将蟑螂DB从本地机迁移到GCP Kubernetes发动机

Question

• 按照指令这里创建本地3节点安全群集
• 获得运行以下DB连接字符串的go示例应用程序，以连接到安全群集 sql.Open("postgres", "postgresql://root@localhost:26257/dbname?sslmode=verify-full&sslrootcert=<location of ca.crt>&sslcert=<location of client.root.crt>&sslkey=<location of client.root.key>")

蟑螂DB在本地运行良好，所以我决定使用这里指令将DB (如DB解决方案而不是实际数据)移动到GCP Kubernetes引擎。

所有操作都很好--创建并可以使用云控制台中内置的SQL客户端。

现在，我想使用前面的示例应用程序连接到这个新的云DB。我使用kubectl expose命令创建了一个负载均衡器，并在代码中使用了一个公共ip。

如何将新的ca.crt, client.root.crt, client.root.key文件用于在GCP上运行的DB的连接字符串中？

我们有5+开发人员，想法是让他们在本地机器上编写代码，并使用连接字符串和证书连接到云数据库。

还是有更好的方法让5+开发人员使用运行在GCP上的单个DEV集群？

Answer 1

对Kubernetes CockroachDB集群运行的推荐方法是在同一个集群中运行您的应用程序。这使得证书生成相当简单。请参阅内置SQL客户端示例及其配置文件。

上面的配置使用init容器为客户端证书发送CSR，并将它们提供给容器(在本例中，只有蟑螂sql客户端，但它将是其他任何东西)。

如果希望在kubernetes集群之外运行客户机，最简单的方法是直接从客户端荚复制生成的证书。建议使用非root用户：

• 通过SQL命令进行创建用户
• 为新用户修改client-secure.yaml配置，并启动新的客户端吊舱
• 批准客户端证书的CSR
• 等待吊舱完成初始化
• 将ca.crt、client.<username>.crt和client.<username>.key从吊舱复制到本地机器上

备注：您的kubernetes集群的公共DNS或IP地址很可能是，而不是节点证书中包含的。您需要在打开节点之前修改主机名/地址列表，或者将连接URL更改为sslmode=verify-ca (有关详细信息，请参阅客户端连接参数 )。

或者，您可以使用密码身份验证，在这种情况下，您只需要CA证书。