Visão geral da conexão

Nesta página, você encontra uma visão geral das maneiras de se conectar à instância do Cloud SQL e a descrição das opções de autenticação e autorização disponíveis.

Visão geral

Ao se conectar à instância do Cloud SQL, há muitas escolhas a serem consideradas, incluindo:

  • Você quer que sua instância do Cloud SQL fique acessível pela Internet ou seja particular em uma rede de nuvem privada virtual (VPC, na sigla em inglês)?
  • Você planeja escrever seu próprio código de conexão ou se conectar usando ferramentas disponíveis publicamente, como o proxy do Cloud SQL Auth ou um cliente mysql?
  • Você quer exigir criptografia usando SSL/TLS ou permitir tráfego não criptografado?

Nas seções a seguir, discutiremos as opções que o Cloud SQL oferece para conectar, autorizar e autenticar no banco de dados.

  • Como se conectar: qual caminho de rede você usa para acessar a instância:
    • Um endereço IP interno somente VPC (Particular).
    • Um endereço IP externo acessível pela Internet (Público).
  • Como autorizar: quais conexões são autorizadas e têm permissão para se conectar à instância do Cloud SQL:
    • As bibliotecas de conectores do proxy do Cloud SQL Auth e do Cloud SQL para Java e Python fornecem acesso com base no IAM.
    • Certificados SSL/TLS autogerenciados: permitem apenas conexões com base em chaves públicas específicas.
    • Redes autorizadas: uma lista de endereços IP com permissão para se conectar.
  • Como autenticar: o método para fazer login no seu banco de dados.
    • Autenticação de banco de dados integrada: faça login com um nome de usuário/senha definido no mecanismo de banco de dados.

Use as informações a seguir para decidir quais opções de conexão, autorização e autenticação funcionam melhor para você.

Antes de começar

A concessão de acesso a um aplicativo não permite automaticamente que uma conta de usuário do banco de dados se conecte à instância. Para se conectar a uma instância, é necessário ter uma conta de usuário do banco de dados com que possa se conectar. Para novas instâncias, isso significa que é preciso configurar a conta de usuário padrão. Saiba mais.

Opções de conexão

As conexões do banco de dados consomem recursos no servidor e no aplicativo conectado. Sempre use boas práticas de gerenciamento de conexão para minimizar o espaço ocupado pelo seu aplicativo e reduzir a probabilidade de exceder os limites de conexão do Cloud SQL. Para mais informações, consulte Como gerenciar conexões de banco de dados.

IP privado

Um IP particular é um endereço IPv4 ou IPv6 acessível em uma nuvem privada virtual (VPC, na sigla em inglês).

É possível usar esse endereço para se conectar a partir de outros recursos com acesso à VPC. As conexões por IP privado geralmente fornecem menor latência e vetores de ataque limitados porque não exigem a passagem da Internet. Outra opção é exigir que todas as conexões usem o proxy do Cloud SQL ou os certificados de SSL autogerenciados.

É preferível configurar sua instância com um IP privado ao se conectar a partir de um cliente em um recurso com acesso a uma VPC. Para mais informações sobre quais recursos podem usar IP particular, consulte Requisitos para IP particular.

Para caminhos de IP particular, os seguintes serviços e aplicativos se conectam diretamente à instância pelo acesso VPC sem servidor:

  • Ambiente padrão do App Engine
  • Ambiente flexível do App Engine
  • Cloud Functions
  • Cloud Run

Saiba mais sobre como usar IP particular com o Cloud SQL

Para instruções sobre como adicionar um IP particular à instância, consulte Como configurar a conectividade de IP particular.

IP público

Um IP público é um endereço IPv4 ou IPv6 disponível externamente na Internet pública. Esse endereço pode receber conexões de dispositivos dentro e fora da rede do Google, inclusive de locais como sua casa ou seu escritório.

Para ajudar a manter a instância segura, todas as conexões a uma instância do Cloud SQL que usam um IP público precisam ser autorizadas com o proxy do Cloud SQL ou redes autorizadas.

A configuração da instância com um IP público é melhor quando você se conecta a partir de um cliente que não atende aos requisitos de uma VPC.

Para instruções sobre como adicionar um IP público à instância, consulte Como configurar a conectividade de IP público.

Para informações sobre como conectar um cliente mysql a uma instância do Cloud SQL usando um IP público, consulte Como se conectar usando um cliente de banco de dados.

