Cloud SQL Auth Proxy を使用して接続する

MySQL | PostgreSQL | SQL Server

このページでは、Cloud SQL Auth Proxy を使用して Cloud SQL インスタンスに接続する方法について説明します。

Cloud SQL Auth Proxy の動作の詳細については、Cloud SQL Auth Proxy についてをご覧ください。

概要

Cloud SQL インスタンスに接続する場合は、Cloud SQL Auth Proxy を使用することをおすすめします。Cloud SQL Auth Proxy は、次のことを行います。

パブリック IP エンドポイントとプライベート IP エンドポイントの両方で動作する。
ユーザーまたはサービスアカウントの認証情報を使用して接続を検証する。
Cloud SQL インスタンスに対して認可された SSL / TLS レイヤに接続をラップする。

一部の Google Cloud サービスとアプリケーションでは、Cloud SQL Auth プロキシを使用して暗号化と認可を行い、パブリック IP パスの接続を可能にしています。

Google Kubernetes Engine で実行されるアプリケーションは、Cloud SQL Auth Proxy を使用して接続できます。

基本的な使用方法については、Cloud SQL Auth Proxy を使用するためのクイックスタートをご覧ください。

ローカルマシンまたは Compute Engine から mysql クライアントを使用して、Cloud SQL Auth Proxy の有無を問わず接続することもできます。

始める前に

Cloud SQL インスタンスに接続するには、次の作業が必要です。

- ユーザーまたはサービスアカウントについて、そのアカウントに Cloud SQL クライアントのロールがあることを確認します。このロールには、プリンシパルがプロジェクト内のすべての Cloud SQL インスタンスに接続することを承認する cloudsql.instances.connect 権限が含まれています。
  IAM ページに移動
- 必要に応じて、1 つの特定の Cloud SQL インスタンスにのみ接続する権限をアカウントに付与する IAM 条件を IAM ポリシーバインディングに含めることができます。

Cloud SQL Admin API を有効にします。
API を有効にする

gcloud CLI をインストールして初期化します。
省略可。Cloud SQL Auth プロキシの Docker クライアントをインストールします。

Cloud SQL Auth Proxy をダウンロードする

Linux 64 ビット

Cloud SQL Auth Proxy をダウンロードします。

wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64 -O cloud_sql_proxy

Cloud SQL Auth Proxy を動作可能にします。
```
chmod +x cloud_sql_proxy
```

Linux 32 ビット

Cloud SQL Auth Proxy をダウンロードします。

wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.386 -O cloud_sql_proxy

wget コマンドが見つからない場合は、sudo apt-get install wget を実行してダウンロードコマンドを繰り返します。
Cloud SQL Auth Proxy を動作可能にします。
```
chmod +x cloud_sql_proxy
```

macOS 64 ビット

Cloud SQL Auth Proxy をダウンロードします。

curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.amd64

Cloud SQL Auth Proxy を動作可能にします。
```
chmod +x cloud_sql_proxy
```

macOS 32 ビット

Cloud SQL Auth Proxy をダウンロードします。

curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.386

Cloud SQL Auth Proxy を動作可能にします。
```
chmod +x cloud_sql_proxy
```

Mac M1

Cloud SQL Auth Proxy をダウンロードします。

  curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.arm64

Cloud SQL Auth Proxy を動作可能にします。
```
  chmod +x cloud_sql_proxy
  
```

Windows 64 ビット

https://dl.google.com/cloudsql/cloud_sql_proxy_x64.exe を右クリックして [名前を付けてリンク先を保存] を選択し、Cloud SQL Auth Proxy をダウンロードします。ファイル名を cloud_sql_proxy.exe に変更します。

Windows 32 ビット

https://dl.google.com/cloudsql/cloud_sql_proxy_x86.exe を右クリックして [名前を付けてリンク先を保存] を選択し、Cloud SQL Auth Proxy をダウンロードします。ファイル名を cloud_sql_proxy.exe に変更します。

Cloud SQL Auth Proxy Docker イメージ

便宜上、Cloud SQL Auth プロキシを含む複数のコンテナイメージは、GitHub で Cloud SQL Auth プロキシリポジトリから入手できます。次のコマンドを使用して、最新のイメージをローカルマシンに Docker で pull できます。

docker pull gcr.io/cloudsql-docker/gce-proxy:1.32.0

その他の OS

ここに記載されていないその他のオペレーティングシステムの場合は、ソースから Cloud SQL Auth Proxy をコンパイルできます。

Cloud SQL Auth Proxy の起動

言語や環境に応じて、TCP ソケット、Unix ソケット、または Cloud SQL Auth Proxy Docker イメージを使用して Cloud SQL Auth Proxy を起動できます。Cloud SQL Auth Proxy バイナリは、コマンドラインで指定された 1 つ以上の Cloud SQL インスタンスに接続し、TCP または Unix ソケットとしてローカル接続をオープンします。アプリケーションコードやデータベース管理クライアントツールなど、他のアプリケーションやサービスは、これらの TCP または Unix ソケットの接続を介して Cloud SQL インスタンスに接続できます。

TCP ソケット

TCP 接続の場合、Cloud SQL Auth Proxy は、デフォルトでは localhost（127.0.0.1）でリッスンします。したがって、インスタンスに tcp:PORT_NUMBER を指定すると、ローカル接続は 127.0.0.1:PORT_NUMBER になります。

また、ローカル接続に別のアドレスを指定することもできます。たとえば、ローカル接続用に Cloud SQL Auth Proxy が 0.0.0.0:1234 でリッスンする方法を次に示します。

  ./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:0.0.0.0:1234

INSTANCE_CONNECTION_NAME をコピーします。これは、Google Cloud コンソールのインスタンスの [概要] ページに表示されます。また、次のコマンドで確認することもできます。
```
gcloud sql instances describe INSTANCE_NAME
```
.
例: myproject:myregion:myinstance。
インスタンスにパブリック IP とプライベート IP の両方が構成されている場合に、Cloud SQL Auth Proxy によってプライベート IP アドレスが使用されるようにするには、Cloud SQL Auth Proxy の起動時に次のオプションを指定する必要があります。
```
-ip_address_types=PRIVATE
```
サービスアカウントを使用して Cloud SQL Auth Proxy を認証する場合は、サービスアカウントの作成時に作成された秘密鍵ファイルの、クライアントマシン上の場所を記録しておきます。
Cloud SQL Auth Proxy を起動します。
有効な Cloud SQL Auth Proxy の呼び出し文字列:
- Cloud SDK 認証を使用する場合
```
./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:3306
```
  指定されたポートは、ローカルデータベースサーバーなどがまだ使用していないものにする必要があります。
- サービスアカウントを使用して、インスタンス接続の名前を明示的に指定する場合（本番環境用に推奨）:
```
./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:3306 \
                  -credential_file=PATH_TO_KEY_FILE &
```
Cloud SQL Auth Proxy オプションの詳細については、Cloud SQL Auth Proxy を認証するためのオプションとインスタンスを指定するためのオプションをご覧ください。

