Tämä sivu tarjoaa perustiedot Cloud SQL auth proxy, ja kuvaa Proxy vaihtoehtoja.
saadaksesi vaiheittaiset ohjeet Cloud SQL auth-välityspalvelimen käytöstä, seuraa linkkiä ympäristöösi:
- Quickstart for using the Cloud SQL Auth proxy
- How to connect using the Cloud SQL Auth proxy
- How to connect using the Cloud SQL Auth proxy from GKE
you do not need to use the Cloud SQL Auth proxy or configure SSL to connect to Cloud SQL from App Engine standard or connect to Cloud SQL from the app engine joustava ympäristö.
- Kokeile itse
- What The Cloud SQL Auth proxy provides
- miten Cloud SQL Auth-välityspalvelin toimii
- Cloud SQL Auth-välityspalvelimen käytön vaatimukset
- Cloud SQL Auth proxy käynnistysasetukset
- palvelutilin käyttäminen tunnistautumiseen
- palvelutilien käyttöoikeudet
- Asetukset Cloud SQL-instanssien määrittämiseen
- Cloud SQL Auth-välityspalvelimen pitäminen ajan tasalla
- API: n käyttö
- erityisen käyttäjätilin luomisesta Cloud SQL auth-välityspalvelimelle
- Cloud SQL Auth-välityspalvelimen parametrit ja liput
- miten FUSEA käytetään Cloud SQL auth proxy
- Fusen asentaminen
- kun käytät Cloud SQL Auth-välityspalvelinta tuotantoympäristössä
- varmista, että Cloud SQL auth-välityspalvelinta käytetään pysyvänä palveluna
- kuinka monta kopiota Cloud SQL auth-välityspalvelimesta sovelluksesi tarvitsee
- Cloud SQL auth-välityspalvelimen lähtö
- miten vikaantuminen vaikuttaa Cloud SQL Auth-välityspalvelimeen
- Cloud SQL auth proxy Docker-kuvan pitäminen ajan tasalla
Kokeile itse
jos olet uusi Google Cloudissa, Luo tili arvioidaksesi, miten Cloud SQL toimii reaalimaailman skenaarioissa. Uudet asiakkaat saavat myös $300 ilmaiseksi krediittejä ajaa, testata, ja ottaa käyttöön työkuormia.
kokeile Cloud SQL free
What The Cloud SQL Auth proxy provides
The Cloud SQL Auth proxy provides secure access to your instances without the need for Authorized networks or for configuring SSL.
Cloud SQL-instanssin käyttäminen Cloud SQL auth-välityspalvelimella tarjoaa seuraavat edut:
- turvalliset yhteydet: Cloud SQL auth-välityspalvelin salaa automaattisesti liikenteen tietokantaan ja tietokannasta käyttäen TLS 1.2: ta 128-bittisellä AES-salauksella; SSL-sertifikaatteja käytetään asiakkaan ja palvelimen identiteettien todentamiseen.
- helpompi yhteyden hallinta: Cloud SQL auth-välityspalvelin hoitaa todennuksen Cloud SQL: llä, jolloin staattisten IP-osoitteiden tarjoaminen ei ole tarpeen.
Cloud SQL auth-välityspalvelin ei tarjoa uutta liitettävyyspolkua, vaan perustuu olemassa olevaan IP-Yhteydellisyyteen. Jos haluat muodostaa yhteyden Cloud SQL-ilmentymään käyttäen yksityistä IP: tä, Cloud SQL Auth-välityspalvelimen on oltava resurssissa, jolla on pääsy samaan VPC-verkkoon kuin esiintymä.
miten Cloud SQL Auth-välityspalvelin toimii
Cloud SQL Auth-välityspalvelin toimii siten, että paikallinen asiakas ajaa paikallisessa ympäristössä. Sovellus kommunikoi Cloud SQL Auth proxyn kanssa tietokannan käyttämällä vakioprotokollalla. Cloud SQL auth proxy usesa secure tunnel kommunikoida sen kumppani prosessi käynnissä palvelimella.
vaikka välityspalvelin voi kuunnella mitä tahansa porttia, se luo vain lähteviä yhteyksiä toyour Cloud SQL-esiintymään porttiin 3307. Jos sinulla on lähtevä firewallpolicy, varmista, että se mahdollistaa yhteydet porttiin 3307 Cloud Sqlinstancen IP: llä.
seuraava kaavio näyttää, miten Cloud SQL Auth-välityspalvelin liittyy Cloud SQL: ään:
Cloud SQL Auth-välityspalvelimen käytön vaatimukset
käyttääksesi Cloud SQL Auth-välityspalvelinta, sinun on täytettävä seuraavat vaatimukset:
- Cloud SQL Admin API on oltava käytössä.
