AlloyDB Omni ausführen und eine Verbindung herstellen

Wählen Sie eine Dokumentationsversion aus:

Auf dieser Seite wird beschrieben, wie Sie AlloyDB Omni ausführen und eine Verbindung dazu herstellen nachdem Sie es in Ihrem Kubernetes-Cluster bereitgestellt haben.

Die Kubernetes-spezifischen Anweisungen auf dieser Seite setzen Grundkenntnisse im Umgang mit Kubernetes voraus.

AlloyDB Omni ausführen

Die Verfahren zum Ausführen von AlloyDB Omni hängen davon ab, ob Sie AlloyDB Omni in einem Kubernetes-Cluster ausführen.

AlloyDB Omni starten

Starten Sie einen angehaltenen Datenbankcluster, indem Sie isStopped in der Manifestdefinition auf false setzen.

Sie können dies in der Befehlszeile mit kubectl ausführen:

  kubectl patch dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME \
  -p '{"spec":{"primarySpec":{"isStopped":false}}}' --type=merge  -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

  • DB_CLUSTER_NAME: Der Name dieses Datenbankclusters, z. B. my-db-cluster.
  • DB_CLUSTER_NAMESPACE (optional): Der Namespace, in dem Sie diesen Datenbankcluster erstellt haben, z. B. my-db-cluster-namespace.

Status von AlloyDB Omni prüfen

  kubectl get dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME  -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

AlloyDB Omni beenden

Wenn Sie einen Datenbankcluster beenden möchten, setzen Sie isStopped in der Manifestdefinition auf true.

Sie können dies in der Befehlszeile mit kubectl ausführen:

  kubectl patch dbclusters.alloydbomni.dbadmin.goog DB_CLUSTER_NAME -p '{"spec":{"primarySpec":{"isStopped":true}}}' --type=merge -n DB_CLUSTER_NAMESPACE

Ersetzen Sie Folgendes:

*   `DB_CLUSTER_NAME`: the name of this database cluster—for example, `my-db-cluster`.
*   `DB_CLUSTER_NAMESPACE` (Optional): the namespace where you created this database cluster—for example, `my-db-cluster-namespace`.

Verbindung zu AlloyDB Omni herstellen, das in Kubernetes ausgeführt wird

Der AlloyDB Omni Kubernetes-Operator ermöglicht Verbindungen zum Datenbankcluster innerhalb desselben Kubernetes-Clusters, optional mit Zertifikaten zur Authentifizierung.

Mit dem vorinstallierten psql verbinden

Sie können eine Testverbindung mit einem psql-Client herstellen, der bereits im Pod installiert ist, auf dem die Datenbank ausgeführt wird.

Führen Sie dazu die folgenden Befehle aus:

export DBPOD=`kubectl get pod --selector=alloydbomni.internal.dbadmin.goog/dbcluster=DB_CLUSTER_NAME,alloydbomni.internal.dbadmin.goog/task-type=database -n DB_CLUSTER_NAMESPACE -o jsonpath='{.items[0].metadata.name}'`
kubectl exec -ti $DBPOD -n DB_CLUSTER_NAMESPACE -c database -- psql -h localhost -U postgres

Ersetzen Sie DB_CLUSTER_NAME durch den Namen Ihres Datenbankclusters. Das ist derselbe Datenbankclustername, den Sie beim Erstellen des Clusters angegeben haben.

Sie können die Einstellung von DB_CLUSTER_NAMESPACE überspringen, wenn Sie den Datenbankcluster im Standard-Namespace erstellt haben.

Nachdem Sie den Befehl eingegeben haben, werden Sie vom Datenbankserver aufgefordert, ein Passwort einzugeben. Geben Sie das Passwort ein, dessen base64-codierte Version Sie beim Erstellen des Datenbank clustersals Kubernetes-Secret angegeben haben. Wenn Sie den Datenbankcluster beispielsweise mit einem Secret von Q2hhbmdlTWUxMjM= erstellt haben, lautet das Anmeldepasswort ChangeMe123.

Der AlloyDB Omni-Operator stellt eine Verbindung zum Server als die postgres Nutzerrolle her und zeigt eine postgres=# Eingabeaufforderung an. Sie können jetzt run psql Befehle und SQL-Abfragen ausführen.

Führen Sie den Befehl \q aus, um psql zu beenden.

Verbindung von einem separaten Pod im selben Cluster herstellen

Der Pod, auf dem der AlloyDB Omni-Datenbankcluster ausgeführt wird, ermöglicht standardmäßig Verbindungen innerhalb desselben Kubernetes-Clusters. Als Best Practice empfehlen wir, alle Verbindungen zum Datenbankcluster mit TLS zu sichern.

Wenn Sie Ihr eigenes TLS-Serverzertifikat bereitstellen möchten, geben Sie beim Konfigurieren des Datenbankclusters ein Zertifikat-Secret an. Wenn Sie kein Zertifikat-Secret angeben, erstellt der AlloyDB Omni Kubernetes-Operator ein TLS-Zertifikat-Secret für Sie, das auf einem Zertifikat basiert, das von einer selbst signierten Zertifizierungsstelle signiert wurde. In beiden Fällen können Sie festlegen, dass für den Datenbankclient-Pod bei jeder Verbindung eine Zertifikatvalidierung erforderlich ist, um die TLS-Sicherheit zu gewährleisten.

