Scopri di più sull'utilizzo dell'IP privato

Questa pagina fornisce informazioni sull'utilizzo di un IP privato con Cloud SQL. Per istruzioni dettagliate sulla configurazione di un'istanza Cloud SQL per l'utilizzo dell'IP privato, consulta Configurazione dell'IP privato.

Panoramica

La configurazione di un'istanza Cloud SQL per l'utilizzo dell'IP privato richiede accesso a servizi privati. L'accesso ai servizi privati ti consente di creare connessioni private tra la tua rete VPC e la rete VPC del produttore di servizi Google sottostante. Le entità Google che offrono servizi, come Cloud SQL, sono chiamate producer di servizi. Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. L'intervallo di indirizzi IP della subnet è in genere un blocco CIDR /24 scelto dal servizio e proviene dall'intervallo di indirizzi IP allocato.

Le connessioni private rendono i servizi raggiungibili senza connessione a Internet o utilizzando indirizzi IP esterni. Per questo motivo, l'IP privato fornisce una latenza di rete inferiore rispetto all'IP pubblico.

Puoi utilizzare l'accesso privato ai servizi per connetterti alle istanze Cloud SQL:

Puoi connetterti a indirizzi IP privati in più aree geografiche. Puoi anche connetterti utilizzando un VPC condiviso tra i progetti.

Intervalli di indirizzi IP allocati

Per utilizzare le istanze Cloud SQL in una rete VPC con IP privato, devi allocare gli intervalli di indirizzi IP per configurare l'accesso privato ai servizi per questo VPC. Per organizzare le istanze Cloud SQL, può essere opportuno allocare più intervalli di indirizzi IP per la connessione privata. Quando configuri un'istanza Cloud SQL per IP privato, puoi selezionare sia la rete VPC sia l'intervallo di indirizzi IP allocati.

Dimensione intervallo allocato

Alloca intervalli di intervalli IP sufficienti per Cloud SQL e per altri servizi gestiti da Google che prevedi di utilizzare. Ciascuno di essi richiederà blocchi IP dedicati degli intervalli allocati. La dimensione minima è un blocco /24 (256 indirizzi), ma la dimensione consigliata è un blocco /16 (65.536 indirizzi).

Quando assegni un intervallo di indirizzi IP, devi considerare il numero di istanze che intendi creare.

Subnet mask Indirizzi Istanze Cloud SQL utilizzabili
/2425650
/23512100
/221024200
/212048400
/204096800

Cloud SQL utilizza intervalli CIDR /24 come unità di intervallo e ogni unità può essere utilizzata solo per le istanze Cloud SQL in un'unica regione. Quindi, anche se verranno create solo due istanze Cloud SQL, ma in aree geografiche diverse devono essere presenti almeno 2 /24 intervalli CIDR.

Inoltre, se un progetto ha iniziato a utilizzare Cloud SQL prima del 1° aprile 2021, le istanze Postgres non possono condividere la stessa unità di intervallo con le istanze MySQL e SQL Server e hanno bisogno della propria in ogni area geografica. I progetti più recenti non sono soggetti a questa limitazione.

Configurare l'accesso privato ai servizi per la rete

Quando configuri la connettività IP privata per la prima volta su una rete VPC specifica, devi eseguire una procedura una tantum per configurare l'accesso ai servizi privati per Cloud SQL.

Dopo aver stabilito l'accesso ai servizi privati, puoi creare un'istanza Cloud SQL configurata per utilizzare l'IP privato o configurare l'IP privato per un'istanza Cloud SQL esistente. Consulta la pagina sulla configurazione dell'IP privato per istruzioni dettagliate.

Ogni volta che cambi una connessione stabilita, devi aggiornare anche vpc-peerings.

Requisiti per l'IP privato

Per utilizzare l'IP privato, la tua rete e l'ambiente dell'applicazione devono soddisfare i seguenti requisiti. Inoltre, la configurazione iniziale di un IP privato richiede autorizzazioni IAM aggiuntive.

Requisiti dell'ambiente dell'applicazione

  • Se esegui la connessione da GKE, devi eseguire GKE 1.8 o versioni successive su un cluster VPC-native.

Requisiti API e IAM

  • Devi abilitare l'API Service Networking per il tuo progetto.
  • Se utilizzi una rete VPC condivisa, devi abilitare anche l'API Service Networking per il progetto host.

