Questa pagina descrive come configurare una connessione da un'applicazione in esecuzione in Google Kubernetes Engine (GKE) a un'istanza Cloud SQL.
Per istruzioni dettagliate sull'esecuzione di un'applicazione web di esempio di Google Kubernetes Engine collegata a Cloud SQL, consulta la guida rapida per la connessione da Google Kubernetes Engine.
Cloud SQL è un servizio di database completamente gestito che semplifica la configurazione, la gestione e l'amministrazione dei database relazionali nel cloud.
Google Kubernetes Engine è un modo semplice per automatizzare il deployment, la scalabilità e la gestione di Kubernetes.
Informazioni sulla connessione di Google Kubernetes Engine a Cloud SQL
Per accedere a un'istanza Cloud SQL da un'applicazione in esecuzione su Google Kubernetes Engine, puoi utilizzare il proxy di autenticazione Cloud SQL (con IP pubblico o privato) o connetterti direttamente utilizzando un indirizzo IP privato.
Il proxy di autenticazione Cloud SQL è il metodo consigliato per connettersi a Cloud SQL, anche quando si utilizza un IP privato. Questo perché il proxy di autenticazione Cloud SQL fornisce crittografia e autenticazione avanzate utilizzando IAM, il che può contribuire a proteggere il tuo database.
Le connessioni al database consumano risorse sul server e sull'applicazione di connessione. Utilizza sempre buone pratiche di gestione delle connessioni per ridurre al minimo l'impronta della tua applicazione e ridurre la probabilità di superare i limiti di connessione di Cloud SQL. Per saperne di più, consulta Gestire le connessioni al database.
Prima di iniziare
Per connetterti a Cloud SQL devi disporre di:
Un cluster GKE con lo strumento a riga di comando
kubectl
installato e configurato per comunicare con il cluster.Per iniziare a utilizzare GKE, consulta Eseguire il deployment di un'app in un cluster GKE.
Per la connessione tramite IP privato, il cluster GKE deve essere nativo VPC e avere il peering con la stessa rete Virtual Private Cloud (VPC) dell'istanza Cloud SQL.
Un'istanza creata.
Per assistenza sulla creazione di un'istanza Cloud SQL, consulta Creazione di istanze.
Un account utente MySQL configurato nell'istanza.
L'applicazione utilizzerà questo account per connettersi al database. Per assistenza sulla creazione di un account utente, vedi Creare un utente.
Informazioni sui secret di Kubernetes
In Kubernetes, i secret sono un modo sicuro per passare i dettagli di configurazione all'applicazione. Puoi creare un secret con dettagli come il nome del database, l'utente e la password che possono essere iniettati nell'applicazione come variabili di ambiente.
Esistono molti modi diversi per utilizzare i secret, a seconda del tipo di connessione:
- Un secret delle credenziali del database include il nome dell'utente del database con cui ti colleghi e la password del database dell'utente.
- Se ti connetti con il proxy di autenticazione Cloud SQL, puoi utilizzare un segreto per memorizzare il file delle credenziali del tuo account di servizio.
- Se esegui la connessione con un indirizzo IP privato, puoi utilizzare un segreto per specificare l'indirizzo IP privato della tua istanza Cloud SQL.
Per esempi completi su come utilizzare i secret, consulta i repository GitHub a cui si fa riferimento più avanti in questa pagina.
Crea un oggetto Secret
Crea gli oggetti Secret utilizzando il comando
kubectl create secret
.Per creare un Secret per le credenziali del database:
kubectl create secret generic <YOUR-DB-SECRET> \ --from-literal=username=<YOUR-DATABASE-USER> \ --from-literal=password=<YOUR-DATABASE-PASSWORD> \ --from-literal=database=<YOUR-DATABASE-NAME>
Una volta creati, puoi visualizzare gli oggetti nella sezione Configurazione della pagina Google Kubernetes Engine nella console Google Cloud.
