Connettiti utilizzando il proxy di autenticazione Cloud SQL

Questa pagina descrive come connetterti all'istanza Cloud SQL utilizzando Proxy di autenticazione Cloud SQL.

Per saperne di più sul funzionamento del proxy di autenticazione Cloud SQL, consulta Informazioni sul proxy di autenticazione Cloud SQL.

Panoramica

L'utilizzo del proxy di autenticazione Cloud SQL è la metodo consigliato per la connessione a un'istanza Cloud SQL. Il proxy di autenticazione Cloud SQL:

  • Funziona con endpoint IP pubblici e privati
  • Convalida le connessioni utilizzando le credenziali per un account utente o di servizio
  • Aggrega la connessione in un livello SSL/TLS autorizzato per Cloud SQL istanza

Alcuni servizi e applicazioni Google Cloud utilizzano il proxy di autenticazione Cloud SQL per fornire per percorsi di IP pubblici con crittografia e autorizzazione, tra cui:

Applicazioni in esecuzione in Google Kubernetes Engine può connettersi utilizzando il proxy di autenticazione Cloud SQL.

Consulta la Guida rapida sull'utilizzo il proxy di autenticazione Cloud SQL per un'introduzione di base al suo utilizzo.

Puoi anche connetterti, con o senza il proxy di autenticazione Cloud SQL, utilizzando un client da un computer locale Compute Engine.

Prima di iniziare

Prima di connetterti a un'istanza Cloud SQL, segui questi passaggi:

    • Per un account utente o di servizio, assicurati che l'account includa la nel ruolo Client Cloud SQL. Questo ruolo contiene Autorizzazione cloudsql.instances.connect, che autorizza un'entità a connettersi a tutte le istanze Cloud SQL in un progetto.

      Vai alla pagina IAM

    • Se vuoi, puoi includere Condizione IAM nell'associazione dei criteri IAM che concede l'autorizzazione all'account per la connessione a una sola istanza Cloud SQL specifica.

  2. Attiva l'API Cloud SQL Admin.

    Abilita l'API

  3. Installa e inizializza gcloud CLI.
  4. Facoltativo. Installa il client Docker proxy di autenticazione Cloud SQL.

Scarica il proxy di autenticazione Cloud SQL

Linux a 64 bit

  1. Scarica il proxy di autenticazione Cloud SQL: 
    curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.linux.amd64
  2. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
    chmod +x cloud-sql-proxy

Linux a 32 bit

  1. Scarica il proxy di autenticazione Cloud SQL: 
    curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.linux.386
  2. Se il comando curl non viene trovato, esegui sudo apt install curl e ripeti il comando di download.
  3. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
    chmod +x cloud-sql-proxy

macOS a 64 bit

  1. Scarica il proxy di autenticazione Cloud SQL: 
    curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.darwin.amd64
  2. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
    chmod +x cloud-sql-proxy

Mac M1

  1. Scarica il proxy di autenticazione Cloud SQL: 
      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.darwin.arm64
  2. Rendi eseguibile il proxy di autenticazione Cloud SQL: 
      chmod +x cloud-sql-proxy

Windows a 64 bit

Clic destro https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.x64.exe e seleziona Salva link con nome per scaricare il proxy di autenticazione Cloud SQL. Rinomina il file come cloud-sql-proxy.exe.

Windows a 32 bit

Clic destro https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.4/cloud-sql-proxy.x86.exe e seleziona Salva link con nome per scaricare il proxy di autenticazione Cloud SQL. Rinomina il file come cloud-sql-proxy.exe.

Immagine Docker del proxy di autenticazione Cloud SQL

Il proxy di autenticazione Cloud SQL ha immagini container diverse, ad esempio distroless, alpine, e buster. L'immagine container proxy di autenticazione Cloud SQL predefinita utilizza distroless, che non contiene alcuna shell. Se hai bisogno di una shell o di strumenti correlati, scarica un'immagine basata su alpine o buster. Per ulteriori informazioni, vedi Immagini container del proxy di autenticazione Cloud SQL.

Puoi eseguire il pull dell'immagine più recente sulla tua macchina locale utilizzando Docker, utilizzando questo comando:

docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4

Altro sistema operativo

Per altri sistemi operativi non inclusi qui, puoi compilare il proxy di autenticazione Cloud SQL dall'origine.

