בחירה של אופן ההתחברות ל-Cloud SQL

בדף הזה מוסברות הדרכים שבהן אפשר להתחבר למכונת Cloud SQL.

לפני שמתחברים למופע Cloud SQL, צריך להחליט איך לפרוס ולהגדיר את מופע Cloud SQL ואת משאבי הרשת התומכים. אם מופע Cloud SQL שלכם כבר הוגדר ונפרס, הדף הזה יעזור לכם להבין את הדרכים השונות שבהן תוכלו לחבר את הלקוחות שלכם למופע הקיים.

סוג כתובת ה-IP: פרטית או ציבורית

כשיוצרים את מכונת Cloud SQL בפעם הראשונה, אפשר לבחור אם להגדיר את המכונה עם כתובת IP ציבורית, עם כתובת IP פרטית או עם שילוב של שתיהן.

אתם בוחרים את הגדרת כתובת ה-IP של המופע בהתאם לדרישות האפליקציה. אחרי שמגדירים את המופע, מציינים מחרוזת חיבור של לקוח עם כתובת IP ציבורית, כתובת IP פרטית או במקרים מסוימים שם DNS.

כתובת IP פרטית כתובת IP ציבורית
תיאור כתובת IP פנימית, רק ברשת של ענן וירטואלי פרטי (VPC) (פרטית) כתובת IP חיצונית (ציבורית) שאפשר לגשת אליה דרך האינטרנט
נקודות החלטה

האם אתם צריכים להתחבר מלקוחות שמארחים ברשתות VPC Google Cloud או מלקוחות שיש להם גישה לרשתות VPC האלה?

אם כן, בוחרים כתובת IP פרטית למופע.

האם אתם צריכים להתחבר מלקוחות מחוץ לרשת ה-VPC‏ Google Cloudדרך האינטרנט הציבורי?

אם כן, בוחרים כתובת IP ציבורית למכונה.
אפשרויות הגדרה

יש תמיכה בסוגים הבאים של הגדרות רשת פרטית:

כשמתחברים ישירות למכונה באמצעות כתובת IP ציבורית, צריך להגדיר רשתות מורשות.

אפשרות נוספת ומאובטחת יותר להתחבר למופע Cloud SQL שמשתמש בכתובת IP ציבורית היא באמצעות מחבר Cloud SQL (כמו שרת proxy ל-Cloud SQL Auth או אחד ממחברי השפה של Cloud SQL).

הוראות להוספת כתובת IP ציבורית למופע מופיעות במאמר בנושא הגדרת כתובת IP ציבורית.

כדי להתחבר למכונת Cloud SQL באמצעות כתובת IP ציבורית, אפשר להשתמש בלקוח psql או בלקוח אחר שזמין.
סיכום

המלצה: לשיפור האבטחה, מומלץ להגדיר את המכונה עם סוג כתובת IP פרטית, אלא אם יש לכם דרישות ספציפיות למכונת Cloud SQL עם גישה לאינטרנט, או אם אתם מתחברים מלקוח שלא עומד בדרישות ל-VPC.

סוג החיבור: מחבר Cloud SQL או חיבור ישיר

כשמתחברים למופע Cloud SQL, אפשר להשתמש במחבר Cloud SQL או להתחבר ישירות.

מחבר Cloud SQL הוא שרת proxy ל-Cloud SQL Auth או אחד ממחברי השפה של Cloud SQL.

מחבר Cloud SQL חיבור ישיר
תיאור שרת proxy ל-Cloud SQL Auth, שרת proxy בצד הלקוח ו-Cloud SQL Language Connectors, ספריות בצד הלקוח, מספקים גישה פשוטה ומאובטחת למכונות Cloud SQL, במיוחד כשמתחברים למכונה באמצעות כתובת IP ציבורית. חיבור ישיר מלקוח למכונת Cloud SQL מספק חיבור עם זמן אחזור נמוך יותר. אפשר ליצור חיבור ישיר מכתובת IP ציבורית או פרטית.
נקודות החלטה

מחברי Cloud SQL שימושיים בתרחישים הבאים:

  • כשרוצים להתחבר למכונת Cloud SQL באמצעות כתובת IP ציבורית בלי להגדיר רשתות מורשות.
  • כשרוצים להצפין את התנועה אל מסד הנתונים וממנו באופן אוטומטי באמצעות אימות של זהות השרת והלקוח, בלי לנהל אישורי SSL.
  • כשמשתמשים באימות מסד נתונים של IAM ורוצים לרענן אוטומטית את אסימוני הגישה מסוג OAuth 2.0.
  • כשמתחברים מלקוח או מאפליקציה שמשתמשים בכתובת IP ארעית או בכתובת IP שמוקצית באופן דינמי. הגדרה דינמית של כתובות IP יכולה להיות נפוצה באפליקציות של פלטפורמה כשירות (PaaS).