- sinun on annettava Cloud SQL auth-välityspalvelimelle Google Cloud authentication-tunnistetiedot.
- sinun on annettava Cloud SQL auth-välityspalvelimelle kelvollinen tietokannan käyttäjätili ja salasana.
-
instanssilla on oltava julkinen IPv4-osoite tai se on konfiguroitava käyttämään yksityistä IP: tä.
julkista IP-osoitetta ei tarvitse käyttää mihinkään ulkoiseen osoitteeseen(sitä ei tarvitse lisätä valtuutettuna verkko-osoitteena).
Cloud SQL Auth proxy käynnistysasetukset
kun käynnistät Cloud SQL Auth proxy, annat sille seuraavat tiedot:
- mitkä Cloud SQL-instanssit luoda yhteyksiä
- , joissa se kuuntelee sovelluksestasi tulevia tietoja sentto Cloud SQL
- mistä se löytää tarvittaessa tunnistetiedot, joita se käyttää todentaakseen yourapplication Cloud SQL
- , mitä IP-osoitetyyppiä käytetään.
antamasi Cloud SQL auth proxy-käynnistysasetukset määrittävät, kuunteleeko se tcpport-vai Unix-pistokkeella. Jos se kuuntelee Unix-liitäntää, se luo lokeron valitsemaasi paikkaan; yleensä /cloudsql / – hakemistoon.TCP: ssä Cloud SQL Auth-välityspalvelin kuuntelee oletusarvoisesti localhost.
Suorita cloud_sql_proxy suoritustiedosto argumentilla --help ja näytä täydellinen lista käynnistysvalinnoista.
voit asentaa Cloud SQL Auth-välityspalvelimen mihin tahansa paikalliseen ympäristöön. Cloud SQL auth proxy-binäärien sijainti ei vaikuta siihen, missä se kuuntelee yourapplication-sovelluksen tietoja.
palvelutilin käyttäminen tunnistautumiseen
Cloud SQL Auth-välityspalvelin vaatii tunnistautumisen. Palvelun tilin käytön etuna tähän tarkoitukseen on se, että voit luoda tilitietotiedoston erityisesti theCloud SQL Auth-välityspalvelimelle, ja se on nimenomaisesti ja pysyvästi yhdistetty Cloud SQL Auth-välityspalvelimeen niin kauan kuin se on käynnissä. Tästä syystä huoltotilin käyttö on suositeltava menetelmä tuotantovälineille, jotka eivät ole käynnissä Laskentamoottoriesimerkinnässä.
tilitietotiedosto voidaan kopioida järjestelmäkuvaksi, jos tarvitset Cloud SQL Auth-välityspalvelimen useilta koneilta.
käyttääksesi tätä menetelmää sinun on luotava ja hallittava tilitietotiedostoa. Vain käyttäjät, joilla on resourcemanager.projects.setIamPolicy – lupa(kuten projektin omistajat) voivat luoda palvelutilin. Jos yougle Cloud Käyttäjällä ei ole tätä lupaa, sinun täytyy olla joku, joka luo palvelun tilin sinulle, tai käyttää muuta menetelmää todentamaan Cloud SQL auth proxy.
lisätietoja tilitietotiedoston luomisesta on ohjeaiheessa palvelutilin luominen.
palvelutilien käyttöoikeudet
kun käytät palvelutiliä Cloud SQL auth-välityspalvelimen tunnistetietojen antamiseen, sinun on luotava se riittävillä oikeuksilla. Jos käytät hienompaa grainedIdentity Access and Management (IAM) – rooleja hallinnoidaksesi Cloud SQL-käyttöoikeuksiasi, sinun on annettava palvelutilille rooli, joka sisältää cloudsql.instances.connect – oikeudet. PredefinedCloud SQL-roolit, jotka sisältävät tämän luvan, ovat:
- Cloud SQL Client
- Cloud SQL Editor
- Cloud SQL Admin
jos käytät legacy-projektirooleja (katsoja, editori, omistaja), serviceaccountilla on oltava vähintään Editorin rooli.