Unix ソケット

Cloud SQL Auth Proxy は Unix ソケットでリッスンできます。これは、フォルダを使用して同じホスト上で動作している 2 つのプロセス間の通信を管理するための Posix 標準のメカニズムです。Unix ソケットを使用する利点は、セキュリティが向上し、レイテンシが低くなることです。ただし、外部マシンから Unix ソケットにはアクセスできません。

Unix ソケットを作成して使用するには、ターゲットディレクトリが存在し、Cloud SQL Auth Proxy とアプリケーションの両方に読み取りと書き込みのアクセス権が付与されている必要があります。

明示的なインスタンス指定を使用する場合は、INSTANCE_CONNECTION_NAME をコピーします。これは、Google Cloud コンソールのインスタンスの [概要] ページに表示されます。また、次のコマンドで確認することもできます。
```
gcloud sql instances describe INSTANCE_NAME
```
.
例: myproject:myregion:myinstance。
Cloud SQL Auth Proxy ソケットを格納するディレクトリを作成します。
```
sudo mkdir /cloudsql; sudo chmod 777 /cloudsql
```
サービスアカウントを使用して Cloud SQL Auth Proxy を認証する場合は、サービスアカウントの作成時に作成された秘密鍵ファイルの、クライアントマシン上の場所を記録しておきます。
新しい Cloud Shell ターミナルウィンドウを開き、Cloud SQL Auth Proxy を起動します。
有効な Cloud SQL Auth Proxy の呼び出し文字列:
- サービスアカウントを使用して、インスタンス接続の名前を明示的に指定する場合（本番環境用に推奨）:
```
./cloud_sql_proxy -dir=/cloudsql -instances=INSTANCE_CONNECTION_NAME
-credential_file=PATH_TO_KEY_FILE &
```
- Cloud SDK 認証と自動インスタンス検出を使用する場合:
```
./cloud_sql_proxy -dir=/cloudsql &
```
専用の Cloud Shell ターミナルで Cloud SQL Auth Proxy を起動して、その出力を他のプログラムからの出力と混同せずにモニタリングできるようにします。

Cloud SQL Auth Proxy オプションの詳細については、Cloud SQL Auth Proxy を認証するためのオプションとインスタンスを指定するためのオプションをご覧ください。

注: Unix ソケットを使用して Cloud SQL Auth Proxy を使用する Cloud SQL に接続する場合、ソケットのファイル名の長さがシステムの上限を超えていないことを確認してください。システムによって異なりますが、通常は 91～108 文字です。Linux では、この長さが通常 108 文字と定義され、次のコマンドで確認できます。

cat /usr/include/linux/un.h | grep "define UNIX_PATH_MAX"

Docker

Docker コンテナで Cloud SQL Auth Proxy を動作させるには、Google Container Registry から入手できる Cloud SQL Auth Proxy Docker イメージを使用します。

次のコマンドで、TCP ソケットまたは Unix ソケットのどちらかを使用して、Cloud SQL Auth Proxy を起動できます。このオプションは、Cloud SQL インスタンスを識別するための接続文字列として INSTANCE_CONNECTION_NAME を使用します。INSTANCE_CONNECTION_NAME は、Google Cloud コンソールのインスタンスの [概要] ページに表示されます。また、次のコマンドで確認することもできます。

gcloud sql instances describe INSTANCE_NAME

例: myproject:myregion:myinstance。

言語や環境に応じて、TCP ソケットまたは Unix ソケットのどちらかを使用して Cloud SQL Auth Proxy を起動できます。Unix ソケットは、Java プログラミング言語で作成されたアプリケーションや Windows 環境ではサポートされていません。

TCP ソケットの使用

docker run -d \\
  -v PATH_TO_KEY_FILE:/config \\
  -p 127.0.0.1:3306:3306 \\
  gcr.io/cloudsql-docker/gce-proxy:1.32.0 /cloud_sql_proxy \\
  -instances=INSTANCE_CONNECTION_NAME=tcp:0.0.0.0:3306 -credential_file=/config

Compute Engine インスタンスによって提供される認証情報を使用している場合は、credential_file パラメータと -v PATH_TO_KEY_FILE:/config の行を含めないでください。

Cloud SQL Auth Proxy がローカルホストの外部に公開されないように、常に 127.0.0.1 に -p の接頭辞を指定します。インスタンスパラメータに含まれる「0.0.0.0」は、Docker コンテナの外側からポートにアクセスできるようにするために必要です。

Unix ソケットの使用

docker run -d -v /cloudsql:/cloudsql \\
  -v PATH_TO_KEY_FILE:/config \\
  gcr.io/cloudsql-docker/gce-proxy:1.32.0 /cloud_sql_proxy -dir=/cloudsql \\
  -instances=INSTANCE_CONNECTION_NAME -credential_file=/config

コンテナ最適化イメージを使用している場合は、/cloudsql の代わりに書き込み可能なディレクトリを使用します。たとえば、次のようにします。

-v /mnt/stateful_partition/cloudsql:/cloudsql

複数のインスタンスをカンマで区切って指定できます。また、Compute Engine メタデータを使用して接続対象のインスタンスを動的に決定することもできます。Cloud SQL Auth Proxy パラメータについての詳細をご覧ください。

mysql クライアントと接続する

プラットフォーム向けの MySQL Community Server を MySQL Community Server ダウンロードページからダウンロードします。
Community Server に MySQL クライアントが含まれています。
ダウンロードページの指示に沿って、Community Server をインストールします。

MySQL のインストールの詳細については、MySQL のインストールとアップグレードをご覧ください。

使用する接続文字列は、TCP ソケット、Unix ソケット、Docker のいずれを使用して Cloud SQL Auth Proxy を開始したかによって異なります。

TCP ソケット

MySQL クライアントを起動します。
```
mysql -u USERNAME -p --host 127.0.0.1
```
TCP ソケットを使用して接続する場合、Cloud SQL Auth Proxy には 127.0.0.1 経由でアクセスします。
プロンプトが表示されたら、パスワードを入力します。
MySQL プロンプトが表示されます。

Unix ソケットの使用

MySQL クライアントを起動します。

mysql -u USERNAME -p -S /cloudsql/INSTANCE_CONNECTION_NAME

パスワードを入力します。
MySQL プロンプトが表示されます。

お困りの場合、プロキシのトラブルシューティングについては、Cloud SQL Auth Proxy 接続のトラブルシューティングまたは Cloud SQL のサポートページをご覧ください。

