Esta página fornece informações sobre a utilização de um IP privado com o Cloud SQL. Para obter instruções passo a passo sobre como configurar uma instância do Cloud SQL para usar o IP privado, consulte o artigo Configurar o IP privado.
Para soluções do Terraform para a rede do Cloud SQL, consulte o artigo Soluções de configuração de rede na nuvem simplificadas.
Vista geral
A configuração de uma instância do Cloud SQL para usar o IP privado requer o acesso a serviços privados. O acesso a serviços privados permite-lhe criar ligações privadas entre a sua rede da VPC e a rede da VPC do produtor de serviços subjacente Trusted Cloud by S3NS . Trusted Cloud by S3NS As entidades que oferecem serviços, como o Cloud SQL, são denominadas produtores de serviços. Cada Trusted Cloud by S3NS serviço cria uma sub-rede na qual aprovisionar recursos. Normalmente, o intervalo de endereços IP da sub-rede é um bloco CIDR /24 escolhido pelo serviço e proveniente do intervalo de endereços IP atribuído.
As ligações privadas tornam os serviços acessíveis sem passar pela Internet nem usar endereços IP externos. Por este motivo, o IP privado oferece uma latência de rede inferior ao IP público.
Usa o acesso a serviços privados para estabelecer ligação a instâncias do Cloud SQL:
De fontes internas com acesso à sua rede VPC.
De origens externas através de um túnel de VPN, um túnel SSH inverso> ou um Cloud Interconnect para a sua rede VPC.
Pode estabelecer ligação a endereços IP privados em várias regiões. Também pode estabelecer ligação através de uma VPC partilhada entre projetos.
Intervalos de endereços IP atribuídos
Para usar instâncias do Cloud SQL numa rede VPC com IP privado, tem de atribuir intervalos de endereços IP para configurar o acesso privado a serviços para esta VPC. Para organizar as suas instâncias do Cloud SQL, é recomendável atribuir vários intervalos de endereços IP para a ligação privada. Quando configura uma instância do Cloud SQL para um IP privado, pode selecionar a rede de VPC e o intervalo de endereços IP atribuído.
Tamanho do intervalo atribuído
Tem de atribuir intervalos de IP suficientemente grandes para o Cloud SQL e os outros Trusted Cloud by S3NS serviços geridos que planeia usar. O Cloud SQL e cada Trusted Cloud by S3NS serviço requerem blocos de IP dedicados dos intervalos atribuídos. O tamanho mínimo é um único bloco /24 (256 endereços), mas o tamanho recomendado é um bloco /16 (65 536 endereços).
Quando atribui um intervalo de endereços IP, tem de ter em consideração o número de instâncias que planeia criar.
| Máscara de sub-rede | Moradas | Instâncias do Cloud SQL utilizáveis |
|---|---|---|
| /24 | 256 | 50 |
| /23 | 512 | 100 |
| /22 | 1024 | 200 |
| /21 | 2048 | 400 |
| /20 | 4096 | 800 |
Quando usar intervalos CIDR /24 separados
Uma vez que o Cloud SQL usa intervalos CIDR /24 como uma unidade de intervalo de IP, existem várias condições em que são necessários intervalos /24 separados.
- Separação regional: se criar duas instâncias do Cloud SQL em duas regiões separadas, tem de atribuir, pelo menos, dois intervalos CIDR /24 separados. Cada unidade de intervalo de IP só pode ser usada para instâncias do Cloud SQL numa única região.
- Separação forçada da arquitetura de rede:
As instâncias que criar
com a flag
--enforce-new-network-architecture(ou o campo da API equivalente) não podem partilhar a mesma unidade de intervalo de IP com instâncias no mesmo projeto que usam a arquitetura de rede antiga. As instâncias que criar com a nova arquitetura de rede requerem os seus próprios intervalos /24 dedicados em todas as regiões.
Configure o acesso a serviços privados para a sua rede
Quando configura a conetividade de IP privado pela primeira vez numa rede VPC específica, tem de realizar um procedimento único para configurar o acesso privado aos serviços para o Cloud SQL.
