Questa pagina contiene informazioni ed esempi per la connessione a un un'istanza Cloud SQL da un servizio eseguito in Cloud Build.
Cloud SQL è un servizio di database completamente gestito che ti consente di configurare, gestire e amministrare i database relazionali nel cloud.
Cloud Build è un servizio che esegue le build sull'infrastruttura Google Cloud.
configura un'istanza Cloud SQL
- Abilita l'API Cloud SQL Admin nel progetto Google Cloud da cui ti connetti, se
non l'hai ancora fatto:
- Crea un cluster Cloud SQL
per un'istanza SQL Server. Ti consigliamo di scegliere Cloud SQL
località dell'istanza nella stessa regione del servizio Cloud Run per migliorare la latenza, evitare alcuni costi di networking e ridurre
e rischi di errori tra regioni.
Per impostazione predefinita, Cloud SQL assegna un indirizzo IP pubblico a un nuovo in esecuzione in un'istanza Compute Engine. Puoi anche scegliere di assegnare un indirizzo IP privato. Per maggiori informazioni sulle opzioni di connettività per entrambi, consulta le Panoramica della connessione .
Configura Cloud Build
I passaggi per configurare Cloud Build dipendono dal tipo Indirizzo IP assegnato all'istanza Cloud SQL.IP pubblico (predefinito)
Assicurati che il tuo
l'account di servizio Cloud Build ha
IAM
ruoli e autorizzazioni necessari per la connessione all'istanza Cloud SQL.
L'account di servizio Cloud Build è elencato nella console Google Cloud
IAM
come Entità
[YOUR-PROJECT-NUMBER]@cloudbuild.gserviceaccount.com
.
Per visualizzare questo account di servizio nella console Google Cloud, Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google.
Il tuo account di servizio Cloud Build deve avere uno dei seguenti requisiti Ruoli IAM:
Cloud SQL Client
(opzione preferita)Cloud SQL Admin
cloudsql.instances.connect
cloudsql.instances.get
Se l'account di servizio Cloud Build appartiene a un altro progetto rispetto all'istanza Cloud SQL, quindi l'API Cloud SQL Admin e IAM devi aggiungere autorizzazioni per entrambi i progetti.
IP privato
Per connetterti all'istanza Cloud SQL su IP privato, Cloud Build deve trovarsi nella stessa rete VPC della tua istanza Cloud SQL. Per configurarlo:
- Configura una connessione privata tra la rete VPC della tua istanza Cloud SQL e la rete del producer di servizi.
- Crea un pool privato di Cloud Build.
Una volta configurata, l'applicazione potrà connettersi direttamente utilizzando il tuo
l'indirizzo IP privato dell'istanza e la porta 1433
quando la build viene eseguita nel pool.
Connettiti a Cloud SQL
Dopo aver configurato Cloud Build, puoi connetterti di Cloud SQL.
IP pubblico (predefinito)
Per i percorsi IP pubblici, Cloud Build supporta i socket TCP.
Puoi utilizzare il proxy di autenticazione Cloud SQL in un passaggio di Cloud Build per consentire le connessioni al database. Questa configurazione:
- Crea il tuo container ed esegue il push a Container Registry.
- Crea un secondo container, copiando il file binario del proxy di autenticazione Cloud SQL.
- I container creati da Cloud Build non richiedono il push in alcun registro e vengono ignorati al completamento della build.
- Utilizzando il secondo container, avvia il proxy di autenticazione Cloud SQL ed esegue tutti i comandi di migrazione.
L'esempio di codice Cloud Build riportato sopra mostra come eseguire un'istanza ipotetica Esegui la migrazione dopo aver eseguito il deployment dell'app di esempio riportata sopra per aggiornare e il database Cloud SQL utilizzando il proxy di autenticazione Cloud SQL e Cloud Build. Per eseguire questo esempio di codice di Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome cartella
sql-proxy
- Crea un file
Dockerfile
nella cartellasql-proxy
con la seguente riga di codice per i relativi contenuti:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-proxy
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
cloudbuild.yaml
. - Aggiorna il codice di esempio
_DATABASE_TYPE
all'interno del bloccosubstitutions:
in modo che siamssql
. - Aggiorna il codice di esempio
_DATABASE_PORT
all'interno del bloccosubstitutions:
in modo che sia1433
, ovvero la porta utilizzata da SQL Server. - Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
myinstance
- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Per consentire all'account di servizio Cloud Build di accedere a questo secret, dovrai concedergli il ruolo Funzione di accesso ai secret di Secret Manager in IAM. Per saperne di più, consulta Utilizzo dei secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando i seguenti esempi:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('INSTANCE_CONNECTION_NAME')
- Per fare riferimento alle stesse variabili da uno script Bash (ad esempio:
migrate.sh
), utilizza i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$INSTANCE_CONNECTION_NAME
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui questo comando
gcloud builds submit
per creare un container con il proxy di autenticazione Cloud SQL, avvia il proxy di autenticazione Cloud SQL ed esegui lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
IP privato
Per i percorsi IP privati, l'applicazione si connette direttamente tramite pool privati. Questo metodo utilizza TCP per connettersi direttamente a Cloud SQL senza utilizzare il proxy di autenticazione Cloud SQL.
