Cette page explique comment configurer une instance Cloud SQL afin qu'elle utilise une adresse IP privée.
Pour en savoir plus sur le fonctionnement de la connectivité IP privée ainsi que sur les exigences en termes d'environnement et de gestion, consultez la section Adresse IP privée.
Avant de commencer
Exigences relatives à l'API et à IAM
- Vous devez activer l'API Service Networking dans votre projet Google Cloud.
- Pour gérer une connexion d'accès aux services privés, l'utilisateur doit disposer des autorisations Identity and Access Management (IAM) suivantes. Si vous ne disposez pas des autorisations nécessaires, vous pouvez obtenir des erreurs d'autorisations insuffisantes.
compute.networks.list
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Si vous utilisez un réseau VPC partagé, vous devez également ajouter votre utilisateur au projet hôte et lui attribuer les mêmes autorisations sur le projet hôte.
Si vous utilisez un réseau VPC partagé, vous devez également activer cette API pour le projet hôte.
Accès aux services privés
Lorsque vous créez un réseau cloud privé virtuel (VPC) dans votre projet, vous devez configurer l'accès aux services privés pour allouer une plage d'adresses IP et créer une connexion de service privée. Cela permet aux ressources du réseau VPC de se connecter aux instances Cloud SQL. La console Google Cloud fournit un assistant pour vous aider à mettre en place cette configuration.
Configurer une instance pour qu'elle utilise une adresse IP privée
Vous pouvez configurer une instance Cloud SQL pour qu'elle utilise une adresse IP privée lors de sa création, ou ultérieurement pour une instance existante.
Configurer une adresse IP privée pour une nouvelle instance
Pour configurer une instance Cloud SQL au moment de sa création afin qu'elle utilise une adresse IP privée, procédez comme suit :
Console
-
Dans Google Cloud Console, accédez à la page Instances Cloud SQL.
- Cliquez sur Create instance (Créer une instance).
- Développez la section Show configuration options (Afficher les options de configuration).
- Développez Connexions.
- Sélectionnez Adresse IP privée.
Une liste déroulante affiche les réseaux VPC disponibles dans votre projet. Si votre projet est le projet de service d'un VPC partagé, les réseaux VPC du projet hôte y apparaissent également.
- Sélectionnez le réseau VPC que vous souhaitez utiliser :
- Cliquez sur Configurer la connexion.
- Dans la section Allouer une plage d'adresses IP, sélectionnez l'une des options suivantes :
- Sélectionnez une ou plusieurs plages d'adresses IP existantes, ou créez-en une depuis la liste déroulante. Le cas échéant, la liste déroulante inclut les plages déjà allouées. Vous pouvez aussi sélectionner Allouer une nouvelle plage d'adresses IP et saisir une nouvelle plage et un nouveau nom.
- Utilisez une plage d'adresses IP allouée automatiquement dans votre réseau.
- Cliquez sur Continuer.
- Cliquez sur Create connection (Créer une connexion).
- Vérifiez que le message suivant s'affiche :
Private service connection for network VPC_NETWORK_NAME has been successfully created
. - Vous pouvez éventuellement spécifier une plage d'adresses IP allouée pour vos instances à utiliser pour les connexions.
- Développez l'option Afficher la plage d'adresses IP allouée.
- Sélectionnez une plage d'adresses IP dans le menu déroulant.
- Terminez la configuration de votre instance.
- Cliquez sur Create instance (Créer une instance).
Si un message vous indique que vous devez configurer une connexion de service privée, procédez comme suit :
gcloud
Avant de créer une instance à l'aide d'une adresse IP privée, assurez-vous que votre projet est configuré pour l'accès privé aux services.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
INSTANCE_ID
: ID de l'instance.PROJECT_ID
: ID du projet.NETWORK_PROJECT_ID
: ID de projet du réseau VPC.VPC_NETWORK_NAME
: nom du réseau VPC.RANGE_NAME
: facultatif. Si spécifié, définit un nom de plage pour lequel une plage d'adresses IP est allouée. Le nom de la plage doit respecter la normeRFC-1035
, et contenir entre 1 et 63 caractères.REGION_NAME
: nom de la région.