Depois de estabelecer o acesso privado aos serviços, pode criar uma instância do Cloud SQL configurada para usar o IP privado ou configurar o IP privado para uma instância do Cloud SQL existente. Consulte o artigo Configurar o IP privado para ver instruções passo a passo.
Sempre que alterar uma associação estabelecida, também tem de
atualizar vpc-peerings.
Requisitos para IP privado
Para usar o IP privado, o ambiente de rede e de aplicação tem de cumprir os seguintes requisitos. Além disso, a configuração do IP privado pela primeira vez requer autorizações de IAM adicionais.
Requisitos do ambiente da aplicação
- Se estiver a estabelecer ligação a partir do GKE, tem de estar a executar o GKE 1.8 ou superior num cluster nativo da VPC.
Requisitos da API e da IAM
- Tem de ativar a API Service Networking para o seu projeto.
- Para gerir uma ligação de acesso a serviços privados, o utilizador tem de ter as seguintes autorizações de IAM. Se o utilizador não tiver as autorizações necessárias, pode receber erros de autorizações insuficientes.
compute.networks.listcompute.addresses.createcompute.addresses.listservicenetworking.services.addPeering
Se estiver a usar uma rede de VPC partilhada, também tem de adicionar o mesmo utilizador e atribuir as mesmas autorizações no projeto anfitrião.
Se estiver a usar uma rede VPC partilhada, também tem de ativar a API Service Networking para o projeto anfitrião.
Exemplo
No exemplo seguinte, a rede VPC do cliente atribuiu o intervalo de endereços 10.240.0.0/16 Trusted Cloud by S3NS para serviços e estabeleceu uma ligação privada que usa o intervalo atribuído. Cada Trusted Cloud by S3NS serviço (por exemplo, o Cloud SQL) cria uma sub-rede a partir do bloco atribuído para aprovisionar novos recursos numa determinada região, como instâncias do Cloud SQL.
- À ligação privada é atribuído o intervalo alocado
10.240.0.0/16. A partir desta atribuição, Trusted Cloud by S3NS os serviços podem criar sub-redes onde são aprovisionados novos recursos. - No Trusted Cloud by S3NS lado dos serviços da ligação privada Trusted Cloud by S3NS ,cria-se um projeto para o cliente. O projeto está isolado, o que significa que nenhum outro cliente o partilha, e o cliente só é faturado pelos recursos que aprovisiona.
- Cada Trusted Cloud by S3NS serviço cria uma sub-rede na qual aprovisionar recursos. Normalmente, o intervalo de endereços IP da sub-rede é um bloco CIDR escolhido pelo serviço e proveniente do intervalo de endereços IP atribuído.
/24Não pode modificar a sub-rede do produtor do serviço. Um serviço aprovisiona novos recursos em sub-redes regionais existentes que foram criadas anteriormente por esse serviço. Se uma sub-rede estiver cheia, o serviço cria uma nova sub-rede na mesma região. - As instâncias de VM na rede do cliente podem aceder aos recursos de serviço em qualquer região se o serviço o suportar. Alguns serviços podem não suportar a comunicação entre regiões. Consulte a documentação do serviço relevante para mais informações.
- Os custos de transferência de dados de saída para tráfego entre regiões, em que uma instância de VM comunica com recursos numa região diferente, continuam a aplicar-se.
- À instância do Cloud SQL é atribuído o endereço IP
10.240.0.2. Na rede VPC do cliente, os pedidos com um destino de10.240.0.2são encaminhados para a ligação privada para a rede do produtor de serviços. Depois de chegar à rede de serviços, esta contém rotas que direcionam o pedido para o recurso correto. - O tráfego entre redes VPC desloca-se internamente na rede do Trusted Cloud by S3NS, não através da Internet pública.
Problemas de rede
O Cloud SQL atribui uma sub-rede /24 do intervalo de IP de acesso privado a serviços para cada região. Por exemplo, a colocação de instâncias do MySQL em duas regiões requer que os intervalos de endereços IP atribuídos incluam, pelo menos, duas sub-redes disponíveis de tamanho /24.
