Tato stránka poskytuje základní úvod do Cloud SQL AUTH proxy a popisuje možnosti theproxy.
podrobné pokyny k používání Cloud SQL Auth proxy naleznete na odkazupro vaše prostředí:
- Quickstart pro použití Cloud SQL Auth proxy
- jak se připojit pomocí Cloud SQL Auth proxy
- jak se připojit pomocí Cloud SQL Auth proxy z GKE
nemusíte používat Cloud SQL Auth proxy nebo konfigurovat SSL toconnect na Cloud SQL z App Engine standardnebo se připojit k Cloud SQL z flexibilního prostředí App Engine.
- zkuste to sami
- co Cloud SQL Auth proxy poskytuje
- jak Cloud SQL Auth proxy funguje
- požadavky pro použití Cloud SQL Auth proxy
- možnosti spuštění serveru Cloud SQL Auth proxy
- použití účtu služby pro autentizaci
- požadovaná oprávnění pro servisní účty
- možnosti pro zadání instancí Cloud SQL
- udržování Cloud SQL Auth proxy up-to-date
- použití API
- o vytvoření zvláštního uživatelského účtu pro Cloud SQL Auth proxy
- Cloud SQL Auth proxy parametry a vlajky
- jak se používá pojistka s Cloud SQL Auth proxy
- instalace FUSE
- použití Cloud SQL Auth proxy v produkčním prostředí
- ujistěte se, že Cloud SQL Auth proxy je spuštěn jako trvalá služba
- kolik kopií Cloud SQL Auth proxy vaše aplikace potřebuje
- snížení výstupu proxy serveru Cloud SQL Auth
- jak failover ovlivňuje Cloud SQL Auth proxy
- udržování obrazu Cloud SQL Auth proxy Docker aktuální
zkuste to sami
pokud jste v cloudu Google noví, Vytvořte si účet, který vyhodnotí, jak Cloud SQL funguje v reálných scénářích. Noví zákazníci také získat $ 300 ve volných kreditů ke spuštění, testování a nasazení pracovní zátěže.
zkuste Cloud SQL free
co Cloud SQL Auth proxy poskytuje
Cloud SQL Auth proxy poskytuje bezpečný přístup k vašim instancím bez nutnosti autorizovaných sítínebo pro konfiguraci SSL.
přístup k instanci Cloud SQL pomocí serveru Cloud SQL Auth proxy nabízí následující výhody:
- zabezpečené připojení: Cloud SQL Auth proxy automaticky šifruje provoz do az databáze pomocí TLS 1.2 pomocí 128bitové šifry AES; SSL certificatesare slouží k ověření identity klienta a serveru.
- snadnější Správa připojení: Cloud SQL Auth proxy zpracovává autentizaci withCloud SQL a odstraňuje potřebu poskytovat statické adresy IP.
Cloud SQL Auth proxy neposkytuje novou cestu připojení; spoléhá se na existující IPconnectivity. Chcete-li se připojit k instanci Cloud SQL pomocísoukromá IP, musí být Cloud SQL Auth proxy na prostředku s přístupem ke stejné síti VPC jako instance.
jak Cloud SQL Auth proxy funguje
Cloud SQL Auth proxy funguje tak, že místní klient běží v místním prostředí. Vaše aplikace komunikuje s Cloud SQL Auth proxyse standardním databázovým protokolem používaným vaší databází. Cloud SQL Auth proxy používábezpečný tunel pro komunikaci se svým doprovodným procesem běžícím na serveru.
zatímco proxy může poslouchat na libovolném portu, vytváří pouze odchozí připojenívaše instance Cloud SQL na portu 3307. Pokud máte odchozí firewallpolicy, ujistěte se, že umožňuje připojení k portu 3307 na IP adrese Cloud SQLinstance.
následující diagram ukazuje, jak se Cloud SQL Auth proxy připojuje k Cloud SQL:
požadavky pro použití Cloud SQL Auth proxy
Chcete-li použít Cloud SQL Auth proxy, musíte splnit následující požadavky:
- Cloud SQL Admin API musí být povoleno.
- musíte poskytnout server Cloud SQL Auth proxy s přihlašovacími údaji pro ověření služby Google Cloud.
- musíte poskytnout Cloud SQL Auth proxy s platným uživatelským účtem databáze a heslem.
