连接选项简介

本页面简要介绍了可用于连接到 Cloud SQL 实例的方式,并介绍了可用的身份验证和授权选项。

概览

在考虑如何连接到 Cloud SQL 实例时,您需要考虑多项选择,其中包括:

  • 您是否希望可以从互联网访问您的 Cloud SQL 实例并且/或者希望在 Virtual Private Cloud (VPC) 网络中保持其私密状态?
  • 您打算编写自己的连接代码,或使用 Cloud SQL Auth 代理或 sqlcmd 客户端等公开提供的工具进行连接吗?
  • 您希望要求通过 SSL/TLS 加密,还是希望允许未加密的流量?

在以下部分中,我们将讨论 Cloud SQL 为数据库连接、授权和身份验证提供的选项。

  • 如何连接 - 使用哪条网络路径访问您的实例:
    • 仅限 VPC 的内部(专用)IP 地址。
    • 可通过互联网访问的外部(公共)IP 地址。
  • 如何进行授权 - 哪些连接已获授权且可以连接到您的 Cloud SQL 实例:
    • Cloud SQL Auth 代理以及 Java 版和 Python 版 Cloud SQL 连接器库 - 这些基于 IAM 提供访问权限。
    • 自行管理的 SSL/TLS 证书 - 仅允许基于特定公钥的连接。
    • 已获授权的网络 - 可以连接的 IP 地址列表。
  • 如何进行身份验证 - 登录数据库的方法。
    • 内置数据库身份验证 - 使用在数据库引擎中设置的用户名/密码登录。

以下信息可用于决定哪些连接、授权和身份验证选项最适合您。

前期准备

授予对一个应用的访问权限不会自动允许数据库用户帐号连接到该实例。您必须首先具备可用于连接的数据库用户帐号,之后才能连接到实例。对于新实例,这就表示您必须已配置好默认用户帐号。了解详情

连接选项

数据库连接会消耗服务器和连接应用上的资源。请始终采用最佳连接管理做法,以最大限度减少应用的占用空间,并降低超出 Cloud SQL 连接限制的可能性。 如需了解详情,请参阅管理数据库连接

公共 IP 和专用 IP

在 Cloud SQL 中,公共 IP 地址表示可通过公共互联网访问实例。相比之下,仅使用专用 IP 地址的实例不能通过公共互联网访问,但可以通过 Virtual Private Cloud (VPC) 访问。Cloud SQL 实例可以同时拥有公共 IP 地址和专用 IP 地址。

专用 IP

专用 IP 是可在 Virtual Private Cloud (VPC) 上访问的 IPv4 或 IPv6 地址。

您可以使用此地址从能够访问 VPC 的其他资源进行连接。通过专用 IP 地址建立的连接通常可缩短延迟时间并限制攻击途径,因为它们不需要遍历互联网。或者,您可以要求所有连接都使用 Cloud SQL 代理自行管理的 SSL 证书

从可访问 VPC 的资源上的客户端连接时,最好使用专用 IP 配置实例。如需详细了解哪些资源可以使用专用 IP,请参阅专用 IP 的要求

对于专用 IP 路径,以下服务和应用通过无服务器 VPC 访问通道直接连接到您的实例:

  • App Engine 标准环境
  • App Engine 柔性环境
  • Cloud Functions
  • Cloud Run

详细了解如何将专用 IP 与 Cloud SQL 搭配使用

如需了解如何向实例添加专用 IP 地址,请参阅配置专用 IP 连接

公共 IP

公共 IP 是可在外部通过公共互联网使用的 IPv4 或 IPv6 地址。此类地址可以接收来自 Google 网络内部和外部设备的连接,包括来自您家中或办公室等位置的连接。

为了帮助确保实例的安全性,必须使用 Cloud SQL Auth 代理已获授权的网络对使用公共 IP 与 Cloud SQL 实例建立的所有连接进行授权。

从不符合 VPC 要求的客户端连接时,最好使用公共 IP 配置实例。

如需了解如何向实例添加公共 IP 地址,请参阅配置公共 IP 连接

如需了解如何使用公共 IP 地址将 sqlcmd 客户端连接到 Cloud SQL 实例,请参阅使用数据库客户端进行连接

授权选项

Cloud SQL Auth 代理

借助 Cloud SQL Auth 代理,您可以使用 Identity and Access Management (IAM) 权限来授权和保护连接。Cloud SQL Auth 代理通过以下方式验证连接:使用用户或服务帐号的凭据,并将连接封装在针对 Cloud SQL 实例授权的 SSL/TLS 层中。如需详细了解 Cloud SQL Auth 代理的工作原理,请参阅 Cloud SQL Auth 代理简介

