denne side indeholder en grundlæggende introduktion til Cloud auth auth fuldmægtig, og beskriver mulighederne for at vælge.
for trin-for-trin instruktioner om brug af Cloud auth auth fuldmagt, følg linketfor dit miljø:
- Hurtigstart til brug af Cloud-auth-fuldmagt
- Sådan tilsluttes du ved hjælp af Cloud-auth-fuldmagt
- Sådan tilsluttes du ved hjælp af Cloud-auth-fuldmagt fra GKE
du behøver ikke bruge Cloud-auth-fuldmagt eller konfigurere SSL Opret forbindelse til cloud fra App Engine standardeller Opret forbindelse til cloud fra App Engine fleksibelt miljø.
- prøv det selv
- hvad Cloud-automatisk fuldmagt giver
- Sådan fungerer Cloud Auth-fuldmagten
- krav til brug af Cloud auth-fuldmægtig
- Startup options
- brug af en servicekonto til godkendelse
- påkrævede tilladelser til servicekonti
- indstillinger for angivelse af cloud-instanser
- at holde Cloud Auth-fuldmagten opdateret
- API-brug
- om oprettelse af en særlig brugerkonto til Cloud Auth-fuldmagten
- parametre og flag for automatisk fuldmagt i skyen
- Sådan bruges FUSE med Cloud Auth fuldmagt
- installation af FUSE
- brug af Cloud Auth-fuldmægtig i et produktionsmiljø
- sørg for, at Cloud-auth-fuldmagten køres som en vedvarende tjeneste
- hvor mange kopier af Cloud Auth-fuldmagten din ansøgning har brug for
- reduktion af automatisk fuldmagtsoutput
- hvordan failover påvirker Cloud-auth-fuldmagten
- at holde Cloud-billedet opdateret
prøv det selv
hvis du er ny i Google Cloud, skal du oprette en konto for at evaluere, hvordan Cloud presterer i virkelige scenarier. Nye kunder får også $ 300 i gratis kreditter til at køre, teste og implementere arbejdsbelastninger.
prøv Cloud-automatisk fuldmagt
hvad Cloud-automatisk fuldmagt giver
Cloud-automatisk fuldmagt giver sikker adgang til dine forekomster udenbehovet for autoriserede netværkeller til konfiguration af SSL.
adgang til din Cloud-instance ved hjælp af Cloud-Auth-fuldmagten giver følgende fordele:
- sikre forbindelser: Cloud auth-fuldmagten krypterer automatisk trafik til og fra databasen ved hjælp af TLS 1.2 med en 128-bit AES-kryptering; SSL-certifikater bruges til at verificere klient-og serveridentiteter.
- lettere forbindelsesstyring: Cloud Auth auth-fuldmagten håndterer godkendelse medcloud, hvilket fjerner behovet for at give statiske IP-adresser.
Cloud Auth-fuldmagten giver ikke en ny forbindelsessti; den er afhængig af eksisterende IP-forbindelsesevne. Hvis du vil oprette forbindelse til en Cloud-instans ved hjælp afprivate IP, skal Cloud-instansen være på en ressource med adgangtil det samme VPC-netværk som forekomsten.
Sådan fungerer Cloud Auth-fuldmagten
Cloud Auth-fuldmagten fungerer ved at have en lokal klient, der køreri det lokale miljø. Din applikation kommunikerer med Cloud Auth-fuldmagten med den standarddatabaseprotokol, der bruges af din database. Cloud auth-fuldmagten brugeren sikker tunnel til at kommunikere med sin ledsagende proces, der kører på serveren.
mens fuldmægtigen kan lytte på en hvilken som helst port, opretter den kun udgående forbindelser til din Cloud-forekomst på port 3307. Hvis du har en udgående brandvægpolitik, skal du sørge for, at den tillader forbindelser til port 3307 på din Cloud-IP.
følgende diagram viser, hvordan Cloud Auth-fuldmagten forbinder til Cloud:
krav til brug af Cloud auth-fuldmægtig
for at bruge Cloud auth-fuldmægtig skal du opfylde følgende krav:
- Cloud Admin API skal være aktiveret.
- du skal give Cloud Auth auth fuldmagt med Google Cloud authentication credentials.
- du skal angive en gyldig databasebrugerkonto og adgangskode til Cloud Auth-fuldmagten.