--network
. Pour désactiver l'adresse IP publique, utilisez l'option --no-assign-ip
.
gcloud beta sql instances create INSTANCE_ID \ --project=PROJECT_ID \ --network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \ --no-assign-ip \ --allocated-ip-range-name=RANGE_NAME
Terraform
Pour configurer une adresse IP privée pour une nouvelle instance, utilisez les ressources Terraform suivantes :
google_compute_network
google_compute_global_address
google_service_networking_connection
google_sql_database_instance
Appliquer les modifications
Pour appliquer votre configuration Terraform dans un projet Google Cloud, suivez les procédures des sections suivantes.
Préparer Cloud Shell
- Lancez Cloud Shell.
-
Définissez le projet Google Cloud par défaut dans lequel vous souhaitez appliquer vos configurations Terraform.
Vous n'avez besoin d'exécuter cette commande qu'une seule fois par projet et vous pouvez l'exécuter dans n'importe quel répertoire.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Les variables d'environnement sont remplacées si vous définissez des valeurs explicites dans le fichier de configuration Terraform.
Préparer le répertoire
Chaque fichier de configuration Terraform doit avoir son propre répertoire (également appelé module racine).
-
Dans Cloud Shell, créez un répertoire et un nouveau fichier dans ce répertoire. Le nom du fichier doit comporter l'extension
.tf
, par exemplemain.tf
. Dans ce tutoriel, le fichier est appelémain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Si vous suivez un tutoriel, vous pouvez copier l'exemple de code dans chaque section ou étape.
Copiez l'exemple de code dans le fichier
main.tf
que vous venez de créer.Vous pouvez également copier le code depuis GitHub. Cela est recommandé lorsque l'extrait Terraform fait partie d'une solution de bout en bout.
- Examinez et modifiez les exemples de paramètres à appliquer à votre environnement.
- Enregistrez les modifications.
-
Initialisez Terraform. Cette opération n'est à effectuer qu'une seule fois par répertoire.
terraform init
Vous pouvez également utiliser la dernière version du fournisseur Google en incluant l'option
-upgrade
:terraform init -upgrade
Appliquer les modifications
-
Examinez la configuration et vérifiez que les ressources que Terraform va créer ou mettre à jour correspondent à vos attentes :
terraform plan
Corrigez les modifications de la configuration si nécessaire.
-
Appliquez la configuration Terraform en exécutant la commande suivante et en saisissant
yes
lorsque vous y êtes invité :terraform apply
Attendez que Terraform affiche le message "Apply completed!" (Application terminée).
- Ouvrez votre projet Google Cloud pour afficher les résultats. Dans la console Google Cloud, accédez à vos ressources dans l'interface utilisateur pour vous assurer que Terraform les a créées ou mises à jour.
Supprimer les modifications
Pour supprimer vos modifications, procédez comme suit :
- Pour désactiver la protection contre la suppression, définissez l'argument
deletion_protection
surfalse
dans le fichier de configuration Terraform.deletion_protection = "false"
- Appliquez la configuration Terraform mise à jour en exécutant la commande suivante et en saisissant
yes
lorsque vous y êtes invité :terraform apply
-
Supprimez les ressources précédemment appliquées à votre configuration Terraform en exécutant la commande suivante et en saisissant
yes
à la requête :terraform destroy
REST v1
Créez une instance avec une adresse IP privée :
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID: ID du projet.
- INSTANCE_ID: ID de l'instance.
- VPC_NETWORK_NAME: spécifiez le nom du réseau cloud privé virtuel (VPC) que vous souhaitez utiliser pour cette instance. L'accès aux services privés doit déjà être configuré pour le réseau.
- RANGE_NAME: Facultatif. Si spécifié, définit un nom de plage pour lequel une plage d'adresses IP est allouée. Le nom de la plage doit respecter la norme
RFC-1035
et contenir entre 1 et 63 caractères. - AUTHORIZED_NETWORKS: pour les connexions IP publiques, spécifiez les connexions à partir de réseaux autorisés pouvant vous connecter à l'instance.
Pour le paramètre ipv4Enabled
, définissez la valeur sur true
si vous utilisez une adresse IP publique pour votre instance ou sur false
si votre instance possède une adresse IP privée.
Méthode HTTP et URL :
POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances
Corps JSON de la requête :
{ "name": "INSTANCE_ID", "region": "region", "databaseVersion": "database-version", "settings": { "tier": "machine-type", "ipConfiguration": { "ipv4Enabled": false, "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME", "allocatedIpRange": "RANGE_NAME" "authorizedNetworks": [AUTHORIZED_NETWORKS], } } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
REST v1beta4
Créez une instance avec une adresse IP privée :
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID: ID du projet.
- INSTANCE_ID: ID de l'instance.
