En esta página, se proporciona una descripción general de las formas en que puedes conectarte a tu instancia de Cloud SQL.
Antes de conectarte a una instancia de Cloud SQL, debes decidir cómo implementar y configurar tu instancia de Cloud SQL y los recursos de redes compatibles. Si tu instancia de Cloud SQL ya está configurada y se implementó, esta página puede ayudarte a comprender las diferentes formas en que puedes conectar tus clientes a la instancia existente.
Tipo de dirección IP: privada o pública
Cuando creas tu instancia de Cloud SQL por primera vez, puedes elegir si deseas configurarla con una dirección IP pública, una dirección IP privada o una combinación de ambas.
Elige la configuración de la dirección IP de tu instancia según los requisitos de tu aplicación. Luego, después de configurar tu instancia, debes especificar una dirección IP pública, una dirección IP privada o, en algunos casos, un nombre de DNS en la cadena de conexión del cliente.
| Dirección IP privada | Dirección IP pública | |
|---|---|---|
| Descripción | Dirección IP interna, solo de red de nube privada virtual (VPC) (privada) | Una dirección IP externa, accesible a través de Internet (pública) |
| Puntos de decisión | ¿Necesitas conectarte desde clientes alojados en redes de VPC dentro de Google Cloud o desde clientes que tienen acceso a esas redes de VPC? Si es así, elige una dirección IP privada para la instancia. |
¿Necesitas conectarte desde clientes fuera de la red de VPC a través de la Internet pública? Google Cloud Si es así, elige una dirección IP pública para la instancia. |
| Opciones de configuración |
Se admiten los siguientes tipos de configuraciones de redes privadas:
Para obtener más información sobre cómo elegir una configuración de redes privadas, consulta Opciones de redes privadas: acceso a servicios privados o Private Service Connect. |
Cuando te conectas directamente a una instancia con una dirección IP pública, debes configurar redes autorizadas. Otra alternativa más segura para conectarse a una instancia de Cloud SQL que usa una IP pública es usar un conector de Cloud SQL (como el proxy de autenticación de Cloud SQL o uno de los conectores de lenguajes de Cloud SQL). Si deseas obtener instrucciones para agregar una IP pública a tu instancia, consulta Configura IP públicas. Para conectarte a una instancia de Cloud SQL con una dirección IP pública,
puedes usar el cliente |
| Resumen |
Recomendación: Para mejorar la seguridad, te recomendamos que configures tu instancia con un tipo de dirección IP privada, a menos que tengas requisitos específicos para una instancia de Cloud SQL accesible desde Internet o si te conectas desde un cliente que no cumple con los requisitos de una VPC. |
|
Tipo de conexión: Conector de Cloud SQL o directa
Cuando te conectas a una instancia de Cloud SQL, puedes usar un conector de Cloud SQL o realizar una conexión directa.
Un conector de Cloud SQL es el proxy de autenticación de Cloud SQL o uno de los conectores de lenguaje de Cloud SQL.
| Conector de Cloud SQL | Conexión directa | |
|---|---|---|
| Descripción | El proxy de autenticación de Cloud SQL, un proxy del cliente, y los conectores de lenguaje de Cloud SQL, bibliotecas del cliente, proporcionan acceso simplificado y seguro a tus instancias de Cloud SQL, en especial cuando te conectas a una instancia con una dirección IP pública. | Una conexión directa de un cliente a una instancia de Cloud SQL proporciona una conexión con menor latencia. Se puede establecer una conexión directa desde una dirección IP pública o privada. |
| Puntos de decisión |
Los conectores de Cloud SQL son beneficiosos en los siguientes casos:
|
El uso de una conexión directa proporciona los siguientes beneficios:
|
| Opciones de configuración |
Los siguientes Google Cloud servicios usan un proxy de autenticación de Cloud SQL integrado cuando te conectas a una instancia de Cloud SQL a través de una dirección IP pública: |
Para configurar certificados SSL/TLS en la instancia de Cloud SQL y en tu cliente, haz lo siguiente:
|
| Resumen | Cuando te conectas a una instancia de Cloud SQL, puedes usar un conector de Cloud SQL o conectarte directamente desde los clientes. Recomendación general: Si te conectas a una instancia por una dirección IP privada, usa una conexión directa. También te recomendamos que apliques SSL y configures certificados SSL/TLS para tu conexión. Si te conectas a una instancia por medio de una dirección IP pública, usa un conector de Cloud SQL (ya sea el proxy de autenticación de Cloud SQL o uno de los conectores de lenguaje de Cloud SQL). |
|
Tipo de autenticación de la base de datos: IAM o integrada
Cuando te conectas a una instancia, debes autenticarte como usuario de la base de datos. Puedes elegir entre la autenticación integrada o la autenticación de bases de datos de IAM.
