En esta página, se documenta la versión 17.5.0 de AlloyDB Omni con la opción de implementación de Kubernetes. Elige otra opción de implementación.

Descripción general de la conexión de AlloyDB Omni en Kubernetes

En esta descripción general, se describen las configuraciones críticas de conexión y acceso para las bases de datos de AlloyDB Omni implementadas en un clúster de Kubernetes, y se detalla cómo establecer una conectividad flexible y segura. La conexión incluye las siguientes áreas:

Redes: Aprende a configurar clústeres de bases de datos de AlloyDB Omni para el acceso interno con un servicio ClusterIP de Kubernetes o el acceso externo con un LoadBalancer, incluido cómo restringir el tráfico externo con rangos de enrutamiento entre dominios sin clases (CIDR) de origen.
Reducción de conexión: Usa el recurso personalizado PgBouncer para implementar la reducción de conexión y lograr una administración eficiente de las conexiones y una carga reducida en las instancias de bases de datos.
Autenticación y autorización: Acceso seguro con métodos compatibles, como la integración basada en contraseñas y Active Directory/Kerberos, junto con un control detallado implementado a través de políticas de red de Kubernetes y roles de PostgreSQL.

Redes

Puedes configurar clústeres de bases de datos de AlloyDB Omni, administrados por el recurso personalizado DBCluster, para el acceso interno o externo.

Para obtener más detalles sobre las opciones de redes de DBCluster, consulta la referencia de CRD de DBCluster.

Conectividad interna

De forma predeterminada, las instancias de AlloyDB Omni se exponen con un servicio ClusterIP de Kubernetes. Esto garantiza que solo se pueda acceder a las instancias desde otras aplicaciones que se ejecutan en el mismo clúster de Kubernetes. Puedes encontrar el extremo de la instancia principal en el estado DBCluster.

Conectividad externa

Para permitir conexiones desde fuera del clúster de Kubernetes, actualiza la especificación DBCluster:

Habilita el tráfico externo: Establece spec.allowExternalIncomingTraffic: true, que suele aprovisionar un Service LoadBalancer.
Implementa un control detallado: Usa spec.primarySpec.dbLoadBalancerOptions. Por ejemplo, en Google Cloud, configura gcp.loadBalancerType: "External" para obtener una dirección IP accesible desde Internet pública.

Restringe el acceso

Para proteger las conexiones externas, usa spec.primarySpec.sourceCidrRanges para definir una lista de rangos de CIDR permitidos. El sistema bloquea las conexiones que se originan en direcciones IP fuera de estos rangos.

Agrupación de conexiones con PgBouncer

Para administrar las conexiones de manera eficiente y reducir la carga de la instancia, usa PgBouncer. El operador de AlloyDB Omni proporciona un recurso personalizado (CR) de PgBouncer para simplificar esta operación.

Para obtener detalles completos sobre la configuración de PgBouncer, consulta la Referencia de CRD de PgBouncer.

Implementación y configuración

Crea un recurso PgBouncer y haz referencia a tu clúster de base de datos en spec.dbclusterRef. Los parámetros clave en spec.parameters incluyen los siguientes:

pool_mode: Determina cuándo se reutilizan las conexiones (session, transaction o statement).
default_pool_size: Son las conexiones del servidor por usuario y base de datos.
max_client_conn: Es la cantidad máxima de conexiones de clientes permitidas.
max_db_connections: Es la cantidad máxima de conexiones abiertas a la instancia de AlloyDB Omni.

Cómo exponer PgBouncer

Usa spec.serviceOptions.type para controlar la visibilidad.

ClusterIP: Solo acceso interno al clúster.
LoadBalancer: Acceso externo. Puedes restringir esto con spec.serviceOptions.loadBalancerSourceRanges usando bloques CIDR.

Autenticación y autorización

AlloyDB Omni admite varios métodos para verificar identidades y controlar el acceso.

Métodos de autenticación

Basada en contraseña: Es la autenticación estándar de nombre de usuario y contraseña de PostgreSQL. Por lo general, la contraseña del administrador se proporciona con un secreto de Kubernetes, como se muestra en el ejemplo completo de DBCluster.
Active Directory y Kerberos: Se administran con el CR UserDefinedAuthentication. Esto admite la sincronización de grupos de GSSAPI y LDAP con lo siguiente:
- spec.keytabSecretRef: Para keytabs de Kerberos.
- spec.ldapConfiguration: Para la asignación de grupos y la configuración de LDAP
- spec.pgHbaEntries: Para configurar reglas de pg_hba.conf, por ejemplo, gss o ldap
Para obtener más información, consulta la referencia de CRD de UserDefinedAuthentication.
Basada en certificados (planificada): Se planea incluir compatibilidad con la autenticación de certificados TLS sin contraseña en una versión futura.

Autorización y control de acceso

Políticas de red de Kubernetes: Definen reglas a nivel del Pod para proteger el tráfico entre las aplicaciones y los Pods de AlloyDB Omni o PgBouncer.
Rangos de CIDR de origen: Restringen el tráfico a nivel de LoadBalancer.
Roles de PostgreSQL: Usan roles y privilegios de base de datos estándar para administrar los permisos de los usuarios después de que se autentican.

¿Qué sigue?

Revisa la Referencia de CRD de DBCluster para ver todas las opciones de configuración.
Aprende a implementar la agrupación de conexiones con la referencia de CRD de PgBouncer.
Consulta la integración de Active Directory en la Referencia de CRD de UserDefinedAuthentication.
Consulta un ejemplo completo en el ejemplo completo de DBCluster.
Consulta la documentación de Kubernetes sobre las políticas de red.

Descripción general de la conexión de AlloyDB Omni en Kubernetes Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.