IP privado

Nesta página, fornecemos informações sobre como usar o IP privado para se conectar às suas instâncias do Cloud SQL. Se você precisar de instruções passo a passo sobre como configurar uma instância para usar o IP privado, consulte Como configurar a conectividade IP privada.

Visão geral

Ao configurar uma instância do Cloud SQL para usar o IP privado, utilize o acesso a serviços privados. Ele é implementado como uma conexão de peering de VPC entre a rede VPC e a rede VPC de serviços do Google que contém a instância do Cloud SQL. O tráfego IP que usa o Acesso a serviços privados nunca é exposto à Internet pública.

Veja no diagrama a seguir uma instância do Cloud SQL configurada para o IP privado e uma instância do Compute Engine na rede VPC do cliente de peering que usa o Acesso a serviços privados para se conectar à instância do Cloud SQL.

Visão geral do diagrama da configuração de IP privado. Descrita no texto acima.

Você pode usar o Acesso a serviços privados para se conectar a instâncias do Cloud SQL por meio das instâncias do Compute Engine ou do Google Kubernetes Engine.

Vantagens

Usar o IP privado para se conectar ao Cloud SQL oferece várias vantagens em comparação com o uso de endereços IP públicos, como:

  • menor latência de rede

    O IP privado oferece latência mais baixa que o IP público.

  • segurança de rede aprimorada

    O tráfego do Acesso a serviços privados nunca é exposto à Internet pública.

Requisitos de ambiente

Para usar o IP privado, sua rede e o ambiente do seu aplicativo precisam atender aos requisitos listados abaixo. Além disso, a configuração do IP privado pela primeira vez requer algumas permissões a mais do IAM.

Requisitos de rede

  • A conectividade com as instâncias do Cloud SQL em endereços IP privados depende do acesso a serviços privados. Esse acesso usa o peering de rede VPC para conectar sua rede VPC a uma rede VPC gerenciada pelo Google. As instâncias do Cloud SQL usam sub-redes nessa rede VPC gerenciada pelo Google.

    • Só é possível acessar uma instância do Cloud SQL nos endereços IP privados a partir de uma única rede VPC. Cada conexão de acesso a serviços particulares requer uma única conexão de peering para uma rede VPC.

    • Não é possível acessar uma instância do Cloud SQL nos endereços IP privados de outra rede VPC conectada usando o peering à rede VPC com a conexão de serviços particulares daquela instância do Cloud SQL.

    • Não é possível acessar uma instância do Cloud SQL nos endereços IP privados de outra rede usando um túnel do Cloud VPN, uma VPN baseada em instância ou o Cloud Interconnect. Esse limite se aplica tanto a redes locais quanto a outras redes VPC.

    • Não é possível se conectar ao IP privado de uma instância do Cloud SQL a partir de uma rede legada. Elas não são compatíveis com o peering de rede VPC ou o acesso a serviços privados.

  • Para acessar uma instância do Cloud SQL nos endereços IP privados, use um recurso do GCP na mesma região.

  • Defina um intervalo de endereços IP alocado para as instâncias do Cloud SQL na rede VPC. Esse intervalo é um bloco CIDR de endereços IP que estão disponíveis para a conexão de acesso a serviços privados, assim como para o peering de Rede VPC resultante. Não é possível usar esses endereços IP na sua rede VPC. Um intervalo de endereços IP alocado garante que os intervalos e destinos IP de sub-rede para rotas personalizadas em sua rede VPC não se sobreponham àqueles usados pela conexão de acesso a serviços privados. Se quiser controlar o bloco CIDR, crie um intervalo de IPs alocados manualmente ou deixe que o GCP faça isso para você.

  • É possível criar instâncias do Cloud SQL com endereços IP privados em uma rede VPC compartilhada. No entanto, o GCP não permite atribuir um endereço IP privado para uma instância atual do Cloud SQL a um endereço em uma rede compartilhada VPC.

Requisitos de ambiente do aplicativo

  • Se você estiver se conectando a partir do GKE, será preciso executar o GKE 1.8 ou uma versão posterior em um cluster nativo da VPC.

  • Se você estiver se conectando a partir do App Engine, será preciso usar um ambiente flexível. Não é permitido usar o IP privado para se conectar por meio do ambiente padrão.

Requisitos de API e IAM

  • É preciso ativar a API Service Networking para seu projeto. Caso esteja usando a VPC compartilhada, também precisará ativar essa API para o projeto host.

    A ativação de APIs exige a permissão servicemanagement.services.bind do IAM.

  • Para estabelecer o acesso a serviços privados, é necessário ter o papel do IAM Network Administrator.

