Connetti da Compute Engine

Questa pagina descrive come utilizzare il client mysql, installato su un'istanza Compute Engine, per connetterti a Cloud SQL.

Puoi utilizzare l'IP privato, l'IP pubblico, il proxy di autenticazione Cloud SQL o l'immagine Docker del proxy di autenticazione Cloud SQL.

Per istruzioni dettagliate sull'esecuzione di un'applicazione web di esempio di Compute Engine connessa a Cloud SQL, consulta la guida rapida per la connessione da Compute Engine.

Prima di iniziare

Questa attività non include le istruzioni per configurare l'istanza Compute Engine. Se hai bisogno di aiuto per creare e configurare un'istanza Compute Engine, consulta la documentazione di Compute Engine.

IP privato

Per connetterti a Cloud SQL da un'istanza Compute Engine mediante IP privato, è necessario impostare l'accesso privato ai servizi per il tuo ambiente e l'istanza Cloud SQL deve essere configurata per l'utilizzo dell'IP privato. L'istanza Compute Engine deve trovarsi nella stessa regione dell'istanza Cloud SQL e sulla rete configurata per una connessione privata. Scopri di più.

1. Configura l'istanza per utilizzare l'IP privato

Segui le istruzioni riportate in Configurare la connettività dell'IP privato.

2. Apri una connessione del terminale Cloud Shell all'istanza di Compute Engine.

Utilizza le istruzioni appropriate, a seconda del sistema operativo dell'istanza:

Se l'istanza di Compute Engine esegue un'immagine pubblica RHEL o CentOS, SELinux potrebbe bloccare la connessione proxy. In questo caso, devi configurare la funzionalità SELinux per consentire la connessione.

Per ulteriori informazioni su SELinux per RHEL, consulta la documentazione di RHEL. Per ulteriori informazioni su SELinux per CentOS, consulta la documentazione di CentOS.

3. Installa il client mysql sull'istanza Compute Engine, se non è già installato.

  1. Scarica il server della community MySQL per la tua piattaforma dalla pagina di download di MySQL Community Server.
    Il Community Server include il client MySQL.
  2. Installa Community Server seguendo le istruzioni riportate nella pagina di download.

Per ulteriori informazioni sull'installazione di MySQL, consulta Installazione e upgrade di MySQL.

4. Connettiti al client mysql.

mysql -h CLOUD_SQL_PRIVATE_IP_ADDRESS -u USERNAME -p

Puoi trovare l'indirizzo IP privato nella pagina Istanze Cloud SQL o eseguendo il seguente comando gcloud:

gcloud sql instances list

IP pubblico

Per connetterti utilizzando l'IP pubblico:

Per seguire le indicazioni dettagliate per questa attività direttamente nell'editor di Cloud Shell, fai clic su Aiuto:

Guidami

1. Aggiungi un indirizzo IP IPv4 statico all'istanza di Compute Engine, se non ne ha già uno.

Non puoi connetterti a Compute Engine tramite IPv6. Per informazioni sull'aggiunta di un indirizzo IP statico, consulta Prenotare un nuovo indirizzo IP esterno statico nella documentazione di Compute Engine.

2. Autorizza l'indirizzo IP statico dell'istanza Compute Engine come rete in grado di connettersi alla tua istanza Cloud SQL.

Per maggiori informazioni, consulta Configurazione dell'accesso per connessioni IP pubbliche.

3. Apri una connessione del terminale Cloud Shell all'istanza di Compute Engine.

Utilizza le istruzioni appropriate, a seconda del sistema operativo dell'istanza:

Se l'istanza di Compute Engine esegue un'immagine pubblica RHEL o CentOS, SELinux potrebbe bloccare la connessione proxy. In questo caso, devi configurare la funzionalità SELinux per consentire la connessione.

Per ulteriori informazioni su SELinux per RHEL, consulta la documentazione di RHEL. Per ulteriori informazioni su SELinux per CentOS, consulta la documentazione di CentOS.

