התחברות למופע באמצעות Private Service Connect

בדף הזה מוסבר איך להשתמש ב-Private Service Connect כדי להתחבר למופע Cloud SQL.

אתם יכולים להשתמש ב-Private Service Connect כדי להתחבר למופע Cloud SQL ראשי או לכל אחד מהרפליקות לקריאה שלו מכמה רשתות של ענן וירטואלי פרטי (VPC) ששייכות לקבוצות, לצוותים, לפרויקטים או לארגונים שונים.

לפני שמתחילים

תמיכה בשימוש ב-Private Service Connect עם מופע Cloud SQL זמינה בגרסאות gcloud CLI 416.0.0 ואילך.

כדי להשתמש באוטומציה של DNS או בשם DNS של נקודת קצה גלובלית לכתיבה, צריך להפעיל את Cloud DNS API.

תפקידי משתמשים

בטבלה הבאה מפורטים התפקידים שנדרשים כדי להשתמש ב-Private Service Connect עם מכונת Cloud SQL:

תפקיד תיאור
compute.networkAdmin

התפקיד הזה נותן שליטה מלאה ברשת ה-VPC שממנה מתבצעת ההתחברות למופע Cloud SQL. אתם יכולים ליצור ולנהל כתובות IP, כללי חומת אש, כללי מדיניות לחיבור שירותים ונקודות קצה של Private Service Connect.

אם אתם משתמשים ב-Private Service Connect כדי להתחבר למופע Cloud SQL מכמה רשתות VPC, לכל רשת יש אדמין משלה.
dns.admin ההרשאה מאפשרת שליטה מלאה במשאבי Cloud DNS, כולל תחומים ורשומות DNS.
cloudsql.admin התפקיד הזה נותן שליטה מלאה במכונה של Cloud SQL ושולט במכונה לאורך מחזור החיים שלה.
cloudsql.instanceUser מספק גישה למופע Cloud SQL. אם מתחברים דרך לקוח Cloud SQL Auth Proxy, צריך להיות לכם תפקיד לקוח Cloud SQL. אם מתחברים ישירות, לא צריך תפקידים והרשאות של ניהול זהויות והרשאות גישה (IAM).

יצירת נקודת קצה של Private Service Connect

נקודות קצה של Private Service Connect הן כתובות IP פנימיות ברשת VPC של צרכן, שלקוחות ברשת הזו יכולים לגשת אליהן ישירות. לקוחות יכולים להשתמש בנקודות הקצה האלה כדי להתחבר למופעים של Cloud SQL.

אפשר לבחור שאפשרות Cloud SQL תיצור באופן אוטומטי נקודת קצה של Private Service Connect בענן הווירטואלי הפרטי (VPC), או ליצור את נקודת הקצה באופן ידני.

יצירת נקודת הקצה באופן אוטומטי

כדי ש-Cloud SQL ייצור את נקודת הקצה (endpoint) של Private Service Connect באופן אוטומטי, צריך לבצע את הפעולות הבאות:

  1. יוצרים מדיניות לחיבור שירות ברשת ה-VPC. המדיניות הזו מאפשרת להקצות נקודות קצה של Private Service Connect באופן אוטומטי.

  2. יוצרים מכונת Cloud SQL עם Private Service Connect מופעל למכונה, ומגדירים את המכונה כך שייווצרו נקודות קצה (endpoints) של Private Service Connect באופן אוטומטי.

  3. אחזור נקודת הקצה של המופע. כך תוכלו להשתמש בנקודת הקצה כדי להתחבר למופע.

יצירת מדיניות לחיבור שירות

מדיניות חיבור שירות מאפשרת לכם להעניק הרשאה לסוג שירות מסוים ליצור נקודת קצה של Private Service Connect ברשת ה-VPC של הצרכן. אתם יכולים להשתמש במדיניות חיבור השירות כדי לאפשר ל-Cloud SQL ליצור נקודות קצה (endpoints) של Private Service Connect באופן אוטומטי.

אפשר ליצור מדיניות של חיבור שירות באמצעות Cloud de Confiance המסוף, ה-CLI של gcloud או ה-API.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. לוחצים על יצירת מדיניות לקישור.

  4. מזינים שם למדיניות החיבור.

  5. כדי לציין את סוג השירות:

    1. בקטע סוג שירות המקור, בוחרים באפשרות שירותי Google.
    2. בתפריט Service class (סוג שירות), בוחרים באפשרות google-cloud-sql כי Cloud SQL הוא השירות המנוהל למדיניות החיבור.

  6. בקטע Target endpoints scope, בוחרים Network ו-Region שאליהם המדיניות הזו חלה.

  7. אופציונלי: אם מדיניות חיבור השירות והמכונה של Cloud SQL נמצאים בפרויקטים, בתיקיות או בארגונים שונים, צריך להגדיר את ההיקף של מכונת שירות בהתאמה אישית:

    1. מעבירים את המתג היקף מותאם אישית של מופע שירות למצב מופעל.
    2. בשדה Scopes (היקפים), מזינים את המזהים של הפרויקטים, התיקיות או הארגונים שבהם נמצא המופע.

  8. בקטע מדיניות, בוחרים רשת משנה אחת או יותר מהתפריט רשתות משנה. רשתות המשנה משמשות להקצאת כתובות IP לנקודות קצה.

  9. אופציונלי: מציינים מגבלת חיבור למדיניות. המגבלה קובעת כמה נקודות קצה אפשר ליצור באמצעות מדיניות החיבור הזו. אם לא מציינים מגבלת חיבור, אין מגבלה.

  10. לוחצים על יצירת מדיניות.

gcloud

כדי ליצור מדיניות לחיבור שירות, משתמשים בפקודה service-connection-policies create.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description="DESCRIPTION" \
    --producer-instance-location=PRODUCER_INSTANCE_LOCATION \
    --allowed-google-producers-resource-hierarchy-level=RESOURCE_HIERARCHY_LEVEL

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • NETWORK: הרשת שהמדיניות הזו חלה עליה.
  • PROJECT_ID: מזהה הפרויקט או מספר הפרויקט של רשת ה-VPC. ברשתות VPC משותפות, צריך לפרוס מדיניות של חיבור שירות בפרויקט המארח, כי אין תמיכה במדיניות כזו בפרויקטים של שירותים.
  • REGION: האזור שבו המדיניות הזו חלה. אותה מדיניות צריכה להתקיים בכל אזור שבו רוצים להפוך את הקישוריות לשירות לאוטומטית.
  • SERVICE_CLASS: מזהה המשאב של סוג השירות שסופק על ידי היצרן. ב-Cloud SQL, מחלקת השירות היא google-cloud-sql.
  • SUBNETS: רשת משנה אחת או יותר של צרכנים רגילים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. כתובות ה-IP האלה מוקצות באופן אוטומטי ומוחזרות למאגר של תת-הרשת כשיש יצירה ומחיקה של מופעים של שירות מנוהל. רשתות המשנה צריכות להיות באותו אזור כמו מדיניות החיבור לשירות. אם כמה מדיניות חיבור חולקות את אותו אזור, אפשר להשתמש מחדש באותה רשת משנה במדיניות האלה. אפשר להזין כמה רשתות משנה ברשימה שמופרדת בפסיקים.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים מגבלה, אין מגבלה.
  • DESCRIPTION: תיאור אופציונלי של מדיניות חיבור השירות.