- VPC_NETWORK_NAME: spécifiez le nom du réseau cloud privé virtuel (VPC) que vous souhaitez utiliser pour cette instance. L'accès aux services privés doit déjà être configuré pour le réseau.
- RANGE_NAME: Facultatif. Si spécifié, définit un nom de plage pour lequel une plage d'adresses IP est allouée. Le nom de la plage doit respecter la norme
RFC-1035
et contenir entre 1 et 63 caractères. - AUTHORIZED_NETWORKS: pour les connexions IP publiques, spécifiez les connexions à partir de réseaux autorisés pouvant vous connecter à l'instance.
Pour le paramètre ipv4Enabled
, définissez la valeur sur true
si vous utilisez une adresse IP publique pour votre instance ou sur false
si votre instance possède une adresse IP privée.
Méthode HTTP et URL :
POST https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances
Corps JSON de la requête :
{ "name": "INSTANCE_ID", "region": "region", "databaseVersion": "database-version", "settings": { "tier": "machine-type", "ipConfiguration": { "ipv4Enabled": false, "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME", "allocatedIpRange": "RANGE_NAME" "authorizedNetworks": [AUTHORIZED_NETWORKS], } } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
Configurer une adresse IP privée pour une instance existante
Lorsque vous configurez une instance Cloud SQL existante pour qu'elle utilise une adresse IP privée, celle-ci redémarre, ce qui entraîne un temps d'arrêt.
Pour configurer une instance existante afin qu'elle utilise une adresse IP privée, procédez comme suit :
Console
-
Dans Google Cloud Console, accédez à la page Instances Cloud SQL.
- Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
- Dans le menu de navigation Cloud SQL, sélectionnez Connexions.
- Dans l'onglet Réseau, cochez la case Adresse IP privée.
Une liste déroulante affiche les réseaux disponibles dans votre projet.
- Sélectionnez le réseau VPC que vous souhaitez utiliser :
- Cliquez sur Configurer la connexion.
- Dans la section Allouer une plage d'adresses IP, sélectionnez l'une des options suivantes :
- Sélectionnez une ou plusieurs plages d'adresses IP existantes, ou créez-en une depuis la liste déroulante. Le cas échéant, la liste déroulante inclut les plages déjà allouées. Vous pouvez aussi sélectionner Allouer une nouvelle plage d'adresses IP et saisir une nouvelle plage et un nouveau nom.
- Utilisez une plage d'adresses IP allouée automatiquement dans votre réseau.
- Cliquez sur Continuer.
- Cliquez sur Create connection (Créer une connexion).
- Vérifiez que vous observez bien l'état La connexion de service privée pour le réseau
VPC_NETWORK_NAME
a bien été créée. - Cliquez sur Enregistrer.
Si vous voyez apparaître Connexion de service privée requise :
gcloud
Assurez-vous que votre projet est configuré pour l'accès privé aux services.
Mettez à jour votre instance Cloud SQL en utilisant le paramètre --network
pour spécifier le nom du réseau VPC sélectionné.
gcloud beta sql instances patch INSTANCE_ID \ --project=PROJECT_ID \ --network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \ --no-assign-ip
REST v1
Créez une instance avec une adresse IP privée :
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID: ID du projet.
- INSTANCE_ID: ID de l'instance.
- VPC_NETWORK_NAME: spécifiez le nom du réseau cloud privé virtuel (VPC) que vous souhaitez utiliser pour cette instance. L'accès aux services privés doit déjà être configuré pour le réseau.
- RANGE_NAME: Facultatif. Si spécifié, définit un nom de plage pour lequel une plage d'adresses IP est allouée. Le nom de la plage doit respecter la norme
RFC-1035
et contenir entre 1 et 63 caractères. - AUTHORIZED_NETWORKS: pour les connexions IP publiques, spécifiez les connexions à partir de réseaux autorisés pouvant vous connecter à l'instance.
Pour le paramètre ipv4Enabled
, définissez la valeur sur true
si vous utilisez une adresse IP publique pour votre instance ou sur false
si votre instance possède une adresse IP privée.
Méthode HTTP et URL :
PATCH https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID
Corps JSON de la requête :
{ "settings": { "ipConfiguration": { "ipv4Enabled": false, "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME", "allocatedIpRange": "RANGE_NAME" "authorizedNetworks": [AUTHORIZED_NETWORKS], } } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
REST v1beta4
Créez une instance avec une adresse IP privée :
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID: ID du projet.
