ez az oldal a felhő SQL Auth proxyjának alapvető bemutatását tartalmazza, és a program beállításait ismerteti.
a Cloud SQL Auth proxy használatára vonatkozó részletes útmutatásért kövesse a saját környezetére mutató hivatkozást:
- Quickstart a Cloud SQL Auth proxy használatához
- hogyan lehet csatlakozni a Cloud SQL Auth proxy használatával
- hogyan lehet csatlakozni a Cloud SQL Auth proxy használatával a GKE-től
nem kell használni a Cloud SQL Auth proxyt, vagy konfigurálni az SSL toconnect-et a Cloud SQL-hez az App Engine szabványbólvagy csatlakozni a Cloud SQL-hez az App Engine szabványbólvagy app engine rugalmas környezetben.
- próbálja ki saját maga
- amit a Cloud SQL Auth proxy nyújt
- hogyan működik a Cloud SQL Auth proxy
- a Cloud SQL Auth proxy használatára vonatkozó követelmények
- Cloud SQL Auth proxy indítási beállításai
- szolgáltatásfiók használata hitelesítéshez
- szolgáltatási fiókokhoz szükséges engedélyek
- felhő SQL példányok megadásának lehetőségei
- a Cloud SQL Auth proxy naprakészen tartása
- API használat
- speciális felhasználói fiók létrehozása A Cloud SQL Auth proxyhoz
- Cloud SQL Auth proxy paraméterek és zászlók
- hogyan FUSE használják Cloud SQL Auth proxy
- a FUSE
- a Cloud SQL Auth proxy használata termelési környezetben
- győződjön meg arról, hogy a Cloud SQL Auth proxy állandó szolgáltatásként fut
- a felhő SQL Auth proxyjának hány példányára van szüksége az alkalmazásnak
- felhő SQL Auth proxy kimenetének csökkentése
- hogyan befolyásolja a feladatátvétel a felhőalapú SQL Auth proxyt
- a Cloud SQL Auth proxy Docker kép naprakészen tartása
próbálja ki saját maga
ha még nem ismeri a Google Cloud szolgáltatást, hozzon létre egy fiókot, hogy felmérje, hogyan teljesít a Cloud SQL valós helyzetekben. Az új ügyfelek 300 dollár INGYENES kreditet kapnak a számítási feladatok futtatásához, teszteléséhez és telepítéséhez.
próbálja ki a Cloud SQL free alkalmazást
amit a Cloud SQL Auth proxy nyújt
a Cloud SQL Auth proxy biztonságos hozzáférést biztosít a példányokhoz anélkül, hogy engedélyezett hálózatokra lenne szükségvagy az SSL konfigurálásához.
a Cloud SQL példány elérése A Cloud SQL Auth proxy használatával a következő előnyöket kínálja:
- biztonságos kapcsolatok: a Cloud SQL Auth proxy automatikusan titkosítja az adatbázisba érkező és onnan érkező forgalmat a TLS 1.2 használatával, 128 bites AES titkosítással; Az SSL tanúsítványok az ügyfél-és szerverazonosságok ellenőrzésére szolgálnak.
- könnyebb kapcsolatkezelés: a felhő SQL Auth proxy kezeli a hitelesítést a felhő SQL-vel, így nincs szükség statikus IP-címek megadására.
a Cloud SQL Auth proxy nem biztosít új csatlakozási útvonalat; a meglévő IP-kapcsolatokra támaszkodik. Ha felhőalapú SQL-példányhoz szeretne csatlakozni aprivate IP használatával, a felhőalapú SQL Auth proxynak olyan erőforráson kell lennie, amely ugyanahhoz a VPC-hálózathoz fér hozzá, mint a példány.
hogyan működik a Cloud SQL Auth proxy
a Cloud SQL Auth proxy úgy működik, hogy egy helyi kliens fut a helyi környezetben. Az alkalmazás kommunikál a felhő SQL Auth proxywith a szabványos adatbázis protokoll által használt adatbázis. A felhő SQL Auth proxy használegy biztonságos alagút, hogy kommunikáljon a kiszolgálón futó társfolyamattal.