若要对 Cloud SQL 实例的连接进行身份验证,建议使用 Cloud SQL Auth 代理,因为这是最安全的方法。

Cloud SQL Auth 代理是一个作为可执行二进制文件分发的开源库。Cloud SQL Auth 代理充当中间服务器,负责侦听传入连接,将其封装在 SSL/TLS 中,然后将其传递给 Cloud SQL 实例。

某些环境提供了一种使用 Cloud SQL Auth 代理进行连接的机制。如需了解如何使用这些环境进行连接,请参阅以下内容之一:

Java 版和 Python 版 Cloud SQL 连接器库

Cloud SQL 提供客户端库,可在使用 Java 和 Python 连接器连接到 Cloud SQL 实例时提供加密和基于 IAM 的授权。

您可以直接在语言环境中使用这些库。它们提供与 Cloud SQL 身份验证代理相同的身份验证,而无需外部流程。如需开始使用,请参阅使用 Cloud SQL 连接器进行连接

自行管理的 SSL/TLS 证书

您可以设置特定于 Cloud SQL 实例的客户端/服务器 SSL/TLS 证书,而无需使用 Cloud SQL Auth 代理来加密连接。这些证书用于客户端和服务器之间的相互验证,同时加密它们之间的连接。

不使用 Cloud SQL Auth 代理时,强烈建议使用自行管理的 SSL/TLS 证书来提供加密。否则,您的数据会以不安全的方式传输,并且可能被第三方拦截或查看。

如需开始使用自行管理的 SSL/TLS 证书,请参阅使用 SSL/TLS 证书进行授权

已获授权的网络

除非使用 Cloud SQL Auth 代理,否则只有当连接来自已获授权的网络时,才允许与实例的公共 IP 地址的连接。已获授权的网络是用户已指定有连接权限的 IP 地址或范围。

如需开始使用已获授权的网络,请参阅使用已获授权的网络进行授权

身份验证选项

身份验证通过验证用户的身份来提供访问权限控制。对于最终用户,身份验证在用户输入凭据(用户名和密码)时完成。对于应用,身份验证在用户的凭据分配给服务帐号时完成。

Cloud SQL 使用数据库的内置身份验证,该用户名和密码使用用户名和密码进行身份验证。如需了解详情,请参阅创建和管理 SQL Server 用户

连接工具

下表包含一些连接到 Cloud SQL 的选项:

连接选项 更多信息
Cloud SQL Auth 代理
gcloud
Cloud SQL 语言连接器
Cloud Shell
使用第三方数据库管理工具连接
SQL Server Management Studio
SMSS 对象资源管理器
Visual Studio

代码示例

您可以使用支持连接到 TCP 套接字的任何语言连接到 Cloud SQL Auth 代理。以下是 GitHub 上完整示例的一些代码段,可帮助您了解它们在您的应用中如何协同工作。

使用 TCP 进行连接

Cloud SQL Auth 代理调用语句:

./cloud_sql_proxy -instances=INSTANCE_CONNECTION_NAME=tcp:1433 &

Python

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

# Remember - storing secrets in plaintext is potentially unsafe. Consider using
# something like https://cloud.google.com/secret-manager/docs/overview to help keep
# secrets secret.
db_user = os.environ["DB_USER"]
db_pass = os.environ["DB_PASS"]
db_name = os.environ["DB_NAME"]
db_host = os.environ["DB_HOST"]

# Extract host and port from environment variable DB_HOST
host_args = db_host.split(":")
db_hostname, db_port = host_args[0], int(host_args[1])

# SQL Server drivers don't account for this
if db_hostname == "localhost":
    db_hostname = "127.0.0.1"

# The SQLAlchemy engine will help manage interactions, including automatically
# managing a pool of connections to your database
pool = sqlalchemy.create_engine(
    # Equivalent URL:
    # mssql+pytds://<db_user>:<db_pass>@/<host>:<port>/<db_name>?driver=ODBC+Driver+17+for+SQL+Server
    sqlalchemy.engine.url.URL.create(
        "mssql+pytds",
        username=db_user,
        password=db_pass,
        database=db_name,
        host=db_hostname,
        port=db_port,
    ),
    **db_config
)

Java

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

注意:

  • CLOUD_SQL_CONNECTION_NAME 应表示为 <MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME>
  • 使用参数 ipTypes=PRIVATE 将强制 SocketFactory 与实例的关联专用 IP 连接
  • 如需查看 pom.xml 文件的 JDBC 套接字工厂版本的要求,请点击此处

// Note: For Java users, the Cloud SQL JDBC Socket Factory can provide authenticated connections
// which is preferred to using the Cloud SQL Proxy with Unix sockets.
// See https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory for details.