  • Per gestire una connessione di accesso privato ai servizi, il tuo utente deve disporre delle seguenti autorizzazioni IAM. Se l'utente non dispone delle autorizzazioni necessarie, potresti ricevere errori relativi ad autorizzazioni insufficienti.
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

    Se utilizzi una rete VPC condivisa, devi anche aggiungere lo stesso utente e assegnare le stesse autorizzazioni per il progetto host.

Esempio

Nell'esempio seguente, la rete VPC del cliente ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza tale intervallo. Ogni servizio Google (ad esempio Cloud SQL) crea una subnet dal blocco assegnato per eseguire il provisioning di nuove risorse in una determinata area geografica, come le istanze Cloud SQL.

Panoramica del diagramma della configurazione dell'IP privato.

  • Alla connessione privata viene assegnato l'intervallo allocato a 10.240.0.0/16. Da questa allocazione, i servizi Google possono creare subnet in cui viene eseguito il provisioning delle nuove risorse.
  • Sul lato dei servizi Google della connessione privata, Google crea un progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al cliente vengono addebitate solo le risorse di cui esegue il provisioning.
  • Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. L'intervallo di indirizzi IP della subnet è in genere un blocco CIDR /24 scelto dal servizio e proviene dall'intervallo di indirizzi IP allocati. Non puoi modificare la subnet del producer di servizi. Un servizio esegue il provisioning di nuove risorse nelle subnet a livello di regione esistenti create in precedenza da tale servizio. Se una subnet è piena, il servizio crea una nuova subnet nella stessa area geografica.
  • Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in qualsiasi regione se il servizio lo supporta. Alcuni servizi potrebbero non supportare le comunicazioni tra aree geografiche. Per ulteriori informazioni, consulta la documentazione pertinente del servizio.
  • I costi per il traffico in uscita per il traffico tra aree geografiche in cui un'istanza VM comunica con le risorse in un'area geografica diversa vengono comunque applicati.
  • All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2. Nella rete VPC del cliente, le richieste con una destinazione 10.240.0.2 vengono instradate alla connessione privata alla rete del producer di servizi. Dopo aver raggiunto la rete di servizio, la rete di servizio contiene route che indirizzano la richiesta alla risorsa corretta.
  • Il traffico tra le reti VPC viaggia internamente all'interno della rete di Google, non attraverso la rete Internet pubblica.

Problemi di rete

Cloud SQL alloca una subnet /24 dall'intervallo IP di accesso dei servizi privati per ogni regione. Ad esempio, l'inserimento di istanze SQL Server in due regioni richiede che gli intervalli di indirizzi IP allocati includano almeno due subnet disponibili di dimensione /24.

Le connessioni a un'istanza Cloud SQL che utilizzano un indirizzo IP privato vengono automaticamente autorizzate per gli intervalli di indirizzi RFC 1918. In questo modo, tutti i client privati possono accedere al database senza dover passare attraverso il proxy di autenticazione Cloud SQL. Gli intervalli di indirizzi non conformi alla RFC 1918 devono essere configurati come reti autorizzate.

Cloud SQL non apprende le route di subnet non RFC 1918 dal tuo VPC per impostazione predefinita. Devi aggiornare il peering di rete in Cloud SQL per esportare eventuali route non RFC 1918.

Sicurezza

Al traffico sull'accesso privato ai servizi viene fornito un determinato livello di crittografia. Per saperne di più, consulta Crittografia e autenticazione della rete virtuale di Google Cloud.

Il proxy di autenticazione Cloud SQL può essere configurato per la connessione tramite IP privato e fornisce l'autenticazione utilizzando credenziali IAM e la crittografia end-to-end mediante un certificato SSL/TLS rotante.

Se i requisiti di sicurezza richiedono i certificati SSL/TLS autogestiti che gestisci, consulta le istruzioni nella pagina Configurazione di SSL/TLS.

La creazione di una rete VPC per ogni istanza con un indirizzo IP privato fornisce un migliore isolamento di rete rispetto a inserire tutte le istanze nella rete VPC "predefinita".