míg a proxy bármely porton hallgathat, csak kimenő kapcsolatokat hoz létre a felhő SQL példányával a 3307-es porton. Ha kimenő tűzfalpolitikája van, győződjön meg arról, hogy engedélyezi a 3307-es porthoz való csatlakozást A Cloud SQLINSTANCE IP-jén.
az alábbi ábra azt mutatja be, hogy a Cloud SQL Auth proxy hogyan kapcsolódik a Cloud SQL-hez:
a Cloud SQL Auth proxy használatára vonatkozó követelmények
a Cloud SQL Auth proxy használatához az alábbi követelményeknek kell megfelelnie:
- a Cloud SQL Admin API-t engedélyezni kell.
- meg kell adnia a Cloud SQL Auth proxyt a Google Cloud hitelesítési adataival.
- meg kell adnia a Cloud SQL Auth proxynak egy érvényes adatbázis felhasználói fiókot és jelszót.
-
a példánynak nyilvános IPv4-címmel kell rendelkeznie, vagy konfigurálva kell lennie a useprivate IP használatára.
a nyilvános IP-címnek nem kell hozzáférhetőnek lennie semmilyen külső címhez(nem kell hivatalos hálózati címként hozzáadni).
Cloud SQL Auth proxy indítási beállításai
a Cloud SQL Auth proxy indításakor a következő információkat adja meg:
- milyen felhő SQL példányokat kell létrehozni a
- kapcsolatokhoz, ahol meghallgatja az alkalmazásból származó adatokat, amelyeket a Cloud SQL-hez kell küldeni
- ahol megtalálja azokat a hitelesítő adatokat, amelyeket az alkalmazás felhő SQL-hez történő hitelesítéséhez használ
- ha szükséges, melyik IP-címtípust használja.
az Ön által megadott Cloud SQL Auth proxy indítási beállítások határozzák meg, hogy TCPport-on vagy Unix-aljzaton hallgat-e. Ha egy Unix socket-en hallgat, akkor a kiválasztott helyen hozza létre az aljzatot; általában a /cloudsql/ könyvtár.TCP esetén a Cloud SQL Auth proxy alapértelmezés szerint a localhost
értéket figyeli.
futtassa a cloud_sql_proxy
futtatható fájlt a --help
argumentummal az indítási lehetőségek teljes listájának megtekintése.
a Cloud SQL Auth proxyt bárhol telepítheti a helyi környezetben. A felhő SQL Auth proxy binárisainak helye nem befolyásolja, hogy hol hallgatja az alkalmazás adatait.
szolgáltatásfiók használata hitelesítéshez
a Cloud SQL Auth proxy hitelesítést igényel. A szolgáltatási fiók használatának előnyeez a cél az, hogy létrehozhat egy hitelesítő fájlt kifejezetten a felhő SQL Auth proxyhoz, és kifejezetten és véglegesen kapcsolódik a felhő SQL Auth proxyhoz, amíg fut. Ezért a szolgáltatásfiók használata az ajánlott módszer a Productioninstances számára, amely nem fut a Compute Engine példányon.
a hitelesítő fájl másolható egy rendszerképen, ha meg kell hívnia felhő SQL Auth proxy több gépről.
a módszer használatához létre kell hoznia és kezelnie kell a hitelesítő adatfájlt. Csak a resourcemanager.projects.setIamPolicy
jogosultsággal rendelkező felhasználók(például a projekt tulajdonosai) hozhatják létre a szolgáltatási fiókot. Ha yourGoogle Cloud felhasználó nem rendelkezik ezzel az engedéllyel, meg kell someoneelse létrehozni a szolgáltatás fiókot az Ön számára, vagy használjon más módszert, hogyauthenticate a felhő SQL Auth proxy.
hitelesítő adatfájl létrehozásával kapcsolatos segítségért lásd: szolgáltatási fiók létrehozása.