Avvia il proxy di autenticazione Cloud SQL

A seconda del linguaggio e dell'ambiente, puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP, i socket Unix o l'immagine Docker del proxy di autenticazione Cloud SQL. Il file binario del proxy di autenticazione Cloud SQL si connette a uno o più servizi Cloud SQL specificate nella riga di comando e apre una connessione locale come TCP o Unix presa. Altre applicazioni e servizi, come il codice dell'applicazione o di gestione di database, possono connettersi alle istanze Cloud SQL attraverso le connessioni TCP o Unix socket.

socket TCP

Per le connessioni TCP, il proxy di autenticazione Cloud SQL rimane in ascolto su localhost(127.0.0.1) per impostazione predefinita. Pertanto, se specifichi --port PORT_NUMBER per un'istanza, la connessione locale è alle ore 127.0.0.1:PORT_NUMBER.

In alternativa, puoi specificare un indirizzo diverso per la connessione locale. Ad esempio, ecco come fare in modo che il proxy di autenticazione Cloud SQL rimanga in ascolto all'indirizzo 0.0.0.0:1234 per il connessione locale:

./cloud-sql-proxy --address 0.0.0.0 --port 1234 INSTANCE_CONNECTION_NAME

  1. Copia il tuo INSTANCE_CONNECTION_NAME. Puoi trovare nella pagina Panoramica per la tua istanza nel Console Google Cloud o eseguendo seguente comando:

        gcloud sql instances describe INSTANCE_NAME --format='value(connectionName)'

    Ad esempio: myproject:myregion:myinstance.

  2. Se l'istanza ha sia l'IP pubblico che quello privato configurato e vuoi che Proxy di autenticazione Cloud SQL per utilizzare l'indirizzo IP privato, devi fornire la seguente opzione quando avvii il proxy di autenticazione Cloud SQL: 
    --private-ip
  3. Se utilizzi un account di servizio per autenticare il proxy di autenticazione Cloud SQL, prendi nota della posizione sul computer client del file della chiave privata creato al momento della creazione. l'account di servizio.
  4. Avviare il proxy di autenticazione Cloud SQL.

    Alcune possibili stringhe di chiamata del proxy di autenticazione Cloud SQL:

    • Utilizzo dell'autenticazione di Cloud SDK: 
      ./cloud-sql-proxy --port 5432 INSTANCE_CONNECTION_NAME
      La porta specificata non deve essere già in uso, ad esempio da un server di database locale.
    • Utilizzo di un account di servizio e inclusione specifica del nome della connessione dell'istanza (consigliato per ambienti di produzione): 
      ./cloud-sql-proxy \
--credentials-file PATH_TO_KEY_FILE INSTANCE_CONNECTION_NAME &

    Per saperne di più sulle opzioni del proxy di autenticazione Cloud SQL, consulta Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL.

Socket Unix

Il proxy di autenticazione Cloud SQL può rimanere in ascolto su un socket Unix, che è uno standard Posix meccanismo di utilizzo di una cartella per gestire la comunicazione tra due processi in esecuzione sullo stesso host. I vantaggi dell'utilizzo dei socket Unix sono una maggiore sicurezza e latenza più bassa, tuttavia, non è possibile accedere a un socket Unix da un dalla macchina esterna.

.

Per creare e utilizzare un socket Unix, deve esistere la directory di destinazione e sia il proxy di autenticazione Cloud SQL sia l'applicazione devono avere accesso in lettura e scrittura.

  1. Copia il tuo INSTANCE_CONNECTION_NAME. Puoi trovare nella pagina Panoramica per la tua istanza nel Console Google Cloud o eseguendo seguente comando:

        gcloud sql instances describe INSTANCE_NAME --format='value(connectionName)'

    Ad esempio: myproject:myregion:myinstance.

  2. Crea la directory in cui si troveranno i socket del proxy di autenticazione Cloud SQL: 
    sudo mkdir /cloudsql; sudo chmod 777 /cloudsql
  3. Se utilizzi un account di servizio per autenticare il proxy di autenticazione Cloud SQL, prendi nota della posizione sul computer client del file della chiave privata creato al momento della creazione. l'account di servizio.
  4. Apri una nuova finestra del terminale Cloud Shell e avvia il proxy di autenticazione Cloud SQL.

    Alcune possibili stringhe di chiamata del proxy di autenticazione Cloud SQL:

    • Utilizzo dell'autenticazione di Google Cloud SDK: 
      ./cloud-sql-proxy --unix-socket /cloudsql INSTANCE_CONNECTION_NAME &
    • Con un account di servizio: 
        ./cloud-sql-proxy --unix-socket /cloudsql
  --credentials-file PATH_TO_KEY_FILE INSTANCE_CONNECTION_NAME &

    Avvia il proxy di autenticazione Cloud SQL nel relativo terminale Cloud Shell per monitorarne l'output senza mischiarli con l'output di altri programmi.

