プライベート サービス アクセスと Private Service Connect の両方を構成する

gcloud

プライベート サービス アクセスと Private Service Connect の両方をサポートするインスタンスを作成するには、gcloud beta sql instances create コマンドを使用します。

gcloud beta sql instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
--enable-private-service-connect \
--allowed-psc-projects=ALLOWED_PROJECTS \
--availability-type=AVAILABILITY_TYPE \
--no-assign-ip \
--allocated-ip-range-name=RANGE_NAME \
--enable-google-private-path \
--tier=MACHINE_TYPE \
--database-version=DATABASE_VERSION \
--network=VPC_PSA_NETWORK_PATH \
--enable-bin-log \
--psc-auto-connections=network=VPC_PSC_NETWORK_PATH,project=SERVICE_PROJECT

次のように置き換えます。

• INSTANCE_NAME: インスタンスの名前。
• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号。
• REGION_NAME: インスタンスのリージョン名。

• ALLOWED_PROJECTS: 許可されているプロジェクト ID または番号のリスト（カンマ区切り）。このリストに含まれていないプロジェクトでは、インスタンスに接続する Private Service Connect エンドポイントを作成できません。

• AVAILABILITY_TYPE: インスタンスの高可用性を有効にします。このパラメータには、次のいずれかの値を指定します。
  • REGIONAL: 高可用性を有効にします。本番環境インスタンスに推奨されます。インスタンスは、選択したリージョン内の別のゾーンにフェイルオーバーします。
  • ZONAL: フェイルオーバー機能を提供しません。これがデフォルト値です。

  インスタンスの高可用性の設定と削除の詳細については、既存のインスタンスを高可用性向けに構成するとインスタンスの高可用性を無効にするをご覧ください。

• RANGE_NAME: このオプションのパラメータには、IP 範囲が割り振られる範囲名を設定します。範囲名は RFC 1035 に準拠し、1 ～ 63 文字にする必要があります。
• MACHINE_TYPE: インスタンスのマシンタイプ。
• DATABASE_VERSION: インスタンスのデータベース バージョン（例: MYSQL_8_0）。
• VPC_PSA_NETWORK_PATH: インスタンスが接続する VPC ネットワークの名前とパス（"projects/PROJECT_ID/global/networks/default" など）。このネットワークは、プライベート サービス アクセス接続と、Cloud SQL インスタンスのプライベート サービス アクセス IP アドレスに使用されます。
• VPC_PSC_NETWORK_PATH: Private Service Connect エンドポイントを作成する VPC ネットワークへのパス。例:
  projects/my-host-project/global/networks/default。

• SERVICE_PROJECT: Private Service Connect エンドポイントが作成されるプロジェクト。VPC ネットワークが共有 VPC でない場合は、ネットワークのホスト プロジェクトのみにできます。共有 VPC の場合は、ホスト プロジェクトまたはサービス プロジェクトのいずれかになります。

Private Service Connect が有効になっているインスタンスに接続する方法については、Cloud SQL インスタンスに接続するをご覧ください。

パブリック IP を無効にするには、--no-assign-ip パラメータを使用します。

また、必要に応じて --enable-google-private-path パラメータを使用して、BigQuery などの他の Google Cloud サービスが Cloud SQL 内のデータにアクセスし、プライベート IP 接続でこのデータに対するクエリを実行できるようにします。このパラメータは次の場合にのみ有効です。

• --no-assign-ip パラメータを使用する。
• --network パラメータを使用して、プライベート接続の作成に使用する VPC ネットワークの名前を指定する。

Terraform

プライベート サービス アクセスと Private Service Connect の両方が有効になっているインスタンスを作成するには、 google_sql_database_instance Terraform リソースを使用します。

resource "google_compute_network" "peering_network" {
  name                    = "private-network"
  auto_create_subnetworks = "false"
}

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

resource "google_sql_database_instance" "default" {
  name             = "mysql-instance"
  region           = "us-central1"
  database_version = "MYSQL_8_0"

  depends_on = [google_service_networking_connection.default]

  settings {
    tier = "db-f1-micro"
    ip_configuration {
      psc_config {
        psc_enabled               = true
        allowed_consumer_projects = [] # Add consumer project IDs here.
      }
      ipv4_enabled    = false
      private_network = google_compute_network.peering_network.id
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

resource "google_compute_network_peering_routes_config" "peering_routes" {
  peering              = google_service_networking_connection.default.peering
  network              = google_compute_network.peering_network.name
  import_custom_routes = true
  export_custom_routes = true
}

resource "google_compute_address" "default" {
  name         = "psc-compute-address-${google_sql_database_instance.default.name}"
  region       = "us-central1"
  address_type = "INTERNAL"
  subnetwork   = "default"      # Replace value with the name of the subnet here.
  address      = "192.168.0.43" # Replace value with the IP address to reserve.
}

data "google_sql_database_instance" "default" {
  name = resource.google_sql_database_instance.default.name
}

resource "google_compute_forwarding_rule" "default" {
  name                  = "psc-forwarding-rule-${google_sql_database_instance.default.name}"
  region                = "us-central1"
  network               = "default"
  ip_address            = google_compute_address.default.self_link
  load_balancing_scheme = ""
  target                = data.google_sql_database_instance.default.psc_service_attachment_link
}

