חיבור המכונה לכמה רשתות VPC

בדף הזה מוסבר איך להתחבר למופע Cloud SQL ברשתות VPC מקושרות באופן טרנזיטיבי.

ב-Cloud SQL יש כמה דרכים לחבר את מכונת Cloud SQL לכמה רשתות VPC באמצעות כתובת IP פרטית:

• התחברות באמצעות מסלולים מותאמים אישית לפרסום
• התחברות באמצעות שרת proxy ביניים (SOCKS5)
• התחברות באמצעות שרת proxy כשירות
• התחברות באמצעות Private Service Connect

התחברות באמצעות מסלולים מפורסמים בהתאמה אישית

אפשר להשתמש ב-Cloud Router כדי להגדיר מסלולים מותאמים אישית שמועברים בין שתי רשתות, שעוברים דרך VPC ביניים כדי לחבר כמה רשתות VPC למופע Cloud SQL. שתי רשתות ה-VPC צריכות להיות מחוברות באמצעות רשת וירטואלית פרטית (VPN),‏ Cloud Interconnect או כל רשת אחרת שנתמכת על ידי Cloud Router.

עם מסלולים מותאמים אישית שמוכרזים, רשת ה-VPC של Cloud SQL‏, VPC C, מחוברת לרשת ה-VPC הראשית, VPC A, באמצעות רשת VPC ביניים, VPC B. אפשר להגדיר מסלולים משותפים בין הרשתות האלה בדרכים הבאות:

• אפשר להשתמש ב-Cloud Router כדי לפרסם באופן ידני מסלולים בין שתי רשתות שעוברות דרך VPC ביניים. מידע נוסף על הגדרת Cloud Router לפרסום ידני של מסלולים זמין במאמר רשת מעבר.

• אפשר ליצור שני שערי HA VPN שמחוברים זה לזה כדי לגשר בין שתי סביבות VPC שונות, ולהגדיר את Cloud Router כך שישתף מסלולים ביניהם. מידע נוסף על הגדרת שערי HA VPN זמין במאמר יצירת שערי HA VPN לחיבור רשתות VPC.

מומלץ להשתמש במסלולים מותאמים אישית שמוכרזים כדי לחבר כמה רשתות VPC למכונת Cloud SQL באמצעות Cloud Router.

חיבור באמצעות שרת proxy ביניים (SOCKS5)

אפשר להגדיר שרת proxy ביניים, כמו SOCKS5 proxy, ב-VPC ביניים יחד עם Cloud SQL Auth Proxy ב-VPC הראשי בין הלקוח לבין מכונת Cloud SQL. כך מאפשרים לצומת הביניים להעביר תנועה מוצפנת משרת ה-proxy ל-Cloud SQL Auth אל מכונת Cloud SQL.

כדי להשתמש בשרת proxy מתווך כדי להתחבר למופע Cloud SQL מכמה רשתות VPC, פועלים לפי השלבים הבאים:

1. בלקוח החיצוני, מתקינים את ה-CLI של gcloud.

2. במכונת ה-VM המתווכת, מתקינים, מגדירים ומריצים שרת SOCKS. דוגמה לשרת כזה היא Dante, פתרון פופולרי בקוד פתוח.

3. מגדירים את השרת כך שיקשר לens4ממשק הרשת של המכונה הוירטואלית לחיבורים חיצוניים ופנימיים. לחיבורים פנימיים, מציינים יציאה כלשהי.

4. מגדירים את חומת האש של ה-VPC כדי לאפשר תעבורת TCP מכתובת ה-IP או מהטווח המתאימים ליציאה שהוגדרה בשרת SOCKS.

5. בלקוח החיצוני, מורידים ומתקינים את Cloud SQL Auth Proxy.

6. בלקוח החיצוני, מפעילים את שרת ה-proxy ל-Cloud SQL Auth.

   מכיוון שהגדרתם את המכונה כך שתשתמש בכתובת IP פנימית, כשמפעילים את שרת ה-proxy ל-Cloud SQL Auth, צריך לציין את האפשרות --private-ip.

   בנוסף, מגדירים את משתנה הסביבה ALL_PROXY לכתובת ה-IP של מכונת ה-VM המתווכת ומציינים את היציאה שבה משתמש שרת ה-SOCKS. לדוגמה, ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT..

   אם אתם מתחברים מ-VPC עם שירותי Peering, צריך להשתמש בכתובת ה-IP הפנימית של המכונה הווירטואלית המתווכת. אחרת, צריך להשתמש בכתובת ה-IP החיצונית שלה.

7. בקליינט החיצוני, בודקים את החיבור באמצעות קליינט של SQL Server.

התחברות באמצעות שרת proxy ל-Cloud SQL Auth כשירות

אפשר להתקין ולהפעיל את Cloud SQL Auth Proxy ב-VPC הביניים במקום בלקוח החיצוני, ולאפשר חיבורים מאובטחים על ידי שיוך שלו לשרת proxy שמודע לפרוטוקול, שנקרא גם מאגר חיבורים. דוגמאות לתוכנות לניהול מאגר חיבורים כוללות את PGbouncer או את Pgpool-II(ל-PostgreSQL בלבד).

שיטת החיבור הזו מאפשרת לאפליקציות להתחבר ישירות ובאופן מאובטח ל-pooler באמצעות SSL מוגדר. ה-pooler מעביר שאילתות של מסדי נתונים למכונת Cloud SQL באמצעות שרת proxy ל-Cloud SQL Auth.

התחברות באמצעות Private Service Connect

Private Service Connect מאפשר לכם להתחבר לכמה רשתות VPC בפרויקטים או בארגונים שונים. אפשר להשתמש ב-Private Service Connect כדי להתחבר למופע ראשי או לכל אחד מהרפליקות לקריאה שלו. מידע נוסף על Private Service Connect זמין במאמר סקירה כללית על Private Service Connect.

כדי להתחבר בין כמה רשתות VPC באמצעות Private Service Connect, אפשר לעיין במאמר חיבור למופע באמצעות Private Service Connect.