Conectar usando o proxy de autenticação do AlloyDB

Esta página mostra como configurar e usar o proxy de autenticação do AlloyDB para fazer conexões autorizadas e criptografadas com instâncias do AlloyDB. Para uma visão geral conceitual do proxy de autenticação, consulte Sobre o proxy de autenticação do AlloyDB.

Para usar o proxy de autenticação do AlloyDB, siga várias etapas de configuração única, inicie o cliente do proxy de autenticação e se conecte aos bancos de dados usando ele:

1. Etapas de configuração:
   1. Faça o download do cliente do proxy de autenticação no host do cliente.
   2. Escolha o principal do Identity and Access Management (IAM) a ser usado para autorização, verifique se ele tem as permissões necessárias e se as credenciais estão disponíveis no host do cliente.
   3. Reúna os URIs de conexão das instâncias do AlloyDB a que você quer se conectar.
2. Inicie o cliente do proxy de autenticação no host do cliente.
3. Conecte um aplicativo a um banco de dados abrindo uma conexão local com o cliente do proxy de autenticação.

Baixar o cliente do proxy de autenticação

A máquina em que você faz o download do cliente do proxy de autenticação depende de se você quer se conectar às instâncias do AlloyDB de dentro ou de fora da rede VPC.

Se você quiser se conectar ao cluster usando o acesso privado a serviços, baixe o cliente do proxy de autenticação em uma instância de máquina virtual (VM) do Compute Engine em execução na rede VPC que tem acesso privado a serviços ao cluster.

Se você pretende se conectar ao cluster de fora da VPC, a máquina em que ele será instalado depende da estratégia de conexão externa usada. Por exemplo, é possível instalar o cliente do proxy de autenticação em um computador macOS ou Windows local para seu aplicativo e usar um servidor SOCKS em execução na rede VPC do AlloyDB como um intermediário de conexão. Para mais informações, consulte Conectar-se a um cluster de fora da VPC.

docker pull gcr.io/alloydb-connectors/alloydb-auth-proxy:latest

Escolher o principal do IAM e prepará-lo para autorização

O proxy de autenticação do AlloyDB é compatível com o uso destes tipos de principais do IAM para autorizar conexões entre seu cliente e uma instância do AlloyDB:

• Uma conta de serviço gerenciado pelo usuário. É possível criar uma conta de serviço do IAM para seu aplicativo e autorizar conexões usando essa conta.

  O Google recomenda usar uma conta de serviço para autorização em ambientes de produção.

• Sua conta de usuário. Você pode usar sua própria conta de usuário do IAM para autorizar conexões.

  Usar sua própria conta de usuário é conveniente em ambientes de desenvolvimento em que você gerencia recursos do AlloyDB usando a CLI gcloud, desenvolve o banco de dados com uma ferramenta como psql e desenvolve o código do aplicativo no mesmo host.

• A conta de serviço padrão do Compute Engine. Se o host do cliente for uma instância do Compute Engine, use a conta de serviço padrão do Compute Engine para autorizar conexões.

Depois de escolher qual principal do IAM usar, verifique se ele tem as permissões necessárias do IAM e se as credenciais estão disponíveis no host do cliente.

Permissões do IAM obrigatórias

O participante do IAM usado para autorizar conexões precisa ter as permissões fornecidas pelas funções predefinidas roles/alloydb.client (cliente do AlloyDB no Cloud) e roles/serviceusage.serviceUsageConsumer (consumidor do Service Usage).

Para atribuir a função de cliente do Cloud AlloyDB a um principal do IAM:

• A API Cloud Resource Manager precisa estar ativada no projeto Google Cloud .

• Você precisa ter o papel básico roles/owner (Proprietário) do IAM no projetoGoogle Cloud ou um papel que conceda estas permissões:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

  Para receber essas permissões seguindo o princípio do menor privilégio, peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).

Disponibilizar as credenciais do IAM no host do cliente

A forma de disponibilizar as credenciais do IAM no host do cliente depende do tipo de principal do IAM que você está usando para autorizar conexões:

• Conta serviço gerenciado pelo usuário

  Para fornecer credenciais do IAM a uma conta serviço gerenciado pelo usuário, crie uma chave de conta de serviço em formato JSON e faça o download dela para o host do cliente. Ao iniciar o cliente do Auth Proxy, especifique o local do arquivo de chave usando a flag --credentials-file.

• Sua conta de usuário

  Para fornecer credenciais do IAM à sua conta de usuário, instale a Google Cloud CLI no host do cliente e execute o comando gcloud init para inicializá-la usando sua conta de usuário. Ao iniciar o cliente do Auth Proxy, ele descobre e usa automaticamente as credenciais da sua conta de usuário se você não fornecer as credenciais da conta de serviço gerenciado pelo usuário.

