Private IP-Adresse konfigurieren

Auf dieser Seite wird beschrieben, wie Sie eine Cloud SQL-Instanz für die Verwendung von privaten IP-Adressen konfigurieren.

Informationen zur Funktionsweise privater IP-Adressen sowie zu den Anforderungen an Umgebung und Verwaltung finden Sie unter Private IP-Adressen.

Vorbereitung

Bevor Sie eine Cloud SQL-Instanz für die Verwendung von privaten IP-Adressen konfigurieren können, müssen Sie Folgendes tun:

  • Aktivieren Sie die Service Networking API für Ihr Projekt.

    Wenn Sie ein freigegebenes VPC-Netzwerk verwenden, müssen Sie außerdem Folgendes tun:

    • Aktivieren Sie die Service Networking API für das Hostprojekt.
    • Fügen Sie Ihren Nutzer dem Hostprojekt hinzu.
    • Weisen Sie Ihrem Nutzer die IAM-Rolle Network Administrator im Hostprojekt zu.
  • Wählen Sie ein VPC-Netzwerk aus.

  • Einmalig: Konfigurieren Sie den Zugriff auf private Dienste im VPC-Netzwerk, um einen IP-Adressbereich zuweisen und eine private Verbindung zu Diensten erstellen zu können. So können Ressourcen im VPC-Netzwerk eine Verbindung zu Cloud SQL-Instanzen herstellen.

    • Zum Einrichten des Zugriffs auf private Dienste ist die IAM-Rolle Network Administrator erforderlich.

      Nachdem der Zugriff auf private Dienste für Ihr Netzwerk eingerichtet wurde, benötigen Sie die Rolle Network Administrator nicht mehr, um eine Instanz für die Verwendung privater IP-Adressen zu konfigurieren.

    • Wenn Sie für eine Ihrer Cloud SQL-Instanzen eine private IP-Adresse verwenden, müssen Sie den Zugriff auf private Dienste für jedes Google Cloud-Projekt, das eine Verbindung zu einer Cloud SQL-Instanz hat oder herstellen muss, nur einmal konfigurieren. Weitere Informationen finden Sie unter Zugriff auf private Dienste.

Cloud SQL konfiguriert den Zugriff auf private Dienste, wenn alle folgenden Bedingungen erfüllt sind:

  • Sie haben den Zugriff auf private Dienste noch nicht im Google Cloud-Projekt konfiguriert.
  • Sie aktivieren die private IP-Adresse für eine Cloud SQL-Instanz im Google Cloud-Projekt zum ersten Mal.
  • Beim Aktivieren einer privaten IP-Adresse auf der Seite Connections der Instanz müssen Sie für das verknüpfte Netzwerk default sowie die Option Use an automatically allocated IP range auswählen.

Instanz für die Verwendung privater IP-Adressen konfigurieren

Sie können eine Cloud SQL-Instanz so konfigurieren, dass beim Erstellen der Instanz oder bei einer vorhandenen Instanz eine private IP-Adresse verwendet wird.

Private IP-Adresse für eine neue Instanz konfigurieren

So konfigurieren Sie eine Cloud SQL-Instanz für die Verwendung privater IP-Adressen, wenn Sie eine Instanz erstellen:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "Cloud SQL-Instanzen".

    Zur Seite "Cloud SQL-Instanzen"

  2. Klicken Sie auf INSTANZ ERSTELLEN.
  3. Erweitern Sie im Assistenten zum Erstellen unter Konfigurationsoptionen den Abschnitt Verbindung.
  4. Klicken Sie auf das Kästchen Private IP-Adresse.

    In einer Drop-down-Liste werden die im Projekt verfügbaren VPC-Netzwerke angezeigt Wenn Ihr Projekt das Dienstprojekt einer freigegebenen VPC ist, werden auch VPC-Netzwerke aus dem Hostprojekt angezeigt.

