Mengonfigurasi IP pribadi

Halaman ini menjelaskan cara mengonfigurasi instance Cloud SQL untuk menggunakan IP pribadi.

Untuk informasi lebih lanjut terkait cara kerja IP pribadi serta persyaratan lingkungan dan pengelolaan, lihat IP Pribadi.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Service Networking API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. Instal gcloud CLI.

  7. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  8. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  11. Verify that billing is enabled for your Google Cloud project.

  12. Enable the Service Networking API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  13. Instal gcloud CLI.

  14. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  15. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat dan mengelola koneksi akses layanan pribadi, minta administrator untuk memberi Anda peran IAM Compute Network Admin (roles/compute.networkAdmin) di project tempat Anda berencana menghosting instance Cloud SQL. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola koneksi akses layanan pribadi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola koneksi akses layanan pribadi:

  • compute.addresses.create
  • compute.addresses.list
  • compute.globalAddresses.create
  • compute.globalAddresses.createInternal
  • compute.globalAddresses.list
  • compute.networks.list
  • compute.networks.use
  • servicenetworking.services.addPeering
  • serviceusage.services.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Akses layanan pribadi

Saat membuat jaringan Virtual Private Cloud (VPC) baru di project, Anda harus mengonfigurasi akses layanan pribadi untuk mengalokasikan rentang alamat IP dan membuat koneksi akses layanan pribadi. Tindakan ini memungkinkan resource dalam jaringan VPC untuk terhubung ke instance Cloud SQL. Konsol Google Cloud menyediakan wizard untuk membantu Anda menyiapkan konfigurasi ini.

Mengonfigurasi instance untuk menggunakan IP pribadi

Anda dapat mengonfigurasi instance Cloud SQL untuk menggunakan IP pribadi saat Anda membuat instance atau untuk instance yang sudah ada.

Mengonfigurasi IP pribadi untuk instance baru

Untuk mengonfigurasi instance Cloud SQL agar menggunakan IP pribadi saat membuat instance:

Konsol

  1. Di Konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Klik Create instance.
  3. Luaskan Show configuration options.
  4. Luaskan Connections.
  5. Pilih Private IP.

    Menu drop-down menampilkan jaringan VPC yang tersedia di project Anda. Jika project Anda adalah project layanan dari VPC Bersama, maka jaringan VPC dari project host juga akan ditampilkan.

  6. Pilih jaringan VPC yang ingin Anda gunakan.

    7. Jika menemukan pesan yang mengatakan bahwa Anda perlu menyiapkan koneksi layanan pribadi, lakukan langkah berikut:

    1. Klik Siapkan koneksi.
    2. Pada bagian Mengalokasikan rentang IP, pilih salah satu opsi berikut:
      • Pilih salah satu atau beberapa rentang IP yang masih ada, atau buat yang baru dari dropdown. Dropdown menyertakan rentang yang dialokasikan sebelumnya, jika ada, atau Anda dapat memilih Allocate a new IP range dan memasukkan rentang dan nama baru.
      • Gunakan rentang IP yang dialokasikan secara otomatis dalam jaringan Anda.
    3. Klik Lanjutkan.
    4. Klik Buat koneksi.
    5. Pastikan bahwa Anda melihat pesan tersebut: Private service connection for network VPC_NETWORK_NAME has been successfully created.
  7. Secara opsional, Anda dapat menentukan rentang IP yang dialokasikan untuk instance yang akan digunakan untuk koneksi.
    1. Luaskan Tampilkan opsi rentang IP yang dialokasikan.
    2. Pilih rentang IP dari menu drop-down.
  8. Selesaikan konfigurasi instance.
  9. Klik Create instance.

gcloud

Sebelum membuat instance menggunakan alamat IP pribadi, pastikan project Anda terlah sudah dikonfigurasi untuk akses layanan pribadi.

