Conectar usando o proxy de autenticação do AlloyDB

Esta página mostra como configurar e usar o proxy de autenticação do AlloyDB para fazer conexões autorizadas e criptografadas com instâncias do AlloyDB. Para uma visão geral conceitual do proxy de autenticação, consulte Sobre o proxy de autenticação do AlloyDB.

Para usar o proxy de autenticação do AlloyDB, você precisa realizar várias etapas de configuração únicas, iniciar o cliente do proxy de autenticação e se conectar a bancos de dados usando ele:

1. Etapas de configuração:
   1. Faça o download do cliente do proxy de autenticação para o host do cliente.
   2. Escolha o principal do Identity and Access Management (IAM) a ser usado para autorização, verifique se ele tem as permissões necessárias e disponibilize as credenciais dele no host do cliente.
   3. Reúna URIs de conexão para as instâncias do AlloyDB com que você quer se conectar.
2. Inicie o cliente do proxy de autenticação no host do cliente.
3. Conecte um aplicativo a um banco de dados abrindo uma conexão local com o cliente do proxy de autenticação.

Fazer o download do cliente do proxy de autenticação

A máquina para a qual você faz o download do cliente do proxy de autenticação depende se você quer se conectar às instâncias do AlloyDB dentro da rede VPC ou fora dela.

Se você quiser se conectar ao cluster usando o acesso a serviços particulares, faça o download do cliente do Auth Proxy em uma instância de máquina virtual (VM) do Compute Engine executada na rede VPC que tenha acesso a serviços particulares no cluster.

Se você pretende se conectar ao cluster de fora da VPC, a máquina em que ele será instalado depende da estratégia de conexão externa usada. Por exemplo, é possível instalar o cliente do proxy de autenticação em uma máquina do macOS ou Windows que seja local para o aplicativo e, em seguida, usar um servidor SOCKS em execução na rede VPC do AlloyDB como um intermediário de conexão. Para mais informações, consulte Conectar-se a um cluster de fora da VPC.

docker pull gcr.io/alloydb-connectors/alloydb-auth-proxy:latest

Escolha o principal do IAM e prepare-o para a autorização

O proxy de autenticação do AlloyDB oferece suporte ao uso desses tipos de entidades principais do IAM para autorizar conexões entre o cliente e uma instância do AlloyDB:

• Uma conta de serviço gerenciada pelo usuário. Você pode criar uma conta de serviço do IAM para seu aplicativo e, em seguida, autorizar conexões usando essa conta.

  O Google recomenda que você use uma conta de serviço para autorização em ambientes de produção.

• Sua conta de usuário. Você pode usar sua própria conta de usuário do IAM para autorizar conexões.

  Usar sua própria conta de usuário é conveniente em ambientes de desenvolvimento em que você está gerenciando recursos do AlloyDB usando a CLI gcloud, desenvolvendo o banco de dados usando uma ferramenta como psql e desenvolvendo o código do aplicativo no mesmo host.

• A conta de serviço padrão do Compute Engine. Se o host do cliente for uma instância do Compute Engine, use a conta de serviço padrão do Compute Engine para autorizar as conexões.

Depois de escolher qual principal do IAM usar, verifique se ele tem as permissões necessárias do IAM e se as credenciais dele estão disponíveis no host do cliente.

Permissões do IAM obrigatórias

O participante do IAM usado para autorizar conexões precisa ter as permissões fornecidas pelos papéis predefinidos roles/alloydb.client (cliente do Cloud AlloyDB) e roles/serviceusage.serviceUsageConsumer (consumidor do Service Usage).

Para atribuir a função de cliente do Cloud AlloyDB a um princípio do IAM:

• A API Cloud Resource Manager precisa estar ativada no projeto do Google Cloud.

• Você precisa ter o papel básico do IAM roles/owner (proprietário) no projeto do Google Cloud ou um papel que conceda estas permissões:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

  Para receber essas permissões seguindo o princípio do menor privilégio, peça ao administrador para conceder a você o papel roles/resourcemanager.projectIamAdmin (Administrador do IAM do projeto).

Disponibilizar credenciais do IAM no host do cliente

A forma de disponibilizar as credenciais do IAM no host do cliente depende do tipo de principal do IAM que você está usando para autorizar as conexões:

• Conta de serviço gerenciada pelo usuário

  Para fornecer credenciais do IAM a uma conta de serviço gerenciada pelo usuário, crie uma chave de conta de serviço em formato JSON e faça o download dela no host do cliente. Ao iniciar o cliente do proxy de autenticação, especifique o local do arquivo de chave usando a flag --credentials-file.

• Sua conta de usuário

  Para fornecer credenciais do IAM à sua conta de usuário, instale a CLI do Google Cloud no host do cliente e execute o comando gcloud init para inicializá-lo usando sua conta de usuário. Quando você inicia o cliente do Auth Proxy, ele detecta e usa automaticamente as credenciais da conta de usuário se você não fornecer credenciais de conta de serviço gerenciadas pelo usuário.

