从 Cloud Run 连接到 Cloud SQL for SQL Server

MySQL | PostgreSQL | SQL Server

了解如何使用 Google Cloud 控制台和客户端应用在连接到 SQL Server 实例的 Cloud Run 上部署示例应用。

假设您及时完成所有步骤，则本快速入门中所创建资源的费用通常不会超过 1 美元 (USD)。

准备工作

登录您的 Google Cloud 账号。如果您是 Google Cloud新手，请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

验证您是否拥有完成本快速入门所需的权限。
启用在 Cloud Run 上运行 Cloud SQL 示例应用所需的 Cloud API。
控制台

点击启用 API 以启用本快速入门所需的 API。

启用 API

这将启用以下 API：
- Compute Engine API
- Cloud SQL Admin API
- Cloud Run API
- Container Registry API
- Cloud Build API
- Service Networking API
gcloud

点击以下按钮打开 Cloud Shell，以通过命令行直接在浏览器中访问您的 Google Cloud 资源。Cloud Shell 可用于运行本快速入门中介绍的 gcloud 命令。

打开 Cloud Shell

使用 Cloud Shell 运行以下 gcloud 命令：
```
gcloud services enable compute.googleapis.com sqladmin.googleapis.com run.googleapis.com \
containerregistry.googleapis.com cloudbuild.googleapis.com servicenetworking.googleapis.com
```
此命令会启用以下 API：
- Compute Engine API
- Cloud SQL Admin API
- Cloud Run API
- Container Registry API
- Cloud Build API
- Service Networking API

所需的角色

如需获得在连接到 SQL Server 实例的 Cloud Run 上部署示例应用所需的权限，请让管理员向您授予您要使用的项目的以下 IAM 角色：

创建或删除实例、数据库和用户： Cloud SQL 管理员角色 (roles/cloudsql.admin)。
创建或删除 IAM 服务账号： Service Account Administrator 角色 (roles/iam.serviceAccountAdmin)。
创建连接：
- Service Networking Admin (roles/servicenetworking.networksAdmin))
- Service Usage Admin (roles/serviceusage.serviceUsageAdmin)。
查看对象及其元数据： Storage Object Viewer (roles/storage.objectViewer)
提供管理项目政策的权限： Project IAM Admin (roles/resourcemanager.projectIamAdmin)。
拥有对所有 Cloud Run 资源的读取和写入权限： Cloud Run 开发者 (roles/run.developer)。
部署和管理 Cloud Run 源部署资源： Cloud Run Source Developer (roles/run.sourceDeveloper)。
如需允许公开访问，您需要拥有以下权限： Cloud Run Admin (roles/run.admin)。
如需以服务账号身份运行操作： Service Account User (roles/iam.serviceAccountUser)。

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

设置 Cloud SQL

创建 Cloud SQL 实例

公共 IP

请按以下步骤设置一个您可以通过公共 IP 连接到的 Cloud SQL 实例：

Cloud Run 不支持通过公共 IP 地址连接到 Cloud SQL for SQL Server。请改用专用 IP。

专用 IP

请按以下步骤设置一个可通过专用 IP 连接的 Cloud SQL 实例：

控制台

分配 IP 地址范围并创建专用连接，以便为 Cloud SQL 配置专用服务访问通道

在 Google Cloud 控制台中，前往 VPC 网络页面。

转到 VPC 网络页面
选择 default VPC 网络。
选择专用服务连接标签页。
选择为服务分配的 IP 范围标签页。
点击分配 IP 范围。
对于已分配的范围的名称，请指定 google-managed-services-default。
选择 IP 地址范围的自动选项，并将前缀长度指定为 16。
点击分配以创建分配的范围。
选择 default VPC 网络的连到服务的专用连接标签页。
点击创建连接以在您的网络与服务提供方之间创建专用连接。
对于指定的分配范围，请选择 google-managed-services-default。
点击连接以创建连接。

创建具有专用 IP 地址且启用了 SSL 的实例

在 Google Cloud 控制台中，前往 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
点击创建实例。
点击 Choose SQL Server（选择 SQL Server）。
确保已选择企业 Plus 版作为实例的 Cloud SQL 版本。
在实例 ID 字段中，输入 quickstart-instance。
在密码字段中，输入 sqlserver 用户的密码。保存此密码以供将来使用。
在选择区域和可用区的可用性部分中，选择单个可用区。
点击显示配置选项菜单。
展开机器配置节点。
在机器配置区域中，选择 4 个 vCPU 和 32 GB 内存配置。
展开连接节点。
清除公共 IP 复选框以创建仅具有专用 IP 地址的实例。
选中专用 IP 复选框。
选中专用服务访问通道 (PSA) 复选框。
在 VPC 网络 * 下拉菜单中，选择默认。
在安全性部分中，确保已选择仅允许 SSL 连接以启用 SSL 连接。
点击创建实例，然后等待实例初始化并启动。

gcloud

分配 IP 地址范围并创建专用连接，以便为 Cloud SQL 配置专用服务访问通道

运行 gcloud compute addresses create 命令以分配 IP 地址范围。

gcloud compute addresses create google-managed-services-default \
--global --purpose=VPC_PEERING --prefix-length=16 \
--description="peering range for Google" --network=default