4. Installa il client mysql sull'istanza Compute Engine, se non è già installato.

  1. Scarica il server della community MySQL per la tua piattaforma dalla pagina di download di MySQL Community Server.
    Il Community Server include il client MySQL.
  2. Installa Community Server seguendo le istruzioni riportate nella pagina di download.

Per ulteriori informazioni sull'installazione di MySQL, consulta Installazione e upgrade di MySQL.

5. Connettiti al client mysql.

mysql -h CLOUD_SQL_PUBLIC_IP_ADDR -u USERNAME -p

Puoi trovare l'indirizzo IP pubblico nella pagina Istanze Cloud SQL o eseguendo il seguente comando gcloud:

gcloud sql instances list

Per un esempio di come connettersi tramite SSL, consulta Connessione tramite SSL.

6. Viene visualizzato il prompt mysql.

7. Se devi mantenere attive le connessioni inutilizzate:

Imposta il keepalive TCP.

Per saperne di più, consulta Comunicazione tra le istanze e internet nella documentazione di Compute Engine.

Le connessioni vengono mantenute attive automaticamente per le istanze.

Proxy di autenticazione Cloud SQL

Per connetterti utilizzando il proxy di autenticazione Cloud SQL da Compute Engine:

1. Abilitare l'API Cloud SQL Admin.

Abilita l'API

2. Crea un account di servizio.

  1. Nella console Google Cloud, vai alla pagina Account di servizio.

    Vai ad Account di servizio

  2. Seleziona il progetto che contiene l'istanza Cloud SQL.
  3. Fai clic su Crea account di servizio.
  4. Nel campo Nome account di servizio, inserisci un nome descrittivo per l'account.
  5. Modifica l'ID account di servizio in un valore univoco e riconoscibile, quindi fai clic su Crea e continua.
  6. Fai clic sul campo Seleziona un ruolo e scegli uno dei seguenti ruoli:
    • Cloud SQL > Client Cloud SQL
    • Cloud SQL > Editor Cloud SQL
    • Cloud SQL > Amministratore Cloud SQL

  7. Fai clic su Fine per completare la creazione dell'account di servizio.
  8. Fai clic sul menu Azioni per il nuovo account di servizio e seleziona Gestisci chiavi.
  9. Fai clic sul menu a discesa Aggiungi chiave, quindi su Crea nuova chiave.
  10. Verifica che il tipo di chiave sia JSON e fai clic su Crea.

    Il file della chiave privata viene scaricato sul tuo computer. Puoi spostarlo in un'altra posizione. Tieni al sicuro il file della chiave.

Se l'istanza di Compute Engine si trova in un progetto diverso dall'istanza Cloud SQL, assicurati che l'account di servizio disponga delle autorizzazioni appropriate nel progetto che contiene l'istanza Cloud SQL:

  1. Vai all'elenco delle istanze di Compute Engine nella console Google Cloud.

    Vai all'elenco delle istanze di Compute Engine

  2. Se necessario, seleziona il progetto associato all'istanza di Compute Engine.
  3. Seleziona l'istanza Compute Engine per visualizzarne le proprietà.
  4. Nelle proprietà dell'istanza Compute Engine, copia il nome dell'account di servizio.
  5. Vai alla pagina IAM e progetti amministratore nella console Google Cloud.

    Vai alla pagina Progetti IAM e amministrazione

  6. Seleziona il progetto che contiene l'istanza di Cloud SQL.
  7. Cerca il nome dell'account di servizio.

  8. Se l'account di servizio è già presente e ha un ruolo che include l'autorizzazione cloudsql.instances.connect, puoi andare al passaggio 4.

    I ruoli Cloud SQL Client, Cloud SQL Editor e Cloud SQL Admin forniscono tutti le autorizzazioni necessarie, così come i ruoli legacy per i progetti Editor e Owner.

  9. In caso contrario, aggiungi l'account di servizio facendo clic su Aggiungi.

  10. Nella finestra di dialogo Aggiungi entità, specifica il nome dell'account di servizio e seleziona un ruolo che includa l'autorizzazione cloudsql.instances.connect (può essere usato qualsiasi ruolo predefinito di Cloud SQL diverso da Visualizzatore).