  • PRODUCER_INSTANCE_LOCATION: מציינים אם לאשר היררכיה מותאמת אישית של מיקומים למופע Cloud SQL. אם המופע נמצא בפרויקט, בתיקייה או בארגון אחרים מאלה שמוגדרים במדיניות, צריך להגדיר את הערך הזה כ-custom-resource-hierarchy-levels.

  • RESOURCE_HIERARCHY_LEVEL: רשימה של פרויקטים, תיקיות או ארגונים שבהם נמצא המופע. הרשימה הזו מופיעה באחד מהפורמטים הבאים:

    • projects/PROJECT_ID
    • folders/FOLDER_ID
    • organizations/ORGANIZATION_ID.

לדוגמה, הפקודה הבאה יוצרת מדיניות של חיבור שירות עבור מחלקת השירות
google-cloud-sql שמקצה כתובות IP מתת-הרשת managed-services. אפשר ליצור עד 10 נקודות קצה של Private Service Connect באמצעות המדיניות הזו. צריך ליצור את נקודות הקצה בפרויקטים שנמצאים באותו ארגון כמו מופע השירות המנוהל. המופע של Cloud SQL נמצא בפרויקט myproject.

gcloud network-connectivity service-connection-policies create cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=managed-service-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-google-producers-resource-hierarchy-level=projects/myproject

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור של מדיניות חיבור השירות.
  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • DESCRIPTION: תיאור אופציונלי של מדיניות החיבור לשירות.
  • NETWORK: הרשת של מדיניות חיבור השירות.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים מגבלה, אין מגבלה.
  • SUBNETS: רשתות משנה רגילות לצרכנים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. כתובות ה-IP האלה מוקצות באופן אוטומטי ומוחזרות למאגר של תת-הרשת כשיש מקרים של יצירה ומחיקה של מופעים של שירות מנוהל. תתי הרשתות צריכות להיות באותו אזור כמו מדיניות החיבור לשירות. אם כמה כללי מדיניות לחיבור חולקים את אותו אזור, אפשר להשתמש מחדש באותה רשת משנה בכללי המדיניות האלה. אפשר להזין כמה רשתות משנה ברשימה שמופרדת בפסיקים.
  • SERVICE_CLASS: מזהה המשאב של סוג השירות שסופק על ידי היצרן.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

תוכן בקשת JSON: 

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/PROJECT_ID/locations/REGION/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

יצירת מכונה של Cloud SQL

אתם יכולים ליצור מכונה עם Private Service Connect מופעל עבור המכונה, ולהגדיר את המכונה כך שייווצרו נקודות קצה (endpoints) באופן אוטומטי באמצעות ה-CLI של gcloud או ה-API.

gcloud

כדי ליצור מכונה עם Private Service Connect שמופעל עבור המכונה, משתמשים בפקודה gcloud sql instances create:

gcloud sql instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
--enable-private-service-connect \
--allowed-psc-projects=ALLOWED_PROJECTS \
--availability-type=AVAILABILITY_TYPE \
--no-assign-ip \
--tier=MACHINE_TYPE \
--database-version=DATABASE_VERSION \
--psc-auto-connections=network=CONSUMER_NETWORK,project=CONSUMER_PROJECT

מחליפים את הפרטים הבאים:

  • INSTANCE_NAME: השם של המכונה.
  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע.
  • REGION_NAME: שם האזור של המכונה.

  • ALLOWED_PROJECTS: רשימה מופרדת בפסיקים של מזהים או מספרים של פרויקטים שמנקודות קצה של Private Service Connect יכולות להתחבר למופעים של Cloud SQL.

    אם פרויקט מסוים לא מופיע ברשימה הזו, אי אפשר ליצור בו נקודות קצה (endpoints) של Private Service Connect כדי להתחבר למופע.

  • AVAILABILITY_TYPE: מפעיל זמינות גבוהה למכונה. לפרמטר הזה, מציינים אחד מהערכים הבאים:
    • REGIONAL: מאפשר זמינות גבוהה ומומלץ למופעי ייצור. המופע עובר לזמינות חלקית באזור אחר בתוך האזור שנבחר.
    • ZONAL: לא מספק יכולת מעבר לגיבוי. זה ערך ברירת המחדל.

    מידע נוסף על הגדרה והסרה של זמינות גבוהה למופעים זמין במאמרים הגדרת זמינות גבוהה למופע קיים והשבתת זמינות גבוהה למופע.

  • MACHINE_TYPE: סוג המכונה של המופע.
  • DATABASE_VERSION: גרסת מסד הנתונים של המופע (לדוגמה, POSTGRES_13).
  • CONSUMER_NETWORK: הנתיב לרשת ה-VPC שממנה צריך ליצור נקודות קצה של Private Service Connect. לדוגמה:
    projects/my-host-project/global/networks/default.

  • CONSUMER_PROJECT: הפרויקט שבו נוצרה נקודת הקצה של Private Service Connect. אם אתם משתמשים ברשת VPC משותפת, זה יכול להיות פרויקט המארח או פרויקט השירות.

    כל הפרויקטים שמציינים בפרמטרים של הקישור האוטומטי מתווספים אוטומטית לפרויקטים המותרים. אם רוצים ליצור נקודות קצה של Private Service Connect באופן ידני בפרויקטים מסוימים, אפשר להוסיף את הפרויקטים האלה לרשימת הפרויקטים המורשים.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע.
  • INSTANCE_NAME: השם של המכונה.
  • REGION_NAME: שם האזור של המכונה.
  • AVAILABILITY_TYPE: מפעיל זמינות גבוהה למכונה. לפרמטר הזה, מציינים אחד מהערכים הבאים:
    • REGIONAL: מאפשר זמינות גבוהה ומומלץ למופעי ייצור. המופע עובר לזמינות חלקית באזור אחר בתוך האזור שנבחר.
    • ZONAL: לא מספק יכולת מעבר לגיבוי. זה ערך ברירת המחדל.

    מידע נוסף על הגדרה והסרה של זמינות גבוהה למופעים זמין במאמרים הגדרת זמינות גבוהה למופע קיים והשבתת זמינות גבוהה למופע.

  • ALLOWED_PROJECTS: רשימה מופרדת בפסיקים של מזהים או מספרים של פרויקטים שמנקודות קצה של Private Service Connect יכולות להתחבר למופעים של Cloud SQL.

    אם פרויקט מסוים לא מופיע ברשימה הזו, אי אפשר ליצור בו נקודות קצה (endpoints) של Private Service Connect כדי להתחבר למופע.

