בדף הזה מוסבר איך לאבטח חיבורים על ידי אכיפה של חיבור אפליקציות למכונות קיימות של AlloyDB ל-PostgreSQL רק דרך מחברים. בנוסף, הוא כולל שלבים להסרת האכיפה הזו במופע. מידע על אבטחת חיבורים כשיוצרים מופע זמין במאמר בנושא יצירת המופע הראשי.
מכונות AlloyDB מקבלות חיבורים בשתי יציאות TCP:
יציאה 5432, יציאת ברירת המחדל של PostgreSQL שבה האפליקציות משתמשות כדי להתחבר למופע. אם אתם משתמשים בניהול מאגר חיבורים, המופע גם מאזין ליציאה
6432לחיבורים למאגר החיבורים.יציאה 5433, שמשמשת מחברים, כולל AlloyDB Auth Proxy, כדי להתחבר למופע.
במילים אחרות, האפליקציות מתחברות למחבר שנבחר במארח וביציאה שהן פועלות בהם, ואז המחבר הזה מתקשר עם מופע AlloyDB ביציאה 5433 של המופע הזה.
אכיפת מחברים במכונה
כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.
המסוף
- עוברים לדף Clusters.
- לוחצים על אשכול בעמודה שם המשאב.
- בדף סקירה כללית, עוברים לקטע Instances in your cluster (מופעים באשכול) ולוחצים על Edit primary (עריכת הראשי).
- בחלונית Edit primary instance (עריכת המופע הראשי), מרחיבים את Advanced configuration options (אפשרויות מתקדמות להגדרה).
- בוחרים באפשרות החלת mTLS באמצעות מחברי AlloyDB.
- לוחצים על עדכון המופע.
gcloud
כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.
משתמשים בפקודה gcloud alloydb instances update עם הדגל --require-connectors כדי לאכוף חיבור מאובטח במופע AlloyDB.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--require-connectorsמחליפים את מה שכתוב בשדות הבאים:
- INSTANCE_ID: המזהה של המכונה שרוצים לעדכן.
- REGION_ID: האזור שבו המכונה ממוקמת.
- CLUSTER_ID: המזהה של האשכול שבו נמצאת המכונה.
- PROJECT_ID: מזהה הפרויקט שבו נמצא האשכול.
אם הפקודה מחזירה הודעת שגיאה שכוללת את הביטוי invalid cluster state MAINTENANCE, המשמעות היא שמתבצעת תחזוקה שגרתית של האשכול. הפעולה הזו תמנע באופן זמני את ההגדרה מחדש של המופע. מריצים את הפקודה שוב אחרי שהאשכול חוזר למצב READY. כדי לבדוק את הסטטוס של האשכול, אפשר לעיין במאמר בנושא הצגת פרטי האשכול.
השבתת האכיפה של המחבר במופע
המסוף
- עוברים לדף Clusters.
- לוחצים על אשכול בעמודה שם המשאב.
- בדף סקירה כללית, עוברים לקטע Instances in your cluster (מופעים באשכול) ולוחצים על Edit primary (עריכת הראשי).
- בחלונית Edit primary instance (עריכת המופע הראשי), מרחיבים את Advanced configuration options (אפשרויות מתקדמות להגדרה).
- מבטלים את הסימון של Enforce mTLS via AlloyDB connectors (אכיפת mTLS באמצעות מחברי AlloyDB).
- לוחצים על עדכון המופע.
gcloud
משתמשים בפקודה gcloud alloydb instances update עם הדגל --no-require-connectors כדי להשבית את המחברים במופע AlloyDB.
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--no-require-connectorsמחליפים את מה שכתוב בשדות הבאים:
- INSTANCE_ID: המזהה של המכונה שרוצים לעדכן.
- REGION_ID: האזור שבו המכונה ממוקמת.
- CLUSTER_ID: המזהה של האשכול שבו נמצאת המכונה.
- PROJECT_ID: מזהה הפרויקט שבו נמצא האשכול.