Informazioni sulle opzioni di connessione

Questa pagina fornisce una panoramica dei modi in cui puoi connetterti a Cloud SQL e descrive le opzioni disponibili per l'autenticazione e l'autorizzazione.

Panoramica

Quando decidi come connetterti all'istanza Cloud SQL, tieni presente che hai a disposizione molte opzioni, tra cui:

  • Vuoi che l'istanza Cloud SQL sia accessibile a internet o privato all'interno di un virtual private cloud (VPC) di rete o renderlo pubblico e privato accessibile?
  • Hai intenzione di scrivere il tuo codice di connessione o di connetterti utilizzando strumenti disponibili pubblicamente come Cloud SQL Auth Proxy o un client sqlcmd?
  • Vuoi richiedere la crittografia tramite SSL/TLS o consentire la crittografia traffico?

Nelle sezioni seguenti illustreremo le opzioni di Cloud SQL fornisce la connessione, l'autorizzazione e l'autenticazione al tuo database.

  • Come effettuare la connessione: il percorso di rete che utilizzi per raggiungere l'istanza:
    • Un indirizzo IP interno, solo VPC (privato).
    • Un indirizzo IP esterno accessibile da internet (pubblico).
  • Come autorizzare: quali connessioni sono autorizzate e autorizzate a connettiti all'istanza Cloud SQL:
    • Le librerie del connettore di autenticazione Cloud SQL e del connettore Cloud SQL per Java e Python forniscono l'accesso basato su IAM.
    • Certificati SSL/TLS con gestione indipendente: consentono solo connessioni basate su chiavi pubbliche specifiche.
    • Reti autorizzate: un elenco di indirizzi IP autorizzati a connettersi.
  • Come eseguire l'autenticazione: il metodo per accedere al database.
    • Autenticazione del database integrata: accedi con un nome utente e una password impostati nel motore del database.

Utilizza le informazioni che seguono per decidere quale connessione, autorizzazione le opzioni di autenticazione sono le più adatte alle tue esigenze.

Prima di iniziare

La concessione dell'accesso a un'applicazione non abilita automaticamente un database l'account utente per la connessione all'istanza. Prima di poterti connettere a un'istanza, devi avere un account utente del database a cui puoi connetterti. Per le nuove istanze, devi aver configurato l'account utente predefinito. Per saperne di più, vedi Gestire gli utenti con l'autenticazione integrata.

Come connettersi a Cloud SQL

Le connessioni al database consumano risorse sul server e sull'applicazione di connessione. Usa sempre buone pratiche di gestione della connessione per ridurre al minimo l'impronta della tua applicazione e riduci la probabilità di superare Limiti di connessione di Cloud SQL. Per ulteriori informazioni, vedi Gestione delle connessioni ai database

IP pubblico e privato

In Cloud SQL, IP pubblico significa che l'istanza è accessibile tramite nella rete internet pubblica. Al contrario, le istanze che utilizzano solo l'IP privato non sono accessibili alla rete internet pubblica, ma sono accessibili tramite una Virtual Private Cloud (VPC). Le istanze Cloud SQL possono avere un indirizzo IP pubblico e uno privato.

IP privato

Un IP privato è un indirizzo IPv4 accessibile su un Virtual Private Cloud (VPC).

Puoi utilizzare questo indirizzo per connetterti da altre risorse con accesso al VPC. Le connessioni su IP privato in genere forniscono una latenza più bassa e un attacco limitato perché non richiedono la attraversamento di internet. Facoltativamente, puoi richiedono che tutte le connessioni utilizzino il proxy Cloud SQL o certificati SSL autogestiti.

È preferibile configurare l'istanza con un IP privato quando ti connetti da un su una risorsa con accesso a un VPC. Per ulteriori informazioni le risorse possono usare l'IP privato, Requisiti per l'IP privato.

Per i percorsi IP privati, i seguenti servizi e applicazioni si connettono direttamente all'istanza tramite Accesso VPC serverless:

  • Ambiente standard di App Engine
  • Ambiente flessibile di App Engine
  • Funzioni Cloud Run
  • Cloud Run

Scopri di più sull'utilizzo dell'IP privato con Cloud SQL

Per istruzioni su come aggiungere un indirizzo IP privato all'istanza, consulta una delle seguenti risorse:

IP pubblico

Un IP pubblico è un indirizzo IPv4 disponibile esternamente sulla rete internet pubblica. Questo indirizzo può ricevere connessioni dai dispositivi all'interno e al di fuori della rete Google, ad esempio da luoghi come casa o l'ufficio.