    Per saperne di più sulle opzioni del proxy di autenticazione Cloud SQL, consulta Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL.

    .

Docker

Per eseguire il proxy di autenticazione Cloud SQL in un container Docker, utilizza il Docker proxy di autenticazione Cloud SQL disponibile in Google Container Registry.

Puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP o socket Unix, con illustrati di seguito. Le opzioni utilizzano un INSTANCE_CONNECTION_NAME come la stringa di connessione per identificare un'istanza Cloud SQL. Puoi trovare INSTANCE_CONNECTION_NAME nella pagina Panoramica del tuo nella console Google Cloud. o eseguendo il comando seguente comando:

gcloud sql instances describe INSTANCE_NAME
.

Ad esempio: myproject:myregion:myinstance.

A seconda del linguaggio e dell'ambiente, puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP o socket Unix. I socket Unix non sono supportati per applicazioni scritte nel linguaggio di programmazione Java o per Windows completamente gestito di Google Cloud.

Utilizzo di socket TCP

docker run -d \\
  -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \\
  -p 127.0.0.1:5432:5432 \\
  gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4 \\
  --address 0.0.0.0 --port 5432 \\
  --credentials-file /path/to/service-account-key.json INSTANCE_CONNECTION_NAME

Se utilizzi le credenziali fornite dalla tua istanza Compute Engine, non includono il parametro --credentials-file e -v PATH_TO_KEY_FILE:/path/to/service-account-key.json dalla riga di comando.

Specifica sempre il prefisso 127.0.0.1 in -p in modo che il proxy di autenticazione Cloud SQL non sia esposti all'esterno dell'host locale. "0.0.0.0" nel parametro instances per rendere la porta accessibile dall'esterno di Docker containerizzato.

Utilizzo di socket Unix

docker run -d -v /cloudsql:/cloudsql \\
  -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \\
  gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4 --unix-socket=/cloudsql \\
  --credentials-file /path/to/service-account-key.json INSTANCE_CONNECTION_NAME

Se utilizzi le credenziali fornite dalla tua istanza Compute Engine, non includono il parametro --credentials-file e -v PATH_TO_KEY_FILE:/path/to/service-account-key.json dalla riga di comando.

Se utilizzi un'immagine ottimizzata per i container, usa una directory scrivibile al posto di /cloudsql, ad esempio: 

-v /mnt/stateful_partition/cloudsql:/cloudsql

Puoi specificare più istanze, separate da virgole. Puoi anche utilizzare Metadati Compute Engine per determinare in modo dinamico le istanze a cui connettersi. Scopri di più sui parametri del proxy di autenticazione Cloud SQL.

Connettiti al client psql

Debian/Ubuntu

Installa il client psql dal gestore di pacchetti:

sudo apt-get update
sudo apt-get install postgresql-client

CentOS/RHEL

Installa il client psql dal gestore di pacchetti:

sudo yum install postgresql

openSUSE

Installa il client psql dal gestore di pacchetti:

sudo zypper install postgresql

Altre piattaforme

  1. Scarica PostgreSQL Core Distribution per la tua piattaforma dal Pagina Download di PostgreSQL.
    La distribuzione principale include il client psql.
  2. Installa il database PostgreSQL seguendo le istruzioni riportate nella pagina di download.

La stringa di connessione che utilizzi dipende dal fatto che tu abbia avviato il proxy di autenticazione Cloud SQL utilizzando un socket TCP o un socket UNIX o Docker.

socket TCP

  1. Avvia il client psql: 
    psql "host=127.0.0.1 sslmode=disable dbname=DB_NAME user=USERNAME"

    Anche se il parametro sslmode è impostato su disable, il proxy di autenticazione Cloud SQL per fornire una connessione criptata.

    Quando ti connetti utilizzando socket TCP, il proxy di autenticazione Cloud SQL è accessibile tramite 127.0.0.1.

  2. Se richiesto, inserisci la password.
  3. Viene visualizzato il prompt psql.

Utilizzo di socket Unix

  1. Avvia il client psql: 
    psql "sslmode=disable host=/cloudsql/INSTANCE_CONNECTION_NAME dbname=DB_NAME user=USERNAME"

    Anche se il parametro sslmode è impostato su disable, il proxy di autenticazione Cloud SQL per fornire una connessione criptata.