  • MACHINE_TYPE: סוג המכונה של המופע.
  • CONSUMER_NETWORK: רשת ה-VPC שבה רוצים לאפשר יצירה אוטומטית של נקודות קצה של Private Service Connect.
  • PARENT_PROJECT: הפרויקט שמכיל את הרשת CONSUMER_NETWORK. אם לא מציינים פרויקט אחר ב-CONSUMER_PROJECT, נקודות הקצה נוצרות באופן אוטומטי ב-PARENT_PROJECT

  • CONSUMER_PROJECT: אופציונלי. מציינים את זה רק אם CONSUMER_NETWORK היא רשת VPC משותפת ורוצים לאפשר יצירה אוטומטית של נקודות קצה של Private Service Connect בפרויקט שירות.

    כל הפרויקטים שמציינים בפרמטרים של הקישור האוטומטי מתווספים אוטומטית לפרויקטים המותרים. אם רוצים ליצור נקודות קצה של Private Service Connect באופן ידני בפרויקטים מסוימים, אפשר להוסיף את הפרויקטים האלה לרשימת הפרויקטים המורשים.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

תוכן בקשת JSON: 

{
  "name": "INSTANCE_NAME",
  "project": PROJECT_ID",
  "region": "REGION_NAME",
  "databaseVersion": "POSTGRES_13",
  "kind": "sql#instance",
  "settings": {
    "availabilityType": "AVAILABILITY_TYPE",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
        "pscAutoConnections": [
          {
            "consumerProject":"CONSUMER_PROJECT",
            "consumerNetwork":"projects/PARENT_PROJECT/global/networks/CONSUMER_NETWORK"
          }
        ],
        "pscEnabled": true
      }
    },
    "kind": "sql#settings",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "tier": "MACHINE_TYPE"
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "RUNNING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "startTime": "2023-06-14T18:48:35.499Z",
  "operationType": "CREATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

יצירת מכונה עם אוטומציה של DNS מופעלת

כשמפעילים את התכונה של אוטומציית DNS, ‏ Cloud SQL מקצה ומנהל באופן אוטומטי רשומות DNS עבור שם ה-DNS של כל מופע ברשתות ה-VPC המורשות של הצרכן. אם הפעלתם אוטומציה של DNS במכונה במהדורת Cloud SQL Enterprise Plus, תוכלו גם להפעיל שם DNS של נקודת קצה גלובלית לכתיבה, שתמיד יומר באופן אוטומטי לכתובת ה-IP של המכונה הראשית הנוכחית. מידע נוסף זמין במאמר שמות ורשומות DNS.

gcloud

אפשר להפעיל אוטומציה של DNS למופעים שמוגדרים בהם גם הפרמטרים הבאים:

  • --enable-private-service-connect
  • --allowed-psc-projects=...
  • --psc-auto-connections=...

כדי להפעיל את התכונה, משתמשים בפקודה sql instances create בגרסת הבטא של ה-CLI של gcloud.

אלה הפרמטרים שמשמשים להפעלת אוטומציה של DNS ונקודת קצה גלובלית לכתיבה באשכול:

  • --enable-psc-auto-dns
    מציין אם האוטומציה של DNS ב-Private Service Connect מופעלת עבור המופע הזה. ברירת המחדל היא השבתה של התכונה הזו במופעים חדשים, כשהתכונה Private Service Connect מופעלת באמצעות --enable-private-service-connect.

    כשהאוטומציה של DNS מופעלת, Cloud SQL מקצה רשומת DNS אוניברסלית בכל הרשתות שהוגדרו עם חיבורים אוטומטיים של Private Service Connect.

  • --enable-psc-write-endpoint-dns
    השדה מציין אם האוטומציה של DNS של נקודת קצה (endpoint) לכתיבה של Private Service Connect מופעלת עבור המופע הזה. התכונה הזו נתמכת רק במקרים של Enterprise Plus שבהם מוגדר גם --enable-psc-auto-dns. כברירת מחדל, התכונה מושבתת כשיוצרים מופע חדש.

    כשהאוטומציה של DNS לנקודת קצה לכתיבה מופעלת, Cloud SQL מקצה נקודת קצה לכתיבה באשכול גלובלי בכל הרשתות שמוגדרות עם חיבורים אוטומטיים של Private Service Connect. רשומת ה-DNS הגלובלית האוניברסלית הזו תמיד מצביעה על המופע הראשי של האשכול, מה שמאפשר מעבר חלק ליתירות כשל של האפליקציה בלי שצריך לעדכן מחרוזות חיבור בצד הלקוח.

REST

שיטת ה-HTTP וכתובת ה-URL: ייראו כך:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

תוכן בקשת ה-JSON ייראה כך:

{
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "region": "REGION_NAME",
  "databaseVersion": "DATABASE_VERSION",
  "kind": "sql#instance",
  "settings": {
    "availabilityType": "AVAILABILITY_TYPE",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
        "pscAutoConnections": [
          {
            "consumerProject":"CONSUMER_PROJECT",
            "consumerNetwork":"projects/PARENT_PROJECT/global/networks/CONSUMER_NETWORK"
          }
        ],
        "pscEnabled": true,
          "psc_auto_dns_enabled": true,
          "psc_write_endpoint_dns_enabled": true,
      }
    },
    "kind": "sql#settings",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "tier": "MACHINE_TYPE"
  }
}

הפעלה והשבתה של אוטומציה של DNS

אפשר להפעיל או להשבית חיבורים אוטומטיים של Private Service Connect למופעים קיימים. מערכת Cloud SQL מקצה אוטומטית את רשומות ה-DNS המשויכות ברשתות המתאימות, או מסירה אותן. כדי להפעיל אוטומציה של DNS באמצעות --enable-psc-auto-dns, צריך להפעיל את Private Service Connect. כדי להפעיל אוטומציה של DNS של נקודת קצה (endpoint) לכתיבה באמצעות --enable-psc-write-endpoint-dns, צריך להפעיל אוטומציה של DNS במופע Enterprise Plus.

gcloud

gcloud beta sql instances patch INSTANCE_NAME \
  --enable-psc-auto-dns \
  --enable-psc-write-endpoint-dns \

משתמשים ב---enable-psc-auto-dns כדי להפעיל את האוטומציה של DNS לכל מופע, וב---no-enable-psc-auto-dns כדי להשבית אותה.

משתמשים ב---enable-psc-write-endpoint-dns כדי להפעיל אוטומציה של DNS של נקודת קצה לכתיבה, וב---no-enable-psc-write-endpoint-dns כדי להשבית אותה.

REST

שיטת ה-HTTP וכתובת ה-URL: ייראו כך:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

תוכן בקשת ה-JSON ייראה כך:

{
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "region": "REGION_NAME",
  "databaseVersion": "DATABASE_VERSION",
  "kind": "sql#instance",
  "settings": {
    "availabilityType": "AVAILABILITY_TYPE",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
        "pscAutoConnections": [
          {
            "consumerProject":"CONSUMER_PROJECT",
            "consumerNetwork":"projects/PARENT_PROJECT/global/networks/CONSUMER_NETWORK"
          }
        ],
        "pscEnabled": DESIRED_STATE,
          "psc_auto_dns_enabled": DESIRED_STATE,
          "psc_write_endpoint_dns_enabled": DESIRED_STATE,
      }
    },
    "kind": "sql#settings",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "tier": "MACHINE_TYPE"
  }
}

מחליפים את DESIRED_STATE ב-true כדי להפעיל את התכונה, או ב-false כדי להשבית אותה.

