En esta página, se describe cómo configurar el acceso privado a los servicios en la red de VPC.
El acceso privado a los servicios se implementa como una conexión de intercambio de tráfico de VPCentre tu red de VPC y la red de VPC de los servicios de Google subyacente en la que reside la instancia de Cloud SQL. La conexión privada permite que las instancias de VM en la red de VPC y los servicios a los que accedes se comuniquen de forma exclusiva mediante direcciones IP internas. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
Antes de comenzar
Cloud SQL requiere acceso privado a servicios para cada red de VPC que se usa en conexiones IP privadas. Para administrar una conexión de acceso privado a servicios, el usuario debe tener los siguientes permisos de IAM:
compute.networks.list
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Si no tienes estos permisos, puedes encontrar errores de permisos insuficientes.
Si usas una red de VPC compartida, también debes hacer lo siguiente:
- Agrega tu usuario al proyecto host.
- Asigna los mismos cuatro permisos a ese usuario en el proyecto host.
- Otorga el permiso de IAM
compute.globalAddresses.list
al usuario.
Configura el acceso privado a servicios para Cloud SQL
El proceso de configuración del acceso privado a servicios se conforma por las siguientes partes:
- Selecciona un rango de direcciones IP existente o asigna uno nuevo.
También tienes la opción de permitir que Google asigne el rango por ti. En este caso, Google asignará un rango de IP automáticamente con una longitud de prefijo /20 y usará el nombre default-ip-range.
Si vas a crear instancias en varias regiones o para diferentes tipos de bases de datos, debes tener un rango mínimo de /24 de direcciones IP disponibles para cada región o tipo de base de datos. Esto incluye otras aplicaciones, como Filestore o Memorystore. Para una región o un tipo de base de datos nuevo, Cloud SQL debe tener un rango de /24 gratuito.
- Creación de una conexión privada desde la red de VPC hacia la red del productor de servicios
Asigna un rango de direcciones IP
Console
-
En la consola de Google Cloud, ve a la página Redes de VPC.
- Selecciona la red de VPC que deseas usar.
- Selecciona la pestaña
Conexión privada a servicios . - Selecciona la pestaña
Rangos de IP asignados para los servicios . - Haz clic en
Asigna rangos de IP . - Para el
Nombre del rango asignado, especificagoogle-managed-services-VPC_NETWORK_NAME
, en el queVPC_NETWORK_NAME
es el nombre de la red de VPC que conectas (por ejemplo,google-managed-services-default
). LaDescripción es opcional. - Selecciona la opción
Personalizado y, luego, ingresa el rango de direcciones IP que se asignará, en notación CIDR. - Haz clic en
Asignar para crear un rango asignado.
gcloud
Realice una de las acciones siguientes:
- Para especificar un rango de dirección y una longitud de prefijo (máscara de subred), usa las marcas
addresses
yprefix-length
. Por ejemplo, a fin de asignar el bloque CIDR192.168.0.0/16
, especifica192.168.0.0
para la dirección y16
como la longitud de prefijo. - Para especificar solo una longitud de prefijo (máscara de subred), usa la marca
prefix-length
. Cuando omites el rango de direcciones, Google Cloud selecciona automáticamente un rango de direcciones sin usar en tu red de VPC. En el siguiente ejemplo, se selecciona un rango de direcciones IP sin usar con una longitud de prefijo de16
bits.
gcloud compute addresses create google-managed-services-VPC_NETWORK_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
gcloud compute addresses create google-managed-services-VPC_NETWORK_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
Reemplaza VPC_NETWORK_NAME
por el nombre de tu red de VPC, como my-vpc-network
.
En el siguiente ejemplo, se asigna un rango de IP que permite que los recursos en la red de VPC my-vpc-network
se conecten a instancias de Cloud SQL mediante una IP privada.
gcloud compute addresses create google-managed-services-my-vpc-network \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=projects/myprojectid/global/networks/myvpcnetwork \ --project=my-project
Terraform
Para asignar un rango de direcciones IP, usa un recurso de Terraform.
Aplica los cambios
Para aplicar tu configuración de Terraform en un proyecto de Google Cloud, completa los pasos de las siguientes secciones.
Prepara Cloud Shell
- Inicia Cloud Shell
-
Establece el proyecto de Google Cloud predeterminado en el que deseas aplicar tus configuraciones de Terraform.
Solo necesitas ejecutar este comando una vez por proyecto y puedes ejecutarlo en cualquier directorio.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Las variables de entorno se anulan si configuras valores explícitos en el archivo de configuración de Terraform.
Prepara el directorio
Cada archivo de configuración de Terraform debe tener su propio directorio (también llamado módulo raíz).
-
En Cloud Shell, crea un directorio y un archivo nuevo dentro de ese directorio. El nombre del archivo debe tener la extensión
.tf
, por ejemplo,main.tf
. En este instructivo, el archivo se denominamain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Si sigues un instructivo, puedes copiar el código de muestra en cada sección o paso.
Copia el código de muestra en el
main.tf
recién creado.De manera opcional, copia el código de GitHub. Esto se recomienda cuando el fragmento de Terraform es parte de una solución de extremo a extremo.
- Revisa y modifica los parámetros de muestra que se aplicarán a tu entorno.
- Guarda los cambios.
