Criar um deployment com criptografia TLS em VMs

Neste documento, descrevemos como adicionar criptografia TLS a uma implantação do Spanner Omni em máquinas virtuais (VMs). Uma implantação com recursos de segurança de rede usa o Transport Layer Security (TLS) 1.3 para criptografar e autenticar a comunicação dentro da implantação e com os clientes. O Spanner Omni oferece TLS mútuo (mTLS) para maior segurança, em que as duas partes estabelecem a autenticidade antes de trocar dados. O mTLS é opcional entre o cliente e o servidor, mas os servidores do Spanner Omni se comunicam entre si por mTLS.

A versão de visualização do Spanner Omni não oferece suporte à criptografia TLS. Para acessar os recursos que permitem criar implantações com criptografia TLS, entre em contato com o Google para solicitar acesso antecipado à versão completa do Spanner Omni.

Antes de começar

Antes de começar, verifique se o ambiente atende aos seguintes requisitos:

  • Verifique se você tem acesso SSH a cada máquina na implantação. Esse acesso permite fazer o download e executar o binário do Spanner Omni.

  • Sua rede precisa permitir a comunicação TCP nas portas 15000 a 15025.

  • Cada máquina precisa ter armazenamento suficiente para hospedar os dados que a implantação processa.

  • Consulte a página Requisitos do sistema para garantir que sua configuração atenda aos requisitos.

  • Se você executar os binários na plataforma de virtualização vSphere, desative a virtualização do TSC. Para fazer isso, adicione a configuração monitor_control.virtual_rdtsc = FALSE ao arquivo de configuração .vmx da máquina virtual.

Etapa 1: criar uma implantação sem criptografia TLS

Siga as etapas em Criar uma implantação de VM do Spanner Omni sem criptografia. Verifique se a implantação de VM sem criptografia e recursos de segurança funciona corretamente. Esta página pressupõe que você criou uma implantação regional com três zonas.

Etapa 2: gerar os certificados

É necessário criar três conjuntos de certificados:

Tipo de certificado Descrição
Certificados de API Os certificados de API ajudam a proteger o servidor da API Spanner.
Certificados do servidor Os certificados do servidor ajudam a proteger a comunicação entre servidores.
Certificados do cliente Os usuários finais ou aplicativos usam certificados de cliente para estabelecer a identidade e a confiança com os servidores do Spanner Omni.

Uma autoridade certificadora (AC) emite esses certificados. O Spanner Omni oferece ferramentas para criar uma AC e todos os três tipos de certificados. Execute as etapas a seguir em uma das suas máquinas.

É possível criar esses certificados na estação de trabalho usando a CLI do Spanner Omni e transferir os arquivos de certificado para cada servidor do Spanner Omni. Para mais informações, consulte o Guia de início rápido usando a CLI do Spanner Omni.

Para gerar certificados, conclua as etapas a seguir:

Criar uma autoridade certificadora (AC)

Essa autoridade é a AC raiz de todos os certificados de cliente e servidor gerados nas etapas a seguir.

spanner certificates create-ca --ca-certificate-directory=certs

O diretório certs contém o certificado de CA. Crie uma cópia desse certificado para usar como uma AC para certificados de API.

cp certs/ca.crt certs/ca-api.crt

O diretório $HOME/.spanner/private-keys contém a chave privada da AC. Faça backup e proteja esse diretório. Um usuário com acesso à chave privada pode assinar certificados arbitrários em que os clientes que confiam na AC autoassinada confiam. Embora seja possível usar a mesma AC para todos os certificados, é obrigatório que os certificados de API e de cliente usem a mesma AC. Opcionalmente, é possível criar uma AC adicional (ou usar uma AC confiável externamente) para os certificados de API. Use a AC certa nas etapas a seguir ao criar certificados. Este documento usa a mesma AC para todos os tipos de certificado.

Gerar certificados do servidor

Você gera dois tipos de certificados do servidor:

Essa configuração oferece um gerenciamento mais flexível desses certificados, como uma rotação de certificados.