  2. Inserisci la password.
  3. Viene visualizzato il prompt psql.

Serve aiuto? Per assistenza nella risoluzione dei problemi relativi al proxy, consulta Risoluzione dei problemi di connessioni del proxy di autenticazione Cloud SQL. o consulta la pagina dell'assistenza Cloud SQL.

Connettiti con un'applicazione

Puoi connetterti al proxy di autenticazione Cloud SQL da qualsiasi linguaggio che ti consenta di connetterti a un socket Unix o TCP. Di seguito sono riportati alcuni snippet di codice di esempi completi su GitHub per aiutarti. a capire come interagiscono tra loro nella tua applicazione.

Argomenti aggiuntivi

Argomenti della riga di comando del proxy di autenticazione Cloud SQL

Gli esempi precedenti coprono i casi d'uso più comuni, ma il proxy di autenticazione Cloud SQL offre anche altre opzioni di configurazione, impostabili tramite la riga di comando argomenti. Per assistenza sugli argomenti della riga di comando, utilizza il flag --help per visualizzare la documentazione più recente:

./cloud-sql-proxy --help

Consulta le README nel repository GitHub del proxy di autenticazione Cloud SQL per ulteriori esempi di utilizzo delle opzioni a riga di comando del proxy di autenticazione Cloud SQL.

Opzioni per l'autenticazione del proxy di autenticazione Cloud SQL

Tutte queste opzioni utilizzano un INSTANCE_CONNECTION_NAME come la stringa di connessione per identificare un'istanza Cloud SQL. Puoi trovare INSTANCE_CONNECTION_NAME nella pagina Panoramica del tuo nella console Google Cloud. o eseguendo il comando seguente comando:

gcloud sql instances describe --project PROJECT_ID INSTANCE_CONNECTION_NAME.

Ad esempio: gcloud sql instances describe --project myproject myinstance .

Alcune di queste opzioni utilizzano un file di credenziali JSON che include l'RSA privato chiave per l'account. Per istruzioni sulla creazione di un file di credenziali JSON per un l'account di servizio, consulta Creazione di un account di servizio.

Il proxy di autenticazione Cloud SQL offre diverse alternative per l'autenticazione, a seconda del tuo ambiente. Il proxy di autenticazione Cloud SQL controlla ciascuno degli elementi seguenti, nel seguente utilizzando il primo trovato per tentare di eseguire l'autenticazione:

  1. Credenziali fornite dal flag credentials-file.

    Utilizza un account di servizio per crea e scarica il file JSON associato e imposta --credentials-file al percorso del file all'avvio del proxy di autenticazione Cloud SQL. L'account di servizio deve avere autorizzazioni richieste per l'istanza Cloud SQL.

    Per utilizzare questa opzione dalla riga di comando, richiama il comando cloud-sql-proxy con Il flag --credentials-file impostato sul percorso e sul nome file di una credenziale JSON . Il percorso può essere assoluto o relativo alla directory di lavoro corrente. Ad esempio: 

    ./cloud-sql-proxy --credentials-file PATH_TO_KEY_FILE \
INSTANCE_CONNECTION_NAME

    Per istruzioni dettagliate sull'aggiunta di ruoli IAM a un account di servizio, consulta Concessione di ruoli agli account di servizio.

    Per ulteriori informazioni sui ruoli supportati da Cloud SQL, consulta Ruoli IAM per Cloud SQL.

  2. Credenziali fornite da un token di accesso.

    Crea una il token di accesso e richiamare il comando cloud-sql-proxy Flag --token impostato su un token di accesso OAuth 2.0. Ad esempio: 
    ./cloud-sql-proxy --token ACCESS_TOKEN \
INSTANCE_CONNECTION_NAME

  3. Credenziali fornite da una variabile di ambiente.

    Questa opzione è simile all'utilizzo del flag --credentials-file, tranne per il fatto che devi specificare il file delle credenziali JSON impostato nell'ambiente GOOGLE_APPLICATION_CREDENTIALS anziché utilizzare l'argomento della riga di comando --credentials-file.

  4. Credenziali da un client gcloud CLI autenticato.

    Se hai installato gcloud CLI e si sono autenticati con il tuo account personale, il proxy di autenticazione Cloud SQL può utilizzare le stesse credenziali dell'account. Questo metodo è particolarmente utile per ottenere completamente operativo dell'ambiente di sviluppo.