// The configuration object specifies behaviors for the connection pool.
HikariConfig config = new HikariConfig();

// The following is equivalent to setting the config options below:
// jdbc:sqlserver://;user=<DB_USER>;password=<DB_PASS>;databaseName=<DB_NAME>;
// socketFactoryClass=com.google.cloud.sql.sqlserver.SocketFactory;
// socketFactoryConstructorArg=<INSTANCE_CONNECTION_NAME>

// See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
// https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

// Configure which instance and what database user to connect with.
config
    .setDataSourceClassName("com.microsoft.sqlserver.jdbc.SQLServerDataSource");
config.setUsername(DB_USER); // e.g. "root", "sqlserver"
config.setPassword(DB_PASS); // e.g. "my-password"
config.addDataSourceProperty("databaseName", DB_NAME);

config.addDataSourceProperty("socketFactoryClass",
    "com.google.cloud.sql.sqlserver.SocketFactory");
config.addDataSourceProperty("socketFactoryConstructorArg", INSTANCE_CONNECTION_NAME);

// ... Specify additional connection properties here.

// ...

// Initialize the connection pool using the configuration object.
DataSource pool = new HikariDataSource(config);

Node.js

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

const createPool = async () => {
  const config = {pool: {}, options: {}};

  // Check if a Secret Manager secret version is defined
  // If a version is defined, retrieve the secret from Secret Manager and set as the DB_PASS
  const {CLOUD_SQL_CREDENTIALS_SECRET} = process.env;
  if (CLOUD_SQL_CREDENTIALS_SECRET) {
    const secrets = await accessSecretVersion(CLOUD_SQL_CREDENTIALS_SECRET);
    try {
      process.env.DB_PASS = secrets.toString();
    } catch (err) {
      err.message = `Unable to parse secret from Secret Manager. Make sure that the secret is JSON formatted: \n ${err.message} `;
      throw err;
    }
  }

  config.user = process.env.DB_USER; // e.g. 'my-db-user'
  config.password = process.env.DB_PASS; // e.g. 'my-db-password'
  config.database = process.env.DB_NAME; // e.g. 'my-database'
  // set the server to '172.17.0.1' when connecting from App Engine Flex
  config.server = process.env.DEPLOYED ? '172.17.0.1' : '127.0.0.1';
  config.port = 1433;

  // ...
  config.options.trustServerCertificate = true;
  return await mssql.connect(config);
};

Go

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

var (
	dbUser    = mustGetenv("DB_USER") // e.g. 'my-db-user'
	dbPwd     = mustGetenv("DB_PASS") // e.g. 'my-db-password'
	dbTCPHost = mustGetenv("DB_HOST") // e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
	dbPort    = mustGetenv("DB_PORT") // e.g. '1433'
	dbName    = mustGetenv("DB_NAME") // e.g. 'my-database'
)

dbURI := fmt.Sprintf("server=%s;user id=%s;password=%s;port=%s;database=%s;", dbTCPHost, dbUser, dbPwd, dbPort, dbName)

// dbPool is the pool of database connections.
dbPool, err := sql.Open("mssql", dbURI)
if err != nil {
	return nil, fmt.Errorf("sql.Open: %v", err)
}

// ...

return dbPool, nil

C#

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

            // Equivalent connection string:
            // "User Id=<DB_USER>;Password=<DB_PASS>;Server=<DB_HOST>;Database=<DB_NAME>;"
            var connectionString = new SqlConnectionStringBuilder()
            {
                // Remember - storing secrets in plain text is potentially unsafe. Consider using
                // something like https://cloud.google.com/secret-manager/docs/overview to help keep
                // secrets secret.
                DataSource = Environment.GetEnvironmentVariable("DB_HOST"),     // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                UserID = Environment.GetEnvironmentVariable("DB_USER"),         // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"),       // e.g. 'my-db-password'
                InitialCatalog = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance
                Encrypt = false,
            };
            connectionString.Pooling = true;
            // ...
            return connectionString;

Ruby

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

development:
  adapter: sqlserver
  # Configure additional properties here.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("DB_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT") { 1433 }%> 

PHP

如需了解 Web 应用环境下的此代码段,请查看 GitHub 上的 README

// $username = 'your_db_user';
// $password = 'yoursupersecretpassword';
// $dbName = 'your_db_name';
// $dbHost = "127.0.0.1";

// Connect using TCP
$dsn = sprintf('sqlsrv:server=%s;Database=%s', $dbHost, $dbName);

// Connect to the database
$conn = new PDO($dsn, $username, $password, $connConfig);

问题排查

如果您在连接时遇到问题,请查看以下页面,以获取有关调试或查找已知问题的解决方案的相关帮助:

后续步骤