Autorizzazione con reti autorizzate

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come utilizzare le impostazioni delle reti autorizzate per connettersi alle istanze Cloud SQL che utilizzano gli indirizzi IP.

Configurazione di reti autorizzate

L'indirizzo IP o l'intervallo di indirizzi della tua applicazione client deve essere configurato come authorized networks per le seguenti condizioni:

  • L'applicazione client si connette direttamente a un'istanza Cloud SQL sul proprio indirizzo IP pubblico.
  • La tua applicazione client si connette direttamente a un'istanza Cloud SQL sul suo indirizzo IP privato e l'indirizzo IP del client è un indirizzo non RFC 1918

L'indirizzo IP può essere un singolo endpoint o essere costituito da un intervallo di notazione CIDR.

Console

  1. In Google Cloud Console, vai alla pagina Istanze Cloud SQL.

    Vai alle istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul suo nome.
  3. Seleziona Connessioni dal menu di navigazione SQL.
  4. Seleziona la casella di controllo IP pubblico.
  5. Fai clic su Aggiungi rete.
  6. Nel campo Nome, inserisci un nome per la Nuova rete.
  7. Nel campo Rete*, inserisci l'indirizzo IP o l'intervallo di indirizzi da cui vuoi consentire le connessioni.

    Utilizza la notazione CIDR.

  8. Fai clic su Fine.
  9. Fai clic su Salva per aggiornare l'istanza.

gcloud

La configurazione delle reti autorizzate sostituisce l'elenco di reti autorizzate esistenti.

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...
    

Terraform

Per configurare le reti autorizzate, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "instance" {
  name             = "mysql-instance-with-authorized-network"
  region           = "us-central1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      authorized_networks {
        name = "Network Name"
        value = "192.0.2.0/24"
        expiration_time = "3021-11-15T16:19:00.094Z"
      }
    }
  }
  deletion_protection = false # set to true to prevent destruction of the resource
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi seguenti:

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud a cui vuoi applicare la configurazione Terraform:
    export GOOGLE_CLOUD_PROJECT=PROJECT_ID
    
  3. Crea una directory e apri un nuovo file al suo interno. Il nome file deve avere l'estensione .tf, ad esempio main.tf:
    mkdir DIRECTORY && cd DIRECTORY && nano main.tf
    
  4. Copia l'esempio in main.tf.
  5. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  6. Salva le modifiche premendo Ctrl-x, quindi y.
  7. Inizializza Terraform:
    terraform init
  8. Rivedi la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  9. Applica la configurazione Terraform eseguendo il comando seguente e inserendo yes nel prompt:
    terraform apply

    Attendi finché Terraform non visualizza il messaggio "Applica completato".

  10. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle tue risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche, procedi come segue:

  1. Per disabilitare la protezione da eliminazione, nel file di configurazione Terraform imposta l'argomento deletion_protection su false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il comando seguente e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il comando seguente e inserendo yes al prompt:

    terraform destroy

REST v1

La configurazione delle reti autorizzate sostituisce l'elenco di reti autorizzate esistenti.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza
  • network_range_1 Un indirizzo o intervallo IP autorizzato
  • network_range_2 Un altro indirizzo o intervallo IP autorizzato

Metodo HTTP e URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

Corpo JSON richiesta:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

La configurazione delle reti autorizzate sostituisce l'elenco di reti autorizzate esistenti.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza
  • network_range_1 Un indirizzo o intervallo IP autorizzato
  • network_range_2 Un altro indirizzo o intervallo IP autorizzato

Metodo HTTP e URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Corpo JSON richiesta:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

Limitazioni

Alcuni intervalli di indirizzi IP non possono essere aggiunti come reti autorizzate.

intervallo di indirizzi Note
127.0.0.0/8 Intervallo di indirizzi di loopback
10.0.0.0/8 Intervallo di indirizzi RFC 1918. Sono inclusi in modo automatico e implicito nelle reti autorizzate da Cloud SQL
172.16.0.0/12 Intervallo di indirizzi RFC 1918. Sono inclusi in modo automatico e implicito nelle reti autorizzate da Cloud SQL
172.17.0.0/16 Riservato per la rete del bridge Docker
192.168.0.0/16 Intervallo di indirizzi RFC 1918. Sono inclusi in modo automatico e implicito nelle reti autorizzate da Cloud SQL
0.0.0.0/8 Rete null RFC 3330
169.254.0.0/16 RFC 3927 e RFC 2373, reti locali link
192.0.2.0/24 RFC 3330 e RFC 3849, reti di documentazione
224.0.0.0/4 RFC 3330, reti multicast
240.0.0.0/4 Questo blocco, precedentemente noto come spazio di indirizzi di classe E, è riservato per uso futuro; consulta la sezione RFC 1112, sezione 4.

Passaggi successivi