Questa pagina contiene informazioni ed esempi per la connessione a un'istanza Cloud SQL da un servizio in esecuzione in Cloud Build.
Cloud SQL è un servizio di database completamente gestito che semplifica la configurazione, la gestione e l'amministrazione dei database relazionali nel cloud.
Cloud Build è un servizio che esegue le tue build sull' Google Cloud infrastruttura.
Configura un'istanza Cloud SQL
- Se non l'hai già fatto, abilita l'API Cloud SQL Admin nel progetto Google Cloud da cui ti connetti:
- Crea un'istanza Cloud SQL per PostgreSQL. Ti consigliamo di scegliere una
località dell'istanza Cloud SQL nella stessa regione del servizio Cloud Run per una latenza migliore, per evitare alcuni costi di rete e per ridurre i rischi di errori tra regioni.
Per impostazione predefinita, Cloud SQL assegna un indirizzo IP pubblico a una nuova istanza. Hai anche la possibilità di assegnare un indirizzo IP privato. Per ulteriori informazioni sulle opzioni di connettività per entrambi, consulta la pagina Panoramica della connessione.
Configurare un repository Artifact Registry
- Se non l'hai ancora fatto, attiva l'API Artifact Registry nel progetto Google Cloud da cui ti colleghi:
- Crea un Artifact Registry Docker. Per migliorare la latenza, ridurre il rischio di errori tra regioni ed evitare costi di rete aggiuntivi, ti consigliamo di scegliere una località di Artifact Registry nella stessa regione del tuo servizio Cloud Run.
Configura Cloud Build
I passaggi per configurare Cloud Build dipendono dal tipo di indirizzo IP assegnato all'istanza Cloud SQL.IP pubblico (predefinito)
Assicurati che il tuo
account di servizio Cloud Build disponga dei ruoli IAM
e delle autorizzazioni necessari per connettersi all'istanza Cloud SQL.
L'account di servizio Cloud Build è elencato nella pagina IAM della console Google Cloud come Principale
[YOUR-PROJECT-NUMBER]@cloudbuild.gserviceaccount.com
.
Per visualizzare questo account di servizio nella console Google Cloud, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
L'account di servizio Cloud Build deve disporre del
Cloud SQL Client
ruolo IAM.
Se l'account di servizio Cloud Build appartiene a un progetto diverso dall'istanza Cloud SQL, l'API Cloud SQL Admin e il ruolo devono essere aggiunti per entrambi i progetti.
IP privato
Per connetterti all'istanza Cloud SQL tramite IP privato, Cloud Build deve trovarsi nella stessa rete VPC dell'istanza Cloud SQL. Per configurare questa opzione:
- Configura una connessione privata tra la rete VPC della tua istanza Cloud SQL e la rete del producer di servizi.
- Crea un pool privato Cloud Build.
Una volta configurata, l'applicazione potrà connettersi direttamente utilizzando l'indirizzo IP privato e la porta 5432
dell'istanza quando la build viene eseguita nel pool.
Connettiti a Cloud SQL
Dopo aver configurato Cloud Build, puoi connetterti all'istanza Cloud SQL.
IP pubblico (predefinito)
Per i percorsi IP pubblici, Cloud Build supporta sia le socket Unix che TCP.
Puoi utilizzare il proxy di autenticazione Cloud SQL in un passaggio di Cloud Build per consentire le connessioni al tuo database. Questa configurazione:
- Crea il container e lo esegue in push in Artifact Registry.
- Crea un secondo contenitore, copiando il file binario del proxy di autenticazione Cloud SQL.
- I container creati da Cloud Build non devono essere inviati a nessun registry e vengono eliminati al termine della compilazione.
- Utilizzando il secondo contenitore, avvia il proxy di autenticazione Cloud SQL ed esegui eventuali comandi di migrazione.
steps: - id: install-proxy name: gcr.io/cloud-builders/wget entrypoint: sh args: - -c - | wget -O /workspace/cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/2.14.3 chmod +x /workspace/cloud-sql-proxy - id: migrate waitFor: ['install-proxy'] name: YOUR_CONTAINER_IMAGE_NAME entrypoint: sh env: - "DATABASE_NAME=${_DATABASE_NAME}" - "DATABASE_USER=${_DATABASE_USER}" - "DATABASE_PORT=${_DATABASE_PORT}" - "INSTANCE_CONNECTION_NAME=${_INSTANCE_CONNECTION_NAME}" secretEnv: - DATABASE_PASS args: - "-c" - | /workspace/cloud-sql-proxy ${_INSTANCE_CONNECTION_NAME} --port ${_DATABASE_PORT} & sleep 2; # Cloud SQL Proxy is now up and running, add your own logic below to connect python migrate.py # For example options: dynamic_substitutions: true substitutions: _DATABASE_USER: myuser _DATABASE_NAME: mydatabase _INSTANCE_CONNECTION_NAME: ${PROJECT_ID}:us-central1:myinstance _DATABASE_PORT: '5432' _DATABASE_PASSWORD_KEY: database_password _AR_REPO_REGION: us-central1 _AR_REPO_NAME: my-docker-repo _IMAGE_NAME: ${_AR_REPO_REGION}-docker.pkg.dev/${PROJECT_ID}/${_AR_REPO_NAME}/sample-sql-proxy availableSecrets: secretManager: - versionName: projects/$PROJECT_ID/secrets/${_DATABASE_PASSWORD_KEY}/versions/latest env: "DATABASE_PASS"
Il esempio di codice di Cloud Build mostra come eseguire uno script migrate.py
ipotetico dopo aver eseguito il deployment dell'app di esempio precedente per aggiornarne il database Cloud SQL utilizzando il proxy di autenticazione Cloud SQL e Cloud Build.