szolgáltatási fiókokhoz szükséges engedélyek
ha szolgáltatási fiókot használ a Cloud SQL Auth proxy hitelesítő adatainak megadásához, akkor azt megfelelő engedélyekkel kell létrehoznia. Ha a finer-grainedIdentity Access and Management (IAM) szerepköröket használja a felhő SQL-engedélyeinek kezeléséhez, meg kell adnia a szolgáltatási fióknak egy olyan szerepet, amely tartalmazza a cloudsql.instances.connect
engedélyt. Az ezt az engedélyt tartalmazó predefinedCloud SQL szerepkörök a következők:
- Cloud SQL Client
- Cloud SQL Editor
- Cloud SQL Admin
ha a régi projekt szerepköröket használja (néző, szerkesztő, tulajdonos), a serviceaccountnak legalább a szerkesztő szerepkörrel kell rendelkeznie.
felhő SQL példányok megadásának lehetőségei
többféle módon lehet megmondani a felhő SQL Auth proxynak, hogy mely példányokhoz szeretne csatlakozni. Néhány explicit, néhány implicit. Bizonyos konfigurációkban nem kell előre megmondania a felhő SQL Auth proxyját, hogy mely példányokat szeretné csatlakoztatnihogy a felhő SQL Auth proxy kapcsolódási kérelmek alapján csatlakozik.
a beállítások, például a specifikáció, az operációs rendszertől és a környezettől függenek:
opció | előnyök | kikötések és követelmények | Linux/macOS (Unix aljzatok) |
Java | Windows | Megjegyzések |
---|---|---|---|---|---|---|
FUSE (fájlrendszer a felhasználói térben) |
dinamikus socket létrehozása csatlakozási kérelmek alapján; nincs szükség proxy újraindításra a példányok változásakor. | biztosítékot kell felszerelni. | támogatott | nem | nem | használja a -fuse zászlót. |
automatikus példányfelderítés | nincs szükség példányok megadására; az Alapértelmezett projekt összes példányához létrehozott aljzatok. | Cloud SQL Auth proxy API használata nőtt. Telepíteni és hitelesíteni kell a Cloud SDK-t egy alapértelmezett projektkészlettel. Új példány hozzáadásához újra kell indítania a Cloud SQL Auth proxyt. | támogatott | nem | nem | nem ajánlott gyártási példányokhoz. |
Project discovery | nincs szükség példányok megadására; a megadott projektek összes példányához létrehozott aljzatok. | Cloud SQL Auth proxy API használata nőtt. A Cloud SDK telepítése és hitelesítése szükséges. Új példány hozzáadásához újra kell indítania a Cloud SQL Auth proxyt. | támogatott | nem | nem | használja a -projects paramétert. Nem ajánlott termelési példányokhoz. |
a Cloud SQL Auth proxy invocation | Példánylistában megadott példányok ismertek és statikusak. | új példány hozzáadásához újra kell indítania a Cloud SQL Auth proxyt. | támogatott | támogatott TCP foglalatokkal | támogatott TCP foglalatokkal | használja a -instances paramétert. Több példány esetén vesszővel elválasztott listát használjon szóközök nélkül. Tudj meg többet. |
a Compute Engine metaadatok | Példánylista használatával megadott példányok frissíthetők a metaadatok értékének megváltoztatásával a Cloud SQL Auth proxy újraindítása nélkül. | csak számítási motoron érhető el. | támogatott | támogatott TCP foglalatokkal | támogatott TCP foglalatokkal | használja a -instances_metadata jelzőt. Tudj meg többet. |
lásd: minta meghívások és csatlakozási húrok.
a Cloud SQL Auth proxy naprakészen tartása
a Google alkalmanként kiadja a Cloud SQL Auth proxy új verzióit. Láthatjuk, mi a jelenlegi verzió ellenőrzésével theCloud SQL Auth proxy GitHub releases oldal.A jövőbeli proxy kiadásokat a Google Groups Cloud SQL bejelenti a fórumot.