Criar o certificado do servidor do Spanner

Os servidores do Spanner Omni usam certificados do servidor para criptografar a comunicação entre si (comunicação entre servidores).

Crie o certificado do servidor executando o seguinte. Substitua SERVER_LIST por uma lista separada por vírgulas de nomes de servidores ou sufixos do Spanner.

SERVER_NAMES=SERVER_LIST
spanner certificates create-server --hostnames=${SERVER_NAMES} --ca-certificate-directory certs --output-directory certs

Esse comando cria dois arquivos, server.crt e server.key, no diretório certs.

Criar o certificado de API

Os certificados de API criptografam a comunicação de sistemas que interagem com a implantação. O uso de certificados separados para a API e a comunicação entre servidores permite gerenciar e alternar cada tipo de forma independente.

Crie o certificado de API executando o seguinte. Substitua LB_DNS pelo DNS do balanceador de carga.

SERVER_NAMES=LB_DNS
spanner certificates create-server --filename-prefix=api --hostnames=${SERVER_NAMES} --ca-certificate-directory certs --output-directory certs

Esse comando cria mais dois arquivos, api.crt e api.key, no diretório certs. Se necessário, é possível usar uma AC confiável externamente para os certificados de API.

Distribuir os certificados para todos os servidores

Copie o diretório certs para todos os outros servidores na implantação para iniciá-los com recursos de segurança de rede.

scp -r certs REMOTE_HOST:SPANNER_DIR/certs

Etapa 3: gerar certificados do cliente

É possível usar certificados de cliente para autenticar usuários e aplicativos no Spanner. Os certificados de cliente ativam o mTLS entre o cliente e o servidor.

Os certificados de cliente precisam ser assinados pela mesma AC que o certificado de API e precisam conter um nome de usuário para autorização. Este exemplo usa o usuário admin, que é o usuário padrão de cada banco de dados. Para mais informações sobre usuários, papéis e opções de autenticação, consulte Autenticação e autorização no Spanner Omni.

USERNAME=admin
spanner certificates create-client $USERNAME --output-directory clientcerts --ca-certificate-directory certs

Esse comando cria arquivos client.crt e client.key no diretório clientcerts. Envie esses arquivos para qualquer máquina que se conecte aos servidores da implantação.

Se você planeja usar os certificados de cliente com a biblioteca de cliente Java, gere a chave de certificado no formato PKCS#8. Use o comando a seguir:

USERNAME=admin
spanner certificates create-client $USERNAME \
    --output-directory clientcerts \
    --ca-certificate-directory certs \
    --generate-pkcs8-key

Etapa 4: reiniciar os servidores

Depois de gerar os certificados e copiá-los para todos os servidores na implantação, reinicie cada servidor.

Implantação de servidor único

Para implantações de servidor único, execute o seguinte comando:

nohup spanner start-single-server \
    --base-dir=BASE_DIR \
    --certificate-directory=${HOME}/.spanner/certs \
    --insecure-mode=false &

O servidor é iniciado. Consulte a Etapa 7: interagir com a implantação para interagir com a implantação.

Implantação de expansão

Para implantações de expansão, inicie o servidor em cada máquina. Os valores de server_address e zone precisam corresponder aos da configuração de implantação. A rede precisa resolver server_address. Os servidores usam isso para comunicação interna. Execute o seguinte para iniciar o servidor raiz:

nohup spanner start \
    --root \
    --server-address=HOST_NAME \
    --zone=ZONE_NAME \
    --base-dir=BASE_DIR \
    --certificate-directory=${HOME}/.spanner/certs \
    --insecure-mode=false &

O comando a seguir mostra um exemplo com valores específicos:

nohup spanner start \
    --root \
    --server-address=rootserver1 \
    --zone=us-central-1a \
    --base-dir=./spanbasedir \
    --certificate-directory=${HOME}/.spanner/certs \
    --insecure-mode=false &

Para ativar o mTLS para clientes, use a flag --enable-client-certificate-authentication=true ao iniciar o servidor.

nohup spanner start \
    --root \
    --server-address=HOST_NAME \
    --zone=ZONE_NAME \
    --base-dir=BASE_DIR \
    --certificate-directory=${HOME}/.spanner/certs \
    --insecure-mode=false \
    --enable-client-certificate-authentication=true &

Com os servidores em execução em cada máquina, você está pronto para criar a implantação.