Per eseguire questo esempio di codice Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome per la cartella
sql-proxy
- Crea un file
Dockerfile
nella cartellasql-proxy
con la seguente singola riga di codice per i contenuti del file:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-proxy
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice di Cloud Build di esempio precedente e incollalo nel file
cloudbuild.yaml
. - Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
myinstance
- Copia il codice di Cloud Build di esempio precedente e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Affinché l'account di servizio Cloud Build possa accedere a questo secret, devi concedergli il ruolo Accesso ai secret di Secret Manager in IAM. Per ulteriori informazioni, consulta la sezione Utilizzare i secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando i seguenti esempi:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('INSTANCE_CONNECTION_NAME')
- Per fare riferimento alle stesse variabili da uno script Bash (ad es.
migrate.sh
), utilizza i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$INSTANCE_CONNECTION_NAME
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui il seguente comando
gcloud builds submit
per creare un contenitore con il proxy di autenticazione Cloud SQL, avviare il proxy di autenticazione Cloud SQL ed eseguire lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
IP privato
Per i percorsi IP privati, l'applicazione si connette direttamente all'istanza tramite pool privati. Questo metodo utilizza TCP per connettersi direttamente all'istanza Cloud SQL senza utilizzare il proxy di autenticazione Cloud SQL.
Connettiti con TCP
Connettiti utilizzando l'indirizzo IP privato dell'istanza Cloud SQL come host e la porta 5432
.
Python
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
Java
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
Nota:
- CLOUD_SQL_CONNECTION_NAME deve essere rappresentato come <MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME>
- L'utilizzo dell'argomento ipTypes=PRIVATE forza SocketFactory a connettersi all'IP privato associato di un'istanza
- Consulta i requisiti della versione della fabbrica di socket JDBC per il file pom.xml qui .
Node.js
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
Vai
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
C#
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
Ruby
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
PHP
Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.
Puoi quindi creare un passaggio Cloud Build per eseguire direttamente il codice.
L'esempio di codice Cloud Build riportato sopra mostra come potresti eseguire un ipoteticodi script di migrazione dopo aver eseguito il deployment dell'app di esempio riportata sopra per aggiornarne il database Cloud SQL utilizzando Cloud Build. Per eseguire questo esempio di codice Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome per la cartella
sql-private-pool
- Crea un file
Dockerfile
nella cartellasql-private-pool
con la seguente singola riga di codice per i contenuti del file:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-private-pool
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice di Cloud Build di esempio riportato sopra e incollalo nel file
cloudbuild.yaml
. - Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
databasehost
, nella formahost:port
.
- Copia il codice di Cloud Build di esempio riportato sopra e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Affinché l'account di servizio Cloud Build possa accedere a questo segreto, devi concedergli il ruolo Accesso ai segreti di Secret Manager in IAM. Per ulteriori informazioni, consulta la sezione Utilizzare i secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando i seguenti esempi:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('DATABASE_HOST')
- Per fare riferimento alle stesse variabili da uno script Bash (ad es.
migrate.sh
), utilizza i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$DATABASE_HOST
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui il seguente comando
gcloud builds submit
per creare un contenitore con il proxy di autenticazione Cloud SQL, avviare il proxy di autenticazione Cloud SQL ed eseguire lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
Best practice e altre informazioni
Puoi utilizzare il proxy di autenticazione Cloud SQL per testare la tua applicazione localmente. Per istruzioni dettagliate, consulta la guida rapida per l'utilizzo del proxy di autenticazione Cloud SQL.
Puoi anche eseguire il test utilizzando il proxy Cloud SQL tramite un container Docker.
Migrazioni dello schema del database
Configurando Cloud Build per connettersi a Cloud SQL, puoi eseguire attività di migrazione dello schema del database in Cloud Build utilizzando lo stesso codice che esegui il deployment in qualsiasi altra piattaforma serverless.
Utilizzo di Secret Manager
Puoi utilizzare Secret Manager per includere informazioni sensibili nelle build.