Auf dieser Seite wird beschrieben, wie Sie eine Verbindung zu Ihrer Cloud SQL-Instanz über transitive Peering-VPCs herstellen.
Cloud SQL bietet die folgenden Möglichkeiten, eine Cloud SQL-Instanz über eine private IP-Adresse mit mehreren VPCs zu verbinden:
- Über benutzerdefinierte beworbene Routen verbinden
- Über einen Zwischen-Proxy (SOCKS5) verbinden
- Verbindung über Proxy als Dienst herstellen
- Verbindung über Private Service Connect herstellen
Weitere Informationen zu Ihrer Cloud SQL-Instanz und mehreren VPCs finden Sie unter Cloud SQL-Instanz in mehreren VPCs.
Mit benutzerdefinierten beworbenen Routen verbinden
Mit Cloud Router können Sie benutzerdefinierte beworbene Routen zwischen zwei Netzwerken konfigurieren, die über eine Zwischen-VPC mehrere VPCs mit Ihrer Cloud SQL-Instanz verbinden. Die beiden VPCs müssen über ein virtuelles privates Netzwerk (VPN), Cloud Interconnect oder ein anderes von Cloud Router unterstütztes Netzwerk verbunden sein.
Mit benutzerdefiniertem Route Advertisement, der Cloud SQL-VPC, VPC C ist mit Ihrer Haupt-VPC, VPC A, über eine Zwischen-VPC, VPC B, verbunden. Sie können freigegebene Routen zwischen diesen Netzwerken auf folgende Arten konfigurieren:
You can use Cloud Router to manually advertise routes between two networks that go through an intermediate VPC. For more information on how to configure Cloud Router to manually advertise routes, see Transit network.
Sie können zwei HA VPC-Gateways erstellen, die miteinander verbunden sind, um die beiden verschiedenen VPCs zu verbinden, und Cloud Router so konfigurieren, dass Routen zwischen ihnen freigegeben werden. Weitere Informationen zum Einrichten von HA-VPC-Gateways finden Sie unter HA-VPC-Gateways zum Verbinden von VPC-Netzwerken erstellen.
We recommend using custom advertised routes to connect multiple VPCs to your Cloud SQL instance using Cloud Router.
Connect using an intermediate proxy (SOCKS5)
Sie können einen Zwischenproxy, z. B. SOCKS5-Proxy, in einer zwischengeschalteten VPC zusammen mit dem Cloud SQL Auth-Proxy in Ihrer Haupt-VPC zwischen dem Client und Ihrer Cloud SQL-Instanz einrichten. Dadurch kann der Zwischenknoten verschlüsselten Traffic vom Cloud SQL Auth Proxy an die Cloud SQL-Instanz weiterleiten.
So verwenden Sie einen Zwischenproxy, um von mehreren VPCs aus eine Verbindung zu Ihrer Cloud SQL-Instanz herzustellen:
Installieren Sie die gcloud CLI auf Ihrem externen Client.
Installieren, konfigurieren und führen Sie einen SOCKS-Server auf der intermediären VM aus. Ein Beispiel für diesen Server ist Dante, eine beliebte Open-Source-Lösung.
Konfigurieren Sie den Server so, dass er sowohl für externe als auch für interne Verbindungen an die Netzwerkschnittstelle
ens4
der VM gebunden ist. Geben Sie für interne Verbindungen einen beliebigen Port an.Konfigurieren Sie die Firewall Ihrer VPC so, dass TCP-Traffic von der entsprechenden IP-Adresse oder dem entsprechenden Bereich zum konfigurierten Port des SOCKS-Servers zugelassen wird.
Laden Sie den Cloud SQL Auth-Proxy auf Ihren externen Client herunter und installieren Sie ihn.
Starten Sie den Cloud SQL Auth-Proxy auf Ihrem externen Client.
Da Sie die Instanz für die Verwendung einer internen IP-Adresse konfiguriert haben, müssen Sie beim Starten des Cloud SQL Auth-Proxys die Option
--private-ip
angeben.Legen Sie außerdem die Umgebungsvariable
ALL_PROXY
auf die IP-Adresse der intermediären VM fest und geben Sie den Port an, den der SOCKS-Server verwendet. z. B.ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT.
.Wenn Sie eine Verbindung von einer Peering-VPC herstellen, verwenden Sie die interne IP-Adresse der intermediären VM. Andernfalls verwenden Sie deren externe IP-Adresse.
Testen Sie die Verbindung auf Ihrem externen Client mit
psql
.
Verbindung über den Cloud SQL Auth-Proxy herstellen
Sie können den Cloud SQL Auth Proxy in Ihrer Zwischen-VPC anstelle Ihres externen Clients installieren und ausführen und sichere Verbindungen durch Koppeln mit einem protokollsensitiven Proxy, auch Verbindungs-Pooler genannt, aktivieren. Beispiele für Verbindungspooler sind PGbouncer oder Pgpool-II(nur PostgreSQL).
This connection method allows your applications to securely connect directly to the pooler using a configured SSL. The pooler passes databases queries to your Cloud SQL instance using the Cloud SQL Auth Proxy.
Verbindung über Private Service Connect herstellen
Private Service Connect allows you to connect to multiple VPC networks across different projects or organizations. You can use Private Service Connect to connect to either a primary instance or any of its read replicas. For more information about Private Service Connect, see Private Service Connect overview.
To connect across multiple VPCs using Private Service Connect, see Connect to an instance using Private Service Connect.