Nesta página, você encontra uma visão geral das maneiras de se conectar à instância do Cloud SQL.
Antes de se conectar a uma instância do Cloud SQL, é necessário decidir como implantar e configurar a instância do Cloud SQL e os recursos de rede de suporte. Se a instância do Cloud SQL já estiver configurada e implantada, esta página vai ajudar você a entender as diferentes maneiras de conectar seus clientes à instância atual.
Tipo de endereço IP: privado ou público
Ao criar sua instância do Cloud SQL, você pode escolher se quer configurá-la com um endereço IP público, um endereço IP particular ou uma combinação dos dois.
Você escolhe a configuração de endereço IP da instância com base nos requisitos do aplicativo. Depois de configurar a instância, especifique um endereço IP público, um endereço IP privado ou, em alguns casos, um nome DNS na string de conexão do cliente.
| Endereço IP particular | Endereço IP público | |
|---|---|---|
| Descrição | Endereço IP interno, somente de rede de nuvem privada virtual (VPC) (privado) | Um endereço IP externo acessível pela Internet (público) |
| Pontos de decisão | Você precisa se conectar de clientes hospedados em redes VPC dentro de Google Cloud ou de clientes que têm acesso a essas redes VPC? Se sim, escolha um endereço IP particular para a instância. |
Você precisa se conectar de clientes fora da rede VPC Google Cloudpela Internet pública? Se sim, escolha um endereço IP público para a instância. |
| Opções de configuração |
Há suporte para os seguintes tipos de configurações de rede privada:
Para mais informações sobre como escolher uma configuração de rede particular, consulte Opções de rede particular: Acesso particular a serviços ou Private Service Connect. |
Ao se conectar diretamente a uma instância usando um endereço IP público, configure as redes autorizadas. Outra alternativa mais segura para se conectar a uma instância do Cloud SQL que usa IP público é usar um conector do Cloud SQL (como o proxy de autenticação do Cloud SQL ou um dos conectores de linguagem do Cloud SQL). Para instruções sobre como adicionar um IP público à instância, consulte Configurar IP público. Para se conectar a uma instância do Cloud SQL usando um endereço IP público,
use o cliente |
| Resumo |
Recomendação: para melhorar a segurança, recomendamos que você configure sua instância com um tipo de endereço IP particular, a menos que tenha requisitos específicos para uma instância do Cloud SQL acessível pela Internet ou se você estiver se conectando de um cliente que não atende aos requisitos de uma VPC. |
|
Tipo de conexão: conector do Cloud SQL ou direta
Ao se conectar a uma instância do Cloud SQL, você pode usar um conector do Cloud SQL ou fazer uma conexão direta.
Um conector do Cloud SQL é o proxy de autenticação do Cloud SQL ou um dos conectores de linguagem do Cloud SQL.
| Conector do Cloud SQL | Conexão direta | |
|---|---|---|
| Descrição | O proxy de autenticação do Cloud SQL, um proxy do lado do cliente, e os conectores de linguagem do Cloud SQL, bibliotecas do lado do cliente, oferecem acesso simplificado e seguro às suas instâncias do Cloud SQL, principalmente quando você se conecta a uma instância usando um endereço IP público. | Uma conexão direta de um cliente a uma instância do Cloud SQL oferece uma conexão de menor latência. Uma conexão direta pode ser feita de um endereço IP público ou particular. |
| Pontos de decisão |
Os conectores do Cloud SQL são úteis nos seguintes cenários:
|
O uso de uma conexão direta oferece os seguintes benefícios:
|
| Opções de configuração |
Os seguintes serviços do Google Cloud usam um proxy de autenticação do Cloud SQL incorporado quando você se conecta a uma instância do Cloud SQL por um endereço IP público: |
Para configurar certificados SSL/TLS na instância do Cloud SQL e para seu cliente, faça o seguinte:
|
| Resumo | Ao se conectar a uma instância do Cloud SQL, você pode usar um conector do Cloud SQL ou se conectar diretamente dos clientes. Recomendação geral: se você estiver se conectando a uma instância por um endereço IP particular, use uma conexão direta. Também recomendamos que você aplique o SSL e configure certificados SSL/TLS para sua conexão. Se você estiver se conectando a uma instância por um endereço IP público, use um conector do Cloud SQL (o proxy de autenticação do Cloud SQL ou um dos conectores de linguagem do Cloud SQL). |
|
Tipo de autenticação do banco de dados: IAM ou integrada
Ao se conectar a uma instância, você precisa se autenticar como um usuário do banco de dados. É possível escolher entre a autenticação integrada ou a autenticação do banco de dados do IAM.