    In alternativa, puoi utilizzare il ruolo Editor di base selezionando Progetto > Editor, ma il ruolo Editor include le autorizzazioni per Google Cloud.

    Se non vedi questi ruoli, l'utente di Google Cloud potrebbe non disporre dell'autorizzazione resourcemanager.projects.setIamPolicy. Puoi verificare le tue autorizzazioni andando alla pagina IAM nella console Google Cloud e cercando il tuo ID utente.

  11. Fai clic su Aggiungi.

    Ora vedrai l'account di servizio elencato con il ruolo specificato.

3. Apri una connessione del terminale all'istanza Compute Engine.

Utilizza le istruzioni appropriate, a seconda del sistema operativo dell'istanza:

Se l'istanza di Compute Engine esegue un'immagine pubblica RHEL o CentOS, SELinux potrebbe bloccare la connessione proxy. In questo caso, devi configurare la funzionalità SELinux per consentire la connessione.

Per ulteriori informazioni su SELinux per RHEL, consulta la documentazione di RHEL. Per ulteriori informazioni su SELinux per CentOS, consulta la documentazione di CentOS.

4. Installa il client mysql sull'istanza Compute Engine, se non è già installato.

  1. Scarica il server della community MySQL per la tua piattaforma dalla pagina di download di MySQL Community Server.
    Il Community Server include il client MySQL.
  2. Installa Community Server seguendo le istruzioni riportate nella pagina di download.

Per ulteriori informazioni sull'installazione di MySQL, consulta Installazione e upgrade di MySQL.

5. Installa il proxy di autenticazione Cloud SQL sull'istanza di Compute Engine.

Linux a 64 bit

  1. Scarica il proxy di autenticazione Cloud SQL: 
    curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.linux.amd64
  2. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
    chmod +x cloud-sql-proxy

Linux a 32 bit

  1. Scarica il proxy di autenticazione Cloud SQL: 
    curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.linux.386
  2. Se il comando curl non viene trovato, esegui sudo apt install curl e ripeti il comando di download.
  3. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
    chmod +x cloud-sql-proxy

Windows a 64 bit

Fai clic con il pulsante destro del mouse su https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.x64.exe e seleziona Salva link con nome per scaricare il proxy di autenticazione Cloud SQL. Rinomina il file come cloud-sql-proxy.exe.

Windows a 32 bit

Fai clic con il pulsante destro del mouse su https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.x86.exe e seleziona Salva link con nome per scaricare il proxy di autenticazione Cloud SQL. Rinomina il file come cloud-sql-proxy.exe.

Immagine Docker del proxy di autenticazione Cloud SQL

Il proxy di autenticazione Cloud SQL ha immagini container diverse, ad esempio distroless, alpine e buster. L'immagine container predefinita del proxy di autenticazione Cloud SQL utilizza distroless, che non contiene shell. Se hai bisogno di una shell o di strumenti correlati, scarica un'immagine basata su alpine o buster. Per maggiori informazioni, consulta Immagini container di autenticazione proxy di Cloud SQL.

Puoi eseguire il pull dell'immagine più recente sulla tua macchina locale utilizzando Docker utilizzando il seguente comando:

docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.0

Altro sistema operativo

Per gli altri sistemi operativi non inclusi qui, puoi compilare il proxy di autenticazione Cloud SQL dall'origine.

6. Avvia il proxy di autenticazione Cloud SQL.

A seconda del linguaggio e dell'ambiente, puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP, socket Unix o l'immagine Docker del proxy di autenticazione Cloud SQL. Il programma binario del proxy di autenticazione Cloud SQL si connette a una o più istanze Cloud SQL specificate nella riga di comando e apre una connessione locale come socket TCP o Unix. Altre applicazioni e servizi, come il codice dell'applicazione o gli strumenti client di gestione dei database, possono connettersi alle istanze Cloud SQL tramite queste connessioni socket TCP o Unix.

socket TCP

Per le connessioni TCP, il proxy di autenticazione Cloud SQL rimane in ascolto su localhost(127.0.0.1) per impostazione predefinita. Quindi, quando specifichi --port PORT_NUMBER per un'istanza, la connessione locale è 127.0.0.1:PORT_NUMBER.

