Connecter votre instance à plusieurs VPC

Cette page explique comment établir une connexion à votre instance Cloud SQL sur des VPC appairés de manière transitoire.

Cloud SQL propose les méthodes suivantes pour connecter votre instance Cloud SQL à plusieurs VPC à l'aide d'une adresse IP privée :

Se connecter à l'aide de routes annoncées personnalisées

Vous pouvez utiliser Cloud Router pour configurer des routes annoncées personnalisées entre deux réseaux qui passent par un VPC intermédiaire pour connecter plusieurs VPC à votre instance Cloud SQL. Les deux VPC doivent être connectés à l'aide d'un réseau privé virtuel (VPN), de Cloud Interconnect ou de tout autre réseau compatible avec Cloud Router.

Annonces de routage personnalisées.

Avec les routes annoncées personnalisées, votre VPC Cloud SQL, VPC C, est connecté à votre VPC principal, VPC A, en utilisant un VPC intermédiaire, VPC B. Vous pouvez configurer les routes partagées entre ces réseaux des manières suivantes :

Nous vous recommandons d'utiliser des routes annoncées personnalisées pour connecter plusieurs VPC à votre instance Cloud SQL à l'aide de Cloud Router.

Se connecter à l'aide d'un proxy intermédiaire (SOCKS5)

Vous pouvez configurer un proxy intermédiaire, tel qu'un proxy SOCKS5, sur un VPC intermédiaire avec le proxy d'authentification Cloud SQL dans votre VPC principal entre le client et votre instance Cloud SQL. Cela permet au nœud intermédiaire de transférer le trafic chiffré du proxy d'authentification Cloud SQL vers l'instance Cloud SQL.

Connexion à l'aide d'un proxy intermédiaire.

Pour utiliser un proxy intermédiaire pour vous connecter à votre instance Cloud SQL à partir de plusieurs VPC, procédez comme suit :

  1. Sur votre client externe, installez gcloud CLI.

  2. Sur la VM intermédiaire, installez, configurez et exécutez un serveur SOCKS. À titre d'exemple, Dante est une solution Open Source très répandue.

  3. Configurez le serveur pour qu'il soit lié à l'interface réseau ens4 de la VM à la fois pour les connexions externes et internes. Pour les connexions internes, spécifiez n'importe quel port.

  4. Configurez le pare-feu de votre VPC pour autoriser le trafic TCP provenant de l'adresse IP ou de la plage appropriée vers le port configuré du serveur SOCKS.

  5. Sur votre client externe, téléchargez et installez le proxy d'authentification Cloud SQL.

  6. Sur votre client externe, démarrez le proxy d'authentification Cloud SQL.

    Étant donné que vous avez configuré votre instance pour utiliser une adresse IP interne, vous devez indiquer l'option --private-ip lorsque vous démarrez le proxy d'authentification Cloud SQL.

    Définissez également la variable d'environnement ALL_PROXY sur l'adresse IP de la VM intermédiaire et spécifiez le port utilisé par le serveur SOCKS. Par exemple, ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT..

    Si vous vous connectez à partir d'un VPC appairé, utilisez l'adresse IP interne de la VM intermédiaire. Sinon, utilisez son adresse IP externe.

  7. Sur votre client externe, testez votre connexion à l'aide d'un client SQL Server.

Se connecter à l'aide du proxy d'authentification Cloud SQL en tant que service

Vous pouvez installer et exécuter le proxy d'authentification Cloud SQL sur votre VPC intermédiaire plutôt que sur votre client externe et activer des connexions sécurisées en l'associant à un proxy compatible avec le protocole, également appelé "pooler de connexions". PGbouncer ou Pgpool-II (PostgreSQL uniquement) sont des exemples de poolers de connexions.

Cette méthode de connexion permet à vos applications de se connecter directement au pooler de manière sécurisée à l'aide d'un protocole SSL configuré. Le pooler transmet des requêtes de base de données à votre instance Cloud SQL à l'aide du proxy d'authentification Cloud SQL.

Se connecter à l'aide de Private Service Connect

Private Service Connect vous permet de vous connecter à plusieurs réseaux VPC dans différents projets ou différentes organisations. Vous pouvez utiliser Private Service Connect pour vous connecter à une instance principale ou à l'une de ses instances répliquées avec accès en lecture. Pour plus d'informations sur Private Service Connect, consultez la Présentation de Private Service Connect.

Pour vous connecter à plusieurs VPC à l'aide de Private Service Connect, consultez la section Se connecter à une instance à l'aide de Private Service Connect.