Asetukset Cloud SQL-instanssien määrittämiseen
on useita tapoja kertoa Cloud SQL Auth-välityspalvelimelle, mihin instansseihin haluat yhteyden. Osa on selkeitä ja osa implisiittisiä. Joissakin kokoonpanoissa sinun ei tarvitse kertoa Cloud SQL Auth-välityspalvelimelle etukäteen, mihin instansseihin haluat liittää yhteyden, koska Cloud SQL Auth-välityspalvelin muodostaa yhteyden yhteyspyyntöjen perusteella.
esimerkiksi määrittelyasetuksesi riippuvat käyttöjärjestelmästäsi ja ympäristöstäsi:
| vaihtoehto | edut | Varoitukset ja vaatimukset | Linux / macOS (Unix sockets) |
Java | Windows | muistiinpanot |
|---|---|---|---|---|---|---|
| FUSE (tiedostojärjestelmä käyttäjätilassa) |
dynaaminen socket luominen perustuu yhteyspyyntöihin; välityspalvelinta ei tarvita instanssien muuttuessa. | sulake on asennettava. | tuettu | Ei | Ei | käytä -fuse lippua. |
| Automaattinen instanssin löytyminen | ei tarvitse määritellä instansseja; pistorasiat luotu kaikille oletusprojektin instansseille. | Cloud SQL auth proxy API: n käyttö lisääntyy. Cloud SDK on asennettava ja todennettava oletusprojektin avulla. On käynnistettävä Cloud SQL auth proxy lisätä uuden instanssin. | tuettu | Ei | Ei | ei suositella tuotantotapauksissa. |
| projektien löytyminen | ei tarvitse määrittää instansseja; pistorasiat luotu kaikille instansseille tietyissä projekteissa. | Cloud SQL auth proxy API: n käyttö lisääntyy. Cloud SDK on asennettava ja todennettava. On käynnistettävä Cloud SQL auth proxy lisätä uuden instanssin. | tuettu | Ei | Ei | käytä -projects parametria. Ei suositella tuotantotapauksissa. |
| Cloud SQL auth-välityspalvelimen kutsuminen | Instanssiluettelo tiedossa ja staattinen. | on käynnistettävä Cloud SQL auth-välityspalvelin uudelleen uuden instanssin lisäämiseksi. | tuettu | tuettu TCP-pistorasioilla | tuettu TCP-pistorasioilla | käytä -instances parametria. Käytä useissa tapauksissa pilkulla erotettua luetteloa, jossa ei ole välilyöntejä. Lue lisää. |
| Compute Engine metadata | Instanssiluetteloa käyttäen määritettyjä instansseja voidaan päivittää metatietoarvoa muuttamalla käynnistämättä Cloud SQL auth-välityspalvelinta uudelleen. | saatavana vain Laskentamoottorilla. | tuettu | tuettu TCP-pistorasioilla | tuettu TCP-pistorasioilla | käytä -instances_metadata lippua. Lue lisää. |
KS.otosten kutsut ja yhteysmerkkijonot.
Cloud SQL Auth-välityspalvelimen pitäminen ajan tasalla
Google julkaisee ajoittain uusia versioita Cloud SQL-välityspalvelimesta. Voit nähdä, mitä nykyinen versio on tarkistamalla theCloud SQL auth proxy GitHub releases sivu.Tulevat välityspalvelimen tiedotteet huomataan myös theGoogle ryhmien Cloud SQL ilmoittaa foorumi.
