Questa pagina fornisce informazioni sull'uso dell'IP privato con Cloud SQL. Per istruzioni passo passo sulla configurazione di un per utilizzare l'IP privato, consulta Configurazione dell'IP privato.
Per le soluzioni Terraform per il networking Cloud SQL, vedi Soluzioni di networking semplificate.
Panoramica
Per configurare un'istanza Cloud SQL per utilizzare l'IP privato è necessario accesso privato ai servizi. Accesso privato ai servizi consente di creare connessioni private tra la rete VPC e della rete VPC del producer di servizi Google sottostante. Persone giuridiche Google che come Cloud SQL, sono chiamati producer di servizi. Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. La l'intervallo di indirizzi IP di una subnet è in genere un blocco CIDR /24 scelto e proviene dall'intervallo di indirizzi IP allocati.
Le connessioni private rendono i servizi raggiungibili senza bisogno di collegarsi a internet o tramite indirizzi IP esterni. Per questo motivo, l'IP privato fornisce latenza di rete più elevata rispetto all'IP pubblico.
Puoi utilizzare l'accesso privato ai servizi per connetterti alle istanze Cloud SQL:
Da origini interne con accesso alla tua rete VPC.
Da fonti esterne su un tunnel VPN un tunnel SSH inverso, o Cloud Interconnect alla tua rete VPC.
Puoi connetterti a indirizzi IP privati in più regioni. Puoi anche collegare tramite un VPC condiviso tra i progetti.
Intervalli di indirizzi IP allocati
Per utilizzare le istanze Cloud SQL in una rete VPC con IP privato, devi alloca intervalli di indirizzi IP per configurare l'accesso privato ai servizi per questo VPC. Per organizzare le tue istanze Cloud SQL, potrebbe essere utile allocare più intervalli di indirizzi IP per la connessione privata. Quando configuri un'istanza Cloud SQL IP privato, puoi selezionare sia la rete VPC sia l'intervallo di indirizzi IP allocati.
Dimensione intervallo allocato
Alloca intervalli IP sufficientemente grandi per Cloud SQL e altri Servizi gestiti di Google che prevedi di utilizzare, ciascuno richiede un indirizzo IP dedicato dei blocchi dagli intervalli allocati. La dimensione minima è un singolo blocco /24 (256 indirizzi), ma la dimensione consigliata è un blocco /16 (65.536 indirizzi).
Quando alloca un intervallo di indirizzi IP, devi prendere in considerazione le il numero di istanze che prevedi di creare.
Subnet mask | Indirizzi | Istanze Cloud SQL utilizzabili |
---|---|---|
/24 | 256 | 50 |
/23 | 512 | 100 |
/22 | 1024 | 200 |
/21 | 2048 | 400 |
/20 | 4096 | 800 |
Cloud SQL utilizza intervalli CIDR /24 come unità di intervallo e ogni unità può essere utilizzata per le istanze Cloud SQL in una singola regione. Ad esempio, se crei due Istanze Cloud SQL, ma per due regioni diverse, devono essere presenti almeno due intervalli CIDR /24.
Inoltre, se un progetto ha iniziato a utilizzare Cloud SQL prima del 1° aprile 2021, istanze non possono condividere la stessa unità di intervallo con istanze MySQL e SQL Server, e ne hanno bisogno in ogni regione. I progetti più recenti non sono soggetti a questa limitazione.
Configura l'accesso privato ai servizi per la tua rete
Quando configuri la connettività con IP privato per la prima volta su una rete VPC, devi eseguire una procedura una tantum per configurare accesso privato ai servizi per Cloud SQL.
Dopo aver stabilito l'accesso privato ai servizi, puoi creare un Istanza Cloud SQL configurata per utilizzare l'IP privato o configurare l'IP privato per un'istanza Cloud SQL esistente. Consulta Configurare l'IP privato per la procedura dettagliata instructions.