Connettiti a Cloud SQL utilizzando il proxy di autenticazione Cloud SQL
Quando ti connetti utilizzando il proxy di autenticazione Cloud SQL, questo viene aggiunto al pod utilizzando il pattern del contenitore sidecar
. Il
contenitore del proxy di autenticazione Cloud SQL si trova nello stesso pod dell'applicazione, il che consente all'applicazione di connettersi al proxy di autenticazione Cloud SQL utilizzando localhost
,
aumentando la sicurezza e le prestazioni.
Per ulteriori informazioni sul proxy di autenticazione Cloud SQL, consulta Informazioni sul proxy di autenticazione Cloud SQL. Per ulteriori informazioni sull'utilizzo dei pod, consulta la Panoramica dei pod nella documentazione di Kubernetes.
Per la connessione tramite il proxy di autenticazione Cloud SQL sono necessari i seguenti elementi:
Il nome di connessione istanza della tua istanza Cloud SQL.
Il nome di connessione dell'istanza è disponibile nella pagina Dettagli istanza Cloud SQL della console Google Cloud o dal comando
gcloud sql instances describe INSTANCE_ID
.La posizione del file della chiave associato a un account di servizio con i privilegi appropriati per l'istanza Cloud SQL.
Per ulteriori informazioni, vedi Creare un account di servizio.
L'API Cloud SQL Admin è abilitata.
Fornisci l'account di servizio al proxy di autenticazione Cloud SQL
Il primo passaggio per eseguire il proxy di autenticazione Cloud SQL in Google Kubernetes Engine consiste nel creare un account di servizio Google (GSA) per rappresentare la tua applicazione. Ti consigliamo di creare un account di servizio univoco per ogni applicazione anziché utilizzare lo stesso account di servizio ovunque. Questo modello è più sicuro in quanto consente di limitare le autorizzazioni in base all'applicazione.
L'account di servizio per la tua applicazione deve soddisfare i seguenti criteri:
- Appartenere a un progetto con l'API Cloud SQL Admin abilitata
- Deve aver ricevuto il ruolo IAM client Cloud SQL (o equivalente) per il progetto contenente l'istanza a cui vuoi connetterti
- Se esegui la connessione utilizzando un IP privato, devi utilizzare un cluster GKE nativo VPC nello stesso VPC dell'istanza Cloud SQL
Devi configurare GKE in modo da fornire l'account di servizio al proxy di autenticazione Cloud SQL. Esistono due metodi consigliati per farlo: identità Workload Identity o un file della chiave dell'account di servizio.
Workload Identity
Se utilizzi Google Kubernetes Engine, il metodo preferito è utilizzare la funzionalità Workload Identity di GKE. Questo metodo consente di associare un account di servizio Kubernetes (KSA) a un account di servizio Google (GSA). La GSA sarà quindi accessibile alle applicazioni che utilizzano la KSA corrispondente.
Un account di servizio Google (GSA) è un'identità IAM che rappresenta la tua applicazione in Google Cloud. In modo simile, un account servizio Kubernetes (KSA) è un'identità che rappresenta la tua applicazione in un cluster Google Kubernetes Engine.
Workload Identity lega un KSA a un GSA, in modo che tutti i deployment con il KSA si autentichino come GSA nelle interazioni con Google Cloud.
- Abilita Workload Identity per il cluster
In genere, ogni applicazione ha la propria identità, rappresentata da una coppia di KSA e GSA. Crea un KSA per la tua applicazione eseguendo
kubectl apply -f service-account.yaml
:Abilita l'associazione IAM tra YOUR-GSA-NAME e YOUR-KSA-NAME:
gcloud iam service-accounts add-iam-policy-binding \ --role="roles/iam.workloadIdentityUser" \ --member="serviceAccount:YOUR-GOOGLE-CLOUD-PROJECT.svc.id.goog[YOUR-K8S-NAMESPACE/YOUR-KSA-NAME]" \ YOUR-GSA-NAME@YOUR-GOOGLE-CLOUD-PROJECT.iam.gserviceaccount.com
Aggiungi un'annotazione a YOUR-KSA-NAME per completare l'associazione:
kubectl annotate serviceaccount \ YOUR-KSA-NAME \ iam.gke.io/gcp-service-account=YOUR-GSA-NAME@YOUR-GOOGLE-CLOUD-PROJECT.iam.gserviceaccount.com
Infine, assicurati di specificare l'account di servizio per l'oggetto k8s.