Google Cloud プロジェクトで Terraform 構成を適用するには、次のセクションの手順を完了します。

Cloud Shell を準備する

1. Cloud Shell を起動します。

2. Terraform 構成を適用するデフォルトの Google Cloud プロジェクトを設定します。

   このコマンドは、プロジェクトごとに 1 回だけ実行する必要があります。これは任意のディレクトリで実行できます。

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID

   Terraform 構成ファイルに明示的な値を設定すると、環境変数がオーバーライドされます。

ディレクトリを準備する

Terraform 構成ファイルには独自のディレクトリ（ルート モジュールとも呼ばれます）が必要です。

1. Cloud Shell で、ディレクトリを作成し、そのディレクトリ内に新しいファイルを作成します。ファイルの拡張子は .tf にする必要があります（例: main.tf）。このチュートリアルでは、このファイルを main.tf とします。

   mkdir DIRECTORY && cd DIRECTORY && touch main.tf

2. チュートリアルを使用している場合は、各セクションまたはステップのサンプルコードをコピーできます。

   新しく作成した main.tf にサンプルコードをコピーします。

   必要に応じて、GitHub からコードをコピーします。Terraform スニペットがエンドツーエンドのソリューションの一部である場合は、この方法をおすすめします。

3. 環境に適用するサンプル パラメータを確認し、変更します。
4. 変更を保存します。
5. Terraform を初期化します。これは、ディレクトリごとに 1 回だけ行う必要があります。

   terraform init

   最新バージョンの Google プロバイダを使用する場合は、-upgrade オプションを使用します。

   terraform init -upgrade

変更を適用する

1. 構成を確認して、Terraform が作成または更新するリソースが想定どおりであることを確認します。

   terraform plan

   必要に応じて構成を修正します。

2. 次のコマンドを実行します。プロンプトで「yes」と入力して、Terraform 構成を適用します。

   terraform apply

   Terraform に「Apply complete!」というメッセージが表示されるまで待ちます。

3. Google Cloud プロジェクトを開いて結果を表示します。Google Cloud コンソールの UI でリソースに移動して、Terraform によって作成または更新されたことを確認します。

REST

リクエストのデータを使用する前に、次のように置き換えます。

• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号。
• INSTANCE_NAME: インスタンスの名前。
• REGION_NAME: インスタンスのリージョン名。
• AVAILABILITY_TYPE: インスタンスの高可用性を有効にします。このパラメータには、次のいずれかの値を指定します。
  • REGIONAL: 高可用性を有効にします。本番環境インスタンスに推奨されます。インスタンスは、選択したリージョン内の別のゾーンにフェイルオーバーします。
  • ZONAL: フェイルオーバー機能を提供しません。これがデフォルト値です。

  インスタンスの高可用性の設定と削除の詳細については、既存のインスタンスを高可用性向けに構成するとインスタンスの高可用性を無効にするをご覧ください。

• VPC_PSA_NETWORK_PATH: インスタンスが接続する VPC ネットワークのパス（"projects/PROJECT_ID/global/networks/default" など）。このネットワークは、プライベート サービス アクセス接続と、Cloud SQL インスタンスのプライベート サービス アクセス IP アドレスに使用されます。
• RANGE_NAME: このオプションのパラメータには、IP 範囲が割り振られる範囲名を設定します。範囲名は RFC 1035 に準拠し、1 ～ 63 文字にする必要があります。

• ALLOWED_PROJECTS: 許可されているプロジェクト ID または番号のリスト（カンマ区切り）。このリストに含まれていないプロジェクトでは、インスタンスに接続する Private Service Connect エンドポイントを作成できません。

• VPC_PSC_NETWORK_PATH: Private Service Connect エンドポイントを作成する VPC ネットワークへのパス。例:
  projects/my-host-project/global/networks/default。

• SERVICE_PROJECT: Private Service Connect エンドポイントが作成されるプロジェクト。VPC ネットワークが共有 VPC でない場合は、ネットワークのホスト プロジェクトのみにできます。共有 VPC の場合は、ホスト プロジェクトまたはサービス プロジェクトのいずれかになります。

• MACHINE_TYPE: インスタンスのマシンタイプ。

Private Service Connect が有効になっているインスタンスに接続する方法については、Cloud SQL インスタンスに接続するをご覧ください。

インスタンスに内部 IP アドレスがあるため、ipv4Enabled パラメータを false に設定します。

オプションの enablePrivatePathForGoogleCloudServices パラメータを true に設定すると、BigQuery などの他の Google Cloud サービスが Cloud SQL 内のデータにアクセスし、内部 IP 接続を介してこのデータに対してクエリを実行できるようになります。このパラメータを false に設定すると、他のサービスは内部 IP 接続を介して Cloud SQL 内のデータにアクセスできなくなります。 Google Cloud

HTTP メソッドと URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

リクエストの本文（JSON）:

{
  "name": "INSTANCE_NAME",
  "project": PROJECT_ID",
  "region": "REGION_NAME",
  "databaseVersion": "MYSQL_8_0",
  "kind": "sql#instance",
  "settings": {
    "availabilityType": "AVAILABILITY_TYPE",
    "backupConfiguration": {
      "binaryLogEnabled": true,
      "enabled": true,
      "kind": "sql#backupConfiguration",
      "startTime": "00:00"
    },
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": VPC_PSA_NETWORK_PATH,
      "allocatedIpRange": "RANGE_NAME",
      "enablePrivatePathForGoogleCloudServices": true,
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
        "pscAutoConnections": [
          {
            "consumerProject":"SERVICE_PROJECT",
            "consumerNetwork":"projects/SERVICE_PROJECT/global/networks/VPC_PSC_NETWORK_PATH"
          }
        ],
        "pscEnabled": true
      }
    },
    "kind": "sql#settings",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "tier": "MACHINE_TYPE"
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "RUNNING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "startTime": "2023-06-14T18:48:35.499Z",
  "operationType": "CREATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

gcloud

インスタンスの Private Service Connect を無効にするには、gcloud beta sql instances patch コマンドを使用します。

gcloud beta sql instances patch INSTANCE_NAME \
--project=PROJECT_ID \
--no-enable-private-service-connect \
--clear-allowed-psc-projects

次のように置き換えます。

• INSTANCE_NAME: インスタンスの名前
• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号

REST

リクエストのデータを使用する前に、次のように置き換えます。

• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号
• INSTANCE_NAME: インスタンスの名前

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

リクエストの本文（JSON）:

{
  "kind": "sql#instance",
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "settings": {
    "ipConfiguration": {
      "pscConfig": {
        "pscEnabled": "false",
        "allowedConsumerProjects": [{}]
      }
    },
    "kind": "sql#settings"
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "RUNNING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "startTime": "2023-06-14T18:48:35.499Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

gcloud

インスタンスで Private Service Connect を有効にするには、gcloud beta sql instances patch コマンドを使用します。

gcloud beta sql instances patch INSTANCE_NAME \
--project=PROJECT_ID \
--enable-private-service-connect \
--allowed-psc-projects=ALLOWED_PROJECTS \
--psc-auto-connections=network=VPC_PSC_NETWORK_PATH,project=SERVICE_PROJECT

次のように置き換えます。

• INSTANCE_NAME: インスタンスの名前
• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号

• ALLOWED_PROJECTS: 許可されているプロジェクト ID または番号のリスト（カンマ区切り）。このリストに含まれていないプロジェクトでは、インスタンスに接続する Private Service Connect エンドポイントを作成できません。

• VPC_PSC_NETWORK_PATH: Private Service Connect エンドポイントが作成される VPC ネットワークへのパス。例:
  projects/my-host-project/global/networks/default。

• SERVICE_PROJECT: Private Service Connect エンドポイントが作成されるプロジェクト。VPC ネットワークが共有 VPC でない場合は、ネットワークのホスト プロジェクトのみにできます。共有 VPC の場合は、ホスト プロジェクトまたはサービス プロジェクトのいずれかになります。

Private Service Connect が有効になっているインスタンスに接続する方法については、Cloud SQL インスタンスに接続するをご覧ください。

REST

リクエストのデータを使用する前に、次のように置き換えます。

• PROJECT_ID: インスタンスが含まれている Google Cloud プロジェクトの ID またはプロジェクト番号。
• INSTANCE_NAME: インスタンスの名前。
• ALLOWED_PROJECTS: 許可されているプロジェクト ID または番号のリスト（カンマ区切り）。これらのプロジェクトは、Private Service Connect を使用するようにすでに構成されているプロジェクトをオーバーライドします。このリストに含まれていないプロジェクトでは、インスタンスに接続する Private Service Connect エンドポイントを作成できません。
• VPC_PSC_NETWORK_PATH: Private Service Connect エンドポイントが作成される VPC ネットワークへのパス。例:
  projects/my-host-project/global/networks/default。

• SERVICE_PROJECT: Private Service Connect エンドポイントが作成されるプロジェクト。VPC ネットワークが共有 VPC でない場合は、ネットワークのホスト プロジェクトのみにできます。共有 VPC の場合は、ホスト プロジェクトまたはサービス プロジェクトのいずれかになります。

HTTP メソッドと URL:

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

リクエストの本文（JSON）:

{
  "kind": "sql#instance",
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "settings": {
    "ipConfiguration": {
      "pscConfig": {
        "pscAutoConnections": [
          {
            "consumerProject":"SERVICE_PROJECT",
            "consumerNetwork":"projects/SERVICE_PROJECT/global/networks/VPC_PSC_NETWORK_PATH"
          }
        ],
        "pscEnabled": "true",
        "allowedConsumerProjects": [ALLOWED_PROJECTS]
      }
    },
    "kind": "sql#settings"
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "RUNNING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "startTime": "2023-06-14T18:48:35.499Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Private Service Connect が有効になっているインスタンスに接続する方法については、Cloud SQL インスタンスに接続するをご覧ください。