הצגת שם DNS לכל מופע

gcloud

שמות ה-DNS האוטומטיים גלויים רק בפלט של ה-CLI של gcloud או של ה-API לתיאור המופע.

כדי למצוא את שם ה-DNS לכל מופע שנוצר באמצעות אוטומציה של DNS, משתמשים בפקודה הבאה ב-CLI של gcloud:

      gcloud beta sql instances describe INSTANCE_NAME \
        --project=PROJECT_ID  \
        --flatten="dnsNames[]" \
        --format="csv[no-heading](dnsNames.dnsScope, dnsNames.recordManager, dnsNames.name)" \
        | grep "INSTANCE,CLOUD_SQL_AUTOMATION"

מחליפים את INSTANCE_NAME בשם של מופע Cloud SQL שרוצים למצוא את שם ה-DNS שלו.

הפלט ייראה כך:

INSTANCE,CLOUD_SQL_AUTOMATION,DNS_NAME

שם ה-DNS עצמו מסתיים בשם האזור של המופע ואחריו ‎.sql-psc-goog. לדוגמה:

    INSTANCE,CLOUD_SQL_AUTOMATION,d73a167a8c3a.2naantchj3tsc.us-central1.sql-psc.goog

כדי להחזיר רק את שם ה-DNS, אפשר להוסיף את המחרוזת הבאה בסוף הפקודה:

| cut -d, -f3

הצגת שם ה-DNS של נקודת הקצה הגלובלית לכתיבה

gcloud

שמות ה-DNS האוטומטיים גלויים רק בפלט של ה-CLI של gcloud או של ה-API לתיאור המופע.

כדי למצוא את שם ה-DNS של נקודת הקצה הגלובלית לכתיבה שנוצרה באמצעות אוטומציה של DNS, משתמשים בפקודה הבאה של ה-CLI של gcloud:

      gcloud beta sql instances describe INSTANCE_NAME \
        --project=INSTANCE_NAME  \
        --flatten="dnsNames[]" \
        --format="csv[no-heading](dnsNames.dnsScope, dnsNames.recordManager, dnsNames.name)" \
        | grep "CLUSTER,CLOUD_SQL_AUTOMATION"

מחליפים את INSTANCE_NAME בשם של מכונת Cloud SQL באשכול.

הפלט ייראה כך:

CLUSTER,CLOUD_SQL_AUTOMATION,DNS_NAME

שם ה-DNS של נקודת הקצה הגלובלית לכתיבה יסתיים ב-‎.global.sql-psc-goog.‎ לדוגמה:

    CLUSTER,CLOUD_SQL_AUTOMATION,d73a167a8c3a.2naantchj3tsc.global.sql-psc.goog

כדי להחזיר רק את שם ה-DNS, אפשר להוסיף את המחרוזת הבאה בסוף הפקודה:

| cut -d, -f3

פתרון בעיות

אם ה-DNS לא הוקצה בצורה נכונה, אפשר לנסות להקצות אותו שוב על ידי ביצוע הפעולות הבאות:

  1. השבתה של אוטומציית DNS ושם DNS של נקודת קצה גלובלית לכתיבה
  2. הפעלה מחדש של אוטומציית DNS

אחזור נקודת הקצה

אפשר לאחזר את כתובת ה-IP הפנימית, שהיא נקודת הקצה (endpoint) של Private Service Connect של מופע, ולהשתמש בנקודת הקצה הזו כדי להתחבר למופע.

gcloud

כדי לראות מידע על מכונה, כולל כתובת ה-IP שהיא נקודת הקצה של Private Service Connect עבור המכונה, משתמשים בפקודה gcloud sql instances describe:

gcloud sql instances describe INSTANCE_NAME \
--project=PROJECT_ID \
--format='json(settings.ipConfiguration.pscConfig.pscAutoConnections)'

מחליפים את הפרטים הבאים:

בתגובה, רושמים את הערך שמופיע לצד השדה pscConfig:pscAutoConnections:ipAddress. הערך הזה הוא כתובת ה-IP הפנימית שהיא גם נקודת הקצה של Private Service Connect עבור המכונה.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#instance",
  "state": "RUNNABLE",
  "databaseVersion": "POSTGRES_13",
  "settings": {
    "authorizedGaeApplications": [],
    "tier": "db-custom-2-7680",
    "kind": "sql#settings",
    "availabilityType": "REGIONAL",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "activationPolicy": "ALWAYS",
    "ipConfiguration": {
      "authorizedNetworks": [],
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
      "pscAutoConnections": {
        consumerNetwork:"projects/PARENT_PROJECT/global/networks/CONSUMER_NETWORK",
        consumerNetworkStatus:"CONSUMER_NETWORK_STATUS",
        consumerProject:"CONSUMER_PROJECT",
        ipAddress:"IP_ADDRESS",
        status:"STATUS"
        },
        "pscEnabled": true
      },
      "ipv4Enabled": false
    },
}

השדות הבאים קיימים במופעים שמופעל בהם Private Service Connect:

  • allowedConsumerProjects: רשימה של הפרויקטים המורשים למופע. אתם יכולים ליצור נקודות קצה של Private Service Connect מכל רשת VPC בפרויקטים האלה לשירות המצורף של המופע.
  • pscAutoConnections: רשת ה-VPC המותרת, הסטטוס של מדיניות חיבור השירות והסטטוס של כתובת ה-IP שהיא נקודת הקצה של המופע.
  • pscEnabled: האם מופעל במופע Private Service Connect.

כדי לראות איך יוצרים את בקשת ה-API הבסיסית ל-REST למשימה הזו, אפשר לעיין בדף instances:get.

יצירת נקודת הקצה באופן ידני

כדי ליצור את נקודת הקצה של Private Service Connect באופן ידני, מבצעים את הפעולות הבאות:

  1. יוצרים מכונה של Cloud SQL עם Private Service Connect שמופעל במכונה.

  2. קבלת ה-URI של קובץ השירות המצורף משתמשים ב-URI הזה כדי ליצור את נקודת הקצה (endpoint) של Private Service Connect.

  3. שומרים כתובת IP פנימית לנקודת הקצה (endpoint) של Private Service Connect ויוצרים נקודת קצה עם הכתובת הזו.

יצירת מכונה של Cloud SQL

אפשר ליצור מכונה עם Private Service Connect מופעל באמצעות ה-CLI של gcloud,‏ Terraform או ה-API.

gcloud

כדי ליצור מכונה עם Private Service Connect שמופעל עבור המכונה, משתמשים בפקודה gcloud sql instances create:

gcloud sql instances create INSTANCE_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
--enable-private-service-connect \
--allowed-psc-projects=ALLOWED_PROJECTS \
--availability-type=AVAILABILITY_TYPE \
--no-assign-ip \
--tier=MACHINE_TYPE \
--database-version=DATABASE_VERSION

מחליפים את הפרטים הבאים:

  • INSTANCE_NAME: השם של המכונה.
  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע.
  • REGION_NAME: שם האזור של המכונה.

