Políticas de conexão da organização

Nesta página, você encontrará informações gerais sobre como usar uma política de conexão da organização com seu projeto do Cloud SQL. Para começar a criar políticas de conexão da organização, consulte Como configurar políticas de conexão da organização.

Visão geral

As políticas de conexão da organização fornecem controle centralizado das configurações de IP público do Cloud SQL para reduzir a superfície de ataque à segurança das instâncias do Cloud SQL proveniente da Internet. O administrador de políticas da organização pode usar uma política de conexão para restringir configurações de IP público do Cloud SQL no nível do projeto, da pasta ou da organização.

Noções básicas sobre as políticas da organização

As políticas da organização permitem que os administradores definam restrições sobre como os usuários podem configurar instâncias. As políticas da organização usam regras, chamadas de restrições, que o administrador coloca em um projeto, uma pasta ou uma organização. As restrições aplicam a política em todas as instâncias. Se, por exemplo, você tentar adicionar uma instância a uma entidade que tenha uma política da organização, a restrição executará uma verificação para garantir que a configuração da instância siga os requisitos da restrição. Se a verificação falhar, o Cloud SQL não criará a instância.

À medida que você adiciona projetos a uma organização ou pasta que usa uma política da organização, os projetos herdam as restrições dessa política.

Para mais informações sobre políticas da organização, consulte Serviço de política da organização, Restrições e Avaliação de hierarquia.

Restrições da política de conexão da organização

Na política de conexão da organização, há dois tipos de restrições que limitam o acesso às instâncias do Cloud SQL.

Restrição Descrição Padrão
Restringir o acesso de IP público nas instâncias do Cloud SQL Essa limitação booleana restringe a configuração do IP público em instâncias do Cloud SQL. Para isso, a limitação precisa estar definida como True. Essa limitação não é retroativa, e as instâncias do Cloud SQL com acesso atual de IP público ainda funcionarão mesmo após a aplicação dela.
Por padrão, o acesso de IP público é permitido nas instâncias do Cloud SQL.

constraints/sql.restrictPublicIp
PERMITIR
Restringir redes autorizadas em instâncias do Cloud SQL Essa restrição booleana limita a adição de redes autorizadas no acesso de banco de dados sem proxy às instâncias do Cloud SQL em que a restrição está definida como True. Essa limitação não é retroativa, e as instâncias do Cloud SQL com redes autorizadas ainda funcionarão mesmo após a aplicação dela.
Por padrão, é possível adicionar redes autorizadas a instâncias do Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
PERMITIR

Regras de aplicação da política de conexão da organização

O Cloud SQL aplica a política de conexão da organização durante as seguintes tarefas:

  • criação de instância
  • criação de réplicas;
  • reconfiguração de instância;
  • clonagem de instância;
  • restauração da instância.

Como todas as restrições de política da organização do Cloud SQL, as alterações na política não se aplicam retroativamente às instâncias atuais.

  • Uma nova política não afeta as instâncias atuais.
  • Uma configuração de instância atual permanece válida, a menos que um usuário altere a configuração da instância de um estado de conformidade para não conformidade usando o Console, a ferramenta de linha de comando gcloud ou a RPC.
  • Uma atualização de manutenção programada não faz com que uma política seja aplicada porque a manutenção não altera a configuração das instâncias.

Restrições

Ao definir a política de conexão da organização de cada projeto, é necessário determinar se alguma das seguintes situações se aplica ao projeto:

Conflitos de endereços IP públicos de réplicas de leitura

As réplicas de leitura do Cloud SQL se conectam à instância principal por meio da conexão de banco de dados sem proxy. Use a configuração Redes autorizadas da instância principal para definir explicitamente ou implicitamente os endereços IP públicos da réplica de leitura.

Se as instâncias principal e réplica estiverem dentro da mesma região e ativarem o IP privado, não haverá conflito com as restrições da política de conexão da organização.

Incompatibilidade usando o gcloud sql connect

O comando gcloud sql connect usa um endereço IP público para se conectar diretamente às instâncias do Cloud SQL. Portanto, ele é incompatível com a restrição sql.restrictPublicIp. Geralmente, isso é um problema para instâncias que usam IP privado.

Além disso, o comando gcloud sql connect não usa o proxy, o que o torna incompatível com a restrição sql.restrictAuthorizedNetworks.

Em vez disso, use a versão Beta do comando:

gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]

Esta versão usa o Cloud SQL Proxy. Para mais informações de referência, consulte gcloud beta sql connect.

Ao executar o comando pela primeira vez, será solicitada a instalação do componente gcloud Cloud SQL Proxy. Para isso, é necessário ter permissão de gravação no diretório de instalação do SDK do gcloud na máquina cliente.

Acesso a serviços hospedados no GCP

Se o aplicativo exigir acesso a instâncias do Cloud SQL de outros serviços hospedados no GCP, como o App Engine, o aplicativo precisará usar endereços IP públicos. Não aplique a restrição sql.restrictPublicIp no projeto. No entanto, é possível aplicar sql.restrictAuthorizedNetworks porque as conexões do Google App Engine passam pela conexão segura (com proxy).

Conflitos de IP público de réplicas de failover do MySQL

Uma réplica de failover do MySQL funciona da mesma forma que uma réplica de leitura para políticas de conexão da organização. Se as instâncias principal e réplica estiverem dentro da mesma região e ativarem o IP privado, não haverá conflito com as restrições da política de conexão da organização.

Endereços IP privados não RFC 1918

As conexões com uma instância do Cloud SQL usando um endereço IP privado são autorizadas automaticamente para intervalos de endereços RFC 1918. Dessa forma, todos os clientes particulares podem acessar o banco de dados sem passar pelo proxy. Os intervalos de endereços não RFC 1918 precisam ser configurados como redes autorizadas.

Para usar intervalos de IP particulares não RFC 1918 que não estejam configurados nas redes autorizadas, execute uma ou ambas as ações a seguir:

  1. Não aplique sql.restrictAuthorizedNetworks. Se as redes autorizadas também aplicarem sql.restrictPublicIp, não será possível configurá-las no console. Em vez disso, use a API Cloud SQL ou a ferramenta de linha de comando gcloud.
  2. Use conexões com proxy para instâncias de IP particulares.

Problemas conhecidos

Restringir restrição de redes autorizadas

Para instâncias do Cloud SQL que tenham uma entrada de redes autorizadas preexistente, são permitidas outras entradas dessas redes, mesmo ao usar a restrição Restringir redes autorizadas (sql.restrictAuthorizedNetworks). Isso também afeta instâncias que ativaram réplicas somente leitura ou failover porque têm uma entrada de redes autorizadas para a réplica que não é visível para o usuário.

Esse problema conhecido será removido quando a restrição só permitir a remoção, e não a adição, de entradas de redes autorizadas.

A seguir