB acceptent les connexions sur deux ports TCP :

  • Port 5432, le port PostgreSQL par défaut que les applications utilisent pour se connecter directement à l'instance.

  • Le port 5433, que les connecteurs, y compris le proxy d'authentification AlloyDB, utilisent pour se connecter à l'instance.

En d'autres termes, les applications se connectent à un connecteur choisi sur l'hôte et le port sur lesquels elles s'exécutent. Ce connecteur communique ensuite avec votre instance AlloyDB sur le port 5433 de cette instance.

Appliquer des connecteurs sur une instance

Pour utiliser la gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur un cluster dans la colonne Nom de la ressource.
  3. Sur la page Présentation, accédez à la section Instances de votre cluster, puis cliquez sur Modifier le nœud principal.
  4. Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
  5. Sélectionnez Imposer l'authentification mTLS via des connecteurs AlloyDB.
  6. Cliquez sur Mettre à jour l'instance.

gcloud

Pour utiliser la gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

Utilisez la commande gcloud alloydb instances update avec l'indicateur --require-connectors pour appliquer une connexion sécurisée dans une instance AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --require-connectors

Remplacez les éléments suivants :

  • INSTANCE_ID : ID de l'instance que vous mettez à jour.
  • REGION_ID : région où se trouve l'instance.
  • CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
  • PROJECT_ID : ID du projet dans lequel le cluster est placé.

Si la commande renvoie un message d'erreur incluant l'expression invalid cluster state MAINTENANCE, cela signifie que le cluster fait l'objet d'une maintenance de routine. Cela empêche temporairement la reconfiguration de l'instance. Exécutez à nouveau la commande une fois que le cluster est revenu à l'état READY. Pour vérifier l'état du cluster, consultez Afficher les détails du cluster.

Désactiver l'application du connecteur sur une instance

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur un cluster dans la colonne Nom de la ressource.
  3. Sur la page Présentation, accédez à la section Instances de votre cluster, puis cliquez sur Modifier le nœud principal.
  4. Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
  5. Désélectionnez Imposer l'authentification mTLS via des connecteurs AlloyDB.
  6. Cliquez sur Mettre à jour l'instance.

gcloud

Exécutez la commande gcloud alloydb instances update avec l'option --no-require-connectors pour désactiver les connecteurs sur une instance AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --no-require-connectors

Remplacez les éléments suivants :

  • INSTANCE_ID : ID de l'instance que vous mettez à jour.
  • REGION_ID : région où se trouve l'instance.
  • CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
  • PROJECT_ID : ID du projet dans lequel le cluster est placé.

Étapes suivantes