  5. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten:
  6. Wenn Sie den Zugriff auf private Dienste konfiguriert haben:

    1. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.
    2. Klicken Sie auf Verbinden.
    3. In einem Drop-down-Menü wird der zugewiesene IP-Adressbereich angezeigt.

    4. Klicken Sie auf Erstellen.
    5. Klicken Sie auf Speichern.

    So weist Cloud SQL den Bereich selbst zu und erstellt die private Verbindung:

    1. Wählen Sie das Standard-VPC-Netzwerk aus.
    2. Klicken Sie auf Zuweisen und verbinden.
    3. Klicken Sie auf Speichern.

gcloud

Falls noch nicht geschehen, konfigurieren Sie den Zugriff auf private Dienste für Cloud SQL anhand der Anleitung unten. Erstellen Sie die Cloud SQL-Instanz. Verwenden Sie dabei den Parameter --network, um den Namen des ausgewählten VPC-Netzwerks anzugeben, und das Flag --no-assign-ip, um öffentliche IP-Adressen zu deaktivieren.

Sofern das VPC-Netzwerk kein freigegebenes VPC-Netzwerk ist, hat der Wert des Parameters "--network" das folgende Format: https://www.googleapis.com/compute/alpha/projects/[PROJECT_ID]/global/networks/[VPC_NETWORK_NAME]

Wenn das VPC-Netzwerk ein freigegebenes VPC-Netzwerk ist, hat der Wert des Parameters "--network" das folgende Format: projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK_NAME. Dabei ist HOST_PROJECT_ID der Name des freigegebenen VPC-Hostprojekts und VPC_NETWORK_NAME der Name des freigegebenen VPC-Netzwerks.

gcloud --project=[PROJECT_ID] beta sql instances create [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

Private IP-Adresse für eine vorhandene Instanz konfigurieren

Wenn Sie eine vorhandene Cloud SQL-Instanz für die Verwendung einer privaten IP-Adresse konfigurieren, wird die Instanz neu gestartet, was zu einer Ausfallzeit führt.

So konfigurieren Sie eine bestehende Instanz für die Verwendung einer privaten IP-Adresse:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite "Cloud SQL-Instanzen".
    Zur Seite "Cloud SQL-Instanzen"
  2. Klicken Sie auf den Instanznamen, um die entsprechende Übersicht zu öffnen.
  3. Wählen Sie den Tab Verbindungen aus.
  4. Klicken Sie auf das Kästchen Private IP-Adresse.

    In einer Drop-down-Liste werden die im Projekt verfügbaren Netzwerke angezeigt. Wenn Ihr Projekt das Dienstprojekt einer freigegebenen VPC ist, werden auch VPC-Netzwerke aus dem Hostprojekt angezeigt.

  5. Wenn Sie den Zugriff auf private Dienste konfiguriert haben:
    1. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.
    2. In einem Drop-down-Menü wird der zugewiesene IP-Adressbereich angezeigt.

    3. Klicken Sie auf Verbinden.
    4. Klicken Sie auf Speichern.
  6. So weist Cloud SQL Ihnen eine IP-Adresse zu.
    1. Wählen Sie das Standard-VPC-Netzwerk aus.
    2. Klicken Sie auf Zuweisen und verbinden.
    3. Klicken Sie auf Speichern.

gcloud

Falls noch nicht geschehen, konfigurieren Sie den Zugriff auf private Dienste für Cloud SQL anhand der Anleitung unten. Aktualisieren Sie Ihre Cloud SQL-Instanz mithilfe des Parameters --network, um den Namen des ausgewählten VPC-Netzwerks anzugeben.