Sebelum menggunakan data permintaan apa pun, buat pergantian berikut:

  • INSTANCE_ID: ID instance
  • PROJECT_ID: ID project

  • NETWORK_PROJECT_ID: ID project jaringan VPC

  • VPC_NETWORK_NAME: Nama jaringan VPC
  • RANGE_NAME: Opsional. Jika ditentukan, tetapkan nama rentang yang dialokasikan untuk rentang IP. Nama rentang harus mengikuti RFC-1035 dan mengandung 1-63 karakter.
  • REGION_NAME: Nama region
Untuk menentukan nama jaringan VPC Anda, gunakan paramater --network. Untuk menonaktifkan IP publik, gunakan flag --no-assign-ip.

Untuk menerapkan penggunaan arsitektur jaringan baru untuk instance, gunakan flag --enforce-new-sql-network-architecture. Pastikan Anda telah mengalokasikan alamat IP yang cukup. Saat menggunakan penerapan arsitektur jaringan baru sebelum project diupgrade sepenuhnya, Anda mungkin mengalami kegagalan pembuatan instance jika ruang alamat IP yang tersedia tidak mencukupi. Untuk mengetahui informasi selengkapnya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP. 

gcloud beta sql instances create INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--allocated-ip-range-name=RANGE_NAME \
--enforce-new-sql-network-architecture

Terraform

Untuk mengonfigurasi IP pribadi bagi instance baru, gunakan resource Terraform berikut:


resource "google_compute_network" "peering_network" {
  name                    = "private-network"
  auto_create_subnetworks = "false"
}

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

resource "google_sql_database_instance" "instance" {
  name             = "private-ip-sql-instance"
  region           = "us-central1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"

  depends_on = [google_service_networking_connection.default]

  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.peering_network.id
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

resource "google_compute_network_peering_routes_config" "peering_routes" {
  peering              = google_service_networking_connection.default.peering
  network              = google_compute_network.peering_network.name
  import_custom_routes = true
  export_custom_routes = true
}


## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.id
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Menerapkan perubahan

Untuk menerapkan konfigurasi Terraform di project, selesaikan langkah-langkah di bagian berikut. Google Cloud

Menyiapkan Cloud Shell

  1. Luncurkan Cloud Shell.

  2. Tetapkan project Google Cloud default tempat Anda ingin menerapkan konfigurasi Terraform.

    Anda hanya perlu menjalankan perintah ini sekali per project, dan dapat dijalankan di direktori mana pun.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Variabel lingkungan akan diganti jika Anda menetapkan nilai eksplisit dalam file konfigurasi Terraform.

Menyiapkan direktori

Setiap file konfigurasi Terraform harus memiliki direktorinya sendiri (juga disebut modul root).

  1. Di Cloud Shell, buat direktori dan file baru di dalam direktori tersebut. Nama file harus memiliki ekstensi .tf—misalnya main.tf. Dalam tutorial ini, file ini disebut sebagai main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Jika mengikuti tutorial, Anda dapat menyalin kode contoh di setiap bagian atau langkah.

    Salin kode contoh ke dalam main.tf yang baru dibuat.

    Atau, salin kode dari GitHub. Tindakan ini direkomendasikan jika cuplikan Terraform adalah bagian dari solusi menyeluruh.

  3. Tinjau dan ubah contoh parameter untuk diterapkan pada lingkungan Anda.
  4. Simpan perubahan Anda.
  5. Lakukan inisialisasi Terraform. Anda hanya perlu melakukan ini sekali per direktori. 
    terraform init

    Secara opsional, untuk menggunakan versi penyedia Google terbaru, sertakan opsi -upgrade: 

    terraform init -upgrade

Menerapkan perubahan

  1. Tinjau konfigurasi dan pastikan resource yang akan dibuat atau diupdate oleh Terraform sesuai yang Anda inginkan: 
    terraform plan

    Koreksi konfigurasi jika diperlukan.

  2. Terapkan konfigurasi Terraform dengan menjalankan perintah berikut dan memasukkan yes pada prompt: 
    terraform apply

    Tunggu hingga Terraform menampilkan pesan "Apply complete!".

  3. Buka Google Cloud project Anda untuk melihat hasilnya. Di konsol Google Cloud , buka resource Anda di UI untuk memastikan bahwa Terraform telah membuat atau mengupdatenya.

