Introdução
Geralmente, os problemas de conexão se enquadram em uma destas três áreas:
- Conexão: você consegue acessar a instância na rede?
- Autorização: você está autorizado a se conectar à instância?
- Autenticação: o banco de dados aceita as suas credenciais?
Cada uma delas pode ser dividida em caminhos diferentes para investigação. A seção a seguir inclui exemplos de perguntas que você pode fazer para resolver o problema:
Lista de verificação de problemas de conexão
- Conectando
- IP particular
- Você ativou a
Service Networking API
no projeto? - Você está usando uma VPC compartilhada?
- O usuário ou a conta de serviço tem as permissões necessárias do IAM para gerenciar uma conexão de acesso a serviços particulares?
- A conexão de acesso a serviços particulares está configurada no projeto?
- Você alocou um intervalo de endereços IP para a conexão particular?
- Os intervalos de endereços IP alocados contêm pelo menos um espaço /24 para cada região em que você planeja criar instâncias de postgres?
- Caso você especifique um intervalo de endereços IP alocado para suas instâncias postgres, o intervalo contém pelo menos um espaço /24 para cada região onde você planeja criar instâncias postgres neste intervalo?
- A conexão particular foi criada?
- Se a conexão particular foi alterada, a vpc-peerings foi atualizada?
- Os registros de VPC indicam algum erro?
- O IP da máquina de origem é um endereço não RFC 1918?
- IP público
- O IP de origem está listado como uma rede autorizada?
- Os certificados SSL/TLS são necessários?
- A conta de serviço ou usuário tem as permissões necessárias do IAM para se conectar a uma instância do Cloud SQL?
- Autorizar
- Proxy do Cloud SQL Auth
- O proxy do Cloud SQL Auth está atualizado?
- O proxy do Cloud SQL Auth está em execução?
- O nome da conexão da instância é formado corretamente no comando de conexão do proxy do Cloud SQL Auth?
- Você verificou a saída do proxy do Cloud SQL Auth? Redirecione a saída para um arquivo ou observe o terminal do Cloud Shell em que você iniciou o proxy do Cloud SQL Auth.
- A conta de serviço ou usuário tem as permissões necessárias do IAM para se conectar a uma instância do Cloud SQL?
- Você ativou a
Cloud SQL Admin API
no projeto? - Se você tiver uma política de firewall para o tráfego de saída, verifique se ela permite conexões com a porta 3307 na instância do Cloud SQL de destino.
- Se você estiver se conectando usando soquetes de domínio UNIX, confirme se os soquetes foram criados listando o diretório especificado com -dir quando você iniciou o proxy do Cloud SQL Auth.
- Conectores do Cloud SQL e código específico da linguagem
- A string de conexão foi formada corretamente?
- Você comparou o código com o código de amostra da linguagem de programação?
- Você está usando um ambiente de execução ou um framework que não tem código de amostra?
- Em caso afirmativo, você procurou na comunidade o material de referência relevante?
- Certificados SSL/TLS autogerenciados
- O certificado do cliente está instalado na máquina de origem?
- O certificado do cliente foi escrito corretamente nos argumentos de conexão?
- O certificado do cliente ainda é válido?
- Você está recebendo erros ao conectar-se usando SSL?
- O certificado do servidor ainda é válido?
- Redes autorizadas
- O endereço IP de origem está incluído?
- Você está usando um endereço IP não RFC 1918?
- Você está usando um endereço IP incompatível?
- Falhas de conexão
- Você tem autorização para se conectar?
- Você está vendo erros de limite de conexão?
- O aplicativo está fechando conexões adequadamente?
- Autenticar
- Autenticação de banco de dados nativo (nome de usuário/senha)
- Você está vendo erros
access denied
? - O nome de usuário e a senha estão corretos?
- Autenticação do banco de dados do IAM
- Você ativou a sinalização
cloudsql.iam_authentication
na instância? - Você adicionou uma vinculação de política à conta?
- Você está usando o proxy do Cloud SQL Auth com o
-enable_iam_login
ou um token Oauth 2.0 como senha do banco de dados? - Se você estiver usando uma conta de serviço, o nome de e-mail abreviado será usado?
- Saiba mais sobre a autenticação do banco de dados do IAM no PostgreSQL.
Mensagens de erro
Para ver mensagens de erro específicas da API, consulte a página de referência Mensagens de erro.
Solução de problemas adicionais de conectividade
Para outros problemas de conexão, consulte a seção Conectividade na página de solução de problemas.
Problemas comuns de conexão
Verificar se o aplicativo está encerrando as conexões corretamente
Erros contendo "Aborted connection nnnn to db:
" costumam indicar que o aplicativo não está interrompendo as conexões corretamente. Problemas de rede também podem causar esse erro. O erro não significa que há problemas com sua instância do Cloud SQL. Também recomendamos que você execute tcpdump
para inspecionar os pacotes e rastrear a origem do problema.
Para ver exemplos de práticas recomendadas de gerenciamento de conexões, consulte Como gerenciar conexões de banco de dados.