As ligações a uma instância do Cloud SQL através de um endereço IP privado são autorizadas automaticamente para intervalos de endereços RFC 1918. Desta forma, todos os clientes privados podem aceder à base de dados sem passar pelo proxy Auth do Cloud SQL.
Por predefinição, o Cloud SQL não aprende trajetos de sub-redes não RFC 1918 da sua VPC. Tem de atualizar a interligação de redes para o Cloud SQL para exportar quaisquer trajetos não RFC 1918.
Segurança
O tráfego através do acesso a serviços privados é fornecido com um determinado nível de encriptação. Para mais informações, consulte o artigo sobre a encriptação e a autenticação da rede virtual.Trusted Cloud by S3NS
O proxy Auth do Cloud SQL pode ser configurado para estabelecer ligação através do IP privado e fornece autenticação através de credenciais do IAM e encriptação ponto a ponto através de um certificado SSL/TLS rotativo.
Se os seus requisitos de segurança exigirem certificados SSL/TLS autogeridos que são geridos por si, consulte as instruções em Configurar SSL/TLS.
A criação de uma rede VPC para cada instância com um endereço IP privado oferece um melhor isolamento da rede do que colocar todas as instâncias na rede VPC "predefinida".
Conetividade com várias VPCs
O Cloud SQL suporta endereços IP privados através do acesso privado a serviços. Quando cria uma instância do Cloud SQL, o Cloud SQL cria a instância na sua própria nuvem virtual privada (VPC), denominada VPC do Cloud SQL. A ativação do IP privado requer a configuração de uma ligação de intercâmbio entre a VPC do Cloud SQL e a sua rede da VPC. Isto permite que os recursos na sua rede VPC acedam aos endereços IP internos dos seus recursos do Cloud SQL na rede VPC do Cloud SQL.
Através do intercâmbio da rede da VPC, o Cloud SQL implementa o acesso privado ao serviço internamente, o que permite que os endereços IP internos se liguem a duas redes da VPC independentemente de pertencerem ao mesmo projeto ou organização. No entanto, uma vez que o intercâmbio da rede da VPC não é transitivo, apenas transmite rotas entre as duas VPCs que estão diretamente em intercâmbio. Se tiver uma VPC adicional, não vai poder aceder aos recursos do Cloud SQL através da ligação configurada com a VPC original.
Para mitigar esta limitação e ligar a sua instância do Cloud SQL a várias VPCs através de endereços IP privados, pode usar as seguintes opções de ligação:
- Estabeleça ligação através de rotas anunciadas personalizadas
- Ligue-se através de um proxy intermédio (SOCKS5)
- Ligue-se através do proxy Auth do Cloud SQL como um serviço
Para mais informações sobre como ligar várias VPCs, consulte o artigo Ligue a sua instância a várias VPCs.
Referência rápida para tópicos de IP privado
Quando gere instâncias do Cloud SQL através do IP privado, alguns dos seguintes tópicos podem ser do seu interesse:
| Tópico | Debate |
|---|---|
| Redes de VPC partilhada | Pode criar instâncias do Cloud SQL com endereços IP privados numa rede de VPC partilhada. No entanto, não pode atribuir um endereço IP privado numa rede de VPC partilhada a uma instância do Cloud SQL existente. |
| Regiões | Pode estabelecer ligação através de um IP privado em várias regiões. |
| Redes antigas | Não pode estabelecer ligação ao IP privado de uma instância do Cloud SQL a partir de uma rede antiga. As redes antigas não suportam o peering de redes VPC nem o acesso a serviços privados. |
| Remover um IP privado | Depois de configurar uma instância do Cloud SQL para usar o IP privado, não pode remover a capacidade de IP privado dessa instância. |
| IP público e privado | Pode usar o IP público e o IP privado para estabelecer ligação à mesma instância do Cloud SQL. Nenhum dos métodos de associação afeta o outro. |
