Cette page explique comment sécuriser les connexions en forçant les applications à se connecter aux instances AlloyDB pour PostgreSQL existantes uniquement via des connecteurs. Elle explique également comment supprimer cette application sur une instance. Pour savoir comment sécuriser les connexions lorsque vous créez une instance, consultez Créer l'instance principale.
Les instances AlloyDB acceptent les connexions sur deux ports TCP :
Le port 5432, port PostgreSQL par défaut que les applications utilisent pour se connecter à l'instance. Si vous utilisez un pool de connexions géré, l'instance écoute également sur le port
6432les connexions au pool de connexions.Le port 5433, que les connecteurs, y compris le proxy d'authentification AlloyDB, utilisent pour se connecter à l'instance.
En d'autres termes, les applications se connectent à un connecteur choisi sur l'hôte et le port sur lesquels elles s'exécutent, puis ce connecteur communique avec votre instance AlloyDB sur le port 5433 de cette instance.
Appliquer des connecteurs sur une instance
Pour utiliser la gcloud CLI, vous pouvez installer et initialiser la Google Cloud CLI, ou vous pouvez utiliser Cloud Shell.
Console
- Accédez à la page Clusters.
- Cliquez sur un cluster dans la colonne Nom de la ressource.
- Sur la page Présentation, accédez à la section Instances dans votre cluster, puis cliquez sur Modifier l'instance principale.
- Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
- Sélectionnez Appliquer l'authentification mTLS via des connecteurs AlloyDB.
- Cliquez sur Mettre à jour l'instance.
gcloud
Pour utiliser la gcloud CLI, vous pouvez installer et initialiser la Google Cloud CLI, ou vous pouvez utiliser Cloud Shell.
Utilisez la gcloud alloydb instances update
commande avec l'indicateur --require-connectors pour appliquer une connexion sécurisée
dans une instance AlloyDB.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--require-connectorsRemplacez les éléments suivants :
- INSTANCE_ID : ID de l'instance que vous mettez à jour.
- REGION_ID : région dans laquelle l'instance est placée.
- CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
- PROJECT_ID : ID du projet dans lequel le cluster est placé.
Si la commande renvoie un message d'erreur incluant l'expression invalid cluster state MAINTENANCE, cela signifie que le cluster est en cours de maintenance de routine. Cela interdit temporairement la reconfiguration de l'instance. Exécutez à nouveau la commande une fois que le cluster est revenu à l'état READY. Pour vérifier l'état du cluster, consultez Afficher les détails du cluster.
Désactiver l'application de connecteur sur une instance
Console
- Accédez à la page Clusters.
- Cliquez sur un cluster dans la colonne Nom de la ressource.
- Sur la page Présentation, accédez à la section Instances dans votre cluster, puis cliquez sur Modifier l'instance principale.
- Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
- Décochez Appliquer l'authentification mTLS via des connecteurs AlloyDB.
- Cliquez sur Mettre à jour l'instance.
gcloud
Utilisez la gcloud alloydb instances update
commande avec l'indicateur --no-require-connectors pour désactiver les connecteurs sur une instance AlloyDB.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--no-require-connectorsRemplacez les éléments suivants :
- INSTANCE_ID : ID de l'instance que vous mettez à jour.
- REGION_ID : région dans laquelle l'instance est placée.
- CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
- PROJECT_ID : ID du projet dans lequel le cluster est placé.