    Per abilitare il proxy di autenticazione Cloud SQL in modo da utilizzare le credenziali gcloud CLI, utilizza il comando seguente per autenticare gcloud CLI:

    gcloud auth application-default login

  5. Credenziali associate all'istanza Compute Engine.

    Se ti connetti a Cloud SQL da un'istanza Compute Engine, Il proxy di autenticazione Cloud SQL può utilizzare l'account di servizio associato all'istanza Compute Engine. Se l'account di servizio dispone delle autorizzazioni richieste per l'istanza Cloud SQL, il proxy di autenticazione Cloud SQL esegue l'autenticazione correttamente.

    Se l'istanza Compute Engine si trova nello stesso progetto di Cloud SQL l'account di servizio predefinito per l'istanza Compute Engine ha le autorizzazioni necessarie per autenticare il proxy di autenticazione Cloud SQL. Se le due istanze si trovano in progetti diversi, devi aggiungere l'istanza Compute Engine l'account di servizio dell'istanza al progetto contenente in esecuzione in un'istanza Compute Engine.

  6. Account di servizio predefinito dell'ambiente

    Se il proxy di autenticazione Cloud SQL non riesce a trovare le credenziali in nessuna delle posizioni descritte in precedenza, segue la logica documentata Impostazione dell'autenticazione per la produzione da server a server Applicazioni. Alcuni ambienti, come Compute Engine, App Engine e altri, offrono un l'account di servizio predefinito che la tua applicazione può utilizzare per l'autenticazione per impostazione predefinita. Se utilizzi un account di servizio predefinito, quest'ultimo deve avere le autorizzazioni descritte in ruoli e autorizzazioni Per ulteriori informazioni sull'approccio di Google Cloud all'autenticazione, vedi Panoramica dell'autenticazione.

Crea un account di servizio

  1. Nella console Google Cloud, vai alla pagina Account di servizio.

    Vai ad Account di servizio

  2. Seleziona il progetto che contiene l'istanza Cloud SQL.
  3. Fai clic su Crea account di servizio.
  4. Nel campo Nome account di servizio, inserisci un nome descrittivo per l'account di servizio.
  5. Modifica l'ID account di servizio impostando un valore univoco e riconoscibile, poi fai clic su Crea e continua.
  6. Fai clic sul campo Seleziona un ruolo e scegli uno dei seguenti ruoli:
      .
    • Cloud SQL > Client Cloud SQL
    • Cloud SQL > Editor Cloud SQL
    • Cloud SQL > Amministratore Cloud SQL

  7. Fai clic su Fine per completare la creazione dell'account di servizio.
  8. Fai clic sul menu Azioni per il nuovo account di servizio e seleziona Gestisci chiavi.
  9. Fai clic sul menu a discesa Aggiungi chiave e quindi su Crea nuova chiave.
  10. Verifica che il tipo di chiave sia JSON e fai clic su Crea.

    Il file della chiave privata viene scaricato sul computer. Puoi spostarlo in un'altra in ogni località. Tieni al sicuro il file della chiave.

Utilizza il proxy di autenticazione Cloud SQL con IP privato

Per connetterti a un'istanza Cloud SQL utilizzando l'IP privato, il proxy di autenticazione Cloud SQL devono trovarsi su una risorsa con accesso alla stessa rete VPC del in esecuzione in un'istanza Compute Engine.

Il proxy di autenticazione Cloud SQL utilizza l'IP per stabilire una connessione con l'istanza Cloud SQL. Per impostazione predefinita, il proxy di autenticazione Cloud SQL tenta di connettersi utilizzando un indirizzo IPv4 pubblico.

Se la tua istanza Cloud SQL ha solo IP privato o ha entrambi l'IP pubblico e privato configurato e vuoi che il proxy di autenticazione Cloud SQL utilizzi il token Indirizzo IP, devi fornire la seguente opzione quando avvii il proxy di autenticazione Cloud SQL:

--private-ip

Utilizza il proxy di autenticazione Cloud SQL con le istanze in cui è abilitato Private Service Connect

Puoi utilizzare il proxy di autenticazione Cloud SQL per connetterti a un'istanza Cloud SQL in cui è abilitato Private Service Connect.

Il proxy di autenticazione Cloud SQL è un connettore che fornisce accesso sicuro a questa istanza senza bisogno di reti autorizzate o di configurazione di SSL.