- INSTANCE_ID: ID de l'instance.
- VPC_NETWORK_NAME: spécifiez le nom du réseau cloud privé virtuel (VPC) que vous souhaitez utiliser pour cette instance. L'accès aux services privés doit déjà être configuré pour le réseau.
- RANGE_NAME: Facultatif. Si spécifié, définit un nom de plage pour lequel une plage d'adresses IP est allouée. Le nom de la plage doit respecter la norme
RFC-1035
et contenir entre 1 et 63 caractères. - AUTHORIZED_NETWORKS : pour les connexions IP publiques, spécifiez les connexions à partir de réseaux autorisés pouvant vous connecter à l'instance.
Pour le paramètre ipv4Enabled
, définissez la valeur sur true
si vous utilisez une adresse IP publique pour votre instance ou sur false
si votre instance possède une adresse IP privée.
Méthode HTTP et URL :
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
Corps JSON de la requête :
{ "settings": { "ipConfiguration": { "ipv4Enabled": false, "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME", "allocatedIpRange": "RANGE_NAME" "authorizedNetworks": [AUTHORIZED_NETWORKS], } } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
Se connecter à une instance à l'aide de son adresse IP privée
L'accès aux services privés vous permet de vous connecter à des instances Cloud SQL à partir d'instances Compute Engine ou Google Kubernetes Engine dans le même réseau VPC (définies ici comme des sources internes) ou externes à ce réseau (sources externes).
Se connecter depuis une source interne
Pour vous connecter à partir d'une source appartenant au même projet Google Cloud que votre instance Cloud SQL, par exemple le proxy d'authentification Cloud SQL exécuté sur une ressource Compute Engine, cette ressource doit se trouver dans le même réseau VPC où l'accès aux services privés a été établi pour l'instance Cloud SQL.
Pour vous connecter à partir d'une source sans serveur, telle que l'environnement standard App Engine, Cloud Run ou Cloud Functions, votre application ou fonction se connecte directement à votre instance via l'accès au VPC sans serveur, sans proxy d'authentification Cloud SQL.
Se connecter depuis une source externe
Si un réseau externe (par exemple, un réseau sur site ou un réseau VPC) est connecté au réseau VPC auquel votre instance Cloud SQL est connectée, vous pouvez utiliser Cloud VPN ou Cloud Interconnect pour vous connecter à l'instance depuis un client du réseau externe.
Pour autoriser les connexions à partir d'un réseau externe, procédez comme suit :
- Vérifiez que le réseau VPC est connecté au réseau externe à l'aide d'un tunnel Cloud VPN ou d'un rattachement de VLAN pour une interconnexion dédiée ou une interconnexion partenaire.
- Assurez-vous que les sessions BGP (Border Gateway Protocol) sur les routeurs cloud gérant vos tunnels Cloud VPN et vos rattachements Cloud Interconnect (VLAN) ont reçu des préfixes (destinations) spécifiques provenant de votre réseau sur site.
Les routes par défaut (destination 0.0.0.0/0) ne peuvent pas être importées dans le réseau VPC Cloud SQL, car celui-ci possède sa propre route locale par défaut. Les routes locales d'une destination sont utilisées, même si l'appairage Cloud SQL est configuré pour importer des routes personnalisées à partir de votre réseau VPC.
- Identifiez l'appairage généré par la connexion aux services privés. En fonction du service, la connexion aux services privés peut créer une ou plusieurs des connexions d'appairage suivantes, mais pas nécessairement toutes :
cloudsql-mysql-googleapis-com
cloudsql-postgres-googleapis-com
servicenetworking-googleapis-com
- Modifiez toutes les connexions d'appairage pour activer l'exportation des routes personnalisées.
- Identifiez la plage allouée utilisée par la connexion aux services privés.
- Configurez le mode d'annonce personnalisé Cloud Router pour la plage allouée sur les routeurs Cloud Router gérant les sessions BGP de vos tunnels Cloud VPN ou d vos rattachements Cloud Interconnect (VLAN).
Se connecter à partir de Cloud Shell
Cloud Shell n'est pas compatible avec la connexion à une instance Cloud SQL ne disposant que d'une adresse IP privée.
