選擇連線至 Cloud SQL 的方式

本頁概要說明連線至 Cloud SQL 執行個體的方式。

連線至 Cloud SQL 執行個體前,您需要決定如何部署及設定 Cloud SQL 執行個體和支援的網路資源。如果 Cloud SQL 執行個體已設定及部署完成,本頁面可協助您瞭解如何透過不同方式,將用戶端連線至現有執行個體。

IP 位址類型:私人或公開

首次建立 Cloud SQL 執行個體時,您可以選擇為執行個體設定公開 IP 位址私人 IP 位址,或兩者皆設定

您可以根據應用程式需求,選擇執行個體的 IP 位址設定。設定執行個體後,您可以在用戶端連線字串中指定公開 IP 位址、私人 IP 位址,或在某些情況下指定 DNS 名稱。

私人 IP 位址 公開 IP 位址
說明 僅限虛擬私有雲 (VPC) 網路的內部 (私人) IP 位址 可透過網際網路存取的外部 (公開) IP 位址
決策點

您是否需要從虛擬私有雲網路內 Google Cloud 或可存取這些虛擬私有雲網路的用戶端連線?

如果是,請為執行個體選擇私人 IP 位址

您是否需要透過公開網際網路,從虛擬私有雲網路外部的用戶端連線? Google Cloud

如果是,請為執行個體選擇公開 IP 位址
設定選項

支援的私有網路設定類型如下:

使用公開 IP 位址直接連線至執行個體時,您必須設定授權網路

如要連線至使用公開 IP 的 Cloud SQL 執行個體,更安全的替代方案是使用 Cloud SQL 連接器 (例如 Cloud SQL Auth Proxy 或其中一個 Cloud SQL 語言連接器)。

如需在執行個體中新增公開 IP 的操作說明,請參閱設定公開 IP

如要使用公開 IP 位址連線至 Cloud SQL 執行個體,可以使用 mysql 用戶端或其他可用用戶端。
摘要

建議: 為提升安全性,建議您將執行個體設定為私人 IP 位址類型,除非您對可透過網際網路存取的 Cloud SQL 執行個體有特定需求,或是從不符合 VPC 需求的用戶端連線。

連線類型:Cloud SQL 連接器或直接連線

連線至 Cloud SQL 執行個體時,您可以使用 Cloud SQL 連接器,也可以直接連線。

Cloud SQL 連接器可以是 Cloud SQL Auth Proxy,也可以是Cloud SQL 語言連接器

Cloud SQL 連接器 直接連線
說明 Cloud SQL Auth Proxy (用戶端 Proxy) 和 Cloud SQL 語言連接器 (用戶端程式庫) 可簡化 Cloud SQL 執行個體的存取程序,並確保存取安全,特別是透過公開 IP 位址連線至執行個體時。 從用戶端直接連線至 Cloud SQL 執行個體,可提供延遲時間較短的連線。您可以從公開或私人 IP 位址直接連線。
決策點

在下列情況中,Cloud SQL 連接器非常實用:

  • 如要使用公開 IP 位址連線至 Cloud SQL 執行個體,但不想設定授權網路
  • 您想透過伺服器和用戶端身分驗證,自動加密進出資料庫的流量,且不必管理 SSL 憑證。
  • 使用 IAM 資料庫驗證功能,並想自動重新整理 OAuth 2.0 存取權杖。
  • 從使用動態指派或臨時 IP 位址的用戶端或應用程式連線時。平台即服務 (PaaS) 應用程式通常會採用動態 IP 設定。

使用直接連線有下列優點:

  • 相較於使用 Cloud SQL 連接器建立的連線,延遲時間較短。
  • 與 Cloud SQL 連接器不同,不需要額外的套件或程式庫依附元件。
  • 使用直接連線時,您必須負責設定 SSL/TLS 設定。
設定選項

如要在 Cloud SQL 執行個體和用戶端上設定 SSL/TLS 憑證,請按照下列步驟操作:

  1. 為執行個體選擇伺服器 CA 模式
  2. 設定執行個體,強制執行執行個體連線的 SSL/TLS 加密
  3. 建立用戶端憑證。
  4. 下載伺服器和用戶端憑證。
摘要

連線至 Cloud SQL 執行個體時,您可以使用 Cloud SQL 連接器,也可以直接從用戶端連線。

一般建議: 如果透過私人 IP 位址連線至執行個體,請使用直接連線。我們也建議您強制執行 SSL,並為連線設定 SSL/TLS 憑證。

如要透過公開 IP 位址連線至執行個體,請使用 Cloud SQL 連接器 (Cloud SQL Auth Proxy 或其中一個 Cloud SQL 語言連接器)。

