本頁面說明如何強制應用程式只能透過連接器連線至現有的 PostgreSQL 適用的 AlloyDB 執行個體,確保連線安全。此外,本文也提供步驟,說明如何移除執行個體上的這項強制執行措施。如要瞭解如何在建立執行個體時保護連線安全,請參閱「建立主要執行個體」。
AlloyDB 執行個體會接受兩個 TCP 通訊埠的連線:
通訊埠 5432,這是應用程式用來直接連線至執行個體的預設 PostgreSQL 通訊埠。
通訊埠 5433,連接器 (包括 AlloyDB Auth Proxy) 會使用這個通訊埠連線至執行個體。
換句話說,應用程式會連線至主機上所選的連接器和執行所在的通訊埠,然後該連接器會透過執行個體的通訊埠 5433 與 AlloyDB 執行個體通訊。
在執行個體上強制執行連接器
如要使用 gcloud CLI,可以安裝並初始化 Google Cloud CLI,也可以使用 Cloud Shell。
控制台
- 前往「Clusters」(叢集) 頁面。
- 按一下「資源名稱」欄中的叢集。
- 在「總覽」頁面中,前往「叢集中的執行個體」部分,然後按一下「編輯主要」。
- 在「編輯主要執行個體」窗格中,展開「進階設定選項」。
- 選取「強制透過 AlloyDB 連接器採用 mTLS」。
- 按一下「更新執行個體」。
gcloud
如要使用 gcloud CLI,可以安裝並初始化 Google Cloud CLI,也可以使用 Cloud Shell。
搭配 --require-connectors 旗標使用 gcloud alloydb instances update 指令,在 AlloyDB 執行個體中強制執行安全連線。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--require-connectors更改下列內容:
- INSTANCE_ID:要更新的執行個體 ID。
- REGION_ID:執行個體所在的區域。
- CLUSTER_ID:執行個體所在叢集的 ID。
- PROJECT_ID:叢集所在的專案 ID。
如果指令傳回的錯誤訊息包含「invalid cluster state MAINTENANCE」字串,表示叢集正在進行例行維護。這會暫時禁止重新設定執行個體。叢集恢復 READY 狀態後,請再次執行指令。如要查看叢集狀態,請參閱「查看叢集詳細資料」。
在執行個體上停用強制使用連接器功能
控制台
- 前往「Clusters」(叢集) 頁面。
- 按一下「資源名稱」欄中的叢集。
- 在「總覽」頁面中,前往「叢集中的執行個體」部分,然後按一下「編輯主要」。
- 在「編輯主要執行個體」窗格中,展開「進階設定選項」。
- 清除「強制透過 AlloyDB 連接器採用 mTLS」。
- 按一下「更新執行個體」。
gcloud
使用 gcloud alloydb instances update 指令搭配 --no-require-connectors 旗標,在 AlloyDB 執行個體上停用連接器。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--no-require-connectors更改下列內容:
- INSTANCE_ID:要更新的執行個體 ID。
- REGION_ID:執行個體所在的區域。
- CLUSTER_ID:執行個體所在叢集的 ID。
- PROJECT_ID:叢集所在的專案 ID。