API: n käyttö
Cloud SQL Auth-välityspalvelin antaa pyynnöt Cloud SQL Admin API: lle. Nämä pyynnöt koskevat projektisi API-kiintiötä.
korkein API-käyttö tapahtuu, kun käynnistät Cloud SQL auth-välityspalvelimen; tämä pätee erityisesti, jos käytät automaattista instanssin löytämistä tai parametria -projects. While theCloud SQL auth proxy is running, it issues 2 API calls per tunti per connected instance.
erityisen käyttäjätilin luomisesta Cloud SQL auth-välityspalvelimelle
kun muodostat yhteyden instanssiisi Cloud SQL Auth-välityspalvelimella, annat käyttäjätilin, jota käytetään instanssiin kirjautumiseen. Voit käyttää mitä tahansa tietokannan käyttäjätiliä tähän tarkoitukseen. Koska Cloud SQL Auth proxy muodostaa aina yhteyden isäntänimeen, jota ei voi käyttää muuten kuin Cloud SQL Auth proxy, voit luoda käyttäjätilin, jota voi käyttää vain Cloud SQL auth proxy. Etuna näin on, että voit määrittää tämän tilin ilman salasanaa vaarantamatta turvallisuutta oman instanssin tai tietosi.
luodaksesi käyttäjätilin Cloud SQL auth-välityspalvelinyhteyksille, määritä palvelimen nimi'cloudsqlproxy~'. Voit myös käyttää IP-osoitekorttia, jolloin tulokseksi tulisi 'cloudsqlproxy~%'. Koko käyttäjätilin nimi olisi:
''@'cloudsqlproxy~%'tai
''@'cloudsqlproxy~'apua käyttäjän luomiseen on ohjeaiheessa käyttäjien luominen ja hallinta.Lisätietoja siitä,miten Cloud SQL toimii käyttäjätilien kanssa, on ohjeaiheessa käyttäjät. Tietoja MySQL käyttäjätilejä, seeSecuring Alkuperäisen MySQL tilit theMySQL dokumentaatio.
Cloud SQL Auth-välityspalvelimen parametrit ja liput
Cloud SQL-välityspalvelin hyväksyy käynnistettäessä useita lippuja ja parametreja. Theseoptions määrittää, missä ja miten Cloud SQL auth proxy luo pistorasiat se käyttää forcommunicating Cloud SQL, ja miten se todentaa.
jos tarvitset apua Cloud SQL Auth-välityspalvelinasetuksissa, katso seuraavat tiedot:
- Cloud SQL auth-välityspalvelimen tunnistusasetukset
- Cloud SQL-instanssien määritysvaihtoehdot
- esimerkki Cloud SQL auth-välityspalvelimen kutsut
- Cloud SQL Auth-välityspalvelimen välityspalvelimen sivu
- Cloud SQL Auth-välityspalvelimen ohje, näytetään
./cloud_sql_proxy -help
miten FUSEA käytetään Cloud SQL auth proxy
FUSE tulee sanoista ”Filesystem in User Space”.Riippuen siitä, miten Cloud SQL auth proxy käytetään, se voi käyttää Fuse luoda pistorasiat se käyttää yhteyden Cloud SQL.
yhdistettäessä Laskentamoottorista tai paikallisista kehitysympäristöistä theCloud SQL Auth proxy käyttää FUSEA Cloud SQL-instanssien käyttämiseen seuraavasti:
-
”/cloudsql ” – hakemisto on asennettu tiedostojärjestelmänä Userspacessa, orfusessa, Cloud SQL auth-välityspalvelimella.
-
prosessi (esimerkiksi
mysql) yrittää etsiä tiedoston nimeltä $INSTANCE. -
Cloud SQL auth-välityspalvelin sieppaa pyynnön ja palauttaa, että
/cloudsql/$INSTANCEon asymbolinen linkki, joka osoittaa muualla tiedostojärjestelmässä sijaitsevaan Unix-liitäntään. -
prosessi (esimerkiksi
mysql) seuraa linkkiä ja avaa Unix-socketin, johon se johtaa ja yhdistää.