アプリケーションに接続する

Unix または TCP ソケットに接続できる任意の言語を使用して、Cloud SQL Auth Proxy に接続できます。アプリケーションでどのように連携するのかを把握できるように、GitHub の詳細な例からコードスニペットをいくつか紹介します。

TCP で接続

Cloud SQL Auth Proxy 呼び出しステートメント:

./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:3306 &

Python

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/sqlalchemy/connect_tcp.py

GitHub で表示

import os

import sqlalchemy

# connect_tcp_socket initializes a TCP connection pool
# for a Cloud SQL instance of MySQL.
def connect_tcp_socket() -> sqlalchemy.engine.base.Engine:
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    db_host = os.environ["INSTANCE_HOST"]  # e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
    db_user = os.environ["DB_USER"]  # e.g. 'my-db-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-db-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    db_port = os.environ["DB_PORT"]  # e.g. 3306

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # mysql+pymysql://<db_user>:<db_pass>@<db_host>:<db_port>/<db_name>
        sqlalchemy.engine.url.URL.create(
            drivername="mysql+pymysql",
            username=db_user,
            password=db_pass,
            host=db_host,
            port=db_port,
            database=db_name,
        ),
        # ...
    )
    return pool

Java

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

注:

INSTANCE_CONNECTION_NAME は、<MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME> として表す必要があります。
引数 ipTypes=PRIVATE を使用すると、SocketFactory はインスタンスに関連付けられたプライベート IP を使用して接続するようになります。
pom.xml ファイルの JDBC ソケットファクトリバージョン要件については、こちらをご覧ください。

cloud-sql/mysql/servlet/src/main/java/com/example/cloudsql/TcpConnectionPoolFactory.java

GitHub で表示


import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class TcpConnectionPoolFactory extends ConnectionPoolFactory {

  // Saving credentials in environment variables is convenient, but not secure - consider a more
  // secure solution such as https://cloud.google.com/secret-manager/ to help keep secrets safe.
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  private static final String INSTANCE_HOST = System.getenv("INSTANCE_HOST");
  private static final String DB_PORT = System.getenv("DB_PORT");

  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:mysql://<INSTANCE_HOST>:<DB_PORT>/<DB_NAME>?user=<DB_USER>&password=<DB_PASS>
    // See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
    // https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:mysql://%s:%s/%s", INSTANCE_HOST, DB_PORT, DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "mysql"
    config.setPassword(DB_PASS); // e.g. "my-password"

    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

Node.js

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/mysql/connect-tcp.js

GitHub で表示

const mysql = require('promise-mysql');
const fs = require('fs');

// createTcpPool initializes a TCP connection pool for a Cloud SQL
// instance of MySQL.
const createTcpPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  const dbConfig = {
    host: process.env.INSTANCE_HOST, // e.g. '127.0.0.1'
    port: process.env.DB_PORT, // e.g. '3306'
    user: process.env.DB_USER, // e.g. 'my-db-user'
    password: process.env.DB_PASS, // e.g. 'my-db-password'
    database: process.env.DB_NAME, // e.g. 'my-database'
    // ... Specify additional properties here.
    ...config,
  };
  // Establish a connection to the database.
  return mysql.createPool(dbConfig);
};

Go

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloudsql/mysql/database-sql/connect_tcp.go

GitHub で表示

package cloudsql

import (
	"crypto/tls"
	"crypto/x509"
	"database/sql"
	"errors"
	"fmt"
	"io/ioutil"
	"log"
	"os"

	"github.com/go-sql-driver/mysql"
)

// connectTCPSocket initializes a TCP connection pool for a Cloud SQL
// instance of MySQL.
func connectTCPSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Warning: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser    = mustGetenv("DB_USER")       // e.g. 'my-db-user'
		dbPwd     = mustGetenv("DB_PASS")       // e.g. 'my-db-password'
		dbName    = mustGetenv("DB_NAME")       // e.g. 'my-database'
		dbPort    = mustGetenv("DB_PORT")       // e.g. '3306'
		dbTCPHost = mustGetenv("INSTANCE_HOST") // e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
	)

	dbURI := fmt.Sprintf("%s:%s@tcp(%s:%s)/%s?parseTime=true",
		dbUser, dbPwd, dbTCPHost, dbPort, dbName)

	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("mysql", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %v", err)
	}

	// ...

	return dbPool, nil
}

C#

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/ConnectTcp.cs

GitHub で表示

using MySql.Data.MySqlClient;
using System;

namespace CloudSql
{
    public class MySqlTcp
    {
        public static MySqlConnectionStringBuilder NewMysqlTCPConnectionString()
        {
            // Equivalent connection string:
            // "Uid=<DB_USER>;Pwd=<DB_PASS>;Host=<INSTANCE_HOST>;Database=<DB_NAME>;"
            var connectionString = new MySqlConnectionStringBuilder()
            {
                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Server = Environment.GetEnvironmentVariable("INSTANCE_HOST"),   // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                UserID = Environment.GetEnvironmentVariable("DB_USER"),   // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = MySqlSslMode.Disabled,
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;

        }
    }
}

Ruby

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/activerecord/config/database_tcp.yml

GitHub で表示

tcp: &tcp
  adapter: mysql2
  # Configure additional properties here
  # Note: Saving credentials in environment variables is convenient, but not
  # secure - consider a more secure solution such as
  # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  # keep secrets safe.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: "<%= ENV.fetch("INSTANCE_HOST") { "127.0.0.1" }%>" # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT") { 3306 }%>

PHP

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud_sql/mysql/pdo/src/DatabaseTcp.php

GitHub で表示

namespace Google\Cloud\Samples\CloudSQL\MySQL;

use PDO;
use PDOException;
use RuntimeException;
use TypeError;

class DatabaseTcp
{
    public static function initTcpDatabaseConnection(): PDO
    {
        try {
            // Note: Saving credentials in environment variables is convenient, but not
            // secure - consider a more secure solution such as
            // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
            // keep secrets safe.
            $username = getenv('DB_USER'); // e.g. 'your_db_user'
            $password = getenv('DB_PASS'); // e.g. 'your_db_password'
            $dbName = getenv('DB_NAME'); // e.g. 'your_db_name'
            $instanceHost = getenv('INSTANCE_HOST'); // e.g. '127.0.0.1' ('172.17.0.1' for GAE Flex)

            // Connect using TCP
            $dsn = sprintf('mysql:dbname=%s;host=%s', $dbName, $instanceHost);