-
instance musí mít buď veřejnou IPv4 adresu, nebo musí být nakonfigurována pro useprivate IP.
veřejná IP adresa nemusí být přístupná žádné externí adrese (nemusí být přidána jako Autorizovaná síťová adresa).
možnosti spuštění serveru Cloud SQL Auth proxy
při spuštění serveru Cloud SQL Auth proxy mu poskytnete následující informace:
- jaké instance Cloud SQL navázat připojení k
- kde bude poslouchat data přicházející z vaší aplikace, která mají být odeslána do cloudu SQL
- kde najde pověření, která použije k ověření vašehoapplication to Cloud SQL
- v případě potřeby, který typ IP adresy použít.
možnosti spuštění serveru Cloud SQL Auth proxy, které poskytnete, určují, zda bude poslouchat na tcpport nebo na soketu Unix. Pokud poslouchá na Unixovém soketu, vytvoří thesocket na zvoleném místě; obvykle adresář/ cloudsql/.Pro TCP, Cloud SQL Auth proxy poslouchá na localhost ve výchozím nastavení.
spusťte spustitelný soubor cloud_sql_proxy s argumentem --help pro zobrazení úplného seznamu možností spuštění.
Cloud SQL Auth proxy můžete nainstalovat kdekoli v místním prostředí. Umístění binárních souborů proxy serveru Cloud SQL Auth nemá vliv na to, kde poslouchá data z vaší aplikace.
použití účtu služby pro autentizaci
Cloud SQL Auth proxy vyžaduje ověření. Výhodou použití účtu služby proTento účel je, že můžete vytvořit soubor pověření speciálně pro thecloud SQL Auth proxy a je explicitně a trvale propojen s Cloud SQL Auth proxy, pokud je spuštěný. Z tohoto důvodu je použití účtu služby doporučenou metodou pro productioninstances neběží na instanci Compute Engine.
soubor pověření může být duplikován v obrazu systému, pokud potřebujete vyzvat Cloud SQL Auth proxy z více počítačů.
Chcete-li použít tuto metodu, musíte vytvořit a spravovat soubor pověření. Účet služby mohou vytvořit pouze uživatelé s povolením resourcemanager.projects.setIamPolicy (například vlastníci projektu). Pokud yourGoogle Cloud uživatel nemá toto oprávnění, musíte mít someoneelse vytvořit účet služby pro vás, nebo použít jinou metodu toauthenticate Cloud SQL Auth proxy.
pomoc s vytvořením souboru pověření naleznete v části Vytvoření účtu služby.
požadovaná oprávnění pro servisní účty
pokud používáte servisní účet k poskytnutí pověření pro Cloud SQL Auth proxy, musíte jej vytvořit s dostatečnými oprávněními. Pokud ke správě oprávnění SQL serveru yourCloud používáte role jemnějšího přístupu a správy (iam), musíte dát účtu služby roli, která zahrnuje oprávnění cloudsql.instances.connect. Předefinedcloud SQL role, které obsahují toto oprávnění jsou:
- Cloud SQL Client
- Cloud SQL Editor
- Cloud SQL Admin
pokud používáte starší role projektu (prohlížeč, Editor, Vlastník), musí mít serviceaccount alespoň roli editoru.
možnosti pro zadání instancí Cloud SQL
existuje několik způsobů, jak říct serveru Cloud SQL Auth proxy, ke kterým instancím chcete připojit. Některé jsou explicitní a některé implicitní. V některých konfiguracích nemusíte předem říkat serveru Cloud SQL Auth proxy, které instance chcete připojit, protože server Cloud SQL Auth proxy se připojuje na základě požadavků na připojení.