Ogni volta che modifichi una connessione stabilita, devi
aggiorna anche vpc-peerings
.
Requisiti per l'IP privato
Per utilizzare l'IP privato, l'ambiente di rete e delle applicazioni deve soddisfare i seguenti requisiti. Inoltre, la configurazione iniziale dell'IP privato richiede autorizzazioni IAM aggiuntive.
Requisiti dell'ambiente applicativo
- Se ti connetti da GKE, devi eseguire GKE 1.8 o versioni successive su un Cluster VPC-native.
Requisiti per API e IAM
- Devi attivare l'API Service Networking per il tuo progetto.
- Per gestire una connessione di accesso privato ai servizi, l'utente deve
dispongono delle seguenti autorizzazioni IAM. Se l'utente non dispone dell'autorizzazione
sulle autorizzazioni, puoi ottenere errori
di autorizzazioni insufficienti.
compute.networks.list
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Se utilizzi un VPC condiviso rete, devi anche aggiungere lo stesso utente e assegnare autorizzazioni per il progetto host.
Se utilizzi una rete VPC condivisa, devi anche abilitare l'API Service Networking per il progetto host.
Esempio
Nell'esempio seguente, la rete VPC del cliente ha allocato la
10.240.0.0/16
intervallo di indirizzi per i servizi Google e ha stabilito un indirizzo privato
che utilizza l'intervallo allocato. Ogni servizio Google (ad esempio,
Cloud SQL), crea una subnet dal blocco allocato per eseguire il provisioning
di risorse in una data regione, ad esempio
le istanze Cloud SQL.
- Alla connessione privata viene assegnato l'intervallo allocato
10.240.0.0/16
. Da questa allocazione, i servizi Google possono creare subnet in cui vengono di cui è stato eseguito il provisioning. - Dal lato dei servizi Google alla connessione privata, Google crea una progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente e al cliente verranno addebitate solo le risorse a cui il cliente le disposizioni in materia.
- Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. La
l'intervallo di indirizzi IP della subnet è in genere un blocco CIDR
/24
scelto il servizio e proviene dall'intervallo di indirizzi IP allocato. Non puoi modificare della subnet del producer di servizi. Un servizio esegue il provisioning di nuove risorse a livello di regione create in precedenza da quel servizio. Se una subnet è se è completo, il servizio crea una nuova subnet nella stessa regione. - Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in se il servizio la supporta. Alcuni servizi potrebbero non supportare la comunicazione tra regioni. Visualizza documentazione del servizio pertinente per ulteriori informazioni.
- Costi del trasferimento di dati in uscita per tra regioni diverse, dove un'istanza VM comunica con risorse in un'altra regione.
- All'istanza Cloud SQL viene assegnato l'indirizzo IP
10.240.0.2
. Nel alla rete VPC del cliente, le richieste con destinazione10.240.0.2
indirizzato alla connessione privata alla rete del producer di servizi. Dopo il giorno raggiungendo la rete di servizi, quest'ultima contiene route che la richiesta alla risorsa corretta. - Il traffico tra le reti VPC viaggia all'interno tramite la rete internet pubblica.
Problemi di rete
Cloud SQL alloca una subnet /24 dall'intervallo IP di accesso privato ai servizi per ogni regione. Ad esempio, posizionando le istanze MySQL in due regioni richiede che gli intervalli di indirizzi IP allocati includano almeno due con subnet di dimensione /24.
Le connessioni a un'istanza Cloud SQL che utilizzano un indirizzo IP privato con l'autorizzazione automatica per RFC 1918 di indirizzi IP esterni. In questo modo, tutti i client privati possono accedere al database senza passare per il proxy di autenticazione Cloud SQL.
Cloud SQL non apprende le route di subnet non RFC 1918 dal VPC per impostazione predefinita. Devi aggiornare il peering di rete a Cloud SQL esportare tutte le route non RFC 1918.