            // Connect to the database
            $conn = new PDO(
                $dsn,
                $username,
                $password,
                # ...
            );
        } catch (TypeError $e) {
            throw new RuntimeException(
                sprintf(
                    'Invalid or missing configuration! Make sure you have set ' .
                        '$username, $password, $dbName, and $instanceHost (for TCP mode). ' .
                        'The PHP error was %s',
                    $e->getMessage()
                ),
                $e->getCode(),
                $e
            );
        } catch (PDOException $e) {
            throw new RuntimeException(
                sprintf(
                    'Could not connect to the Cloud SQL Database. Check that ' .
                        'your username and password are correct, that the Cloud SQL ' .
                        'proxy is running, and that the database exists and is ready ' .
                        'for use. For more assistance, refer to %s. The PDO error was %s',
                    'https://cloud.google.com/sql/docs/mysql/connect-external-app',
                    $e->getMessage()
                ),
                $e->getCode(),
                $e
            );
        }

        return $conn;
    }
}

Unix ソケットとの接続

Cloud SQL Auth Proxy 呼び出しステートメント:

./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME -dir=/cloudsql &

Python

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/sqlalchemy/connect_unix.py

GitHub で表示

import os

import sqlalchemy

# connect_unix_socket initializes a Unix socket connection pool for
# a Cloud SQL instance of MySQL.
def connect_unix_socket() -> sqlalchemy.engine.base.Engine:
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    db_user = os.environ["DB_USER"]  # e.g. 'my-database-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-database-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    unix_socket_path = os.environ["INSTANCE_UNIX_SOCKET"]  # e.g. '/cloudsql/project:region:instance'

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # mysql+pymysql://<db_user>:<db_pass>@/<db_name>?unix_socket=<socket_path>/<cloud_sql_instance_name>
        sqlalchemy.engine.url.URL.create(
            drivername="mysql+pymysql",
            username=db_user,
            password=db_pass,
            database=db_name,
            query={"unix_socket": unix_socket_path},
        ),
        # ...
    )
    return pool

Java

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/servlet/src/main/java/com/example/cloudsql/ConnectorConnectionPoolFactory.java

GitHub で表示


import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class ConnectorConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String INSTANCE_CONNECTION_NAME =
      System.getenv("INSTANCE_CONNECTION_NAME");
  private static final String INSTANCE_UNIX_SOCKET = System.getenv("INSTANCE_UNIX_SOCKET");
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:mysql:///<DB_NAME>?cloudSqlInstance=<INSTANCE_CONNECTION_NAME>&
    // socketFactory=com.google.cloud.sql.mysql.SocketFactory&user=<DB_USER>&password=<DB_PASS>
    // See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
    // https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:mysql:///%s", DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "mysql"
    config.setPassword(DB_PASS); // e.g. "my-password"

    config.addDataSourceProperty("socketFactory", "com.google.cloud.sql.mysql.SocketFactory");
    config.addDataSourceProperty("cloudSqlInstance", INSTANCE_CONNECTION_NAME);

    // Unix sockets are not natively supported in Java, so it is necessary to use the Cloud SQL
    // Java Connector to connect. When setting INSTANCE_UNIX_SOCKET, the connector will
    // call an external package that will enable Unix socket connections.
    // Note: For Java users, the Cloud SQL Java Connector can provide authenticated connections
    // which is usually preferable to using the Cloud SQL Proxy with Unix sockets.
    // See https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory for details.
    if (INSTANCE_UNIX_SOCKET != null) {
      config.addDataSourceProperty("unixSocketPath", INSTANCE_UNIX_SOCKET);
    }

    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

Node.js

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/mysql/connect-unix.js

GitHub で表示

const mysql = require('promise-mysql');

// createUnixSocketPool initializes a Unix socket connection pool for
// a Cloud SQL instance of MySQL.
const createUnixSocketPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  return mysql.createPool({
    user: process.env.DB_USER, // e.g. 'my-db-user'
    password: process.env.DB_PASS, // e.g. 'my-db-password'
    database: process.env.DB_NAME, // e.g. 'my-database'
    socketPath: process.env.INSTANCE_UNIX_SOCKET, // e.g. '/cloudsql/project:region:instance'
    // Specify additional properties here.
    ...config,
  });
};

C#

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/ConnectUnix.cs

GitHub で表示

using MySql.Data.MySqlClient;
using System;

namespace CloudSql
{
    public class MySqlUnix
    {
        public static MySqlConnectionStringBuilder NewMysqlUnixSocketConnectionString()
        {
            // Equivalent connection string:
            // "Server=<INSTANCE_UNIX_SOCKET>;Uid=<DB_USER>;Pwd=<DB_PASS>;Database=<DB_NAME>;Protocol=unix"
            var connectionString = new MySqlConnectionStringBuilder()
            {
                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = MySqlSslMode.None,

                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Server = Environment.GetEnvironmentVariable("INSTANCE_UNIX_SOCKET"), // e.g. '/cloudsql/project:region:instance'
                UserID = Environment.GetEnvironmentVariable("DB_USER"),   // e.g. 'my-db-user
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'
                ConnectionProtocol = MySqlConnectionProtocol.UnixSocket
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

Go

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloudsql/mysql/database-sql/connect_unix.go

GitHub で表示

package cloudsql

import (
	"database/sql"
	"fmt"
	"log"
	"os"

	_ "github.com/go-sql-driver/mysql"
)

// connectUnixSocket initializes a Unix socket connection pool for
// a Cloud SQL instance of MySQL.
func connectUnixSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Warning: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser         = mustGetenv("DB_USER")              // e.g. 'my-db-user'
		dbPwd          = mustGetenv("DB_PASS")              // e.g. 'my-db-password'
		dbName         = mustGetenv("DB_NAME")              // e.g. 'my-database'
		unixSocketPath = mustGetenv("INSTANCE_UNIX_SOCKET") // e.g. '/cloudsql/project:region:instance'
	)

	dbURI := fmt.Sprintf("%s:%s@unix(/%s)/%s?parseTime=true",
		dbUser, dbPwd, unixSocketPath, dbName)

	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("mysql", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %v", err)
	}

	// ...

	return dbPool, nil
}

Ruby

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud-sql/mysql/activerecord/config/database_unix.yml

GitHub で表示

unix: &unix
  adapter: mysql2
  # Configure additional properties here.
  # Note: Saving credentials in environment variables is convenient, but not
  # secure - consider a more secure solution such as
  # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  # keep secrets safe.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  # Specify the Unix socket path as host
  socket: "<%= ENV["INSTANCE_UNIX_SOCKET"] %>"