File della chiave dell'account di servizio
In alternativa, se non puoi utilizzare Workload Identity, il pattern consigliato è montare un file della chiave dell'account di servizio nel pod del proxy di autenticazione Cloud SQL e utilizzare il flag --credentials-file
.
Crea un file delle credenziali per la chiave dell'account di servizio:
gcloud iam service-accounts keys create ~/key.json \ --iam-account=YOUR-SA-NAME@project-id.iam.gserviceaccount.com
Trasforma la chiave dell'account di servizio in un secret k8s:
kubectl create secret generic YOUR-SA-SECRET \ --from-file=service_account.json=~/key.json
Monta il secret come volume in
spec:
per l'oggetto k8s:Segui le istruzioni riportate nella sezione successiva per accedere al volume dal pod del proxy di autenticazione Cloud SQL.
Esegui il proxy di autenticazione Cloud SQL in un pattern sidecar
Consigliamo di eseguire Cloud SQL Auth Proxy in un pattern sidecar
(come contenitore aggiuntivo che condivide un pod con l'applicazione). Consigliamo questa opzione rispetto all'esecuzione come servizio separato per diversi motivi:
- Impedisce l'esposizione del traffico SQL a livello locale. Il proxy di autenticazione Cloud SQL fornisce la crittografia per le connessioni in uscita, ma devi limitare l'esposizione per le connessioni in entrata.
- Impedisce un singolo punto di errore: l'accesso di ogni applicazione al database è indipendente dagli altri, rendendolo più resiliente.
- Limita l'accesso al proxy di autenticazione Cloud SQL, consentendoti di utilizzare le autorizzazioni IAM per applicazione anziché esporre il database all'intero cluster.
Ti consente di definire l'ambito delle richieste di risorse in modo più preciso. Poiché il proxy di autenticazione Cloud SQL consuma risorse in modo lineare in base all'utilizzo, questo pattern ti consente di definire e richiedere le risorse in modo più preciso in base alle tue applicazioni man mano che si scalano.
Aggiungi il proxy di autenticazione Cloud SQL alla configurazione del pod in
containers
:Se utilizzi una chiave dell'account di servizio, specifica il volume del segreto e aggiungi il flag
--credentials-file
al comando:
- Se utilizzi l'autenticazione IAM dei database, avvia il proxy di autenticazione Cloud SQL con il flag
--auto-iam-authn
.
- Infine, configura l'applicazione in modo che si connetta utilizzando
127.0.0.1
su qualunque DB_PORT specificato nella sezione dei comandi.
File di configurazione di esempio completi:
Workload Identity
Chiave account di servizio
Connettiti a Cloud SQL senza il proxy di autenticazione Cloud SQL
Sebbene non sia così sicuro, è possibile connettersi da un cluster GKE nativo VPC a un'istanza Cloud SQL nella stessa VPC utilizzando l'IP privato senza il proxy di autenticazione Cloud SQL.
Crea un secret con l'indirizzo IP privato dell'istanza:
kubectl create secret generic <YOUR-PRIVATE-IP-SECRET> \ --from-literal=db_host=<YOUR-PRIVATE-IP-ADDRESS>
Poi, assicurati di aggiungere il secret al contenitore dell'applicazione:
Infine, configura l'applicazione in modo che si connetta utilizzando l'indirizzo IP della variabile di ambiente
DB_HOST
. Devi utilizzare la porta corretta per MySQL: 3306
File di configurazione di esempio completo:
IP privato
Risoluzione dei problemi
Serve aiuto? Per assistenza nella risoluzione dei problemi relativi al proxy, consulta la sezione Risoluzione dei problemi di connessione del proxy di autenticazione Cloud SQL o la pagina Assistenza Cloud SQL.
Passaggi successivi
Scopri di più sull'IP privato.
Scopri di più sul proxy di autenticazione Cloud SQL e sull'immagine Docker del proxy.
Ricevi assistenza per la risoluzione dei problemi relativi alle connessioni del proxy di autenticazione Cloud SQL.
Scopri di più su Google Kubernetes Engine.
Scopri le opzioni di assistenza.