Menghubungkan ke instance Cloud SQL dari luar VPC-nya

Halaman ini menjelaskan cara terhubung ke instance Cloud SQL dari luar Virtual Private Cloud (VPC) yang dikonfigurasi.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menyelesaikan tindakan berikut:

  1. Anda membuat instance Cloud SQL.
  2. Anda mengonfigurasi instance untuk menggunakan alamat IP internal, bukan alamat IP eksternal.

Tentang koneksi eksternal

Instance Cloud SQL Anda terdiri dari sejumlah node dalam VPC yang dikelola Google. Saat membuat instance, Anda juga mengonfigurasi akses layanan pribadi atau Private Service Connect antara salah satu VPC dan VPC yang dikelola Google yang berisi instance baru Anda. Koneksi peering ini memungkinkan Anda menggunakan alamat IP internal untuk mengakses resource di VPC instance seolah-olah resource tersebut adalah bagian dari VPC Anda sendiri.

Dalam situasi berikut, hubungkan ke instance Anda dari luar VPC yang terhubung:

  • Aplikasi Anda berjalan di luar VPC yang digunakan untuk terhubung ke instance melalui akses layanan pribadi atau Private Service Connect.

  • Aplikasi Anda berjalan di VPC yang ada di luar jaringan Google.

  • Aplikasi Anda berjalan di komputer yang berada di tempat lain di internet publik.

Dalam semua kasus ini, Anda harus mengonfigurasi layanan tambahan untuk mengaktifkan koneksi eksternal semacam ini ke instance Cloud SQL.

Sebaiknya gunakan solusi berikut untuk membuat koneksi eksternal, bergantung pada kebutuhan Anda:

  • Untuk pengembangan project atau pembuatan prototipe, atau untuk lingkungan produksi dengan biaya yang relatif rendah, konfigurasi virtual machine (VM) perantara—juga dikenal sebagai bastion—dalam VPC Anda. Ada berbagai metode untuk mem-build VM perantara ini guna mengubahnya menjadi koneksi aman antara lingkungan aplikasi eksternal dan instance Cloud SQL Anda.

  • Untuk lingkungan produksi yang memerlukan ketersediaan tinggi, sebaiknya buat koneksi permanen antara VPC dan aplikasi Anda melalui Cloud VPN atau Cloud Interconnect.

Bagian berikut menjelaskan solusi ini.

Menghubungkan melalui VM perantara

Untuk membuat koneksi ke instance Cloud SQL dari di luar VPC-nya menggunakan alat open source dan resource tambahan minimum, jalankan layanan proxy di VM perantara yang dikonfigurasi dalam VPC tersebut. Anda dapat mengonfigurasi VM baru atau menggunakan VM yang sudah berjalan dalam VPC instance Cloud SQL.

Sebagai solusi mandiri, penggunaan VM perantara umumnya lebih hemat biaya dan memiliki waktu penyiapan yang lebih cepat daripada menggunakan produk Konektivitas Jaringan. Hal ini juga memiliki kelemahan: ketersediaan, keamanan, dan throughput data koneksi semuanya menjadi bergantung pada VM perantara, yang harus Anda pertahankan sebagai bagian dari project.

Menghubungkan melalui IAP

Dengan menggunakan Identity-Aware Proxy (IAP), Anda dapat terhubung ke instance Cloud SQL dengan aman tanpa perlu mengekspos alamat IP internal VM perantara. Anda menggunakan kombinasi aturan firewall dan Identity and Access Management (IAM) untuk membatasi akses melalui rute ini. Hal ini menjadikan IAP sebagai solusi yang baik untuk penggunaan non-produksi seperti pengembangan dan pembuatan prototipe.

Arsitektur Identity-Aware Proxy

Dalam diagram ini, IAP berfungsi sebagai gateway antara klien eksternal yang berada di luar VPC dan VM perantara yang berada di VPC. Klien membuat tunnel SSH ke IAP. Proxy Auth Cloud SQL mengenkripsi traffic antara VM dan instance Cloud SQL. Melalui kedua proxy ini, komunikasi akan dilakukan antara klien dan instance.