Per consentire le connessioni client del proxy di autenticazione Cloud SQL, devi configurare un record DNS che corrisponda al nome DNS consigliato fornito per l'istanza. Il record DNS è una mappatura tra una risorsa DNS e un nome di dominio.

Per saperne di più sull'utilizzo del proxy di autenticazione Cloud SQL per connetterti alle istanze in cui è abilitato Private Service Connect, consulta Connettiti utilizzando il proxy di autenticazione Cloud SQL.

Esegui il proxy di autenticazione Cloud SQL in un processo separato

Può essere utile eseguire il proxy di autenticazione Cloud SQL in un processo separato del terminale Cloud Shell, per evitare mescolando l'output della console con l'output di altri programmi. Utilizzare la sintassi mostrato di seguito per richiamare il proxy di autenticazione Cloud SQL in un processo separato.

Linux

Su Linux o macOS, usa un carattere & finale nella riga di comando per avvia il proxy di autenticazione Cloud SQL in un processo separato:

./cloud-sql-proxy INSTANCE_CONNECTION_NAME
  --credentials-file PATH_TO_KEY_FILE &

Windows

In Windows PowerShell, utilizza il comando Start-Process per avviare il proxy di autenticazione Cloud SQL in un processo separato:

Start-Process --filepath "cloud-sql-proxy.exe"
  --ArgumentList "
  --credentials-file PATH_TO_KEY_FILEINSTANCE_CONNECTION_NAME"

Esegui il proxy di autenticazione Cloud SQL in un container Docker

Per eseguire il proxy di autenticazione Cloud SQL in un container Docker, utilizza il Docker proxy di autenticazione Cloud SQL l'immagine disponibile nel Google Container Registry. Puoi installare l'immagine Docker del proxy di autenticazione Cloud SQL con questo comando gcloud:

docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4

Puoi avviare il proxy di autenticazione Cloud SQL utilizzando socket TCP o socket Unix, con illustrati di seguito.

socket TCP

    docker run -d \
      -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \
      -p 127.0.0.1:5432:5432 \
      gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4 \
      --address 0.0.0.0 \
      --credentials-file /path/to/service-account-key.json \
      INSTANCE_CONNECTION_NAME

Socket Unix

    docker run -d \
      -v /PATH_TO_HOST_TARGET:/PATH_TO_GUEST_TARGET \
      -v PATH_TO_KEY_FILE:/path/to/service-account-key.json \
      gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.4 --unix-socket /cloudsql \
      --credentials-file /path/to/service-account-key.json/PATH_TO_KEY_FILE \
      INSTANCE_CONNECTION_NAME

Se utilizzi un'immagine ottimizzata per i container, usa una directory scrivibile al posto di /cloudsql, ad esempio:

v /mnt/stateful_partition/cloudsql:/cloudsql

Se utilizzi le credenziali fornite dalla tua istanza Compute Engine, non includono il parametro credential_file e -v PATH_TO_KEY_FILE:/path/to/service-account-key.json riga.

Esecuzione del proxy di autenticazione Cloud SQL come servizio

L'esecuzione del proxy di autenticazione Cloud SQL come servizio in background è un'opzione per lo sviluppo locale e carichi di lavoro di produzione. In fase di sviluppo, quando devi accedere Cloud SQL, puoi avviare il servizio in background e arrestarlo al termine dell'operazione.

Per i carichi di lavoro di produzione, il proxy di autenticazione Cloud SQL al momento non fornisce funzionalità per l'esecuzione come servizio Windows, ma i gestori di servizi di terze parti possono per eseguirlo come servizio. Ad esempio, puoi utilizzare NSSM per configurare il proxy di autenticazione Cloud SQL come servizio Windows e NSSM monitora Cloud SQL Auth Proxy e lo riavvia automaticamente se smette di rispondere. Consulta le documentazione di NSSM per ulteriori informazioni.

Applica l'utilizzo del proxy di autenticazione Cloud SQL

Abilita l'utilizzo del proxy di autenticazione Cloud SQL in Cloud SQL tramite ConnectorEnforcement.

gcloud

Il comando seguente applica in modo forzato l'utilizzo dei connettori Cloud SQL.

    gcloud sql instances patch INSTANCE_NAME \
    --connector-enforcement REQUIRED

Per disabilitare l'applicazione forzata, utilizza la seguente riga di codice: --connector-enforcement NOT_REQUIRED L'aggiornamento non attiva un riavvio.

REST v1

Il comando seguente applica l'utilizzo dei connettori Cloud SQL

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID del progetto.
  • instance-id: l'ID istanza.

