Autoriser avec des réseaux autorisés

Cette page explique comment utiliser les paramètres des réseaux autorisés pour se connecter à des instances Cloud SQL utilisant des adresses IP.

Présentation

Deux facteurs sont à prendre en compte lors de la connexion à une instance Cloud SQL :

  • Les options de connexion déterminent le chemin réseau que vous utilisez pour vous connecter.
  • Les options d'authentification déterminent qui est autorisé à se connecter.

Lorsque vous créez une instance Cloud SQL, le paramètre par défaut consiste à attribuer une adresse IP publique à l'instance. Si vous acceptez cette option, vous trouverez l'adresse IP sur la page de Présentation des instances. Cliquez ensuite sur le nom de l'instance.

Même si votre instance n'a qu'une adresse IP publique, vous pouvez vous y connecter en toute sécurité à l'aide du proxy Cloud SQL. Tout le trafic entre le proxy Cloud SQL et votre instance Cloud SQL est chiffré. Si vous n'utilisez pas le proxy et que vous connectez votre client à partir de votre propre adresse IP publique, vous devez ajouter l'adresse publique de votre client en tant que réseau autorisé.

Configurer des réseaux autorisés

L'adresse IP ou la plage d'adresses de votre application cliente doit être configurée en tant que réseau autorisé (authorized networks) dans les cas suivants :

  • Votre application cliente se connecte directement à une instance Cloud SQL en utilisant son adresse IP publique.
  • Votre application cliente se connecte directement à une instance Cloud SQL en utilisant son adresse IP privée, et l'adresse IP de votre client est une adresse non-RFC 1918.

L'adresse IP peut être constituée d'un seul point de terminaison ou consister en une plage en notation CIDR.

Console

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.

    Accéder à la page Instances Cloud SQL

  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Sélectionnez l'onglet Connexions.
  4. Cliquez sur Ajouter un réseau.
  5. Dans le champ Réseau, saisissez l'adresse IP ou la plage d'adresses à partir de laquelle vous souhaitez autoriser les connexions.

    Utilisez le format CIDR.

  6. Saisissez un nom pour cette entrée, le cas échéant.
  7. Cliquez sur OK.
  8. Cliquez sur Enregistrer pour mettre l'instance à jour.

gcloud

La configuration des réseaux autorisés remplace la liste des réseaux autorisés existante.

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...
    

REST v1beta4

La configuration des réseaux autorisés remplace la liste des réseaux autorisés existante.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • project-id : ID du projet.
  • instance-id : ID de l'instance
  • network_range_1 : adresse IP ou plage autorisée
  • network_range_2 : autre adresse IP ou plage autorisée

Méthode HTTP et URL :

PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Corps JSON de la requête :

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

Limites

Certaines plages d'adresses IP ne peuvent pas être ajoutées en tant que réseaux autorisés.

Plage d'adresses IP Notes
127.0.0.0/8 Plage d'adresses de rebouclage
10.0.0.0/8 Plage d'adresses RFC 1918. Elles sont automatiquement et implicitement incluses dans les réseaux autorisés par Cloud SQL.
172.16.0.0/12 Plage d'adresses RFC 1918. Elles sont automatiquement et implicitement incluses dans les réseaux autorisés par Cloud SQL.
192.168.0.0/16 Plage d'adresses RFC 1918. Elles sont automatiquement et implicitement incluses dans les réseaux autorisés par Cloud SQL.
0.0.0.0/8 Réseau nul RFC 3330
169.254.0.0/16 RFC 3927 et RFC 2373, réseaux de liaison locale
192.0.2.0/24 RFC 3330 et RFC 3849, réseaux de documentation
224.0.0.0/3 Réseaux multicast RFC 3330 et IPv6

Étape suivante