vaše možnosti například specifikace závisí na vašem operačním systému a prostředí:
| volba | výhody | upozornění a požadavky | Linux / macOS (Unix sockets) |
Java | Windows | poznámky |
|---|---|---|---|---|---|---|
| FUSE (souborový systém v uživatelském prostoru) |
dynamické vytváření soketů na základě požadavků na připojení; při změně instancí není třeba restartovat proxy. | musí být nainstalována pojistka. | podporováno | ne | ne | použijte -fuse příznak. |
| Automatické zjišťování instancí | není třeba specifikovat instance; sockety vytvořené pro všechny instance ve výchozím projektu. | Cloud SQL Auth proxy API využití se zvyšuje. Musí mít Cloud SDK nainstalován a ověřen, s výchozí sadou projektu. Chcete-li přidat novou instanci, musíte restartovat Cloud SQL Auth proxy. | podporováno | ne | ne | nedoporučuje se pro výrobní instance. |
| objev projektu | není třeba specifikovat instance; sokety vytvořené pro všechny instance v určených projektech. | Cloud SQL Auth proxy API využití se zvyšuje. Musí mít nainstalovanou a ověřenou Cloud SDK. Chcete-li přidat novou instanci, musíte restartovat Cloud SQL Auth proxy. | podporováno | ne | ne | použít -projects parametr. Nedoporučuje se pro výrobní instance. |
| instance zadané v Cloud SQL Auth proxy vyvolání | seznam instancí známý a statický. | musí restartovat Cloud SQL Auth proxy přidat novou instanci. | podporováno | podporováno TCP sockety | podporováno TCP sockety | použijte parametr -instances. Pro více instancí použijte seznam oddělený čárkami bez mezer. Další informace. |
| instance zadané pomocí Compute Engine metadata | seznam instancí lze aktualizovat změnou hodnoty metadat bez restartování Cloud SQL Auth proxy. | k dispozici pouze na Compute Engine. | podporováno | podporováno TCP sockety | podporováno TCP sockety | použijte -instances_metadata příznak. Další informace. |
viz ukázkové vyvolání a připojovací řetězce.
udržování Cloud SQL Auth proxy up-to-date
Google občas vydává nové verze Cloud SQL Auth proxy. Můžete vidět, co thecurrent verze je zaškrtnutím theCloud SQL Auth proxy GitHub vydání stránky.Budoucí verze proxy budou také zaznamenány vgoogle Groups Cloud SQL announce forum.
použití API
Cloud SQL Auth proxy vydává požadavky na Cloud SQL Admin API. Tyto požadavky se počítajíproti kvótě API pro váš projekt.
nejvyšší využití API nastane při spuštění Cloud SQL Auth proxy; to platí zejména, pokud používáte automatické zjišťování instancí nebo parametr -projects. Zatímco theCloud SQL Auth proxy je spuštěn, vydává 2 volání API za hodinu na připojenou instanci.
o vytvoření zvláštního uživatelského účtu pro Cloud SQL Auth proxy
když se připojíte k instanci pomocí Cloud SQL Auth proxy, poskytnete uživatelský účet, který se používá k přihlášení k instanci. Můžete použít libovolný uživatelský účet databázepro tento účel. Nicméně, protože Cloud SQL Auth proxy se vždy připojuje z hostsamethat nelze přistupovat s výjimkou Cloud SQL Auth proxy, můžete vytvořit uživatelský účet, kterýmůže být použit pouze Cloud SQL Auth proxy. Výhodou toho je, že můžetezadejte tento účet bez hesla, aniž by byla ohrožena bezpečnostvaše instance nebo vaše data.
Chcete-li vytvořit uživatelský účet pro připojení proxy serveru Cloud SQL Auth, zadejte název hostitele jako'cloudsqlproxy~'. Můžete také použít adresu IPWILDCARD, což by mělo za následek 'cloudsqlproxy~%'. Úplný název uživatelského účtu by měl být:
''@'cloudsqlproxy~%'nebo
''@'cloudsqlproxy~'pomoc při vytváření uživatele naleznete v tématu Vytváření a správa uživatelů.Informace o tom, jak Cloud SQL pracuje s uživatelskými účty, viz Uživatelé. Informace o uživatelských účtech MySQL vizzajištění počátečních účtů MySQL v dokumentaci theMySQL.
Cloud SQL Auth proxy parametry a vlajky
Cloud SQL Auth proxy přijímá při spuštění několik příznaků a parametrů. Theseoptions určit, kde a jak Cloud SQL Auth proxy vytvoří sokety používá forcommunication s Cloud SQL, a jak to ověřuje.
pomoc s možnostmi proxy serveru Cloud SQL Auth naleznete v následujících informacích:
- možnosti pro autentizaci Cloud SQL Auth proxy
- možnosti pro určení Cloud SQL instance
- příklad Cloud SQL Auth proxy vyvolání
- Cloud SQL Auth proxy GitHub stránka
- Nápověda Cloud SQL Auth proxy, zobrazená s
./cloud_sql_proxy -help
jak se používá pojistka s Cloud SQL Auth proxy
pojistka je zkratka pro „souborový systém v uživatelském prostoru“.V závislosti na tom, jak je vyvolán Cloud SQL Auth proxy, může použít FUSE k vytvoření soketů, které používá pro připojení k Cloud SQL.
při připojení z výpočetního motoru nebo lokálního vývojového prostředí používá proxy server SQL Auth fuse pro přístup k instancím Cloud SQL následovně:
-
adresář „/ cloudsql “ je připojen jako souborový systém v Userspace, orFUSE, pomocí Cloud SQL Auth proxy.
