Présentation du processus de connexion

Cette page fournit un résumé des options de connexion à une instance Cloud SQL.

Présentation

L'utilisation du proxy d'authentification Cloud SQL est la méthode recommandée pour se connecter à une instance Cloud SQL. Le proxy d'authentification Cloud SQL :

  • fonctionne avec les points de terminaison d'adresses IP publiques et privées ;
  • valide les connexions à l'aide des identifiants d'un utilisateur ou d'un compte de service ;
  • encapsule la connexion dans une couche SSL/TLS autorisée pour une instance Cloud SQL.

Certains services et applications Google Cloud fournissent des connexions pour des chemins d'accès d'adresses IP publiques avec chiffrement et autorisation à l'aide du proxy Cloud SQL, y compris :

Pour les chemins d'accès d'adresses IP privées, ces services et applications se connectent directement à votre instance via l'accès au VPC sans serveur.

Les applications exécutées dans GKE peuvent également se connecter à l'aide du proxy d'authentification Cloud SQL.

Pour une présentation rapide de son utilisation, reportez-vous au Guide de démarrage rapide pour l'utilisation du proxy d'authentification Cloud SQL.

Présentation

Lorsque vous envisagez de vous connecter à votre instance Cloud SQL, vous devez tenir compte de nombreux éléments, tels que :

  • Souhaitez-vous que votre instance Cloud SQL soit accessible depuis Internet ou qu'elle reste privée au sein d'un réseau cloud privé virtuel (VPC) ?
  • Comptez-vous écrire votre propre code de connexion ou vous connecter à l'aide d'outils accessibles publiquement, comme par exemple le proxy d'authentification Cloud SQL ou un client mysql ?
  • Voulez-vous imposer le chiffrement via SSL/TLS ou autoriser le trafic non chiffré ?

Les sections ci-dessous décrivent les options offertes par Cloud SQL pour la connexion, l'autorisation et l'authentification au niveau de votre base de données.

  • Comment se connecter : chemin réseau à utiliser pour atteindre votre instance :
    • Une adresse IP interne uniquement, VPC uniquement (privée).
    • Une adresse IP externe et accessible à Internet (publique).

  • Comment s'authentifier : connexions autorisées vous permettant de vous connecter à votre instance Cloud SQL :
    • Proxy d'authentification Cloud SQL et connecteurs de langage Cloud SQL : ces derniers permettent l'accès basé sur IAM.
    • Certificats SSL/TLS autogérés : ils n'autorisent que les connexions basées sur des clés publiques spécifiques.
    • Réseaux autorisés : liste des adresses IP autorisées à se connecter.

  • Comment s'authentifier : méthode de connexion à votre base de données.
    • Authentification de la base de données native : connexion avec un nom d'utilisateur/mot de passe défini dans le moteur de base de données.

Utilisez les informations ci-dessous pour identifier les options de connexion, d'autorisation et d'authentification qui répondent le mieux à vos besoins.

Avant de commencer

Le fait d'accorder l'accès à une application ne permet pas automatiquement à un compte utilisateur de base de données de se connecter à l'instance. Pour pouvoir vous connecter à cette dernière, vous devez disposer d'un compte utilisateur de base de données permettant d'établir la connexion. Pour les nouvelles instances, cela signifie que vous devez avoir configuré le compte utilisateur par défaut. En savoir plus

Options de connexion

Adresse IP privée

Une adresse IP privée est une adresse IPv4 ou IPv6 accessible sur un cloud privé virtuel (VPC).

Points à noter concernant la sécurité

Cette adresse vous permet de vous connecter à partir d'autres ressources ayant accès au VPC. Les connexions via une adresse IP privée offrent généralement une latence plus faible et des vecteurs d'attaque limités, car leur transit par Internet n'est pas nécessaire. Si vous le souhaitez, vous pouvez exiger que toutes les connexions utilisent le proxy Cloud SQL ou les certificats SSL autogérés.

Lorsque la connexion s'effectue à partir d'un client sur une ressource ayant accès à un réseau VPC, il est préférable d'utiliser une adresse IP privée. Pour en savoir plus sur les ressources pouvant utiliser une adresse IP privée, consultez la page Conditions requises pour utiliser une adresse IP privée.

En savoir plus

Découvrez comment utiliser une adresse IP privée avec Cloud SQL.

Pour obtenir des instructions sur l'ajout d'une adresse IP privée à votre instance, consultez la page Configurer la connectivité IP privée[configure-private-ip].

Adresse IP publique

Une adresse IP publique est une adresse IPv4 ou IPv6 accessible en externe sur l'Internet public. Cette adresse peut recevoir des connexions provenant d'appareils internes et externes au réseau Google, y compris depuis votre domicile ou votre bureau.

Points à noter concernant la sécurité

Pour sécuriser votre instance, les connexions à une instance Cloud SQL utilisant une adresse IP publique doivent être autorisées via le proxy d'authentification Cloud SQL ou les réseaux autorisés.

La configuration d'une instance avec une adresse IP publique est préférable lorsque vous vous connectez depuis un client qui ne répond pas aux exigences d'un VPC.

En savoir plus

Pour savoir comment ajouter une adresse IP publique à votre instance, consultez la page Configurer la connectivité IP publique.