• Conta de serviço padrão do Compute Engine

  Se você estiver usando uma instância do Compute Engine como host do cliente, as credenciais da conta de serviço padrão do Compute Engine já estarão no host. Quando você inicia o cliente do proxy de autenticação, ele descobre e usa automaticamente essas credenciais se as credenciais da conta de serviço e da conta de usuário gerenciadas pelo usuário estiverem indisponíveis.

Coletar URIs de conexão para as instâncias do AlloyDB

Ao iniciar o cliente do proxy de autenticação, você identifica a instância do AlloyDB a que quer se conectar usando este formato de URI de conexão:

projects/PROJECT_ID/locations/REGION_ID/clusters/CLUSTER_ID/instances/INSTANCE_ID

Para conferir uma lista de todos os URIs de conexão das instâncias, use o comando alloydb instances list da CLI gcloud.

Colete o URI de conexão de cada instância com que você quer se conectar.

Iniciar o cliente do proxy de autenticação

Ao iniciar o cliente do proxy de autenticação, você fornece informações sobre a quais instâncias do AlloyDB se conectar e, se necessário, informações de credenciais para usar ao autorizar essas conexões.

Ao iniciar, o cliente do proxy de autenticação:

• Autoriza conexões a instâncias do AlloyDB usando as credenciais e as permissões do IAM do principal do IAM que você configurou. Ele procura credenciais seguindo uma sequência específica de etapas.
• Autoriza conexões de IP público à rede de origem automaticamente, se a instância tiver o IP público ativado.
• Configura uma conexão TLS 1.3 privada com o servidor de proxy de autenticação de cada instância.
• Começa a detectar solicitações de conexão de clientes locais.

Por padrão, o cliente do proxy de autenticação detecta conexões TCP no endereço IP 127.0.0.1, começando na porta 5432 e incrementando por um número de porta para cada instância do AlloyDB além da primeira. É possível especificar um endereço de listener e portas diferentes ao iniciar o cliente do proxy de autenticação.

./alloydb-auth-proxy INSTANCE_URI... \
    [ --credentials-file PATH_TO_KEY_FILE \ ]
    [ --token OAUTH_ACCESS_TOKEN \ ]
    [ --port INITIAL_PORT_NUMBER \ ]
    [ --address LOCAL_LISTENER_ADDRESS \ ]
    [ --auto-iam-authn ] \
    [ --psc] \
    [ --public-ip]

docker run \
  --publish 127.0.0.1:PORT:PORT \
  gcr.io/alloydb-connectors/alloydb-auth-proxy:latest \
  --address 0.0.0.0 \
  --port PORT \
  INSTANCE_URI

docker run \
  --volume PATH_TO_KEY_FILE:/key.json \
  --publish 127.0.0.1:PORT:PORT \
  gcr.io/alloydb-connectors/alloydb-auth-proxy:latest \
  --address 0.0.0.0 \
  --port PORT \
  --credentials-file=/key.json \
  INSTANCE_URI

Exemplos de inicialização

Os exemplos a seguir mostram várias maneiras de iniciar o cliente do Auth Proxy. Eles usam estes URIs de conexão de exemplo:

projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary

projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool

Inicialização básica

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e, em seguida, começa a detectar conexões locais para a instância myprimary em 127.0.0.1:5432.

Inicialização usando uma conta de serviço gerenciada pelo usuário

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \\
  --credentials-file "myappaccount/key.json"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão usando a chave JSON da conta de serviço gerenciada pelo usuário armazenada em myappaccount/key.json e começa a detectar conexões locais para a instância myprimary em 127.0.0.1:5432.

Startup se conectando a várias instâncias

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e, em seguida, começa a detectar conexões locais para a instância myprimary em 127.0.0.1:5432 e para a instância myreadpool em 127.0.0.1:5433.

Como a inicialização ouve em portas personalizadas

O uso de portas personalizadas para o cliente do proxy de autenticação pode ser útil quando você precisa reservar a porta 5432 para outras conexões do PostgreSQL.

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary?port=5000" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool?port=5001"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e, em seguida, começa a detectar conexões locais para a instância myprimary em 127.0.0.1:5000 e para a instância myreadpool em 127.0.0.1:5001.

Como essas portas personalizadas são sequenciais, o mesmo efeito pode ser alcançado usando este comando de inicialização:

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myreadpool" \
  --port 5000

Ativação da escuta em um endereço IP personalizado

./alloydb-auth-proxy \
  "projects/myproject/locations/us-central1/clusters/mycluster/instances/myprimary" \
  --address "0.0.0.0"

Neste exemplo, o cliente do proxy de autenticação autoriza a conexão seguindo a sequência normal de etapas de autorização e, em seguida, começa a detectar conexões locais para a instância myprimary em 0.0.0.0:5432.

Conectar um aplicativo a um banco de dados usando o proxy de autenticação do AlloyDB

Os exemplos a seguir mostram como conectar um aplicativo a um banco de dados usando o proxy de autenticação do AlloyDB.