Menghapus perubahan

Untuk menghapus perubahan Anda, lakukan langkah-langkah berikut:

  1. Untuk menonaktifkan perlindungan penghapusan, di file konfigurasi Terraform Anda, tetapkan argumen deletion_protection ke false. 
    deletion_protection =  "false"
  2. Terapkan konfigurasi Terraform dengan menjalankan perintah berikut dan memasukkan yes pada prompt: 
    terraform apply

  1. Hapus resource yang sebelumnya diterapkan dengan konfigurasi Terraform Anda dengan menjalankan perintah berikut dan memasukkan yes pada prompt:

    terraform destroy

REST v1

Buat instance baru dengan alamat IP pribadi:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: Project ID
  • INSTANCE_ID: ID instance
  • VPC_NETWORK_NAME: Tentukan nama jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk instance ini. Akses layanan pribadi sudah harus dikonfigurasi untuk jaringan tersebut.
  • RANGE_NAME: Opsional. Jika ditentukan, tetapkan nama rentang yang dialokasikan untuk rentang IP. Nama rentang harus sesuai dengan RFC-1035 dan berisi 1-63 karakter.
  • AUTHORIZED_NETWORKS: Untuk koneksi IP publik, tentukan koneksi dari jaringan resmi yang dapat terhubung ke instance Anda.

Untuk parameter ipv4Enabled, tetapkan nilai ke true jika Anda menggunakan alamat IP publik untuk instance atau false jika instance Anda memiliki alamat IP pribadi.

Anda dapat menggunakan kolom sqlNetworkArchitecture untuk menerapkan penggunaan arsitektur jaringan baru untuk instance saat pembuatan, meskipun project belum diupgrade sepenuhnya. Untuk mengetahui detail selengkapnya tentang arsitektur jaringan baru dan implikasinya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP.

Metode HTTP dan URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

Meminta isi JSON: 

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

Buat instance baru dengan alamat IP pribadi:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: Project ID
  • INSTANCE_ID: ID instance
  • VPC_NETWORK_NAME: Tentukan nama jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk instance ini. Akses layanan pribadi sudah harus dikonfigurasi untuk jaringan tersebut.
  • RANGE_NAME: Opsional. Jika ditentukan, tetapkan nama rentang yang dialokasikan untuk rentang IP. Nama rentang harus sesuai dengan RFC-1035 dan berisi 1-63 karakter.
  • AUTHORIZED_NETWORKS: Untuk koneksi IP publik, tentukan koneksi dari jaringan resmi yang dapat terhubung ke instance Anda.

Untuk parameter ipv4Enabled, tetapkan nilai ke true jika Anda menggunakan alamat IP publik untuk instance atau false jika instance Anda memiliki alamat IP pribadi.

Anda dapat menggunakan kolom sqlNetworkArchitecture untuk menerapkan penggunaan arsitektur jaringan baru untuk instance saat pembuatan, meskipun project belum diupgrade sepenuhnya. Untuk mengetahui detail selengkapnya tentang arsitektur jaringan baru dan implikasinya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP.

Metode HTTP dan URL: 

POST https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances

Meminta isi JSON: 

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Mengonfigurasi IP pribadi untuk instance yang sudah ada

Mengonfigurasi instance Cloud SQL yang sudah ada untuk menggunakan IP pribadi akan menyebabkan instance dimulai ulang sehingga menyebabkan periode nonaktif.

Untuk mengonfigurasi instance yang sudah ada menggunakan IP pribadi:

Konsol

  1. Di Konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance tersebut.
  3. Pilih Koneksi dari menu navigasi Cloud SQL.
  4. Di tab Networking, centang kotak Private IP.

    Menu drop-down menampilkan jaringan apa saja yang ada di project Anda.