Se connecter à partir d'adresses IP non-RFC 1918
La RFC 1918 spécifie les adresses IP affectées à une utilisation en interne (c'est-à-dire au sein d'une organisation) et qui ne s'acheminent pas sur Internet. En particulier, il peut s'agir des éléments suivants :
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Les connexions à une instance Cloud SQL à l'aide d'une adresse IP privée sont automatiquement autorisées pour les plages d'adresses RFC 1918. De cette façon, tous les clients privés peuvent accéder à la base de données sans passer par le proxy.
Pour vous connecter à partir d'une adresse IP non-RFC 1918, vous devez définir une autorisation IP par instance, afin d'autoriser le trafic provenant de plages d'adresses IP non-RFC 1918.
Par exemple, exécutez une commande gcloud
comme suit :
gcloud sql instances patch INSTANCE_NAME \ --authorized-networks=192.88.99.0/24,11.0.0.0/24
Par défaut, Cloud SQL n'apprend pas les routes de sous-réseau non-RFC 1918 à partir de votre réseau VPC. Vous devez mettre à jour l'appairage de réseaux vers Cloud SQL pour exporter les routes non-RFC 1918.
gcloud compute networks peerings update PEERING_CONNECTION \ --network=VPC_NETWORK_NAME \ --export-subnet-routes-with-public-ip \ --project=PROJECT_ID
PEERING_CONNECTION
correspond au nom de la connexion d'appairage produite par la connexion aux services privés entre votre réseau VPC et le réseau du producteur de services.VPC_NETWORK_NAME
est le nom du réseau VPC.PROJECT_ID
est l'ID du projet du réseau VPC. Si vous utilisez un VPC partagé, utilisez l'ID du projet hôte.
Remplacez les éléments suivants :
Pour prévenir le phénomène d'épuisement des adresses IP, vous pouvez exploiter des adresses IP publiques utilisées en mode privé.
Se connecter à partir d'adresses IP publiques utilisées en mode privé
Si vous souhaitez configurer votre instance dans une plage d'adresses IP publiques utilisées en mode privé, activez export-subnet-routes-with-public-ip
sur l'appairage de réseaux entre votre réseau et le réseau Cloud SQL.
gcloud compute networks peerings update PEERING_CONNECTION \ --network=VPC_NETWORK_NAME \ --export-subnet-routes-with-public-ip \ --project=PROJECT_ID
PEERING_CONNECTION
correspond au nom de la connexion d'appairage produite par la connexion aux services privés entre votre réseau VPC et le réseau du producteur de services. Pour connaître le nom de la connexion d'appairage, accédez à la page Appairage de réseaux VPC.VPC_NETWORK_NAME
est le nom du réseau VPC.PROJECT_ID
est l'ID du projet du réseau VPC. Si vous utilisez un VPC partagé, utilisez l'ID du projet hôte.
Remplacez les éléments suivants :
Se connecter à une instance configurée avec des adresses IP publiques utilisées en mode privé
Si votre instance est configurée dans une plage d'adresses IP publiques utilisées en mode privé et que vous souhaitez vous y connecter, activez import-subnet-routes-with-public-ip
sur l'appairage de réseaux entre votre réseau et le réseau Cloud SQL.
gcloud compute networks peerings update PEERING_CONNECTION \ --network=VPC_NETWORK_NAME \ --import-subnet-routes-with-public-ip \ --project=PROJECT_ID
PEERING_CONNECTION
correspond au nom de la connexion d'appairage produite par la connexion aux services privés entre votre réseau VPC et le réseau du producteur de services. Pour connaître le nom de la connexion d'appairage, accédez à la page Appairage de réseaux VPC.VPC_NETWORK_NAME
est le nom du réseau VPC.PROJECT_ID
est l'ID du projet du réseau VPC. Utilisez l'ID du projet hôte si vous utilisez un VPC partagé.
Remplacez les éléments suivants :
Résoudre les problèmes
Consultez la page Dépannage pour connaître les problèmes de connectivité connus, ainsi que la section sur le débogage des problèmes de connexion pour obtenir de l'aide sur l'autodiagnostic.
Étape suivante
- Apprenez-en plus sur les adresses IP privées.
- Obtenez plus d'informations sur l'accès aux services privés.
- Découvrez comment utiliser VPC Service Controls pour ajouter un périmètre de service.
- Découvrez comment configurer l'accès aux services privés.
- Découvrez comment configurer l'accès aux services privés pour Cloud SQL.
- Apprenez-en davantage sur Cloud VPN.
- Apprenez-en plus sur les réseaux VPC.
- Apprenez-en plus sur l'appairage de réseaux VPC.
- Apprenez-en plus sur les VPC partagés.