針對連線問題進行偵錯

簡介

一般來說，連線問題可分為以下三類：

• 連線中 - 你是否能透過網路連線至執行個體？
• 授權 - 您是否已獲得連線至執行個體的授權？
• 驗證 - 資料庫是否接受您的資料庫憑證？

每個類別都可以進一步細分為不同的調查路徑。下一節列出一些問題，可協助您進一步縮小問題範圍：

連線問題檢查清單

• 連線中
• 私人 IP
• 您是否已為專案啟用 Service Networking API？
• 您是否使用共用虛擬私有雲？
• 您的使用者或服務帳戶是否具備管理私人服務存取連線的必要 IAM 權限？
• 專案是否已設定私人服務存取連線？
• 您是否已為私人連線分配 IP 位址範圍？
• 您分配的 IP 位址範圍是否包含至少一個 /24 空間，可供您在每個區域中建立 MySQL 執行個體？
• 如果您要為 MySQL 執行個體指定已分配的 IP 位址範圍，該範圍是否包含至少一個 /24 空間，可供您在該範圍內建立 MySQL 執行個體的每個區域使用？
• 是否已建立私人連線？
• 如果私人連線已變更，vpc-peerings 是否已更新？
• 虛擬私有雲記錄是否指出任何錯誤？
• 來源機器的 IP 位址是否為非 RFC 1918 位址？
• 公開 IP
• 來源 IP 是否列為授權網路？
• 是否需要 SSL/TLS 憑證？
• 您的使用者或服務帳戶是否具備連線至 Cloud SQL 執行個體的必要 IAM 權限？
• 授權
• Cloud SQL 驗證 Proxy
• Cloud SQL 驗證 Proxy 是否為最新版本？
• Cloud SQL 驗證 Proxy 是否正在執行？
• Cloud SQL 驗證 Proxy 連線指令中的執行個體連線名稱是否格式正確？
• 您是否已檢查 Cloud SQL 驗證 Proxy 的輸出內容？將輸出內容傳送至檔案，或監看您啟動 Cloud SQL 驗證 Proxy 時所用的 Cloud Shell 終端機。
• 您的使用者或服務帳戶是否具備連線至 Cloud SQL 執行個體的必要 IAM 權限？
• 您是否已為專案啟用 Cloud SQL Admin API？
• 如果您有傳出防火牆政策，請確定該政策允許連線至目標 Cloud SQL 執行個體上的 3307 通訊埠。
• 如果您使用 UNIX 網域通訊端連線，請確認通訊端是透過列出您啟動 Cloud SQL Auth Proxy 時，以 -dir 指定的目錄建立。
• Cloud SQL 連接器和語言專屬程式碼
• 連線字串是否正確形成？
• 您是否已將程式碼與所用程式設計語言的範例程式碼進行比較？
• 您使用的執行階段或架構是否沒有程式碼範例？
• 如果是，你是否已向社群尋求相關參考資料？
• 自行管理 SSL/TLS 憑證
• 來源電腦是否已安裝用戶端憑證？
• 連線引數中的用戶端憑證是否正確拼寫？
• 用戶端憑證是否仍然有效？
• 使用 SSL 連線時是否會發生錯誤？
• 伺服器憑證是否仍然有效？
• 已授權網路
• 是否包含來源 IP 位址？
• 您是否使用非 RFC 1918 IP 位址？
• 你是否使用不支援的 IP 位址？
• 連線失敗
• 你是否已取得連線授權？
• 您是否看到連線限制錯誤？
• 您的應用程式是否會正確關閉連線？
• 驗證
• 原生資料庫驗證 (使用者名稱/密碼)
• 是否看到 access denied 錯誤？
• 使用者名稱和密碼是否正確？
• IAM 資料庫驗證
• 您是否已在執行個體上啟用 cloudsql.iam_authentication 標記 ？
• 您是否已為帳戶新增政策繫結？
• 您是否使用 Cloud SQL 驗證 Proxy，並以 -enable_iam_login 或 OAuth 2.0 權杖做為資料庫密碼？
• 如果使用服務帳戶，您是否使用縮短的電子郵件名稱？
• 進一步瞭解 PostgreSQL 中的 IAM 資料庫驗證。

