Cloud Foundation Fabric项目中Cloud SQL实例密码策略配置问题解析

问题背景

在Google Cloud Platform的Cloud Foundation Fabric项目中，用户在使用cloudsql-instance模块创建Cloud SQL数据库实例时，遇到了一个与密码验证策略相关的配置问题。当用户在Terraform配置中启用password_validation_policy设置时，数据库实例创建会失败，而注释掉该配置后则可以正常创建。

问题现象

用户在Terraform配置中设置了如下密码验证策略：

password_validation_policy = {
  enabled                     = true
  default_complexity          = true
  disallow_username_substring = true
  min_length                  = 10
  reuse_interval              = 5
}

当尝试创建数据库实例时，系统返回错误信息：

Error: Error, failed to create instance test-db: googleapi: Error 400: Invalid request: Root user's password is not policy compliant: Length of password cannot be less than 10. Password does not meet the complexity criteria.

问题根源分析

经过深入分析，发现该问题由两个关键因素导致：

1. 随机生成的密码不符合复杂性要求：当password_validation_policy.default_complexity设置为true时，密码必须包含大小写字母、数字和特殊字符的组合。而模块默认生成的随机密码可能不满足这些复杂性要求。

2. 根用户密码处理机制：当root_password参数未显式设置（默认为null）时，系统不会为根用户设置密码，这与密码验证策略产生了冲突。这是Google Cloud SQL API的一个已知限制。

解决方案

项目团队通过以下方式解决了这个问题：

1. 增强随机密码生成逻辑：修改了随机密码生成器，确保生成的密码包含：

   • 小写字母
   • 大写字母
   • 数字
   • 特殊字符
   • 满足最小长度要求

2. 显式处理根用户密码：当用户未提供root_password时，模块现在会自动生成一个符合密码策略要求的随机密码，而不是传递null值。这一改变确保了数据库实例创建时根用户密码能够满足所有验证策略要求。

技术实现细节

在实现上，主要做了以下改进：

1. 在密码生成器中增加了明确的字符类型要求：

   • 至少1个小写字母
   • 至少1个大写字母
   • 至少1个数字
   • 至少1个特殊字符

2. 对于根用户密码，实现了自动生成机制：

   • 当root_password为null时自动生成密码
   • 生成的密码符合所有配置的密码策略要求
   • 密码长度至少为10个字符（可配置）

注意事项

这一变更带来了一个行为上的重要变化：以前当root_password参数省略时，系统不会设置根用户密码；而现在则会自动生成一个符合策略的随机密码。这一改变提高了安全性，但可能影响某些依赖无密码根用户的现有部署。

最佳实践建议

对于使用Cloud Foundation Fabric项目中cloudsql-instance模块的用户，建议：

1. 始终明确配置密码验证策略，确保数据库安全
2. 如果需要自定义根用户密码，请显式设置root_password参数
3. 定期轮换数据库密码，特别是自动生成的密码
4. 妥善保管生成的密码，可通过Terraform输出或Secret Manager存储

通过这些问题修复和功能增强，Cloud Foundation Fabric项目现在能够更好地支持Cloud SQL实例的安全配置，同时保持了易用性和灵活性。