Options d'autorisation

Le proxy d'authentification Cloud SQL

Points à noter concernant la sécurité

Le proxy d'authentification Cloud SQL vous permet d'authentifier et de sécuriser vos connexions à l'aide des autorisations IAM (Identity and Access Management). Le proxy d'authentification Cloud SQL valide les connexions à l'aide des identifiants utilisateur ou du compte de service et encapsule la connexion dans une couche SSL/TLS authentifiée pour une instance Cloud SQL. Pour en savoir plus sur le fonctionnement du proxy d'authentification Cloud SQL, consultez la page À propos du proxy d'authentification Cloud SQL.

L'utilisation du proxy d'authentification Cloud SQL est recommandée pour l'authentification des connexions à une instance Cloud SQL, car il s'agit de la méthode la plus sécurisée.

Le proxy d'authentification Cloud SQL est une bibliothèque Open Source distribuée en tant que binaire exécutable. Le proxy d'authentification Cloud SQL agit comme un serveur intermédiaire qui écoute les connexions entrantes, les encapsule en SSL/TLS, puis les transmet à une instance Cloud SQL.

En outre, il est possible pour certains langages d'utiliser une bibliothèque cliente. Vous pouvez utiliser ces bibliothèques directement à partir de l'environnement du langage. Elles fournissent la même authentification que le proxy d'authentification Cloud SQL, sans nécessiter de processus externe. Pour commencer, consultez les pages suivantes :

Enfin, certains environnements tels que Cloud Run, Cloud Functions et App Engine fournissent un mécanisme qui se connecte à l'aide du proxy d'authentification Cloud SQL. Pour savoir comment vous connecter à l'aide de ces environnements, consultez l'une des pages suivantes :

Certificats SSL/TLS autogérés

Au lieu d'utiliser le proxy d'authentification Cloud SQL pour chiffrer vos connexions, il est possible de configurer des certificats SSL/TLS client/serveur spécifiques à une instance Cloud SQL. Ces certificats permettent à la fois de valider le client/serveur et de chiffrer les connexions entre eux.

Il est fortement recommandé d'utiliser des certificats SSL/TLS autogérés pour assurer le chiffrement lorsque vous n'utilisez pas le proxy d'authentification Cloud SQL. À défaut, vos données sont transmises de manière non sécurisée, et peuvent être interceptées ou inspectées par un tiers.

Pour commencer à utiliser les certificats SSL/TLS autogérés, consultez la section Autoriser avec des certificats SSL/TLS.

Réseaux autorisés

À moins d'utiliser le proxy d'authentification Cloud SQL, les connexions à l'adresse IP publique d'une instance ne sont autorisées que si elles proviennent d'un réseau autorisé. Les réseaux autorisés sont des adresses IP ou des plages spécifiées par l'utilisateur auxquelles il est possible de se connecter.

Pour commencer à utiliser les réseaux autorisés, consultez la page Autoriser avec des réseaux autorisés.

Gérer les connexions à la base de données

Les connexions aux bases de données consomment des ressources sur le serveur et sur l'application de connexion. Suivez toujours les bonnes pratiques en matière de gestion des connexions afin de réduire au maximum l'encombrement de votre application et les risques de dépassement des limites de connexion Cloud SQL. Pour en savoir plus, consultez la page Gérer les connexions à la base de données.

Options d'authentification

L'authentification permet de contrôler les accès en validant l'identité d'un utilisateur. Pour les utilisateurs finaux, l'authentification est réalisée lorsque l'utilisateur saisit des identifiants (un nom d'utilisateur et un mot de passe). Pour les applications, l'authentification est effectuée lorsque les identifiants d'un utilisateur sont attribués à un compte de service.

Cloud SQL utilise l'authentification intégrée à la base de données qui authentifie à l'aide d'un nom d'utilisateur et d'un mot de passe. Pour en savoir plus, consultez la page Créer et gérer des utilisateurs MySQL.

Outils de connexion

Le tableau suivant contient des options permettant de se connecter à Cloud SQL :

Option de connexion En savoir plus
Proxy d'authentification Cloud SQL
Outil de ligne de commande gcloud
Connecteurs de langage Cloud SQL
Cloud Shell
Apps Script
Se connecter à l'aide d'outils d'administration de bases de données tiers
MySQL Workbench
Toad pour MySQL
SQuirrel SQL
phpAdmin

Connecter des applications à des adresses IP attribuées de manière dynamique

Certaines applications doivent se connecter à votre instance Cloud SQL au moyen d'une adresse IP attribuée de manière dynamique ou éphémère. C'est le cas, entre autres, des applications PaaS (Platform as a Service).

La meilleure solution pour ces applications consiste à se connecter à l'aide du proxy d'authentification Cloud SQL. Cette solution fournit le meilleur contrôle d'accès pour votre instance.

Exemples de code

Vous pouvez vous connecter au proxy d'authentification Cloud SQL au moyen de n'importe quel langage permettant la connexion à un socket Unix ou TCP. Vous trouverez ci-dessous des extraits de code tirés d'exemples complets disponibles sur GitHub pour vous aider à comprendre comment ils fonctionnent ensemble dans votre application.

Dépannage

Si vous rencontrez des problèmes de connexion, consultez les pages suivantes pour obtenir des conseils de débogage ou de recherche de solutions à des problèmes connus :

Étape suivante