运行 gcloud services vpc-peerings connect 命令以创建与分配的 IP 地址范围的专用连接。将 YOUR_PROJECT_ID 替换为您的项目 ID。

gcloud services vpc-peerings connect --service=servicenetworking.googleapis.com \
--ranges=google-managed-services-default --network=default \
--project=YOUR_PROJECT_ID

创建具有专用 IP 地址且启用了 SSL 的实例

按照以下方式运行命令之前，请将 DB_ROOT_PASSWORD 替换为数据库用户的密码。

（可选）修改以下参数的值：

--database-version：数据库引擎类型和版本。如果未指定，则使用 API 默认值。请参阅 gcloud 数据库版本文档，以查看当前可用版本。
--cpu：机器中的核心数。
--memory：指示机器要包括多少内存的整数。可以提供大小单位（例如 3072MB 或 9GB）。如果未指定单位，则假定为 GB。
--region：实例的区域位置（例如 asia-east1、us-east1）。如果未指定，则使用默认值 us-central1。请参阅区域的完整列表。

运行 gcloud sql instances create 命令以创建具有专用 IP 地址的 Cloud SQL 实例。

gcloud sql instances create quickstart-instance \
--database-version=SQLSERVER_2017_STANDARD \
 --cpu=1 \
 --memory=4GB \
 --region=us-central \
 --root-password=DB_ROOT_PASSWORD \
 --no-assign-ip \
--network=default

运行 gcloud sql instances patch 命令来为实例启用仅允许 SSL 连接。

gcloud sql instances patch quickstart-instance --require-ssl

创建数据库

请按以下步骤创建数据库：

控制台

在 Google Cloud 控制台中，前往 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
选择 quickstart-instance。
从 SQL 导航菜单中选择数据库。
点击创建数据库。

在新建数据库对话框的数据库名称字段中，输入 quickstart-db。
点击创建。

gcloud

运行 gcloud sql databases create 命令以创建数据库。

gcloud sql databases create quickstart-db --instance=quickstart-instance

将示例应用部署到 Cloud Run

配置 Cloud Run 服务账号

配置 Cloud Run 使用的 Compute Engine 默认服务账号，使其具有 Cloud SQL Client 和 Storage Object Viewer 角色。

控制台

在 Google Cloud 控制台中，打开 IAM 服务账号页面。

前往 IAM 服务账号
点击服务账号旁边的操作菜单，然后点击管理访问权限。
点击添加其他角色，然后在角色下拉菜单中找到并选择 Cloud SQL Client (roles/cloudsql.client)。
点击添加其他角色，然后在角色下拉菜单中找到并选择 Storage Object Viewer (roles/storage.ObjectViewer)。
点击保存。

gcloud

运行以下 gcloud 命令以获取项目的服务账号列表：
```
gcloud iam service-accounts list
```
复制 EMAIL Compute Engine 默认服务账号。

运行以下命令，将 Cloud SQL Client 角色添加到 Compute Engine 默认服务账号：

gcloud projects add-iam-policy-binding YOUR_PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
  --role="roles/cloudsql.client"

运行以下命令，将 Storage Object Viewer 角色添加到 Compute Engine 默认服务账号：

gcloud projects add-iam-policy-binding YOUR_PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
  --role="roles/storage.ObjectViewer"

配置 Cloud SQL 示例应用

利用具有客户端权限的 Cloud SQL 实例、数据库和服务账号，您现在可以配置一个示例应用以连接到您的 Cloud SQL 实例。

公共 IP

Cloud Run 不支持通过公共 IP 地址连接到 Cloud SQL for SQL Server。请改用专用 IP。

专用 IP

对于专用 IP 路径，您的应用会通过直接 VPC 出站流量或 VPC 连接器直接连接到您的实例。此方法使用 TCP 套接字直接连接到 Cloud SQL 实例，而无需使用 Cloud SQL Auth 代理。

Go

创建和下载 SSL 服务器证书

在 Google Cloud 控制台中，前往 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
点击 quickstart-instance 以查看其概览页面。
点击连接标签页。
在安全部分中，点击下载证书以下载 SSL 服务器证书。