Etapa 5: criar uma implantação com criptografia TLS

Execute o comando spanner deployment create em um dos servidores raiz:

spanner deployment create --config-file=deployment.yaml

O console de cada máquina mostra mensagens indicando que a implantação agora inclui criptografia TLS. Todos os servidores se comunicam entre si por um canal criptografado.

Etapa 6: (opcional) configurar um balanceador de carga

Para gerenciar e distribuir o tráfego de clientes entre os servidores na implantação, configure um balanceador de carga. Verifique se a configuração do balanceador de carga para a verificação de integridade usa HTTPS em vez de HTTP. Use os seguintes detalhes de configuração:

Parâmetro Valor
Protocolo TCP
IP de back-end Os endereços IP dos seus servidores.
Porta 15000 (Essa é a porta padrão. Se você usou uma porta diferente porta na flag --server-address, use essa porta.)
URL da verificação de integridade https://IP_ADDRESS:15012/healthz
Estratégia de balanceamento roundrobin (distribui solicitações sequencialmente entre servidores)

Etapa 7: interagir com a implantação

É possível interagir com a implantação do Spanner Omni em qualquer VM usando a CLI do Spanner Omni.

É necessário incluir a seguinte flag com cada comando para estabelecer uma conexão criptografada:

  • --ca-certificate-file=certs/ca-api.crt

Se você ativou o mTLS para clientes, inclua também a seguinte flag com cada comando:

  • --client-certificate-directory=clientcerts

Para fazer login e interagir com a implantação, siga estas etapas:

  1. Fazer login no Spanner Omni

    spanner auth login admin \
    --ca-certificate-file=certs/ca-api.crt \
    --deployment-endpoint=ENDPOINT

    A senha padrão é admin.

    Successfully logged in as "admin"

  2. Criar um banco de dados

    spanner --deployment-endpoint=ENDPOINT databases create mydb --ca-certificate-file=certs/ca-api.crt

    Creating database...done.

  3. Abrir o SQL Shell

    spanner sql --database=mydb --ca-certificate-file=certs/ca-api.crt

    Connected.
spanner>

  4. Criar uma tabela e adicionar dados

    spanner> create table names (nameId INT64 NOT NULL, name String(100)) Primary Key (nameId);
Query OK, 0 rows affected (4.62 sec)

spanner> insert names (nameId, name) values (1, "Jack");
Query OK, 1 rows affected (0.18 sec)

  5. Verificar os dados

    Liste os bancos de dados:

    spanner databases list --ca-certificate-file=certs/ca-api.crt

    NAME  STATE  VERSION_RETENTION_PERIOD  EARLIEST_VERSION_TIME  KMS_KEY_NAME  ENABLE_DROP_PROTECTION
mydb  READY  1h                        2025-02-07T12:25:30Z                 false

    Receba os dados da tabela:

    spanner sql --database=mydb --ca-certificate-file=certs/ca-api.crt

    Connected.
spanner> show tables;
+----------------+
| Tables_in_mydb |
+----------------+
| names          |
+----------------+
1 rows in set (0.14 sec)

spanner> select * from names;
+--------+--------+
| nameId | name   |
+--------+--------+
| 1      | Jack   |
+--------+--------+
1 rows in set (18.69 msecs)

Etapa 8: (opcional) escalonar a implantação

É possível adicionar servidores não raiz a uma zona para escalonar a capacidade da zona. Para fazer isso, gere o certificado do servidor para os servidores não raiz, conforme explicado na Etapa 2: gerar os certificados, e inicie o servidor com o seguinte comando:

spanner start \
    --server-address=NON_ROOT_MACHINE \
    --join-servers=ROOT_SERVER1,ROOT_SERVER2,ROOT_SERVER3 \
    --zone=us-central1-a \
    --base-dir=./spandir \
    --certificate-directory=${HOME}/.spanner/certs \
    --insecure-mode=false

Próximas etapas