PHP

このスニペットをウェブアプリケーションのコンテキストで表示するには、GitHub の README をご覧ください。

cloud_sql/mysql/pdo/src/DatabaseUnix.php

GitHub で表示

namespace Google\Cloud\Samples\CloudSQL\MySQL;

use PDO;
use PDOException;
use RuntimeException;
use TypeError;

class DatabaseUnix
{
    public static function initUnixDatabaseConnection(): PDO
    {
        try {
            // Note: Saving credentials in environment variables is convenient, but not
            // secure - consider a more secure solution such as
            // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
            // keep secrets safe.
            $username = getenv('DB_USER'); // e.g. 'your_db_user'
            $password = getenv('DB_PASS'); // e.g. 'your_db_password'
            $dbName = getenv('DB_NAME'); // e.g. 'your_db_name'
            $instanceUnixSocket = getenv('INSTANCE_UNIX_SOCKET'); // e.g. '/cloudsql/project:region:instance'

            // Connect using UNIX sockets
            $dsn = sprintf(
                'mysql:dbname=%s;unix_socket=%s',
                $dbName,
                $instanceUnixSocket
            );

            // Connect to the database.
            $conn = new PDO(
                $dsn,
                $username,
                $password,
                # ...
            );
        } catch (TypeError $e) {
            throw new RuntimeException(
                sprintf(
                    'Invalid or missing configuration! Make sure you have set ' .
                        '$username, $password, $dbName, ' .
                        'and $instanceUnixSocket (for UNIX socket mode). ' .
                        'The PHP error was %s',
                    $e->getMessage()
                ),
                (int) $e->getCode(),
                $e
            );
        } catch (PDOException $e) {
            throw new RuntimeException(
                sprintf(
                    'Could not connect to the Cloud SQL Database. Check that ' .
                        'your username and password are correct, that the Cloud SQL ' .
                        'proxy is running, and that the database exists and is ready ' .
                        'for use. For more assistance, refer to %s. The PDO error was %s',
                    'https://cloud.google.com/sql/docs/mysql/connect-external-app',
                    $e->getMessage()
                ),
                (int) $e->getCode(),
                $e
            );
        }

        return $conn;
    }
}

その他のトピック

Cloud SQL Auth Proxy のコマンドライン引数

これまでの例は最も一般的なユースケースを対象としていますが、Cloud SQL Auth Proxy にはコマンドライン引数で設定できる構成オプションが他にもあります。コマンドライン引数のヘルプについては、-help フラグを使用して最新のドキュメントをご覧ください。

./cloud_sql_proxy -help

Cloud SQL Auth Proxy コマンドラインオプションの使用方法のその他の例については、Cloud SQL Auth Proxy GitHub リポジトリの README をご覧ください。

Cloud SQL Auth Proxy の認証オプション

これらのオプションではすべて、Cloud SQL インスタンスを識別するための接続文字列として INSTANCE_CONNECTION_NAME を使用します。INSTANCE_CONNECTION_NAME は、Google Cloud コンソールのインスタンスの [概要] ページに表示されます。また、次のコマンドで確認することもできます。

gcloud sql instances describe INSTANCE_NAME --project PROJECT_ID。

例: gcloud sql instances describe myinstance --project myproject。

これらのオプションの中には、アカウントの RSA 秘密鍵を含む JSON 認証情報ファイルを使用するものもあります。サービスアカウントの JSON 認証情報ファイルを作成する手順については、サービスアカウントの作成をご覧ください。

Cloud SQL Auth Proxy では、環境に応じて、認証のための代替手段が複数用意されています。Cloud SQL Auth Proxy は、次の順序で各項目をチェックし、最初に見つかったものを使用して認証を試みます。

credential_file フラグによって指定された認証情報。
サービスアカウントを使用して、関連付けられた JSON ファイルを作成してダウンロードし、Cloud SQL Auth Proxy を起動するとき、そのファイルのパスに -credential_file フラグを設定します。サービスアカウントには、Cloud SQL インスタンスに対する必要な権限が付与されていることが必要です。
コマンドラインでこのオプションを使用するには、-credential_file フラグを JSON 認証情報ファイルのパスとファイル名に設定して、cloud_sql_proxy コマンドを呼び出します。パスは現在の作業ディレクトリへの絶対パス、または相対パスとして設定できます。例:
```
./cloud_sql_proxy -credential_file=PATH_TO_KEY_FILE \
                  -instances=INSTANCE_CONNECTION_NAME=tcp:PORT_NUMBER
  
```
サービスアカウントに IAM ロールを追加する方法の詳細については、サービスアカウントへのロールの付与をご覧ください。
Cloud SQL がサポートするロールの詳細については、Cloud SQL に適用される IAM のロールをご覧ください。
アクセストークンによって指定された認証情報。
アクセストークンを作成し、OAuth 2.0 アクセストークンに -token フラグを設定して cloud_sql_proxy コマンドを呼び出します。例:
```
./cloud_sql_proxy -token=ACCESS_TOKEN \
                  -instances=INSTANCE_CONNECTION_NAME=tcp:PORT_NUMBER
  
```
環境変数によって指定された認証情報。
このオプションは、-credential_file コマンドライン引数を使用する代わりに、GOOGLE_APPLICATION_CREDENTIALS 環境変数で設定する JSON 認証情報ファイルを指定する点を除けば、-credential_file フラグを使用する場合と類似しています。
認証済みの gcloud クライアントからの認証情報。
gcloud CLI をインストールし、個人アカウントで認証した場合は、Cloud SQL Auth Proxy で同じアカウント認証情報を使用できます。この方法は、開発環境の運用を開始する際に特に便利です。
Cloud SQL Auth Proxy で gcloud CLI 認証情報を使用できるようにするには、gcloud auth login コマンドを使用して gcloud CLI を認証します。
gcloud auth list コマンドを使用すると、現在の gcloud CLI の認証情報を確認できます。

gcloud auth login 用のアカウントが選択されていない場合は、Cloud SQL Auth Proxy によって gcloud auth application-default login 用に選択されているアカウントがチェックされます。
Compute Engine インスタンスに関連付けられている認証情報。
Cloud SQL に Compute Engine インスタンスから接続している場合、Cloud SQL Auth Proxy は Compute Engine インスタンスに関連付けられているサービスアカウントを使用できます。サービスアカウントに Cloud SQL インスタンスに対する必要な権限が付与されている場合、Cloud SQL Auth Proxy は正常に認証を行います。
Compute Engine インスタンスが Cloud SQL インスタンスと同じプロジェクトに属している場合、Compute Engine インスタンスのデフォルトのサービスアカウントには、Cloud SQL Auth Proxy の認証に必要な権限が付与されています。この 2 つのインスタンスが別々のプロジェクトに属している場合は、Cloud SQL インスタンスが属するプロジェクトに Compute Engine インスタンスのサービスアカウントを追加する必要があります。
環境のデフォルトのサービスアカウント
前述のいずれの場所でも認証情報を見つけることができない場合、Cloud SQL Auth Proxy はサーバー間での本番環境アプリケーションの認証の設定に記載されたロジックに従います。一部の環境（Compute Engine、App Engine など）では、アプリケーションがデフォルトで認証に使用できるデフォルトのサービスアカウントが用意されています。デフォルトのサービスアカウントを使用する場合は、アカウントにロールと権限で概説している権限が付与されている必要があります。Google Cloud の認証のアプローチについて詳しくは、認証の概要をご覧ください。

