承認済みネットワークによる承認

このページでは、IP アドレスを使用する Cloud SQL インスタンスへの接続に承認済みネットワーク設定を使用する方法について説明します。

はじめに

Cloud SQL インスタンスに接続する場合は、次の 2 つの点を考慮します。

  • 接続オプションによって、接続に使用するネットワーク パスが決まります。
  • 認証オプションによって、接続が許可すされるユーザーが決まります。

初めて Cloud SQL インスタンスを作成する場合、デフォルトの設定ではインスタンスにパブリック IP アドレスを割り当てます。このオプションを使用する場合、IP アドレスはインスタンスの概要ページで確認できます。そのページにあるインスタンス名をクリックします。

インスタンスにあるのがパブリック IP アドレスのみの場合でも、Cloud SQL Proxy を使用して安全に接続できます。Cloud SQL Proxy と Cloud SQL インスタンスの間のすべてのトラフィックは暗号化されます。プロキシを使用せず、独自のパブリック IP アドレスからクライアントを接続する場合は、クライアントのパブリック アドレスを承認済みネットワークとして追加する必要があります。

承認済みネットワークの構成

クライアント アプリケーションの IP アドレスまたはアドレス範囲は、次の場合に authorized networks として構成する必要があります。

  • クライアント アプリケーションが、パブリック IP アドレスで Cloud SQL インスタンスに直接接続している。
  • クライアント アプリケーションが、プライベート IP アドレスで Cloud SQL インスタンスに直接接続していて、クライアントの IP アドレスが RFC 1918 以外のアドレスになっている。

IP アドレスは、単一のエンドポイントにすることも、CIDR 表記の範囲にすることもできます。

Console

  1. Google Cloud Console の Cloud SQL インスタンス ページに移動します。

    [Cloud SQL インスタンス] ページに移動

  2. インスタンス名をクリックして [インスタンスの詳細] ページを開きます。
  3. [接続] タブを選択します。
  4. [ネットワークを追加] をクリックします。
  5. [ネットワーク] フィールドに、接続を許可する IP アドレスまたはアドレス範囲を入力します。

    CIDR 表記を使用します。

  6. 必要に応じて、このエントリの名前を入力します。
  7. [Done] をクリックします。
  8. [保存] をクリックしてインスタンスを更新します。

gcloud

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...
    

REST

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

後述のリクエストのデータを使用する前に、次のように置き換えます。

  • project-id: プロジェクト ID
  • instance-id: インスタンス ID
  • network_range_1: 認可済みの IP アドレスまたは範囲
  • network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

次のような JSON レスポンスが返されます。

次のステップ