Cette page explique comment établir une connexion à votre instance Cloud SQL sur des VPC appairés de manière transitoire.
Cloud SQL propose les méthodes suivantes pour connecter votre instance Cloud SQL à plusieurs VPC à l'aide d'une adresse IP privée :
- Se connecter à l'aide de routes annoncées personnalisées
- Se connecter à l'aide d'un proxy intermédiaire (SOCKS5)
- Se connecter à l'aide du proxy en tant que service
- Se connecter à l'aide de Private Service Connect
Pour en savoir plus sur votre instance Cloud SQL et l'utilisation de plusieurs VPC, consultez la section Instance Cloud SQL sur plusieurs VPC.
Se connecter à l'aide de routes annoncées personnalisées
Vous pouvez utiliser Cloud Router pour configurer des routes annoncées personnalisées entre deux réseaux qui passent par un VPC intermédiaire pour connecter plusieurs VPC à votre instance Cloud SQL. Les deux VPC doivent être connectés à l'aide d'un réseau privé virtuel (VPN), de Cloud Interconnect ou de tout autre réseau compatible avec Cloud Router.
Avec les routes annoncées personnalisées, votre VPC Cloud SQL, VPC C, est connecté à votre VPC principal, VPC A, en utilisant un VPC intermédiaire, VPC B. Vous pouvez configurer les routes partagées entre ces réseaux des manières suivantes :
Vous pouvez utiliser Cloud Router pour annoncer manuellement des routes entre deux réseaux qui passent par un VPC intermédiaire. Pour savoir comment configurer Cloud Router pour annoncer manuellement des routes, consultez la section Réseau de transit.
Vous pouvez créer deux passerelles VPC haute disponibilité qui se connectent l'une à l'autre pour relier les deux VPC différents et configurer Cloud Router de façon à partager les routes entre eux. Pour savoir comment configurer des passerelles VPC haute disponibilité, consultez la section Créer des passerelles VPC haute disponibilité pour connecter des réseaux VPC.
Nous vous recommandons d'utiliser des routes annoncées personnalisées pour connecter plusieurs VPC à votre instance Cloud SQL à l'aide de Cloud Router.
Se connecter à l'aide d'un proxy intermédiaire (SOCKS5)
Vous pouvez configurer un proxy intermédiaire, tel qu'un proxy SOCKS5, sur un VPC intermédiaire avec le proxy d'authentification Cloud SQL dans votre VPC principal entre le client et votre instance Cloud SQL. Cela permet au nœud intermédiaire de transférer le trafic chiffré du proxy d'authentification Cloud SQL vers l'instance Cloud SQL.
Pour utiliser un proxy intermédiaire pour vous connecter à votre instance Cloud SQL à partir de plusieurs VPC, procédez comme suit :
Sur votre client externe, installez gcloud CLI.
Sur la VM intermédiaire, installez, configurez et exécutez un serveur SOCKS. À titre d'exemple, Dante est une solution Open Source très répandue.
Configurez le serveur pour qu'il soit lié à l'interface réseau
ens4
de la VM à la fois pour les connexions externes et internes. Pour les connexions internes, spécifiez n'importe quel port.Configurez le pare-feu de votre VPC pour autoriser le trafic TCP provenant de l'adresse IP ou de la plage appropriée vers le port configuré du serveur SOCKS.
Sur votre client externe, téléchargez et installez le proxy d'authentification Cloud SQL.
Sur votre client externe, démarrez le proxy d'authentification Cloud SQL.
Étant donné que vous avez configuré votre instance pour utiliser une adresse IP interne, vous devez indiquer l'option
--private-ip
lorsque vous démarrez le proxy d'authentification Cloud SQL.Définissez également la variable d'environnement
ALL_PROXY
sur l'adresse IP de la VM intermédiaire et spécifiez le port utilisé par le serveur SOCKS. Par exemple,ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT.
.Si vous vous connectez à partir d'un VPC appairé, utilisez l'adresse IP interne de la VM intermédiaire. Sinon, utilisez son adresse IP externe.
Sur votre client externe, testez votre connexion à l'aide de
psql
.
Se connecter à l'aide du proxy d'authentification Cloud SQL en tant que service
Vous pouvez installer et exécuter le proxy d'authentification Cloud SQL sur votre VPC intermédiaire plutôt que sur votre client externe et activer des connexions sécurisées en l'associant à un proxy compatible avec le protocole, également appelé "pooler de connexions". PGbouncer ou Pgpool-II (PostgreSQL uniquement) sont des exemples de poolers de connexions.
Cette méthode de connexion permet à vos applications de se connecter directement au pooler de manière sécurisée à l'aide d'un protocole SSL configuré. Le pooler transmet des requêtes de base de données à votre instance Cloud SQL à l'aide du proxy d'authentification Cloud SQL.
Se connecter à l'aide de Private Service Connect
Private Service Connect vous permet de vous connecter à plusieurs réseaux VPC dans différents projets ou différentes organisations. Vous pouvez utiliser Private Service Connect pour vous connecter à une instance principale ou à l'une de ses instances répliquées avec accès en lecture. Pour plus d'informations sur Private Service Connect, consultez la Présentation de Private Service Connect.
Pour vous connecter à plusieurs VPC à l'aide de Private Service Connect, consultez la section Se connecter à une instance à l'aide de Private Service Connect.