Endereços IP atribuídos dinamicamente

Alguns aplicativos precisam se conectar à instância do Cloud SQL usando um endereço IP atribuído dinamicamente (temporário). Esse é o caso dos aplicativos Platform as a Service (PaaS), entre outros.

A melhor solução para esses aplicativos é se conectar usando o proxy do Cloud SQL Auth. Essa solução oferece o melhor controle de acesso para a instância.

Opções de autorização

Proxy do Cloud SQL Auth

O proxy do Cloud SQL Auth permite autorizar e proteger as conexões usando as permissões do gerenciamento de identidade e acesso (IAM). O proxy do Cloud SQL Auth valida as conexões usando credenciais para um usuário ou conta de serviço e unindo a conexão em uma camada SSL/TLS autorizada para uma instância do Cloud SQL. Para mais detalhes sobre como o proxy do Cloud SQL Auth funciona, consulte Sobre o proxy do Cloud SQL Auth.

Por ser o método mais seguro, é recomendável usar o proxy do Cloud SQL Auth para autenticar conexões em uma instância do Cloud SQL.

O proxy do Cloud SQL Auth é uma biblioteca de código aberto distribuída como um binário executável. O proxy do Cloud SQL Auth funciona como um servidor intermediário que detecta conexões de entrada, une-as em SSL/TLS e as transmite para uma instância do Cloud SQL.

Alguns ambientes fornecem um mecanismo que se conecta usando o proxy do Cloud SQL Auth. Para instruções sobre como se conectar usando esses ambientes, consulte uma das seguintes opções:

Bibliotecas de conectores do Cloud SQL para Java e Python

O Cloud SQL oferece bibliotecas de cliente que fornecem criptografia e autorização baseada em IAM ao se conectar a uma instância do Cloud SQL usando conectores Java e Python.

É possível usar essas bibliotecas diretamente no ambiente da linguagem. Elas fornecem a mesma autenticação que o proxy do Cloud SQL Auth sem exigir um processo externo. Para começar, consulte Como se conectar usando os conectores do Cloud SQL.

Certificados SSL/TLS autogerenciados

Em vez de usar o proxy do Cloud SQL Auth para criptografar suas conexões, é possível configurar certificados SSL/TLS de cliente/servidor específicos para uma instância do Cloud SQL. Esses certificados são usados para validar o cliente/servidor e criptografar conexões entre eles.

É altamente recomendável usar certificados SSL/TLS autogerenciados para fornecer criptografia quando não estiver usando o proxy do Cloud SQL Auth. Deixar de fazer isso significa que seus dados estão sendo transmitidos sem segurança e podem ser interceptados ou inspecionados por terceiros.

Para começar a usar certificados SSL/TLS autogerenciados, consulte Como autorizar com certificados SSL/TLS.

Redes autorizadas

A não ser que o proxy do Cloud SQL Auth seja usado, as conexões com o endereço IP público de uma instância só serão permitidas se a conexão vier de uma rede autorizada. As redes autorizadas são endereços IP ou intervalos que o usuário especificou como tendo permissão para se conectar.

Para começar a usar as redes autorizadas, consulte Como autorizar com redes autorizadas.

Opções de autenticação

A autenticação fornece controle de acesso verificando a identidade de um usuário. Para usuários finais, a autenticação é realizada quando o usuário insere credenciais (um nome de usuário e uma senha). Para aplicativos, a autenticação é realizada quando as credenciais de um usuário são atribuídas a uma conta de serviço.

O Cloud SQL usa a autenticação integrada do banco de dados que autentica usando um nome de usuário e uma senha. Para mais informações, consulte Como criar e gerenciar usuários do MySQL.

Ferramentas para se conectar

A tabela a seguir contém algumas opções para se conectar ao Cloud SQL:

Opção de conexão Mais informações
Proxy do Cloud SQL Auth
gcloud
Conectores de linguagem do Cloud SQL
Cloud Shell
Apps Script
Conectar-se usando ferramentas de administração de banco de dados de terceiros
MySQL Workbench
Toad para MySQL
SQuirrel para SQL
phpAdmin

Amostras de código

Você pode se conectar ao proxy do Cloud SQL Auth por qualquer linguagem que permita se conectar a um soquete Unix ou TCP. Veja abaixo alguns snippets de código de exemplos completos no GitHub para ajudar você a entender como eles funcionam em conjunto no aplicativo.

Solução de problemas

Se você tiver problemas de conexão, consulte as páginas a seguir para receber ajuda na depuração ou localização de soluções para problemas conhecidos:

A seguir