连接概览

本页面简要介绍了用于连接到 Cloud SQL 实例的多个选项。

简介

如需连接到 Cloud SQL 实例,建议使用方法 Cloud SQL Auth 代理。Cloud SQL Auth 代理:

  • 适用于公共和专用 IP 端点
  • 使用用户或服务帐号的凭据验证连接
  • 将连接封装在针对 Cloud SQL 实例授权的 SSL/TLS 层中。

某些 Google Cloud 服务和应用支持使用 Cloud SQL Auth 代理进行加密和授权的公共 IP 路径,包括:

对于专用 IP 路径,这些服务和应用通过无服务器 VPC 访问通道直接连接到您的实例。

在 GKE 中运行的应用还可以使用 Cloud SQL Auth 代理进行连接

请参阅 Cloud SQL Auth 代理使用快速入门,以便大致了解其使用方式。

概览

在考虑如何连接到 Cloud SQL 实例时,您需要考虑多项选择,其中包括:

  • 您希望可以从互联网访问您的 Cloud SQL 实例,还是希望在 Virtual Private Cloud (VPC) 网络中保持其私密状态?
  • 您打算编写自己的连接代码,或使用 Cloud SQL Auth 代理或 sqlcmd 客户端等公开提供的工具进行连接吗?
  • 您希望要求通过 SSL/TLS 加密,还是希望允许未加密的流量?

在以下部分中,我们将讨论 Cloud SQL 为数据库连接、授权和身份验证提供的选项。

  • 如何连接 - 使用哪条网络路径访问您的实例:
    • 仅限 VPC 的内部(专用)IP 地址。
    • 可通过互联网访问的外部(公共)IP 地址。

  • 如何进行授权 - 哪些连接已获授权且可以连接到您的 Cloud SQL 实例:
    • Cloud SQL Auth 代理和 Cloud SQL 语言连接器 - 基于 IAM 提供访问权限。
    • 自行管理的 SSL/TLS 证书 - 仅允许基于特定公钥的连接。
    • 已获授权的网络 - 可以连接的 IP 地址列表。

  • 如何进行身份验证 - 登录数据库的方法。
    • 原生数据库身份验证 - 使用数据库引擎中设置的用户名/密码登录。

以下信息可用于决定哪些连接、授权和身份验证选项最适合您。

前期准备

授予对一个应用的访问权限不会自动允许数据库用户帐号连接到该实例。您必须首先具备可用于连接的数据库用户帐号,之后才能连接到实例。对于新实例,这就表示您必须已配置好默认用户帐号。了解详情

连接选项

专用 IP

专用 IP 是可在 Virtual Private Cloud (VPC) 上访问的 IPv4 或 IPv6 地址。

安全注意事项

您可以使用此地址从能够访问 VPC 的其他资源进行连接;通过专用 IP 建立的连接通常可缩短延迟时间并限制攻击途径,因为它们不需要遍历互联网。 或者,您可以要求所有连接都使用 Cloud SQL 代理自行管理的 SSL 证书

从可访问 VPC 的资源上的客户端连接时,最好使用专用 IP 配置实例。如需详细了解哪些资源可以使用专用 IP,请参阅专用 IP 的要求

了解详情

详细了解如何将专用 IP 与 Cloud SQL 搭配使用

如需了解如何向实例添加专用 IP,请参阅配置专用 IP 连接[configure-private-ip]。

公共 IP

公共 IP 地址是可在外部的公共互联网使用的 IPv4 或 IPv6 地址。此类地址可以接收来自 Google 网络内部和外部设备的连接,包括来自您家中或办公室等位置的连接。

安全注意事项

为了帮助确保实例的安全性,必须使用 Cloud SQL Auth 代理已获授权的网络对使用公共 IP 与 Cloud SQL 实例建立的所有连接进行授权。

从不符合 VPC 要求的客户端连接时,最好使用公共 IP 配置实例。

了解详情

如需了解如何向实例添加公共 IP 地址,请参阅配置公共 IP 连接

授权选项

Cloud SQL Auth 代理

安全注意事项

Cloud SQL Auth 代理允许您使用 Identity and Access Management (IAM) 权限来授权和保护连接。Cloud SQL Auth 代理通过以下方式验证连接:使用用户或服务帐号的凭据,并将连接封装在针对 Cloud SQL 实例授权的 SSL/TLS 层中。如需详细了解 Cloud SQL Auth 代理的工作原理,请参阅 Cloud SQL Auth 代理简介