-
instansen skal enten have en offentlig IPv4-adresse eller være konfigureret til at brugeprivate IP.
den offentlige IP-adresse behøver ikke at være tilgængelig for nogen ekstern adresse(Den behøver ikke tilføjes som en autoriseret netværksadresse).
Startup options
når du starter Cloud Auth-fuldmagten, giver du den følgende oplysninger:
- til
- hvor det vil lytte til data, der kommer fra din ansøgning, der skal sendes til Cloud kvm
- hvor det vil finde de legitimationsoplysninger, det vil bruge til at godkende din ansøgning til Cloud kvm
- hvis det kræves, hvilken IP-adressetype der skal bruges.
de opstartsmuligheder, du giver, bestemmer, om den vil lytte på en tcport eller på et enkelt stik. Hvis den lytter på en stikkontakt, opretter den socket på det sted, du vælger; normalt /cloudshl/ directory.For TCP lytter Cloud auth-fuldmagten som standard til localhost.
Kør cloud_sql_proxy eksekverbar med argumentet --help tilse den komplette liste over startindstillinger.
du kan installere Cloud Auth-fuldmagten hvor som helst i dit lokale miljø. Placeringen af de binære binære filer i skyen påvirker ikke, hvor den lytter efter data fra din applikation.
brug af en servicekonto til godkendelse
Cloud Auth-fuldmagten kræver godkendelse. Fordelen ved at bruge en servicekonto tildette formål er, at du kan oprette en legitimationsfil specifikt til Microsoft Auth auth, og den er eksplicit og permanent knyttet til Cloud auth auth, så længe den kører. Af denne grund er brug af en servicekonto den anbefalede metode til produktioninstanser, der ikke kører på en Compute Engine-forekomst.
legitimationsfilen kan duplikeres i et systembillede, hvis du har brug for at påberåbe sig en automatisk fuldmagt fra flere maskiner.
for at bruge denne metode skal du oprette og administrere legitimationsfilen. Kun brugere med tilladelsen resourcemanager.projects.setIamPolicy (f.eks. projektejere) kan oprette tjenestekontoen. Hvis yourGoogle Cloud-bruger ikke har denne tilladelse, skal du have nogen til at oprette servicekontoen for dig eller bruge en anden metode til at autentificere Cloud Authh-fuldmagten.
du kan få hjælp til at oprette en legitimationsfil under oprettelse af en servicekonto.
påkrævede tilladelser til servicekonti
når du bruger en servicekonto til at angive legitimationsoplysningerne til Cloud Auth-fuldmagten, skal du oprette den med tilstrækkelige tilladelser. Hvis du bruger rollerne finere grainedIdentity Access and Management (iam) til at administrere dine tilladelser, skal du give servicekontoen en rolle, der inkluderer tilladelsen cloudsql.instances.connect. De foruddefinerede cloud-roller, der inkluderer denne tilladelse, er:
- Cloud-klient
- Cloud-Editor
- Cloud-Administrator
hvis du bruger de ældre projektroller (fremviser, redaktør, ejer), skal servicekontoen mindst have Redigeringsrollen.
indstillinger for angivelse af cloud-instanser
der er flere måder at fortælle Cloud-instanser, hvilke instanser du vil oprette forbindelse til. Nogle er eksplicitte og nogle er implicitte. I nogle konfigurationer behøver du ikke at fortælle Cloud Auth auth-fuldmagten på forhånd, hvilke tilfælde du vil oprette forbindelse til, fordi Cloud Auth-fuldmagten forbinder baseret på forbindelsesanmodninger.