  • ALLOWED_PROJECTS: רשימה מופרדת בפסיקים של מזהים או מספרים של פרויקטים שמנקודות קצה של Private Service Connect יכולות להתחבר למופעים של Cloud SQL.

    אם פרויקט מסוים לא מופיע ברשימה הזו, אי אפשר ליצור בו נקודות קצה (endpoints) של Private Service Connect כדי להתחבר למופע.

  • AVAILABILITY_TYPE: הפעלת זמינות גבוהה של המכונה. לפרמטר הזה, מציינים אחד מהערכים הבאים:
    • REGIONAL: מאפשר זמינות גבוהה ומומלץ למופעי ייצור. המופע עובר לזמינות חלקית באזור אחר בתוך האזור שנבחר.
    • ZONAL: לא מספק יכולת מעבר לגיבוי. זה ערך ברירת המחדל.

    מידע נוסף על הגדרה והסרה של זמינות גבוהה למופעים זמין במאמרים הגדרת זמינות גבוהה למופע קיים והשבתת זמינות גבוהה למופע.

  • MACHINE_TYPE: סוג המכונה של המופע.
  • DATABASE_VERSION: גרסת מסד הנתונים של המופע (לדוגמה, POSTGRES_13).

Terraform

כדי ליצור מכונה עם Private Service Connect שמופעל עבור המכונה, משתמשים ב משאב Terraform‏ google_sql_database_instance.

resource "google_sql_database_instance" "default" {
  name             = "postgres-instance"
  region           = "us-central1"
  database_version = "POSTGRES_14"
  settings {
    tier              = "db-custom-2-7680"
    availability_type = "REGIONAL"
    backup_configuration {
      enabled = true
    }
    ip_configuration {
      psc_config {
        psc_enabled               = true
        allowed_consumer_projects = []
      }
      ipv4_enabled = false
    }
  }
}

כדי להחיל את הגדרות Terraform בפרויקט ב- Cloud de Confiance , מבצעים את השלבים בקטעים הבאים.

הכנת Cloud Shell

  1. מפעילים את Cloud Shell.

  2. מגדירים את פרויקט ברירת המחדל שבו רוצים להחיל את ההגדרות של Terraform. Cloud de Confiance

    תצטרכו להריץ את הפקודה הזו רק פעם אחת לכל פרויקט, ותוכלו לעשות זאת בכל ספרייה.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    אם תגדירו ערכים ספציפיים בקובץ התצורה של Terraform, הם יבטלו את ערכי ברירת המחדל של משתני הסביבה.

הכנת הספרייה

לכל קובץ תצורה של Terraform צריכה להיות ספרייה משלו (שנקראת גם מודול ברמה הבסיסית).

  1. יוצרים ספרייה חדשה ב-Cloud Shell ובה יוצרים קובץ חדש. שם הקובץ חייב לכלול את הסיומת .tf, למשל main.tf. במדריך הזה, הקובץ נקרא main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. אם אתם עוקבים אחרי המדריך, תוכלו להעתיק את הקוד לדוגמה בכל קטע או שלב.

    מעתיקים את הקוד לדוגמה בקובץ main.tf החדש שיצרתם.

    לחלופין, אפשר גם להעתיק את הקוד מ-GitHub. כדאי לעשות את זה כשקטע הקוד של Terraform הוא חלק מפתרון מקצה לקצה.

  3. בודקים את הפרמטרים לדוגמה ומשנים אותם בהתאם לסביבה שלכם.
  4. שומרים את השינויים.
  5. מפעילים את Terraform. צריך לעשות זאת רק פעם אחת לכל ספרייה. 
    terraform init

    אופציונלי: תוכלו לכלול את האפשרות -upgrade, כדי להשתמש בגרסה העדכנית ביותר של הספק של Google: 

    terraform init -upgrade

החלה של השינויים

  1. בודקים את ההגדרות ומוודאים שהמשאבים שמערכת Terraform תיצור או תעדכן תואמים לציפיות שלכם: 
    terraform plan

    מתקנים את ההגדרות לפי הצורך.

  2. מריצים את הפקודה הבאה ומזינים yes בהודעה שמופיעה, כדי להחיל את הגדרות Terraform: 
    terraform apply

    ממתינים עד שב-Terraform תוצג ההודעה "Apply complete!‎".

  3. פותחים את Cloud de Confiance הפרויקט כדי לראות את התוצאות. במסוף Cloud de Confiance , נכנסים למשאבים בממשק המשתמש כדי לוודא שהם נוצרו או עודכנו ב-Terraform.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע.
  • INSTANCE_NAME: השם של המכונה.
  • REGION_NAME: שם האזור של המכונה.
  • AVAILABILITY_TYPE: מפעיל זמינות גבוהה למכונה. לפרמטר הזה, מציינים אחד מהערכים הבאים:
    • REGIONAL: מאפשר זמינות גבוהה ומומלץ למופעי ייצור. המופע עובר לזמינות חלקית באזור אחר בתוך האזור שנבחר.
    • ZONAL: לא מספק יכולת מעבר לגיבוי. זה ערך ברירת המחדל.

    מידע נוסף על הגדרה והסרה של זמינות גבוהה למופעים זמין במאמרים הגדרת זמינות גבוהה למופע קיים והשבתת זמינות גבוהה למופע.

  • ALLOWED_PROJECTS: רשימה מופרדת בפסיקים של מזהים או מספרים של פרויקטים שמנקודות קצה של Private Service Connect יכולות להתחבר למופעים של Cloud SQL.

    אם פרויקט מסוים לא מופיע ברשימה הזו, אי אפשר ליצור בו נקודות קצה (endpoints) של Private Service Connect כדי להתחבר למופע.

  • MACHINE_TYPE: סוג המכונה של המופע.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

תוכן בקשת JSON: 

{
  "name": "INSTANCE_NAME",
  "project": PROJECT_ID",
  "region": "REGION_NAME",
  "databaseVersion": "POSTGRES_13",
  "kind": "sql#instance",
  "settings": {
    "availabilityType": "AVAILABILITY_TYPE",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "pscConfig": {
        "allowedConsumerProjects": [
          "ALLOWED_PROJECTS"
        ],
        "pscEnabled": true
      }
    },
    "kind": "sql#settings",
    "pricingPlan": "PER_USE",
    "replicationType": "SYNCHRONOUS",
    "tier": "MACHINE_TYPE"
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "RUNNING",
  "user": "user@example.com",
  "insertTime": "2020-01-16T02:32:12.281Z",
  "startTime": "2023-06-14T18:48:35.499Z",
  "operationType": "CREATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

קבלת קובץ מצורף של שירות

אחרי שיוצרים מכונת Cloud SQL עם Private Service Connect מופעל, מקבלים את מזהה ה-URI של הקובץ המצורף לשירות ומשתמשים בו כדי ליצור את נקודת הקצה (endpoint) של Private Service Connect.

gcloud

כדי להציג סיכום מידע על מכונה עם Private Service Connect מופעל, כמו השדה pscServiceAttachmentLink שמציג את ה-URI שמפנה לקובץ המצורף של השירות במכונה, משתמשים בפקודה gcloud sql instances describe:

gcloud sql instances describe INSTANCE_NAME \
--project=PROJECT_ID

מחליפים את הפרטים הבאים:

  • INSTANCE_NAME: השם של מופע Cloud SQL שאליו יכולות להתחבר נקודות קצה של Private Service Connect ברשתות VPC
  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע

בדוגמה הבאה אפשר לראות פלט לדוגמה של הפקודה הזו:

gcloud sql instances describe myinstance \
--project=12345

...
pscServiceAttachmentLink: projects/45678/regions/myregion/serviceAttachments/myserviceattachment

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע
  • INSTANCE_NAME: השם של המכונה

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  ...
  pscServiceAttachmentLink: "projects/PROJECT_ID/regions/REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME"
}

בשדה pscServiceAttachmentLink מוצג מזהה המשאבים האחיד (URI) שמפנה לקובץ המצורף של השירות במופע.

