为 Cloud SQL 实例设置自定义 DNS 名称

本页面介绍了如何为 Cloud SQL 实例设置自定义域名系统 (DNS) 名称。

概览

您可以配置 Cloud SQL 实例,以便应用可以使用组织管理的自定义 DNS 名称进行连接。如果您想使用自定义 DNS 名称(而非 IP 地址)连接到 Cloud SQL 实例,请配置自定义主题备用名称 (SAN)。您可以在创建或更新实例时配置自定义 SAN。

当您向实例添加自定义 DNS 名称作为自定义 SAN 配置时,Cloud SQL 会将该自定义 DNS 名称插入到实例的服务器证书的 SAN 字段中。此自定义使您可以安全地使用自定义 DNS 名称进行主机名验证。您可以将最多包含三个自定义 DNS 名称的英文逗号分隔列表添加到自定义 SAN 配置中。出于安全原因,您只能对配置为使用 CUSTOMER_MANAGED_CAS_CA 作为服务器 CA 模式的实例使用自定义 SAN 配置。

为实例配置自定义 DNS 名称后,您可以使用该自定义 DNS 名称连接数据库客户端或应用,包括 Cloud SQL 语言连接器Cloud SQL Auth 代理

工作流

如需为实例设置自定义 DNS 名称,请执行以下操作:

  1. 创建配置了客户管理的 CA 的实例。
  2. 向实例添加自定义 SAN 值。自定义 SAN 值会插入到实例的服务器证书的 SAN 字段中。
  3. 确定实例的 IP 地址。
  4. 为实例创建自定义 DNS 记录。
  5. 使用自定义 DNS 名称连接到实例。

准备工作

为实例设置自定义 DNS 名称之前,请确保您拥有所需的角色和权限

如果您要创建新的 Cloud SQL 实例,则如需使用自定义 SAN,您的实例还必须将客户管理的证书授权机构 (CA) 用于其服务器 CA 模式。

创建具有自定义 SAN 值的实例

如需创建具有自定义 SAN 值的实例,请使用以下 gcloud sql instances create 命令:

gcloud

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID
  --custom-subject-alternative-names=CUSTOM_DNS_NAME

进行以下替换:

  • INSTANCE_NAME 替换为您要创建的 Cloud SQL 实例的名称。
  • DATABASE_VERSION 替换为您要创建的 Cloud SQL 实例版本的 enum
  • PROJECT_ID 替换为您计划在其中创建 Cloud SQL 实例的项目的 ID。
  • PROJECT_ID_CAS 替换为您在其中创建 CA_POOL_ID 的项目的 ID。此项目可能与您要在其中创建 Cloud SQL 实例的项目相同,也可能不同。
  • REGION 替换为您在其中创建 CA 池的区域。您必须在 CA 池所在的区域中创建实例。
  • CA_POOL_ID 替换为您创建的 CA 池的 ID。
  • CUSTOM_DNS_NAME 替换为最多三个自定义 DNS 名称,以英文逗号分隔,值之间没有空格。例如:develop.example.com,test.example.com,production.example.com

Terraform

如需创建具有自定义 SAN 值的实例,请使用 Terraform 资源。以下示例还会为新实例创建前提条件资源。

resource "google_project_service_identity" "default" {
  provider = google-beta
  service  = "sqladmin.googleapis.com"
}

resource "random_string" "default" {
  length  = 10
  special = false
  upper   = false
}

resource "google_privateca_ca_pool" "default" {
  name     = "customer-ca-pool-${random_string.default.result}"
  location = "asia-northeast1"
  tier     = "DEVOPS"
  publishing_options {
    publish_ca_cert = false
    publish_crl     = false
  }
}

# This is required for setting up customer managed CAS (Certificate Authority Service) instances.
resource "google_privateca_certificate_authority" "default" {
  pool                                   = google_privateca_ca_pool.default.name
  certificate_authority_id               = "my-certificate-authority"
  location                               = "asia-northeast1"
  lifetime                               = "86400s"
  type                                   = "SELF_SIGNED"
  deletion_protection                    = false # set to "true" in production
  skip_grace_period                      = true
  ignore_active_certificates_on_deletion = true
  config {
    subject_config {
      subject {
        organization = "my organization"
        common_name  = "my certificate authority name"
      }
    }
    x509_config {
      ca_options {
        is_ca = true
      }
      key_usage {
        base_key_usage {
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
          server_auth = false
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}

resource "google_privateca_ca_pool_iam_member" "default" {
  ca_pool = google_privateca_ca_pool.default.id
  role    = "roles/privateca.certificateRequester"

  member = "serviceAccount:${google_project_service_identity.default.email}"
}

resource "google_sql_database_instance" "default" {
  name             = "sqlserver-instance"
  region           = "asia-northeast1"
  database_version = "SQLSERVER_2022_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      # The following server CA mode lets the instance use customer-managed CAS CA to issue server certificates.
      # https://cloud.google.com/sql/docs/sqlserver/admin-api/rest/v1beta4/instances#ipconfiguration
      server_ca_mode                   = "CUSTOMER_MANAGED_CAS_CA"
      server_ca_pool                   = google_privateca_ca_pool.default.id
      custom_subject_alternative_names = ["customSan.test.com"]
    }
  }
}