Metodo HTTP e URL: 

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

Corpo JSON della richiesta: 

{
  "settings": {                     
    "connectorEnforcement": "REQUIRED"    
  }                                             
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

Per disattivare l'applicazione forzata, utilizza "connectorEnforcement": "NOT_REQUIRED" . L'aggiornamento non attiva un riavvio.

REST v1beta4

Il comando seguente applica l'utilizzo dei connettori Cloud SQL.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID del progetto.
  • instance-id: l'ID istanza.

Metodo HTTP e URL: 

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Corpo JSON della richiesta: 

{
  "settings": {
    "connectorEnforcement": "REQUIRED"
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

Per disattivare l'applicazione forzata, utilizza "connectorEnforcement": "NOT_REQUIRED" . L'aggiornamento non attiva un riavvio.

Suggerimenti per utilizzare il proxy di autenticazione Cloud SQL

Richiama il proxy di autenticazione Cloud SQL

Tutte le chiamate proxy di esempio avviano il proxy di autenticazione Cloud SQL in background, quindi . Riserva al terminale Cloud Shell il proxy di autenticazione Cloud SQL, evitare che il suo output sia mixato con quello di altri programmi. Inoltre, dal proxy di autenticazione Cloud SQL può aiutarti a diagnosticare i problemi di connessione, in modo che utile da acquisire in un file di log. Se non avvii il proxy di autenticazione Cloud SQL in background, l'output va allo stdout a meno che non venga reindirizzato.

Non è necessario utilizzare /cloudsql come directory per i socket del proxy di autenticazione Cloud SQL. (che il nome della directory è stato scelto per ridurre al minimo le differenze con App Engine stringhe di connessione). Se cambi il nome della directory, tuttavia, mantieni la regola generale lunghezza al minimo; è incorporato in una stringa più lunga che ha una lunghezza limite imposto dal sistema operativo. Dipende dal sistema, ma di solito tra 91 e 108 caratteri. Su Linux, la lunghezza è solitamente definita da 108, e puoi usare questo comando per verificare: 

cat /usr/include/linux/un.h | grep "define UNIX_PATH_MAX"

Utilizza il proxy di autenticazione Cloud SQL per connetterti a più istanze

Puoi utilizzare un client proxy di autenticazione Cloud SQL locale per connetterti a più Cloud SQL di Compute Engine. Il modo in cui esegui questa operazione dipende dall'uso o meno di socket Unix o TCP.

Socket Unix

Per connettere il proxy di autenticazione Cloud SQL a più istanze, devi fornire a ogni istanza nome connessione come argomento al proxy di autenticazione Cloud SQL, in un elenco separato da spazi. Il proxy di autenticazione Cloud SQL si connette a ogni istanza all'avvio.

Ti connetti a ogni istanza utilizzando il relativo socket, nella .

Ad esempio:

      ./cloud-sql-proxy --unix-socket /cloudsql \
      myProject:us-central1:myInstance myProject:us-central1:myInstance2 &
      psql -U myUser -h /cloudsql/myProject:us-central1:myInstance2

socket TCP

Quando ti connetti tramite TCP, devi specificare una porta sul computer per Proxy di autenticazione Cloud SQL per l'ascolto di ogni istanza Cloud SQL. Al momento della connessione a più istanze Cloud SQL, ogni porta specificata deve essere univoca e disponibili per l'uso sul tuo computer.

Ad esempio:

    # Start the Cloud SQL Auth Proxy to connect to two different Cloud SQL instances
    # Give the Cloud SQL Auth Proxy a unique port on your machine to use for each Cloud SQL instance.

    ./cloud-sql-proxy "myProject:us-central1:myInstance?port=5432" \
    "myProject:us-central1:myInstance2?port=1234"

    # Connect to "myInstance" using port 5432 on your machine:
    psql -U myUser -h 127.0.0.1  --port 5432

    # Connect to "myInstance2" using port 1234 on your machine:
    psql -U myUser -h 127.0.0.1  --port 1234

Risolvi i problemi delle connessioni al proxy di autenticazione Cloud SQL

L'immagine Docker del proxy di autenticazione Cloud SQL si basa su una versione specifica del proxy di autenticazione Cloud SQL. Quando è disponibile una nuova versione del proxy di autenticazione Cloud SQL, esegui il pull dell'immagine Docker del proxy di autenticazione Cloud SQL per mantenere aggiornato l'ambiente. Tu vedere la versione corrente del proxy di autenticazione Cloud SQL controllando Pagina delle release di GitHub del proxy di autenticazione Cloud SQL.

