Det finns flera sätt att ställa in en säker anslutning till en Cloud SQL-instans.
- Använd SSL-certifikat för att ansluta till instansen och aktivera "Tillåt endast SSL-anslutningar".
-
Använd privat IP. Jag förstår att applikationen som du skapade inte finns på GCP utan någon annanstans, så ett bra alternativ är att:
2.1. Aktivera den privata IP-funktionen i din CSQL-instans
2.2. Aktivera "import anpassade rutter " i den nyss skapade peeringen mellan ditt projekt (låt oss kalla detta projekt "projekt A") och hyresgästprojektet där din CSQL är (namnet på detta projekt kommer att se ut som "späck-paraply-[pg]-xx" JFYI). Tänk på att den här funktionen är i beta.
2.3. Be vårt tekniska supportteam att aktivera "exportera anpassade rutter" på den nyss skapade peeringen, men för den här gången på vår sida (i det redan nämnda projektet "späckle-paraply-[pg]-xx"). Om du inte har ett supportpaket kan du öppna en privat problemspårare genom att följa denna länk ange mitt namn, ditt projekt-ID och CSQL-instansen där du vill aktivera den här funktionen. Oroa dig inte, problemspåraren som du kommer att öppna där är bara synlig för Google-anställda och dig. Tänk på att det kan ta upp till 90 dagar att öppna en problemspårare där, men jag kommer att övervaka det här inlägget.
2.4. Sedan, eftersom jag antog att din app inte körs i GCP, måste du ställa in en VPN-tunnel eller en molninterconnect , för att ansluta ditt lokala nätverk till Google Cloud.
Efter detta kommer du att kunna ansluta från din app till din CSQL-instans på ett säkert sätt.
- Om du vill använda privat IP och din app är värd i GCP kan du ansluta direkt till din CSQL-instans om både din app och CSQL är i samma region och använder samma VPC (om du använder ett serverlöst alternativ som molnfunktioner eller Google App Engine Standard kan du använda Serverlös VPC-åtkomst ). Men om din app är värd i GCP, men i ett annat projekt, kan du följa stegen 2.1, 2.2 och 2.3 och sedan skapa en VPC-peering mellan projektet där din applikation är (låt oss kalla detta projekt "projekt B") och projektet där du har associerat din CSQL-instans ("Projekt A"). För "projekt A" måste du aktivera "exportera anpassade rutter" i denna nya VPC-peering, och för "projekt B" måste du aktivera "importera anpassade rutter". Om du gör detta kommer din anslutning mellan din app (värd i "Projekt B") att gå från Projekt B till Projekt A och till Projekt A till speckle-umbrella-[pg]-xx tills du når din Cloud SQL-instans.
Anledningen till att du måste hantera anpassade rutter är att för en tid sedan kunde VPC-peerings inte sprida rutter, men nu är detta helt möjligt.