Fusen asentaminen
Linuxille:
FUSE vaatii fusermount ohjelman ja ytimen moduulin toimimaan. Voit tarkistaa, onko tämä ohjelma asennettu etsimällä tiedostoa, /dev/fuse/. Jos fusermount ei ole järjestelmässäsi, voit asentaa sen paketinhallintaasi tai koota sen lähdekoodista.
macOS:
Asenna FUSE macOS: lle.
kun käytät Cloud SQL Auth-välityspalvelinta tuotantoympäristössä
kun käytät Cloud SQL Auth-välityspalvelinta tuotantoympäristössä, voit tehdä joitakin toimenpiteitä varmistaaksesi, että Cloud SQL Auth-välityspalvelin tarjoaa sovelluksellesi vaadittavan käytettävyyden.
varmista, että Cloud SQL auth-välityspalvelinta käytetään pysyvänä palveluna
jos Cloud SQL Auth-välityspalvelinprosessi pysäytetään, kaikki olemassa olevat yhteydet sen kautta katkeavat, eikä sovelluksesi voi luoda enää yhteyksiä theCloud SQL-instanssiin Cloud SQL-välityspalvelimella. Voit estää tämän skenaarion, varmista Torun Cloud SQL Auth proxy pysyvänä palveluna, niin että jos Cloud SQL auth proxy poistuu anyreason, se käynnistyy automaattisesti uudelleen. Tämä voidaan toteuttaa käyttämällä aservice kuten systemd, upstart, tai supervisor. Windows operatingsystem, suorita Cloud SQL auth proxy Windows-palveluna. Varmista yleensä, että Cloud SQL auth-välityspalvelimella on samat käytettävyysvaatimukset kuin hakuprosessillasi.
kuinka monta kopiota Cloud SQL auth-välityspalvelimesta sovelluksesi tarvitsee
välityspalvelinta ei tarvitse luoda jokaista hakuprosessia varten; monet hakuprosessit voivat jakaa yhden Cloud SQL Auth-välityspalvelimen prosessin. Suorita yksi pilvi SQL auth proxy clientprocess per työasema tai virtuaalikone.
jos käytät automaattista skaalausta virtuaalikoneille, varmista, että Cloud SQL Auth proxy sisältyy virtuaalikoneen asetuksiin, niin että aina kun uusi virtuaalikone käynnistetään, sillä on oma Cloud SQL Auth proxy-prosessi.
voit itse päättää, montako liittymää sovelluksesi vaatii, joko rajoittamalla tai yhdistämällä yhteyksiä. Cloud SQL auth-välityspalvelin ei aseta rajoituksia uusille yhteysnopeuksille tai pysyville yhteysluvuille.
Cloud SQL auth-välityspalvelimen lähtö
jos haluat pienentää Cloud SQL Auth-välityspalvelinlokin kokoa, voit tehdä sen asettamalla-verbose=false, kun käynnistät Cloud SQL-välityspalvelimen. Muista kuitenkin, että doingso vähentää tehokkuutta Cloud SQL auth välityspalvelimen ulostulo diagnosoinnissa Connection kysymyksiä.
miten vikaantuminen vaikuttaa Cloud SQL Auth-välityspalvelimeen
jos käytät Cloud SQL Auth-välityspalvelinta korkean käytettävyyden ilmentymässä ja vikaantuminen tapahtuu,Cloud SQL Auth-välityspalvelimen kautta tapahtuviin yhteyksiin vaikutetaan samalla tavalla kuin yhteyksiin IP: n kautta: kaikki olemassa olevat yhteydet menetetään, ja sovelluksen on luotava uusia yhteyksiä. Manuaalista väliintuloa ei kuitenkaan tarvita, vaan sovellus voi jatkaa samoilla yhteysmerkkijonoilla kuin aiemmin.
Cloud SQL auth proxy Docker-kuvan pitäminen ajan tasalla
Cloud SQL Auth proxy Docker-kuvan pohjana on Cloud SQL Auth-välityspalvelimen tietty versio.Kun uusi versio Cloud SQL auth proxy tulee saataville, vedä uusi versio Cloud SQL auth proxy Docker kuva pitää ympäristö ajan tasalla. Voit nähdä nykyisen version Cloud SQL auth proxy tarkistamalla theCloud SQL auth proxy GitHub releases sivu.
- Lue lisää Cloud SQL auth-välityspalvelimesta.