使用授权网络进行授权

MySQL | PostgreSQL | SQL Server

本页面介绍了如何使用已获授权的网络设置连接到使用 IP 地址的 Cloud SQL 实例。

配置已获授权的网络

在以下情况下，您的客户端应用的 IP 地址或地址范围必须配置为 authorized networks：

您的客户端应用通过其公共 IP 地址直接连接到 Cloud SQL 实例。
您的客户端应用通过其专用 IP 地址直接连接到 Cloud SQL 实例，并且您的客户端的 IP 地址是一个非 RFC 1918 地址

此 IP 地址可以是单一端点，也可以包含 CIDR 表示法的范围。

控制台

在 Google Cloud 控制台中，进入 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
如需打开实例的概览页面，请点击实例名称。
从 SQL 导航菜单中选择连接。
选择公共 IP 复选框。
点击添加网络。
在名称字段中，为新网络输入名称。
在网络*字段中，输入要允许连接的 IP 地址或地址范围。
使用 CIDR 表示法。
点击完成。
点击保存以更新实例。

gcloud

配置授权网络会替换现有的授权网络列表。

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...

Terraform

如需配置授权网络，请使用 Terraform 资源。

sql_mysql_instance_authorized_network/main.tf

在 GitHub 上查看反馈

resource "google_sql_database_instance" "instance" {
  name             = "mysql-instance-with-authorized-network"
  region           = "us-central1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      authorized_networks {
        name            = "Network Name"
        value           = "192.0.2.0/24"
        expiration_time = "3021-11-15T16:19:00.094Z"
      }
    }
  }
  deletion_protection = false # set to true to prevent destruction of the resource
}

应用更改

如需在 Google Cloud 项目中应用 Terraform 配置，请完成以下步骤：

启动 Cloud Shell。
设置要应用 Terraform 配置的 Google Cloud 项目：
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
创建一个目录，并在该目录中打开一个新文件。文件名必须具有 .tf 扩展名，例如 main.tf：
```
mkdir DIRECTORY && cd DIRECTORY && nano main.tf
```
将示例复制到 main.tf。
查看和修改要应用到您的环境的示例参数。
依次按 Ctrl-x 和 y 保存更改。
初始化 Terraform：
```
terraform init
```
查看配置并验证 Terraform 将创建或更新的资源是否符合您的预期：
```
terraform plan
```
根据需要更正配置。
通过运行以下命令并在提示符处输入 yes 来应用 Terraform 配置：
```
terraform apply
```
等待 Terraform 显示“应用完成！”消息。
打开您的 Google Cloud 项目以查看结果。在 Google Cloud 控制台中，在界面中找到资源，以确保 Terraform 已创建或更新它们。

删除更改

如需删除更改，请执行以下操作：

如需停用删除防护，请在 Terraform 配置文件中将 deletion_protection 参数设置为 false。
```
deletion_protection =  "false"
```
运行以下命令并在提示符处输入 yes，以应用更新后的 Terraform 配置：
```
terraform apply
```

运行以下命令并在提示符处输入 yes，以移除之前使用 Terraform 配置应用的资源：
```
terraform destroy
```

REST v1

配置授权网络会替换现有的授权网络列表。

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
network_range_1：已获授权的 IP 地址或范围
network_range_2：另一个已获授权的 IP 地址或范围

HTTP 方法和网址：

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

请求 JSON 正文：

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户帐号通过执行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以执行 gcloud auth list 来检查当前活跃的帐号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id"

PowerShell (Windows)

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

响应

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

配置授权网络会替换现有的授权网络列表。

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
network_range_1：已获授权的 IP 地址或范围
network_range_2：另一个已获授权的 IP 地址或范围

HTTP 方法和网址：

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

请求 JSON 正文：

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id"

PowerShell (Windows)

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

响应

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

限制

某些 IP 地址范围不能添加为已获授权的网络。

地址范围	备注
127.0.0.0/8	环回地址范围
10.0.0.0/8	RFC 1918 地址范围。这些地址由 Cloud SQL 自动并隐式包含在已获授权的网络中
172.16.0.0/12	RFC 1918 地址范围。这些地址由 Cloud SQL 自动并隐式包含在已获授权的网络中
192.168.0.0/16	RFC 1918 地址范围。这些地址由 Cloud SQL 自动并隐式包含在已获授权的网络中
0.0.0.0/8	RFC 3330 null 网络
169.254.0.0/16	RFC 3927 和 RFC 2373，链接本地网络
192.0.2.0/24	RFC 3330 和 RFC 3849，文档网络
224.0.0.0/4	RFC 3330，多播网络
240.0.0.0/4	此地址块（以前称为 E 类地址空间）留待将来使用；请参阅 RFC 1112 的第 4 部分。

后续步骤

详细了解实例访问权限控制。
配置您的实例以使用 SSL/TLS。
使用 mysql 客户端和 SSL/TLS 连接到实例。