Riferimento rapido per gli argomenti dell'IP privato

Quando gestisci le istanze Cloud SQL utilizzando l'IP privato, alcuni dei seguenti argomenti potrebbero essere interessanti:

Argomento Discussione
Reti VPC condivise Puoi creare istanze Cloud SQL con indirizzi IP privati in una rete VPC condivisa. Tuttavia, non puoi assegnare un indirizzo IP privato in una rete VPC condivisa a un'istanza Cloud SQL esistente.
Regioni Puoi connetterti tramite IP privato tra aree geografiche diverse.
Reti precedenti Non puoi connetterti all'IP privato di un'istanza Cloud SQL da una rete legacy. Le reti legacy non supportano il peering di rete VPC o l'accesso privato ai servizi.
Rimozione di un IP privato Dopo aver configurato un'istanza Cloud SQL per l'utilizzo dell'IP privato, non puoi rimuovere la funzionalità di IP privato da quell'istanza.
IP pubblico e privato Puoi utilizzare sia un IP pubblico che un IP privato per connetterti alla stessa istanza Cloud SQL. Nessun metodo di connessione influisce sull'altro.
Istanze Cloud SQL esistenti Puoi configurare un'istanza in modo che utilizzi un IP privato al momento della creazione dell'istanza. Puoi anche configurare un'istanza esistente in modo che utilizzi un IP privato. La configurazione di un'istanza esistente per l'utilizzo dell'IP privato o la modifica della rete a cui è connessa comporta il riavvio dell'istanza, con il tempo di inattività di alcuni minuti.
Indirizzi IP statici L'indirizzo IP privato dell'istanza Cloud SQL è statico, non cambia.
Repliche Una replica eredita il suo stato dell'IP privato dalla sua istanza principale. Non puoi configurare un IP privato direttamente su una replica. Se ti stai connettendo a una replica utilizzando un indirizzo IP privato, non è necessario creare un'ulteriore connessione privata VPC per la replica poiché è anche ereditata dall'istanza principale.
Il proxy di autenticazione Cloud SQL Per connetterti a un'istanza Cloud SQL utilizzando un IP privato, il proxy di autenticazione Cloud SQL deve trovarsi su una risorsa con accesso alla stessa rete VPC dell'istanza. Se l'istanza ha entrambi i tipi di IP abilitati, il proxy di autenticazione Cloud SQL utilizzerà per impostazione predefinita l'IP pubblico. Per assicurarti che utilizzi l'IP privato, devi passare il flag -ip_address_types=PRIVATE al proxy di autenticazione Cloud SQL. Scopri di più.
accesso VPC serverless Per connetterti da un'origine serverless, ad esempio ambiente standard di App Engine, Cloud Run o Cloud Functions, l'applicazione o la funzione si connette direttamente alla tua istanza tramite l'accesso VPC serverless senza il proxy di autenticazione Cloud SQL.
Peering di rete VPC Una connessione che utilizza l'accesso privato ai servizi si basa sul peering di rete VPC. Tuttavia, non crei esplicitamente il peering di rete VPC, perché il peering è interno a Google Cloud. Dopo aver creato la connessione di accesso privato ai servizi, puoi vedere il relativo peering di rete VPC nella pagina peering di rete VPC nella console, ma non eliminarlo, a meno che tu non voglia rimuovere la connessione privata .

Scopri di più sul peering di rete VPC.

Controlli di servizio VPC Controlli di servizio VPC migliora la tua capacità di ridurre il rischio di esfiltrazione dei dati. Con i Controlli di servizio VPC, crei i perimetri intorno all'istanza Cloud SQL. I Controlli di servizio VPC limitano l'accesso alle risorse all'interno del perimetro dall'esterno. Solo i client e le risorse all'interno del perimetro possono interagire tra loro. Per maggiori informazioni, consulta la Panoramica dei Controlli di servizio VPC. Esamina anche le limitazioni di Cloud SQL quando utilizzi i Controlli di servizio VPC. Per utilizzare i Controlli di servizio VPC con Cloud SQL, consulta Configurazione dei controlli di servizio VPC.
Peering transitivo Solo le reti in peering diretto possono comunicare. Il peering transitivo non è supportato. In altre parole, se la rete VPC N1 è in peering con N2 e N3, ma N2 e N3 non sono collegate direttamente, la rete VPC N2 non può comunicare con la rete VPC N3 tramite il peering di rete VPC.

I client in un progetto possono connettersi alle istanze Cloud SQL in più progetti utilizzando le reti VPC condivise.

Spostamento delle istanze Cloud SQL È possibile spostare le istanze Cloud SQL solo tra le reti di proprietà del progetto in cui risiedono. Inoltre, le istanze Cloud SQL non possono essere spostate né tra progetti, né tra reti ospitate da progetti diversi.

Passaggi successivi