Mit autorisierten Netzwerken autorisieren

Auf dieser Seite wird gezeigt, wie Sie mithilfe der Einstellungen für autorisierte Netzwerke eine Verbindung zu Cloud SQL-Instanzen herstellen, die IP-Adressen verwenden.

Einführung

Beim Herstellen einer Verbindung zu einer Cloud SQL-Instanz müssen zwei Aspekte berücksichtigt werden:

  • Mit den Verbindungsoptionen legen Sie fest, über welchen Netzwerkpfad Sie eine Verbindung zu einer Instanz herstellen.
  • Mit den Authentifizierungsoptionen bestimmen Sie, wer Verbindungen herstellen darf.

Wenn Sie das erste Mal eine Cloud SQL-Instanz erstellen, wird ihr bei aktiver Standardeinstellung eine öffentliche IP-Adresse zugewiesen. Sollten Sie diese Option übernehmen, finden Sie die IP-Adresse auf der Seite der Instanzübersicht. Klicken Sie dort auf den Instanznamen.

Auch wenn Ihre Instanz nur eine öffentliche IP-Adresse hat, können Sie mit dem Cloud SQL Auth-Proxy eine sichere Verbindung zu ihr herstellen. Der gesamte Traffic zwischen dem Cloud SQL Auth-Proxy und Ihrer Cloud SQL-Instanz wird verschlüsselt. Wenn Sie den Proxy nicht verwenden und eine Verbindung zu Ihrem Client mit Ihrer eigenen öffentlichen IP-Adresse herstellen, müssen Sie die öffentliche Adresse Ihres Clients als autorisiertes Netzwerk hinzufügen.

Autorisierte Netzwerke konfigurieren

Die IP-Adresse oder der Adressbereich Ihrer Clientanwendung muss für die folgenden Szenarien als authorized networks konfiguriert sein:

  • Die Clientanwendung stellt über ihre öffentliche IP-Adresse eine direkte Verbindung zu einer Cloud SQL-Instanz her.
  • Ihre Clientanwendung stellt eine direkte Verbindung zu einer Cloud SQL-Instanz über ihre private IP-Adresse her und die IP-Adresse Ihres Clients ist eine Adresse außerhalb des RFC 1918-Bereichs.

Die IP-Adresse kann entweder ein einzelner Endpunkt oder ein Bereich in CIDR-Notation sein.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud SQL-Instanzen.

    Cloud SQL-Instanzen aufrufen

  2. Klicken Sie auf den Instanznamen, um die entsprechende Übersicht zu öffnen.
  3. Wählen Sie im SQL-Navigationsmenü die Option Verbindung aus.
  4. Wählen Sie das Kästchen Öffentliche IP-Adressen aus.
  5. Klicken Sie auf Netzwerk hinzufügen.
  6. Geben Sie im Feld Name einen Namen für Neues Netzwerk ein.
  7. Geben Sie im Feld Netzwerk die IP-Adresse oder den Adressbereich ein, von dem aus Sie Verbindungen zulassen möchten.

    Verwenden Sie die CIDR-Notation.

  8. Klicken Sie auf Fertig.
  9. Klicken Sie auf Speichern, um die Instanz zu aktualisieren.

gcloud

Die Konfiguration autorisierter Netzwerke ersetzt die vorhandene Liste autorisierter Netzwerke.

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...
    

REST Version 1

Die Konfiguration autorisierter Netzwerke ersetzt die vorhandene Liste autorisierter Netzwerke.

Ersetzen Sie dabei folgende Werte für die Anfragedaten:

  • project-id: die Projekt-ID
  • instance-id: die Instanz-ID
  • network_range_1: eine autorisierte IP-Adresse oder ein autorisierter IP-Bereich
  • network_range_2: eine weitere autorisierte IP-Adresse oder ein weiterer autorisierter IP-Bereich

HTTP-Methode und URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

JSON-Text anfordern:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

REST v1beta4

Die Konfiguration autorisierter Netzwerke ersetzt die vorhandene Liste autorisierter Netzwerke.

Ersetzen Sie dabei folgende Werte für die Anfragedaten:

  • project-id: die Projekt-ID
  • instance-id: die Instanz-ID
  • network_range_1: eine autorisierte IP-Adresse oder ein autorisierter IP-Bereich
  • network_range_2: eine weitere autorisierte IP-Adresse oder ein weiterer autorisierter IP-Bereich

HTTP-Methode und URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON-Text anfordern:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

Beschränkungen

Einige IP-Adressbereiche können nicht als autorisierte Netzwerke hinzugefügt werden.

Adressbereich Hinweise
127.0.0.0/8 Loopback-Adressbereich
10.0.0.0/8 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
172.16.0.0/12 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
172.17.0.0/16 Für das Docker-Brückennetzwerk reserviert
192.168.0.0/16 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
0.0.0.0/8 RFC 3330-Null-Netzwerk
169.254.0.0/16 RFC 3927 und RFC 2373, Link-Local-Netzwerke
192.0.2.0/24 RFC 3330 und RFC 3849, Dokumentationsnetzwerke
224.0.0.0/4 RFC 3330- und IPv6-Multicast-Netzwerke
240.0.0.0/4 Dieser Block, der früher als Class-E-Adressbereich bezeichnet wurde, ist für die zukünftige Verwendung reserviert. Weitere Informationen finden Sie unter RFC 1112, Abschnitt 4.

Nächste Schritte