Como autorizar com redes autorizadas

MySQL | PostgreSQL | SQL Server

Nesta página, você verá como usar as configurações de redes autorizadas para se conectar a instâncias do Cloud SQL que usam endereços IP.

Introdução

Ao se conectar a uma instância do Cloud SQL, há duas considerações:

Opções de conexão determinam qual caminho de rede usar para se conectar.
Opções de autenticação determinam quem pode se conectar.

Ao criar uma instância do Cloud SQL, a configuração padrão é atribuir um endereço IP público à instância. Caso você aceite essa opção, será possível encontrar o endereço IP na página Visão geral das instâncias. Em seguida, clique no nome da instância.

Mesmo que sua instância tenha apenas um endereço IP público, será possível se conectar a ele com segurança por meio do proxy dp Cloud SQL. Todo o tráfego entre o proxy do Cloud SQL e a instância do Cloud SQL é criptografado. Caso você esteja conectando o cliente a partir do seu próprio endereço IP público e não esteja usando o proxy, será necessário adicionar o endereço público do cliente como uma rede autorizada.

Como configurar redes autorizadas

O endereço IP ou o intervalo de endereços do aplicativo cliente precisa ser configurado como authorized networks para as seguintes condições:

O aplicativo cliente está se conectando diretamente a uma instância do Cloud SQL no endereço IP público.
O aplicativo cliente está se conectando diretamente a uma instância do Cloud SQL no endereço IP particular, e o endereço IP do cliente é um endereço não RFC 1918.

O endereço IP pode ser um único endpoint ou consistir em um intervalo na notação CIDR.

Console

Acesse a página "Instâncias" do Cloud SQL no Console do Google Cloud.
Acesse a página "Instâncias" do Cloud SQL
Clique no nome da instância para abrir a página Detalhes da instância.
Selecione a guia Conexões.
Clique em Adicionar rede.
No campo Rede, insira o endereço IP ou o intervalo de endereços do qual quer permitir conexões.
Use a notação CIDR.
Como opção, insira um nome para essa entrada.
Clique em Concluir.
Clique em Salvar para atualizar a instância.

gcloud

A configuração de redes autorizadas substitui a lista atual de redes autorizadas.

gcloud sql instances patch [INSTANCE_ID] --authorized-networks=[NETWORK_RANGE_1],[NETWORK_RANGE_2]...

REST v1beta4

A configuração de redes autorizadas substitui a lista atual de redes autorizadas.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

project-id: o ID do projeto
instance-id: o ID da instância
network_range_1: um intervalo ou endereço IP autorizado
network_range_2: outro intervalo ou endereço IP autorizado

Método HTTP e URL:

PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

Corpo JSON da solicitação:

{
  "settings":
  {
    "ipConfiguration":
    {
      "authorizedNetworks":
        [{"value": "network_range_1"}, {"value": network_range_2"}]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: em relação ao comando abaixo, presume-se que você usou gcloud init ou gcloud auth login para autenticar gcloud com sua conta de usuário. É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo chamado request.json e execute o comando a seguir:

curl -X PATCH \
-H "Authorization: Bearer "$(gcloud auth print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo chamado request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method PATCH `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

Resposta

{
  "kind": "sql#operation",
  "targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

Limitações

Alguns intervalos de endereços IP não podem ser adicionados como redes autorizadas.

Intervalo de endereços	Observações
127.0.0.0/8	Intervalo de endereços de loopback
10.0.0.0/8	Intervalo de endereços do RFC 1918. Elas são incluídas automática e implicitamente nas redes autorizadas pelo Cloud SQL
172.16.0.0/12	Intervalo de endereços do RFC 1918. Elas são incluídas automática e implicitamente nas redes autorizadas pelo Cloud SQL
192.168.0.0/16	Intervalo de endereços do RFC 1918. Elas são incluídas automática e implicitamente nas redes autorizadas pelo Cloud SQL
0.0.0.0/8	Rede nula do RFC 3330
169.254.0.0/16	RFC 3927 e RFC 2373, redes de link local
192.0.2.0/24	RFC 3330 e RFC 3849, redes de documentação
224.0.0.0/3	Redes multicast RFC 3330 e IPv6

A seguir

Saiba mais sobre o controle de acesso à instância.
Configure a instância para usar SSL/TLS.
Conecte-se à sua instância com o cliente sqlcmd usando SSL/TLS.