Verificar se os certificados expiraram
Se a instância estiver configurada para usar SSL, acesse a página Instâncias do Cloud SQL no console do Google Cloud e abra a instância. Abra a página Conexões, selecione a guia Segurança e verifique se o certificado do servidor é válido. Se ele tiver expirado, você precisará adicionar um novo e fazer a rotação dos certificados.
Verificar se você está autorizado a se conectar
Caso não esteja conseguindo se conectar, verifique sua autorização:
- Se você estiver com problemas para se conectar usando um endereço IP
(por exemplo, você está se conectando do ambiente local com o cliente psql),
confirme se o endereço IP do qual você está se conectando
está autorizado a se conectar
à instância o Cloud SQL.
As conexões com uma instância do Cloud SQL usando um endereço IP privado são autorizadas automaticamente para intervalos de endereços RFC 1918. Dessa forma, todos os clientes particulares podem acessar o banco de dados sem passar pelo proxy do Cloud SQL Auth. Os intervalos de endereços não RFC 1918 precisam ser configurados como redes autorizadas.
Por padrão, o Cloud SQL não aprende as rotas de sub-rede não RFC 1918 da sua VPC. É necessário atualizar o peering de rede para o Cloud SQL para exportar rotas que não sejam RFC 1918. Por exemplo:
gcloud compute networks peerings update cloudsql-postgres-googleapis-com \ --network=NETWORK \ --export-subnet-routes-with-public-ip \ --project=PROJECT_ID
Veja aqui o endereço IP atual.
- Tente usar o
comando
gcloud sql connect
para se conectar à instância. Esse comando autoriza seu endereço IP por um curto período. É possível executar esse comando em um ambiente com a CLI gcloud e o cliente psql instalados. Também é possível executar esse comando no Cloud Shell, que está disponível no console do Google Cloud e tem a CLI gcloud e o cliente mysql pré-instalados. É fornecida uma instância do Compute Engine para você se conectar ao Cloud SQL. - Permite temporariamente que todos os endereços IP se conectem a uma instância
autorizando
0.0.0.0/0
.
Verifique como você está se conectando
Se você receber uma mensagem de erro como:FATAL: database `user` does not exist.
O comando gcloud sql connect --user
só funciona com o usuário
padrão (postgres
). A solução é se conectar usando o usuário padrão e, em seguida, usar
o comando "\c"
do psql para reconectar como o usuário diferente.
Determinar como as conexões estão sendo iniciadas
Para ver informações sobre as conexões atuais, conecte-se ao banco de dados e execute o seguinte comando:
SELECT * from pg_stat_activity ;
As conexões que mostram um endereço IP, como 1.2.3.4
, são feitas usando IP.
As conexões com cloudsqlproxy~1.2.3.4
usam o proxy do Cloud SQL Auth. Caso contrário, elas são
originadas do App Engine. As conexões de localhost
podem ser usadas por alguns processos internos do Cloud SQL.
Limites de conexão
Não há limite de QPS para instâncias do Cloud SQL. No entanto, há limites específicos em relação à conexão, ao tamanho e ao App Engine. Consulte Cotas e limites.
As conexões do banco de dados consomem recursos no servidor e no aplicativo conectado. Sempre use boas práticas de gerenciamento de conexões para minimizar o espaço ocupado pelo seu aplicativo e reduzir a probabilidade de exceder os limites de conexão do Cloud SQL. Para mais informações, consulte Como gerenciar conexões de banco de dados.
Exibir conexões e threads
Para ver os processos em execução no banco de dados, use a tabela pg_stat_activity:
select * from pg_stat_activity;
Tempo limite das conexões (do Compute Engine)
As conexões com uma instância do Compute Engine expiram após dez minutos de inatividade, o que pode afetar conexões de longa duração não usadas entre a instância do Compute Engine e a instância do Cloud SQL. Para mais informações, consulte Rede e firewalls na documentação do Compute Engine.
Para manter ativas as conexões de longa duração não utilizadas, configure o TCP keepalive. Os comandos a seguir definem o valor TCP keepalive como um minuto e tornam a configuração permanente em reinicializações da instância.
Exiba o valor tcp_keepalive_time atual.
cat /proc/sys/net/ipv4/tcp_keepalive_time
Defina tcp_keepalive_time como 60 segundos e torne-o permanente durante as reinicializações.
echo 'net.ipv4.tcp_keepalive_time = 60' | sudo tee -a /etc/sysctl.conf
Aplique a alteração.
sudo /sbin/sysctl --load=/etc/sysctl.conf
Exiba o valor tcp_keepalive_time para verificar se a alteração foi aplicada.
cat /proc/sys/net/ipv4/tcp_keepalive_time
Ferramentas para depurar a conectividade
tcpdump
O tcpdump
é uma ferramenta para capturar pacotes. É altamente recomendável executar tcpdump
para capturar e inspecionar os pacotes entre o host e as instâncias do Cloud SQL quando você estiver depurando os problemas de conectividade.