Se hai difficoltà a connetterti all'istanza Cloud SQL utilizzando del proxy di autenticazione Cloud SQL, ecco alcune cose per cercare la causa problema.

  • Controlla l'output del proxy di autenticazione Cloud SQL.

    Spesso, l'output del proxy di autenticazione Cloud SQL può aiutarti a determinare l'origine del problema. e come risolverlo. Pipeline l'output in un file o osserva il terminale Cloud Shell dove hai avviato il proxy di autenticazione Cloud SQL.

  • Se visualizzi un errore 403 notAuthorized e stai utilizzando un servizio per autenticare il proxy di autenticazione Cloud SQL, assicurati che l'account di servizio abbia le autorizzazioni corrette.

    Puoi controllare l'account di servizio cercando il relativo ID nella Pagina IAM. Deve avere l'autorizzazione cloudsql.instances.connect. Cloud SQL Admin, I ruoli predefiniti Client e Editor hanno questa autorizzazione.

  • Se ti connetti da App Engine e ricevi un 403 notAuthorized errore, controlla il valore app.yaml cloud_sql_instances per un nome di connessione dell'istanza non corretto o con errori ortografici. I nomi delle connessioni all'istanza sono sempre nel formato PROJECT:REGION:INSTANCE.

    Verifica inoltre che l'account di servizio App Engine (ad esempio $PROJECT_ID@appspot.gserviceaccount.com) il ruolo IAM Client Cloud SQL.

    Se il servizio App Engine si trova in un progetto (progetto A) e nel database si trova in un altro (progetto B), questo errore significa che il servizio App Engine all'account non è stato assegnato il ruolo IAM Client Cloud SQL nel progetto con il database (progetto B).

  • Assicurati di abilitare l'API Cloud SQL Admin.

    In caso contrario, nei log del proxy di autenticazione Cloud SQL verrà visualizzato un output simile a Error 403: Access Not Configured.

  • Se includi più istanze nell'elenco, assicurati viene utilizzata una virgola come delimitatore, senza spazi. Se utilizzi TCP, assicurati di specificare porte diverse per ogni istanza.

  • Se ti connetti utilizzando socket UNIX, verifica che siano creato mediante l'elenco della directory che hai fornito quando hai avviato il proxy di autenticazione Cloud SQL.

  • Se hai un criterio firewall in uscita, assicurati che consenta le connessioni sulla porta 3307 sull'istanza Cloud SQL di destinazione.

  • Puoi verificare che il proxy di autenticazione Cloud SQL sia stato avviato correttamente consultando i log nella sezione Operazioni > Logging > Esplora log dell'interfaccia nella console Google Cloud. Un'operazione riuscita ha il seguente aspetto:

    2021/06/14 15:47:56 Listening on /cloudsql/$PROJECT_ID:$REGION:$INSTANCE_NAME/5432 for $PROJECT_ID:$REGION:$INSTANCE_NAME
2021/06/14 15:47:56 Ready for new connections

  • Problemi di quota: quando la quota dell'API Cloud SQL Admin viene violata, Il proxy di autenticazione Cloud SQL viene avviato con il seguente messaggio di errore:

    There was a problem when parsing a instance configuration but ignoring due
to the configuration. Error: googleapi: Error 429: Quota exceeded for quota
metric 'Queries' and limit 'Queries per minute per user' of service
'sqladmin.googleapis.com' for consumer 'project_number:$PROJECT_ID.,
rateLimitExceeded

    Una volta che un'applicazione si connette al proxy, quest'ultimo segnala quanto segue: errore:

    failed to refresh the ephemeral certificate for $INSTANCE_CONNECTION_NAME:
googleapi: Error 429: Quota exceeded for quota metric 'Queries' and limit
'Queries per minute per user' of service 'sqladmin.googleapis.com' for
consumer 'project_number:$PROJECT_ID., rateLimitExceeded

    Soluzione: identifica l'origine del problema relativo alle quote, ad esempio una utilizza in modo improprio il connettore e ne crea inutilmente nuovi connessioni o contatta l'assistenza per richiedere un aumento delle Quota dell'API Admin. Se l'errore di quota viene visualizzato all'avvio, devi eseguire nuovamente il deployment per riavviare il proxy. Se l'errore di quota viene visualizzato dopo l'avvio, non è necessario eseguire nuovamente il deployment.

Passaggi successivi