Autorizzazione con reti autorizzate

Questa pagina descrive come utilizzare le impostazioni delle reti autorizzate per la connessione alle istanze Cloud SQL che utilizzano indirizzi IP.

Configurazione di reti autorizzate

L'indirizzo IP o l'intervallo di indirizzi dell'applicazione client deve essere configurato come authorized networks per le seguenti condizioni:

  • L'applicazione client si connette direttamente a un Cloud SQL sul suo indirizzo IP pubblico.
  • L'applicazione client si connette direttamente a un'istanza Cloud SQL sul suo indirizzo IP privato e l'indirizzo IP del client è un indirizzo non RFC 1918

L'indirizzo IP può essere un singolo endpoint o essere costituito da un intervallo in notazione CIDR.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Nel menu di navigazione SQL, seleziona Connessioni.
  4. Fai clic sulla scheda Rete.
  5. Seleziona la casella di controllo IP pubblico.
  6. Fai clic su Aggiungi una rete.
  7. Nel campo Nome, inserisci un nome per la Nuova rete.
  8. Nel campo Rete*, inserisci l'indirizzo o l'indirizzo IPv4 pubblico l'intervallo da cui vuoi consentire le connessioni.

    Per l'intervallo di indirizzi, devi utilizzare una notazione CIDR valida (ad es. 10.10.10.0/24).

  9. Fai clic su Fine.
  10. Fai clic su Salva.

gcloud

La configurazione delle reti autorizzate sostituisce l'elenco esistente di reti autorizzate.

gcloud sql instances patch INSTANCE_ID \
--authorized-networks=NETWORK_RANGE_1,NETWORK_RANGE_2...
    

Terraform

Per configurare le reti autorizzate, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "default" {
  name             = "sqlserver-instance-with-authorized-network"
  region           = "us-central1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      authorized_networks {
        name            = "Network Name"
        value           = "192.0.2.0/24"
        expiration_time = "3021-11-15T16:19:00.094Z"
      }
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito dove vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice di esempio in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Facoltativamente, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Se vuoi, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade:

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o che l'aggiornamento soddisfi le tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply

    Attendi che Terraform mostri il messaggio "Applicazione completata".

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il comando seguente inserendo yes alla richiesta:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la tua configurazione Terraform eseguendo questo comando e inserendo yes al prompt:

    terraform destroy

REST v1

La configurazione di reti autorizzate sostituisce le reti autorizzate esistenti dall'elenco di lettura.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza
  • network_range_1 Un indirizzo o un intervallo IP autorizzato
  • network_range_2 Un altro indirizzo o intervallo IP autorizzato

Metodo HTTP e URL:

PATCH https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id

Corpo JSON della richiesta:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": "network_range_2"}]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

La configurazione di reti autorizzate sostituisce le reti autorizzate esistenti dall'elenco di lettura.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza
  • network_range_1 Un indirizzo o un intervallo IP autorizzato
  • network_range_2 Un altro indirizzo o intervallo IP autorizzato

Metodo HTTP e URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Corpo JSON della richiesta:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": "network_range_2"}]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

Limitazioni

Alcuni intervalli di indirizzi IP non possono essere aggiunti come reti autorizzate.

intervallo di indirizzi Note
10.0.0.0/8 Intervallo di indirizzi RFC 1918. Questi sono inclusi automaticamente e implicitamente nelle reti autorizzate da Cloud SQL
172.16.0.0/12 nell'intervallo di indirizzi RFC 1918. Questi sono inclusi automaticamente e implicitamente nelle reti autorizzate da Cloud SQL
192.168.0.0/16 nell'intervallo di indirizzi RFC 1918. Questi sono inclusi automaticamente e implicitamente nelle reti autorizzate da Cloud SQL

Passaggi successivi