錯誤訊息

如需特定 API 錯誤訊息，請參閱「錯誤訊息」參考頁面。

其他連線疑難排解步驟

如遇其他問題，請參閱疑難排解頁面的「連線」一節。

常見連線問題

確認您的應用程式正確關閉連線

如果看到含有「Aborted connection nnnn to db:」的錯誤，通常表示應用程式未正確停止連線。網路問題也可能導致這項錯誤。此錯誤並不表示您的 Cloud SQL 執行個體有問題。建議您也執行 tcpdump 檢查封包，追蹤問題來源。

如需連線管理最佳做法的範例，請參閱管理資料庫連線一文。

確認您的憑證未過期

如果執行個體設定為使用安全資料傳輸層 (SSL)，請前往 Google Cloud console 中的「Cloud SQL Instances」(Cloud SQL 執行個體) 頁面並開啟執行個體。開啟執行個體的「Connections」(連線設定) 頁面，選取「Security」(安全性) 分頁，確認您的伺服器憑證有效。如果憑證已過期，您必須新增憑證並切換至這個新憑證。

確認您已取得連線授權

如果連線失敗，請檢查您是否已取得連線授權：

• 如果您在使用 IP 位址連線時遇到問題 (例如從內部部署環境連線至 mysql 用戶端)，請確保您從其連線的 IP 位址已取得授權，可連線至 Cloud SQL 執行個體。

  使用私人 IP 位址連線至 Cloud SQL 執行個體時，系統會自動授權 RFC 1918 位址範圍。這樣一來，所有私人用戶端都能存取資料庫，不必經過 Cloud SQL 驗證 Proxy。非 RFC 1918 位址範圍必須設定為授權網路。

  Cloud SQL 預設不會從虛擬私有雲得知非 RFC 1918 子網路路徑。您需要更新 Cloud SQL 的網路對等互連，才能匯出任何非 RFC 1918 路徑。例如：

  gcloud compute networks peerings update cloudsql-mysql-googleapis-com \
  --network=NETWORK \
  --export-subnet-routes-with-public-ip \
  --project=PROJECT_ID

• 這是您目前的 IP 位址。

• 嘗試用 gcloud sql connect 連線到您的執行個體。這項指令會暫時授權您的 IP 位址。您可以在已安裝 gcloud CLI 和 mysql 用戶端的環境中執行這項指令。您也可以在 Cloud Shell 中執行這項指令。Cloud Shell 位於Google Cloud 控制台中，且已預先安裝 gcloud CLI 和 mysql 用戶端。Cloud Shell 提供 Compute Engine 執行個體，可用於連線至 Cloud SQL。
• 請暫時允許所有 IP 位址連線至執行個體。如果是 IPv4，請授權 0.0.0.0/0 (如果是 IPv6，請授權 ::/0)。

確認連線方式

ERROR 1045 (28000): Access denied for user 'root'@'1.2.3.4' (using password: NO)

當您連線時，請確認您已取得密碼。

如果您收到類似這樣的錯誤訊息：

ERROR 1045 (28000): Access denied for user 'root'@'1.2.3.4' (using password: YES)

當您連線時，請確認使用正確的密碼，且如果執行個體需要透過 SSL 連線，請以此方式連線。

判斷連線的啟動方式

如要查看目前連線的相關資訊，請連線至資料庫並執行下列指令：

SHOW PROCESSLIST;

顯示 IP 位址 (例如 1.2.3.4) 的連線是使用 IP 連線的。透過 cloudsqlproxy~1.2.3.4 的連線使用 Cloud SQL 驗證 Proxy，否則連線就是來自 App Engine。localhost 的連線可能供某些內部 Cloud SQL 程序使用。

