Auf dieser Seite wird beschrieben, wie Sie über VPCs mit transitiver Peering-Verbindung eine Verbindung zu Ihrer Cloud SQL-Instanz herstellen.
Cloud SQL bietet folgende Möglichkeiten, eine Verbindung zwischen Ihrer Cloud SQL-Instanz und mehreren VPCs über private IP-Adressen herzustellen:
- Verbindung über benutzerdefinierte beworbene Routen herstellen
- Connect using an intermediate proxy (SOCKS5)
- Verbindung über Proxy als Dienst herstellen
- Verbindung über Private Service Connect herstellen
Verbindung über benutzerdefinierte beworbene Routen herstellen
Mit Cloud Router können Sie benutzerdefinierte beworbene Routen zwischen zwei Netzwerken konfigurieren, die über ein Zwischen-VPC laufen, um mehrere VPCs mit Ihrer Cloud SQL-Instanz zu verbinden. Die beiden VPCs müssen über ein virtuelles privates Netzwerk (VPN), Cloud Interconnect oder ein anderes von Cloud Router unterstütztes Netzwerk verbunden sein.
Mit benutzerdefiniertem Route Advertisement, der Cloud SQL-VPC, VPC C ist mit Ihrer Haupt-VPC, VPC A, über eine Zwischen-VPC, VPC B, verbunden. Sie können freigegebene Routen zwischen diesen Netzwerken auf folgende Arten konfigurieren:
You can use Cloud Router to manually advertise routes between two networks that go through an intermediate VPC. For more information on how to configure Cloud Router to manually advertise routes, see Transit network.
Sie können zwei HA VPC-Gateways erstellen, die miteinander verbunden sind, um eine Brücke zwischen den beiden verschiedenen VPCs zu bilden, und Cloud Router so konfigurieren, dass Routen zwischen ihnen freigegeben werden. Weitere Informationen zum Einrichten von HA VPC-Gateways finden Sie unter HA VPC-Gateways zum Verbinden von VPC-Netzwerken erstellen.
We recommend using custom advertised routes to connect multiple VPCs to your Cloud SQL instance using Cloud Router.
Connect using an intermediate proxy (SOCKS5)
Sie können einen Zwischenproxy, z. B. SOCKS5-Proxy, in einer zwischengeschalteten VPC zusammen mit dem Cloud SQL Auth-Proxy in Ihrer Haupt-VPC zwischen dem Client und Ihrer Cloud SQL-Instanz einrichten. So kann der Zwischenknoten verschlüsselten Traffic vom Cloud SQL Auth-Proxy an die Cloud SQL-Instanz weiterleiten.
So verwenden Sie einen Zwischenproxy, um von mehreren VPCs aus eine Verbindung zu Ihrer Cloud SQL-Instanz herzustellen:
Installieren Sie die gcloud CLI auf Ihrem externen Client.
Installieren, konfigurieren und führen Sie einen SOCKS-Server auf der intermediären VM aus. Ein Beispiel für diesen Server ist Dante, eine beliebte Open-Source-Lösung.
Konfigurieren Sie den Server so, dass er sowohl für externe als auch für interne Verbindungen an die Netzwerkschnittstelle
ens4
der VM gebunden ist. Geben Sie für interne Verbindungen einen beliebigen Port an.Konfigurieren Sie die Firewall Ihrer VPC so, dass TCP-Traffic von der entsprechenden IP-Adresse oder dem entsprechenden Bereich zum konfigurierten Port des SOCKS-Servers zugelassen wird.
Laden Sie den Cloud SQL Auth-Proxy auf Ihren externen Client herunter und installieren Sie ihn.
Starten Sie den Cloud SQL Auth-Proxy auf Ihrem externen Client.
Da Sie die Instanz für die Verwendung einer internen IP-Adresse konfiguriert haben, müssen Sie beim Starten des Cloud SQL Auth-Proxys die Option
--private-ip
angeben.Legen Sie außerdem die Umgebungsvariable
ALL_PROXY
auf die IP-Adresse der intermediären VM fest und geben Sie den Port an, den der SOCKS-Server verwendet. z. B.ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT.
.Wenn Sie eine Verbindung von einer Peering-VPC herstellen, verwenden Sie die interne IP-Adresse der intermediären VM. Andernfalls verwenden Sie deren externe IP-Adresse.
Testen Sie die Verbindung auf Ihrem externen Client mit
psql
.
Verbindung über den Cloud SQL Auth-Proxy herstellen
Sie können den Cloud SQL Auth-Proxy anstelle eines externen Clients in Ihrer zwischengeschalteten VPC installieren und ausführen und sichere Verbindungen aktivieren, indem Sie ihn mit einem protokollsensitiven Proxy, auch als Verbindungspooler bezeichnet, koppeln. Beispiele für Verbindungspooler sind PGbouncer oder Pgpool-II(nur PostgreSQL).
This connection method allows your applications to securely connect directly to the pooler using a configured SSL. The pooler passes databases queries to your Cloud SQL instance using the Cloud SQL Auth Proxy.
Verbindung über Private Service Connect herstellen
Private Service Connect allows you to connect to multiple VPC networks across different projects or organizations. You can use Private Service Connect to connect to either a primary instance or any of its read replicas. For more information about Private Service Connect, see Private Service Connect overview.
To connect across multiple VPCs using Private Service Connect, see Connect to an instance using Private Service Connect.