Questa pagina contiene informazioni ed esempi per la connessione a un'istanza Cloud SQL da un servizio eseguito in Cloud Run.
Per istruzioni dettagliate sull'esecuzione di un'applicazione web di esempio Cloud Run connessa a Cloud SQL, consulta la guida rapida per la connessione da Cloud Run.
Cloud SQL è un servizio di database completamente gestito che ti aiuta a configurare, mantenere, gestire e amministrare i database relazionali nel cloud.
Cloud Run è una piattaforma di computing gestita che consente di eseguire i container direttamente sull'infrastruttura di Google Cloud.
configura un'istanza Cloud SQL
- Se non l'hai ancora fatto, abilita l'API Cloud SQL Admin nel progetto Google Cloud da cui stai eseguendo la connessione:
- Crea un'istanza Cloud SQL per SQL Server. Ti consigliamo di scegliere una
località dell'istanza Cloud SQL nella stessa regione del servizio Cloud Run per migliorare la latenza, evitare alcuni costi di networking e ridurre i rischi di errore tra regioni.
Per impostazione predefinita, Cloud SQL assegna un indirizzo IP pubblico a una nuova istanza. Puoi anche scegliere di assegnare un indirizzo IP privato. Per ulteriori informazioni sulle opzioni di connettività per entrambe, consulta la pagina Panoramica della connessione.
Configura Cloud Run
I passaggi per configurare Cloud Run dipendono dal tipo di indirizzo IP assegnato all'istanza Cloud SQL. Se instrada tutto il traffico in uscita tramite VPC diretto in uscita o un connettore di accesso VPC serverless, utilizza un indirizzo IP privato. Confronta i due metodi di traffico in uscita dalla rete.IP pubblico (predefinito)
Cloud Run supporta la connessione a Cloud SQL per SQL Server su IP pubblico utilizzando i connettori Go, Java e Python.
- Assicurati che l'istanza creata in precedenza abbia un indirizzo IP pubblico. Puoi verificarlo nella pagina Panoramica per la tua istanza nella console Google Cloud. Se devi aggiungerne uno, consulta la pagina Configurazione dell'IP pubblico per le istruzioni.
- Ottieni INSTANCE_CONNECTION_NAME per l'istanza. Puoi trovarlo nella pagina Panoramica dell'istanza nella console Google Cloud o eseguendo questo comando:
gcloud sql instances describe INSTANCE_NAME
. - Configura l'account di servizio per il tuo servizio. Assicurati che l'account di servizio disponga delle autorizzazioni e dei ruoli di Cloud SQL appropriati per la connessione a Cloud SQL.
Cloud SQL Client
(opzione preferita)Cloud SQL Admin
cloudsql.instances.connect
cloudsql.instances.get
-
L'account di servizio per il tuo servizio richiede uno dei seguenti
ruoli IAM:
Come per qualsiasi modifica alla configurazione, l'impostazione di una nuova configurazione per la connessione Cloud SQL porta alla creazione di una nuova revisione di Cloud Run. Anche le revisioni successive otterranno automaticamente questa connessione Cloud SQL, a meno che non apporti aggiornamenti espliciti per modificarla.
Console
-
Inizia a configurare il servizio:
- Se aggiungi una connessione Cloud SQL a un nuovo servizio:
Devi containerizzare e caricare il servizio su Container Registry o Artifact Registry. Se non ne hai già una, consulta queste istruzioni su come creare ed eseguire il deployment di un'immagine container.
- Se aggiungi connessioni Cloud SQL a un servizio esistente:
- Fai clic sul nome del servizio.
- Fai clic sulla scheda Modifica ed esegui il deployment di una nuova revisione.
- Se aggiungi una connessione Cloud SQL a un nuovo servizio:
- Abilita la connessione a un'istanza Cloud SQL:
- Fai clic su Container, variabili e secret, connessioni, sicurezza .
- Fai clic sulla scheda Contenitore.
- Scorri verso il basso fino a Connessioni Cloud SQL.
- Fai clic su Aggiungi connessione.
- Fai clic sul pulsante Abilita l'API Cloud SQL Admin se non hai ancora abilitato l'API Cloud SQL Admin.
