Mit autorisierten Netzwerken autorisieren

Auf dieser Seite wird gezeigt, wie Sie mithilfe der Einstellungen für autorisierte Netzwerke eine Verbindung zu Cloud SQL-Instanzen herstellen, die IP-Adressen verwenden.

Einführung

Beim Herstellen einer Verbindung zu einer Cloud SQL-Instanz müssen zwei Aspekte berücksichtigt werden:

  • Mit den Verbindungsoptionen legen Sie fest, über welchen Netzwerkpfad Sie eine Verbindung zu einer Instanz herstellen.
  • Mit den Authentifizierungsoptionen bestimmen Sie, wer Verbindungen herstellen darf.

Wenn Sie das erste Mal eine Cloud SQL-Instanz erstellen, wird ihr bei aktiver Standardeinstellung eine öffentliche IP-Adresse zugewiesen. Sollten Sie diese Option übernehmen, finden Sie die IP-Adresse auf der Seite der Instanzübersicht. Klicken Sie dort auf den Instanznamen.

Auch wenn Ihre Instanz nur eine öffentliche IP-Adresse hat, können Sie mit dem Cloud SQL Auth-Proxy eine sichere Verbindung zu ihr herstellen. Der gesamte Traffic zwischen dem Cloud SQL Auth-Proxy und Ihrer Cloud SQL-Instanz wird verschlüsselt. Wenn Sie den Proxy nicht verwenden und eine Verbindung zu Ihrem Client mit Ihrer eigenen öffentlichen IP-Adresse herstellen, müssen Sie die öffentliche Adresse Ihres Clients als autorisiertes Netzwerk hinzufügen.

Autorisierte Netzwerke konfigurieren

Die IP-Adresse oder der Adressbereich Ihrer Clientanwendung muss für die folgenden Szenarien als authorized networks konfiguriert sein:

  • Die Clientanwendung stellt über ihre öffentliche IP-Adresse eine direkte Verbindung zu einer Cloud SQL-Instanz her.
  • Ihre Clientanwendung stellt eine direkte Verbindung zu einer Cloud SQL-Instanz über ihre private IP-Adresse her und die IP-Adresse Ihres Clients ist eine Adresse außerhalb des RFC 1918-Bereichs.

Die IP-Adresse kann entweder ein einzelner Endpunkt oder ein Bereich in CIDR-Notation sein.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "Cloud SQL-Instanzen".

    Zur Seite „Cloud SQL-Instanzen“

  2. Klicken Sie auf den Instanznamen, um die zugehörige Seite Instanzdetails zu öffnen.
  3. Wählen Sie im Menü auf der linken Seite die Seite Verbindungen aus.
  4. Wählen Sie das Kästchen Öffentliche IP-Adressen aus.
  5. Klicken Sie auf Netzwerk hinzufügen.
  6. Geben Sie im Feld Name einen Namen für Neues Netzwerk ein.
  7. Geben Sie im Feld Netzwerk die IP-Adresse oder den Adressbereich ein, von dem aus Sie Verbindungen zulassen möchten.

    Verwenden Sie die CIDR-Notation.

  8. Klicken Sie auf Fertig.
  9. Klicken Sie auf Speichern, um die Instanz zu aktualisieren.

gcloud

Die Konfiguration autorisierter Netzwerke ersetzt die vorhandene Liste autorisierter Netzwerke.

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...
    

REST API v1beta4

Die Konfiguration autorisierter Netzwerke ersetzt die vorhandene Liste autorisierter Netzwerke.

Ersetzen Sie diese Werte in den folgenden Anweisungen:

  • project-id: die Projekt-ID
  • instance-id: die Instanz-ID
  • network_range_1: eine autorisierte IP-Adresse oder ein autorisierter IP-Bereich
  • network_range_2: eine weitere autorisierte IP-Adresse oder ein weiterer autorisierter IP-Bereich

HTTP-Methode und URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

JSON-Text anfordern:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

Beschränkungen

Einige IP-Adressbereiche können nicht als autorisierte Netzwerke hinzugefügt werden.

Adressbereich Hinweise
127.0.0.0/8 Loopback-Adressbereich
10.0.0.0/8 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
172.16.0.0/12 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
192.168.0.0/16 RFC 1918-Adressbereich. Diese Adressen werden von Cloud SQL automatisch und implizit in die autorisierten Netzwerke aufgenommen.
0.0.0.0/8 RFC 3330-Null-Netzwerk
169.254.0.0/16 RFC 3927 und RFC 2373, Link-Local-Netzwerke
192.0.2.0/24 RFC 3330 und RFC 3849, Dokumentationsnetzwerke
224.0.0.0/4 RFC 3330- und IPv6-Multicast-Netzwerke
240.0.0.0/4 Dieser Block, der früher als Class-E-Adressbereich bezeichnet wurde, ist für die zukünftige Verwendung reserviert. Weitere Informationen finden Sie unter RFC 1112, Abschnitt 4.

Nächste Schritte