承認済みネットワークによる承認

このページでは、IP アドレスを使用する Cloud SQL インスタンスへの接続に承認済みネットワーク設定を使用する方法について説明します。

はじめに

Cloud SQL インスタンスに接続する場合は、次の 2 つの点を考慮します。

接続オプションによって、接続に使用するネットワークパスが決まります。
認証オプションによって、接続が許可されるユーザーが決まります。

初めて Cloud SQL インスタンスを作成する場合、デフォルトの設定ではインスタンスにパブリック IP アドレスを割り当てます。このオプションを使用する場合、IP アドレスはインスタンスの概要ページで確認できます。そのページにあるインスタンス名をクリックします。

インスタンスがパブリック IP アドレスのみを持つ場合でも、Cloud SQL Auth Proxy を使用して安全に接続できます。Cloud SQL Auth Proxy と Cloud SQL インスタンスの間のトラフィックは、すべて暗号化されます。プロキシを使用せず、独自のパブリック IP アドレスからクライアントを接続する場合は、クライアントのパブリックアドレスを承認済みネットワークとして追加する必要があります。

承認済みネットワークの構成

クライアントアプリケーションの IP アドレスまたはアドレス範囲は、次の場合に authorized networks として構成する必要があります。

クライアントアプリケーションが、パブリック IP アドレスで Cloud SQL インスタンスに直接接続している。
クライアントアプリケーションが、プライベート IP アドレスで Cloud SQL インスタンスに直接接続していて、クライアントの IP アドレスが RFC 1918 以外のアドレスになっている。

IP アドレスは、単一のエンドポイントにすることも、CIDR 表記の範囲にすることもできます。

Console

Google Cloud Console で、Cloud SQL の [インスタンス] ページに移動します。

Cloud SQL の [インスタンス] に移動
インスタンス名をクリックして [概要] ページを開きます。
SQL ナビゲーションメニューから [接続] を選択します。
[パブリック IP] チェックボックスをオンにします。
[ネットワークを追加] をクリックします。
[名前] フィールドに、新しいネットワークの名前を入力します。
[ネットワーク] フィールドに、接続を許可する IP アドレスまたはアドレス範囲を入力します。
CIDR 表記を使用します。
[完了] をクリックします。
[保存] をクリックしてインスタンスを更新します。

gcloud

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...

REST v1

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

リクエストのデータを使用する前に、次のように置き換えます。

project-id: プロジェクト ID
instance-id: インスタンス ID
network_range_1: 認可済みの IP アドレスまたは範囲
network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 以下のコマンドでは、ご利用のユーザーアカウントで gcloud を認証する際に gcloud init または gcloud auth login を使用していることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id"

PowerShell（Windows）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

レスポンス

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

承認済みネットワークを構成すると、既存の承認済みネットワークのリストが置き換えられます。

リクエストのデータを使用する前に、次のように置き換えます。

project-id: プロジェクト ID
instance-id: インスタンス ID
network_range_1: 認可済みの IP アドレスまたは範囲
network_range_2: 別の認可済み IP アドレスまたは範囲

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON 本文のリクエスト:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id"

PowerShell（Windows）

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

レスポンス

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

制限事項

一部の IP アドレス範囲は、承認済みネットワークとして追加できません。

アドレス範囲	注
127.0.0.0/8	ループバックアドレス範囲
10.0.0.0/8	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
172.16.0.0/12	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
172.17.0.0/16	Docker ブリッジネットワーク用に予約されています。
192.168.0.0/16	RFC 1918 アドレス範囲。これらは、Cloud SQL によって承認済みネットワークに自動的かつ暗黙的に含まれます。
0.0.0.0/8	RFC 3330 null ネットワーク
169.254.0.0/16	RFC 3927 と RFC 2373、リンクローカルネットワーク
192.0.2.0/24	RFC 3330 と RFC 3849、ドキュメントネットワーク
224.0.0.0/4	RFC 3330、IPv6 マルチキャストネットワーク
240.0.0.0/4	このブロック（旧称: クラス E アドレス空間）は、将来の使用のために予約されています。RFC 1112、セクション 4 をご覧ください。

次のステップ

インスタンスのアクセス制御の詳細を確認する。
インスタンスを構成して、SSL / TLS を使用する。
SSL / TLS を使用して MySQL クライアントからインスタンスに接続する。