API használat
a Cloud SQL Auth proxy kéréseket küld a Cloud SQL Admin API-nak. Ezek a kérések a projekt API-kvótájához tartoznak.
a legnagyobb API-használat A Cloud SQL Auth proxy indításakor következik be; ez különösen igaz, ha automatikus példánykeresést vagy -projects
paramétert használ. Míg a theCloud SQL Auth proxy fut, óránként 2 API-hívást bocsát ki csatlakoztatott példányonként.
speciális felhasználói fiók létrehozása A Cloud SQL Auth proxyhoz
amikor a Cloud SQL Auth proxy használatával csatlakozik a példányhoz, megad egy felhasználói fiókot, amely a példányba való bejelentkezéshez használható. Bármely adatbázis felhasználói fiókot használhat. erre a célra. Mivel azonban a Cloud SQL Auth proxy mindig egy gazdagépnévről csatlakozik, amelyhez csak a Cloud SQL Auth proxy férhet hozzá, létrehozhat egy felhasználói fiókot, amelyet csak a Cloud SQL Auth proxy használhat. Ennek az az előnye, hogy megtehetiadja meg ezt a fiókot jelszó nélkül, anélkül, hogy veszélyeztetné a példánya vagy adatai biztonságát.
felhasználói fiók létrehozásához felhő SQL Auth proxy kapcsolatokhoz adja meg a gazdagép nevét'cloudsqlproxy~'
néven. Használhatja az IP-címetwildcard, ami 'cloudsqlproxy~%'
eredményt eredményezne. A teljes felhasználói fiók neve:
''@'cloudsqlproxy~%'
vagy
''@'cloudsqlproxy~'
a felhasználók létrehozásával kapcsolatos segítségért lásd: felhasználók létrehozása és kezelése.Arról, hogy a Cloud SQL hogyan működik a felhasználói fiókokkal, lásd: felhasználók. A MySQL felhasználói fiókokkal kapcsolatos információkért lásd: a kezdeti MySQL Fiókok biztosítása a theMySQL dokumentációban.
Cloud SQL Auth proxy paraméterek és zászlók
a Cloud SQL Auth proxy több jelzőt és paramétert fogad el indításkor. Ezek a lehetőségek határozzák meg, hogy a Cloud SQL Auth proxy hol és hogyan hozza létre azokat a foglalatokat, amelyeket a Cloud SQL-rel való kommunikációhoz használ, és hogyan hitelesíti.
a Cloud SQL Auth proxy beállításokkal kapcsolatos segítségért lásd az alábbi információkat:
- a felhő SQL Auth proxy hitelesítésének lehetőségei
- a felhő SQL példányok megadásának lehetőségei
- példa felhő SQL Auth proxy meghívások
- felhő SQL Auth proxy GitHub oldal
- a felhő SQL Auth proxy Súgó, amely a következőkkel jelenik meg
./cloud_sql_proxy -help
hogyan FUSE használják Cloud SQL Auth proxy
FUSE jelentése “fájlrendszer felhasználói térben”.Attól függően, hogy a felhő SQL Auth proxy hívják, akkor canoptionally használja FUSE createthe aljzatok használ csatlakozni felhő SQL.
amikor számítási motorból vagy helyi fejlesztési környezetből csatlakozik, a felhőalapú SQL Auth proxy a Fuse-t használja a felhőalapú SQL-példányok eléréséhez az alábbiak szerint:
-
a” / cloudsql ” könyvtár fájlrendszerként van csatolva a Userspace-ben, orFUSE, a Cloud SQL Auth proxy segítségével.
-
egy folyamat (például
mysql
) megkísérel megkeresni egy $INSTANCE nevű fájlt. -
a Cloud SQL Auth proxy elfogja a kérést, és visszaadja, hogy
/cloudsql/$INSTANCE
egy aszimbolikus link, amely a fájlrendszer más részén található Unix socket-re mutat. -
a folyamat (például
mysql
) követi a linket, és megnyitja a Unix aljzatot, amelyhez vezet és csatlakozik.
a FUSE
telepítése Linux esetén:
a FUSE használatához a fusermount
program és egy kernelmodul szükséges. A /dev/fuse/
fájl keresésével ellenőrizheti, hogy telepítve van-e ez a program. Ha a fusermount
nincs a rendszeren, telepíthetia csomagkezelő használatával vagy a forrásból történő fordítással.