Untuk mengonfigurasi akses IAP ke instance Anda, ikuti langkah-langkah berikut:

  1. Di klien eksternal, instal gcloud CLI.

  2. Di VM perantara, download dan instal Proxy Auth Cloud SQL.

  3. Di VM perantara, mulai Proxy Auth Cloud SQL.

    Karena VM Anda dikonfigurasi dengan alamat IP internal, saat memulai Proxy Auth Cloud SQL, Anda harus memberikan opsi --private-ip.

  4. Di project Google Cloud , aktifkan penerusan TCP IAP.

    Saat menentukan aturan firewall baru, izinkan traffic TCP masuk ke port 22 (SSH). Jika Anda menggunakan jaringan default project dengan aturan default-allow-ssh yang telah diisi otomatis diaktifkan, Anda tidak perlu menentukan aturan tambahan.

  5. Konfigurasikan penerusan port antara klien eksternal dan VM perantara menggunakan SSH melalui IAP:

    gcloud compute ssh VM_NAME \
    --tunnel-through-iap \
    --zone=ZONE_NAME \
    --ssh-flag="-L 5432:localhost:5432"

    Lakukan penggantian berikut:

    • VM_NAME: nama VM
    • ZONE_NAME: nama zona yang terkait dengan VM
  6. Di klien eksternal, uji koneksi Anda menggunakan psql.

Terhubung melalui proxy SOCKS

Menjalankan layanan SOCKS di VM perantara memberikan koneksi yang fleksibel dan skalabel ke instance Cloud SQL Anda, dengan enkripsi menyeluruh yang disediakan oleh Proxy Auth Cloud SQL.

Untuk informasi selengkapnya tentang cara menggunakan proxy SOCKS untuk terhubung ke instance Cloud SQL, lihat Terhubung menggunakan proxy perantara (SOCKS5).

Menghubungkan melalui penggabungan

Jika Anda perlu menginstal dan menjalankan Proxy Auth Cloud SQL di VM perantara, bukan klien eksternal, Anda dapat mengaktifkan koneksi aman ke VM tersebut dengan menghubungkannya ke proxy sadar protokol, yang juga dikenal sebagai pooler. Pooler open source populer untuk PostgreSQL mencakup Pgpool-II dan PgBouncer.

Dalam solusi ini, Anda menjalankan Proxy Auth Cloud SQL dan pooler di VM perantara. Klien atau aplikasi Anda kemudian dapat terkoneksi dengan aman langsung ke pooler melalui SSL, tanpa perlu menjalankan layanan tambahan apa pun. Pooler akan meneruskan kueri PostgreSQL ke instance Cloud SQL Anda melalui Proxy Auth Cloud SQL.

Karena setiap instance Cloud SQL memiliki alamat IP internal yang terpisah, setiap layanan proxy hanya dapat berkomunikasi dengan satu instance tertentu: instance utama, instance cadangan, atau kumpulan baca. Oleh karena itu, untuk setiap instance, Anda harus menjalankan layanan penggabungan terpisah dengan sertifikat SSL yang dikonfigurasi dengan benar.

Menghubungkan melalui Cloud VPN atau Cloud Interconnect

Untuk pekerjaan produksi yang memerlukan ketersediaan tinggi (HA), sebaiknya gunakan produk Konektivitas Jaringan Google Cloud, seperti Cloud VPN atau Cloud Interconnect, bergantung pada kebutuhan layanan eksternal dan topologi jaringan Anda. Kemudian, Anda akan mengonfigurasi Cloud Router untuk mengiklankan rute yang sesuai.

Untuk mempelajari solusi Network Connectivity lebih lanjut, lihat Memilih produk Network Connectivity.

Langkah selanjutnya