| Autenticação do banco de dados do IAM | Autenticação integrada | |
|---|---|---|
| Descrição | Com a autenticação de banco de dados do IAM, é possível se autenticar em bancos de dados com Google Cloud usuários e contas de serviço do IAM usando tokens de acesso de curta duração em vez de senhas. É possível gerenciar privilégios de banco de dados usando principais do IAM, como usuários, contas de serviço e grupos. | A autenticação integrada usa nomes de usuários e senhas locais do banco de dados para autenticar usuários do banco de dados. |
| Pontos de decisão | Você prefere centralizar o gerenciamento de usuários em serviços do Google Cloud usando o IAM no Google Cloud? Em caso afirmativo, use a autenticação do banco de dados do IAM. | Você tem aplicativos ou fluxos de trabalho que dependem da autenticação de banco de dados integrada? Em caso afirmativo, use a autenticação integrada. |
| Opções de configuração | É possível usar a autenticação de banco de dados do IAM para usuários individuais do IAM, contas de serviço individuais e grupos. Para mais informações, consulte Gerenciar usuários com a autenticação de banco de dados do IAM . Se você usar um conector do Cloud SQL, ele vai processar a atualização automática dos tokens de acesso do IAM. Para mais informações, consulte autenticação automática do banco de dados do IAM. |
É possível usar a autenticação integrada do banco de dados e configurar políticas de senha nos níveis da instância e do usuário. Para mais informações, consulte Autenticação integrada. |
| Resumo | Recomendação: a menos que você tenha aplicativos ou fluxos de trabalho que dependam da autenticação de banco de dados integrada, use a autenticação de banco de dados do IAM sempre que possível. | |
Opções de rede privada ao usar um endereço IP particular
Ao configurar sua instância para usar um endereço IP particular, você pode escolher as seguintes opções de rede privada: acesso a serviços privados, Private Service Connect ou ambos.
Recursos compatíveis
A tabela a seguir lista os recursos compatíveis com o Cloud SQL ao se conectar a uma instância configurada com uma ou ambas as opções de rede privada.
| Recurso | Instância com acesso a serviços privados apenas | Instância somente com o Private Service Connect | Instância com acesso a serviços particulares e Private Service Connect |
|---|---|---|---|
| Conectar-se de várias VPCs | Incompatível. | Compatível. | Oferece suporte ao uso do endpoint do Private Service Connect. |
pglogical, PL/Proxy, dblink e
postgres_fdw extensões |
Compatível. | Incompatível. | Compatível com o uso da conectividade de saída para acesso a serviços particulares. |
| Réplicas externas | Compatível. | Incompatível. | Compatível com o uso da conectividade de saída para acesso a serviços particulares. |
| Endpoint de gravação | Compatível. | Incompatível. | Compatível com o acesso a serviços particulares. |
| Mudar a rede VPC associada para o acesso a serviços particulares | Compatível. | Não relevante. | Não é compatível com o acesso a serviços particulares porque a instância tem o Private Service Connect ativado. Não aplicável ao Private Service Connect. |
| Visibilidade do endereço IP do cliente para o Cloud SQL | Compatível. | Incompatível. | É possível usar o endereço IP de acesso a serviços particulares. Não é compatível com o endpoint do Private Service Connect. |
Remover opções de rede de uma instância
O Cloud SQL permite remover as seguintes opções de rede de uma instância:
- IP público de uma instância com acesso a serviços particulares e IP público
- IP público de uma instância com IP público, acesso a serviços privados e Private Service Connect
- Private Service Connect de uma instância com Private Service Connect e acesso a serviços particulares
- Private Service Connect de uma instância com Private Service Connect, acesso a serviços particulares e IP público
Ativar opções de rede para uma instância
É possível ativar o Cloud SQL para permitir as seguintes opções de conexão para instâncias:
- Acesso a serviços particulares em uma instância somente com IP público
- Private Service Connect em uma instância com acesso somente a serviços particulares
- Private Service Connect em uma instância com acesso a serviços particulares e IP público
- IP público em uma instância com acesso a serviços privados apenas
Limitações
- Não é possível criar uma instância com um endereço IP público e o Private Service Connect.
- Não é possível remover o acesso a serviços particulares de uma instância com acesso a serviços particulares e Private Service Connect.
- Não é possível remover o acesso a serviços privados de uma instância com acesso a serviços privados e IP público.
- Se você tiver uma instância que usa apenas IP público, não será possível ativar o Acesso a serviços privados e o Private Service Connect ao mesmo tempo. Primeiro, ative o acesso a serviços privados e depois o Private Service Connect.
- Não é possível usar redes autorizadas para criar uma lista de permissões baseada em endereços IP para instâncias do Private Service Connect.
Ferramentas para se conectar ao Cloud SQL
A tabela a seguir contém algumas opções para se conectar ao Cloud SQL:
| Opção de conexão | Mais informações |
|---|---|
| Proxy do Cloud SQL Auth | |
| CLI gcloud | |
| Conectores de linguagem do Cloud SQL | |
| Cloud Shell | |
| Cloud Code | |
| Conecte-se usando ferramentas de administração de banco de dados de terceiros | |
| pgAdmin | |
| Toad Edge | |
| Blendo |
Resolver problemas
Se você tiver problemas de conexão, consulte as páginas a seguir para receber ajuda na depuração ou localização de soluções para problemas conhecidos:
- Como depurar problemas de conexão
- Erros conhecidos de conectividade
- Solução de problemas de conexão do proxy de autenticação do Cloud SQL
- Problemas comuns de conexão
A seguir
- Aprenda a se conectar com o Guia de início rápido do Cloud SQL para Postgres.
- Conheça as práticas recomendadas para gerenciar conexões de banco de dados.
- Saiba mais sobre a autenticação do banco de dados do IAM.
- Saiba mais sobre como se conectar usando um cliente psql em uma máquina local ou no Compute Engine.
- Saiba mais sobre configurar a conectividade IP.
- Saiba mais sobre o proxy de autenticação do Cloud SQL.
- Conheça as opções de suporte.