O exemplo psql mostra como conectar uma ferramenta de linha de comando.

Para várias linguagens de programação, a conexão com uma instância do AlloyDB usando o proxy de autenticação do AlloyDB é idêntica à conexão com um Cloud SQL para PostgreSQL usando o proxy do Cloud SQL Auth. Portanto, os exemplos de linguagem aqui são os mesmos do Cloud SQL para PostgreSQL.

Esses exemplos são baseados em uma inicialização padrão do cliente do proxy de autenticação para que ele detecte conexões TCP locais em 127.0.0.1:5432.

psql -h 127.0.0.1 -p 5432 -U DB_USER

import os

import sqlalchemy


# connect_tcp_socket initializes a TCP connection pool
# for an AlloyDB instance.
def connect_tcp_socket() -> sqlalchemy.engine.base.Engine:
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    INSTANCE_HOST = os.environ[
        "INSTANCE_HOST"
    ]  # e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
    db_user = os.environ["DB_USER"]  # e.g. 'my-db-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-db-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    db_port = os.environ["DB_PORT"]  # e.g. 5432

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgresql+pg8000://<db_user>:<db_pass>@<INSTANCE_HOST>:<db_port>/<db_name>
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,
            password=db_pass,
            host=INSTANCE_HOST,
            port=db_port,
            database=db_name,
        ),
        # ...
    )
    return pool

import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class TcpConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  private static final String INSTANCE_HOST = System.getenv("INSTANCE_HOST");
  private static final String DB_PORT = System.getenv("DB_PORT");


  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:postgresql://<INSTANCE_HOST>:<DB_PORT>/<DB_NAME>?user=<DB_USER>&password=<DB_PASS>l

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:postgresql://%s:%s/%s", INSTANCE_HOST, DB_PORT, DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "postgres"
    config.setPassword(DB_PASS); // e.g. "my-password"



    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

const Knex = require('knex');
const fs = require('fs');

// createTcpPool initializes a TCP connection pool for an AlloyDB cluster.
const createTcpPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  const dbConfig = {
    client: 'pg',
    connection: {
      host: process.env.INSTANCE_HOST, // e.g. '127.0.0.1'
      port: process.env.DB_PORT, // e.g. '5432'
      user: process.env.DB_USER, // e.g. 'my-user'
      password: process.env.DB_PASS, // e.g. 'my-user-password'
      database: process.env.DB_NAME, // e.g. 'my-database'
    },
    // ... Specify additional properties here.
    ...config,
  };
  // Establish a connection to the database.
  return Knex(dbConfig);
};

package alloydb

import (
	"database/sql"
	"fmt"
	"log"
	"os"

	// Note: If connecting using the App Engine Flex Go runtime, use
	// "github.com/jackc/pgx/stdlib" instead, since v4 requires
	// Go modules which are not supported by App Engine Flex.
	_ "github.com/jackc/pgx/v5/stdlib"
)

// connectTCPSocket initializes a TCP connection pool for an AlloyDB cluster.
func connectTCPSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Warning: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser    = mustGetenv("DB_USER")       // e.g. 'my-db-user'
		dbPwd     = mustGetenv("DB_PASS")       // e.g. 'my-db-password'
		dbTCPHost = mustGetenv("INSTANCE_HOST") // e.g. '127.0.0.1' or IP Address of Cluster
		dbPort    = mustGetenv("DB_PORT")       // e.g. '5432'
		dbName    = mustGetenv("DB_NAME")       // e.g. 'my-database'
	)

	dbURI := fmt.Sprintf("host=%s user=%s password=%s port=%s database=%s",
		dbTCPHost, dbUser, dbPwd, dbPort, dbName)

	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("pgx", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %v", err)
	}

	// ...

	return dbPool, nil
}

using Npgsql;
using System;

namespace CloudSql
{
    public class PostgreSqlTcp
    {
        public static NpgsqlConnectionStringBuilder NewPostgreSqlTCPConnectionString()
        {
            // Equivalent connection string:
            // "Uid=<DB_USER>;Pwd=<DB_PASS>;Host=<INSTANCE_HOST>;Database=<DB_NAME>;"
            var connectionString = new NpgsqlConnectionStringBuilder()
            {
                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Host = Environment.GetEnvironmentVariable("INSTANCE_HOST"),     // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                Username = Environment.GetEnvironmentVariable("DB_USER"), // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = SslMode.Disable,
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

development:
  adapter: postgresql
  # Configure additional properties here.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("DB_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT")  { 5432 }%>

// $username = 'your_db_user';
// $password = 'yoursupersecretpassword';
// $dbName = 'your_db_name';
// $dbHost = "127.0.0.1";

// Connect using TCP
$dsn = sprintf('pgsql:dbname=%s;host=%s', $dbName, $dbHost);

// Connect to the database
$conn = new PDO($dsn, $username, $password, $connConfig);