היתרונות של שימוש בקישור ישיר:

  • השהייה נמוכה יותר בהשוואה לחיבורים באמצעות מחברים של Cloud SQL.
  • אין תלות בחבילה או בספרייה נוספת, בניגוד למחברים של Cloud SQL.
  • כשמשתמשים בחיבור ישיר, באחריותכם להגדיר את הגדרות ה-SSL/TLS.
אפשרויות הגדרה

כדי להגדיר אישורי SSL/TLS במכונת Cloud SQL ובצד הלקוח:

  1. בחירת מצב CA של שרת למכונה.
  2. מגדירים את המכונה כך שהצפנת SSL/TLS תהיה חובה לחיבורים במכונה.
  3. יוצרים אישורי לקוח.
  4. מורידים את אישורי השרת והלקוח.
סיכום

כשמתחברים למופע Cloud SQL, אפשר להשתמש במחבר Cloud SQL או להתחבר ישירות מלקוחות.

המלצה כללית: אם אתם מתחברים למופע באמצעות כתובת IP פרטית, השתמשו בחיבור ישיר. מומלץ גם לאכוף SSL ולהגדיר אישורי SSL/TLS לחיבור.

אם אתם מתחברים למכונה באמצעות כתובת IP ציבורית, אתם צריכים להשתמש במחבר Cloud SQL (שרת proxy ל-Cloud SQL Auth או אחד ממחברי השפה של Cloud SQL).

סוג האימות של מסד הנתונים: IAM או מובנה

כשמתחברים למופע, צריך לבצע אימות כמשתמש של מסד נתונים. אפשר לבחור בין אימות מובנה לבין אימות מסד נתונים של IAM.

אימות מסד נתונים ב-IAM אימות מובנה
תיאור אימות מסד נתונים ב-IAM מאפשר לכם לבצע אימות למסדי נתונים באמצעות Google Cloud משתמשים וחשבונות שירות ב-IAM באמצעות אסימוני גישה לטווח קצר במקום סיסמאות. אתם יכולים לנהל את ההרשאות במסד הנתונים באמצעות חשבונות משתמשים ב-IAM, כמו משתמשים, חשבונות שירות וקבוצות. אימות מובנה משתמש בשמות משתמשים וסיסמאות מקומיים במסד הנתונים כדי לאמת משתמשים במסד הנתונים.
נקודות החלטה האם אתם מעדיפים לרכז את ניהול המשתמשים בשירותים של Google Cloudבאמצעות IAM ב- Google Cloud? אם כן, צריך להשתמש באימות מסד נתונים של IAM. האם יש לכם אפליקציות או תהליכי עבודה שמסתמכים על אימות מובנה של מסד נתונים? אם כן, צריך להשתמש באימות מובנה.
אפשרויות הגדרה

אפשר להשתמש באימות מסד נתונים של IAM עבור משתמשי IAM פרטיים, חשבונות שירות פרטיים וקבוצות. מידע נוסף זמין במאמר ניהול משתמשים באמצעות אימות מסד נתונים של IAM .

אם משתמשים במחבר Cloud SQL, המחבר מטפל ברענון האוטומטי של אסימוני הגישה של IAM. מידע נוסף זמין במאמר בנושא אימות אוטומטי של מסד נתונים של IAM.

 אפשר להשתמש באימות מובנה של מסד הנתונים ולהגדיר מדיניות סיסמאות ברמת המופע וברמת המשתמש. מידע נוסף זמין במאמר בנושא אימות מובנה.
סיכום המלצה: אלא אם יש לכם אפליקציות או תהליכי עבודה שתלויים באימות מובנה של מסד נתונים, מומלץ להשתמש באימות מסד נתונים של IAM בכל הזדמנות.

אפשרויות של רשת פרטית כשמשתמשים בכתובת IP פרטית

כשמגדירים את המופע לשימוש בכתובת IP פרטית, אפשר לבחור באפשרויות הבאות של רשתות פרטיות: גישה לשירותים פרטיים, Private Service Connect או שניהם.