使用 SSL 服务器证书构建示例应用

在 Cloud Shell Editor 中，打开示例应用的源代码。
打开 Cloud Shell Editor
在在 Cloud Shell 中打开对话框中，点击确认以下载示例应用代码，然后在 Cloud Shell Editor 中打开示例应用目录。
将 SSL 服务器证书文件上传到 certs 文件夹。
1. 在 Cloud Shell Editor 中右键点击 certs 文件夹，然后选择上传文件。
2. 在本地机器上选择以下文件：server-ca.pem。
3. 选择 SSL 服务器证书文件后，点击打开以完成将文件上传到 Cloud Shell Editor 的过程。
在 Cloud Shell 中运行以下命令，以构建 Docker 容器并将其发布到 Container Registry。将 YOUR_PROJECT_ID 替换为您的项目 ID。
```
gcloud builds submit --tag gcr.io/YOUR_PROJECT_ID/run-sql
```

Java

创建和下载 SSL 服务器证书

对于 Java 用户，Java连接器已提供安全连接，因此无需创建和下载 SSL 服务器证书。

构建示例应用

在 Cloud Shell Editor 中，打开示例应用的源代码。
打开 Cloud Shell Editor
在在 Cloud Shell 中打开对话框中，点击确认以下载示例应用代码，然后在 Cloud Shell Editor 中打开示例应用目录。
在 Cloud Shell 中运行以下命令，以构建 Docker 容器并将其发布到 Container Registry。将 YOUR_PROJECT_ID 替换为您的项目 ID。
```
mvn clean package com.google.cloud.tools:jib-maven-plugin:2.8.0:build \
 -Dimage=gcr.io/YOUR_PROJECT_ID/run-sql -DskipTests
```

Python

创建和下载 SSL 服务器证书

在 Google Cloud 控制台中，前往 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
点击 quickstart-instance 以查看其概览页面。
点击连接标签页。
在安全部分中，点击下载证书以下载 SSL 服务器证书。

使用 SSL 服务器证书构建示例应用

在 Cloud Shell Editor 中，打开示例应用的源代码。
打开 Cloud Shell Editor
在在 Cloud Shell 中打开对话框中，点击确认以下载示例应用代码，然后在 Cloud Shell Editor 中打开示例应用目录。
将 SSL 服务器证书文件上传到 certs 文件夹。
1. 在 Cloud Shell Editor 中右键点击 certs 文件夹，然后选择上传文件。
2. 在本地机器上选择以下文件：server-ca.pem。
3. 选择 SSL 服务器证书文件后，点击打开以完成将文件上传到 Cloud Shell Editor 的过程。
在 Cloud Shell 中运行以下命令，以构建 Docker 容器并将其发布到 Container Registry。将 YOUR_PROJECT_ID 替换为您的项目 ID。
```
gcloud builds submit --tag gcr.io/YOUR_PROJECT_ID/run-sql
```

部署示例应用

将示例部署到 Cloud Run 的步骤取决于您分配给 Cloud SQL 实例的 IP 地址类型。

映像连接方法因设置的环境变量而异。

如需使用 TCP 进行连接，请为 INSTANCE_HOST 环境变量设置值。此连接方法会遵循以环境变量形式配置的证书和端口。
如需使用 Unix 套接字进行连接，请为 INSTANCE_UNIX_SOCKET 环境变量设置值。
请勿为 INSTANCE_HOST 环境变量设置值。

Java 没有对 Unix 套接字的原生支持。如果您的应用是使用 Java 编写的，则必须使用 Cloud SQL Java 连接器。
如需使用某个 Cloud SQL 语言连接器进行连接，请为 INSTANCE_CONNECTION_NAME 环境变量设置值。
请勿为以下环境变量设置值：
- INSTANCE_HOST
- INSTANCE_UNIX_SOCKET
- DB_PORT
- DB_ROOT_CERT
- DB_CERT
- DB_KEY
这些值不会使用，因为 Cloud SQL 语言连接器已使用 Cloud SQL Auth 代理服务器提供安全连接，该服务器通过端口 3307 与 Cloud SQL 建立连接。

公共 IP

Cloud Run 不支持通过公共 IP 地址连接到 Cloud SQL for SQL Server。请改用专用 IP。

专用 IP

控制台

在 Google Cloud 控制台中，前往 Cloud Run 页面。

转到 Cloud Run
点击创建容器，然后选择服务，以显示“创建服务”表单。
保留从现有容器映像部署的选项，然后点击选择以指定您在上一步中创建的 gcr.io/YOUR_PROJECT_ID/run-sql 容器映像。
输入 quickstart-service 作为服务名称。
在身份验证部分中，选择 Allow public access 选项。如果您没有选择此选项的权限（Cloud Run Admin 角色），系统会部署服务并要求进行身份验证。
展开容器、变量和密钥、连接、安全性部分。
点击环境变量下的添加变量，创建以下环境变量。设置环境变量的值，如下所示：

