Controllare l'applicazione del connettore

Questa pagina descrive come proteggere le connessioni applicando l'obbligo per le applicazioni di connettersi alle istanze AlloyDB per PostgreSQL esistenti solo tramite i connettori. Fornisce inoltre i passaggi per rimuovere questo obbligo su un'istanza. Per informazioni su come proteggere le connessioni quando crei un'istanza, vedi Creare l'istanza principale.

Le istanze AlloyDB accettano connessioni su due porte TCP:

  • Porta 5432, la porta PostgreSQL predefinita che le applicazioni utilizzano per connettersi all'istanza. Se utilizzi il pooling di connessioni gestito, l'istanza è in ascolto anche sulla porta 6432 per le connessioni al pool di connessioni.

  • Porta 5433, che i connettori, incluso il proxy di autenticazione AlloyDB, utilizzano per connettersi all'istanza.

In altre parole, le applicazioni si connettono a un connettore scelto sull'host e sulla porta su cui vengono eseguite, quindi il connettore comunica con l'istanza AlloyDB sulla porta 5433 dell'istanza.

Applicare l'obbligo dei connettori su un'istanza

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure puoi utilizzare Cloud Shell.

Console

  1. Vai alla pagina Cluster.

    Vai a Cluster

  2. Fai clic su un cluster nella colonna Nome risorsa.
  3. Nella pagina Panoramica , vai alla sezione Istanze nel cluster e fai clic su Modifica principale.
  4. Nel riquadro Modifica istanza principale, espandi Opzioni di configurazione avanzate.
  5. Seleziona Applica mTLS tramite i connettori AlloyDB.
  6. Fai clic su Aggiorna istanza.

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure puoi utilizzare Cloud Shell.

Utilizza il gcloud alloydb instances update comando con il flag --require-connectors per applicare l'obbligo di una connessione sicura in un'istanza AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --require-connectors

Sostituisci quanto segue:

  • INSTANCE_ID: l'ID dell'istanza che stai aggiornando.
  • REGION_ID: la regione in cui si trova l'istanza.
  • CLUSTER_ID: l'ID del cluster in cui si trova l'istanza.
  • PROJECT_ID: l'ID del progetto in cui si trova il cluster.

Se il comando restituisce un messaggio di errore che include la frase invalid cluster state MAINTENANCE, significa che il cluster è in fase di manutenzione di routine. Ciò impedisce temporaneamente la riconfigurazione dell'istanza. Esegui di nuovo il comando dopo che il cluster torna allo stato READY. Per controllare lo stato del cluster, vedi Visualizzare i dettagli del cluster.

Disattivare l'obbligo dei connettori su un'istanza

Console

  1. Vai alla pagina Cluster.

    Vai a Cluster

  2. Fai clic su un cluster nella colonna Nome risorsa.
  3. Nella pagina Panoramica , vai alla sezione Istanze nel cluster e fai clic su Modifica principale.
  4. Nel riquadro Modifica istanza principale, espandi Opzioni di configurazione avanzate.
  5. Deseleziona Applica mTLS tramite i connettori AlloyDB.
  6. Fai clic su Aggiorna istanza.

gcloud

Utilizza il gcloud alloydb instances update comando con il --no-require-connectors flag per disattivare i connettori su un'istanza AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --no-require-connectors

Sostituisci quanto segue:

  • INSTANCE_ID: l'ID dell'istanza che stai aggiornando.
  • REGION_ID: la regione in cui si trova l'istanza.
  • CLUSTER_ID: l'ID del cluster in cui si trova l'istanza.
  • PROJECT_ID: l'ID del progetto in cui si trova il cluster.

Passaggi successivi