Questa pagina fornisce una panoramica dei modi in cui puoi connetterti all'istanza Cloud SQL.
Prima di poterti connettere a un'istanza Cloud SQL, devi decidere come eseguire il deployment e configurare l'istanza Cloud SQL e le risorse di rete di supporto. Se la tua istanza Cloud SQL è già configurata e di cui è stato eseguito il deployment, questa pagina può aiutarti a comprendere i diversi modi in cui puoi connettere i tuoi client all'istanza esistente.
Tipo di indirizzo IP: privato o pubblico
Quando crei l'istanza Cloud SQL per la prima volta, puoi scegliere se configurarla con un indirizzo IP pubblico, un indirizzo IP privato o una combinazione di entrambi.
Scegli la configurazione dell'indirizzo IP della tua istanza in base ai requisiti della tua applicazione. Dopo aver configurato l'istanza, specifica un indirizzo IP pubblico, un indirizzo IP privato o, in alcuni casi, un nome DNS nella stringa di connessione del client.
| Indirizzo IP privato | Indirizzo IP pubblico | |
|---|---|---|
| Descrizione | Indirizzo IP interno solo per la rete Virtual Private Cloud (VPC) (privato) | Un indirizzo IP esterno accessibile da internet (pubblico) |
| Punti decisionali | Devi connetterti da client ospitati su reti VPC all'interno di Google Cloud o da client che hanno accesso a queste reti VPC? In caso affermativo, scegli un indirizzo IP privato per l'istanza. |
Devi connetterti da client esterni alla rete VPC tramite internet pubblico? Google Cloud In caso affermativo, scegli un indirizzo IP pubblico per l'istanza. |
| Opzioni di configurazione |
Sono supportati i seguenti tipi di configurazioni di networking privato:
Per ulteriori informazioni sulla scelta di una configurazione di rete privata, consulta Opzioni di rete privata: accesso privato ai servizi o Private Service Connect. |
Quando ti connetti direttamente a un'istanza utilizzando un indirizzo IP pubblico, devi configurare le reti autorizzate. Un'altra alternativa più sicura per connettersi a un'istanza Cloud SQL che utilizza l'IP pubblico è utilizzare un connettore Cloud SQL (come il proxy di autenticazione Cloud SQL o uno dei connettori dei linguaggi di Cloud SQL). Per istruzioni su come aggiungere un IP pubblico all'istanza, consulta Configura IP pubblico. Per connetterti a un'istanza Cloud SQL utilizzando un indirizzo IP pubblico,
puoi utilizzare il client |
| Riepilogo |
Consiglio: Per una maggiore sicurezza, ti consigliamo di configurare l'istanza con un tipo di indirizzo IP privato, a meno che tu non abbia requisiti specifici per un'istanza Cloud SQL accessibile a internet o se ti connetti da un client che non soddisfa i requisiti per un VPC. |
|
Tipo di connessione: connettore Cloud SQL o diretta
Quando ti connetti a un'istanza Cloud SQL, puoi utilizzare un connettore Cloud SQL oppure puoi stabilire una connessione diretta.
Un connettore Cloud SQL è il proxy di autenticazione Cloud SQL o uno dei connettori dei linguaggi di Cloud SQL.
| Connettore Cloud SQL | Connessione diretta | |
|---|---|---|
| Descrizione | Il proxy di autenticazione Cloud SQL, un proxy lato client, e i connettori dei linguaggi di Cloud SQL, librerie lato client, forniscono un accesso semplificato e sicuro alle tue istanze Cloud SQL, soprattutto quando ti connetti a un'istanza utilizzando un indirizzo IP pubblico. | Una connessione diretta da un client a un'istanza Cloud SQL fornisce una connessione a latenza inferiore. È possibile stabilire una connessione diretta da un indirizzo IP pubblico o privato. |
| Punti decisionali |
I connettori Cloud SQL sono utili nei seguenti scenari:
|
L'utilizzo di una connessione diretta offre i seguenti vantaggi:
|
| Opzioni di configurazione |
I seguenti Google Cloud servizi utilizzano un proxy di autenticazione Cloud SQL incorporato quando ti connetti a un'istanza Cloud SQL tramite indirizzo IP pubblico: |
Per configurare i certificati SSL/TLS sull'istanza Cloud SQL e per il client, fai quanto segue:
|
| Riepilogo | Quando ti connetti a un'istanza Cloud SQL, puoi utilizzare un connettore Cloud SQL o connetterti direttamente dai client. Consiglio generale: Se ti connetti a un'istanza tramite un indirizzo IP privato, utilizza una connessione diretta. Ti consigliamo inoltre di applicare SSL e configurare i certificati SSL/TLS per la connessione. Se ti connetti a un'istanza tramite un indirizzo IP pubblico, utilizza un connettore Cloud SQL (il proxy di autenticazione Cloud SQL o uno dei connettori dei linguaggi di Cloud SQL). |
|
Tipo di autenticazione del database: IAM o integrata
Quando ti connetti a un'istanza, devi autenticarti come utente del database. Puoi scegliere tra l'autenticazione integrata o l'autenticazione database IAM.