若要对 Cloud SQL 实例的连接进行身份验证,建议使用 Cloud SQL Auth 代理,因为这是最安全的方法。

Cloud SQL Auth 代理是一个作为可执行二进制文件分发的开源库。Cloud SQL Auth 代理充当中间服务器,负责侦听传入连接,将其封装在 SSL/TLS 中,然后将其传递给 Cloud SQL 实例。

此外,某些语言允许您选择使用客户端库。您可以直接在语言环境中使用这些库;它们提供与 Cloud SQL Auth 代理相同的身份验证,而无需外部进程。如需开始使用此功能,请参阅以下页面:

最后,一些环境(例如 Cloud Run、Cloud Functions 和 App Engine)提供了一种使用 Cloud SQL Auth 代理进行连接的机制。如需了解如何使用这些环境进行连接,请参阅以下内容之一:

自行管理的 SSL/TLS 证书

您可以设置特定于 Cloud SQL 实例的客户端/服务器 SSL/TLS 证书,而无需使用 Cloud SQL Auth 代理来加密连接。这些证书用于客户端和服务器之间的相互验证,同时加密它们之间的连接。

不使用 Cloud SQL Auth 代理时,强烈建议使用自行管理的 SSL/TLS 证书来提供加密。否则,您的数据会以不安全的方式传输,并且可能被第三方拦截或查看。

如需开始使用自行管理的 SSL/TLS 证书,请参阅使用 SSL/TLS 证书进行授权

已获授权的网络

除非使用 Cloud SQL Auth 代理,否则只有当连接来自已获授权的网络时,才允许与实例的公共 IP 地址的连接。已获授权的网络是用户已指定有连接权限的 IP 地址或范围。

如需开始使用已获授权的网络,请参阅使用已获授权的网络进行授权

管理数据库连接

数据库连接会消耗服务器和连接应用上的资源。请始终采用最佳连接管理做法,以最大限度减少应用的占用空间,并降低超出 Cloud SQL 连接限制的可能性。 如需了解详情,请参阅管理数据库连接

身份验证选项

身份验证通过验证用户的身份来提供访问权限控制。对于最终用户,身份验证在用户输入凭据(用户名和密码)时完成。对于应用,身份验证在用户的凭据分配给服务帐号时完成。

Cloud SQL 使用数据库的内置身份验证,该用户名和密码使用用户名和密码进行身份验证。如需了解详情,请参阅创建和管理 SQL Server 用户

连接工具

下表包含一些连接到 Cloud SQL 的选项:

连接选项 更多信息
Cloud SQL Auth 代理
gcloud 命令行工具
Cloud SQL 语言连接器
Cloud Shell
Apps 脚本
使用第三方数据库管理工具连接
SQL Server Management Studio
SMSS 对象资源管理器
Visual Studio

代码示例

您可以使用支持连接到 TCP 套接字的任何语言连接到 Cloud SQL Auth 代理。以下是 GitHub 上完整示例的一些代码段,可帮助您了解它们在您的应用中如何协同工作。

使用 TCP 进行连接

Cloud SQL Auth 代理调用语句:

./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:1433 &

Python

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

# Remember - storing secrets in plaintext is potentially unsafe. Consider using
# something like https://cloud.google.com/secret-manager/docs/overview to help keep
# secrets secret.
db_user = os.environ["DB_USER"]
db_pass = os.environ["DB_PASS"]
db_name = os.environ["DB_NAME"]
db_host = os.environ["DB_HOST"]

# Extract host and port from environment variable DB_HOST
host_args = db_host.split(":")
db_hostname, db_port = host_args[0], int(host_args[1])

# SQL Server drivers don't account for this
if db_hostname == "localhost":
    db_hostname = "127.0.0.1"

# The SQLAlchemy engine will help manage interactions, including automatically
# managing a pool of connections to your database
pool = sqlalchemy.create_engine(
    # Equivalent URL:
    # mssql+pytds://<db_user>:<db_pass>@/<host>:<port>/<db_name>?driver=ODBC+Driver+17+for+SQL+Server
    sqlalchemy.engine.url.URL(
        "mssql+pytds",
        username=db_user,
        password=db_pass,
        database=db_name,
        host=db_hostname,
        port=db_port,
    ),
    **db_config
)

Java

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

// Note: For Java users, the Cloud SQL JDBC Socket Factory can provide authenticated connections
// which is preferred to using the Cloud SQL Proxy with Unix sockets.
// See https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory for details.