יצירת נקודת קצה של Private Service Connect

אפשר לשריין כתובת IP פנימית לנקודת הקצה של Private Service Connect וליצור נקודת קצה עם הכתובת הזו. כדי ליצור את נקודת הקצה, צריך את ה-URI של קובץ השירות ואת הפרויקטים שמותרים למופע.

gcloud

  1. כדי לשמור כתובת IP פנימית לנקודת הקצה של Private Service Connect, משתמשים בפקודה
    gcloud compute addresses create:

    gcloud compute addresses create ADDRESS_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
--subnet=SUBNET_URI \
--addresses=INTERNAL_IP_ADDRESS

    מחליפים את הפרטים הבאים:

    • ADDRESS_NAME: השם של כתובת ה-IP הפנימית.
    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט של נקודת הקצה.
    • REGION_NAME: שם האזור של נקודת הקצה.
    • SUBNET_URI: שם רשת המשנה של כתובת ה-IP. הפורמט הוא: projects/SUBNET_PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNET_NAME. אם תת-הרשת נמצאת ברשת VPC משותפת, מומלץ ש-SUBNET_PROJECT_ID יהיה הפרויקט המארח.
    • INTERNAL_IP_ADDRESS: כתובת ה-IP לשמירה. כתובת ה-IP הזו חייבת להיות בטווח כתובות ה-IP הראשי של רשת המשנה. כתובת ה-IP יכולה להיות כתובת RFC 1918 או רשת משנה עם טווחים שאינם RFC. אם לא רוצים לציין את כתובת ה-IP כי רוצים להזמין כתובת IP זמינה ברשת המשנה, צריך להשמיט את הדגל הזה. Cloud de Confiance by S3NS

  2. כדי לוודא שכתובת ה-IP שמורה, משתמשים בפקודה gcloud compute addresses list:

    gcloud compute addresses list ADDRESS_NAME \
--project=PROJECT_ID

    בתגובה, מוודאים שמופיע סטטוס RESERVED לכתובת ה-IP.

  3. כדי ליצור את נקודת הקצה (endpoint) של Private Service Connect ולהפנות אותה לקובץ המצורף של שירות Cloud SQL, משתמשים בפקודה gcloud compute forwarding-rules create:

    gcloud compute forwarding-rules create ENDPOINT_NAME \
--address=ADDRESS_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
--network=NETWORK_URI \
--target-service-attachment=SERVICE_ATTACHMENT_URI \
--allow-psc-global-access

    מחליפים את הפרטים הבאים:

    • ENDPOINT_NAME: השם של נקודת הקצה
    • NETWORK_URI: ה-URI של רשת ה-VPC של נקודת הקצה. הפורמט הוא: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_NAME. אם רוצים להשתמש ברשת VPC משותפת, צריך לציין את פרויקט המארח כ-NETWORK_PROJECT_ID.
    • SERVICE_ATTACHMENT_URI: ה-URI של קובץ השירות המצורף

  4. כדי לוודא שקובץ השירות מקבל את נקודת הקצה, משתמשים בפקודה
    gcloud compute forwarding-rules describe:

    gcloud compute forwarding-rules describe ENDPOINT_NAME \
--project=PROJECT_ID \
--region=REGION_NAME

    בתשובה, מוודאים שמופיע סטטוס ACCEPTED בשדה pscConnectionStatus. נקודת הקצה יכולה להתחבר לצירוף השירות.

Terraform

כדי ליצור נקודת קצה מסוג Private Service Connect, משתמשים במשאב Terraform‏ google_sql_database_instance.

אפשר להשתמש בדוגמה הבאה כדי ליצור נקודת קצה של Private Service Connect ב-IPv4.

resource "google_compute_address" "default" {
  name         = "psc-compute-address"
  region       = "us-central1"
  address_type = "INTERNAL"
  subnetwork   = "default"     # Replace value with the name of the subnet here.
  address      = "10.128.0.42" # Replace value with the IP address to reserve.
}

data "google_sql_database_instance" "default" {
  name = resource.google_sql_database_instance.default.name
}

resource "google_compute_forwarding_rule" "default" {
  name                    = "psc-forwarding-rule-${google_sql_database_instance.default.name}"
  region                  = "us-central1"
  network                 = "default"
  ip_address              = google_compute_address.default.self_link
  load_balancing_scheme   = ""
  target                  = data.google_sql_database_instance.default.psc_service_attachment_link
  allow_psc_global_access = true
}

אפשר להשתמש בדוגמה הבאה כדי ליצור נקודת קצה של Private Service Connect ב-IPv6.

resource "google_compute_network" "ipv6_default" {
  name                     = "net-ipv6"
  auto_create_subnetworks  = false
  enable_ula_internal_ipv6 = true
}

resource "google_compute_subnetwork" "ipv6_default" {
  name             = "subnet-internal-ipv6"
  ip_cidr_range    = "10.0.0.0/16"
  region           = "us-central1"
  stack_type       = "IPV4_IPV6"
  ipv6_access_type = "INTERNAL"
  network          = google_compute_network.ipv6_default.id
}

resource "google_compute_address" "ipv6_default" {
  name         = "psc-compute-ipv6-address-${google_sql_database_instance.default.name}"
  region       = "us-central1"
  address_type = "INTERNAL"
  subnetwork   = google_compute_subnetwork.ipv6_default.name
  ip_version   = "IPV6"
}

resource "google_compute_forwarding_rule" "ipv6_ilb_example" {
  name   = "ipv6-psc-forwarding-rule-${google_sql_database_instance.default.name}"
  region = "us-central1"

  load_balancing_scheme   = ""
  target                  = data.google_sql_database_instance.default.psc_service_attachment_link
  network                 = google_compute_network.ipv6_default.name
  subnetwork              = google_compute_subnetwork.ipv6_default.name
  ip_address              = google_compute_address.ipv6_default.id
  allow_psc_global_access = true
}

כדי להחיל את הגדרות Terraform בפרויקט ב- Cloud de Confiance , מבצעים את השלבים בקטעים הבאים.