In alternativa, puoi specificare un indirizzo diverso per la connessione locale. Ad esempio, ecco come fare in modo che il proxy di autenticazione Cloud SQL rimanga in ascolto su 0.0.0.0:1234 per la connessione locale:

./cloud-sql-proxy --address 0.0.0.0 --port 1234 INSTANCE_CONNECTION_NAME

  1. Copia il tuo INSTANCE_CONNECTION_NAME. Puoi trovarlo nella pagina Panoramica dell'istanza nella console Google Cloud oppure eseguendo il comando seguente:

        gcloud sql instances describe INSTANCE_NAME --format='value(connectionName)'
    .

    Ad esempio: myproject:myregion:myinstance.

  2. Se per l'istanza è configurato un IP pubblico e privato e vuoi che il proxy di autenticazione Cloud SQL utilizzi l'indirizzo IP privato, devi fornire la seguente opzione all'avvio del proxy di autenticazione Cloud SQL: 
    --private-ip
  3. Se utilizzi un account di servizio per autenticare il proxy di autenticazione Cloud SQL, prendi nota della posizione sul computer client del file della chiave privata creato al momento della creazione dell'account di servizio.
  4. Avvia il proxy di autenticazione Cloud SQL.

    Alcune possibili stringhe di chiamata del proxy di autenticazione Cloud SQL:

    • Utilizzo dell'autenticazione Cloud SDK: 
      ./cloud-sql-proxy --port 3306 INSTANCE_CONNECTION_NAME
      La porta specificata non deve essere già in uso, ad esempio, da un server di database locale.
    • Utilizzo di un account di servizio e inclusione esplicita del nome della connessione dell'istanza (consigliato per ambienti di produzione): 
      ./cloud-sql-proxy \
--credentials-file PATH_TO_KEY_FILE INSTANCE_CONNECTION_NAME &

    Per maggiori informazioni sulle opzioni del proxy di autenticazione Cloud SQL, vedi Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL e Opzioni per specificare le istanze.

Socket Unix

Il proxy di autenticazione Cloud SQL può rimanere in ascolto su un socket Unix, un meccanismo standard Posix che consente di utilizzare una cartella per gestire la comunicazione tra due processi in esecuzione sullo stesso host. I vantaggi dell'utilizzo dei socket Unix sono una maggiore sicurezza e una minore latenza; tuttavia, non è possibile accedere a un socket Unix da una macchina esterna.

Per creare e utilizzare un socket Unix, deve esistere la directory di destinazione e sia il proxy di autenticazione Cloud SQL sia l'applicazione devono disporre dell'accesso in lettura e scrittura.

  1. Se utilizzi una specifica esplicita dell'istanza, copia INSTANCE_CONNECTION_NAME. Puoi trovarlo nella pagina Panoramica dell'istanza nella console Google Cloud o eseguendo il comando seguente: 

    gcloud sql instances describe INSTANCE_NAME  --format='value(connectionName)'

    Ad esempio: myproject:myregion:myinstance.

  2. Crea la directory in cui si trovano i socket del proxy di autenticazione Cloud SQL: 
    sudo mkdir /cloudsql; sudo chmod 777 /cloudsql
  3. Se utilizzi un account di servizio per autenticare il proxy di autenticazione Cloud SQL, prendi nota della posizione sul computer client del file della chiave privata creato al momento della creazione dell'account di servizio.
  4. Apri una nuova finestra del terminale Cloud Shell e avvia il proxy di autenticazione Cloud SQL.

    Alcune possibili stringhe di chiamata del proxy di autenticazione Cloud SQL:

    • Utilizzo di un account di servizio e inclusione esplicita del nome della connessione dell'istanza (consigliato per ambienti di produzione): 
      ./cloud-sql-proxy --unix-socket /cloudsql
--credentials-file PATH_TO_KEY_FILE INSTANCE_CONNECTION_NAME &
    • Utilizzo dell'autenticazione Cloud SDK e del rilevamento automatico delle istanze: 
      ./cloud-sql-proxy --unix-socket /cloudsql &

    Avvia il proxy di autenticazione Cloud SQL nel suo terminale Cloud Shell in modo da poterne monitorare l'output senza che sia combinato con l'output di altri programmi.