  5. Pilih jaringan VPC yang ingin Anda gunakan:

    6. Apabila Anda melihat Private service connection diperlukan:

    1. Klik Siapkan koneksi.
    2. Pada bagian Alokasikan rentang IP, pilih salah satu opsi berikut:
      • Pilih satu atau beberapa rentang IP yang ada, atau buat yang baru dari menu dropdown. Drop-down menyertakan rentang yang dialokasikan sebelumnya, jika ada, atau Anda dapat memilih Allocate a new IP range dan memasukkan rentang dan nama baru.
      • Gunakan rentang IP yang dialokasikan secara otomatis dalam jaringan Anda.
    3. Klik Lanjutkan.
    4. Klik Buat koneksi.
    5. Pastikan Anda melihat status Private service connection untuk jaringan VPC_NETWORK_NAME telah berhasil dibuat.
  6. Klik Simpan.

gcloud

Pastikan project Anda dikonfigurasi untuk akses layanan pribadi.

Perbarui instance Cloud SQL dengan menggunakan parameter --network untuk menentukan nama jaringan VPC yang dipilih.

Untuk menerapkan penggunaan arsitektur jaringan baru bagi instance saat Anda menambahkan konfigurasi jaringan IP pribadi, gunakan flag --enforce-new-sql-network-architecture. Pastikan Anda telah mengalokasikan ruang alamat IP yang cukup dalam rentang IP Anda. Saat menggunakan penerapan arsitektur jaringan baru sebelum project diupgrade sepenuhnya, Anda mungkin mengalami kegagalan pembuatan instance jika ruang alamat IP yang tersedia tidak mencukupi.

Untuk mengetahui informasi selengkapnya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP.

gcloud beta sql instances patch INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--enforce-new-sql-network-architecture

REST v1

Buat instance baru dengan alamat IP pribadi:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: Project ID
  • INSTANCE_ID: ID instance
  • VPC_NETWORK_NAME: Tentukan nama jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk instance ini. Akses layanan pribadi sudah harus dikonfigurasi untuk jaringan tersebut.
  • RANGE_NAME: Opsional. Jika ditentukan, tetapkan nama rentang yang dialokasikan untuk rentang IP. Nama rentang harus sesuai dengan RFC-1035 dan berisi 1-63 karakter.
  • AUTHORIZED_NETWORKS: Untuk koneksi IP publik, tentukan koneksi dari jaringan resmi yang dapat terhubung ke instance Anda.

Untuk parameter ipv4Enabled, tetapkan nilai ke true jika Anda menggunakan alamat IP publik untuk instance atau false jika instance Anda memiliki alamat IP pribadi.

Anda dapat menggunakan kolom sqlNetworkArchitecture untuk menerapkan penggunaan arsitektur jaringan baru untuk instance saat pembuatan, meskipun project belum diupgrade sepenuhnya. Untuk mengetahui detail selengkapnya tentang arsitektur jaringan baru dan implikasinya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP.

Metode HTTP dan URL: 

PATCH https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID

Meminta isi JSON: 

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

Buat instance baru dengan alamat IP pribadi:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: Project ID
  • INSTANCE_ID: ID instance
  • VPC_NETWORK_NAME: Tentukan nama jaringan Virtual Private Cloud (VPC) yang ingin Anda gunakan untuk instance ini. Akses layanan pribadi sudah harus dikonfigurasi untuk jaringan tersebut.
  • RANGE_NAME: Opsional. Jika ditentukan, tetapkan nama rentang yang dialokasikan untuk rentang IP. Nama rentang harus sesuai dengan RFC-1035 dan berisi 1-63 karakter.
  • AUTHORIZED_NETWORKS: Untuk koneksi IP publik, tentukan koneksi dari jaringan resmi yang dapat terhubung ke instance Anda.

Untuk parameter ipv4Enabled, tetapkan nilai ke true jika Anda menggunakan alamat IP publik untuk instance atau false jika instance Anda memiliki alamat IP pribadi.

Anda dapat menggunakan kolom sqlNetworkArchitecture untuk menerapkan penggunaan arsitektur jaringan baru untuk instance saat pembuatan, meskipun project belum diupgrade sepenuhnya. Untuk mengetahui detail selengkapnya tentang arsitektur jaringan baru dan implikasinya, lihat Mengupgrade instance ke arsitektur jaringan baru dan Mengalokasikan rentang alamat IP.

