menu
arrow_back

Conectar-se ao Cloud SQL por um aplicativo do Kubernetes Engine

—/100

Checkpoints

arrow_forward

Create required resources with the fully automated deployment

Conectar-se ao Cloud SQL por um aplicativo do Kubernetes Engine

1 hora 15 minutos 7 créditos

GSP449

Laboratórios autoguiados do Google Cloud

Visão geral

Este laboratório mostra como é fácil conectar um aplicativo do Kubernetes Engine a uma instância do Cloud SQL usando o contêiner de proxy do Cloud SQL como um contêiner de arquivo secundário. Você implantará um cluster do Kubernetes Engine e uma instância Postgres do Cloud SQL e usará um contêiner de proxy do Cloud SQL para permitir a comunicação entre eles.

O tema do laboratório é como estabelecer uma conexão com uma instância do Cloud SQL usando um contêiner de proxy, mas os conceitos são iguais para qualquer serviço gerenciado do GCP que precise de acesso à API.

O laboratório foi criado por engenheiros do GKE Helmsman para ajudar você a entender melhor o Cloud SQL por meio de um contêiner de proxy. Para ver a demonstração disponível no Github, clique aqui. Incentivamos todos a contribuírem com nossos recursos.

Os principais tópicos são:

  • Como proteger um banco de dados contra acesso não autorizado usando uma conta de serviço sem privilégios nos nós do Kubernetes Engine.

  • Como colocar credenciais de conta de serviço privilegiada em um contêiner em execução no Kubernetes Engine.

  • Como usar o proxy do Cloud SQL para diminuir o trabalho de conexão à instância do Cloud SQL e reduzir as informações que os aplicativos têm sobre sua estrutura.

Contas de serviço sem privilégios

Todos os nós do Kubernetes Engine recebem a conta de serviço padrão do Compute Engine. A conta de serviço tem um privilégio consideravelmente alto e acesso a muitos serviços do GCP. Devido à configuração do SDK do Google Cloud, o software que você escrever usará as credenciais atribuídas à instância do Compute Engine em que está sendo executado. Para impedir que todos os contêineres tenham os privilégios da conta de serviço padrão do Compute Engine, é necessário criar uma conta de serviço com privilégios mínimos para os nós do Kubernetes Engine e criar outras contas mais específicas (mas com menos privilégios) para os contêineres.

Contas de serviço privilegiadas em contêineres

É possível receber credenciais de conta de serviço de duas formas:

  1. Pela instância do host (o que não é recomendado)
  2. Com um arquivo de credenciais

Este laboratório mostrará como inserir o arquivo de credenciais em um contêiner em execução no Kubernetes Engine para que o aplicativo tenha os privilégios necessários.

Proxy do Cloud SQL

Com o proxy do Cloud SQL, é possível delegar ao processo a tarefa de criar e manter a conexão com a instância do serviço. Assim, o aplicativo não terá informações sobre a conexão, e o gerenciamento dos secrets será mais simples. O Google inclui o proxy do Cloud SQL como um contêiner do Docker que pode ser executado com o contêiner do aplicativo, no mesmo pod do Kubernetes Engine.

Participe do Qwiklabs para ler o restante deste laboratório e muito mais!

  • Receber acesso temporário a Console do Google Cloud.
  • Mais de 200 laboratórios, do nível iniciante ao avançado.
  • Tamanho compacto para que você possa aprender no seu próprio ritmo.
Participe para iniciar este laboratório