• Conta de serviço padrão do Compute Engine

  Se você estiver usando uma instância do Compute Engine como host do cliente, as credenciais da conta de serviço padrão do Compute Engine já estarão no host. Quando você inicia o cliente do Auth Proxy, ele descobre e usa automaticamente essas credenciais se as credenciais da conta de serviço gerenciado pelo usuário e da conta de usuário não estiverem disponíveis.

Reúna URIs de conexão para as instâncias do AlloyDB

Ao iniciar o cliente do proxy de autenticação, identifique a instância ou as instâncias do AlloyDB a que você quer se conectar usando este formato de URI de conexão:

projects/PROJECT_ID/locations/REGION_ID/clusters/CLUSTER_ID/instances/INSTANCE_ID

Para conferir uma lista de todos os URIs de conexão das suas instâncias, use o comando alloydb instances list da CLI gcloud.

Reúna o URI de conexão de cada instância a que você quer se conectar.

Iniciar o cliente do proxy de autenticação

Ao iniciar o cliente do proxy de autenticação, você fornece informações sobre a quais instâncias do AlloyDB se conectar e, se necessário, informações de credenciais para usar ao autorizar essas conexões.

Quando ele é iniciado, o cliente do proxy de autenticação:

• Autoriza conexões com instâncias do AlloyDB usando as credenciais e permissões do IAM do principal do IAM que você configurou. Ele procura credenciais seguindo uma sequência específica de etapas.
• Autoriza automaticamente as conexões de IP público à rede de origem se a instância tiver o IP público ativado.
• Configura uma conexão particular TLS 1.3 com o servidor proxy de autenticação de cada instância.
• Começa a detectar solicitações de conexão de clientes locais.

Por padrão, o cliente do proxy de autenticação detecta conexões TCP no endereço IP 127.0.0.1, começando na porta 5432 e incrementando em um número de porta para cada instância do AlloyDB além da primeira. É possível especificar um endereço de listener e portas diferentes ao iniciar o cliente do proxy de autenticação.

./alloydb-auth-proxy INSTANCE_URI... \
    [ --credentials-file PATH_TO_KEY_FILE \ ]
    [ --token OAUTH_ACCESS_TOKEN \ ]
    [ --port INITIAL_PORT_NUMBER \ ]
    [ --address LOCAL_LISTENER_ADDRESS \ ]
    [ --auto-iam-authn \ ]
    [ --psc \ ]
    [ --public-ip \ ]
    [ --disable-built-in-telemetry ]

docker run \
  --publish 127.0.0.1:PORT:PORT \
  gcr.io/alloydb-connectors/alloydb-auth-proxy:latest \
  --address 0.0.0.0 \
  --port PORT \
  INSTANCE_URI

docker run \
  --volume PATH_TO_KEY_FILE:/key.json \
  --publish 127.0.0.1:PORT:PORT \
  gcr.io/alloydb-connectors/alloydb-auth-proxy:latest \
  --address 0.0.0.0 \
  --port PORT \
  --credentials-file=/key.json \
  INSTANCE_URI

Exemplos de startups

Os exemplos a seguir mostram várias maneiras de iniciar o cliente do Auth Proxy. Eles usam estes URIs de conexão de instância de exemplo:

projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary

projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool

Inicialização básica

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e começa a detectar conexões locais com a instância myprimary em 127.0.0.1:5432.

Inicialização usando uma conta serviço gerenciado pelo usuário

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \\
  --credentials-file "myappaccount/key.json"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão usando a chave JSON da conta de serviço gerenciado pelo usuário armazenada em myappaccount/key.json e começa a detectar conexões locais com a instância myprimary em 127.0.0.1:5432.

Inicialização conectada a várias instâncias

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e começa a detectar conexões locais com a instância myprimary em 127.0.0.1:5432 e com a instância myreadpool em 127.0.0.1:5433.

Inicialização da escuta em portas personalizadas

Usar portas personalizadas para o cliente do proxy de autenticação pode ser útil quando você precisa reservar a porta 5432 para outras conexões do PostgreSQL.

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary?port=5000" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool?port=5001"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e começa a detectar conexões locais com a instância myprimary em 127.0.0.1:5000 e com a instância myreadpool em 127.0.0.1:5001.

Como essas portas personalizadas são sequenciais, o mesmo efeito pode ser alcançado usando este comando de inicialização:

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool" \
  --port 5000

Inicialização da escuta em um endereço IP personalizado

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  --address "0.0.0.0"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e começa a detectar conexões locais com a instância myprimary em 0.0.0.0:5432.

Conectar um aplicativo a um banco de dados usando o proxy de autenticação do AlloyDB

Os exemplos a seguir mostram como conectar um aplicativo a um banco de dados usando o proxy de autenticação do AlloyDB.

O exemplo psql mostra como conectar uma ferramenta de linha de comando.