Metode HTTP dan URL: 

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

Meminta isi JSON: 

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Menghubungkan ke instance menggunakan IP pribadi

Anda menggunakan akses layanan pribadi untuk terhubung ke instance Cloud SQL dari Compute Engine atau instance Google Kubernetes Engine dalam jaringan VPC yang sama (dijelaskan di sini sebagai sources internal) atau dari luar jaringan tersebut (sourceeksternal).

Menghubungkan dari source internal

Untuk terhubung dari sumber dalam Google Cloud project yang sama dengan instance Cloud SQL Anda, seperti Cloud SQL Auth Proxy yang berjalan di resource Compute Engine, resource tersebut harus berada di jaringan VPC yang sama dengan tempat akses layanan pribadi telah dibuat untuk instance Cloud SQL.

Untuk terhubung dari sumber serverless, seperti Lingkungan standar App Engine, Cloud Run, atau fungsi Cloud Run, aplikasi atau fungsi Anda terhubung langsung ke instance melalui Akses VPC Serverless tanpa Proxy Auth Cloud SQL.

Menghubungkan dari source eksternal

Jika jaringan eksternal (misalnya, jaringan lokal atau jaringan VPC) terhubung ke jaringan VPC yang terhubung dengan instance Cloud SQL Anda, Anda dapat menggunakan Cloud VPN atau Cloud Interconnect untuk terhubung ke instance dari klien di jaringan eksternal.

Untuk mengizinkan koneksi dari jaringan eksternal, lakukan hal berikut:

  1. Pastikan jaringan VPC Anda terhubung ke jaringan eksternal menggunakan tunnel Cloud VPN atau lampiran VLAN untuk Dedicated Interconnect atau Partner Interconnect.
  2. Pastikan sesi Border Gateway Protocol (BGP) pada Cloud Routers yang mengelola tunnel Cloud VPN dan lampiran Cloud Interconnect (VLAN) sudah menerima awalan (tujuan) tertentu dari jaringan lokal Anda.

    Rute default (tujuan 0.0.0.0/0) tidak dapat diimpor ke jaringan VPC Cloud SQL karena jaringan tersebut memiliki rute default lokal sendiri. Rute lokal untuk suatu tujuan digunakan meskipun peering Cloud SQL sudah dikonfigurasikan untuk mengimpor rute khusus dari jaringan VPC Anda.

  3. Mengidentifikasi koneksi peering yang dihasilkan oleh koneksi layanan pribadi. Koneksi layanan pribadi mungkin membuat salah satu atau beberapa koneksi peering berikut ini, namun tidak semuanya berasal dari satu koneksi yang sama tergantung pada layanan:
    • cloudsql-mysql-googleapis-com
    • cloudsql-postgres-googleapis-com
    • servicenetworking-googleapis-com
  4. Perbarui semua koneksi peering untuk mengaktifkan Rute kustom ekspor.
  5. Mengidentifikasi penggunaan rentang yang dialokasikan oleh koneksi layanan pribadi.
  6. Konfigurasi mode pemberitahuan kustom Cloud Router untuk rentang yang dialokasikan pada Cloud Router yang mengelola sesi BGP untuk tunnel Cloud VPN Anda atau lampiran Cloud Interconnect (VLAN).

Hubungkan dari Cloud Shell

Cloud Shell menggunakan virtual machine Compute Engine yang dikelola oleh Google Cloud dan berada di luar jaringan VPC Anda. Oleh karena itu, jalur konektivitas tidak ada antara Cloud Shell dan ruang alamat IP pribadi jaringan VPC Anda.

Akibatnya, Cloud Shell tidak mendukung koneksi ke instance Cloud SQL yang hanya memiliki alamat IP pribadi.

Untuk terhubung ke instance Cloud SQL dari jaringan eksternal menggunakan konektivitas IP Pribadi, lihat Menghubungkan ke instance Cloud SQL dari luar VPC-nya.

Menghubungkan dari alamat IP non-RFC 1918

RFC 1918 menentukan alamat IP yang ditetapkan untuk digunakan secara internal (yaitu, dalam organisasi) dan tidak akan dirutekan di internet. Secara khusus, yaitu:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Koneksi ke instance Cloud SQL yang menggunakan alamat IP pribadi akan otomatis diizinkan untuk rentang alamat RFC 1918. Dengan cara ini, semua klien pribadi dapat mengakses database tanpa melalui proxy.