Per contribuire a mantenere la tua istanza al sicuro, tutte le connessioni a un'istanza Cloud SQL che utilizzano un IP pubblico devono essere autorizzate utilizzando il proxy di autenticazione Cloud SQL o le reti autorizzate.

La configurazione dell'istanza con un indirizzo IP pubblico è consigliata quando ti connetti da un client che non soddisfa i requisiti per un VPC.

Per istruzioni sull'aggiunta di un IP pubblico all'istanza, consulta Configurazione della connettività IP pubblico.

Per informazioni su come connettere un client sqlcmd a un'istanza Cloud SQL tramite IP pubblico, consulta Connessione tramite un client di database.

Come autorizzare in Cloud SQL

Connettori di linguaggio Cloud SQL

I connettori di linguaggio Cloud SQL sono librerie client che forniscono crittografia e IAM quando ti connetti a un'istanza Cloud SQL. Cloud SQL consiglia di utilizzare i connettori dei linguaggi di Cloud SQL per connettersi all'istanza Cloud SQL anziché ad altre opzioni di connessione.

Puoi utilizzare queste librerie direttamente dal relativo linguaggio di programmazione supportato. Forniscono la stessa autenticazione del proxy di autenticazione Cloud SQL senza richiedere un processo esterno. In questo modo, la sicurezza viene migliorata e i requisiti di configurazione per connettersi a Cloud SQL vengono ridotti. Anche i connettori dei linguaggi Cloud SQL utilizzano lo stesso codice quando si connettono utilizzando un indirizzo IP pubblico o privato.

Per iniziare, consulta Informazioni sui connettori di linguaggio Cloud SQL.

Proxy di autenticazione Cloud SQL

Il proxy di autenticazione Cloud SQL consente di autorizzare e proteggere le connessioni utilizzando le autorizzazioni Identity and Access Management (IAM). Cloud SQL Auth Proxy convalida le connessioni utilizzando le credenziali di un account utente o di servizio e inserendo la connessione in un livello SSL/TLS autorizzato per un'istanza Cloud SQL. Per ulteriori dettagli su come Il proxy di autenticazione Cloud SQL funziona, vedi Informazioni sul proxy di autenticazione Cloud SQL.

L'utilizzo del proxy di autenticazione Cloud SQL è il metodo consigliato per autenticare le connessioni a un'istanza Cloud SQL perché è il metodo più sicuro.

Il proxy di autenticazione Cloud SQL è un libreria open source distribuiti come file binario eseguibile. Il proxy di autenticazione Cloud SQL funge da server intermediario che ascolta le connessioni in entrata, le inserisce in SSL/TLS e poi le passa a un'istanza Cloud SQL.

Alcuni ambienti forniscono un meccanismo che si connette utilizzando il proxy di autenticazione Cloud SQL. Per istruzioni sulla connessione utilizzando questi ambienti, consulta le seguenti pagine:

Certificati SSL/TLS autogestiti

Anziché utilizzare il proxy di autenticazione Cloud SQL per criptare le connessioni, è possibile configurare certificati SSL/TLS client/server specifici per Cloud SQL in esecuzione in un'istanza Compute Engine. Questi certificati vengono utilizzati sia per convalidare il client e il server tra loro sia per criptare le connessioni tra di loro.

Ti consigliamo vivamente di utilizzare i certificati SSL/TLS autogestiti per fornire se non utilizzi il proxy di autenticazione Cloud SQL. Se non lo fai significa che i tuoi dati vengono trasmessi in modo non sicuro e potrebbero essere intercettati o ispezionati da una di terze parti.

Per iniziare a utilizzare i certificati SSL/TLS autogestiti, consulta Autorizzazione con certificati SSL/TLS.

Reti autorizzate

A meno che non si utilizzi il proxy di autenticazione Cloud SQL, le connessioni all'IP pubblico di un'istanza sono consentiti solo se la connessione proviene rete autorizzata. Le reti autorizzate sono indirizzi o intervalli IP che l'utente ha specificato l'autorizzazione per la connessione.

