使用已获授权的网络进行授权

本页介绍如何使用已获授权的网络设置连接到使用 IP 地址的 Cloud SQL 实例。

简介

连接到 Cloud SQL 实例时，需要考虑以下两个事项：

连接选项决定您用于连接实例的网络路径。
身份验证选项决定谁可以连接实例。

当您首次创建 Cloud SQL 实例时，默认设置是为该实例分配一个公共 IP 地址。如果您接受该选项，则可以在实例概览页面上找到该 IP 地址。在该页面中，点击实例名称。

即使您的实例只有一个公共 IP 地址，您也可以使用 Cloud SQL 代理安全地连接到该实例。Cloud SQL 代理和 Cloud SQL 实例之间的所有流量均会加密。如果您不使用代理，并且要从自己的公共 IP 地址连接客户端，则需要将客户端的公共地址添加为已获授权的网络。

配置已获授权的网络

在以下情况下，您的客户端应用的 IP 地址或地址范围必须配置为 authorized networks：

您的客户端应用直接在其公共 IP 地址连接到 Cloud SQL 实例。
您的客户端应用将通过其专用 IP 地址直接连接到 Cloud SQL 实例，并且您客户端的 IP 地址是一个非 RFC 1918 地址

此 IP 地址可以是单一端点，也可以包含 CIDR 表示法的范围。

控制台

转到 Google Cloud Console 中的“Cloud SQL 实例”页面。
转到“Cloud SQL 实例”页面
点击相应实例名称，打开其实例详情页面。
选择连接标签页。
点击添加网络。
在网络字段中，输入要允许连接的 IP 地址或地址范围。
使用 CIDR 表示法。
（可选）输入此条目的名称。
点击完成。
点击保存以更新实例。

gcloud

配置授权网络会替换现有的授权网络列表。

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...

REST

配置授权网络会替换现有的授权网络列表。

在使用下面的请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
network_range_1：已获授权的 IP 地址或范围
network_range_2：另一个已获授权的 IP 地址或范围

HTTP 方法和网址：

PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

请求 JSON 正文：

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假设您已使用 gcloud init 或 gcloud auth login 命令以及您的用户帐号为 gcloud 进行了身份验证。您可以执行 gcloud auth list 来检查当前的活跃帐号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

PowerShell (Windows)

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

您应该会收到类似以下内容的 JSON 响应：

响应

{
  "kind": "sql#operation",
  "targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

后续步骤

详细了解实例访问权限控制。
配置您的实例以使用 SSL/TLS。
使用 mysql 客户端和 SSL/TLS 连接到实例。