תכונות נתמכות

בטבלה הבאה מפורטות התכונות שנתמכות ב-Cloud SQL כשמתחברים למופע שהוגדר עם אחת או שתי האפשרויות של רשת פרטית.

תכונה מופע עם גישה לשירותים פרטיים בלבד מופע עם Private Service Connect בלבד מופע עם גישה לשירותים פרטיים ו-Private Service Connect
התחברות ממספר רשתות VPC לא נתמך. יש תמיכה. התמיכה מתבצעת באמצעות נקודת הקצה של Private Service Connect.
pglogical, ‏PL/Proxy, ‏dblink וגם postgres_fdw תוספים יש תמיכה. לא נתמך. התמיכה מתבצעת באמצעות קישוריות יוצאת לגישה לשירותים פרטיים.
רפליקות חיצוניות יש תמיכה. לא נתמך. התמיכה מתבצעת באמצעות קישוריות יוצאת לגישה לשירותים פרטיים.
נקודת קצה לכתיבה יש תמיכה. לא נתמך. יש תמיכה בגישה לשירותים פרטיים.
שינוי רשת ה-VPC המשויכת לגישה לשירותים פרטיים יש תמיכה. לא רלוונטי. לא אפשרי בגישה לשירותים פרטיים כי במופע מופעל Private Service Connect. לא רלוונטי ל-Private Service Connect.
חשיפה של כתובת ה-IP של הלקוח ל-Cloud SQL יש תמיכה. לא נתמך. התמיכה מתבצעת באמצעות כתובת ה-IP של הגישה לשירותים פרטיים. לא נתמך בשימוש בנקודת הקצה של Private Service Connect.

הסרת אפשרויות רשת ממופע

‫Cloud SQL תומך בהסרה של אפשרויות הרשת הבאות ממופע:

  • כתובת IP ציבורית ממכונה עם גישה לשירותים פרטיים וכתובת IP ציבורית
  • כתובת IP ציבורית ממופע עם כתובת IP ציבורית, גישה לשירותים פרטיים ו-Private Service Connect
  • ‫Private Service Connect ממופע עם גישה ל-Private Service Connect ולגישה לשירותים פרטיים
  • ‫Private Service Connect ממופע עם Private Service Connect, גישה לשירותים פרטיים וכתובת IP ציבורית

הפעלת אפשרויות רשת למכונה

אפשר להפעיל ב-Cloud SQL את אפשרויות החיבור הבאות למופעים:

  • גישה לשירותים פרטיים במכונה עם כתובת IP ציבורית בלבד
  • ‫Private Service Connect במופע עם גישה לשירותים פרטיים בלבד
  • ‫Private Service Connect במכונה עם גישה לשירותים פרטיים וכתובת IP ציבורית
  • כתובת IP ציבורית במופע עם גישה לשירותים פרטיים בלבד

מגבלות

  • אי אפשר ליצור מכונה עם כתובת IP ציבורית ועם Private Service Connect.
  • אי אפשר להסיר גישה לשירותים פרטיים ממופע עם גישה לשירותים פרטיים ו-Private Service Connect.
  • אי אפשר להסיר גישה לשירותים פרטיים ממופע עם גישה לשירותים פרטיים וכתובת IP ציבורית.
  • אם יש לכם מופע שמשתמש רק בכתובת IP ציבורית, לא תוכלו להפעיל בו בו-זמנית גישה לשירותים פרטיים ו-Private Service Connect. קודם מפעילים גישה לשירותים פרטיים, ואז מפעילים את Private Service Connect.
  • אי אפשר להשתמש ברשתות מורשות כדי להוסיף לרשימת ההיתרים כתובות IP של מכונות Private Service Connect.

כלים להתחברות ל-Cloud SQL

בטבלה הבאה מפורטות כמה אפשרויות לחיבור ל-Cloud SQL:

אפשרות חיבור מידע נוסף
שרת proxy ל-Cloud SQL Auth
ה-CLI של gcloud
מחברים של שפות ל-Cloud SQL
Cloud Shell
Cloud Code
חיבור באמצעות כלים לניהול מסדי נתונים של צד שלישי
pgAdmin
Toad Edge
Blendo

פתרון בעיות

אם נתקלתם בבעיות בחיבור, כדאי לעיין בדפים הבאים כדי לקבל עזרה בניפוי באגים או למצוא פתרונות לבעיות ידועות:

המאמרים הבאים