-
proces (například
mysql) se pokusí vyhledat soubor s názvem $INSTANCE. -
Cloud SQL Auth proxy zachytí požadavek a vrátí, že
/cloudsql/$INSTANCEje asymbolický odkaz směřující na unixový socket umístěný jinde v souborovém systému. -
proces (například
mysql) následuje po odkazu a otevře unixovou zásuvku, ke které vede a připojuje se.
instalace FUSE
pro Linux:
FUSE vyžaduje fusermount program a modul jádra tofunction. Můžete zkontrolovat, zda je tento program nainstalován hledánímsoubor, /dev/fuse/. Pokud fusermount není ve vašem systému, můžete jej nainstalovatpomocí správce balíčků nebo kompilací ze zdroje.
pro macOS:
nainstalujte pojistku pro macOS.
použití Cloud SQL Auth proxy v produkčním prostředí
pokud používáte Cloud SQL Auth proxy v produkčním prostředí, existují některé kroky, které můžete podniknout, abyste zajistili, že Cloud SQL Auth proxy poskytuje požadovanou dostupnost pro vaši aplikaci.
ujistěte se, že Cloud SQL Auth proxy je spuštěn jako trvalá služba
pokud je proces Cloud SQL Auth proxy zastaven, všechna existující připojení přes něj jsou přerušena a vaše aplikace nemůže vytvořit žádné další připojení k instanci THECLOUD SQL s Cloud SQL Auth proxy. Chcete-li tomuto scénáři zabránit, nezapomeňtespusťte Cloud SQL Auth proxy jako trvalou službu, takže pokud Cloud SQL Auth proxy skončí pro anyreason, automaticky se restartuje. Toho lze dosáhnout pomocí aservice jako systemd, upstart nebo supervisor. Pro operační systém Windows spusťte Cloud SQL Auth proxy jako službu Windows. Obecně se ujistěte, že Cloud SQL Auth proxy mástejné požadavky na provozuschopnost jako proces aplikace.
kolik kopií Cloud SQL Auth proxy vaše aplikace potřebuje
není třeba vytvářet proces proxy pro každý proces aplikace; manyapplication procesy mohou sdílet jeden Cloud SQL Auth proxy proces. Spusťte jeden Cloud SQL Auth proxy clientprocess na pracovní stanici nebo virtuální stroj.
pokud používáte automatické škálování pro virtuální stroje, ujistěte se, že Cloud SQL Auth proxyis zahrnuty v konfiguraci virtuálního počítače, takže při každém spuštění newvirtual stroj, má svůj vlastní Cloud SQL Auth proxy proces.
je na vás, abyste spravovali, kolik připojení vaše aplikace vyžaduje, ať už omezením nebo sloučením připojení. Cloud SQL Auth proxy neumisťuje žádnéomezení nových sazeb připojení nebo trvalého počtu připojení.
snížení výstupu proxy serveru Cloud SQL Auth
pokud potřebujete zmenšit velikost protokolu proxy serveru Cloud SQL Auth, můžete tak učinit nastavením-verbose=false při spuštění proxy serveru Cloud SQL Auth. Mějte však na paměti, že doingso snižuje účinnost výstupu Cloud SQL Auth proxy při diagnostice connectionissues.
jak failover ovlivňuje Cloud SQL Auth proxy
pokud používáte Cloud SQL Auth proxy na instanci nakonfigurované pro vysokou dostupnost a dojde k selhání,připojení přes Cloud SQL Auth proxy jsou ovlivněny stejným způsobemjako připojení přes IP: všechna existující připojení jsou ztracena a aplikacemusí vytvořit nová připojení. Není však nutný žádný ruční zásah; aplikace může pokračovat pomocí stejných připojovacích řetězců, jaké byly dříve.
udržování obrazu Cloud SQL Auth proxy Docker aktuální
obraz Cloud SQL Auth proxy Docker je založen na konkrétní verzi Cloud SQL Auth proxy.Když bude k dispozici nová verze Cloud SQL Auth proxy, vytáhněte newversion obrazu Cloud SQL Auth proxy Docker, aby vaše prostředí bylo aktuální. Můžete vidět aktuální verzi Cloud SQL Auth proxy zaškrtnutím stránkycloud SQL Auth proxy GitHub uvolní stránku.
- další informace o Cloud SQL Auth proxy.