本页介绍了如何同时配置专用服务访问和 Private Service Connect。
通过配置专用服务访问通道,您可以在 Google Cloud 项目中为 Virtual Private Cloud (VPC) 网络分配 IP 地址范围并创建专用服务连接。这样一来,VPC 网络中的资源便可连接到您的 Cloud SQL 实例。
通过配置 Private Service Connect,您可以从属于不同群组、团队、项目或组织的多个 VPC 网络连接到 Cloud SQL 主实例或其任何只读副本。
创建支持专用服务访问和 Private Service Connect 的实例
通过创建同时支持专用服务访问和 Private Service Connect 的 Cloud SQL 实例,您可以同时获享这两项服务的好处。如需了解详情,请参阅实例的连接选项。
借助 Private Service Connect,您可以从属于不同群组、团队、项目或组织的多个 VPC 网络连接到 Cloud SQL 实例。
您可以使用 gcloud CLI 或 API 创建支持专用服务访问和 Private Service Connect 的 Cloud SQL 实例。
gcloud
如需创建同时支持专用服务访问和 Private Service Connect 的实例,请使用 gcloud beta sql instances create 命令:
gcloud beta sql instances create INSTANCE_NAME \ --project=PROJECT_ID \ --region=REGION_NAME \ --enable-private-service-connect \ --allowed-psc-projects=ALLOWED_PROJECTS \ --availability-type=AVAILABILITY_TYPE \ --no-assign-ip \ --allocated-ip-range-name=RANGE_NAME \ --enable-google-private-path \ --tier=MACHINE_TYPE \ --database-version=DATABASE_VERSION \ --network=VPC_NETWORK_NAME \ --enable-bin-log \ --psc-auto-connections=network=VPC_NETWORK_PATH,project=SERVICE_PROJECT
进行以下替换:
- INSTANCE_NAME:实例的名称。
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号。
- REGION_NAME:实例的区域名称。
ALLOWED_PROJECTS:允许的项目 ID 或编号列表(以英文逗号分隔)。如果某个项目未包含在此列表中,您将无法在该项目中创建 Private Service Connect 端点来连接到实例。
- AVAILABILITY_TYPE:为实例启用高可用性。对于此参数,请指定以下值之一:
REGIONAL:启用高可用性,建议用于生产实例。实例会故障切换到所选区域内的另一个可用区。ZONAL:不提供故障切换功能。此设置为默认值。
如需详细了解如何为实例设置和移除高可用性,请参阅为现有实例配置高可用性和为实例停用高可用性。
- RANGE_NAME:对于此可选参数,请设置为其分配 IP 地址范围的范围名称。范围名称必须符合
RFC 1035并且包含 1 到 63 个字符。 - MACHINE_TYPE:实例的机器类型。
- DATABASE_VERSION:实例的数据库版本(例如
MYSQL_8_0)。 - VPC_NETWORK_NAME:实例连接到的 VPC 网络的名称和路径(例如
"projects/PROJECT_ID/global/networks/default")。 - VPC_NETWORK_PATH:需要在其中创建 Private Service Connect 端点的 VPC 网络的路径。例如:
projects/my-host-project/global/networks/default。 SERVICE_PROJECT:创建 Private Service Connect 端点的项目。如果 VPC 网络不是共享 VPC,则此项目只能是该网络的宿主项目。如果这是共享 VPC,则可以是宿主项目,也可以是服务项目。
您在自动连接参数中指定的所有项目都会自动添加到允许的项目中。
如需了解如何连接到已启用 Private Service Connect 的实例,请参阅连接到 Cloud SQL 实例。
如需停用公共 IP,请使用 --no-assign-ip 参数。
此外,您可以选择使用 --enable-google-private-path 参数允许其他 Google Cloud 服务(如 BigQuery)访问 Cloud SQL 中的数据,并通过专用 IP 连接针对此数据进行查询。此参数仅在以下情况下有效:
- 使用
--no-assign-ip参数。 - 使用
--network参数指定要用于创建专用连接的 VPC 网络的名称。
REST
在使用任何请求数据之前,请先进行以下替换:
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号。
- INSTANCE_NAME:实例的名称。
- REGION_NAME:实例的区域名称。
- AVAILABILITY_TYPE:为实例启用高可用性。对于此参数,请指定以下值之一:
REGIONAL:启用高可用性,建议用于生产实例。实例会故障切换到所选区域内的另一个可用区。ZONAL:不提供故障切换功能。此设置为默认值。
如需详细了解如何为实例设置和移除高可用性,请参阅为现有实例配置高可用性和为实例停用高可用性。
- VPC_NETWORK_NAME:实例连接到的 VPC 网络的名称和路径(例如
"projects/PROJECT_ID/global/networks/default")。 - RANGE_NAME:对于此可选参数,请设置为其分配 IP 地址范围的范围名称。范围名称必须符合
RFC 1035并且包含 1 到 63 个字符。 ALLOWED_PROJECTS:允许的项目 ID 或编号列表(以英文逗号分隔)。如果某个项目未包含在此列表中,您将无法在该项目中创建 Private Service Connect 端点来连接到实例。