サービスアカウントを作成する

Compute Engine から接続する場合は、VM に Cloud SQL Admin API を使用して接続するための適切な scope があることを確認してください。

次のいずれかのアクセススコープを持つようにサービスアカウントを構成します。

https://www.googleapis.com/auth/sqlservice.admin
https://www.googleapis.com/auth/cloud-platform

Google Cloud コンソールで、[サービスアカウント] ページに移動します。
[サービスアカウント] に移動
Cloud SQL インスタンスを含むプロジェクトを選択します。
[サービスアカウントを作成] をクリックします。
[サービスアカウント名] フィールドに、サービスアカウントのわかりやすい名前を入力します。
[サービスアカウント ID] を一意のわかりやすい値に変更し、[作成して続行] をクリックします。
[ロールを選択] フィールドをクリックして、以下のいずれかのロールを選択します。
- [Cloud SQL] > [Cloud SQL クライアント]
- [Cloud SQL] > [Cloud SQL 編集者]
- [Cloud SQL] > [Cloud SQL 管理者]
[完了] をクリックして、サービスアカウントの作成を完了します。
新しいサービスアカウントの操作メニューをクリックし、[鍵を管理] を選択します。
[鍵を追加] プルダウンメニューをクリックして、[新しい鍵を作成] をクリックします。
鍵のタイプが JSON であることを確認し、[作成] をクリックします。
秘密鍵ファイルがマシンにダウンロードされます。秘密鍵ファイルは、別の場所に移動できます。安全な場所に鍵ファイルを保管してください。

プライベート IP での Cloud SQL Auth Proxy の使用

プライベート IP を使用して Cloud SQL インスタンスに接続するには、Cloud SQL Auth Proxy が、そのインスタンスと同じ VPC ネットワークにアクセスできるリソース上に存在する必要があります。

Cloud SQL Auth Proxy は、IP を使用して Cloud SQL インスタンスとの接続を確立します。デフォルトでは、Cloud SQL Auth Proxy は、パブリック IPv4 アドレスを使用して接続を試行します。Cloud SQL インスタンスにプライベート IP しかない場合、Cloud SQL Auth Proxy は、プライベート IP アドレスを使用して接続します。

インスタンスにパブリック IP とプライベート IP の両方が構成されている場合に、Cloud SQL Auth Proxy によってプライベート IP アドレスが使用されるようにするには、Cloud SQL Auth Proxy の起動時に次のオプションを指定する必要があります。

-ip_address_types=PRIVATE

Cloud SQL Auth Proxy のデータベースユーザーアカウントを作成する

Cloud SQL Auth Proxy を使用してインスタンスに接続する場合は、インスタンスにログインするユーザーアカウントを指定します。この場合、任意のデータベースユーザーアカウントを使用できます。ただし、Cloud SQL Auth Proxy は常に Cloud SQL Auth Proxy 以外ではアクセスできないホスト名から接続するので、Cloud SQL Auth Proxy だけが使用できるユーザーアカウントを作成できます。このようにすると、インスタンスまたはデータのセキュリティを損なうことなく、パスワードを使用しないでこのアカウントを指定できるという利点があります。

Cloud SQL Auth Proxy でのみ使用できるユーザーアカウントを作成するには、ホスト名を 'cloudsqlproxy~[IP_ADDRESS]' として指定します。また、IP アドレスのワイルドカードを使用して、'cloudsqlproxy~%' にすることもできます。完全なユーザーアカウント名は次のようになります。

'[USER_NAME]'@'cloudsqlproxy~%'

または

'[USER_NAME]'@'cloudsqlproxy~[IP_ADDRESS]'

ユーザーの作成については、ユーザーを作成して管理するをご覧ください。Cloud SQL でユーザーアカウントがどのように使用されるかについては、ユーザーをご覧ください。

別のプロセスでの Cloud SQL Auth Proxy の実行

Cloud SQL Auth Proxy を別の Cloud Shell ターミナルプロセスで実行することは、コンソール出力と他のプログラムからの出力が混在するのを回避するうえで有用な可能性があります。以下の構文を使用して、別のプロセスで Cloud SQL Auth Proxy を呼び出します。

Linux

Linux または macOS の場合、コマンドラインで末尾の & を使用して Cloud SQL Auth Proxy を別のプロセスで起動します。

./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:PORT_NUMBER
  -credential_file=PATH_TO_KEY_FILE &

Windows

Windows PowerShell で、Start-Process コマンドを使用して、別のプロセスで Cloud SQL Auth Proxy を起動します。

Start-Process -filepath "cloud_sql_proxy.exe"
  -ArgumentList "-instances=INSTANCE_CONNECTION_NAME=tcp:PORT_NUMBER
  -credential_file=PATH_TO_KEY_FILE"

Docker コンテナでの Cloud SQL Auth Proxy の実行

Docker コンテナで Cloud SQL Auth Proxy を動作させるには、Google Container Registry から入手できる Cloud SQL Auth Proxy Docker イメージを使用します。Cloud SQL Auth Proxy Docker イメージは、次の gcloud コマンドを使用してインストールできます。

docker pull gcr.io/cloudsql-docker/gce-proxy:1.32.0

次のコマンドで、TCP ソケットまたは Unix ソケットのどちらかを使用して、Cloud SQL Auth Proxy を起動できます。

TCP ソケット

    docker run -d \
      -v PATH_TO_KEY_FILE:/config \
      -p 127.0.0.1:3306:3306 \
      gcr.io/cloudsql-docker/gce-proxy:1.32.0 /cloud_sql_proxy \
      -instances=INSTANCE_CONNECTION_NAME=tcp:0.0.0.0:3306 \
      -credential_file=/config

Unix ソケット

    docker run -d \
      -v /PATH_TO_HOST_TARGET:/PATH_TO_GUEST_TARGET \
      -v PATH_TO_KEY_FILE:/config \
      gcr.io/cloudsql-docker/gce-proxy:1.32.0 /cloud_sql_proxy -dir=/cloudsql \
      -instances=INSTANCE_CONNECTION_NAME
      -credential_file=/config/PATH_TO_KEY_FILE