    Per maggiori informazioni sulle opzioni del proxy di autenticazione Cloud SQL, vedi Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL e Opzioni per specificare le istanze.

Docker

Per eseguire il proxy di autenticazione Cloud SQL in un container Docker, utilizza l'immagine Docker del proxy di autenticazione Cloud SQL disponibile in Google Container Registry.

Puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP o Unix, con i comandi mostrati di seguito. Le opzioni utilizzano INSTANCE_CONNECTION_NAME come stringa di connessione per identificare un'istanza Cloud SQL. Puoi trovare INSTANCE_CONNECTION_NAME nella pagina Panoramica dell'istanza nella console Google Cloud oppure eseguendo questo comando:

gcloud sql instances describe INSTANCE_NAME
.

Ad esempio: myproject:myregion:myinstance.

A seconda del linguaggio e dell'ambiente, puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP o Unix. I socket Unix non sono supportati per applicazioni scritte nel linguaggio di programmazione Java o per l'ambiente Windows.

Utilizzo di socket TCP

docker run -d \\
  -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \\
  -p 127.0.0.1:3306:3306 \\
  gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.0 \\
  --address 0.0.0.0 --port 3306 \\
  --credentials-file /path/to/service-account-key.json INSTANCE_CONNECTION_NAME

Se utilizzi le credenziali fornite dall'istanza di Compute Engine, non includere i parametri --credentials-file e la riga -v PATH_TO_KEY_FILE:/path/to/service-account-key.json.

Specifica sempre il prefisso 127.0.0.1 in -p in modo che il proxy di autenticazione Cloud SQL non sia esposto all'esterno dell'host locale. Il valore "0.0.0.0" nel parametro delle istanze è obbligatorio per rendere accessibile la porta dall'esterno del container Docker.

Utilizzo di socket Unix

docker run -d -v /cloudsql:/cloudsql \\
  -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \\
  gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.0 --unix-socket=/cloudsql \\
  --credentials-file /path/to/service-account-key.json INSTANCE_CONNECTION_NAME

Se utilizzi le credenziali fornite dall'istanza di Compute Engine, non includere i parametri --credentials-file e la riga -v PATH_TO_KEY_FILE:/path/to/service-account-key.json.

Se utilizzi un'immagine ottimizzata per i container, usa una directory scrivibile al posto di /cloudsql, ad esempio: 

-v /mnt/stateful_partition/cloudsql:/cloudsql

Puoi specificare più di un'istanza, separate da virgole. Puoi anche utilizzare i metadati di Compute Engine per determinare in modo dinamico le istanze a cui connettersi. Scopri di più sui parametri del proxy di autenticazione Cloud SQL.

7. Avvia la sessione mysql.

La stringa di connessione da utilizzare varia a seconda che tu abbia avviato il proxy di autenticazione Cloud SQL utilizzando un socket TCP, un socket UNIX o Docker.

socket TCP

  1. Avvia il client mysql: 
    mysql -u USERNAME -p --host 127.0.0.1

    Quando ti connetti utilizzando i socket TCP, si accede al proxy di autenticazione Cloud SQL tramite 127.0.0.1.

  2. Se richiesto, inserisci la password.
  3. Viene visualizzato il prompt mysql.

Utilizzo di socket Unix

  1. Avvia il client mysql: 
    mysql -u USERNAME -p -S /cloudsql/INSTANCE_CONNECTION_NAME
  2. Inserisci la password.
  3. Viene visualizzato il prompt mysql.

Serve aiuto? Per assistenza nella risoluzione dei problemi relativi al proxy, consulta la pagina relativa alla risoluzione dei problemi relativi alle connessioni al proxy di autenticazione di Cloud SQL o la pagina dell'assistenza di Cloud SQL.

Passaggi successivi