Untuk terhubung dari alamat IP non-RFC 1918, Anda harus menetapkan otorisasi IP per instance untuk mengizinkan traffic dari rentang alamat IP non-RFC 1918.

Misalnya, gunakan perintah gcloud seperti berikut:

gcloud sql instances patch INSTANCE_NAME \
--authorized-networks=192.88.99.0/24,11.0.0.0/24

Secara default, Cloud SQL tidak mempelajari rute subnet non-RFC 1918 dari jaringan VPC Anda. Anda harus memperbarui peering jaringan ke Cloud SQL untuk mengekspor rute non-RFC 1918.

gcloud compute networks peerings update PEERING_CONNECTION \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

    Ganti kode berikut:

  • PEERING_CONNECTION adalah nama koneksi peering yang dihasilkan oleh koneksi layanan pribadi antara jaringan VPC Anda dan jaringan produsen layanan.
  • VPC_NETWORK_NAME adalah nama jaringan VPC Anda.
  • PROJECT_ID adalah ID project jaringan VPC. Jika Anda menggunakan VPC Bersama, maka gunakan ID project host.

Untuk meminimalkan kehabisan alamat IP, Anda dapat menggunakan alamat IP publik yang digunakan secara pribadi.

Terhubung dari alamat IP yang digunakan secara pribadi

Jika ingin mengonfigurasi instance dalam rentang alamat IP publik yang digunakan secara pribadi, aktifkan export-subnet-routes-with-public-ip pada peering jaringan antara jaringan Anda dan jaringan Cloud SQL.

gcloud compute networks peerings update PEERING_CONNECTION \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

    Ganti kode berikut:

  • PEERING_CONNECTION adalah nama koneksi peering yang dihasilkan oleh koneksi layanan pribadi antara jaringan VPC Anda dan jaringan produsen layanan. Untuk mengetahui nama koneksi peering tersebut, buka halaman peering jaringan VPC.
  • VPC_NETWORK_NAME adalah nama jaringan VPC Anda.
  • PROJECT_ID adalah ID project jaringan VPC. Jika Anda menggunakan VPC Bersama, maka gunakan ID project host.

Menghubungkan ke instance yang dikonfigurasi dengan alamat IP publik yang digunakan secara pribadi

Jika instance Anda dikonfigurasi dalam rentang alamat IP publik yang digunakan secara pribadi dan Anda ingin menghubungkannya, maka aktifkan import-subnet-routes-with-public-ip pada peering jaringan antara jaringan Anda dan jaringan Cloud SQL.

gcloud compute networks peerings update PEERING_CONNECTION \
--network=VPC_NETWORK_NAME \
--import-subnet-routes-with-public-ip \
--project=PROJECT_ID

Ganti kode berikut:

  • PEERING_CONNECTION adalah nama koneksi peering yang dihasilkan oleh koneksi layanan pribadi antara jaringan VPC Anda dan jaringan produsen layanan. Untuk mengetahui nama koneksi peering tersebut, buka halaman peering jaringan VPC.
  • VPC_NETWORK_NAME adalah nama jaringan VPC Anda.
  • PROJECT_ID adalah ID project jaringan VPC. Gunakan ID project host jika Anda menggunakan VPC Bersama.

Menghubungkan menggunakan endpoint tulis

Selain alamat IP pribadi, Anda dapat menggunakan endpoint tulis dalam string koneksi SQL. Endpoint tulis adalah nama layanan nama domain (DNS) global yang otomatis di-resolve ke alamat IP instance utama saat ini. Dengan menggunakan endpoint tulis, Anda dapat menghindari perubahan koneksi aplikasi saat terjadi kegagalan region.

Jika terjadi pengalihan atau peralihan replika, endpoint tulis dapat membantu mengelola alamat IP pribadi instance. Jika hal ini terjadi, gunakan endpoint tulis untuk terhubung ke instance yang bertindak sebagai instance utama.

