שליטה באכיפה של מחברים

בדף הזה מוסבר איך לאכוף על אפליקציות להתחבר למכונות קיימות של AlloyDB ל-PostgreSQL רק באמצעות מחברים, כדי לאבטח את החיבורים. בנוסף, הוא כולל שלבים להסרת האכיפה הזו במופע. מידע על אבטחת חיבורים כשיוצרים מופע זמין במאמר בנושא יצירת המופע הראשי.

מופעי AlloyDB מקבלים חיבורים בשתי יציאות TCP:

  • יציאה 5432, יציאת ברירת המחדל של PostgreSQL שאפליקציות משתמשות בה כדי להתחבר למופע. אם אתם משתמשים בניהול מאגר חיבורים, המופע גם מאזין ביציאה 6432 לחיבורים למאגר החיבורים.

  • יציאה 5433, שמשמשת מחברים, כולל AlloyDB Auth Proxy, כדי להתחבר למופע.

במילים אחרות, האפליקציות מתחברות למחבר שנבחר במארח וביציאה שהן פועלות בהם, ואז המחבר הזה מתקשר עם מופע AlloyDB ביציאה 5433 של המופע הזה.

אכיפת מחברים במכונה

כדי להשתמש ב-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

המסוף

  1. עוברים לדף Clusters.

    כניסה לדף Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.
  3. בדף סקירה כללית, עוברים לקטע Instances in your cluster (מופעים באשכול) ולוחצים על Edit primary (עריכת הראשי).
  4. בחלונית Edit primary instance (עריכת המופע הראשי), מרחיבים את Advanced configuration options (אפשרויות מתקדמות להגדרה).
  5. בוחרים באפשרות Enforce mTLS via AlloyDB connectors (אכיפת mTLS באמצעות מחברי AlloyDB).
  6. לוחצים על עדכון המופע.

gcloud

כדי להשתמש ב-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

משתמשים בפקודה gcloud alloydb instances update עם הדגל --require-connectors כדי לאכוף חיבור מאובטח במופע AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --require-connectors

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שרוצים לעדכן.
  • REGION_ID: האזור שבו המכונה ממוקמת.
  • CLUSTER_ID: המזהה של האשכול שבו נמצאת המכונה.
  • PROJECT_ID: מזהה הפרויקט שבו נמצא האשכול.

אם הפקודה מחזירה הודעת שגיאה שכוללת את הביטוי invalid cluster state MAINTENANCE, המשמעות היא שמתבצעת תחזוקה שגרתית של האשכול. הפעולה הזו תמנע באופן זמני את ההגדרה מחדש של המופע. מריצים את הפקודה שוב אחרי שהאשכול חוזר למצב READY. כדי לבדוק את הסטטוס של האשכול, אפשר לעיין במאמר בנושא הצגת פרטי האשכול.

השבתת האכיפה של המחבר במופע

המסוף

  1. עוברים לדף Clusters.

    כניסה לדף Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.
  3. בדף סקירה כללית, עוברים לקטע Instances in your cluster (מופעים באשכול) ולוחצים על Edit primary (עריכת הראשי).
  4. בחלונית Edit primary instance (עריכת המופע הראשי), מרחיבים את Advanced configuration options (אפשרויות מתקדמות להגדרה).
  5. מבטלים את הסימון של Enforce mTLS via AlloyDB connectors (אכיפת mTLS באמצעות מחברי AlloyDB).
  6. לוחצים על עדכון המופע.

gcloud

משתמשים בפקודה gcloud alloydb instances update עם הדגל --no-require-connectors כדי להשבית מחברים במופע AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --no-require-connectors

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שרוצים לעדכן.
  • REGION_ID: האזור שבו המכונה ממוקמת.
  • CLUSTER_ID: המזהה של האשכול שבו נמצאת המכונה.
  • PROJECT_ID: מזהה הפרויקט שבו נמצא האשכול.

המאמרים הבאים