dine muligheder for eksempel specifikation afhænger af dit operativsystem og miljø:
| mulighed | fordele | forbehold og krav | Linuks / macOS | Java | vinduer | noter |
|---|---|---|---|---|---|---|
| sikring (filsystem i brugerrum) |
oprettelse af dynamisk sokkel baseret på forbindelsesanmodninger; ingen fuldmagt genstarter, når forekomster ændres. | sikringen skal installeres. | understøttet | Nej | Nej | brug -fuse flag. |
| automatisk forekomst opdagelse | ingen grund til at angive forekomster; sockets oprettet for alle forekomster i standard projekt. | brug af Cloud-API ‘ er øges. Skal have Cloud SDK installeret og godkendt, med et standard projekt sæt. For at tilføje en ny forekomst. | understøttet | Nej | Nej | anbefales ikke til produktionsinstanser. |
| Project discovery | ingen grund til at angive forekomster; stikkontakter oprettet for alle forekomster i specificerede projekter. | brug af Cloud-API ‘ er øges. Cloud SDK skal være installeret og godkendt. For at tilføje en ny forekomst. | understøttet | Nej | Nej | brug -projects parameter. Anbefales ikke til produktionsforekomster. |
| instanser, der er angivet på Cloud Auth auth fuldmagt påkaldelse | Instansliste kendt og statisk. | skal genstarte Cloud automatisk fuldmagt for at tilføje ny forekomst. | understøttet | understøttet med TCP-stik | understøttet med TCP-stik | brug -instances parameter. I flere tilfælde skal du bruge en kommasepareret liste uden mellemrum. Lær mere. |
| forekomster, der er angivet ved hjælp af Compute Engine-metadata | Instanslisten, kan opdateres ved at ændre metadataværdien uden at genstarte cloud-auth-fuldmagten. | kun tilgængelig på Compute Engine. | understøttet | understøttet med TCP-stik | understøttet med TCP-stik | brug -instances_metadata flag. Lær mere. |
se eksempel på påkaldelser og forbindelsesstrenge.
at holde Cloud Auth-fuldmagten opdateret
Google frigiver lejlighedsvis nye versioner af Cloud auth-fuldmagten. Du kan se, hvad den nuværende version er ved at kontrollere siden med authub releases.Fremtidige fuldmagtsudgivelser vil også blive noteret iGoogle Groups Cloud-annonceringsforum.
API-brug
Cloud Auth-fuldmægtig udsteder anmodninger til Cloud Admin API. Disse anmodninger tæller API-kvoten for dit projekt.
den højeste API-brug opstår, når du starter Cloud; dette er især sandthvis du bruger automatisk instansopdagelse eller parameteren -projects. Mens den automatiske fuldmagt kører, udsteder den 2 API-opkald pr.
om oprettelse af en særlig brugerkonto til Cloud Auth-fuldmagten
når du opretter forbindelse til din forekomst ved hjælp af Cloud auth-fuldmagten, angiver du en brugerkontodet bruges til at logge ind på forekomsten. Du kan bruge enhver databasebrugerkontotil dette formål. Men fordi Cloud-auth-fuldmægtig altid opretter forbindelse fra et værtsnam, der ikke kan tilgås undtagen af Cloud-auth-fuldmægtigen, kan du oprette en brugerkonto, der kun kan bruges af Cloud-auth-fuldmægtigen. Fordelen ved at gøre dette er, at du kanAngiv denne konto uden en adgangskode uden at gå på kompromis med sikkerheden fordin instans eller dine data.
Angiv værtsnavnet som'cloudsqlproxy~', hvis du vil oprette en brugerkonto til Cloud-forbindelser. Du kan også bruge IP-adressenvildkort, hvilket ville resultere i 'cloudsqlproxy~%'. Det fulde brugerkontonavn ville være:
''@'cloudsqlproxy~%'eller
''@'cloudsqlproxy~'du kan få hjælp til at oprette en bruger under oprettelse og administration af brugere.Du kan finde oplysninger om,hvordan Cloud fungerer med brugerkonti, under Brugere. Du kan finde oplysninger om brugerkonti ved at se de oprindelige brugerkonti i dokumentationen.
parametre og flag for automatisk fuldmagt i skyen
automatisk fuldmagt i skyen accepterer flere flag og parametre, når den startes. Disse muligheder bestemmer, hvor og hvordan Cloud-auth-fuldmagten opretter de stikkontakter, den bruger til at kommunikere med Cloud-AUTHR, og hvordan den autentificerer.
se følgende oplysninger for at få hjælp til Indstillinger for automatisk fuldmagt til Cloud:
- Indstillinger for autentificering af Cloud auth auth fuldmægtig
- Indstillinger for angivelse af cloud instanser
- eksempel Cloud auth auth fuldmægtig påkaldelser
- Cloud auth auth fuldmægtig GitHub page
- Cloud Auth auth fuldmægtig hjælp, der vises med
./cloud_sql_proxy -help
Sådan bruges FUSE med Cloud Auth fuldmagt
FUSE står for”filsystem in User Space”.Afhængigt af hvordan Cloud-auth-fuldmagten påberåbes, kan den bruge FUSE til at oprette de stikkontakter, den bruger til at oprette forbindelse til Cloud.
når du tilslutter fra Compute Engine eller lokale udviklingsmiljøer, bruger fuse til at få adgang til cloud-instanser som følger:
-
den” / clouds ” mappe er monteret som et filsystem i Userspace, orFUSE, ved Cloud auth fuldmagt.
