Private IP-Adresse konfigurieren

Auf dieser Seite wird beschrieben, wie Sie eine Cloud SQL-Instanz für die Verwendung von privaten IP-Adressen konfigurieren.

Informationen zur Funktionsweise privater IP-Adressen sowie zu den Anforderungen an Umgebung und Verwaltung finden Sie unter Private IP-Adressen.

Vorbereitung

API- und IAM-Anforderungen

  • Sie müssen die Service Networking API für Ihr Projekt aktivieren.
  • Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, müssen Sie diese API auch für das Hostprojekt aktivieren.

  • Um eine Zugriffsverbindung für private Dienste zu verwalten, sollte der Nutzer die folgenden IAM-Berechtigungen haben. Wenn Sie nicht die erforderlichen Berechtigungen haben, können Fehler auftreten.
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

    Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, müssen Sie den Nutzer auch dem Hostprojekt hinzufügen und ihm dort dieselbe Berechtigung zuweisen.

Zugriff auf private Dienste

Wenn Sie in Ihrem Projekt ein neues VPC-Netzwerk erstellen, müssen Sie den Zugriff auf private Dienste konfigurieren, um einen IP-Adressbereich zuzuweisen und eine private Dienstverbindung zu erstellen. So können Ressourcen im VPC-Netzwerk eine Verbindung zu Cloud SQL-Instanzen herstellen. Die Konsole bietet einen Assistenten, der Sie bei der Einrichtung dieser Konfiguration unterstützt.

Instanz für die Verwendung privater IP-Adressen konfigurieren

Sie können eine Cloud SQL-Instanz so konfigurieren, dass beim Erstellen der Instanz oder bei einer vorhandenen Instanz eine private IP-Adresse verwendet wird.

Private IP-Adresse für eine neue Instanz konfigurieren

So konfigurieren Sie eine Cloud SQL-Instanz für die Verwendung privater IP-Adressen, wenn Sie eine Instanz erstellen:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "Cloud SQL-Instanzen".

    Zur Seite „Cloud SQL-Instanzen“

  2. Klicken Sie auf INSTANZ ERSTELLEN.
  3. Erweitern Sie im Assistenten zum Erstellen unter Konfigurationsoptionen den Abschnitt Verbindung.
  4. Klicken Sie auf das Kästchen Private IP-Adresse.

    In einer Drop-down-Liste werden die im Projekt verfügbaren VPC-Netzwerke angezeigt Wenn Ihr Projekt das Dienstprojekt einer freigegebenen VPC ist, werden auch VPC-Netzwerke aus dem Hostprojekt angezeigt.

  5. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten:
  6. Wenn Private Dienstverbindung erforderlich angezeigt wird:

    1. Klicken Sie auf Verbindung einrichten.
    2. Wählen Sie unter IP-Bereich zuweisen eine der folgenden Optionen aus:
      • Wählen Sie einen oder mehrere IP-Bereiche aus oder erstellen Sie einen neuen aus dem Drop-down-Menü. Das Drop-down enthält die zuvor zugewiesenen Bereiche (sofern vorhanden). Sie können auch ALLOCATE NEUEN IP-RANGE auswählen und einen neuen Bereich und Namen eingeben.
      • Verwenden Sie einen automatisch zugewiesenen IP-Bereich in Ihrem Netzwerk.
    3. Klicken Sie auf WEITER.
    4. Klicken Sie auf Verbindung erstellen.
    5. Prüfen Sie, ob der Status Private Dienstverbindung für Netzwerk VPN_NAME wurde erfolgreich erstellt angezeigt wird.
  7. Klicken Sie auf Speichern.

gcloud

Falls noch nicht geschehen, konfigurieren Sie den Zugriff auf private Dienste für Cloud SQL anhand der Anleitung unten. Erstellen Sie die Cloud SQL-Instanz. Verwenden Sie dabei den Parameter --network, um den Namen des ausgewählten VPC-Netzwerks anzugeben, und das Flag --no-assign-ip, um öffentliche IP-Adressen zu deaktivieren. Der Wert des Parameters "--network" hat das folgende Format: projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME. PROJECT_ID ist die Projekt-ID des VPC-Netzwerks. Wenn das VPC-Netzwerk eine freigegebene VPC ist, sollte es die ID des Hostprojekts der freigegebenen VPC sein.
gcloud --project=[PROJECT_ID] beta sql instances create [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

Private IP-Adresse für eine vorhandene Instanz konfigurieren

Wenn Sie eine vorhandene Cloud SQL-Instanz für die Verwendung einer privaten IP-Adresse konfigurieren, wird die Instanz neu gestartet, was zu einer Ausfallzeit führt.

