Configure o modo de aplicação de SSL em instâncias do AlloyDB

Esta página mostra como configurar o modo de aplicação de SSL em instâncias do AlloyDB para PostgreSQL.

Por predefinição, uma instância do AlloyDB só aceita ligações através de SSL.

O AlloyDB usa SSL para estabelecer ligações seguras, autenticadas e encriptadas a instâncias do AlloyDB. Além disso, um modo de aplicação de SSL configurável garante que todas as ligações à base de dados a uma instância usam encriptação SSL.

Este tópico aborda a forma de configurar o modo de aplicação de SSL numa instância existente. Para obter informações sobre como configurar o modo de aplicação do SSL quando cria uma instância, consulte o artigo Crie uma instância principal.

Antes de começar

  • O Google Cloud projeto que está a usar tem de ter sido ativado para aceder ao AlloyDB.
  • Tem de ter uma destas funções de IAM no Google Cloud projeto que está a usar:
    • roles/alloydb.admin (a função IAM predefinida de administrador do AlloyDB)
    • roles/owner (a função de IAM básica de proprietário)
    • roles/editor (a função de IAM básica de editor)

    Se não tiver nenhuma destas funções, contacte o administrador organizacional para pedir acesso.

Configure o modo de aplicação de SSL numa instância

Para usar a CLI gcloud, pode instalar e inicializar a CLI Google Cloud ou usar a Cloud Shell.

Consola

  1. Aceda à página Clusters.

    Aceda a Clusters

  2. Clique num cluster na coluna Nome do recurso.
  3. Na página Vista geral, aceda à secção Instâncias no cluster e clique em Editar principal.
  4. No painel Editar instância principal, expanda Opções de configuração avançadas.
  5. Ative a opção Permitir apenas ligações SSL. Por predefinição, esta opção está ativada.
  6. Clique em Atualizar instância.

gcloud

Use o comando gcloud alloydb instances update com o argumento --ssl-mode=ENCRYPTED_ONLY para permitir apenas ligações de base de dados encriptadas a uma instância do AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Substitua o seguinte:

  • INSTANCE_ID: o ID da instância que está a atualizar.
  • REGION_ID: a região onde a instância está localizada.
  • CLUSTER_ID: o ID do cluster onde a instância está colocada.
  • PROJECT_ID: o ID do projeto onde o cluster está colocado.

Para permitir ligações à base de dados não encriptadas a uma instância, use o comando gcloud alloydb instances update com o argumento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se o comando devolver uma mensagem de erro que inclua a expressão invalid cluster state MAINTENANCE, significa que o cluster está a passar por manutenção de rotina. Isto impede temporariamente a reconfiguração da instância. Execute o comando novamente depois de o cluster voltar ao estado READY. Para verificar o estado do cluster, consulte o artigo Ver detalhes do cluster.