連線限制

Cloud SQL 執行個體沒有 QPS 限制，但是有連線、大小與 App Engine 特定限制。請參閱配額與限制一文。

資料庫連線會耗用伺服器與連線中應用程式的資源，因此請務必要使用合適的連線管理做法，以便將應用程式耗用的資源降到最低，同時降低超過 Cloud SQL 連線限制的可能性。詳情請參閱「管理資料庫連線」。

顯示連線與執行緒

如果收到「連線數量過多」錯誤訊息，或想瞭解執行個體上發生的情況，可以使用 SHOW PROCESSLIST 顯示連線和執行緒數量。

從 MySQL 用戶端，執行：

mysql> SHOW PROCESSLIST;

您會看到類似以下的輸出內容：

+----+-----------+--------------+-----------+---------+------+-------+----------------------+
| Id | User      | Host         | db        | Command | Time | State | Info                 |
+----+-----------+--------------+-----------+---------+------+-------+----------------------+
|  3 | user-name | client-IP    | NULL      | Query   |    0 | NULL  | SHOW processlist     |
|  5 | user-name | client-IP    | guestbook | Sleep   |    1 |       | SELECT * from titles |
| 17 | user-name | client-IP    | employees | Query   |    0 | NULL  | SHOW processlist     |
+----+-----------+--------------+-----------+---------+------+-------+----------------------+
3 rows in set (0.09 sec)

如要瞭解如何解讀從 PROCESSLIST 傳回的資料欄，請參閱 MySQL 參考資料。

如要取得執行緒計數，可以使用：

mysql> SHOW STATUS WHERE Variable_name = 'Threads_connected';

您會看到類似以下的輸出內容：

+-------------------+-------+
| Variable_name     | Value |
+-------------------+-------+
| Threads_connected | 7     |
+-------------------+-------+
1 row in set (0.08 sec)

連線逾時 (從 Compute Engine)

內含 Compute Engine 執行個體的連線會在閒置 10 分鐘後逾時，這可能會影響 Compute Engine 執行個體與 Cloud SQL 執行個體之間長時間不使用的連線。詳情請參閱 Compute Engine 說明文件中的「網路與防火牆」一文。

如要讓長時間未使用的連線保持運作，可以設定 TCP Keepalive。 以下指令可將 TCP Keepalive 值設定為一分鐘，並使設定在執行個體重新啟動後仍然有效。

顯示目前的 tcp_keepalive_time 值。

cat /proc/sys/net/ipv4/tcp_keepalive_time

將 tcp_keepalive_time 設為 60 秒，並確保重新啟動後仍有效。

echo 'net.ipv4.tcp_keepalive_time = 60' | sudo tee -a /etc/sysctl.conf

套用變更。

sudo /sbin/sysctl --load=/etc/sysctl.conf

顯示 tcp_keepalive_time 值，確認變更已套用。

cat /proc/sys/net/ipv4/tcp_keepalive_time

透過 IPv6 連線

如果您收到以下任一錯誤訊息

Can't connect to MySQL server on '2001:1234::4321' (10051)
Can't connect to MySQL server on '2001:1234::4321' (101)

當您連線時，您可能嘗試連線至執行個體的 IPv6 位址，但工作站上沒有可用的 IPv6。如要確認工作站是否能正常使用 IPv6，請前往 ipv6.google.com。如果無法載入，表示您無法使用 IPv6。請改為連線至 IPv4 位址或 Cloud SQL 執行個體。您可能需要先將 IPv4 位址新增至您的執行個體。

偶爾連線失敗 (舊版 HA)

如果 Cloud SQL 因維護事件而重新啟動執行個體，連線可能會改為連至容錯移轉副本。連線至容錯移轉副本時：

• 使用未加密連線的用戶端提出的讀取要求，會照常成功。不過，寫入要求會失敗並傳回錯誤訊息，例如「Error 1290: The MySQL server is running with the --read-only option so it cannot execute this statement.」(錯誤 1290：MySQL 伺服器與 --read-only 選項搭配執行，所以無法執行此陳述式)。
• 使用加密連線的用戶端發出的讀取和寫入要求會失敗，並傳回錯誤訊息，例如「x509: certificate is valid for master-instance, not failover-instance.」。