Per iniziare a utilizzare le reti autorizzate, consulta: Autorizzazione con reti autorizzate.

Come eseguire l'autenticazione in Cloud SQL

L'autenticazione consente di controllo dell'accesso verificando l'identità di un utente. Per gli utenti finali, l'autenticazione viene ottenuta quando l'utente inserisce le credenziali. (nome utente e password). Per le applicazioni, l'autenticazione viene eseguita quando le credenziali di un utente vengono assegnate a un account di servizio.

Cloud SQL utilizza l'autenticazione integrata del database che autentica utilizzando un nome utente e una password. Per ulteriori informazioni, vedi creazione e gestione degli utenti SQL Server.

Strumenti per la connessione a Cloud SQL

La tabella seguente contiene alcune opzioni per la connessione a Cloud SQL:

Opzione di connessione Ulteriori informazioni
Proxy di autenticazione Cloud SQL
gcloud CLI
Connettori dei linguaggi Cloud SQL
Cloud Shell
Cloud Code
Connettiti utilizzando strumenti di amministrazione di database di terze parti
SQL Server Management Studio
Esplorazione oggetti SSMS
Studio visivo

Esempi di codice

Puoi connetterti al proxy di autenticazione Cloud SQL da qualsiasi linguaggio che ti consenta di connetterti a un socket TCP. Di seguito sono riportati alcuni snippet di codice di esempi completi su GitHub per aiutarti a capire come interagiscono nella tua applicazione.

Connessione con TCP

Istruzione di chiamata del proxy di autenticazione Cloud SQL:

./cloud-sql-proxy INSTANCE_CONNECTION_NAME &

Python

Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.

import os

import sqlalchemy


def connect_tcp_socket() -> sqlalchemy.engine.base.Engine:
    """Initializes a TCP connection pool for a Cloud SQL instance of SQL Server."""
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    db_host = os.environ[
        "INSTANCE_HOST"
    ]  # e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
    db_user = os.environ["DB_USER"]  # e.g. 'my-db-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-db-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    db_port = os.environ["DB_PORT"]  # e.g. 1433

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # mssql+pytds://<db_user>:<db_pass>@<db_host>:<db_port>/<db_name>
        sqlalchemy.engine.url.URL.create(
            drivername="mssql+pytds",
            username=db_user,
            password=db_pass,
            database=db_name,
            host=db_host,
            port=db_port,
        ),
        # ...
    )

    return pool

Java

Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.

Nota:

  • CLOUD_SQL_CONNECTION_NAME deve essere rappresentato come &lt;MY-PROJECT&gt;:&lt;INSTANCE-REGION&gt;:&lt;INSTANCE-NAME&gt;
  • L'uso dell'argomento ipTypes=PRIVATE forzerà l'esecuzione di per la connessione all'IP privato associato a un'istanza
  • Consulta i requisiti di versione di fabbrica del socket JDBC per pom.xml qui .


import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class TcpConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  private static final String INSTANCE_HOST = System.getenv("INSTANCE_HOST");
  private static final String DB_PORT = System.getenv("DB_PORT");


  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(
        String.format("jdbc:sqlserver://%s:%s;databaseName=%s", INSTANCE_HOST, DB_PORT, DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "sqlserver"
    config.setPassword(DB_PASS); // e.g. "my-password"


    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

Node.js

Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.

const mssql = require('mssql');

// createTcpPool initializes a TCP connection pool for a Cloud SQL
// instance of SQL Server.
const createTcpPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  const dbConfig = {
    server: process.env.INSTANCE_HOST, // e.g. '127.0.0.1'
    port: parseInt(process.env.DB_PORT), // e.g. 1433
    user: process.env.DB_USER, // e.g. 'my-db-user'
    password: process.env.DB_PASS, // e.g. 'my-db-password'
    database: process.env.DB_NAME, // e.g. 'my-database'
    options: {
      trustServerCertificate: true,
    },
    // ... Specify additional properties here.
    ...config,
  };
  // Establish a connection to the database.
  return mssql.connect(dbConfig);
};

Vai

Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.

package cloudsql

import (
	"database/sql"
	"fmt"
	"log"
	"os"
	"strings"