macOS esetén:
telepítse a biztosítékot macOS esetén.
a Cloud SQL Auth proxy használata termelési környezetben
ha a Cloud SQL Auth proxyt termelési környezetben használja, néhány lépést megtehet annak biztosítására, hogy a Cloud SQL Auth proxy biztosítsa az alkalmazás számára a szükséges rendelkezésre állást.
győződjön meg arról, hogy a Cloud SQL Auth proxy állandó szolgáltatásként fut
ha a Cloud SQL Auth proxy folyamat le van állítva, az összes meglévő kapcsolat megszakad, és az alkalmazás nem tud több kapcsolatot létrehozni a Cloud SQL példányhoz a Cloud SQL Auth proxyval. Ennek a forgatókönyvnek a megakadályozása érdekében győződjön meg róla, hogy a Cloud SQL Auth proxyt állandó szolgáltatásként futtatja, így ha a Cloud SQL Auth proxy bármely okból kilép, automatikusan újraindul. Ezt a systemd
, upstart
vagy supervisor
szolgáltatással lehet elérni. Windows operációs rendszer esetén futtassa a Cloud SQL Auth proxyt Windows szolgáltatásként. Általában győződjön meg arról, hogy a Cloud SQL Auth proxy rendelkezikugyanazok a rendelkezésre állási követelmények, mint az alkalmazás folyamata.
a felhő SQL Auth proxyjának hány példányára van szüksége az alkalmazásnak
nincs szükség proxy folyamat létrehozására minden alkalmazási folyamathoz; a manyapplication folyamatok egyetlen felhő SQL Auth proxy folyamatot oszthatnak meg. Fuss egy felhő SQL Auth proxy clientprocess per munkaállomás vagy virtuális gép.
ha automatikus méretezést használ virtuális gépekhez, győződjön meg arról, hogy a Cloud SQL Auth proxy szerepel a virtuális gép konfigurációjában, hogy amikor egy új virtuális gépet elindít, Saját Cloud SQL Auth proxy folyamattal rendelkezzen.
Önön múlik,hogy hány kapcsolatot igényel az alkalmazás, akár a kapcsolatok korlátozásával, akár egyesítésével. A Cloud SQL Auth proxy nem tesz semmithiányosságokat az új csatlakozási arányokra vagy az állandó kapcsolatszámra.
felhő SQL Auth proxy kimenetének csökkentése
ha csökkenteni szeretné a felhő SQL Auth proxy naplójának méretét, akkor ezt az-verbose=false
beállítással teheti meg a felhő SQL Auth proxy indításakor. Ne feledje azonban, hogy a doingso csökkenti a felhő SQL Auth proxy kimenetének hatékonyságát a connectionissues diagnosztizálásában.
hogyan befolyásolja a feladatátvétel a felhőalapú SQL Auth proxyt
ha a felhőalapú SQL Auth proxyt magas rendelkezésre állásra konfigurált példányon futtatja, és feladatátvétel történik, a felhőalapú SQL Auth proxyn keresztüli kapcsolatokat ugyanúgy érinti, mint az IP-alapú kapcsolatokat: minden meglévő kapcsolat elvész, és az alkalmazásnak új kapcsolatokat kell létrehoznia. Kézi beavatkozásra azonban nincs szükség; aalkalmazás továbbra is ugyanazokat a kapcsolati húrokat használhatja, mint korábban.
a Cloud SQL Auth proxy Docker kép naprakészen tartása
a Cloud SQL Auth proxy Docker kép a Cloud SQL Auth proxy adott verzióján alapul.Amikor a Cloud SQL Auth proxy új verziója elérhetővé válik, húzza ki a felhő SQL Auth proxy Docker képének új verzióját a környezet naprakészen tartása érdekében. A Cloud SQL Auth proxy aktuális verzióját megtekintheti acloud SQL Auth proxy GitHub releases oldal ellenőrzésével.
- További információ a Cloud SQL Auth proxyról.