Sicurezza
Il traffico sull'accesso ai servizi privati è fornito con un determinato livello della crittografia. Per ulteriori informazioni, vedi Crittografia e autenticazione della rete virtuale di Google Cloud.
Il proxy di autenticazione Cloud SQL può essere configurato per la connessione tramite IP privato e fornisce l'autenticazione mediante credenziali IAM e la crittografia end-to-end utilizzando un certificato SSL/TLS a rotazione.
Se i tuoi requisiti di sicurezza richiedono certificati SSL/TLS autogestiti che che gestisci, consulta le istruzioni in Configurare SSL/TLS.
La creazione di una rete VPC per ogni istanza con un indirizzo IP privato di isolamento della rete migliore rispetto a impostare tutte le istanze nel valore "predefinito" VPC in ogni rete.
Connettività VPC multipla
Cloud SQL supporta gli indirizzi IP privati accesso privato ai servizi. Quando crei un'istanza Cloud SQL, Cloud SQL crea l'istanza all'interno del proprio VPC (Virtual Private Cloud), il VPC di Cloud SQL. Per abilitare l'IP privato è necessario Configurare una connessione in peering tra il VPC di Cloud SQL e la tua rete VPC. Ciò consente nella tua rete VPC accedere agli indirizzi IP interni delle risorse Cloud SQL nella rete VPC di Cloud SQL.
Utilizzando Peering di rete VPC, Cloud SQL implementa internamente l'accesso privato ai servizi che consente agli indirizzi IP interni di connettersi tra due reti VPC che appartengano o meno allo stesso progetto o alla stessa organizzazione. Tuttavia, poiché il peering di rete VPC non è transitivo, viene trasmette route tra i due VPC direttamente in peering. Se se disponi di un VPC aggiuntivo, non potrà accedere ai tuoi Cloud SQL utilizzando la connessione configurata con il VPC originale.
Per mitigare questa limitazione e connettere l'istanza Cloud SQL a più VPC utilizzando indirizzi IP privati, puoi utilizzare le opzioni di connessione:
- Connettiti utilizzando route annunciate personalizzate
- Connettiti utilizzando un proxy intermedio (SOCKS5)
- Connettiti utilizzando il proxy di autenticazione Cloud SQL come servizio
Per saperne di più su come connettere più VPC, consulta Connetti la tua istanza a più VPC.
Riferimento rapido per gli argomenti relativi agli IP privati
Quando gestisci istanze Cloud SQL utilizzando l'IP privato, alcune i seguenti argomenti potrebbero interessarti:
Argomento | Discussione |
---|---|
Reti VPC condivise | Puoi creare istanze Cloud SQL con indirizzi IP privati in un Rete VPC condivisa. Tuttavia, non puoi assegnare un indirizzo IP privato in una rete VPC condiviso a un'istanza Cloud SQL esistente. |
Regioni | Puoi connetterti tramite IP privato tra regioni. |
Reti precedenti | Non puoi connetterti all'IP privato di un'istanza Cloud SQL da una rete legacy. Le reti legacy non supportano il peering di rete VPC o i servizi privati access. |
Rimozione di un IP privato | Dopo aver configurato un'istanza Cloud SQL per utilizzare l'IP privato, impossibile rimuovere la funzionalità IP privato da quell'istanza. |
IP pubblico e privato | Puoi utilizzare sia l'IP pubblico che l'IP privato per connetterti nella stessa istanza Cloud SQL. Nessuno dei due metodi di connessione influisce l'altra. |
Istanze Cloud SQL esistenti | Puoi configurare un'istanza in modo che utilizzi l'IP privato al momento della creazione dell'istanza nel tempo. Puoi anche configurare un'istanza esistente in modo che utilizzi l'IP privato. Configurazione di un'istanza esistente per l'utilizzo dell'IP privato o modifica della rete causa il riavvio dell'istanza, il che genera la connessione dei tempi di inattività. |
