Autoriza con redes autorizadas

En esta página, se describe cómo usar la configuración de redes autorizadas para conectar a instancias de Cloud SQL que usan direcciones IP.

Introducción

Cuando te conectas a una instancia de Cloud SQL, debes tener en cuenta las siguientes dos consideraciones:

  • Las opciones de conexión determinan qué ruta de red usarás para conectarte.
  • Las opciones de autenticación determinan quién puede conectarse.

Cuando creas una instancia de Cloud SQL por primera vez, la configuración predeterminada consiste en asignar una dirección IP pública a la instancia. Si aceptas esa opción, podrás encontrar la dirección IP en la página Descripción general de las instancias. En esa página, haz clic en el nombre de la instancia.

Aunque tu instancia tenga solo una dirección IP pública, puedes conectarte a ella de forma segura mediante el proxy de autenticación de Cloud SQL. Se encriptará todo el tráfico entre el proxy de autenticación de Cloud SQL y tu instancia de Cloud SQL. Si no usas el proxy y conectas el cliente desde tu propia dirección IP pública, debes agregar la dirección pública del cliente como una red autorizada.

Configura redes autorizadas

La dirección IP o el rango de direcciones IP de tu aplicación cliente deben configurarse como authorized networks para las siguientes condiciones:

  • La aplicación cliente se conecta directamente a una instancia de Cloud SQL desde su dirección IP pública.
  • La aplicación cliente se conecta directamente a una instancia de Cloud SQL desde su dirección IP privada, y la dirección IP del cliente no es RFC 1918.

La dirección IP puede ser un solo extremo o un rango en notación CIDR.

Console

  1. En Google Cloud Console, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Haz clic en el nombre de la instancia para abrir la página Descripción general de esa instancia.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Selecciona la casilla de verificación IP pública.
  5. Haz clic en Agregar red.
  6. En el campo Nombre, ingresa un nombre para la Red nueva.
  7. En el campo Red*, ingresa la dirección o rango de direcciones IP desde las que desees permitir las conexiones.

    Usa la notación CIDR.

  8. Haga clic en Listo.
  9. Haz clic en Guardar para actualizar la instancia.

gcloud

La configuración de redes autorizadas reemplaza la lista de redes autorizadas existente.

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...
    

REST v1

La configuración de redes autorizadas reemplaza la lista de redes autorizadas existente.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • project-id: El ID del proyecto
  • instance-id: El ID de la instancia
  • network_range_1: Un rango o una dirección IP autorizados
  • network_range_2: Otro rango o dirección IP autorizados

Método HTTP y URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

Cuerpo JSON de la solicitud:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la siguiente:

REST v1beta4

La configuración de redes autorizadas reemplaza la lista de redes autorizadas existente.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • project-id: El ID del proyecto
  • instance-id: El ID de la instancia
  • network_range_1: Un rango o una dirección IP autorizados
  • network_range_2: Otro rango o dirección IP autorizados

Método HTTP y URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Cuerpo JSON de la solicitud:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la siguiente:

Limitaciones

Algunos rangos de direcciones IP no se pueden agregar como redes autorizadas.

Rango de direcciones Notas
127.0.0.0/8 Rango de direcciones de bucle invertido
10.0.0.0/8 Rango de direcciones RFC 1918. Cloud SQL las incluye de manera implícita y automática en las redes autorizadas
172.16.0.0/12 Rango de direcciones RFC 1918. Cloud SQL las incluye de manera implícita y automática en las redes autorizadas
172.17.0.0/16 Reservado para la red de puente Docker
192.168.0.0/16 Rango de direcciones RFC 1918. Cloud SQL las incluye de manera implícita y automática en las redes autorizadas
0.0.0.0/8 Red nula de RFC 3330
169.254.0.0/16 RFC 3927 y RFC 2373, redes de vínculos locales
192.0.2.0/24 RFC 3330 y RFC 3849, redes de documentación
224.0.0.0/4 RFC 3330, redes de multidifusión
240.0.0.0/4 Este bloque, antes conocido como el espacio de direcciones de Clase E, está reservado para uso futuro. Consulta RFC 1112, Sección 4.

¿Qué sigue?