menu
arrow_back

Se connecter à Cloud SQL depuis une application dans Kubernetes Engine

—/100

Checkpoints

arrow_forward

Create required resources with the fully automated deployment

Se connecter à Cloud SQL depuis une application dans Kubernetes Engine

1 heure 15 minutes 7 crédits

GSP449

Google Cloud – Ateliers adaptés au rythme de chacun

Présentation

Cet atelier vous montre comment facilement connecter une application dans Kubernetes Engine à une instance de Cloud SQL en utilisant le conteneur du proxy Cloud SQL comme conteneur side-car. Vous allez déployer un cluster Kubernetes Engine et une instance Postgres Cloud SQL et utiliser le conteneur du proxy Cloud SQL, afin qu'ils puissent communiquer entre eux.

Cet atelier vous explique comment utiliser un conteneur du proxy Cloud SQL pour vous connecter à une instance Cloud SQL. Le processus sera le même pour tout service géré par GCP nécessitant un accès à l'API.

Cet atelier a été conçu par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre l'utilisation de Cloud SQL à travers un conteneur de proxy. Cliquez ici pour visualiser cette démonstration sur Github. Nous vous invitons tous à enrichir nos ressources !

Les points essentiels sont :

  • Protéger votre base de données contre les accès non autorisés en utilisant un compte de service non privilégié sur les nœuds Kubernetes Engine.

  • Intégrer les identifiants d’un compte de service non privilégié à un conteneur exécuté sur Kubernetes Engine.

  • Faire en sorte que le proxy Cloud SQL prenne en charge la connexion à votre instance Cloud SQL et limite le partage d’informations relatives à vos infrastructures avec vos applications.

Comptes de service non privilégiés

Tous les nœuds Kubernetes Engine se voient attribuer le compte de service Compute Engine par défaut. Ce compte de service comporte des privilèges relativement élevés et peut accéder à de nombreux services GCP. Du fait de la configuration du cloud SDK Google Cloud, les logiciels que vous concevez devront utiliser les identifiants attribués à l’instance Compute Engine sur laquelle ils sont exécutés. Pour éviter d’accorder les privilèges du compte de service Compute Engine par défaut à tous vos conteneurs, vous allez devoir créer un compte de service possédant moins de privilèges, que vous utiliserez sur vos nœuds Kubernetes Engine. Vous créerez ensuite des comptes de service plus spécifiques, dont les privilèges seront aussi réduits, pour vos conteneurs.

Comptes de service avec privilèges dans les conteneurs

Voici les deux seuls moyens à travers lesquels vous pouvez acquérir des identifiants de compte de service :

  1. votre hôte bastion (ce qui est déconseillé)
  2. un fichier d’identifiants

Cet atelier va vous apprendre à intégrer un fichier d’identifiants à votre conteneur exécuté sur Kubernetes Engine afin d’accorder les privilèges nécessaires à votre application.

Proxy Cloud SQL

Le proxy Cloud SQL vous permet de décharger les tâches de création et de maintien de la connexion à votre instance Cloud SQL sur le processus du proxy Cloud SQL. Ainsi, les informations concernant votre connexion ne sont pas partagées avec votre application, ce qui garantit une meilleure gestion des codes secrets. Le proxy Cloud SQL intègre nativement Google en tant que conteneur Docker, qui peut être exécuté parallèlement au conteneur de votre application, dans le même pod Kubernetes Engine.

Inscrivez-vous sur Qwiklabs pour consulter le reste de cet atelier, et bien plus encore.

  • Obtenez un accès temporaire à Google Cloud Console.
  • Plus de 200 ateliers, du niveau débutant jusqu'au niveau expert.
  • Fractionné pour vous permettre d'apprendre à votre rythme.
Inscrivez-vous pour démarrer cet atelier