本頁面會摘要說明 Cloud SQL 語言連接器,以及如何搭配執行個體使用這些連接器。
Cloud SQL 語言連接器是連線至 Cloud SQL 執行個體時,提供加密和 IAM 授權的程式庫。Cloud SQL 語言連接器會代表使用者應用程式,建立與 Proxy 端伺服器的授權連線,並將該連線傳遞至應用程式的資料庫驅動程式。如果沒有網路路徑,這些設定就不會提供連往 Cloud SQL 執行個體的路徑。
Cloud SQL 語言連接器會使用用戶端元件連線至 Cloud SQL 執行個體上的 Proxy 伺服器。連接器會建立臨時憑證,授權持有者連線至伺服器端 Proxy。伺服器端 Proxy 會要求提供有效的 TLS 憑證,才能連線至 Cloud SQL 資料庫,藉此限制存取權。
Cloud SQL 支援下列 Cloud SQL 語言連接器:
Cloud SQL 建議使用 Cloud SQL 語言連接器連線至 Cloud SQL 執行個體。您也可以使用資料庫用戶端或 Cloud SQL 驗證 Proxy 連線至 Cloud SQL 執行個體。如要進一步瞭解如何連線至 Cloud SQL 執行個體,請參閱連線選項簡介。
需求條件
如果 Cloud SQL 執行個體使用共用憑證授權單位 (CA) 做為 serverCaMode,請務必在用戶端確認您使用的 Cloud SQL 語言連接器符合下列版本需求:
如果 Cloud SQL 執行個體使用客戶管理的 CA 做為 serverCaMode,請務必在用戶端確認使用的 Cloud SQL 語言連接器符合下列版本需求:
- Cloud SQL Java 連接器:v1.22.0或更新版本
- Cloud SQL Go 連接器:v1.14.0 以上版本
- Cloud SQL Node.js 連接器:v1.6.0或更新版本
當執行個體使用客戶管理的 CA 做為伺服器 CA 模式時,您可以為執行個體設定自訂 DNS 名稱。您可以在伺服器憑證的自訂主體別名 (SAN) 欄位中提供自訂 DNS 名稱。
為執行個體設定自訂 DNS 名稱後,您可以使用 DNS 名稱,透過 Cloud SQL 語言連接器連線至執行個體。
Cloud SQL 語言連接器的優點
使用 Cloud SQL 語言連接器連線至 Cloud SQL 執行個體,可享有下列優點:
- IAM 授權:使用 Identity and Access Management (IAM) 權限,控管哪些使用者或服務可以連線至 Cloud SQL 執行個體。
- 便利性:免除管理 SSL 憑證、設定防火牆規則或啟用授權網路的需求。
限制
如果您使用情境感知存取權和 IAM 資料庫驗證,就無法使用 Cloud SQL 語言連接器。嘗試登入執行個體時,IAM 驗證失敗。
強制使用 Cloud SQL 語言連接器
透過連接器強制執行,您可以強制規定只能使用 Cloud SQL Auth Proxy 或 Cloud SQL 語言連接器連線至 Cloud SQL 執行個體。強制執行連接器後,Cloud SQL 會拒絕直接連線至資料庫。
如果您使用已啟用 Private Service Connect 的執行個體,則會受到限制。如果執行個體已啟用連接器強制執行功能,您就無法為該執行個體建立唯讀備用資源。同樣地,如果執行個體有唯讀備用資源,您就無法為該執行個體啟用連接器強制執行功能。
如要進一步瞭解如何強制僅使用 Cloud SQL Auth Proxy 或 Cloud SQL 語言連接器連線至執行個體,請參閱「使用 Cloud SQL 語言連接器連線」。
後續步驟
- 使用 Cloud SQL Java 連接器連線。
- 使用 Cloud SQL Python 連接器連線。
- 使用 Cloud SQL Go 連接器連線。
- 使用 Cloud SQL Node.js 連接器連線。
- 進一步瞭解 Cloud SQL 驗證 Proxy。