VPC_NETWORK_NAME ist der Name des ausgewählten VPC-Netzwerks, z. B. my-vpc-network. Der Wert des Parameters "--network" hat das folgende Format: https://www.googleapis.com/compute/alpha/projects/[PROJECT_ID]/global/networks/[VPC_NETWORK_NAME].

gcloud --project=[PROJECT_ID] beta sql instances patch [INSTANCE_ID]
       --network=[VPC_NETWORK_NAME]
       --no-assign-ip

Verbindung zu einer Instanz über ihre private IP-Adresse herstellen

Verwenden Sie den Zugriff auf private Dienste zum Herstellen einer Verbindung zu Cloud SQL-Instanzen von Compute Engine- oder Google Kubernetes Engine-Instanzen im selben VPC-Netzwerk (hier als interne Quellen definiert) oder von außerhalb des Netzwerks (eine externe Quelle).

Verbindung von einer internen Quelle herstellen

Zum Herstellen einer Verbindung von einer Quelle, die sich im selben Google Cloud-Projekt wie die Cloud SQL-Instanz befindet, z. B. vom Cloud SQL-Proxy, der auf einer Compute Engine-Ressource ausgeführt wird, muss sich diese Ressource im selben VPC-Netzwerk wie die Cloud SQL-Instanz befinden.

Verbindung von einer externen Quelle herstellen

Sie können eine Verbindung über einen Client in einem lokalen Netzwerk herstellen, wenn das lokale Netzwerk mit dem VPC-Netzwerk verbunden ist, mit dem Ihre Cloud SQL-Instanz verbunden ist. So lassen Sie Verbindungen von einem lokalen Netzwerk zu:

  1. Verbinden Sie das VPC-Netzwerk mit Ihrem lokalen Netzwerk. Verwenden Sie dazu einen Cloud VPN-Tunnel oder einen Interconnect-Anhang (VLAN) für Dedicated Interconnect oder Partner Interconnect.
  2. Identifizieren Sie das Peering, das von der privaten Dienstverbindung erzeugt wird. Beachten Sie, dass für alle verwendeten Datenbankmodule (MySQL, PostgreSQL und SQL Server) ein Peering erstellt wird.
  3. Aktualisieren Sie die Peering-Verbindung, um benutzerdefinierte Routen auszutauschen.
  4. Identifizieren Sie den zugewiesenen Bereich, der von der Verbindung für private Dienste verwendet wird.
  5. Erstellen Sie ein benutzerdefiniertes Cloud Router Route Advertisement für den zugewiesenen Bereich auf den Cloud Routern, die BGP-Sitzungen für Ihre Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) verwalten.

Verbindung von Adressen außerhalb von RFC 1918 herstellen

Verbindungen zu einer Cloud SQL-Instanz mit einer privaten IP-Adresse werden für RFC 1918-Adressbereiche automatisch autorisiert. Auf diese Weise können alle privaten Clients ohne Umleitung über den Proxy auf die Datenbank zugreifen. Adressen außerhalb des RFC 1918-Bereichs müssen als autorisierte Netzwerke konfiguriert sein.

Wenn Sie eine Verbindung über eine Adresse außerhalb des RFC 1918-Bereichs herstellen möchten, müssen Sie eine instanzspezifische IP-Autorisierung einrichten, um Traffic aus anderen als RFC 1918-Adressbereichen zuzulassen.

Verwenden Sie beispielsweise den folgenden gcloud-Befehl:

gcloud sql instances patch [INSTANCE_NAME] --authorized-networks 172.16.12.0/28,172.16.1.0/24,172.16.10.0/24,172.16.2.0/24,172.16.11.0/24,192.88.99.0/24,11.0.0.0/24

Cloud SQL erkennt standardmäßig keine Subnetzrouten außerhalb des RFC 1918-Bereichs von Ihrer VPC. Sie müssen deshalb das Netzwerk-Peering auf Cloud SQL aktualisieren, um alle Routen außerhalb des RFC 1918-Bereichs exportieren zu können. Beispiel:

gcloud compute networks peerings update cloudsql-[mysql/postgres]-googleapis-com --network=NETWORK --export-subnet-routes-with-public-ip --project=PROJECT

Weitere Informationen