| Autenticazione database IAM | Autenticazione integrata | |
|---|---|---|
| Descrizione | L'autenticazione IAM dei database consente di autenticarsi ai database con Google Cloud account di servizio e utenti IAM utilizzando token di accesso di breve durata anziché password. Puoi gestire i privilegi del database utilizzando le entità IAM come utenti, service account e gruppi. | L'autenticazione integrata utilizza nomi utente e password locali del database per autenticare gli utenti del database. |
| Punti decisionali | Preferisci centralizzare la gestione degli utenti nei servizi Google Cloud utilizzando IAM in Google Cloud? In caso affermativo, utilizza l'autenticazione IAM dei database. | Hai applicazioni o flussi di lavoro che dipendono dall'autenticazione del database integrata? In caso affermativo, utilizza l'autenticazione integrata. |
| Opzioni di configurazione | Puoi utilizzare l'autenticazione del database IAM per singoli utenti IAM, singoli service account e gruppi. Per maggiori informazioni, consulta Gestire gli utenti con l'autenticazione IAM dei database . Se utilizzi un connettore Cloud SQL, il connettore gestisce l'aggiornamento automatico dei token di accesso IAM. Per ulteriori informazioni, consulta Autenticazione automatica del database IAM. |
Puoi utilizzare l'autenticazione del database integrata e configurare le policy delle password a livello di istanza e utente. Per ulteriori informazioni, vedi Autenticazione integrata. |
| Riepilogo | Consiglio: a meno che tu non abbia applicazioni o flussi di lavoro che dipendono dall'autenticazione database integrata, utilizza l'autenticazione database IAM, se possibile. | |
Opzioni di networking privato quando si utilizza un indirizzo IP privato
Quando configuri l'istanza per utilizzare un indirizzo IP privato, puoi scegliere le seguenti opzioni di rete privata: accesso privato ai servizi, Private Service Connect o entrambe.
Funzionalità supportate
La seguente tabella elenca le funzionalità supportate da Cloud SQL quando ti connetti a un'istanza configurata con una o entrambe le opzioni di networking privato.
| Funzionalità | Istanza con solo accesso privato ai servizi | Istanza solo con Private Service Connect | Istanza con accesso privato ai servizi e Private Service Connect |
|---|---|---|---|
| Connessione da più VPC | Non supportati. | Supportato. | Supportato tramite l'utilizzo dell'endpoint Private Service Connect. |
pglogical, PL/Proxy, dblink e
postgres_fdw estensioni |
Supportato. | Non supportati. | Supportato utilizzando la connettività in uscita per l'accesso privato ai servizi. |
| Repliche esterne | Supportato. | Non supportati. | Supportato utilizzando la connettività in uscita per l'accesso privato ai servizi. |
| Endpoint di scrittura | Supportato. | Non supportati. | Supportato per l'accesso privato ai servizi. |
| Modifica la rete VPC associata per l'accesso privato ai servizi | Supportato. | Non applicabile. | Non supportato per l'accesso privato ai servizi perché l'istanza ha Private Service Connect abilitato. Non applicabile a Private Service Connect. |
| Visibilità dell'indirizzo IP client in Cloud SQL | Supportato. | Non supportati. | Supportato utilizzando l'indirizzo IP di accesso al servizio privato. Non supportato utilizzando l'endpoint Private Service Connect. |
Rimuovere le opzioni di networking da un'istanza
Cloud SQL supporta la rimozione delle seguenti opzioni di rete da un'istanza:
- IP pubblico da un'istanza con accesso ai servizi privati e IP pubblico
- IP pubblico da un'istanza con IP pubblico, accesso ai servizi privati e Private Service Connect
- Private Service Connect da un'istanza con Private Service Connect e accesso ai servizi privati
- Private Service Connect da un'istanza con Private Service Connect, accesso privato ai servizi e IP pubblico
Attivare le opzioni di rete per un'istanza
Puoi abilitare Cloud SQL per supportare le seguenti opzioni di connessione per le istanze:
- Accesso privato ai servizi su un'istanza solo con IP pubblico
- Private Service Connect su un'istanza con accesso solo ai servizi privati
- Private Service Connect su un'istanza con accesso privato ai servizi e IP pubblico
- IP pubblico su un'istanza con solo accesso ai servizi privati
Limitazioni
- Non puoi creare un'istanza con un indirizzo IP pubblico e Private Service Connect.
- Non puoi rimuovere l'accesso privato ai servizi da un'istanza con accesso privato ai servizi e Private Service Connect.
- Non puoi rimuovere l'accesso privato ai servizi da un'istanza con accesso privato ai servizi e IP pubblico.
- Se hai un'istanza che utilizza solo IP pubblico, non puoi abilitare contemporaneamente l'accesso ai servizi privati e Private Service Connect. Innanzitutto, abilita l'accesso privato ai servizi, quindi abilita Private Service Connect.
- Non puoi utilizzare le reti autorizzate per creare liste consentite basate su indirizzi IP per le istanze Private Service Connect.
Strumenti per la connessione a Cloud SQL
La seguente tabella contiene alcune opzioni per la connessione a Cloud SQL:
| Opzione di connessione | Ulteriori informazioni |
|---|---|
| Proxy di autenticazione Cloud SQL | |
| gcloud CLI | |
| Connettori di linguaggio Cloud SQL | |
| Cloud Shell | |
| Cloud Code | |
| Connessione tramite strumenti di amministrazione del database di terze parti | |
| pgAdmin | |
| Toad Edge | |
| Blendo |
Risoluzione dei problemi
Se hai problemi di connessione, consulta le seguenti pagine per ricevere assistenza per il debug o per trovare soluzioni a problemi noti:
- Debug dei problemi di connessione
- Errori di connettività noti
- Risoluzione dei problemi di connessione del proxy di autenticazione Cloud SQL
- Problemi di connessione comuni
Passaggi successivi
- Scopri come connetterti con la guida rapida per Cloud SQL per PostgreSQL.
- Scopri le best practice per gestire le connessioni ai database.
- Scopri di più sull'autenticazione IAM dei database.
- Scopri di più sulla connessione tramite un client psql da una macchina locale o Compute Engine.
- Scopri di più sulla configurazione della connettività IP.
- Scopri di più sul proxy di autenticazione Cloud SQL.
- Scopri di più sulle opzioni di assistenza.