| Instâncias do Cloud SQL existentes | Pode configurar uma instância para usar o IP privado no momento da criação da instância. Também pode configurar uma instância existente para usar o IP privado. A configuração de uma instância existente para usar o IP privado ou a alteração da rede à qual está ligada faz com que a instância seja reiniciada, o que resulta em alguns minutos de inatividade. |
| Endereços IP estáticos | Para endereços IP públicos e privados, o endereço de entrada da instância do Cloud SQL é estático e não se altera. O endereço de saída nem sempre é estático, exceto para endereços IP públicos de saída de réplicas de servidores externos, que são sempre estáticos. |
| Réplicas | Uma réplica herda o respetivo estado de IP privado da respetiva instância principal. Não pode configurar o IP privado diretamente numa réplica. Se estiver a estabelecer ligação a uma réplica através de um endereço IP privado, não precisa de criar uma ligação privada de VPC adicional para a réplica, uma vez que também é herdada da instância principal. |
| O proxy Auth do Cloud SQL | Para ligar a uma instância do Cloud SQL através de um IP privado, o proxy Auth do Cloud SQL tem de estar num recurso com acesso à mesma rede de VPC que a instância. Se a instância tiver ambos os tipos de IP ativados, o proxy Auth do Cloud SQL usa o IP público por predefinição. Para garantir que está a usar o IP privado, tem de transmitir a flag -ip_address_types=PRIVATE ao proxy Auth do Cloud SQL.
Saiba mais. |
| Acesso a VPC sem servidor | Para estabelecer ligação a partir de uma origem sem servidor, como o ambiente padrão do App Engine, Cloud Run, ou funções do Cloud Run, a sua aplicação ou função estabelece ligação diretamente à sua instância através do acesso a VPC sem servidor sem o Cloud SQL Auth Proxy. |
| Intercâmbio de redes da VPC | Uma ligação que usa o acesso a serviços privados baseia-se na interligação de redes VPC. No entanto, não cria o peering de rede VPC explicitamente, porque o peering é interno ao Trusted Cloud. Depois de criar a ligação de acesso a serviços privados, pode ver o peering de rede VPC subjacente na
página de peering de rede VPC naTrusted Cloud consola, mas não o elimine, a menos que queira
remover a ligação privada.
Saiba mais acerca da interligação de redes VPC. |
| VPC Service Controls | O VPC Service Controls melhora a sua capacidade de mitigar o risco de exfiltração de dados. Com os VPC Service Controls, cria perímetros em torno da instância do Cloud SQL. Os VPC Service Controls restringem o acesso a recursos no perímetro a partir do exterior. Apenas os clientes e os recursos dentro do perímetro podem interagir entre si. Para mais informações, consulte a vista geral do VPC Service Controls. Reveja também as limitações do Cloud SQL quando usa os VPC Service Controls. Para usar os VPC Service Controls com o Cloud SQL, consulte o artigo Configurar os VPC Service Controls. |
| Intercâmbio transitivo | Só as redes com intercâmbio direto podem comunicar. O intercâmbio transitivo não é
suportado. Por outras palavras, se a rede da VPC N1 estiver ligada à N2 e à N3, mas
a N2 e a N3 não estiverem diretamente ligadas, a rede da VPC N2 não pode comunicar com
a rede da VPC N3 através do
intercâmbio das redes da VPC.
Os clientes num projeto podem ligar-se a instâncias do Cloud SQL em vários projetos através de redes VPC partilhadas. |
| Mover instâncias do Cloud SQL | Só é possível mover instâncias do Cloud SQL entre redes pertencentes ao projeto no qual residem. Além disso, as instâncias do Cloud SQL não podem ser movidas entre projetos nem entre redes alojadas por projetos diferentes. |
O que se segue?
- Veja como configurar o IP privado.
- Saiba mais acerca do acesso a serviços privados.
- Veja como configurar o acesso privado aos serviços para instâncias do Cloud SQL.
- Saiba mais sobre a VPN na nuvem.
- Saiba mais sobre as redes VPC.
- Saiba mais acerca do intercâmbio da rede da VPC.
- Saiba mais sobre a VPC partilhada.
- Saiba mais sobre o proxy Auth do Cloud SQL.