// The configuration object specifies behaviors for the connection pool.
HikariConfig config = new HikariConfig();

// The following is equivalent to setting the config options below:
// jdbc:sqlserver://;user=<DB_USER>;password=<DB_PASS>;databaseName=<DB_NAME>;
// socketFactoryClass=com.google.cloud.sql.sqlserver.SocketFactory;
// socketFactoryConstructorArg=<CLOUD_SQL_CONNECTION_NAME>

// See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
// https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

// Configure which instance and what database user to connect with.
config
    .setDataSourceClassName("com.microsoft.sqlserver.jdbc.SQLServerDataSource");
config.setUsername(DB_USER); // e.g. "root", "sqlserver"
config.setPassword(DB_PASS); // e.g. "my-password"
config.addDataSourceProperty("databaseName", DB_NAME);

config.addDataSourceProperty("socketFactoryClass",
    "com.google.cloud.sql.sqlserver.SocketFactory");
config.addDataSourceProperty("socketFactoryConstructorArg", CLOUD_SQL_CONNECTION_NAME);

// ... Specify additional connection properties here.

// ...

// Initialize the connection pool using the configuration object.
DataSource pool = new HikariDataSource(config);

Node.js

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

const createPool = async () => {
  const config = {pool: {}};
  config.user = process.env.DB_USER; // e.g. 'my-db-user'
  config.password = process.env.DB_PASS; // e.g. 'my-db-password'
  config.database = process.env.DB_NAME; // e.g. 'my-database'
  // set the server to '172.17.0.1' when connecting from App Engine Flex
  config.server = process.env.DEPLOYED ? '172.17.0.1' : '127.0.0.1';
  config.port = 1433;

  // ...
  return await mssql.connect(config);
};

Go

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

var (
	dbUser    = mustGetenv("DB_USER") // e.g. 'my-db-user'
	dbPwd     = mustGetenv("DB_PASS") // e.g. 'my-db-password'
	dbTCPHost = mustGetenv("DB_HOST") // e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
	dbPort    = mustGetenv("DB_PORT") // e.g. '1433'
	dbName    = mustGetenv("DB_NAME") // e.g. 'my-database'
)

var dbURI string
dbURI = fmt.Sprintf("server=%s;user id=%s;password=%s;port=%s;database=%s;", dbTCPHost, dbUser, dbPwd, dbPort, dbName)

// dbPool is the pool of database connections.
dbPool, err := sql.Open("mssql", dbURI)
if err != nil {
	return nil, fmt.Errorf("sql.Open: %v", err)
}

// ...

return dbPool, nil

C#

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

            // Equivalent connection string:
            // "User Id=<DB_USER>;Password=<DB_PASS>;Server=<DB_HOST>;Database=<DB_NAME>;"
            var connectionString = new SqlConnectionStringBuilder()
            {
                // Remember - storing secrets in plain text is potentially unsafe. Consider using
                // something like https://cloud.google.com/secret-manager/docs/overview to help keep
                // secrets secret.
                DataSource = Environment.GetEnvironmentVariable("DB_HOST"),     // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                UserID = Environment.GetEnvironmentVariable("DB_USER"),         // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"),       // e.g. 'my-db-password'
                InitialCatalog = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance
                Encrypt = false,
            };
            connectionString.Pooling = true;
            // ...
            return connectionString;

Ruby

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

development:
  adapter: sqlserver
  # Configure additional properties here.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("DB_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT") { 1433 }%> 

PHP

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

// $username = 'your_db_user';
// $password = 'yoursupersecretpassword';
// $dbName = 'your_db_name';
// $dbHost = "127.0.0.1";

// Connect using TCP
$dsn = sprintf('sqlsrv:server=%s;Database=%s', $dbHost, $dbName);

// Connect to the database
$conn = new PDO($dsn, $username, $password, $connConfig);

问题排查

如果您在连接时遇到问题,请查看以下页面,以获取有关调试或查找已知问题的解决方案的相关帮助:

后续步骤