הכנת Cloud Shell

  1. מפעילים את Cloud Shell.

  2. מגדירים את פרויקט ברירת המחדל שבו רוצים להחיל את ההגדרות של Terraform. Cloud de Confiance

    תצטרכו להריץ את הפקודה הזו רק פעם אחת לכל פרויקט, ותוכלו לעשות זאת בכל ספרייה.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    אם תגדירו ערכים ספציפיים בקובץ התצורה של Terraform, הם יבטלו את ערכי ברירת המחדל של משתני הסביבה.

הכנת הספרייה

לכל קובץ תצורה של Terraform צריכה להיות ספרייה משלו (שנקראת גם מודול ברמה הבסיסית).

  1. יוצרים ספרייה חדשה ב-Cloud Shell ובה יוצרים קובץ חדש. שם הקובץ חייב לכלול את הסיומת .tf, למשל main.tf. במדריך הזה, הקובץ נקרא main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. אם אתם עוקבים אחרי המדריך, תוכלו להעתיק את הקוד לדוגמה בכל קטע או שלב.

    מעתיקים את הקוד לדוגמה בקובץ main.tf החדש שיצרתם.

    לחלופין, אפשר גם להעתיק את הקוד מ-GitHub. כדאי לעשות את זה כשקטע הקוד של Terraform הוא חלק מפתרון מקצה לקצה.

  3. בודקים את הפרמטרים לדוגמה ומשנים אותם בהתאם לסביבה שלכם.
  4. שומרים את השינויים.
  5. מפעילים את Terraform. צריך לעשות זאת רק פעם אחת לכל ספרייה. 
    terraform init

    אופציונלי: תוכלו לכלול את האפשרות -upgrade, כדי להשתמש בגרסה העדכנית ביותר של הספק של Google: 

    terraform init -upgrade

החלה של השינויים

  1. בודקים את ההגדרות ומוודאים שהמשאבים שמערכת Terraform תיצור או תעדכן תואמים לציפיות שלכם: 
    terraform plan

    מתקנים את ההגדרות לפי הצורך.

  2. מריצים את הפקודה הבאה ומזינים yes בהודעה שמופיעה, כדי להחיל את הגדרות Terraform: 
    terraform apply

    ממתינים עד שב-Terraform תוצג ההודעה "Apply complete!‎".

  3. פותחים את Cloud de Confiance הפרויקט כדי לראות את התוצאות. במסוף Cloud de Confiance , נכנסים למשאבים בממשק המשתמש כדי לוודא שהם נוצרו או עודכנו ב-Terraform.

REST

  1. שומרים כתובת IP פנימית לנקודת הקצה של Private Service Connect.

  2. מוודאים שכתובת ה-IP שמורה.

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה של Private Service Connect
    • REGION_NAME: שם האזור
    • ADDRESS_NAME: השם של כתובת ה-IP

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/addresses/ADDRESS_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "kind": "compute#address",
  "id": "ADDRESS_ID",
  "creationTimestamp": "2024-05-09T11:20:50.114-07:00",
  "name": "ADDRESS_NAME",
  "description": "This is the name of the internal IP address.",
  "address": "IP_ADDRESS",
  "status": "RESERVED",
  "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/addresses/ADDRESS_NAME",
  "networkTier": "PREMIUM",
  "labelFingerprint": "LABEL_FINGERPRINT_ID",
  "addressType": "EXTERNAL"
}

    בתגובה, מוודאים שמופיע סטטוס RESERVED לכתובת ה-IP.

  3. יוצרים את נקודת הקצה של Private Service Connect ומפנים אותה לקובץ המצורף של שירות Cloud SQL.

  4. מוודאים שקובץ ה-Service Attachment מקבל את נקודת הקצה.

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה של Private Service Connect
    • REGION_NAME: שם האזור
    • ENDPOINT_NAME: השם של נקודת הקצה

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules/ENDPOINT_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "kind": "compute#forwardingRule",
  "id": "ENDPOINT_ID",
  "creationTimestamp": "2024-05-09T12:03:21.383-07:00",
  "name": "ENDPOINT_NAME",
  "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME",
  "IPAddress": "IP_ADDRESS",
  "target": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules/ENDPOINT_NAME",
  "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default",
  "serviceDirectoryRegistrations": [
    {
      "namespace": "goog-psc-default"
    }
  ],
  "networkTier": "PREMIUM",
  "labelFingerprint": "LABEL_FINGERPRINT_ID",
  "fingerprint": "FINGERPRINT_ID",
  "pscConnectionId": "CONNECTION_ID",
  "pscConnectionStatus": "ACCEPTED",
  "allowPscGlobalAccess": true
}

    בתשובה, מוודאים שמופיע סטטוס ACCEPTED בשדה pscConnectionStatus. נקודת הקצה יכולה להתחבר לצירוף השירות.

חיבור למכונה של Cloud SQL

אפשר להתחבר למכונת Cloud SQL עם Private Service Connect מופעל באמצעות כתובת IP פנימית, רשומת DNS, שרת proxy ל-Cloud SQL Auth, מחברי שפות ל-Cloud SQL או אפליקציות אחרות. Cloud de Confiance by S3NS

הגדרה ידנית של DNS

אם לא הפעלתם אוטומציה של DNS כדי ליצור ולנהל רשומות DNS באופן אוטומטי, אתם יכולים ליצור באופן ידני אזור DNS מנוהל ורשומת DNS כדי לספק דרך עקבית לשימוש ב-Cloud SQL Auth Proxy להתחברות מרשתות שונות. תגובת ה-API של בדיקת המופע מספקת שם DNS מוצע שאפשר להשתמש בו כדי ליצור את רשומת ה-DNS באזור DNS פרטי ברשת ה-VPC המתאימה.

gcloud

  1. כדי לראות סיכום מידע על מכונת Cloud SQL, כולל שם ה-DNS של המכונה, משתמשים בפקודה gcloud sql instances describe:

    gcloud sql instances describe INSTANCE_NAME \
--project=PROJECT_ID

    מחליפים את הפרטים הבאים:

    • INSTANCE_NAME: השם של מכונת Cloud SQL
    • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע

    בתשובה, מוודאים ששם ה-DNS מופיע. השם הזה פועל לפי התבנית הבאה: INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.. לדוגמה: 1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog..

    אם אתם רוצים להשתמש בשם DNS מותאם אישית כדי להתחבר למופע Cloud SQL במקום להשתמש בשם ה-DNS המוגדר מראש שמופיע בקטע הזה, אתם צריכים להגדיר את הגדרת שם חלופי של בעלים (subject) (SAN) המותאם אישית בזמן יצירת המופע. שם ה-DNS המותאם אישית שמוסיפים להגדרת ה-SAN המותאמת אישית מתווסף לשדה ה-SAN של אישור השרת של המופע. כך תוכלו להשתמש בשם ה-DNS המותאם אישית עם אימות שם המארח בצורה מאובטחת.

    מידע נוסף על הגדרת SAN מותאם אישית זמין במאמר יצירת מופעים.