コンテナ最適化イメージを使用している場合は、/cloudsql の代わりに書き込み可能なディレクトリを使用します。たとえば、次のようにします。

-v /mnt/stateful_partition/cloudsql:/cloudsql

Cloud SQL Auth Proxy をサービスとして動作させる

Cloud SQL Auth Proxy をバックグラウンドサービスとして実行すると、ローカルでの開発とテストに役立ちます。Cloud SQL インスタンスにアクセスする必要がある場合は、バックグラウンドでサービスを開始し、終了したらサービスを停止できます。

Cloud SQL Auth Proxy には現在、Windows サービスとして動作する組み込みのサポートはありませんが、サードパーティのサービスマネージャーを使用することで、サービスとしての動作が可能です。たとえば、NSSM を使用して Cloud SQL Auth Proxy を Windows のサービスとして構成できます。NSSM が Cloud SQL Auth Proxy をモニタリングし、応答しなくなった場合は自動的に再起動します。詳細については、NSSM のドキュメントをご覧ください。

Cloud SQL Auth Proxy の使用に関するヒント

Cloud SQL Auth Proxy を呼び出す

プロキシ呼び出し例はすべてバックグラウンドで Cloud SQL Auth Proxy を起動し、プロンプトが返されます。Cloud SQL Auth Proxy 用に Cloud Shell ターミナルを確保して、その出力が他のプログラムからの出力と混在しないようにします。また、Cloud SQL Auth Proxy からの出力は接続の問題を診断する際に役立つため、ログファイルに記録しておくことをおすすめします。Cloud SQL Auth Proxy をバックグラウンドで起動しない場合、リダイレクトしなければ stdout に出力されます。

Cloud SQL Auth Proxy ソケットのディレクトリとして /cloudsql を使用する必要はありません。（このディレクトリ名は、App Engine の接続文字列との相違を最小限に抑えるために選択されたものです）。ただし、ディレクトリ名を変更する場合は、全体の長さを最小限に保ってください。ディレクトリ名は、さらに長い文字列に組み込まれ、オペレーティングシステムの長さ上限が適用されます。システムによって異なりますが、通常は 91～108 文字です。Linux では、この長さが通常 108 文字と定義され、次のコマンドで確認できます。

cat /usr/include/linux/un.h | grep "define UNIX_PATH_MAX"

Cloud SQL Auth Proxy を使用した複数のインスタンスへの接続

1 つのローカル Cloud SQL Auth Proxy クライアントを使用して、複数の Cloud SQL インスタンスに接続できます。これを行う方法は、Unix ソケットまたは TCP のどちらを使用しているかによって異なります。

Unix ソケット

Cloud SQL Auth Proxy を複数のインスタンスに接続するには、インスタンス接続名をカンマ区切りのリスト（スペースなし）で、-instances パラメータ付きで指定します。Cloud SQL Auth Proxy は、起動時に各インスタンスに接続します。

指定されたディレクトリ内のソケットを使用して各インスタンスに接続します。

例:

      ./cloud_sql_proxy -dir=/cloudsql -instances=myProject:us-central1:myInstance,myProject:us-central1:myInstance2 &
      mysql -u myUser -S /cloudsql/myProject:us-central1:myInstance2

TCP ソケット

TCP を使用して接続する場合は、Cloud SQL Auth プロキシが Cloud SQL インスタンスごとにリッスンするマシン上のポートを指定します。複数の Cloud SQL インスタンスに接続する場合は、指定された各ポートが一意であり、マシンで使用できる必要があります。

例:

    # Start the Cloud SQL Auth proxy to connect to two different Cloud SQL instances.
    # Give the Cloud SQL Auth proxy a unique port on your machine to use for each Cloud SQL instance.

    ./cloud_sql_proxy -instances=myProject:us-central1:myInstance=tcp:3306,myProject:us-central1:myInstance2=tcp:1234

    # Connect to "myInstance" using port 3306 on your machine:
    mysql -u myInstanceUser --host 127.0.0.1  --port 3306

    # Connect to "myInstance2" using port 1234 on your machine:
    mysql -u myInstance2User --host 127.0.0.1  --port 1234

Cloud SQL Auth Proxy の呼び出しと MySQL クライアントの接続文字列

Cloud SQL Auth Proxy の呼び出しと接続文字列は、例えば myProject プロジェクトの us-central1 にある myInstance インスタンスの MySQL ユーザー myUser に対するコマンドで使用できます。

自動インスタンス検出と gcloud 認証情報を使用する場合:

    ./cloud_sql_proxy -dir=/cloudsql &
    mysql -u myUser -S /cloudsql/myProject:us-central1:myInstance

プロジェクト検出と gcloud 認証情報を使用する場合:

    ./cloud_sql_proxy -dir=/cloudsql -projects=myProject &
    mysql -u myUser -S /cloudsql/myProject:us-central1:

Compute Engine インスタンスでインスタンスを明示的に指定する場合:

    ./cloud_sql_proxy -dir=/cloudsql -instances=myProject:us-central1:myInstance &
    mysql -u myUser -S /cloudsql/myProject:us-central1:myInstance

Unix で TCP を使用する場合:

    ./cloud_sql_proxy -instances=myProject:us-central1:myInstance=tcp:3306 &
    mysql -u myUser --host 127.0.0.1

Windows の場合（コマンドラインプロンプト）:

    cloud_sql_proxy.exe -instances=myProject:us-central1:myInstance=tcp:3306
    mysql -u myUser --host 127.0.0.1

Cloud SQL Auth Proxy のオプションと接続文字列の詳細については、Cloud SQL Auth Proxy GitHub ページをご覧ください。

Cloud SQL Auth Proxy 接続のトラブルシューティング

Cloud SQL Auth Proxy Docker イメージは、Cloud SQL Auth Proxy の特定のバージョンに基づいています。Cloud SQL Auth Proxy の新しいバージョンが利用可能になったら、Cloud SQL Auth Proxy Docker イメージの新しいバージョンを pull して、環境を最新の状態に保ってください。Cloud SQL Auth Proxy の最新バージョンは Cloud SQL Auth Proxy GitHub リリースページで確認できます。

Cloud SQL Auth Proxy を使用した Cloud SQL インスタンスへの接続の問題が発生した場合は、原因を特定するため、以下の点を確認してください。