- VPC_NETWORK_PATH:需要在其中创建 Private Service Connect 端点的 VPC 网络的路径。例如:
projects/my-host-project/global/networks/default。 SERVICE_PROJECT:创建 Private Service Connect 端点的项目。如果 VPC 网络不是共享 VPC,则此项目只能是该网络的宿主项目。如果这是共享 VPC,则可以是宿主项目,也可以是服务项目。
您在自动连接参数中指定的所有项目都会自动添加到允许的项目中。
- MACHINE_TYPE:实例的机器类型。
如需了解如何连接到已启用 Private Service Connect 的实例,请参阅连接到 Cloud SQL 实例。
您将 ipv4Enabled 参数设置为 false,因为您的实例具有内部 IP 地址。
如果您将可选的 enablePrivatePathForGoogleCloudServices 参数设置为 true,则允许其他 Google Cloud 服务(例如 BigQuery)访问 Cloud SQL 中的数据,并通过内部 IP 连接对此数据进行查询。如果将此参数设置为 false,则其他 Google Cloud 服务将无法通过内部 IP 连接访问 Cloud SQL 中的数据。
HTTP 方法和网址:
POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances
请求 JSON 正文:
{
"name": "INSTANCE_NAME",
"project": PROJECT_ID",
"region": "REGION_NAME",
"databaseVersion": "MYSQL_8_0",
"kind": "sql#instance",
"settings": {
"availabilityType": "AVAILABILITY_TYPE",
"backupConfiguration": {
"binaryLogEnabled": true,
"enabled": true,
"kind": "sql#backupConfiguration",
"startTime": "00:00"
},
"ipConfiguration": {
"ipv4Enabled": false,
"privateNetwork": VPC_NETWORK_NAME,
"allocatedIpRange": "RANGE_NAME",
"enablePrivatePathForGoogleCloudServices": true,
"pscConfig": {
"allowedConsumerProjects": [
"ALLOWED_PROJECTS"
],
"pscAutoConnections": [
{
"consumerProject":"SERVICE_PROJECT",
"consumerNetwork":"projects/SERVICE_PROJECT/global/networks/VPC_NETWORK_PATH"
}
],
"pscEnabled": true
}
},
"kind": "sql#settings",
"pricingPlan": "PER_USE",
"replicationType": "SYNCHRONOUS",
"tier": "MACHINE_TYPE"
}
}如需发送您的请求,请展开以下选项之一:
您应该收到类似以下内容的 JSON 响应:
{
"kind": "sql#operation",
"targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
"status": "RUNNING",
"user": "user@example.com",
"insertTime": "2020-01-16T02:32:12.281Z",
"startTime": "2023-06-14T18:48:35.499Z",
"operationType": "CREATE",
"name": "OPERATION_ID",
"targetId": "INSTANCE_NAME",
"selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
"targetProject": "PROJECT_ID"
}
为实例停用 Private Service Connect
如果实例同时启用了专用服务访问通道和 Private Service Connect,您可以停用 Private Service Connect。出于安全考虑,您可能不希望从属于不同群组、团队、项目或组织的多个 VPC 网络连接到实例。
您可以使用 gcloud CLI 或 API 为实例停用 Private Service Connect。
gcloud
如需为实例停用 Private Service Connect,请使用 gcloud beta sql instances patch 命令:
gcloud beta sql instances patch INSTANCE_NAME \ --project=PROJECT_ID \ --no-enable-private-service-connect \ --clear-allowed-psc-projects
进行以下替换:
- INSTANCE_NAME:实例的名称
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号
REST
在使用任何请求数据之前,请先进行以下替换:
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号
- INSTANCE_NAME:实例的名称
HTTP 方法和网址:
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME
请求 JSON 正文:
{
"kind": "sql#instance",
"name": "INSTANCE_NAME",
"project": "PROJECT_ID",
"settings": {
"ipConfiguration": {
"pscConfig": {
"pscEnabled": "false",
"allowedConsumerProjects": [{}]
}
},
"kind": "sql#settings"
}
}
如需发送您的请求,请展开以下选项之一:
您应该收到类似以下内容的 JSON 响应:
{
"kind": "sql#operation",
"targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
"status": "RUNNING",
"user": "user@example.com",
"insertTime": "2020-01-16T02:32:12.281Z",
"startTime": "2023-06-14T18:48:35.499Z",
"operationType": "UPDATE",
"name": "OPERATION_ID",
"targetId": "INSTANCE_NAME",
"selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
"targetProject": "PROJECT_ID"
}
为实例启用 Private Service Connect
您可以为已启用专用服务访问通道的实例启用 Private Service Connect。您可以使用 Private Service Connect 从多个 VPC 网络连接到 Cloud SQL 实例。
您可以使用 gcloud CLI 或 API 为实例启用 Private Service Connect。
gcloud
如需为实例启用 Private Service Connect,请使用 gcloud beta sql instances patch 命令:
gcloud beta sql instances patch INSTANCE_NAME \ --project=PROJECT_ID \ --enable-private-service-connect \ --allowed-psc-projects=ALLOWED_PROJECTS \ --psc-auto-connections=network=VPC_NETWORK_PATH,project=SERVICE_PROJECT
进行以下替换:
- INSTANCE_NAME:实例的名称
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号
ALLOWED_PROJECTS:允许的项目 ID 或编号列表(以英文逗号分隔)。如果某个项目未包含在此列表中,您将无法在该项目中创建 Private Service Connect 端点以连接到实例。
- VPC_NETWORK_PATH:用于创建 Private Service Connect 端点的 VPC 网络的路径。例如:
projects/my-host-project/global/networks/default。 SERVICE_PROJECT:创建 Private Service Connect 端点的项目。如果 VPC 网络不是共享 VPC,则此项目只能是该网络的宿主项目。如果这是共享 VPC,则可以是宿主项目,也可以是服务项目。
您在自动连接参数中指定的所有项目都会自动添加到允许的项目中。
如需了解如何连接到已启用 Private Service Connect 的实例,请参阅连接到 Cloud SQL 实例。
REST
在使用任何请求数据之前,请先进行以下替换:
- PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号。
- INSTANCE_NAME:实例的名称。
- ALLOWED_PROJECTS:允许的项目 ID 或编号列表(以英文逗号分隔)。这些项目会替换已配置为使用 Private Service Connect 的项目。如果某个项目未包含在此列表中,您将无法在该项目中创建 Private Service Connect 端点以连接到实例。
- VPC_NETWORK_PATH:用于创建 Private Service Connect 端点的 VPC 网络的路径。例如:
projects/my-host-project/global/networks/default。 SERVICE_PROJECT:创建 Private Service Connect 端点的项目。如果 VPC 网络不是共享 VPC,则此项目只能是该网络的宿主项目。如果这是共享 VPC,则可以是宿主项目,也可以是服务项目。
您在自动连接参数中指定的所有项目都会自动添加到允许的项目中。
HTTP 方法和网址:
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME
请求 JSON 正文:
{
"kind": "sql#instance",
"name": "INSTANCE_NAME",
"project": "PROJECT_ID",
"settings": {
"ipConfiguration": {
"pscConfig": {
"pscAutoConnections": [
{
"consumerProject":"SERVICE_PROJECT",
"consumerNetwork":"projects/SERVICE_PROJECT/global/networks/VPC_NETWORK_PATH"
}
],
"pscEnabled": "true",
"allowedConsumerProjects": [ALLOWED_PROJECTS]
}
},
"kind": "sql#settings"
}
}
如需发送您的请求,请展开以下选项之一:
您应该收到类似以下内容的 JSON 响应:
{
"kind": "sql#operation",
"targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
"status": "RUNNING",
"user": "user@example.com",
"insertTime": "2020-01-16T02:32:12.281Z",
"startTime": "2023-06-14T18:48:35.499Z",
"operationType": "UPDATE",
"name": "OPERATION_ID",
"targetId": "INSTANCE_NAME",
"selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
"targetProject": "PROJECT_ID"
}
如需了解如何连接到已启用 Private Service Connect 的实例,请参阅连接到 Cloud SQL 实例。