A conexão com uma instância do AlloyDB usando o proxy de autenticação do AlloyDB é, para várias linguagens de programação, idêntica à conexão com um Cloud SQL para PostgreSQL usando o proxy de autenticação do Cloud SQL. Portanto, os exemplos de linguagem aqui são os mesmos do Cloud SQL para PostgreSQL.

Esses exemplos se baseiam em uma inicialização padrão do cliente proxy Auth para que ele detecte conexões TCP locais em 127.0.0.1:5432.

psql -h 127.0.0.1 -p 5432 -U DB_USER

import os

import sqlalchemy


# connect_tcp_socket initializes a TCP connection pool
# for an AlloyDB instance.
def connect_tcp_socket() -> sqlalchemy.engine.base.Engine:
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    INSTANCE_HOST = os.environ[
        "INSTANCE_HOST"
    ]  # e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
    db_user = os.environ["DB_USER"]  # e.g. 'my-db-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-db-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    db_port = os.environ["DB_PORT"]  # e.g. 5432

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgresql+pg8000://<db_user>:<db_pass>@<INSTANCE_HOST>:<db_port>/<db_name>
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,
            password=db_pass,
            host=INSTANCE_HOST,
            port=db_port,
            database=db_name,
        ),
        # ...
    )
    return pool

import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class TcpConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  private static final String INSTANCE_HOST = System.getenv("INSTANCE_HOST");
  private static final String DB_PORT = System.getenv("DB_PORT");


  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:postgresql://<INSTANCE_HOST>:<DB_PORT>/<DB_NAME>?user=<DB_USER>&password=<DB_PASS>l

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:postgresql://%s:%s/%s", INSTANCE_HOST, DB_PORT, DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "postgres"
    config.setPassword(DB_PASS); // e.g. "my-password"



    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

const Knex = require('knex');
const fs = require('fs');

// createTcpPool initializes a TCP connection pool for an AlloyDB cluster.
const createTcpPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  const dbConfig = {
    client: 'pg',
    connection: {
      host: process.env.INSTANCE_HOST, // e.g. '127.0.0.1'
      port: process.env.DB_PORT, // e.g. '5432'
      user: process.env.DB_USER, // e.g. 'my-user'
      password: process.env.DB_PASS, // e.g. 'my-user-password'
      database: process.env.DB_NAME, // e.g. 'my-database'
    },
    // ... Specify additional properties here.
    ...config,
  };
  // Establish a connection to the database.
  return Knex(dbConfig);
};

package alloydb

import (
	"database/sql"
	"fmt"
	"log"
	"os"

	// Note: If connecting using the App Engine Flex Go runtime, use
	// "github.com/jackc/pgx/stdlib" instead, since v4 requires
	// Go modules which are not supported by App Engine Flex.
	_ "github.com/jackc/pgx/v5/stdlib"
)

// connectTCPSocket initializes a TCP connection pool for an AlloyDB cluster.
func connectTCPSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Warning: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser    = mustGetenv("DB_USER")       // e.g. 'my-db-user'
		dbPwd     = mustGetenv("DB_PASS")       // e.g. 'my-db-password'
		dbTCPHost = mustGetenv("INSTANCE_HOST") // e.g. '127.0.0.1' or IP Address of Cluster
		dbPort    = mustGetenv("DB_PORT")       // e.g. '5432'
		dbName    = mustGetenv("DB_NAME")       // e.g. 'my-database'
	)

	dbURI := fmt.Sprintf("host=%s user=%s password=%s port=%s database=%s",
		dbTCPHost, dbUser, dbPwd, dbPort, dbName)

	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("pgx", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %v", err)
	}

	// ...

	return dbPool, nil
}

using Npgsql;
using System;

namespace CloudSql
{
    public class PostgreSqlTcp
    {
        public static NpgsqlConnectionStringBuilder NewPostgreSqlTCPConnectionString()
        {
            // Equivalent connection string:
            // "Uid=<DB_USER>;Pwd=<DB_PASS>;Host=<INSTANCE_HOST>;Database=<DB_NAME>;"
            var connectionString = new NpgsqlConnectionStringBuilder()
            {
                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Host = Environment.GetEnvironmentVariable("INSTANCE_HOST"),     // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                Username = Environment.GetEnvironmentVariable("DB_USER"), // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = SslMode.Disable,
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

development:
  adapter: postgresql
  # Configure additional properties here.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("DB_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT")  { 5432 }%>

// $username = 'your_db_user';
// $password = 'yoursupersecretpassword';
// $dbName = 'your_db_name';
// $dbHost = "127.0.0.1";

// Connect using TCP
$dsn = sprintf('pgsql:dbname=%s;host=%s', $dbName, $dbHost);

// Connect to the database
$conn = new PDO($dsn, $username, $password, $connConfig);