- Se aggiungi una connessione a un'istanza Cloud SQL nel progetto, seleziona l'istanza Cloud SQL che ti interessa dal menu a discesa.
- Se utilizzi un'istanza Cloud SQL da un altro progetto, seleziona la stringa di connessione personalizzata nel menu a discesa, quindi inserisci il nome completo della connessione all'istanza nel formato PROJECT-ID:REGION:INSTANCE-ID.
- Se stai eliminando un collegamento, passa il cursore a destra del collegamento per visualizzare l'icona del Cestino e fai clic.
-
Fai clic su Crea o Esegui il deployment.
Riga di comando
Prima di utilizzare uno dei seguenti comandi, effettua le seguenti sostituzioni:
- IMAGE con l'immagine che stai eseguendo il deployment
- SERVICE_NAME con il nome del tuo servizio Cloud Run
-
INSTANCE_CONNECTION_NAME con il nome della connessione istanza della tua istanza Cloud SQL o con un elenco di nomi di connessioni delimitato da virgole.
Se stai eseguendo il deployment di un nuovo container, utilizza il comando seguente:
gcloud run deploy \ --image=IMAGE \ --add-cloudsql-instances=INSTANCE_CONNECTION_NAME
Se stai aggiornando un servizio esistente, utilizza il seguente comando:gcloud run services update SERVICE_NAME \ --add-cloudsql-instances=INSTANCE_CONNECTION_NAME
Terraform
Il codice seguente crea un container Cloud Run di base con un'istanza Cloud SQL connessa.
-
Applica le modifiche inserendo
terraform apply
. - Verifica le modifiche controllando il servizio Cloud Run, facendo clic sulla scheda Revisioni e poi sulla scheda Connessioni.
IP privato
Se l'account di servizio di autorizzazione appartiene a un progetto diverso da quello contenente l'istanza Cloud SQL, segui questi passaggi:
- Abilita l'API Cloud SQL Admin in entrambi i progetti.
- Aggiungi le autorizzazioni IAM per l'account di servizio del progetto che contiene l'istanza Cloud SQL.
- Assicurati che l'istanza Cloud SQL creata in precedenza abbia un indirizzo IP privato. Per aggiungere un indirizzo IP interno, consulta Configurare l'IP privato.
- Configura il metodo in uscita per connetterti alla stessa rete VPC della tua istanza Cloud SQL. Tieni presente le seguenti condizioni:
- Il traffico VPC diretto in uscita e l'accesso VPC serverless supportano entrambi la comunicazione con le reti VPC connesse tramite Cloud VPN e il peering di rete VPC.
- Il traffico VPC diretto in uscita e l'accesso VPC serverless non supportano le reti legacy.
- A meno che non utilizzi un VPC condiviso, un connettore deve condividere lo stesso progetto e la stessa regione della risorsa che lo utilizza, anche se può inviare traffico a risorse in regioni diverse.
- Connettiti utilizzando l'indirizzo IP privato e la porta
1433
dell'istanza.
Connettiti a Cloud SQL
Dopo aver configurato Cloud Run, puoi connetterti all'istanza Cloud SQL.
IP pubblico (predefinito)
Per i percorsi IP pubblici, Cloud Run fornisce la crittografia e si connette utilizzando i connettori Cloud SQL.
Connettiti ai connettori Cloud SQL
I connettori Cloud SQL sono librerie specifiche per linguaggio che forniscono crittografia e autorizzazione basata su IAM durante la connessione a un'istanza Cloud SQL.
Python
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Java
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Nota:
- CLOUD_SQL_CONNECTION_NAME deve essere rappresentato come <MIO-PROGETTO>:<INSTANCE-REGION>:<INSTANCE-NAME>
- Consulta qui i requisiti di versione di fabbrica del socket JDBC per il file pom.xml.
Go
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Utilizza Secret Manager
Google consiglia di utilizzare Secret Manager per archiviare informazioni sensibili come le credenziali SQL. Puoi passare i secret come variabili di ambiente o montarli come volume con Cloud Run.