| Autenticación de la base de datos de IAM | Autenticación integrada | |
|---|---|---|
| Descripción | La autenticación de la base de datos de IAM te permite autenticarte en bases de datos con Google Cloud cuentas de servicio y usuarios de IAM con tokens de acceso de corta duración en lugar de contraseñas. Puedes administrar los privilegios de la base de datos con principales de IAM, como usuarios, cuentas de servicio y grupos. | La autenticación integrada usa nombres de usuario y contraseñas locales de la base de datos para autenticar a los usuarios de la base de datos. |
| Puntos de decisión | ¿Prefieres centralizar la administración de usuarios en los servicios de Google Cloudcon IAM en Google Cloud? Si la respuesta es sí, usa la autenticación de la base de datos de IAM. | ¿Tienes aplicaciones o flujos de trabajo que dependen de la autenticación de bases de datos integradas? Si es así, usa la autenticación integrada. |
| Opciones de configuración | Puedes usar la autenticación de la base de datos de IAM para usuarios individuales de IAM, cuentas de servicio individuales y grupos. Para obtener más información, consulta Administra usuarios con la autenticación de la base de datos de IAM . Si usas un conector de Cloud SQL, este se encarga de actualizar automáticamente los tokens de acceso de IAM. Para obtener más información, consulta autenticación automática de la base de datos de IAM. |
Puedes usar la autenticación integrada de la base de datos y configurar políticas de contraseñas a nivel de la instancia y del usuario. Para obtener más información, consulta Autenticación integrada. |
| Resumen | Recomendación: A menos que tengas aplicaciones o flujos de trabajo que dependan de la autenticación integrada de la base de datos, usa la autenticación de la base de datos de IAM siempre que sea posible. | |
Opciones de redes privadas cuando se usa una dirección IP privada
Cuando configuras tu instancia para que use una dirección IP privada, puedes elegir las siguientes opciones de redes privadas: acceso privado a servicios, Private Service Connect o ambos.
Funciones admitidas
En la siguiente tabla, se enumeran las funciones que admite Cloud SQL cuando te conectas a una instancia configurada con una o ambas opciones de redes privadas.
| Función | Instancia con acceso privado a servicios únicamente | Instancia solo con Private Service Connect | Instancia con acceso a servicios privados y Private Service Connect |
|---|---|---|---|
| Conéctate desde varias VPC | No compatible. | Compatible. | Se admite con el extremo de Private Service Connect. |
Extensiones pglogical, PL/Proxy, dblink y postgres_fdw |
Compatible. | No compatible. | Se admite el uso de conectividad saliente para el acceso privado a los servicios. |
| Réplicas externas | Compatible. | No compatible. | Se admite el uso de conectividad saliente para el acceso privado a los servicios. |
| Extremo de escritura | Compatible. | No compatible. | Se admite el acceso privado a los servicios. |
| Cambia la red de VPC asociada para el acceso a servicios privados | Compatible. | No aplicable | No se admite el acceso privado a servicios porque la instancia tiene habilitado Private Service Connect. No se aplica a Private Service Connect. |
| Visibilidad de la dirección IP del cliente para Cloud SQL | Compatible. | No compatible. | Se admite con la dirección IP de acceso a servicios privados. No se admite el uso del extremo de Private Service Connect. |
Cómo quitar opciones de redes de una instancia
Cloud SQL admite la eliminación de las siguientes opciones de redes de una instancia:
- IP pública de una instancia con acceso a servicios privados y una IP pública
- IP pública de una instancia con IP pública, acceso a servicios privados y Private Service Connect
- Private Service Connect desde una instancia con Private Service Connect y acceso a servicios privados
- Private Service Connect desde una instancia con Private Service Connect, acceso a servicios privados y una IP pública
Habilita las opciones de redes para una instancia
Puedes habilitar Cloud SQL para que admita las siguientes opciones de conexión para las instancias:
- Acceso privado a servicios en una instancia solo con IP pública
- Private Service Connect en una instancia con acceso solo a servicios privados
- Private Service Connect en una instancia con acceso a servicios privados y una IP pública
- IP pública en una instancia con acceso privado a servicios únicamente
Limitaciones
- No puedes crear una instancia con una dirección IP pública y Private Service Connect.
- No puedes quitar el acceso privado a servicios de una instancia con acceso privado a servicios y Private Service Connect.
- No puedes quitar el acceso privado a servicios de una instancia con acceso privado a servicios y una IP pública.
- Si tienes una instancia que solo usa una IP pública, no puedes habilitar el acceso privado a servicios y Private Service Connect al mismo tiempo. Primero, habilita el acceso privado a los servicios y, luego, habilita Private Service Connect.
- No puedes usar redes autorizadas para crear listas de entidades permitidas basadas en direcciones IP para instancias de Private Service Connect.
Herramientas para conectarse a Cloud SQL
En la siguiente tabla, se muestran algunas opciones para conectarse a Cloud SQL:
| Opción de conexión | Más información |
|---|---|
| Proxy de Cloud SQL Auth | |
| CLI de gcloud | |
| Conectores de lenguaje de Cloud SQL | |
| Cloud Shell | |
| Cloud Code | |
| Conéctate con herramientas de administración de bases de datos de terceros | |
| pgAdmin | |
| Toad Edge | |
| Blendo |
Solucionar problemas
Si tienes problemas de conexión, revisa las siguientes páginas para obtener ayuda con la depuración o la solución de problemas conocidos:
- Depura problemas de conexión
- Errores de conectividad conocidos
- Soluciona problemas de conexión del proxy de autenticación de Cloud SQL
- Problemas comunes de conexión
¿Qué sigue?
- Obtén información sobre cómo conectarte con la Guía de inicio rápido de Cloud SQL para PostgreSQL.
- Conoce las prácticas recomendadas para administrar conexiones de bases de datos.
- Obtén información sobre la autenticación de la base de datos de IAM.
- Obtén más información para conectarte mediante un cliente sqlc desde una máquina local o Compute Engine.
- Obtén más información sobre cómo configurar la conectividad IP.
- Obtén más información sobre el proxy de autenticación de Cloud SQL.
- Obtén información sobre opciones de asistencia.