Connetti tramite TCP
Connettiti utilizzando l'indirizzo IP privato dell'istanza Cloud SQL come host e porta 1433
.
Python
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Java
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Nota:
- CLOUD_SQL_CONNECTION_NAME deve essere rappresentato come <MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME>
- L'uso dell'argomento ipTypes=PRIVATE forza l'esecuzione di per la connessione all'IP privato associato a un'istanza
- Consulta i requisiti di versione di fabbrica del socket JDBC per pom.xml qui .
Node.js
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Vai
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
C#
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Ruby
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
PHP
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Quindi puoi creare un passaggio di Cloud Build per eseguire direttamente il codice.
L'esempio di codice Cloud Build riportato sopra mostra come eseguire un'istanza ipotetica Esegui la migrazione dopo aver eseguito il deployment dell'app di esempio riportata sopra per aggiornare e il database Cloud SQL con Cloud Build. Per eseguire questo esempio di codice di Cloud Build, i passaggi di configurazione richiesti sono:
- Crea un nome cartella
sql-private-pool
- Crea un file
Dockerfile
nella cartellasql-private-pool
con la seguente riga di codice per i relativi contenuti:FROM gcr.io/gcp-runtimes/ubuntu_20_0_4
- Crea un file
cloudbuild.yaml
nella cartellasql-private-pool
. - Aggiorna il file
cloudbuild.yaml
:- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
cloudbuild.yaml
. - Sostituisci i seguenti valori segnaposto con i valori utilizzati nel progetto:
mydatabase
myuser
databasehost
, nel formatohost:port
.
- Copia il codice Cloud Build di esempio riportato sopra e incollalo nel file
- Crea un secret denominato
database_password
in Secret Manager.- Per consentire all'account di servizio Cloud Build di accedere a questo secret, dovrai concedergli il ruolo Funzione di accesso ai secret di Secret Manager in IAM. Per saperne di più, consulta Utilizzo dei secret di Secret Manager.
- Crea un file di script migrate.py nella cartella
sql-proxy
.- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
cloudbuild.yaml
utilizzando i seguenti esempi:os.getenv('DATABASE_NAME')
os.getenv('DATABASE_USER')
os.getenv('DATABASE_PASS')
os.getenv('DATABASE_HOST')
- Per fare riferimento alle stesse variabili da uno script Bash (ad esempio:
migrate.sh
), utilizza i seguenti esempi:$DATABASE_NAME
$DATABASE_USER
$DATABASE_PASS
$DATABASE_HOST
- Lo script può fare riferimento alle seguenti variabili di ambiente e al secret creato nel file
- Esegui questo comando
gcloud builds submit
per creare un container con il proxy di autenticazione Cloud SQL, avvia il proxy di autenticazione Cloud SQL ed esegui lo scriptmigrate.py
:gcloud builds submit --config cloudbuild.yaml
Best practice e altre informazioni
Puoi utilizzare il proxy di autenticazione Cloud SQL durante il test la tua applicazione in locale. Consulta le guida rapida per l'utilizzo del proxy di autenticazione Cloud SQL per istruzioni dettagliate.
Puoi anche eseguire dei test utilizzando Proxy Cloud SQL tramite un container Docker.
Migrazioni dello schema di database
Configurando Cloud Build per la connessione a Cloud SQL, puoi eseguire lo schema del database per le attività di migrazione in Cloud Build utilizzando lo stesso codice di cui eseguiresti il deployment su qualsiasi altro server completamente gestita.
Utilizzo di Secret Manager
Puoi utilizzare la modalità Secret Manager per includere informazioni sensibili nelle build.