So konfigurieren Sie eine bestehende Instanz für die Verwendung einer privaten IP-Adresse:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "Cloud SQL-Instanzen".
    Zur Seite "Cloud SQL-Instanzen"
  2. Klicken Sie auf den Instanznamen, um die entsprechende Übersicht zu öffnen.
  3. Wählen Sie den Tab Verbindungen aus.
  4. Klicken Sie auf das Kästchen Private IP-Adresse.

    In einer Drop-down-Liste werden die im Projekt verfügbaren Netzwerke angezeigt. Wenn Ihr Projekt das Dienstprojekt einer freigegebenen VPC ist, werden auch VPC-Netzwerke aus dem Hostprojekt angezeigt.

  5. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten:
  6. Wenn Private Dienstverbindung erforderlich angezeigt wird:

    1. Klicken Sie auf Verbindung einrichten.
    2. Wählen Sie unter IP-Bereich zuweisen eine der folgenden Optionen aus:
      • Wählen Sie einen oder mehrere IP-Bereiche aus oder erstellen Sie einen neuen aus dem Drop-down-Menü. Das Drop-down enthält die zuvor zugewiesenen Bereiche (sofern vorhanden). Sie können auch ALLOCATE NEUEN IP-RANGE auswählen und einen neuen Bereich und Namen eingeben.
      • Verwenden Sie einen automatisch zugewiesenen IP-Bereich in Ihrem Netzwerk.
    3. Klicken Sie auf WEITER.
    4. Klicken Sie auf Verbindung erstellen.
    5. Prüfen Sie, ob der Status Private Dienstverbindung für Netzwerk VPN_NAME wurde erfolgreich erstellt angezeigt wird.
  7. Klicken Sie auf Speichern.

gcloud

Falls noch nicht geschehen, konfigurieren Sie den Zugriff auf private Dienste für Cloud SQL anhand der Anleitung unten. Aktualisieren Sie Ihre Cloud SQL-Instanz mithilfe des Parameters --network, um den Namen des ausgewählten VPC-Netzwerks anzugeben.

VPC_NETWORK_NAME ist der Name des ausgewählten VPC-Netzwerks, z. B. my-vpc-network. Der Wert des Parameters "--network" hat das folgende Format: https://www.googleapis.com/compute/alpha/projects/[PROJECT_ID]/global/networks/[VPC_NETWORK_NAME].

gcloud --project=[PROJECT_ID] beta sql instances patch [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

Verbindung zu einer Instanz über ihre private IP-Adresse herstellen

Verwenden Sie den Zugriff auf private Dienste zum Herstellen einer Verbindung zu Cloud SQL-Instanzen von Compute Engine- oder Google Kubernetes Engine-Instanzen im selben VPC-Netzwerk (hier als interne Quellen definiert) oder von außerhalb des Netzwerks (eine externe Quelle).

Verbindung von einer internen Quelle herstellen

Zum Herstellen einer Verbindung von einer Quelle, die sich im selben Google Cloud-Projekt wie die Cloud SQL-Instanz befindet, z. B. vom Cloud SQL Auth-Proxy, der auf einer Compute Engine-Ressource ausgeführt wird, muss sich diese Ressource im selben VPC-Netzwerk wie die Cloud SQL-Instanz befinden.

Verbindung von einer serverlosen Quelle wieApp Engine-Standardumgebung, Flexible App Engine-Umgebung, Cloud Run oderCloud Functions wird die Anwendung oder Funktion direkt über den serverlosen VPC-Zugriff ohne den Cloud SQL-Auth-Proxy mit der Instanz verbunden.

Verbindung von einer externen Quelle herstellen

Sie können eine Verbindung von einem Client in einem externen Netzwerk (lokales Netzwerk oder VPC-Netzwerk) herstellen, wenn das externe Netzwerk mit dem VPC-Netzwerk verbunden ist, mit dem Ihre Cloud SQL-Instanz verbunden ist. So lassen Sie Verbindungen von einem externen Netzwerk zu:

  1. Stellen Sie sicher, dass Ihr VPC-Netzwerk über einen Cloud-VPN-Tunnel oder einen VLAN-Anhang für Dedicated Interconnect oder Partner Interconnect mit dem externen Netzwerk verbunden ist.
  2. Achten Sie darauf, dass die BGP-Sitzungen auf den Cloud Routern, die Ihre Cloud VPN-Tunnel und Cloud Interconnect-Anhänge (VLANs) verwalten, von Ihrem lokalen Netzwerk bestimmte Präfixe (Ziele) erhalten haben. Standardrouten (Ziel 0.0.0.0/0) können nicht in das Cloud SQL-VPC-Netzwerk importiert werden, da das Netzwerk eine eigene lokale Standardroute hat. Lokale Routen für ein Ziel werden immer verwendet, auch wenn das Cloud SQL-Peering so konfiguriert ist, dass benutzerdefinierte Routen aus Ihrem VPC-Netzwerk importiert werden.
  3. Identifizieren Sie die Peering-Verbindungen, die über die private Dienstverbindung erzeugt werden:
    • cloudsql-mysql-googleapis-com
    • cloudsql-postgres-googleapis-com
    • servicenetworking-googleapis-com
  4. Aktualisieren Sie alle Peering-Verbindungen, um den Export benutzerdefinierter Routen zu aktivieren.
  5. Identifizieren Sie den zugewiesenen Bereich, der von der Verbindung für private Dienste verwendet wird.
  6. Erstellen Sie ein benutzerdefiniertes Cloud Router Route Advertisement für den zugewiesenen Bereich auf den Cloud Routern, die BGP-Sitzungen für Ihre Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) verwalten.

Verbindung über Cloud Shell herstellen

Cloud Shell unterstützt derzeit nicht das Herstellen einer Verbindung zu einer Cloud SQL-Instanz, die nur eine private IP-Adresse hat.

Verbindung von Adressen außerhalb von RFC 1918 herstellen

RFC 1918 gibt IP-Adressen an, die intern, also innerhalb einer Organisation, zugewiesen und nicht ins Internet weitergeleitet werden. Dazu zählen insbesondere Folgende:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Verbindungen zu einer Cloud SQL-Instanz mit einer privaten IP-Adresse werden für RFC 1918-Adressbereiche automatisch autorisiert. Auf diese Weise können alle privaten Clients ohne Umleitung über den Proxy auf die Datenbank zugreifen.

Adressen außerhalb des RFC 1918-Adressbereichs müssen als autorisierte Netzwerke konfiguriert werden.

Wenn Sie eine Verbindung über eine Adresse außerhalb des RFC 1918-Bereichs herstellen möchten, müssen Sie eine instanzspezifische IP-Autorisierung einrichten, um Traffic aus anderen als RFC 1918-Adressbereichen zuzulassen.

Verwenden Sie beispielsweise den folgenden gcloud-Befehl:

gcloud sql instances patch INSTANCE_NAME --authorized-networks 192.88.99.0/24,11.0.0.0/24

Cloud SQL lernt standardmäßig keine Subnetzrouten außerhalb des RFC 1918-Bereichs von Ihrer VPC. Sie müssen deshalb das Netzwerk-Peering auf Cloud SQL aktualisieren, um Routen außerhalb des RFC 1918-Bereichs exportieren zu können.

gcloud compute networks peerings update cloudsql-mysql-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT
  • cloudsql-mysql-googleapis-com ist der Name einer privaten Dienstverbindung von Ihrer VPC-Netzwerkseite.

    Wählen Sie Ihr Netzwerk aus und suchen Sie den Abschnitt Private Dienstverbindung.

  • NETWORK ist der Name Ihres VPC-Netzwerks.

Fehlerbehebung

Klicken Sie auf die Links in der Tabelle, um weitere Informationen zu erhalten:

Problem Mögliche Ursache Lösungsvorschlag
Aborted connection. Fehler beim Lesen der Pakete oder Verbindung abgebrochen. Folgen Sie diesem Link.
Fehler vom Typ Unauthorized to connect. Dies kann viele Ursachen haben. Folgen Sie diesem Link.
Netzwerkzuordnung fehlgeschlagen. Service Networking API ist im Projekt nicht aktiviert. Aktivieren Sie Service Networking API im Projekt.
Remaining connection slots are reserved. Die maximale Anzahl von Verbindungen wurde erreicht. Erhöhen Sie den Wert des Flags max_connections.
Set Service Networking service account as servicenetworking.serviceAgent role on consumer project. Das Service Networking-Dienstkonto ist nicht an die Rolle servicenetworking.serviceAgent gebunden. Binden Sie das Service Networking-Dienstkonto an die Rolle servicenetworking.serviceAgent.
error x509: certificate is not valid for any names, but wanted to match project-name:db-name. Bekanntes Problem: Der Cloud SQL-Proxy-Dialer ist derzeit nicht mit Go 1.15 kompatibel. Bis zur Behebung dieses Problems finden Sie in dieser Diskussion auf GitHub eine Problemumgehung.
Auf einigen Betriebssystemen können keine Zertifikate geparst werden. Clients, die x509-Bibliotheken von macOS 11.0 (Big Sur) verwenden, können möglicherweise einige Zertifikate von mysql-Instanzen nicht parsen. Dem Client kann dies als allgemeiner Fehler wie „Abgebrochen“ angezeigt werden. Dieses Problem lässt sich durch Rotieren des Serverzertifikats und Neuerstellen der Clientzertifikate umgehen.
Cannot modify allocated ranges in CreateConnection. Please use UpdateConnection. Die VPC-Peerings wurden nicht aktualisiert, nachdem ein zugewiesener Bereich geändert oder entfernt wurde. Weitere Informationen zu VPC-Peering-Updates finden Sie unter Lösungsvorschlag.
Allocated IP range not found in network. Die VPC-Peerings wurden nicht aktualisiert, nachdem ein zugewiesener Bereich geändert oder entfernt wurde. Weitere Informationen zu VPC-Peering-Updates finden Sie unter Lösungsvorschlag.
ERROR: (gcloud.sql.connect) It seems your client does not have ipv6 connectivity and the database instance does not have an ipv4 address. Please request an ipv4 address for this database instance.. Sie versuchen, eine Verbindung zu Ihrer privaten IP-Instanz mithilfe von Cloud Shell herzustellen. Das Herstellen einer Verbindung von Cloud Shell zu einer Instanz mit nur einer privaten IP-Adresse wird derzeit nicht unterstützt.

Verbindung abgebrochen

Sie sehen die Fehlermeldung Got an error reading communication packets oder Aborted connection xxx to db: DB_NAME.

Mögliche Ursache

  • Netzwerk instabil.
  • Keine Antwort auf TCP-Keep-Alive-Befehle (entweder der Client oder der Server reagiert nicht, möglicherweise überlastet).
  • Die Verbindungsdauer des Datenbankmoduls wurde überschritten und der Server hat die Verbindung beendet.

Lösungsvorschlag

Anwendungen sollten Netzwerkfehler tolerieren und gemäß den Best Practices mit Verbindungs-Pooling und Wiederholungsversuchen arbeiten. Die meisten Verbindungs-Pooler erfassen diese Fehler nach Möglichkeit. Andernfalls sollte die Anwendung einen Wiederholungsversuch ausführen oder ordnungsgemäß fehlschlagen.

Für den erneuten Verbindungsversuch empfehlen wir die folgenden Methoden:

  1. Exponentieller Backoff. Erhöhen Sie das Zeitintervall zwischen den einzelnen Wiederholungen exponentiell.
  2. Fügen Sie auch einen zufälligen Backoff hinzu.
Durch die Kombination dieser Methoden wird die Drosselung reduziert.


Keine Autorisierung für Verbindung

Folgende Fehlermeldung ist zu sehen: Unauthorized to connect.

Mögliche Ursache

Da die Autorisierung auf mehreren Ebenen erfolgt, kann dies verschiedene Ursachen haben.

  • Auf Datenbankebene muss der Datenbanknutzer vorhanden sein und sein Passwort muss übereinstimmen.
  • Auf Projektebene fehlen dem Nutzer möglicherweise die richtigen IAM-Berechtigungen.
  • Auf Cloud SQL-Ebene kann die Ursache davon abhängen, wie Sie eine Verbindung zu Ihrer Instanz herstellen. Wenn Sie über die öffentliche IP-Adresse eine direkte Verbindung zu einer Instanz herstellen, muss sich die Quell-IP-Adresse der Verbindung im autorisierten Netzwerk der Instanz befinden.

    Private IP-Verbindungen sind standardmäßig zulässig, es sei denn, Sie stellen eine Verbindung von einer Adresse außerhalb des RFC 1918-Bereichs her. Clientadressen außerhalb des RFC 1918-Bereichs müssen als autorisierte Netzwerke konfiguriert sein.

    Cloud SQL erkennt standardmäßig keine Subnetzrouten außerhalb des RFC 1918-Bereichs von Ihrer VPC. Sie müssen deshalb das Netzwerk-Peering auf Cloud SQL aktualisieren, um alle Routen außerhalb des RFC 1918-Bereichs exportieren zu können. Beispiel:

    gcloud compute networks peerings update cloudsql-mysql-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT
    

    Wenn Sie eine Verbindung über den Cloud SQL Auth-Proxy herstellen, sollten Sie darauf achten, dass die IAM-Berechtigungen korrekt festgelegt sind.