为实例添加或更新自定义 SAN 值

如需为现有实例添加或更新自定义 SAN 值,请执行以下操作:

gcloud

gcloud sql instances patch INSTANCE_NAME \
  --custom-subject-alternative-names=CUSTOM_DNS_NAME

进行以下替换:

  • INSTANCE_NAME 替换为您要更新的 Cloud SQL 实例的名称。
  • CUSTOM_DNS_NAME 替换为最多三个自定义 DNS 名称,以英文逗号分隔,值之间没有空格。例如:develop.example.com,new-test.example.com,production.example.com

Terraform

如需更新已具有自定义 SAN 值的实例,请使用 Terraform 资源

resource "google_sql_database_instance" "default" {
  name             = "sqlserver-instance"
  region           = "asia-northeast1"
  database_version = "SQLSERVER_2022_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      # The following server CA mode lets the instance use customer-managed CAS CA to issue server certificates.
      # https://cloud.google.com/sql/docs/sqlserver/admin-api/rest/v1beta4/instances#ipconfiguration
      server_ca_mode                   = "CUSTOMER_MANAGED_CAS_CA"
      server_ca_pool                   = google_privateca_ca_pool.default.id
      custom_subject_alternative_names = ["customSan.test.com"]
    }
  }
}

从实例中清除所有自定义 SAN 值

如需从实例中清除所有自定义 SAN 值,请执行以下操作:

gcloud

gcloud sql instances patch INSTANCE_NAME \
  --clear-custom-subject-alternative-names

INSTANCE_NAME 替换为您要更新的 Cloud SQL 实例的名称。

创建自定义 DNS 记录

您必须先在 DNS 名称与 IP 地址之间设置映射,然后才能通过将自定义 DNS 名称与客户端和应用搭配使用来连接到实例。此映射称为 DNS 解析。如果您要使用专用连接,请在相应虚拟私有云 (VPC) 网络的专用 DNS 区域中创建 DNS 记录

如需为实例创建自定义 DNS 记录,请执行以下操作:

  1. 检索实例的 IP 地址。运行以下命令:

    gcloud sql instances describe INSTANCE_NAME \
 --project=PROJECT_ID

    进行以下替换:

    • INSTANCE_NAME:Cloud SQL 实例的名称
    • PROJECT_ID:包含实例的 Google Cloud 项目的 ID 或项目编号

  2. 在响应中,查找 ipAddresses: 字段。

    例如:

    ipAddresses:
- ipAddress: 192.0.2.4
  type: PRIVATE

    您可以检索为专用服务访问通道Private Service Connect两者配置的实例的专用 IP 地址。

  3. 向应用所使用的 DNS 区域添加两个 DNS 记录。您可以使用自行管理的 DNS 服务器,也可以使用应用所使用的 Cloud DNS 专用区域

    • 为实例的 IP 地址创建 A 记录
    • 创建包含实例连接名称的 TXT 记录。

    标准数据库客户端使用 A 记录来查找 IP 地址以建立连接。Cloud SQL 语言连接器和 Cloud SQL Auth 代理使用 TXT 记录来查找实例连接名称。

    例如,您的实例的连接字符串为 my-project:region:my-instance,但您想使用 DNS 名称 prod-db.mycompany.example.com 进行连接。如果实例在公司网络中的 IP 地址为 192.0.2.4,请创建以下 DNS 记录:

    Record type: A
Name: prod-db.mycompany.example.com
Value: 192.0.2.4
TTL: 600

Record type: TXT
Name: prod-db.mycompany.example.com
Value: my-project:region:my-instance
TTL: 600

使用自定义 DNS 名称连接到实例

连接到 Cloud SQL for SQL Server 实例时,请将自定义 DNS 名称配置为主机名。然后,通过为 sqlcmd 指定 -N 标志或选择 SSMS 的加密连接/加密选项,启用服务器身份验证。

其他 SQL Server 驱动程序具有类似的标志或配置。

如果您要从外部网络连接到专用 Cloud SQL 实例,则必须配置 Cloud SQL 实例及其虚拟私有云 (VPC) 网络,以允许进行外部连接并让 Cloud DNS 可以与本地系统通信。如需详细了解此配置,请参阅从外部来源连接为本地系统配置 DNS

限制

  • 您无法向 Cloud SQL 实例的服务器证书添加超过三个 DNS 名称作为自定义 SAN 值。
  • 您可以添加到证书中以作为实例自定义 SAN 值的 DNS 名称的长度上限为 253 个字符。
  • 添加到实例证书中的 DNS 名称不能包含通配符字符 (*) 或结尾英文句点。例如,不允许使用“test.example.com.”。
  • DNS 名称必须是符合 RFC 1034 标准的有效名称。
  • 只能为 CUSTOMER_MANAGED_CAS_CA 实例指定自定义 SAN 值。

后续步骤