-
en proces (for eksempel
mysql) forsøger at slå en fil med navnet $INSTANCE op. -
Cloud Auth-fuldmagten opfanger anmodningen og returnerer, at
/cloudsql/$INSTANCEer et asymbolisk link, der peger på et enkelt stik, der er placeret et andet sted på filsystemet. -
processen (for eksempel
mysql) følger linket og åbner unik stikat det fører til og forbinder.
installation af FUSE
til Fuse:
FUSE kræver programmet fusermount og et kernemodul tilfunktion. Du kan kontrollere, om dette program er installeret ved at kigge efterfilen, /dev/fuse/. Hvis fusermount ikke er på dit system, kan du installere detved hjælp af din pakkehåndtering eller kompilering fra kilden.
til macOS:
installer sikring til macOS.
brug af Cloud Auth-fuldmægtig i et produktionsmiljø
når du bruger Cloud auth-fuldmægtig i et produktionsmiljø, er der nogle trin, du kan tage for at sikre, at Cloud auth-fuldmægtigen giver den påkrævede tilgængelighed til din applikation.
sørg for, at Cloud-auth-fuldmagten køres som en vedvarende tjeneste
hvis Cloud-auth-fuldmægtigprocessen stoppes, fjernes alle eksisterende forbindelser gennem den, og din applikation kan ikke oprette flere forbindelser til cloud-instansen med Cloud-auth-fuldmagten. For at forhindre dette scenario skal du sørge for at køre Cloud Auth auth-fuldmagten som en vedvarende tjeneste, så hvis Cloud Auth Auth-fuldmagten afsluttes for enhver grund, genstartes den automatisk. Dette kan opnås ved at bruge aservice som systemd, upstart eller supervisor. For vinduerne, der opererersystem, skal du køre Cloud Auth auth-fuldmagten som en vinduer-tjeneste. Generelt skal du sørge for, at Cloud-auth-fuldmagten har de samme krav til oppetid som din ansøgningsproces.
hvor mange kopier af Cloud Auth-fuldmagten din ansøgning har brug for
der er ingen grund til at oprette en fuldmagtsproces for hver ansøgningsproces; manyapplikationsprocesser kan dele en enkelt Cloud auth-fuldmagtsproces. Kør en Cloud automatisk fuldmægtig klientproces pr. arbejdsstation eller virtuel maskine.
hvis du bruger automatisk skalering til virtuelle maskiner, skal du sørge for, at Cloud-auth-fuldmagten er inkluderet i din virtuelle maskinkonfiguration, så når en nyvirtuel maskine startes, har den sin egen cloud-auth-fuldmagtsproces.
det er op til dig at styre,hvor mange forbindelser din ansøgning kræver, enten ved at begrænse eller samle forbindelserne. Cloud Auth-fuldmagten placerer ikke nogen begrænsninger på nye forbindelseshastigheder eller vedvarende tilslutningstælling.
reduktion af automatisk fuldmagtsoutput
hvis du har brug for at reducere størrelsen på automatisk fuldmagtsloggen i skyen, kan du gøre det ved at indstille-verbose=false, når du starter automatisk fuldmagt i skyen. Husk dog, at doingso reducerer effektiviteten af Cloud Auth auth-fuldmagtsoutput til diagnosticering af forbindelsesproblemer.
hvordan failover påvirker Cloud-auth-fuldmagten
hvis du kører Cloud-auth-fuldmagten på en instans,der er konfigureret til høj tilgængelighed, og der opstår en failover, påvirkes forbindelser via Cloud-auth-fuldmagten på samme måde som forbindelser over IP: alle eksisterende forbindelser går tabt, og applikationen skal etablere nye forbindelser. Der kræves dog ingen manuel indgriben; applikationen kan fortsætte med at bruge de samme forbindelsesstrenge, som den var før.
at holde Cloud-billedet opdateret
Cloud-billedet er baseret på en specifik version af Cloud-billedet.Når en ny version af Cloud-Auth-fuldmagten bliver tilgængelig, skal du trække i den nyeversion af Cloud-Auth-fuldmagtsdocker-billedet for at holde dit miljø opdateret. Du kan se den aktuelle version af Cloud Auth auth-fuldmagten ved at kontrollere siden GitHub releases.
- få mere at vide om Cloud Auth-fuldmagten.