	_ "github.com/denisenkom/go-mssqldb"
)

// connectTCPSocket initializes a TCP connection pool for a Cloud SQL
// instance of SQL Server.
func connectTCPSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Fatal Error in connect_tcp.go: %s environment variable not set.\n", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser    = mustGetenv("DB_USER")       // e.g. 'my-db-user'
		dbPwd     = mustGetenv("DB_PASS")       // e.g. 'my-db-password'
		dbTCPHost = mustGetenv("INSTANCE_HOST") // e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
		dbPort    = mustGetenv("DB_PORT")       // e.g. '1433'
		dbName    = mustGetenv("DB_NAME")       // e.g. 'my-database'
	)

	dbURI := fmt.Sprintf("server=%s;user id=%s;password=%s;port=%s;database=%s;",
		dbTCPHost, dbUser, dbPwd, dbPort, dbName)


	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("sqlserver", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %w", err)
	}

	// ...

	return dbPool, nil
}

C#

Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.

using Microsoft.Data.SqlClient;
using System;

namespace CloudSql
{
    public class SqlServerTcp
    {
        public static SqlConnectionStringBuilder NewSqlServerTCPConnectionString()
        {
            // Equivalent connection string:
            // "User Id=<DB_USER>;Password=<DB_PASS>;Server=<INSTANCE_HOST>;Database=<DB_NAME>;"
            var connectionString = new SqlConnectionStringBuilder()
            {
                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                DataSource = Environment.GetEnvironmentVariable("INSTANCE_HOST"), // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                UserID = Environment.GetEnvironmentVariable("DB_USER"),         // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"),       // e.g. 'my-db-password'
                InitialCatalog = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance
                Encrypt = false,
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

Ruby

Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.

tcp: &tcp
  adapter: sqlserver
  # Configure additional properties here.
  # Note: Saving credentials in environment variables is convenient, but not
  # secure - consider a more secure solution such as
  # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  # keep secrets safe.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("INSTANCE_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT") { 1433 }%> 

PHP

Per visualizzare questo snippet nel contesto di un'applicazione web, consulta il file README su GitHub.

namespace Google\Cloud\Samples\CloudSQL\SQLServer;

use PDO;
use PDOException;
use RuntimeException;
use TypeError;

class DatabaseTcp
{
    public static function initTcpDatabaseConnection(): PDO
    {
        try {
            // Note: Saving credentials in environment variables is convenient, but not
            // secure - consider a more secure solution such as
            // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
            // keep secrets safe.
            $username = getenv('DB_USER'); // e.g. 'your_db_user'
            $password = getenv('DB_PASS'); // e.g. 'your_db_password'
            $dbName = getenv('DB_NAME'); // e.g. 'your_db_name'
            $instanceHost = getenv('INSTANCE_HOST'); // e.g. '127.0.0.1' ('172.17.0.1' for GAE Flex)

            // Connect using TCP
            $dsn = sprintf(
                'sqlsrv:server=%s;Database=%s',
                $instanceHost,
                $dbName
            );

            // Connect to the database
            $conn = new PDO(
                $dsn,
                $username,
                $password,
                # ...
            );
        } catch (TypeError $e) {
            throw new RuntimeException(
                sprintf(
                    'Invalid or missing configuration! Make sure you have set ' .
                        '$username, $password, $dbName, and $instanceHost (for TCP mode). ' .
                        'The PHP error was %s',
                    $e->getMessage()
                ),
                $e->getCode(),
                $e
            );
        } catch (PDOException $e) {
            throw new RuntimeException(
                sprintf(
                    'Could not connect to the Cloud SQL Database. Check that ' .
                        'your username and password are correct, that the Cloud SQL ' .
                        'proxy is running, and that the database exists and is ready ' .
                        'for use. For more assistance, refer to %s. The PDO error was %s',
                    'https://cloud.google.com/sql/docs/sqlserver/connect-external-app',
                    $e->getMessage()
                ),
                (int) $e->getCode(),
                $e
            );
        }

        return $conn;
    }
}

Risoluzione dei problemi

Se hai problemi di connessione, consulta le seguenti pagine per ricevere assistenza eseguire il debug o trovare soluzioni a problemi noti:

Passaggi successivi