活動結束後，Cloud SQL 會重設連線。 請重試連線。建議您設計應用程式，採用指數輪詢等錯誤處理策略，處理偶爾發生的連線失敗問題。詳情請參閱「應用程式實作」。

連線偵錯工具

tcpdump

tcpdump 是用來擷取封包的工具。我們強烈建議您在偵錯連線問題時執行 tcpdump，擷取並檢查主機與 Cloud SQL 執行個體之間的封包。

找出本機 IP 位址

如果您不知道主機的本機位址，請執行 ip -br address show 指令。在 Linux 上，這會顯示網路介面、介面狀態、本機 IP 和 MAC 位址。例如： eth0 UP 10.128.0.7/32 fe80::4001:aff:fe80:7/64。

或者，您也可以執行 ipconfig 或 ifconfig，查看網路介面狀態。

使用連線能力測試進行測試

連線測試是一種診斷工具，可檢查網路中端點之間的連線。系統會分析設定，有時還會執行執行階段驗證。目前支援 Cloud SQL。請按照這些操作說明，使用 Cloud SQL 執行個體執行測試。

測試連線

您可以使用 mysql 用戶端測試從本機環境建立連線的功能。詳情請參閱使用 IP 位址連線 mysql 用戶端與使用 Cloud SQL Auth Proxy 連線 mysql 用戶端。

確認應用程式的 IP 位址

如要確認執行應用程式的電腦所使用的 IP 位址，以便您能夠授權該位址存取 Cloud SQL 執行個體，請使用下列一項選項：

• 如果電腦並非位於 Proxy 或防火牆後端，請登入電腦並使用「我的 IP 位址是什麼？」網站，確認其 IP 位址。
• 如果電腦位於 Proxy 或防火牆後端，請登入該電腦，並使用 whatismyipaddress.com 等工具或服務來確認電腦真正的 IP 位址。

開啟本機通訊埠

如要確認主機正在監聽您認為的通訊埠，請執行 ss -tunlp4 指令。這會顯示開啟及接聽的連接埠。舉例來說，如果正在執行 MySQL 資料庫，通訊埠 3306 應會啟動並接聽。如果是 SSH，您應該會看到通訊埠 22。

所有本機通訊埠活動

使用 netstat 指令查看所有本機連接埠活動。舉例來說，netstat -lt 會顯示目前所有作用中的連接埠。

使用 Telnet 連線至 Cloud SQL 執行個體

如要確認是否能使用 TCP 連線至 Cloud SQL 執行個體，請執行 telnet 指令。Telnet 會嘗試連線至您提供的 IP 位址和通訊埠。

成功後，您會看到以下訊息：

Trying 35.193.198.159...

Connected to 35.193.198.159. 。

如果失敗，您會看到 telnet 停止回應，直到您強制關閉嘗試為止：

Trying 35.193.198.159...

^C. 。

Cloud Logging

Cloud SQL 和 Cloud SQL 會使用 Cloud Logging。如需完整資訊，請參閱 Cloud Logging 說明文件，並查看 Cloud SQL 查詢範例。

查看記錄

您可以查看 Cloud SQL 執行個體和其他專案 (例如 Cloud VPN 或 Compute Engine 執行個體) 的記錄。 Google Cloud如要查看 Cloud SQL 執行個體記錄檔項目的記錄：

gcloud logging read "projects/PROJECT_ID/logs/cloudsql.googleapis.com/mysql-general.log" \
--limit=10

私人 IP 位址

使用私人 IP 位址連線至 Cloud SQL 執行個體時，系統會自動授權 RFC 1918 位址範圍。您必須在 Cloud SQL 中將非 RFC 1918 位址範圍設定為授權網路。您也需要更新 Cloud SQL 的網路對等互連，才能匯出任何非 RFC 1918 路徑。例如：

gcloud compute networks peerings update cloudsql-mysql-googleapis-com 

--network=NETWORK 

--export-subnet-routes-with-public-ip 

--project=PROJECT_ID

排解 VPN 問題

請參閱 Cloud VPN 疑難排解頁面。