Questa pagina contiene informazioni ed esempi per la connessione a un'istanza Cloud SQL da un servizio in esecuzione in Cloud Build.
Cloud SQL è un servizio di database completamente gestito che semplifica la configurazione, la manutenzione, la gestione e l'amministrazione dei database relazionali nel cloud.
Cloud Build è un servizio che esegue le build sull'infrastruttura Google Cloud.
configura un'istanza Cloud SQL
- Abilita l'API Cloud SQL Admin nel progetto Google Cloud da cui ti stai connettendo, se non l'hai ancora fatto:
- Crea un'istanza Cloud SQL per PostgreSQL. Ti consigliamo di scegliere una
località dell'istanza Cloud SQL nella stessa regione del servizio Cloud Run per migliorare la latenza, evitare alcuni costi di networking e ridurre
i rischi di errore tra regioni.
Per impostazione predefinita, Cloud SQL assegna un indirizzo IP pubblico a una nuova istanza. Hai anche la possibilità di assegnare un indirizzo IP privato. Per ulteriori informazioni sulle opzioni di connettività per entrambi, consulta la pagina Panoramica della connessione.
Configura Cloud Build
I passaggi per configurare Cloud Build dipendono dal tipo di indirizzo IP assegnato all'istanza Cloud SQL.IP pubblico (predefinito)
Assicurati che il tuo
account di servizio Cloud Build disponga dei
ruoli
e delle autorizzazioni IAM necessari per la connessione all'istanza Cloud SQL.
L'account di servizio Cloud Build è indicato nella pagina IAM della console Google Cloud come Entità
[YOUR-PROJECT-NUMBER]@cloudbuild.gserviceaccount.com
.
Per visualizzare questo account di servizio nella console Google Cloud, seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google.
Per l'account di servizio Cloud Build è necessario uno dei seguenti ruoli IAM:
Cloud SQL Client
(opzione preferita)Cloud SQL Admin
cloudsql.instances.connect
cloudsql.instances.get
Se l'account di servizio Cloud Build appartiene a un progetto diverso dall'istanza Cloud SQL, è necessario aggiungere le autorizzazioni IAM e API Cloud SQL per entrambi i progetti.
IP privato
Per connettersi all'istanza Cloud SQL tramite IP privato, Cloud Build deve trovarsi nella stessa rete VPC dell'istanza Cloud SQL. Per configurare questa opzione:
- Configura una connessione privata tra la rete VPC dell'istanza Cloud SQL e la rete del producer di servizi.
- Crea un pool privato di Cloud Build.
Dopo la configurazione, l'applicazione potrà connettersi direttamente utilizzando l'indirizzo IP privato dell'istanza e la porta 5432
quando la build viene eseguita nel pool.
Connettiti a Cloud SQL
Dopo aver configurato Cloud Build, puoi connetterti all'istanza Cloud SQL.
IP pubblico (predefinito)
Per i percorsi IP pubblici, Cloud Build supporta sia i socket Unix che quelli TCP.
Puoi utilizzare il proxy di autenticazione Cloud SQL in un passaggio di Cloud Build per consentire le connessioni al tuo database. Questa configurazione:
- Crea il container ed esegue il push a Container Registry.
- Crea un secondo container, copiando il file binario del proxy di autenticazione Cloud SQL.
- Non è necessario eseguire il push dei container creati da Cloud Build in alcun registro e vengono scartati al completamento della build.
- Utilizzando il secondo container, avvia il proxy di autenticazione Cloud SQL ed esegue gli eventuali comandi di migrazione.
L'esempio di codice Cloud Build riportato sopra mostra come potresti eseguire uno script di migrate ipotetico dopo aver eseguito il deployment dell'app di esempio sopra riportata per aggiornare il relativo database Cloud SQL utilizzando il proxy di autenticazione Cloud SQL e Cloud Build. Per eseguire questo esempio di codice Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome cartella
sql-proxy
- Crea un file
Dockerfile
nella cartellasql-proxy
utilizzando la seguente riga di codice per il contenuto del file:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-proxy
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
cloudbuild.yaml
. - Utilizza una connessione TCP o una connessione socket Unix rimuovendo il blocco di codice relativo al metodo di connessione non utilizzato.
- Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
myinstance
- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Per consentire all'account di servizio Cloud Build di accedere a questo secret, devi concedere il ruolo Accessore ai secret di Secret Manager in IAM. Per saperne di più, vedi Utilizzo dei secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando gli esempi seguenti:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('INSTANCE_CONNECTION_NAME')
- Per fare riferimento alle stesse variabili di uno script Bash (ad esempio:
migrate.sh
), usa i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$INSTANCE_CONNECTION_NAME
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui questo comando
gcloud builds submit
per creare un container con il proxy di autenticazione Cloud SQL, avvia il proxy di autenticazione Cloud SQL ed esegui lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
IP privato
Per i percorsi IP privati, l'applicazione si connette direttamente all'istanza tramite pool privati. Questo metodo utilizza il protocollo TCP per connettersi direttamente all'istanza Cloud SQL senza utilizzare il proxy di autenticazione Cloud SQL.
Connetti con TCP
Connettiti utilizzando l'indirizzo IP privato dell'istanza Cloud SQL come host e la porta 5432
.
Python
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Java
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Nota:
- CLOUD_SQL_CONNECTION_NAME deve essere rappresentata come <MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME>
- Se utilizzi l'argomento ipTypes=PRIVATE, SocketIndustry forzerà la connessione all'IP privato associato a un'istanza
- Consulta qui i requisiti di versione di fabbrica del socket JDBC per il file pom.xml.
Node.js
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Go
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
C#
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Ruby
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
PHP
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Puoi quindi creare un passaggio di Cloud Build per eseguire direttamente il codice.
L'esempio di codice di Cloud Build riportato sopra mostra come potresti eseguire uno script di migrate ipotetico dopo aver eseguito il deployment dell'app di esempio riportata sopra per aggiornare il relativo database Cloud SQL utilizzando Cloud Build. Per eseguire questo esempio di codice Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome cartella
sql-private-pool
- Crea un file
Dockerfile
nella cartellasql-private-pool
utilizzando la seguente riga di codice per il contenuto del file:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-private-pool
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
cloudbuild.yaml
. - Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
databasehost
, nel formatohost:port
.
- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Per consentire all'account di servizio Cloud Build di accedere a questo secret, devi concedere il ruolo Accessore ai secret di Secret Manager in IAM. Per saperne di più, vedi Utilizzo dei secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando gli esempi seguenti:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('DATABASE_HOST')
- Per fare riferimento alle stesse variabili di uno script Bash (ad esempio:
migrate.sh
), usa i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$DATABASE_HOST
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui questo comando
gcloud builds submit
per creare un container con il proxy di autenticazione Cloud SQL, avvia il proxy di autenticazione Cloud SQL ed esegui lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
Best practice e altre informazioni
Puoi utilizzare il proxy di autenticazione Cloud SQL per testare l'applicazione localmente. Per istruzioni dettagliate, consulta la guida rapida all'utilizzo del proxy di autenticazione Cloud SQL.
Puoi anche eseguire il test utilizzando il proxy Cloud SQL tramite un container Docker.
Migrazioni degli schemi del database
Configurando Cloud Build per la connessione a Cloud SQL, puoi eseguire attività di migrazione dello schema del database in Cloud Build utilizzando lo stesso codice di cui eseguire il deployment su qualsiasi altra piattaforma serverless.
Utilizzo di Secret Manager
Puoi utilizzare Secret Manager per includere informazioni sensibili nelle build.