승인된 네트워크로 승인

이 페이지에서는 IP 주소를 사용하는 Cloud SQL 인스턴스에 연결하기 위해 승인된 네트워크 설정을 사용하는 방법을 설명합니다.

승인된 네트워크 구성

클라이언트 애플리케이션의 IP 주소 또는 주소 범위는 다음 조건에 따라 authorized networks로 구성되어야 합니다.

  • 클라이언트 애플리케이션이 공개 IP 주소의 Cloud SQL 인스턴스에 직접 연결됩니다.
  • 클라이언트 애플리케이션이 비공개 IP 주소의 Cloud SQL 인스턴스에 직접 연결되며 클라이언트의 IP 주소는 RFC 1918 이외의 주소입니다.

IP 주소는 단일 엔드포인트이거나 CIDR 표기법의 범위로 구성될 수 있습니다.

Console

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 연결을 선택합니다.
  4. 네트워크 탭을 클릭합니다.
  5. 공개 IP 체크박스를 선택합니다.
  6. 네트워크 추가를 클릭합니다.
  7. 이름 필드에 새 네트워크의 이름을 입력합니다.
  8. 네트워크* 필드에 연결을 허용할 공개 IPv4 주소 또는 주소 범위를 입력합니다.

    IP 주소 범위에 유효한 CIDR 표기법을 사용해야 합니다(예: 10.10.10.0/24).

  9. 완료를 클릭합니다.
  10. 저장을 클릭합니다.

gcloud

승인된 네트워크를 구성하면 기존의 승인된 네트워크 목록이 대체됩니다.

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...
    

Terraform

승인된 네트워크를 구성하려면 Terraform 리소스를 사용합니다.

resource "google_sql_database_instance" "instance" {
  name             = "mysql-instance-with-authorized-network"
  region           = "us-central1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      authorized_networks {
        name            = "Network Name"
        value           = "192.0.2.0/24"
        expiration_time = "3021-11-15T16:19:00.094Z"
      }
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

변경사항 적용

Google Cloud 프로젝트에 Terraform 구성을 적용하려면 다음 섹션의 단계를 완료하세요.

Cloud Shell 준비

  1. Cloud Shell을 실행합니다.
  2. Terraform 구성을 적용할 기본 Google Cloud 프로젝트를 설정합니다.

    이 명령어는 프로젝트당 한 번만 실행하면 되며 어떤 디렉터리에서도 실행할 수 있습니다.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Terraform 구성 파일에서 명시적 값을 설정하면 환경 변수가 재정의됩니다.

디렉터리 준비

각 Terraform 구성 파일에는 자체 디렉터리(루트 모듈이라고도 함)가 있어야 합니다.

  1. Cloud Shell에서 디렉터리를 만들고 해당 디렉터리 내에 새 파일을 만드세요. 파일 이름에는 .tf 확장자가 있어야 합니다(예: main.tf). 이 튜토리얼에서는 파일을 main.tf라고 합니다.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. 튜토리얼을 따라 하는 경우 각 섹션이나 단계에서 샘플 코드를 복사할 수 있습니다.

    샘플 코드를 새로 만든 main.tf에 복사합니다.

    필요한 경우 GitHub에서 코드를 복사합니다. 이는 Terraform 스니펫이 엔드 투 엔드 솔루션의 일부인 경우에 권장됩니다.

  3. 환경에 적용할 샘플 매개변수를 검토하고 수정합니다.
  4. 변경사항을 저장합니다.
  5. Terraform을 초기화합니다. 이 작업은 디렉터리당 한 번만 수행하면 됩니다.
    terraform init

    원하는 경우 최신 Google 공급업체 버전을 사용하려면 -upgrade 옵션을 포함합니다.

    terraform init -upgrade

변경사항 적용

  1. 구성을 검토하고 Terraform에서 만들거나 업데이트할 리소스가 예상과 일치하는지 확인합니다.
    terraform plan

    필요에 따라 구성을 수정합니다.

  2. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 Terraform 구성을 적용합니다.
    terraform apply

    Terraform에 '적용 완료' 메시지가 표시될 때까지 기다립니다.

  3. 결과를 보려면 Google Cloud 프로젝트를 엽니다. Google Cloud 콘솔에서 UI의 리소스로 이동하여 Terraform이 리소스를 만들었거나 업데이트했는지 확인합니다.

변경사항 삭제

변경사항을 삭제하려면 다음 단계를 따르세요.

  1. Terraform 구성 파일에서 삭제 보호를 사용 중지하려면 deletion_protection 인수를 false로 설정합니다.
    deletion_protection =  "false"
  2. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 업데이트된 Terraform 구성을 적용합니다.
    terraform apply
  1. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 이전에 Terraform 구성에 적용된 리소스를 삭제합니다.

    terraform destroy

REST v1

승인된 네트워크를 구성하면 기존의 승인된 네트워크 목록이 대체됩니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 인스턴스 ID
  • network_range_1: 승인된 IP 주소 또는 범위
  • network_range_2: 승인된 다른 IP 주소 또는 범위

HTTP 메서드 및 URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

JSON 요청 본문:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": "network_range_2"}]
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

REST v1beta4

승인된 네트워크를 구성하면 기존의 승인된 네트워크 목록이 대체됩니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 인스턴스 ID
  • network_range_1: 승인된 IP 주소 또는 범위
  • network_range_2: 승인된 다른 IP 주소 또는 범위

HTTP 메서드 및 URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON 요청 본문:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": "network_range_2"}]
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

제한사항

일부 IP 주소 범위는 승인된 네트워크로 추가될 수 없습니다.

주소 범위 참고
10.0.0.0/8 RFC 1918 주소 범위. Cloud SQL에서 승인된 네트워크에 자동으로 그리고 암시적으로 포함됩니다.
172.16.0.0/12 RFC 1918 주소 범위. Cloud SQL에서 승인된 네트워크에 자동으로 그리고 암시적으로 포함됩니다.
192.168.0.0/16 RFC 1918 주소 범위. Cloud SQL에서 승인된 네트워크에 자동으로 그리고 암시적으로 포함됩니다.

다음 단계