承認済みネットワークによる承認

このページでは、IP アドレスを使用する Cloud SQL インスタンスへの接続に承認済みネットワーク設定を使用する方法について説明します。

はじめに

Cloud SQL インスタンスに接続する場合は、次の 2 つの点を考慮します。

接続オプションによって、接続に使用するネットワークパスが決まります。
認証オプションによって、接続が許可すされるユーザーが決まります。

初めて Cloud SQL インスタンスを作成する場合、デフォルトの設定ではインスタンスにパブリック IP アドレスを割り当てます。このオプションを使用する場合、IP アドレスはインスタンスの概要ページで確認できます。そのページにあるインスタンス名をクリックします。

インスタンスにあるのがパブリック IP アドレスのみの場合でも、Cloud SQL Proxy を使用して安全に接続できます。Cloud SQL Proxy と Cloud SQL インスタンスの間のすべてのトラフィックは暗号化されます。プロキシを使用せず、独自のパブリック IP アドレスからクライアントを接続する場合は、クライアントのパブリックアドレスを承認済みネットワークとして追加する必要があります。

承認済みネットワークの構成

クライアントアプリケーションの IP アドレスまたはアドレス範囲は、次の場合に authorized networks として構成する必要があります。

クライアントアプリケーションが、パブリック IP アドレスで Cloud SQL インスタンスに直接接続している。
クライアントアプリケーションが、プライベート IP アドレスで Cloud SQL インスタンスに直接接続していて、クライアントの IP アドレスが RFC 1918 以外のアドレスになっている。

IP アドレスは、単一のエンドポイントにすることも、CIDR 表記の範囲にすることもできます。

Console

Google Cloud Console の Cloud SQL インスタンスページに移動します。
[Cloud SQL インスタンス] ページに移動
インスタンス名をクリックして [インスタンスの詳細] ページを開きます。
[接続] タブを選択します。
[ネットワークを追加] をクリックします。
[ネットワーク] フィールドに、接続を許可する IP アドレスまたはアドレス範囲を入力します。
CIDR 表記を使用します。
必要に応じて、このエントリの名前を入力します。
[Done] をクリックします。
[保存] をクリックしてインスタンスを更新します。

gcloud

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...

REST

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

後述のリクエストのデータを使用する前に、次のように置き換えます。

project-id: プロジェクト ID
instance-id: インスタンス ID
network_range_1: 認可済みの IP アドレスまたは範囲
network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 以下のコマンドでは、ご利用のユーザーアカウントで gcloud を認証する際に gcloud init または gcloud auth login を使用していることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

PowerShell（Windows）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

レスポンス

{
  "kind": "sql#operation",
  "targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

次のステップ

インスタンスのアクセス制御の詳細を確認する。
インスタンスを構成して、SSL / TLS を使用する。
SSL / TLS を使用して MySQL クライアントからインスタンスに接続する。