この概要では、Kubernetes クラスタにデプロイされた AlloyDB Omni データベースの重要な接続とアクセス構成について説明し、柔軟で安全な接続を確立する方法について詳しく説明します。接続には次の領域が含まれます。
- ネットワーキング: Kubernetes
ClusterIPサービスを使用した内部アクセス、またはLoadBalancerを使用した外部アクセス用に AlloyDB Omni データベース クラスタを構成する方法について説明します。これには、送信元クラスレス ドメイン間ルーティング(CIDR)範囲を使用して外部トラフィックを制限する方法も含まれます。 - 接続プーリング:
PgBouncerカスタム リソースを使用して接続プーリングを実装し、接続管理を効率化してデータベース インスタンスの負荷を軽減します。 - 認証と認可: パスワード ベースや Active Directory/Kerberos 統合などのサポートされている方法を使用して安全にアクセスします。また、Kubernetes ネットワーク ポリシーと PostgreSQL ロールを介して実装されるきめ細かい制御も行います。
ネットワーキング
DBCluster カスタム リソースで管理される AlloyDB Omni データベース クラスタは、内部アクセスまたは外部アクセス用に構成できます。
DBCluster ネットワーキング オプションの詳細については、DBCluster CRD リファレンスをご覧ください。
内部接続
デフォルトでは、AlloyDB Omni インスタンスは Kubernetes ClusterIP Service を使用して公開されます。これにより、インスタンスには同じ Kubernetes クラスタで実行されている他のアプリケーションからのみアクセスできるようになります。プライマリ インスタンスのエンドポイントは DBCluster ステータスで確認できます。
外部接続
Kubernetes クラスタの外部からの接続を許可するには、DBCluster 仕様を更新します。
- 外部トラフィックを有効にする: 通常は
LoadBalancerService をプロビジョニングするspec.allowExternalIncomingTraffic: trueを設定します。 - きめ細かい制御を実装する:
spec.primarySpec.dbLoadBalancerOptionsを使用します。たとえば、 Google Cloudで、gcp.loadBalancerType: "External"を設定して、パブリック インターネットからアクセス可能な IP アドレスを取得します。
アクセスを制限
外部接続を保護するには、spec.primarySpec.sourceCidrRanges を使用して許可される CIDR 範囲のリストを定義します。システムは、これらの範囲外の IP アドレスから発信された接続をブロックします。
PgBouncer を使用した接続プーリング
接続を効率的に管理し、インスタンスの負荷を軽減するには、PgBouncer を使用します。AlloyDB Omni Operator は、このオペレーションを簡素化する PgBouncer カスタム リソース(CR)を提供します。
PgBouncer の構成の詳細については、PgBouncer CRD リファレンスをご覧ください。
デプロイと構成
PgBouncer リソースを作成し、spec.dbclusterRef でデータベース クラスタを参照します。spec.parameters の主なパラメータは次のとおりです。
pool_mode: 接続が再利用されるタイミングを決定します(session、transaction、またはstatement)。default_pool_size: ユーザーとデータベースあたりのサーバー接続数。max_client_conn: 許可されるクライアント接続の最大数。max_db_connections: AlloyDB Omni インスタンスに対して開かれる最大接続数。
PgBouncer を公開する
spec.serviceOptions.type を使用して表示 / 非表示を切り替えます。
ClusterIP: 内部クラスタ アクセスのみ。LoadBalancer: 外部アクセス。これは、CIDR ブロックを使用してspec.serviceOptions.loadBalancerSourceRangesで制限できます。
認証と認可
AlloyDB Omni は、ID の確認とアクセス制御を行う複数の方法をサポートしています。
認証方法
- パスワード ベース: 標準の PostgreSQL のユーザー名とパスワード認証。通常、管理者パスワードは 完全な DBCluster サンプルに示すように、Kubernetes Secret を使用して提供されます。
Active Directory と Kerberos:
UserDefinedAuthenticationCR を使用して管理されます。これにより、次のものを使用して GSSAPI と LDAP グループの同期がサポートされます。spec.keytabSecretRef: Kerberos keytab の場合。spec.ldapConfiguration: グループ マッピングと LDAP 設定用。spec.pgHbaEntries:pg_hba.confルールを構成する場合(gss、ldapなど)。
詳細については、UserDefinedAuthentication CRD リファレンスをご覧ください。
証明書ベース(予定): パスワードなしの TLS 証明書認証のサポートは、今後のリリースで予定されています。
認証とアクセス制御
- Kubernetes ネットワーク ポリシー: アプリケーションと AlloyDB Omni または
PgBouncerPod 間のトラフィックを保護する Pod レベルのルールを定義します。 - 送信元 CIDR 範囲:
LoadBalancerレベルでトラフィックを制限します。 - PostgreSQL ロール: 標準のデータベース ロールと権限を使用して、ユーザーの認証後にユーザー権限を管理します。
次のステップ
- すべての構成オプションについては、DBCluster CRD リファレンスをご覧ください。
- PgBouncer CRD リファレンスを使用して接続プーリングをデプロイする方法を学習する。
- UserDefinedAuthentication CRD リファレンスで Active Directory 統合について理解する。
- 完全な例については、完全な DBCluster サンプルをご覧ください。
- ネットワーク ポリシーに関する Kubernetes のドキュメントを参照してください。