Questa pagina documenta la versione 17.5.0 di AlloyDB Omni utilizzando l'opzione di deployment Kubernetes. Scegli un'altra opzione di implementazione.

Panoramica della connessione di AlloyDB Omni su Kubernetes

Questa panoramica descrive le configurazioni critiche di connessione e accesso per i database AlloyDB Omni di cui è stato eseguito il deployment su un cluster Kubernetes e spiega in dettaglio come stabilire una connettività flessibile e sicura. La connessione include le seguenti aree:

Networking:scopri come configurare i cluster di database AlloyDB Omni per l'accesso interno utilizzando un servizio Kubernetes ClusterIP o l'accesso esterno utilizzando un LoadBalancer, incluso come limitare il traffico esterno utilizzando intervalli Classless Inter-Domain Routing (CIDR) di origine.
Pool di connessioni:utilizza la risorsa personalizzata PgBouncer per implementare il pool di connessioni per una gestione efficiente delle connessioni e un carico ridotto sulle istanze di database.
Autenticazione e autorizzazione:accesso sicuro utilizzando metodi supportati come l'integrazione basata su password e Active Directory/Kerberos, insieme al controllo granulare implementato tramite i criteri di rete Kubernetes e i ruoli PostgreSQL.

Networking

Puoi configurare i cluster di database AlloyDB Omni, gestiti dalla risorsa personalizzata DBCluster, per l'accesso interno o esterno.

Per maggiori dettagli sulle opzioni di networking di DBCluster, consulta il riferimento CRD DBCluster.

Connettività interna

Per impostazione predefinita, le istanze AlloyDB Omni vengono esposte utilizzando un servizio Kubernetes ClusterIP. In questo modo, le istanze sono accessibili solo ad altre applicazioni in esecuzione nello stesso cluster Kubernetes. Puoi trovare l'endpoint per l'istanza principale nello stato DBCluster.

Connettività esterna

Per consentire le connessioni dall'esterno del cluster Kubernetes, aggiorna la specifica DBCluster:

Attiva il traffico esterno:imposta spec.allowExternalIncomingTraffic: true, che in genere esegue il provisioning di un servizio LoadBalancer.
Implementa il controllo granulare:utilizza spec.primarySpec.dbLoadBalancerOptions. Ad esempio, su Google Cloud, imposta gcp.loadBalancerType: "External" per ottenere un indirizzo IP accessibile da internet pubblico.

Limita l'accesso

Per proteggere le connessioni esterne, utilizza spec.primarySpec.sourceCidrRanges per definire un elenco di intervalli CIDR consentiti. Il sistema blocca tutte le connessioni provenienti da indirizzi IP al di fuori di questi intervalli.

Pool di connessioni con PgBouncer

Per gestire le connessioni in modo efficiente e ridurre il carico dell'istanza, utilizza PgBouncer. L'operatore AlloyDB Omni fornisce una risorsa personalizzata PgBouncer per semplificare questa operazione.

Per informazioni dettagliate sulla configurazione di PgBouncer, consulta il riferimento CRD di PgBouncer.

Deployment e configurazione

Crea una risorsa PgBouncer e fai riferimento al cluster di database in spec.dbclusterRef. I parametri chiave in spec.parameters includono quanto segue:

pool_mode: determina quando le connessioni vengono riutilizzate (session, transaction o statement).
default_pool_size: connessioni al server per utente e database.
max_client_conn: il numero massimo di connessioni client consentite.
max_db_connections: numero massimo di connessioni aperte all'istanza AlloyDB Omni.

Esporre PgBouncer

Utilizza spec.serviceOptions.type per controllare la visibilità.

ClusterIP: solo accesso interno al cluster.
LoadBalancer: accesso esterno. Puoi limitare questa operazione con spec.serviceOptions.loadBalancerSourceRanges utilizzando i blocchi CIDR.

Autenticazione e autorizzazione

AlloyDB Omni supporta diversi metodi per verificare le identità e controllare l'accesso.

Metodi di autenticazione

Basata su password:autenticazione standard con nome utente e password PostgreSQL. La password dell'amministratore viene in genere fornita utilizzando un secret Kubernetes, come mostrato nell'esempio completo di DBCluster.
Active Directory e Kerberos:gestiti utilizzando il CR UserDefinedAuthentication. Supporta la sincronizzazione di gruppi GSSAPI e LDAP utilizzando quanto segue:
- spec.keytabSecretRef: per i file keytab Kerberos.
- spec.ldapConfiguration: per il mapping dei gruppi e le impostazioni LDAP.
- spec.pgHbaEntries: per configurare le regole pg_hba.conf, ad esempio gss o ldap.
Per saperne di più, consulta il riferimento CRD UserDefinedAuthentication.
Basata su certificato (pianificata): il supporto per l'autenticazione del certificato TLS senza password è previsto per una release futura.

Autorizzazione e controllo dell'accesso

Criteri di rete di Kubernetes:definiscono regole a livello di pod per proteggere il traffico tra applicazioni e pod AlloyDB Omni o PgBouncer.
Intervalli CIDR di origine:limitano il traffico a livello di LoadBalancer.
Ruoli PostgreSQL:utilizza ruoli e privilegi di database standard per gestire le autorizzazioni utente dopo l'autenticazione degli utenti.

Passaggi successivi

Per tutte le opzioni di configurazione, consulta il riferimento CRD DBCluster.
Scopri come eseguire il deployment del pool di connessioni con il riferimento CRD PgBouncer.
Scopri di più sull'integrazione di Active Directory nel riferimento CRD UserDefinedAuthentication.
Vedi un esempio completo in Esempio completo di DBCluster.
Consulta la documentazione di Kubernetes sui criteri di rete.

Panoramica della connessione di AlloyDB Omni su Kubernetes Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.