  • Wenn die Cloud SQL-Instanz auf Netzwerkebene öffentliche IP-Adressen verwendet, muss sich die Quell-IP-Adresse der Verbindung in einem autorisierten Netzwerk befinden.

Lösungsvorschlag

  • Prüfen Sie das Passwort und den Nutzernamen.
  • Prüfen Sie die IAM-Rollen und -Berechtigungen des Nutzers.
  • Wenn Sie eine öffentliche IP-Adresse verwenden, achten Sie darauf, dass sich die Quelle in den autorisierten Netzwerken befindet.

Netzwerkzuordnung fehlgeschlagen

Sie sehen die Fehlermeldung Error: Network association failed due to the following error: Weisen Sie dem Dienstnetzwerk-Dienstkonto die Rolle servicenetworking.serviceAgent für das Nutzerprojekt zu.

Mögliche Ursache

Die Service Networking API ist im Projekt nicht aktiviert.

Lösungsvorschlag

Aktivieren Sie die Service Networking API in Ihrem Projekt. Ist dieser Fehler zu sehen, wenn Sie einer Cloud SQL-Instanz eine private IP-Adresse zuweisen und eine freigegebene VPC verwenden, müssen Sie auch die Service Networking API für das Hostprojekt aktivieren.


Verbleibende Verbindungsslots sind reserviert

Folgende Fehlermeldung ist zu sehen: FATAL: remaining connection slots are reserved for non-replication superuser connections.

Mögliche Ursache

Die maximale Anzahl von Verbindungen wurde erreicht.

Lösungsvorschlag

Bearbeiten Sie den Wert des Flags max_connections.


Dem Dienstnetzwerk-Dienstkonto die Rolle "servicenetworking.serviceAgent" für das Nutzerprojekt zuweisen

Die Fehlermeldung set Service Networking service account as servicenetworking.serviceAgent role on consumer project. wird angezeigt.

Mögliche Ursache

Das Service Networking-Dienstkonto ist nicht an die Rolle servicenetworking.serviceAgent gebunden.

Lösungsvorschlag

Versuchen Sie, dieses Problem zu beheben. Verwenden Sie dazu die folgenden gcloud-Befehle, um das Service Networking-Dienstkonto an die Rolle servicenetworking.serviceAgent zu binden.

gcloud beta services identity create --service=servicenetworking.googleapis.com --project=PROJECT_ID
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:service-PROJECT_NUMBER@service-networking.iam.gserviceaccount.com" --role="roles/servicenetworking.serviceAgent"

Fehler x509: certificate is not valid for any names

Die Fehlermeldung error x509: certificate is not valid for any names, but wanted to match project-name:db-name wird angezeigt.

Mögliche Ursache

Bekanntes Problem: Der Cloud SQL-Proxy-Dialer ist derzeit nicht mit Go 1.15 kompatibel.

Lösungsvorschlag

Bis zur Behebung dieses Fehlers finden Sie in dieser Diskussion auf GitHub eine Problemumgehung.


Auf einigen Betriebssystemen können keine Zertifikate geparst werden.

Wenn Sie x509-Bibliotheken von mac OS 11.0 (Big Sur) verwenden, können die Zertifikate von MySQL-Instanzen möglicherweise nicht geparst werden. Dies kann als allgemeiner Fehler zu sehen sein, wie z. B. „Abgebrochen“.

Lösungsvorschlag

Der Fehler ist behoben und bei neuen Instanzen tritt dieses Problem nicht auf. Wenn dieses Problem bei alten Instanzen auftritt, rotieren Sie das Serverzertifikat und erstellen Sie die Clientzertifikate neu.


Die zugewiesenen Bereiche können in CreateConnection nicht geändert werden. Verwenden Sie UpdateConnection

Sie sehen die Fehlermeldung Cannot modify allocated ranges in CreateConnection. Please use UpdateConnection oder The operation "operations/1234" resulted in a failure "Allocated IP range 'xyz' not found in network.

Mögliche Ursache

Der erste Fehler wird angezeigt, wenn Sie versuchen, eine Verbindung mit einem anderen reservierten Bereich wieder herzustellen.

Der zweite Fehler wird angezeigt, wenn der zugewiesene Bereich geändert wurde, aber vpc-peerings nicht aktualisiert wurde.

Lösungsvorschlag

Sie müssen die private Verbindung ändern. Verwenden Sie dazu den folgenden Befehl mit dem Argument --force:

gcloud services vpc-peerings update --network=VPC_NETWORK --ranges=ALLOCATED_RANGES --service=servicenetworking.googleapis.com --force

Nächste Schritte