    Depois que o acesso a serviços privados for estabelecido, você não precisará do papel Network Administrator para configurar que uma instância use o IP privado.

Segurança

O tráfego do Acesso a serviços privados é criptografado e autenticado. Para mais detalhes, consulte Criptografia e autenticação da rede virtual do Google Cloud. Se os seus requisitos de segurança exigirem a certificação SSL/TLS que você gerencia, será possível adicionar essas tecnologias à sua instância. Basta usar as instruções fornecidas em Como configurar o SSL/TLS.

Visão geral da configuração do Acesso a serviços privados para sua rede

Ao configurar uma instância do Cloud SQL para usar o IP privado pela primeira vez em uma rede específica, siga este processo geral para configurar o Acesso a serviços privados nela. O processo de criação da instância do Cloud SQL no Console do Google Cloud Platform guiará você pelas etapas.

  1. Selecione a rede VPC que contém os recursos que você pretende usar para se conectar.

  2. Ative o acesso a serviços privados para sua rede VPC e o serviço do Cloud SQL se ainda não tiver feito isso. Isso requer que um intervalo de endereços IP tenha sido alocado na sua rede.

    1. Se você já tiver alocado um intervalo de IP para usar, poderá selecioná-lo e prosseguir.

    2. Se você quiser que o Cloud SQL aloque automaticamente um intervalo, selecione essa opção e continue.

    3. Se você quiser selecionar manualmente o intervalo de IP a ser alocado para a conexão privada, use a ferramenta de interface da linha de comando gcloud para criá-lo. Em seguida, retorne ao fluxo de criação da instância do Cloud SQL e selecione o intervalo recém-criado. Para ver mais informações, consulte Como alocar intervalos de endereços IP.

Depois de estabelecer o Acesso a serviços privados, você pode criar uma instância do Cloud SQL configurada para usar o IP privado ou configurar o IP privado para uma instância existente do Cloud SQL. Basta usar a ferramenta de linha de comando gcloud ou a API Cloud SQL Admin, além do Console do Google Cloud Platform. Para mais informações, consulte IP privado.

Considerações de administração

Ao gerenciar instâncias do Cloud SQL usando o IP privado, lembre-se destes fatos:

  • Depois de configurar uma instância do Cloud SQL para usar o IP privado, não será possível remover o recurso dele dessa instância.

  • Você pode configurar uma instância para usar o IP privado no momento da criação dela ou posteriormente.

  • Configurar uma instância existente para usar o IP privado ou alterar a rede a que ela está conectada faz com que a instância seja reiniciada. Isso causa alguns minutos de inatividade.

  • As instâncias do Cloud SQL são criadas em uma rede de produtores, ou seja, uma rede VPC interna do Google, não na sua rede VPC.

  • O endereço IP privado da instância do Cloud SQL é estático e não muda.

  • Quando uma instância existente estiver configurada para usar o IP privado, não será possível fazer outras atualizações nela.

  • As réplicas herdam o status de IP privado da instância principal. Não é possível configurá-lo diretamente em uma réplica.

  • Você pode usar o IP público e o privado para se conectar a uma instância do Cloud SQL. Nenhum método de conexão afeta o outro. É preciso proteger a conexão do IP público, esteja a instância configurada para usar o IP privado ou não.

  • É possível usar o proxy do Cloud SQL para se conectar a uma instância que também está configurada para usar o IP privado. O proxy pode se conectar usando um endereço IP privado ou público. Se você usar o proxy do Cloud SQL para se conectar a uma instância que tenha endereços IP públicos e privados atribuídos, o proxy usará o endereço IP público por padrão. Saiba mais

  • Uma conexão de acesso a serviços privados depende de um peering de rede VPC. No entanto, você não cria o peering de rede VPC explicitamente, porque o peering é interno ao GCP. Depois de criar a conexão de acesso a serviços privados, você poderá ver seu peering de rede VPC subjacente na página "Peering de rede VPC" no Console do GCP. Não o exclua, a menos que queira remover a conexão privada.

  • Depois de estabelecer uma conexão de acesso a serviços privados e criar uma instância do Cloud SQL com IP privado configurado para essa conexão, a sub-rede (interna) correspondente e o intervalo usados pelo serviço do Cloud SQL não poderão ser modificados nem excluídos. Isso ocorre mesmo se você excluir o peering e o intervalo de IP. Depois que a configuração interna é estabelecida, qualquer instância do Cloud SQL criada nessa mesma região e configurada para IP privado usa a configuração interna original.

  • Não é possível usar o IP privado em instâncias de primeira geração.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Cloud SQL para MySQL