Cara Cloud SQL membuat endpoint tulis

Jika Anda mengaktifkan Cloud DNS API untuk Google Cloud project, lalu Anda membuat instance edisi Cloud SQL Enterprise Plus utama, mempromosikan replika untuk instance, atau mengupgrade instance dari edisi Cloud SQL Enterprise, Cloud SQL akan membuat endpoint tulis secara otomatis dan menetapkannya ke instance.

Untuk mengetahui informasi selengkapnya, lihat Melihat endpoint tulis.

Menetapkan endpoint tulis ke instance

Jika Anda tidak mengaktifkan Cloud DNS API untuk project Google Cloud , lalu Anda membuat, mempromosikan, atau mengupgrade instance, Cloud SQL tidak akan otomatis menetapkan endpoint tulis ke instance.

Agar Cloud SQL membuat endpoint tulis dan menetapkannya ke instance, lihat Membuat endpoint tulis.

Batasan Layanan Terkelola untuk Microsoft Active Directory

Jika region instance primer asli tidak tersedia dan Managed Service for Microsoft Active Directory diaktifkan, maka endpoint tulis instance primer yang baru dipromosikan tidak dapat digunakan dengan autentikasi Managed Microsoft AD untuk terhubung setelah operasi failover.

Dukungan untuk endpoint tulis edisi Cloud SQL Enterprise Plus di seluruh kepercayaan lintas hutan

VM yang bergabung dengan lokal mengandalkan perutean akhiran nama untuk autentikasi. Endpoint tulis instance edisi Cloud SQL Enterprise Plus, yang dikelola oleh Cloud SQL, menggunakan format nama host yang berbeda, misalnya, *.sql-psa.goog.

Jika endpoint tulis yang terkait dengan instance edisi Cloud SQL Enterprise Plus Anda beroperasi dari domain yang terhubung melalui hubungan kepercayaan, format koneksi ini dapat mencegah domain lokal menemukan domain otoritatif untuk Nama Prinsipal Layanan secara otomatis.

Untuk mengatasi masalah ini, Anda perlu menambahkan akhiran domain yang dikelola Cloud SQL yang relevan (misalnya, goog atau sql-psa.goog) sebagai akhiran UPN alternatif. Anda harus menambahkan akhiran ini, di tingkat forest, dalam Active Directory domain terkelola menggunakan akun setupadmin:

  1. Di Active Directory terkelola, selesaikan langkah-langkah berikut:
    1. Di jendela Server Manager, pilih Tools. Kemudian, pilih Active Directory Domains and Trusts.
    2. Di panel, klik kanan Active Directory Domains and Trusts (root node).
    3. Kemudian, pilih Properti.
    4. Di tab UPN Suffixes, masukkan akhiran UPN alternatif (misalnya, sql-psa.goog).
    5. Klik Tambahkan.
    6. Klik Terapkan.
    7. Klik Oke.
  2. Di Active Directory lokal Anda, selesaikan langkah-langkah berikut:
    1. Di jendela Server Manager, pilih Tools, lalu pilih Active Directory Domains and Trusts.
    2. Di panel, klik kanan nama domain dan kepercayaan AD terkelola Anda. Ini adalah domain terkelola tertentu yang memiliki kepercayaan ke domain lokal Anda.
    3. Pilih Properties, lalu buka tab Trusts.
    4. Di bagian Domain yang dipercaya oleh domain ini (kepercayaan keluar) atau Domain yang mempercayai domain ini (kepercayaan masuk), pilih entri untuk nama domain terkelola Anda, lalu klik Properti.
    5. Buka tab Name Suffix Routing, lalu klik Refresh.
    6. Temukan dan pilih sufiks nama yang baru ditambahkan, seperti sql-psa.goog lalu klik Aktifkan.
    7. Klik Terapkan dan Oke di semua dialog yang tersisa.

Memecahkan masalah

Lihat memecahkan masalah untuk masalah konektivitas yang diketahui, dan juga proses debug masalah koneksi untuk mendapatkan bantuan diagnostik mandiri.

Langkah berikutnya