プライベート IP の構成

このページでは、プライベート IP を使用する Cloud SQL インスタンスを構成する方法について説明します。

プライベート IP の仕組み、および環境と管理に関する要件については、プライベート IP をご覧ください。

始める前に

プライベート IP を使用するように Cloud SQL インスタンスを構成する前に、次の点を考慮する必要があります。

  • プロジェクトで Service Networking API を有効にします。

    共有 VPC ネットワークを使用している場合は、次の操作も必要になります。

    • ホスト プロジェクトで Service Networking API を有効にします。
    • ユーザーをホスト プロジェクトに追加します。
    • ホスト プロジェクトの compute.networkAdmin IAM ロールをユーザーに付与します。
  • 使用する VPC ネットワークを選択します。

  • 1 回のみ: VPC ネットワークプライベート サービス アクセスを構成し、IP アドレス範囲を割り当ててプライベート サービス接続を作成します。これにより、VPC ネットワーク内のリソースは Cloud SQL インスタンスに接続できます。

    • プライベート サービス アクセスを確立するには、compute.networkAdmin の IAM ロールが必要です。

      ネットワークでプライベート サービス アクセスを確立した後は、compute.networkAdmin ロールがなくても、プライベート IP を使用するようにインスタンスを構成できます。

    • Cloud SQL インスタンスにプライベート IP を使用する場合は、Cloud SQL インスタンスに接続する必要のあるすべての Google Cloud プロジェクトに対して、プライベート サービス アクセスを一度のみ構成する必要があります。詳しくは、プライベート サービス アクセスをご覧ください。

以下のすべての条件に該当する場合、Cloud SQL はプライベート サービス アクセスを構成します。

  • Google Cloud プロジェクトでプライベート サービス アクセスがまだ構成されていない。
  • Google Cloud プロジェクトの Cloud SQL インスタンスに対して初めてプライベート IP を有効にする。
  • インスタンスの Connections ページでプライベート IP を有効にするときに、default に関連付けられたネットワーキングと Use an automatically allocated IP range オプションの両方を選択する。

プライベート IP を使用するようにインスタンスを構成する

インスタンスの作成時に、プライベート IP を使用するように Cloud SQL インスタンスを構成できます。また、同じ構成を既存のインスタンスに行うこともできます。

新しいインスタンスにプライベート IP を構成する

インスタンスの作成時に Cloud SQL インスタンスがプライベート IP を使用するように構成するには:

Console

  1. Google Cloud Console の Cloud SQL インスタンス ページに移動します。

    [Cloud SQL インスタンス] ページに移動

  2. [インスタンスを作成] をクリックします。
  3. 作成ウィザードの [構成オプション] で、[接続] セクションを展開します。
  4. [プライベート IP] チェックボックスをオンにします。

    プルダウン リストに、プロジェクトで使用可能な VPC ネットワークが表示されます。プロジェクトが共有 VPC のサービス プロジェクトである場合、ホスト プロジェクトの VPC ネットワークも表示されます。

  5. 使用する VPC ネットワークを選択します。
  6. プライベート サービス アクセスを構成した場合:

    1. 使用する VPC ネットワークを選択します。
    2. [接続] をクリックします。
    3. 割り振った IP アドレス範囲がプルダウンに表示されます。

    4. [作成] をクリックします。
    5. [保存] をクリックします。

    Cloud SQL に範囲の割り当てを委任してプライベート接続を作成するには:

    1. デフォルトの VPC ネットワークを選択します。
    2. [割り当てて接続] をクリックします。
    3. [保存] をクリックします。

gcloud

まだ行っていない場合は、次の手順で Cloud SQL にプライベート サービス アクセスを構成します。選択した VPC ネットワークの名前を --network パラメータを使用して指定し、Cloud SQL インスタンスを作成します。また、パブリック IP を無効にすることを示す --no-assign-ip フラグを使用します。

VPC ネットワークが共有 VPC ネットワークでない場合、-network パラメータの値は次の形式になります。 https://www.googleapis.com/compute/alpha/projects/[PROJECT_ID]/global/networks/[VPC_NETWORK_NAME]

VPC ネットワークが共有 VPC ネットワークの場合、-network パラメータ値の形式は projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK_NAME になります。HOST_PROJECT_ID は共有 VPC ホスト プロジェクトの名前、VPC_NETWORK_NAME は共有 VPC ネットワークの名前です。

gcloud --project=[PROJECT_ID] beta sql instances create [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

既存のインスタンスにプライベート IP を構成する

プライベート IP を使用するように既存の Cloud SQL インスタンスを構成すると、インスタンスが再起動し、ダウンタイムが生じます。

プライベート IP を使用するように既存のインスタンスを構成するには:

