コンテナ オーケストレーター接続の概要

ドキュメントのバージョンを選択してください。

この概要では、Kubernetes クラスタにデプロイされた AlloyDB Omni データベースの重要な接続とアクセス構成について説明し、柔軟で安全な接続を確立する方法について詳しく説明します。接続には次の領域が含まれます。

  • ネットワーキング: Kubernetes ClusterIP Service を使用した内部アクセス、または LoadBalancer を使用した外部アクセス用に AlloyDB Omni データベース クラスタを構成する方法について説明します。これには、送信元クラスレス ドメイン間ルーティング(CIDR)範囲を使用して外部トラフィックを制限する方法も含まれます。
  • 接続プーリング: PgBouncer カスタム リソースを使用して接続プーリングを実装し、接続管理を効率化してデータベース インスタンスの負荷を軽減します。
  • 認証と認可: パスワードベース、Active Directory、Kerberos 統合などのサポートされている方法を使用してアクセスを保護します。また、Kubernetes ネットワーク ポリシーと PostgreSQL ロールを介して実装されるきめ細かい制御も行います。

ネットワーキング

DBCluster カスタム リソースで管理される AlloyDB Omni データベース クラスタは、内部アクセスまたは外部アクセス用に構成できます。

DBCluster ネットワーキング オプションの詳細については、DBCluster CRD リファレンスをご覧ください。

内部接続

デフォルトでは、AlloyDB Omni インスタンスは Kubernetes ClusterIP Service を使用して公開されます。これにより、インスタンスには同じ Kubernetes クラスタで実行されている他のアプリケーションからのみアクセスできるようになります。プライマリ インスタンスのエンドポイントは、DBCluster のステータスで確認できます。

外部接続

Kubernetes クラスタの外部からの接続を許可するには、DBCluster 仕様を更新します。

  • 外部トラフィックを有効にする: 通常は LoadBalancer Service をプロビジョニングする spec.allowExternalIncomingTraffic: true を設定します。
  • きめ細かい制御を実装する: spec.primarySpec.dbLoadBalancerOptions を使用します。たとえば、Google Cloudで gcp.loadBalancerType: "External" を設定して、パブリック インターネットからアクセス可能な IP アドレスを取得します。

アクセスを制限

外部接続を保護するには、spec.primarySpec.sourceCidrRanges を使用して許可する CIDR 範囲のリストを定義します。システムは、これらの範囲外の IP アドレスから発信された接続をブロックします。

PgBouncer を使用した接続プーリング

接続を効率的に管理し、インスタンスの負荷を軽減するには、PgBouncer を使用します。AlloyDB Omni Operator は、このオペレーションを簡素化する PgBouncer カスタム リソース(CR)を提供します。

PgBouncer の構成の詳細については、PgBouncer CRD リファレンスをご覧ください。

デプロイと構成

PgBouncer リソースを作成し、spec.dbclusterRef でデータベース クラスタを参照します。spec.parameters の主なパラメータは次のとおりです。

  • pool_mode: 接続が再利用されるタイミングを決定します(sessiontransaction、または statement)。
  • default_pool_size: ユーザーとデータベースあたりのサーバー接続数。
  • max_client_conn: 許可されるクライアント接続の最大数。
  • max_db_connections: AlloyDB Omni インスタンスに開かれる最大接続数。

PgBouncer を公開する

spec.serviceOptions.type を使用して表示 / 非表示を切り替えます。

  • ClusterIP: 内部クラスタ アクセスのみ。
  • LoadBalancer: 外部アクセス。これは、CIDR ブロックを使用して spec.serviceOptions.loadBalancerSourceRanges で制限できます。

認証と認可

AlloyDB Omni は、ID の検証とアクセス制御を行う複数の方法をサポートしています。

認証方法

  • パスワード ベース: 標準の PostgreSQL のユーザー名とパスワードによる認証。通常、管理者パスワードは DBCluster の完全なサンプルに示すように、Kubernetes Secret を使用して提供されます。

  • Active Directory と Kerberos: UserDefinedAuthentication CR を使用して管理されます。これにより、次のものを使用して GSSAPI と LDAP グループの同期がサポートされます。

    • spec.keytabSecretRef: Kerberos keytab の場合。
    • spec.ldapConfiguration: グループ マッピングと LDAP 設定用。
    • spec.pgHbaEntries: pg_hba.conf ルールを構成します(gssldap など)。

    詳細については、UserDefinedAuthentication CRD リファレンスをご覧ください。

  • 証明書ベース(予定): パスワードなしの TLS 証明書認証のサポートは、今後のリリースで予定されています。

認証とアクセス制御

  • Kubernetes ネットワーク ポリシー: アプリケーションと AlloyDB Omni または PgBouncer Pod 間のトラフィックを保護する Pod レベルのルールを定義します。
  • 送信元 CIDR 範囲: LoadBalancer レベルでトラフィックを制限します。
  • PostgreSQL ロール: 標準のデータベース ロールと権限を使用して、ユーザーの認証後にユーザー権限を管理します。

次のステップ