本页面介绍了如何在 AlloyDB for PostgreSQL 实例上配置 SSL 强制执行模式。
默认情况下,AlloyDB 实例仅接受使用 SSL 的连接。
AlloyDB 使用 SSL 与 AlloyDB 实例建立经过身份验证的安全加密连接。此外,可配置的 SSL 强制执行模式可确保与实例建立的所有数据库连接都使用 SSL 加密。
本主题介绍如何在现有实例上配置 SSL 强制执行模式。如需了解如何在创建实例时配置 SSL 强制执行模式,请参阅创建主实例。
准备工作
- 您使用的 Google Cloud 项目必须已启用为可访问 AlloyDB。
- 您必须在所使用的 Google Cloud 项目中拥有以下 IAM 角色之一:
roles/alloydb.admin(AlloyDB Admin 预定义 IAM 角色)roles/owner(Owner 基本 IAM 角色)roles/editor(Editor 基本 IAM 角色)
如果您不拥有上述任何角色,请与组织管理员联系以申请访问权限。
在实例上配置 SSL 强制执行模式
如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell。
控制台
- 前往集群页面。
- 在资源名称列中点击相应集群。
- 在概览页面中,前往集群中的实例部分,然后点击修改主实例。
- 在修改主实例窗格中,展开高级配置选项。
- 启用只允许 SSL 连接。默认情况下,此选项处于启用状态。
- 点击更新实例。
gcloud
将 gcloud alloydb instances update 命令与 --ssl-mode=ENCRYPTED_ONLY 参数结合使用,以便仅允许与 AlloyDB 实例建立加密数据库连接。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--ssl-mode=ENCRYPTED_ONLY替换以下内容:
- INSTANCE_ID:要更新的实例的 ID。
- REGION_ID:实例所在的区域。
- CLUSTER_ID:实例所在集群的 ID。
- PROJECT_ID:集群所在项目的 ID。
如需允许与实例建立未加密的数据库连接,请将 gcloud alloydb instances update 命令与 --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED 参数结合使用。
gcloud alloydb instances update INSTANCE_ID \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED如果该命令返回包含 invalid cluster state MAINTENANCE 字词的错误消息,则表示集群正在进行日常维护。这会暂时禁止实例重新配置。在集群恢复为 READY 状态后,再次运行该命令。如需查看集群状态,请参阅查看集群详细信息。