資料庫驗證類型:IAM 或內建

連線至執行個體時,您必須以資料庫使用者身分進行驗證。 您可以選擇內建驗證IAM 資料庫驗證

IAM 資料庫驗證 內建驗證機制
說明 透過 IAM 資料庫驗證,您可以使用短期存取權杖 (而非密碼),向具有 IAM 使用者和服務帳戶的資料庫進行驗證。 Google Cloud 您可以使用 IAM 主體 (例如使用者、服務帳戶和群組) 管理資料庫權限。 內建驗證功能會使用資料庫本機使用者名稱和密碼,驗證資料庫使用者。
決策點 您是否偏好在 Google Cloud使用 IAM 集中管理各項服務的使用者 Google Cloud?如果是,請使用 IAM 資料庫驗證功能。 您是否有依賴內建資料庫驗證的應用程式或工作流程?如果是,請使用內建驗證機制。
設定選項

您可以為個別 IAM 使用者、個別服務帳戶和群組使用 IAM 資料庫驗證。詳情請參閱「使用 IAM 資料庫驗證功能管理使用者 」。

如果您使用 Cloud SQL 連接器,連接器會自動重新整理 IAM 存取權杖。詳情請參閱自動 IAM 資料庫驗證

 您可以使用內建資料庫驗證,並在執行個體和使用者層級設定密碼政策。詳情請參閱「內建驗證」。
摘要 建議:除非應用程式或工作流程需要內建資料庫驗證,否則請盡可能使用 IAM 資料庫驗證。

使用私人 IP 位址時的私人網路選項

將執行個體設定為使用私人 IP 位址時,您可以選擇下列私人網路選項:私人服務存取權、Private Service Connect 或兩者皆是。

支援功能

下表列出連線至設定一或多個私人網路選項的執行個體時,Cloud SQL 支援的功能。

功能 僅具備私人服務存取權的執行個體 僅使用 Private Service Connect 的執行個體 同時具備私有服務存取和 Private Service Connect 的執行個體
多個虛擬私有雲連線 不支援。 支援。 使用 Private Service Connect 端點即可支援。
外部副本 支援。 不支援。 透過私人服務存取權的傳出連線支援。
寫入端點 支援。 不支援。 支援私人服務存取權。
變更私人服務存取權的相關聯虛擬私有雲網路 支援。 不適用。 由於執行個體已啟用 Private Service Connect,因此不支援私人服務存取。不適用於 Private Service Connect。
Cloud SQL 可見的用戶端 IP 位址 支援。 不支援。 使用私人服務存取 IP 位址即可支援。使用 Private Service Connect 端點時不支援。

從執行個體移除網路選項

Cloud SQL 支援從執行個體移除下列網路選項:

  • 同時具備私人服務存取權和公開 IP 的執行個體公開 IP
  • 具有公開 IP、私人服務連線和 Private Service Connect 的執行個體公開 IP
  • 透過同時具備 Private Service Connect 和私有服務存取權的執行個體使用 Private Service Connect
  • 透過 Private Service Connect、私人服務存取權和公開 IP 建立執行個體的 Private Service Connect

為執行個體啟用網路選項

您可以啟用 Cloud SQL,為執行個體啟用下列連線選項:

  • 僅具備公用 IP 的執行個體上的私人服務存取權
  • 僅限存取私人服務的執行個體上的 Private Service Connect
  • 在同時具備私人服務存取權和公開 IP 的執行個體上使用 Private Service Connect
  • 僅具備私人服務存取權的執行個體上的公開 IP

限制

  • 您無法建立同時具有公開 IP 位址和 Private Service Connect 的執行個體。
  • 如果執行個體同時具備私人服務存取權和 Private Service Connect,您就無法移除私人服務存取權。
  • 如果執行個體同時具備私人服務存取和公開 IP,您就無法移除私人服務存取。
  • 如果執行個體只使用公開 IP,就無法同時啟用私人服務存取權和 Private Service Connect。首先啟用私人服務存取權,然後啟用 Private Service Connect。
  • 您無法使用授權網路,對 Private Service Connect 執行個體進行 IP 位址許可清單作業。

連線至 Cloud SQL 的工具

下表列出連線至 Cloud SQL 的部分選項:

連線選項 更多資訊
Cloud SQL 驗證 Proxy
gcloud CLI
Cloud SQL 語言連接器
Cloud Shell
Apps Script
Cloud Code
使用第三方資料庫管理工具連線
MySQL Workbench
MySQL 適用的 Toad
SQuirrel SQL
phpMyAdmin

疑難排解

如果無法順利連線,請參閱下列頁面,瞭解如何偵錯或尋找已知問題的解決方案:

後續步驟