Console

  1. Google Cloud Console の Cloud SQL インスタンス ページに移動します。
    [Cloud SQL インスタンス] ページに移動
  2. インスタンス名をクリックして [概要] ページを開きます。
  3. [接続] タブを選択します。
  4. [プライベート IP] チェックボックスをオンにします。

    プルダウン リストには、プロジェクトで使用可能なネットワークが表示されます。プロジェクトが共有 VPC のサービス プロジェクトである場合、ホスト プロジェクトの VPC ネットワークも表示されます。

  5. プライベート サービス アクセスを構成した場合:
    1. 使用する VPC ネットワークを選択します。
    2. 割り振った IP アドレス範囲がプルダウンに表示されます。

    3. [接続] をクリックします。
    4. [保存] をクリックします。
  6. Cloud SQL に IP アドレスの割り当てを委任するには:
    1. デフォルトの VPC ネットワークを選択します。
    2. [割り当てて接続] をクリックします。
    3. [保存] をクリックします。

gcloud

まだ行っていない場合は、次の手順で Cloud SQL にプライベート サービス アクセスを構成します。--network パラメータを使用して、選択した VPC ネットワークの名前を指定し、Cloud SQL インスタンスを更新します。

VPC_NETWORK_NAME は、選択した VPC ネットワークの名前(my-vpc-network など)です。--network パラメータの値の形式は https://www.googleapis.com/compute/alpha/projects/[PROJECT_ID]/global/networks/[VPC_NETWORK_NAME] になります。

gcloud --project=[PROJECT_ID] beta sql instances patch [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

プライベート IP を使用してインスタンスに接続する

プライベート サービス アクセスを使用して、同じ VPC ネットワーク内の Compute Engine または Google Kubernetes Engine(ここでは内部ソース)から、またはネットワーク外(外部ソース)から Cloud SQL インスタンスに接続します。

内部ソースから接続する

Cloud SQL インスタンスと同じ Google Cloud プロジェクトのソース(Compute Engine リソースで実行されている Cloud SQL Proxy など)から接続するには、そのリソースが Cloud SQL インスタンスと同じ VPC ネットワークに存在している必要があります。

外部ソースから接続する

オンプレミス ネットワークが Cloud SQL インスタンスが接続されている VPC ネットワークに接続されていれば、オンプレミス ネットワーク内のクライアントから接続できます。オンプレミス ネットワークからの接続を許可するには、次の操作を行います。

  1. VPC ネットワークが Cloud VPN トンネル、または Dedicated InterconnectPartner Interconnect の相互接続アタッチメント(VLAN)を使用してオンプレミス ネットワークに接続されていることを確認します。
  2. プライベート サービス接続によって生成されるピアリングを特定します。ピアリングが、使用するデータベース エンジンのタイプ(MySQL、PostgreSQL、SQL Server)ごとに作成されることに注意してください。
  3. ピアリング接続を更新してカスタムルートを交換します。
  4. プライベート サービス接続に使用される割り振り範囲を特定します。
  5. Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)の BGP セッションを管理する Cloud Router の割り振り範囲用に Cloud Router のカスタムルート アドバタイズを作成します。

RFC 1918 以外のアドレスから接続する

RFC 1918 により、内部で(つまり、組織内で)使用するために割り当てられる IP アドレスが指定され、インターネット上ではルーティングされません。具体的には次のようなものが挙げられます。

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

プライベート IP アドレスを使用して Cloud SQL インスタンスへ接続すると、RFC 1918 アドレス範囲が自動的に承認されます。これにより、すべてのプライベート クライアントがプロキシを経由せずにデータベースにアクセスできます。

RFC 1918 以外のアドレス範囲(RFC 1918 アドレス空間に含まれないアドレス)は、承認済みネットワークとして構成される必要があります。

RFC 1918 以外のアドレスから接続するには、インスタンスごとの IP 認可を設定して、RFC 1918 以外のアドレス範囲からのトラフィックを許可します。

たとえば、次のような gcloud コマンドを使用します。

gcloud sql instances patch INSTANCE_NAME --authorized-networks 172.16.12.0/28,172.16.1.0/24,172.16.10.0/24,172.16.2.0/24,172.16.11.0/24,192.88.99.0/24,11.0.0.0/24

Cloud SQL は、デフォルトでは VPC から RFC 1918 以外のサブネット ルートを学習しません。RFC 1918 以外のルートをエクスポートするには、Cloud SQL へのネットワーク ピアリングを更新する必要があります。

gcloud compute networks peerings update cloudsql-mysql-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT
  • cloudsql-mysql-googleapis-com は、VPC ネットワーク ページの Private Service Connection 名です。

    ネットワークを選択し、[Private Service Connection] セクションを探します。

  • NETWORK は VPC ネットワークの名前です。

次のステップ