承認済みネットワークを使用して承認する

MySQL | PostgreSQL | SQL Server

このページでは、IP アドレスを使用する Cloud SQL インスタンスへの接続に承認済みネットワーク設定を使用する方法について説明します。

承認済みネットワークを構成する

クライアントアプリケーションの IP アドレスまたはアドレス範囲は、次の場合に authorized networks として構成する必要があります。

クライアントアプリケーションが、パブリック IP アドレスで Cloud SQL インスタンスに直接接続している。
クライアントアプリケーションが、プライベート IP アドレスで Cloud SQL インスタンスに直接接続していて、クライアントの IP アドレスが RFC 1918 以外のアドレスになっている。

IP アドレスは、単一のエンドポイントにすることも、CIDR 表記の範囲にすることもできます。

コンソール

Google Cloud コンソールで Cloud SQL の [インスタンス] ページに移動します。

Cloud SQL の [インスタンス] に移動
インスタンスの [概要] ページを開くには、インスタンス名をクリックします。
SQL ナビゲーションメニューから [接続] を選択します。
[パブリック IP] チェックボックスをオンにします。
[ネットワークを追加] をクリックします。
[名前] フィールドに、新しいネットワークの名前を入力します。
[ネットワーク] フィールドに、接続を許可する IP アドレスまたはアドレス範囲を入力します。
CIDR 表記を使用します。
[完了] をクリックします。
[保存] をクリックしてインスタンスを更新します。

gcloud

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...

Terraform

承認済みネットワークを構成するには、Terraform リソースを使用します。

sql_mysql_instance_authorized_network/main.tf

GitHub で表示

resource "google_sql_database_instance" "instance" {
  name             = "mysql-instance-with-authorized-network"
  region           = "us-central1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      authorized_networks {
        name = "Network Name"
        value = "192.0.2.0/24"
        expiration_time = "3021-11-15T16:19:00.094Z"
      }
    }
  }
  deletion_protection =  "true"
}

REST v1

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

リクエストのデータを使用する前に、次のように置き換えます。

project-id: プロジェクト ID
instance-id: インスタンス ID
network_range_1: 認可済みの IP アドレスまたは範囲
network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 以下のコマンドでは、ご利用のユーザーアカウントで gcloud を認証する際に gcloud init または gcloud auth login を使用していることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id"

PowerShell（Windows）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

レスポンス

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

リクエストのデータを使用する前に、次のように置き換えます。

project-id: プロジェクト ID
instance-id: インスタンス ID
network_range_1: 認可済みの IP アドレスまたは範囲
network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id"

PowerShell（Windows）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

レスポンス

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

制限事項

一部の IP アドレス範囲は、承認済みネットワークとして追加できません。

アドレス範囲	注
127.0.0.0/8	ループバックアドレス範囲
10.0.0.0/8	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
172.16.0.0/12	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
172.17.0.0/16	Docker ブリッジネットワーク用に予約されています。
192.168.0.0/16	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
0.0.0.0/8	RFC 3330 null ネットワーク
169.254.0.0/16	RFC 3927 と RFC 2373、リンクローカルネットワーク
192.0.2.0/24	RFC 3330 と RFC 3849、ドキュメントネットワーク
224.0.0.0/4	RFC 3330、マルチキャストネットワーク
240.0.0.0/4	このブロック（旧称: クラス E アドレス空間）は、将来の使用のために予約されています。RFC 1112、セクション 4 をご覧ください。

次のステップ

インスタンスのアクセス制御の詳細を確認する。
インスタンスを構成して、SSL / TLS を使用する。
SSL / TLS を使用して MySQL クライアントからインスタンスに接続する。