Dopo aver creato un secret in Secret Manager, aggiorna un servizio esistente con il comando seguente:
Riga di comando
gcloud run services update SERVICE_NAME \ --add-cloudsql-instances=INSTANCE_CONNECTION_NAME --update-env-vars=INSTANCE_CONNECTION_NAME=INSTANCE_CONNECTION_NAME_SECRET \ --update-secrets=DB_USER=DB_USER_SECRET:latest \ --update-secrets=DB_PASS=DB_PASS_SECRET:latest \ --update-secrets=DB_NAME=DB_NAME_SECRET:latest
Terraform
Di seguito vengono create risorse secret per conservare in modo sicuro i valori di utente, password e nome del database utilizzando google_secret_manager_secret
e google_secret_manager_secret_version
. Tieni presente che devi aggiornare l'account di servizio Compute del progetto per avere accesso a ciascun secret.
Aggiorna la risorsa Cloud Run principale per includere i nuovi secret.
Applica le modifiche inserendo terraform apply
.
Il comando di esempio utilizza la versione del secret, latest, ma Google consiglia di bloccare il secret a una versione specifica, SECRET_NAME:v1.
IP privato
Per i percorsi IP privati, l'applicazione si connette direttamente all'istanza tramite una rete VPC. Questo metodo utilizza TCP per connettersi direttamente all'istanza Cloud SQL senza utilizzare il proxy di autenticazione Cloud SQL.
Connetti tramite TCP
Connettiti utilizzando l'indirizzo IP privato dell'istanza Cloud SQL come host e porta 1433
.
Python
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Java
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Nota:
- CLOUD_SQL_CONNECTION_NAME deve essere rappresentato come <MIO-PROGETTO>:<INSTANCE-REGION>:<INSTANCE-NAME>
- L'uso dell'argomento ipTypes=PRIVATE costringe SocketSocket a connettersi all'IP privato associato a un'istanza
- Consulta qui i requisiti di versione di fabbrica del socket JDBC per il file pom.xml.
Node.js
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Go
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Ruby
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
PHP
Per visualizzare questo snippet nel contesto di un'applicazione web, visualizza il file README su GitHub.
Best practice e altre informazioni
Puoi utilizzare il proxy di autenticazione Cloud SQL durante il test della tua applicazione in locale. Per istruzioni dettagliate, consulta la guida rapida all'utilizzo del proxy di autenticazione Cloud SQL.
Puoi anche eseguire un test utilizzando il proxy Cloud SQL tramite un container Docker.
Pool di connessioni
Le connessioni ai database sottostanti possono essere interrotte dal server di database stesso o dall'infrastruttura della piattaforma. Ti consigliamo di utilizzare una libreria client che supporti i pool di connessioni che riconnettono automaticamente le connessioni client interrotte. Per esempi più dettagliati su come utilizzare i pool di connessioni, consulta la pagina Gestione delle connessioni di database.Limiti di connessione
Entrambe le versioni MySQL e PostgreSQL di Cloud SQL impongono un limite massimo per le connessioni simultanee, che può variare a seconda del motore del database scelto (consulta la pagina Quote e limiti di Cloud SQL).Le istanze di container Cloud Run sono limitate a 100 connessioni a un database Cloud SQL. Ogni istanza di un servizio o job Cloud Run può avere 100 connessioni al database e, man mano che questo servizio o job cresce, il numero totale di connessioni per deployment può aumentare.
Puoi limitare il numero massimo di connessioni utilizzate per istanza utilizzando un pool di connessioni. Per esempi più dettagliati su come limitare il numero di connessioni, consulta la pagina Gestione delle connessioni di database.
Limiti di quota dell'API
Cloud Run fornisce un meccanismo che si connette tramite il proxy di autenticazione Cloud SQL, che utilizza l'API Cloud SQL Admin. I limiti di quota API si applicano al proxy di autenticazione Cloud SQL. La quota utilizzata per l'API Cloud SQL Admin è circa il doppio del numero di istanze Cloud SQL configurate in base al numero di istanze Cloud Run di un determinato servizio di cui è stato eseguito il deployment in un momento qualsiasi. Puoi limitare o aumentare il numero di istanze Cloud Run per modificare la quota API prevista consumata.Passaggi successivi
- Scopri di più su Cloud Run.
- Scopri di più su come creare ed eseguire il deployment delle immagini container.