DB_NAME：设置为 quickstart-db。
DB_USER：设置为 sqlserver。
DB_PASS：设置为您在创建 Cloud SQL 实例中创建的 sqlserver 用户的密码。
INSTANCE_CONNECTION_NAME：设置为实例的连接名称，该名称会显示在 Google Cloud 控制台中的 Cloud SQL 实例页面上。
DB_PORT：设置为 1433。
DB_ROOT_CERT：设置为 certs/server-ca.pem。
PRIVATE_IP：设置为 TRUE。

启用连接到 Cloud SQL：
1. 点击连接。
2. 点击 Cloud SQL 连接部分中的添加连接。
3. 选择您之前创建的 quickstart-instance Cloud SQL 实例。
4. 从网络标签页，选择连接到 VPC 以获取出站流量，然后在网络和子网字段中均选择 default。
5. 选择将所有流量路由到 VPC 选项。
点击创建，完成 Cloud Run 服务的创建。
在部署 Cloud Run 服务之后，服务详情页面的顶部会显示正在运行的服务的网址。点击网址链接，查看在 Cloud Run 上连接到 Cloud SQL 的已部署示例应用。

gcloud

注意：如果您使用 gcloud CLI 从源代码部署，请确保已为您授予所需角色，并使用 --source 而非 --image；如需部署函数，请添加 --function。

在运行以下命令之前，请先进行以下替换：

YOUR_PROJECT_ID 替换为您的项目 ID。
将 INSTANCE_CONNECTION_NAME 替换为实例的连接名称，该名称会显示在 Google Cloud 控制台中的 Cloud SQL 实例页面上。
将 DB_PASS 替换为您在创建 Cloud SQL 实例中创建的 sqlserver 用户的密码。

按照以下方式运行 gcloud run deploy 命令以创建 Cloud Run 服务。环境变量因您要使用的连接方法而异：

gcloud run deploy run-sql --image gcr.io/YOUR_PROJECT_ID/run-sql \
    --add-cloudsql-instances INSTANCE_CONNECTION_NAME \
    --vpc-egress=all-traffic \
    --network=default \
    --subnet=default \
    --set-env-vars DB_NAME="quickstart-db" \
    --set-env-vars DB_USER="sqlserver" \
    --set-env-vars DB_PASS="DB_PASS" \
    --set-env-vars INSTANCE_CONNECTION_NAME="INSTANCE_CONNECTION_NAME"

当系统提示您指定区域时，请输入为 us-central1 提供的数字选项。

看到 Cloud Run 服务已部署的确认消息后，点击消息中的服务网址链接，查看 Cloud Run 上连接到 Cloud SQL 的示例应用。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用，请按照以下步骤操作。

在 Google Cloud 控制台中，前往 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
选择 quickstart-instance 实例以打开实例详情页面。
在页面顶部的图标栏中，点击删除。
在删除实例对话框中，输入 quickstart-instance，然后点击删除以删除该实例。
在 Google Cloud 控制台中，前往 Cloud Run 页面。

转到 Cloud Run
选中 quickstart-service 服务名称旁边的复选框。
点击 Cloud Run 页面顶部的删除。

可选的清理步骤

如果您未使用分配给 Compute Engine 服务账号的 Cloud SQL client 角色，则可以将其移除。

在 Google Cloud 控制台中，打开服务账号页面。

进入 IAM
点击名为 Compute Engine 默认服务账号的 IAM 账号对应的修改图标（铅笔图案）。
删除 Cloud SQL client 角色。
点击保存。

如果您没有使用在本快速入门中启用的 API，则可以将其停用。

在本快速入门中启用的 API：
- Compute Engine API
- Cloud SQL Admin API
- Cloud Run API
- Container Registry API
- Cloud Build API

在 Google Cloud 控制台中，前往 API 页面。

转到“API”
选择您要停用的任何 API，然后点击停用 API 按钮。

后续步骤

您可以根据自己的需求详细了解如何创建 Cloud SQL 实例。

您还可以了解如何为 Cloud SQL 实例创建 SQL Server 用户和数据库。

如需详细了解价格，请参阅 Cloud SQL for SQL Server 价格。

详细了解以下内容：

使用公共 IP 地址配置 Cloud SQL 实例。
使用专用 IP 地址配置 Cloud SQL 实例。

此外，您还可以了解如何从其他 Google Cloud 应用连接到 Cloud SQL 实例：