-
Inicializa Terraform. Solo debes hacerlo una vez por directorio.
terraform init
De manera opcional, incluye la opción
-upgrade
para usar la última versión del proveedor de Google:terraform init -upgrade
Aplica los cambios
-
Revisa la configuración y verifica que los recursos que creará o actualizará Terraform coincidan con tus expectativas:
terraform plan
Corrige la configuración según sea necesario.
-
Para aplicar la configuración de Terraform, ejecuta el siguiente comando y, luego, escribe
yes
cuando se te solicite:terraform apply
Espera hasta que Terraform muestre el mensaje “¡Aplicación completa!”.
- Abre tu proyecto de Google Cloud para ver los resultados. En la consola de Google Cloud, navega a tus recursos en la IU para asegurarte de que Terraform los haya creado o actualizado.
Borra los cambios
Quita los recursos que se aplicaron antes con tu configuración de Terraform mediante la ejecución del siguiente comando y, luego, ingresa yes
cuando se te solicite:
terraform destroy
Crea una conexión privada
Console
-
En la consola de Google Cloud, ve a la página Redes de VPC.
- Selecciona la red de VPC que deseas usar.
- Selecciona la pestaña Conexión privada a servicios.
- Selecciona la pestaña Conexiones privadas a servicios.
- Haz clic en Crear una conexión para crear una conexión privada entre tu red y un productor de servicios.
- Para la Asignación designada, selecciona uno o más rangos asignados existentes que no estén siendo usados por otros productores de servicios.
- Haz clic en Conectar para crear la conexión.
gcloud
Crea una conexión privada.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-VPC_NETWORK_NAME \ --network=VPC_NETWORK_NAME \ --project=PROJECT_ID
El comando inicia una operación de instancia de Cloud SQL de larga duración y muestra un ID de operación.
Verifica si la operación se realizó correctamente.
gcloud services vpc-peerings operations describe \ --name=OPERATION_ID
Puedes especificar más de un rango asignado cuando creas una conexión privada. Por ejemplo, si se agotó un rango, puedes asignar rangos adicionales. El servicio usa direcciones IP de todos los rangos proporcionados, en el orden que especificaste.
Terraform
Para crear una conexión privada, usa un recurso de Terraform.
A una cuenta de servicio con el formato service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com
se le otorga la función servicenetworking.serviceAgent
, mientras se crea la conexión privada, ya que la cuenta se aprovisiona justo a tiempo.
Si ves un error sobre el permiso compute.globalAddresses.list
o el permiso compute.projects.get
para el proyecto, ejecuta este comando gcloud
:
gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \ --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \ --role=roles/servicenetworking.serviceAgent
Cambia la configuración del acceso privado a servicios
Puedes cambiar el rango de direcciones asignado de una conexión privada de servicios sin modificar ninguna instancia de Cloud SQL existente. Para cambiar la dirección IP privada de una instancia de Cloud SQL existente, sigue estos pasos.
Para cambiar el rango de direcciones asignado, realiza las siguientes acciones:
Console
-
En la consola de Google Cloud, ve a la página Redes de VPC.
- Selecciona la red de VPC que deseas usar.
- Selecciona la pestaña Conexión privada a servicios.
- Selecciona la pestaña Rangos de IP asignados a servicios.
Selecciona el nombre del rango que deseas borrar.
Haz clic en Liberar.
Haz clic en Asigna rangos de IP.
Crea un rango nuevo con el mismo nombre y rango nuevo.
El nombre es importante porque la conexión privada ya se estableció con ese nombre de dirección.
gcloud services vpc-peerings update \ --network=VPC_NETWORK_NAME \ --ranges=ALLOCATED_RANGES \ --service=servicenetworking.googleapis.com \ --force
Cambia la dirección IP privada de una instancia de Cloud SQL existente
Para cambiar la dirección IP privada de una instancia de Cloud SQL existente, mueve la instancia de su red original a una temporal. Luego, cambia la configuración de acceso privado a los servicios de la red original de la instancia y mueve la instancia de Cloud SQL a su red original.
Para pasar a una red de VPC diferente, sigue todos los pasos, excepto el último (traslada la instancia) en el siguiente procedimiento. En este caso, TEMPORARY_VPC_NETWORK_NAME
es la nueva red de VPC. Además, borra la conexión privada anterior.
La conexión privada borrada puede tardar unos días en desaparecer de la consola de Google Cloud.
Si la instancia de Cloud SQL se aloja en una red de VPC compartida, las variables VPC_NETWORK_NAME
que se usan en las siguientes instrucciones deben ser los nombres de las redes de VPC del proyecto host. Para especificar una red con una red de VPC compartida, usa la URL completa de la red, por ejemplo, projects/HOST_PROJECT/global/networks/NETWORK_NAME
.
Console
-
En la consola de Google Cloud, ve a la página Redes de VPC.
- Crea una red de VPC temporal.
- Crea una asignación de IP en la red de VPC temporal.
- Crea una conexión privada en la red de VPC temporal.
Mueve la instancia de Cloud SQL a la red de VPC temporal.
gcloud beta sql instances patch INSTANCE_ID \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/TEMPORARY_VPC_NETWORK_NAME \ --no-assign-ip
Cambia la configuración del acceso privado a servicios en la red original para agregar un rango asignado nuevo o borrar los existentes.
Mueve la instancia de Cloud SQL a la red de VPC original.
gcloud beta sql instances patch INSTANCE_ID \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/ORIGINAL_VPC_NETWORK_NAME \ --no-assign-ip