הגדרת מצב אכיפה של SSL במכונות AlloyDB

בדף הזה מוסבר איך להגדיר את מצב האכיפה של SSL במכונות AlloyDB ל-PostgreSQL.

כברירת מחדל, מופע AlloyDB מקבל רק חיבורים באמצעות SSL.

‫AlloyDB משתמש ב-SSL כדי ליצור חיבורים מאובטחים, מאומתים ומוצפנים למופעי AlloyDB. בנוסף, מצב אכיפה של SSL שניתן להגדרה מבטיח שכל החיבורים למסד נתונים של מופע ישתמשו בהצפנת SSL.

במאמר הזה מוסבר איך להגדיר את מצב האכיפה של SSL במופע קיים. מידע על הגדרת מצב האכיפה של SSL כשיוצרים מופע זמין במאמר בנושא יצירת מופע ראשי.

לפני שמתחילים

  • Google Cloud בפרויקט שבו אתם משתמשים צריך להיות מופעלת גישה ל-AlloyDB.
  • צריך להיות לכם אחד מתפקידי ה-IAM האלה בפרויקט Google Cloud שבו אתם משתמשים:
    • roles/alloydb.admin (תפקיד IAM מוגדר מראש של אדמין AlloyDB)
    • roles/owner (תפקיד בסיסי ב-IAM מסוג בעלים)
    • roles/editor (תפקיד בסיסי ב-IAM עם הרשאת עריכה)

    אם לא הוקצו לכם התפקידים האלה, פנו לאדמין הארגוני כדי לבקש גישה.

הגדרת מצב אכיפת SSL במופע

כדי להשתמש ב-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

המסוף

  1. עוברים לדף Clusters.

    כניסה לדף Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.
  3. בדף סקירה כללית, עוברים לקטע Instances in your cluster (מופעים באשכול) ולוחצים על Edit primary (עריכת הראשי).
  4. בחלונית Edit primary instance (עריכת המופע הראשי), מרחיבים את Advanced configuration options (אפשרויות מתקדמות להגדרה).
  5. מפעילים את האפשרות מתן הרשאה לחיבורי SSL בלבד. האפשרות הזו מופעלת כברירת מחדל.
  6. לוחצים על עדכון המופע.

gcloud

משתמשים בפקודה gcloud alloydb instances update עם הארגומנט --ssl-mode=ENCRYPTED_ONLY כדי לאפשר רק חיבורים מוצפנים למסד נתונים למופע AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שרוצים לעדכן.
  • REGION_ID: האזור שבו המכונה ממוקמת.
  • CLUSTER_ID: המזהה של האשכול שבו נמצאת המכונה.
  • PROJECT_ID: מזהה הפרויקט שבו נמצא האשכול.

כדי לאפשר חיבורים לא מוצפנים למסד נתונים במכונה, משתמשים בפקודה gcloud alloydb instances update עם הארגומנט --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

אם הפקודה מחזירה הודעת שגיאה שכוללת את הביטוי invalid cluster state MAINTENANCE, המשמעות היא שמתבצעת תחזוקה שגרתית של האשכול. הפעולה הזו תמנע באופן זמני את ההגדרה מחדש של המופע. מריצים את הפקודה שוב אחרי שהאשכול חוזר למצב READY. כדי לבדוק את הסטטוס של האשכול, אפשר לעיין במאמר בנושא הצגת פרטי האשכול.