So stellen Sie sichere Datenbankverbindungen mit TLS her:

  • Geben Sie im Manifest, das den Pod definiert, der die Clientverbindungen herstellt, ein TLS-Zertifikat-Secret an. Diese Rollen stehen zur Verfügung:

    • Ein TLS-Zertifikat-Secret, das Sie bereits in Ihrem Kubernetes-Cluster erstellt haben. Weitere Informationen zum Arbeiten mit TLS Zertifikat-Secrets in Kubernetes finden Sie unter TLS Secrets.

    • Das Standardzertifikat-Secret, das der AlloyDB Omni Kubernetes-Operator für Sie erstellt , mit dem Namen DB_CLUSTER_NAME-ca-cert, wenn Sie im Manifest Ihres Datenbankclusters kein TLS-Secret angeben.

  • Wenn Ihr Client-Pod eine Verbindung zum Datenbankcluster herstellt, müssen die folgenden Umgebungsvariablen festgelegt werden, bevor die Verbindung hergestellt wird:

    • Setzen Sie PGSSLMODE auf "verify-ca".

    • Setzen Sie PGSSLROOTCERT auf den absoluten Pfad der entsprechenden ca.crt-Datei im Dateisystem des Client-Pods.

Das folgende Beispielmanifest zeigt, wie Sie einen Pod konfigurieren, der das offizielle PostgreSQL-Image installiert, das den psql-Befehlszeilenclient enthält. Im Beispiel wird davon ausgegangen, dass Sie im Manifest, das Ihren Datenbankcluster definiert, keine TLS-Secret-Konfiguration angeben. Daher verwendet der AlloyDB Omni Kubernetes-Operator das Standard-TLS-Secret mit dem Namen dbs-al-cert-DB_CLUSTER_NAME.

apiVersion: v1
kind: Pod
metadata:
  name: postgres
  namespace: DB_CLUSTER_NAMESPACE
spec:
  containers:
  - image: "docker.io/library/postgres:latest"
    command:
      - "sleep"
      - "604800"
    imagePullPolicy: IfNotPresent
    name: db-client
    volumeMounts:
    - name: ca-cert
      mountPath: "/DB_CLUSTER_NAME-ca-cert"
      readOnly: true
  volumes:
  - name: ca-cert
    secret:
      secretName: dbs-al-cert-DB_CLUSTER_NAME
  restartPolicy: Always

Ersetzen Sie Folgendes:

Sie können jetzt mit dem Pod eine sichere Verbindung zu Ihrem Datenbankcluster herstellen. Gehen Sie dazu so vor:

  1. Bestimmen Sie die interne IP-Adresse Ihres Datenbankclusters:

    kubectl get dbclusters.alloydbomni.dbadmin.goog -n DB_CLUSTER_NAMESPACE

    Die Ausgabe sollte so aussehen:

    NAME              PRIMARYENDPOINT   PRIMARYPHASE   DBCLUSTERPHASE
DB_CLUSTER_NAME   IP_ADDRESS        Ready          DBClusterReady

    Notieren Sie sich IP_ADDRESS und verwenden Sie sie im nächsten Schritt.

  2. Verwenden Sie psql, um eine Verbindung von Ihrem Client-Pod zu Ihrem Cluster herzustellen und die Umgebungsvariablen festzulegen, die die TLS-Zertifikatprüfung aktivieren und erfordern:

    kubectl exec -it postgres -n DB_CLUSTER_NAMESPACE -- bash
PGSSLMODE="verify-ca" PGSSLROOTCERT=/DB_CLUSTER_NAME-ca-cert/ca.crt psql -h IP_ADDRESS -p 5432 -U postgres -d postgres

    Ersetzen Sie IP_ADDRESS durch die interne IP-Adresse, die Sie im vorherigen Schritt ermittelt haben.

  3. Optional. Passen Sie den Port an, an dem die Datenbank eingehende Verbindungsanfragen akzeptiert. Wenn Sie den Standardport 5432 überschreiben möchten, verwenden Sie das Attribut port. Die Werte müssen zwischen 1024 und 65535 liegen.

    Das folgende Beispiel zeigt die Konfiguration für eine AlloyDB Omni-DBCluster-Ressource, wenn Sie den Datenbankport anpassen.

    apiVersion: v1
kind: Secret
metadata:
  name: db-pw-dbcluster-sample
type: Opaque
data:
  dbcluster-sample: "Q2hhbmdlTWUxMjM=" # Password is ChangeMe123
---
apiVersion: alloydbomni.dbadmin.goog/v1
kind: DBCluster
metadata:
  name: dbcluster-sample
spec:
  databaseVersion: "18.1.0"
  primarySpec:
    port: 6789
    adminUser:
      passwordRef:
        name: db-pw-dbcluster-sample
    resources:
      memory: 5Gi
      cpu: 1
      disks:
      - name: DataDisk
        size: 10Gi

Nächste Schritte