Localizar o endereço IP local
Se você não souber o endereço local do host, execute o
comando ip -br address show
. No Linux, isso mostra a interface de rede,
o status da interface, o IP local e os endereços MAC. Por exemplo, eth0 UP 10.128.0.7/32 fe80::4001:aff:fe80:7/64
.
Se preferir, execute ipconfig
ou ifconfig
para ver
o status das interfaces de rede.
Testar com o Teste de conectividade
Os testes de conectividade são uma ferramenta de diagnóstico que permite verificar a conectividade entre os endpoints na sua rede. Ele analisa sua configuração e, em alguns casos, executa a verificação de ambiente de execução. Agora, ele é compatível com o Cloud SQL. Siga estas instruções para executar testes com instâncias do Cloud SQL.
Testar sua conexão
É possível usar o cliente psql para testar sua capacidade de se conectar do seu ambiente local. Para saber mais, consulte Como conectar o cliente psql usando endereços IP e Como conectar o cliente psql usando o proxy do Cloud SQL Auth.
Determinar o endereço IP do aplicativo
Para determinar o endereço IP de um computador que executa seu aplicativo com o objetivo de autorizar o acesso à sua instância do Cloud SQL a partir desse endereço, use uma das seguintes opções:
- Se o computador não estiver por trás de um proxy ou firewall, faça login no computador e use o site What is my IP? para determinar seu endereço IP.
- Se o computador estiver por trás de um proxy, faça login no computador e use uma ferramenta ou serviço como o whatismyipaddress.com (em inglês) para determinar o endereço IP verdadeiro.
Abrir portas locais
Para verificar se o host está detectando nas portas que você acredita que estejam, execute o
comando ss -tunlp4
. Isso informa quais portas estão abertas e
detectando.
Por exemplo, se você tiver um banco de dados PostgreSQL em execução, a porta 5432 estará
ativa e detectando. Para o SSH, será a porta 22.
Atividade de todas as portas locais
Use o comando netstat
para ver a atividade de todas as portas locais. Por
exemplo, netstat -lt
mostra todas as portas ativas no momento.
Conectar-se à instância do Cloud SQL usando telnet
Para verificar se é possível se conectar à instância do Cloud SQL usando TCP
, execute
o comando telnet
. O telnet tenta se conectar ao endereço IP e
à porta fornecidos por você.
telnet 35.193.198.159 5432
.
Se o processo for bem-sucedido, você verá o seguinte:
Trying 35.193.198.159...
Connected to 35.193.198.159.
.
Em caso de falha, você verá que telnet
trava até que você force o encerramento da tentativa:
Trying 35.193.198.159...
^C.
.
Autenticação do cliente
A autenticação do cliente é controlada por um arquivo de configuração, chamado
pg_hba.conf
(HBA significa autenticação baseada em host).
Verifique se a seção de conexões de replicação do arquivo pg_hba.conf
no banco de dados de origem está atualizada para aceitar conexões do
intervalo de endereços IP da VPC do Cloud SQL.
Cloud Logging
O Cloud SQL usa o Cloud Logging. Consulte a documentação do Cloud Logging para informações completas e revise as consultas de amostra do Cloud SQL.
Ver registros
É possível ver os registros das instâncias do Cloud SQL e de outros projetos do Google Cloud, como as instâncias do Cloud VPN ou do Compute Engine. Para ver as entradas de registro da instância do Cloud SQL, faça o seguinte:
Console
-
No console do Google Cloud, acesse a página do Cloud Logging.
- Selecione um projeto do Cloud SQL na parte superior da página.
- No criador de consultas, adicione o seguinte:
- Recurso: selecione Banco de dados do Cloud SQL. Na caixa de diálogo, selecione uma instância do Cloud SQL.
- Nomes de registros: vá até a seção do Cloud SQL e selecione
os arquivos de registro correspondentes à instância. Exemplo:
- cloudsql.googleapis.com/postgres.log
- Gravidade: selecione um nível de registro.
- Período: selecione um valor predefinido ou crie um período personalizado.
gcloud
Use o comando gcloud logging
para visualizar as entradas de registro. No exemplo abaixo, substitua PROJECT_ID
.
A sinalização limit
é um parâmetro opcional que indica o número máximo de entradas a serem
retornadas.
gcloud logging read "projects/PROJECT_ID/logs/cloudsql.googleapis.com/postgres.log" \ --limit=10
Endereços IP particulares
As conexões com uma instância do Cloud SQL usando um endereço IP privado são autorizadas automaticamente para intervalos de endereços RFC 1918. Os intervalos de endereços não RFC 1918 precisam ser configurados no Cloud SQL como redes autorizadas. É necessário atualizar o peering de rede para o Cloud SQL exportar rotas que não sejam RFC 1918. Por exemplo:
gcloud compute networks peerings update cloudsql-postgres-googleapis-com
--network=NETWORK
--export-subnet-routes-with-public-ip
--project=PROJECT_ID
Solução de problemas de VPN
Consulte a página Solução de problemas do Cloud VPN.