אפשר ליצור פרופיל חיבור באופן עצמאי או בהקשר של יצירת משימת העברה ספציפית. בכל מקרה, כל פרופילי החיבור זמינים לבדיקה ולשינוי בדף 'פרופילי חיבור', ואפשר לעשות בהם שימוש חוזר בעבודות העברה.
יצירת פרופיל חיבור למקור נתונים בנפרד שימושית אם האדם שיש לו את פרטי הגישה למקור הנתונים הוא לא אותו אדם שיוצר את משימת ההעברה. אפשר גם להשתמש מחדש בהגדרת פרופיל של חיבור למקור בכמה משימות העברה. אם משתמשים באותו פרופיל לכמה העברות, צריך לעדכן את הפרמטר max_replication_slots במסד הנתונים של המקור כדי להתאים אותו למספר העותקים שיוצרים.
כדי ליצור פרופיל של חיבור למקור:
- עוברים לדף Connection profiles (פרופילי חיבור) במסוף Google Cloud .
- לוחצים על יצירת פרופיל.
- בדף Create a connection profile, מזינים את הפרטים הבאים שנדרשים כדי להתחבר למקור:
- ברשימה תפקיד בפרופיל, בוחרים באפשרות מקור.
ברשימה המנוע של מסד הנתונים, בוחרים את המנוע של מסד הנתונים של המקור.
- מזינים שם לפרופיל החיבור. הוא משמש ברשימת פרופילי החיבור וגם כשבוחרים פרופיל חיבור קיים בתהליך יצירת משימת העברה.
- משאירים את מזהה פרופיל החיבור שנוצר אוטומטית.
מזינים שם מארח או כתובת IP.
אם מסד הנתונים של המקור מתארח ב- Google Cloud או אם נעשה שימוש במנהרת SSH הפוכה כדי לחבר את מסד הנתונים של היעד למסד הנתונים של המקור, צריך לציין את כתובת ה-IP הפרטית (הפנימית) של מסד הנתונים של המקור. כתובת זו תהיה נגישה ליעד Cloud SQL. מידע נוסף זמין במאמר הגדרת קישוריות באמצעות VPC Peering.
לשיטות קישוריות אחרות, כמו רשימת היתרים של כתובות IP, צריך לספק את כתובת ה-IP הציבורית.
- מזינים את היציאה שמשמשת לגישה למארח. יציאת ברירת המחדל של PostgreSQL היא 5432.
- מזינים שם משתמש וסיסמה למסד הנתונים של המקור. למשתמש צריכות להיות ההרשאות האלה.
בקטע Connection profile region בדף, בוחרים את האזור שבו רוצים לשמור את פרופיל החיבור.
אופציונלי: אם החיבור מתבצע ברשת ציבורית (באמצעות רשימות היתרים של כתובות IP), מומלץ להשתמש בהצפנת SSL/TLS לחיבור בין מסד הנתונים של המקור למסד הנתונים של היעד.
בקטע Secure your connection (אבטחת החיבור), ברשימה Encryption type (סוג ההצפנה), אפשר לבחור אחת מהאפשרויות הבאות להגדרת SSL/TLS:
- ללא: מופע היעד של Cloud SQL מתחבר למסד הנתונים של המקור ללא הצפנה. מומלץ לא להשתמש באפשרות הזו אם מסד הנתונים שלכם דורש חיבורים מוצפנים.
- בסיסי: מכונת היעד של Cloud SQL מתחברת למסד הנתונים של המקור עם הצפנה, אבל לא מאמתת את רשות האישורים (CA).
אימות TLS: כשמופע היעד של Cloud SQL מתחבר למסד הנתונים של המקור, המופע מאמת את המקור כדי לוודא שהוא מתחבר למארח הנכון בצורה מאובטחת. כך נמנעות מתקפות מסוג אדם בתווך (PITM). באימות TLS, המקור לא מאמת את המופע.
כדי להשתמש באימות TLS, צריך לספק את אישור ה-CA בקידוד PEM של x509 שחתם על האישור של השרת החיצוני.
- mTLS: כשמופע היעד מתחבר למקור, המופע מאמת את המקור והמקור מאמת את המופע.
אימות mTLS מספק את האבטחה החזקה ביותר. עם זאת, אם לא רוצים לספק את אישור הלקוח והמפתח הפרטי כשיוצרים את מכונת היעד של Cloud SQL, עדיין אפשר להשתמש באימות TLS.
כדי להשתמש באימות mTLS, צריך לספק את הפריטים הבאים כשיוצרים את פרופיל החיבור ליעד:
- אישור ה-CA שחתם על האישור של שרת מסד הנתונים של המקור (אישור CA).
- האישור שבו המופע משתמש כדי לבצע אימות מול שרת מסד הנתונים של המקור (אישור הלקוח).
- המפתח הפרטי שמשויך לאישור הלקוח (מפתח הלקוח).
לוחצים על יצירה בתחתית הדף.
מופיע הדף פרופילי חיבור, ופרופיל החיבור החדש מוצג.