Cloud SQL Auth Proxy の出力を確認します。

Cloud SQL Auth Proxy の出力は、多くの場合、問題の原因と解決方法を判断するのに役立ちます。出力をファイルに保存するか、Cloud SQL Auth Proxy を起動した Cloud Shell ターミナルを確認してください。
403 notAuthorized エラーが発生し、サービスアカウントを使用して Cloud SQL Auth Proxy を認証する場合は、サービスアカウントに正しい権限が付与されていることを確認します。

サービスアカウントを確認するには、IAM ページでその ID を検索します。cloudsql.instances.connect 権限が必要です。この権限は、事前定義ロールの Cloud SQL Admin、Client、Editor に含まれています。
App Engine から接続する際に 403 notAuthorized エラーが発生した場合は、app.yaml の値 cloud_sql_instances にスペルミスや不正なインスタンス接続名がないか確認してください。インスタンス接続名は常に PROJECT:REGION:INSTANCE の形式です。

また、App Engine サービスアカウント（たとえば、$PROJECT_ID@appspot.gserviceaccount.com）に Cloud SQL クライアント IAM ロールがあることを確認します。

App Engine サービスが 1 つのプロジェクト（プロジェクト A）に存在し、データベースは別のプロジェクト（プロジェクト B）にある場合、このエラーは、App Engine サービスアカウントには、そのデータベース（プロジェクト B）があるプロジェクトにおいて Cloud SQL クライアント IAM のロールが付与されていないことを意味します。
必ず Cloud SQL Admin API を有効にしてください。

有効になっていない場合は、Cloud SQL Auth Proxy に Error 403: Access Not Configured のような出力が含まれています。
インスタンスリストに複数のインスタンスを含めている場合は、区切り記号としてカンマを使用していることを確認します。TCP を使用している場合は、インスタンスごとに異なるポートを指定していることを確認してください。
UNIX ソケットを使用して接続している場合は、Cloud SQL Auth Proxy の起動時に指定したディレクトリを一覧表示して、ソケットが作成されていることを確認します。
送信ファイアウォールポリシーがある場合は、ターゲット Cloud SQL インスタンス上のポート 3307 への接続が許可されていることを確認してください。

注: Cloud SQL Auth プロキシは、3307 を使用して Cloud SQL Auth プロキシサーバーに接続します。ポート 3306 は、（Cloud SQL Auth Proxy を使用せず）直接の TCP 接続を経由する MySQL プロトコルのデフォルトポートです。
Google Cloud Console の [オペレーション] > [ロギング] > [ログエクスプローラ] でログを調べることで、Cloud SQL Auth プロキシが正しく開始されていることを確認できます。正常なオペレーションは次のようになります。
```
2021/06/14 15:47:56 Listening on /cloudsql/$PROJECT_ID:$REGION:$INSTANCE_NAME/3306 for $PROJECT_ID:$REGION:$INSTANCE_NAME
2021/06/14 15:47:56 Ready for new connections
```
割り当ての問題: Cloud SQL Admin API の割り当てに違反していると、Cloud SQL Auth プロキシは次のエラーメッセージで起動します。
```
There was a problem when parsing a instance configuration but ignoring due
to the configuration. Error: googleapi: Error 429: Quota exceeded for quota
metric 'Queries' and limit 'Queries per minute per user' of service
'sqladmin.googleapis.com' for consumer 'project_number:$PROJECT_ID.,
rateLimitExceeded
```
アプリケーションがプロキシに接続すると、プロキシから次のエラーが報告されます。
```
failed to refresh the ephemeral certificate for $INSTANCE_CONNECTION_NAME:
googleapi: Error 429: Quota exceeded for quota metric 'Queries' and limit
'Queries per minute per user' of service 'sqladmin.googleapis.com' for
consumer 'project_number:$PROJECT_ID., rateLimitExceeded
```
解決策: 割り当ての問題の原因（たとえば、アプリケーションがコネクタを誤って使用していて、不要な新しい接続を作成している場合があります）を特定するか、サポートに連絡して Cloud SQL Admin API 割り当ての増加をリクエストします。起動時に割り当てエラーが発生した場合は、アプリケーションを再デプロイしてプロキシを再起動する必要があります。起動後に割り当てエラーが発生した場合、再デプロイは必要ありません。

次のステップ

Cloud SQL Auth Proxy の詳細を確認します。
Identity and Access Management（IAM）について確認します。
サービスアカウントの詳細を確認します。
Cloud SQL インスタンスの 2 レベルのアクセス制御について学習します。
ユーザーとデータベースを作成します。
アプリケーションからインスタンスへの接続について学習します。
MySQL クライアントについて学習します。
サポート用オプションについて学習します。

Cloud SQL Auth Proxy を使用して接続する

概要

始める前に

Cloud SQL Auth Proxy をダウンロードする

Linux 64 ビット

Linux 32 ビット

macOS 64 ビット

macOS 32 ビット

Mac M1

Windows 64 ビット

Windows 32 ビット

Cloud SQL Auth Proxy Docker イメージ

その他の OS

Cloud SQL Auth Proxy の起動

TCP ソケット

Unix ソケット

Docker

TCP ソケットの使用

Unix ソケットの使用

mysql クライアントと接続する

TCP ソケット

Unix ソケットの使用

アプリケーションに接続する

TCP で接続

Python

Java

Node.js

Go

C#

Ruby

PHP

Unix ソケットとの接続

Python

Java

Node.js

C#

Go

Ruby

PHP

その他のトピック

Cloud SQL Auth Proxy のコマンドライン引数

Cloud SQL Auth Proxy の認証オプション

credential_file フラグによって指定された認証情報。

アクセス トークンによって指定された認証情報。

環境変数によって指定された認証情報。

認証済みの gcloud クライアントからの認証情報。

Compute Engine インスタンスに関連付けられている認証情報。

環境のデフォルトのサービス アカウント

サービス アカウントを作成する

プライベート IP での Cloud SQL Auth Proxy の使用

Cloud SQL Auth Proxy のデータベース ユーザー アカウントを作成する

別のプロセスでの Cloud SQL Auth Proxy の実行

Linux

Windows

Docker コンテナでの Cloud SQL Auth Proxy の実行

TCP ソケット

Unix ソケット

Cloud SQL Auth Proxy をサービスとして動作させる

Cloud SQL Auth Proxy の使用に関するヒント

Cloud SQL Auth Proxy を呼び出す

Cloud SQL Auth Proxy を使用した複数のインスタンスへの接続

Unix ソケット

TCP ソケット

Cloud SQL Auth Proxy の呼び出しと MySQL クライアントの接続文字列

Cloud SQL Auth Proxy 接続のトラブルシューティング

次のステップ

アクセストークンによって指定された認証情報。

環境のデフォルトのサービスアカウント

サービスアカウントを作成する

Cloud SQL Auth Proxy のデータベースユーザーアカウントを作成する