Indirizzi IP statici | Per gli indirizzi IP pubblici e privati, l'indirizzo in entrata del L'istanza Cloud SQL è statica; non cambia. L'indirizzo in uscita non è sempre statico, ad eccezione degli indirizzi IP pubblici in uscita di indirizzi IP esterni di repliche del server, che sono sempre statiche. |
Repliche | Una replica eredita lo stato dell'IP privato dall'istanza principale. Non puoi configurare l'IP privato direttamente su una replica. Se ti stai collegando a un di replica utilizzando un indirizzo IP privato, una connessione privata VPC aggiuntiva per la replica, poiché ereditato anche dall'istanza principale. |
Proxy di autenticazione Cloud SQL | Per connetterti a un'istanza Cloud SQL utilizzando l'IP privato, il proxy di autenticazione Cloud SQL
devono trovarsi su una risorsa con accesso alla stessa rete VPC del
in esecuzione in un'istanza Compute Engine. Se per l'istanza sono abilitati entrambi i tipi di IP, il proxy di autenticazione Cloud SQL utilizza per impostazione predefinita
utilizzando l'IP pubblico. Per assicurarti che venga utilizzato l'IP privato, devi passare
il flag -ip_address_types=PRIVATE al proxy di autenticazione Cloud SQL.
Scopri di più. |
Accesso VPC serverless | Per connetterti da un'origine serverless, come l'ambiente standard di App Engine, Cloud Run o Cloud Functions, l'applicazione o la funzione si connette direttamente all'istanza Accesso VPC serverless senza il proxy di autenticazione Cloud SQL. |
Peering di rete VPC | Una connessione che utilizza l'accesso privato ai servizi si basa su
peering di rete VPC. Tuttavia, non crei il peering di rete VPC
perché il peering è interno a Google Cloud. Dopo
la connessione di accesso privato ai servizi, puoi vedere le relative informazioni
Peering di rete VPC su
pagina Peering di rete VPC nel
console Google Cloud, ma non eliminarlo a meno che tu non voglia
.
la connessione privata.
Scopri di più sul peering di rete VPC. |
Controlli di servizio VPC | I Controlli di servizio VPC migliorano la tua capacità di mitigare il rischio dei dati l'esfiltrazione dei dati. Con i Controlli di servizio VPC, puoi creare perimetri attorno al di Cloud SQL. I Controlli di servizio VPC limitano l'accesso alle risorse all'interno del perimetro. Solo clienti e risorse all'interno del perimetro possono interagire Per ulteriori informazioni, consulta la Panoramica dei Controlli di servizio VPC. Rivedi anche le Limitazioni di Cloud SQL quando utilizzi Controlli di servizio VPC. Per utilizzare Controlli di servizio VPC con Cloud SQL, consulta Configurazione dei Controlli di servizio VPC. |
Peering transitivo | Solo le reti in peering diretto possono comunicare. Il peering transitivo non è
supportati. In altre parole, se la rete VPC N1 è connessa in peering con N2 e N3,
N2 e N3 non sono connessi direttamente. La rete VPC N2 non è in grado di comunicare
Rete VPC N3 tramite
Peering di rete VPC.
I client di un progetto possono connettersi alle istanze Cloud SQL più progetti utilizzando VPC condiviso condivise. |
Spostamento delle istanze Cloud SQL | Le istanze Cloud SQL possono essere spostate solo tra reti di proprietà di al progetto in cui risiedono. Inoltre, le istanze Cloud SQL né possono essere spostati tra progetti né tra reti ospitate da progetti diversi. |
Passaggi successivi
- Scopri come configurare l'IP privato.
- Scopri di più sull'accesso privato ai servizi.
- Scopri come configurare l'accesso privato ai servizi per le istanze Cloud SQL.
- Scopri di più su Cloud VPN.
- Scopri di più sulle reti VPC.
- Scopri di più sul peering di rete VPC.
- Scopri di più sul VPC condiviso.
- Scopri di più sul proxy di autenticazione Cloud SQL.