IP 許可リストを使用して接続を構成する

概要

パブリック IP 接続は、ソース データベースが Google Cloudの外部にあり、外部からアクセス可能な IPv4 アドレスと TCP ポートがある場合に適しています。ソース データベースが Google Cloudの別の VPC でホストされている場合、ソース データベースを Cloud SQL インスタンスに接続する最も簡単な方法は、VPC ピアリングを使用することです。

ソース データベースが Google Cloudの外部にある場合は、移行先データベースの送信 IP アドレス（およびポート 5432）をソース ネットワークの受信ファイアウォール ルールとして追加します。一般的には（ネットワーク設定によって異なる場合があります）、次の操作を行います。

1. 移行元データベース マシンのネットワーク ファイアウォール ルールを開きます。

2. 受信ルールを作成します。

3. ルールの種類を PostgreSQL に設定します。

4. プロトコルを TCP に設定します。

5. ポート範囲を 5432 に設定します。

6. 送信元 IP アドレスを宛先データベースの送信 IP アドレスに設定します。例: 12.20.36.126/32。（CIDR 表記の /32 指定により、アドレス範囲は指定された 1 つのアドレスに制限されます。サブネット マスクを 255.255.255.255 に設定しています）。作成した Cloud SQL インスタンスが高可用性インスタンスの場合は、プライマリ インスタンスとセカンダリ インスタンスの両方の送信 IP アドレスを含めます。

   Google Cloud Console の [SQL インスタンス] ページを使用して、発信 IP アドレスを特定できます。

   この IP アドレスからの接続を受け入れるように、pg_hba.conf ファイルまたは AWS RDS セキュリティ グループを更新します。

7. ファイアウォール ルールを保存して終了します。

また、ソース接続プロファイルの定義時に SSL/TLS を使用して、ソースとの間で送受信されるデータが保護されるようにすることを強くおすすめします。