Questa pagina descrive come connettersi a un'istanza Cloud SQL dall'esterno del Virtual Private Cloud (VPC) configurato.
Prima di iniziare
Prima di iniziare, assicurati di completare le seguenti azioni:
- Devi creare un'istanza Cloud SQL.
- Configuri l'istanza in modo che utilizzi un indirizzo IP interno anziché un indirizzo IP esterno.
Informazioni sulle connessioni esterne
L'istanza Cloud SQL è composta da un numero di nodi all'interno di un VPC gestito da Google. Quando crei un'istanza, configuri anche l'accesso privato ai servizi o Private Service Connect tra uno dei tuoi VPC e il VPC gestito da Google, contenente in esecuzione in un'istanza Compute Engine. Questa connessione in peering ti consente di utilizzare indirizzi IP interni per accedere alle risorse sul VPC dell'istanza come se facessero parte del tuo VPC.
Nelle situazioni seguenti, connettiti all'istanza dall'esterno di VPC connesso:
L'applicazione viene eseguita al di fuori del VPC utilizzato per connetterti all'istanza tramite l'accesso ai servizi privati o Private Service Connect.
L'applicazione viene eseguita su un VPC esterno alla rete Google.
L'applicazione viene eseguita su una macchina situata in un altro punto della rete internet pubblica.
In tutti questi casi, devi configurare un servizio aggiuntivo per attivare questo tipo di connessione esterna all'istanza Cloud SQL.
Consigliamo le seguenti soluzioni per la creazione di connessioni esterne, a seconda delle tue esigenze:
Per lo sviluppo di progetti o la prototipazione o a un costo relativamente basso di produzione, configurare una macchina virtuale intermedia (VM), noto anche come bastion, all'interno del VPC. Esistono diversi metodi per utilizzare questa VM intermedia per trasformarla in una connessione sicura tra un ambiente di applicazione esterno e la tua istanza Cloud SQL.
Per gli ambienti di produzione che richiedono un'alta disponibilità, valuta di una connessione permanente tra il VPC e un'applicazione tramite Cloud VPN o Cloud Interconnect.
Nelle sezioni seguenti vengono descritte queste soluzioni.
Connettiti tramite una VM intermedia
Per stabilire una connessione a un'istanza Cloud SQL dall'esterno del suo VPC utilizzando strumenti open source e un numero minimo di risorse aggiuntive, esegui un servizio proxy su una VM intermedia configurata all'interno del VPC. Puoi configurare una nuova VM o utilizzare una VM già in esecuzione all'interno del VPC della tua istanza Cloud SQL.
Come soluzione autogestita, l'utilizzo di una VM intermediaria di solito costa e ha tempi di configurazione più rapidi rispetto all'utilizzo di una connettività di rete prodotto. Presenta anche degli svantaggi: la disponibilità della connessione, la sicurezza e la velocità effettiva dei dati dipendono tutte dall'intermediario che devi gestire come parte del progetto.
Connettiti tramite IAP
Con Identity-Aware Proxy (IAP), puoi collegarti in modo sicuro alla tua istanza Cloud SQL senza dover esporre l'indirizzo IP interno della VM intermedia. Utilizzi una combinazione di firewall e Identity and Access Management (IAM) per limitare l'accesso tramite questa route. Questo rende IAP una buona soluzione per gli utilizzi non di produzione come sviluppo e prototipazione.
In questo diagramma, l'IAP funge da gateway tra il client esterno esterno al VPC e la VM intermedia all'interno del VPC. Il client crea un tunnel SSH per l'IAP. Il proxy di autenticazione Cloud SQL cripta il traffico tra la VM e l'istanza Cloud SQL. Tramite questi due proxy, viene stabilita la comunicazione tra il client e l'istanza.
Per configurare l'accesso IAP alla tua istanza:
Sul client esterno, installa gcloud CLI.
Nella VM intermedia, scarica e installa il proxy di autenticazione Cloud SQL.
Nella VM intermedia, avvia il proxy di autenticazione Cloud SQL.
Poiché la VM è configurata con un indirizzo IP interno, quando avvii il proxy di autenticazione Cloud SQL devi fornire l'opzione
--private-ip.Nel tuo progetto Google Cloud, abilita l'inoltro TCP di IAP.
Quando definisci la nuova regola firewall, consenti il traffico TCP in entrata verso porta
22(SSH). Se utilizzi le impostazioni predefinite del progetto con la sua precompilatadefault-allow-sshdi Google Cloud abilitata, non occorre definire una regola aggiuntiva.Configura il port forwarding tra il client esterno e una VM intermedia SSH tramite IAP:
gcloud compute ssh VM_NAME \ --tunnel-through-iap \ --zone=ZONE_NAME \ --ssh-flag="-L 1433:localhost:1433"
Effettua le seguenti sostituzioni:
- VM_NAME: il nome della VM
- ZONE_NAME: il nome della zona associata alla VM
Sul client esterno, verifica la connessione utilizzando un client SQL Server.
Connettiti tramite un proxy SOCKS
L'esecuzione di un servizio SOCKS sulla VM intermedia fornisce un servizio scalabile all'istanza Cloud SQL con la crittografia end-to-end fornita dal proxy di autenticazione Cloud SQL.
Per ulteriori informazioni sull'utilizzo di un proxy SOCKS per connetterti all'istanza Cloud SQL, consulta Eseguire la connessione utilizzando un proxy intermedio (SOCKS5).
Connettiti tramite un pooler
Se devi installare ed eseguire il proxy di autenticazione Cloud SQL sulla VM intermedia, anziché un client esterno, puoi abilitare accoppiandolo con un proxy sensibile al protocollo, inoltre noto come pooler. Un popolare pooler open source per SQL Server è ADO.NET.
In questa soluzione, eseguirai sia il proxy di autenticazione Cloud SQL che il pooler sulla una VM intermediaria. Il client o la tua applicazione potranno quindi connettersi direttamente al pooler tramite SSL, senza la necessità di eseguire servizi aggiuntivi. Il pooler si occupa di trasmettere le query PostgreSQL all'istanza Cloud SQL tramite il proxy di autenticazione Cloud SQL.
Poiché ogni istanza Cloud SQL ha un indirizzo IP interno separato, ciascun servizio proxy può comunicare una sola istanza specifica: l'istanza principale, quella in standby o un pool di lettura. Pertanto, per ogni istanza, devi eseguire un servizio pooler separato con un certificato SSL configurato in modo appropriato.
Connettiti tramite Cloud VPN o Cloud Interconnect
Per i lavori di produzione che richiedono l'alta disponibilità, consigliamo il l'utilizzo di un modello Google Cloud Prodotto per la connettività di rete, come Cloud VPN o Cloud Interconnect, a seconda delle esigenze del servizio esterno e della topologia di rete. Tu quindi configura Router Cloud per pubblicizzare i percorsi appropriati.
Per scoprire di più sulle soluzioni di Connettività di rete, consulta Scegliere un prodotto Connettività di rete.
Passaggi successivi
- Scopri di più sull'IP privato.
- Scopri di più sull'accesso ai servizi privati e sulla connettività on-premise nei VPC gestiti da Google.
- Scopri di più sull'utilizzo di Private Service Connect per connettersi a un'istanza Cloud SQL.