  2. כדי ליצור אזור DNS פרטי, משתמשים בפקודה gcloud dns managed-zones create. האזור הזה משויך לרשת ה-VPC שמשמשת לחיבור למופע Cloud SQL דרך נקודת הקצה של Private Service Connect.

    gcloud dns managed-zones create ZONE_NAME \
--project=PROJECT_ID \
--description="DESCRIPTION" \
--dns-name=DNS_NAME \
--networks=NETWORK_NAME \
--visibility=private

    מחליפים את הפרטים הבאים:

    • ZONE_NAME: השם של תחום ה-DNS
    • PROJECT_ID: המזהה או מספר הפרויקט של הפרויקט שמכיל את האזור. Cloud de Confiance
    • DESCRIPTION: תיאור של התחום (לדוגמה, תחום DNS למופע Cloud SQL)
    • DNS_NAME: השם של סיומת ה-DNS של האזור, למשל REGION_NAME.sql.goog. (כאשר REGION_NAME הוא שם האזור של האזור)
    • NETWORK_NAME: השם של רשת ה-VPC

  3. אחרי יצירת נקודת הקצה של Private Service Connect, כדי ליצור רשומת DNS באזור, משתמשים בפקודה gcloud dns record-sets create:

    gcloud dns record-sets create DNS_RECORD \
--project=PROJECT_ID \
--type=RRSET_TYPE \
--rrdatas=RR_DATA \
--zone=ZONE_NAME

    מחליפים את הפרטים הבאים:

    • DNS_RECORD: השם של רשומת ה-DNS. הרשומה הזו מוגדרת לשם ה-DNS שאחזרתם ממופע Cloud SQL קודם לכן בתהליך הזה (לדוגמה, 1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.).
    • RRSET_TYPE: סוג רשומת המשאב של קבוצת רשומות ה-DNS. אם כתובת ה-IP הפנימית ששמרתם עבור נקודת הקצה (endpoint) של Private Service Connect היא IPv4, צריך לציין A עבור הפרמטר הזה. אחרת, אם כתובת ה-IP של נקודת הקצה היא IPv6, מציינים AAAA.
    • RR_DATA: כתובת ה-IP שהוקצתה לנקודת הקצה של Private Service Connect (לדוגמה, 198.51.100.5). אפשר גם להזין כמה ערכים, כמו rrdata1 rrdata2 rrdata3 (לדוגמה, 10.1.2.3 10.2.3.4 10.3.4.5).

REST

  1. קבלת שם ה-DNS של מכונת Cloud SQL.

    2. לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע
    • INSTANCE_NAME: השם של המכונה

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  ...
  "dnsName": "INSTANCE_ID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog."
}

    בשדה dnsName מוצג שם ה-DNS של מכונת Cloud SQL. שמות DNS תמיד מסתיימים בנקודה (.).

  2. יוצרים אזור DNS פרטי. האזור הזה משויך לרשת ה-VPC שמשמשת לחיבור למופע Cloud SQL דרך נקודת הקצה של Private Service Connect.

    3. לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את תחום ה-DNS
    • ZONE_NAME: השם של האזור
    • DESCRIPTION: תיאור של התחום (לדוגמה, תחום DNS למופע Cloud SQL)
    • DNS_NAME: השם של סיומת ה-DNS של האזור, למשל REGION_NAME.sql.goog. (כאשר REGION_NAME הוא שם האזור של האזור)
    • NETWORK_NAME: השם של רשת ה-VPC

    ה-method של ה-HTTP וכתובת ה-URL: 

    POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones

    תוכן בקשת JSON: 

    {
  "name": "ZONE_NAME",
  "description": "DESCRIPTION",
  "dnsName": "DNS_NAME",
  "visibility": "private",
  "privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "networks": [
      {
        "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
        "networkUrl": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME"
      }
    ]
  }
}

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "name": "ZONE_NAME",
  "dnsName": "DNS_NAME",
  "description": "DESCRIPTION",
  "id": "ID",
  "nameServers": [
    "ns-gcp-private.googledomains.com."
  ],
  "creationTime": "2024-05-10T17:05:34.607Z",
  "visibility": "private",
  "privateVisibilityConfig": {
    "networks": [
      {
        "networkUrl": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME",
        "kind": "dns#managedZonePrivateVisibilityConfigNetwork"
      }
    ],
    "gkeClusters": [],
    "kind": "dns#managedZonePrivateVisibilityConfig"
  },
  "cloudLoggingConfig": {
    "kind": "dns#managedZoneCloudLoggingConfig"
  },
  "kind": "dns#managedZone"
}
  3. אחרי יצירת נקודת הקצה של Private Service Connect, יוצרים רשומת DNS באזור.

    4. לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את תחום ה-DNS.
    • ZONE_NAME: שם האזור.
    • DNS_RECORD: השם של רשומת ה-DNS. הרשומה הזו מוגדרת לשם ה-DNS שאחזרתם ממופע Cloud SQL קודם לכן בתהליך הזה (לדוגמה, 1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.).
    • RRSET_TYPE: סוג רשומת המשאב של קבוצת רשומות ה-DNS. אם כתובת ה-IP הפנימית ששמרתם עבור נקודת הקצה (endpoint) של Private Service Connect היא IPv4, צריך לציין A עבור הפרמטר הזה. אחרת, אם כתובת ה-IP של נקודת הקצה היא IPv6, מציינים AAAA.
    • TTL: אורך החיים (TTL) של קבוצת הרשומות במספר שניות (לדוגמה, 300).
    • RR_DATA: כתובת ה-IP שהוקצתה לנקודת הקצה של Private Service Connect (לדוגמה, 198.51.100.5). אפשר גם להזין כמה ערכים, כמו rrdata1 rrdata2 rrdata3 (לדוגמה, 10.1.2.3 10.2.3.4 10.3.4.5).

    ה-method של ה-HTTP וכתובת ה-URL: 

    POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ZONE_NAME

    תוכן בקשת JSON: 

    {
  "deletions": []
  "additions": [
    {
      "name": "DNS_RECORD",
      "type": "RRSET_TYPE",
      "ttl": TTL,
      "rrdatas": [
        "RR_DATA"
      ]
    }
  ]
}

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "additions": [
    {
      "name": "DNS_RECORD",
      "type": "RRSET_TYPE",
      "ttl": TTL,
      "rrdatas": [
        "RR_DATA"
      ],
      "signatureRrdatas": [],
      "kind": "dns#resourceRecordSet"
    }
  ],
  "deletions": [],
  "startTime": "2024-05-10T17:29:44.375Z",
  "id": "CHANGE_ID",
  "status": "pending",
  "kind": "dns#change"
}

התחברות ישירה באמצעות רשומת DNS

לפני שמתחברים למופע Cloud SQL באמצעות רשומת DNS, צריך לבצע את הפעולות הבאות:

  1. יצירת נקודת קצה מסוג Private Service Connect
  2. מוודאים שקובץ ה-service attachment של המופע מקבל את נקודת הקצה. כדי לוודא שהסטטוס של נקודת הקצה הוא ACCEPTED, בודקים את הסטטוס.
  3. הגדרת תחום מנוהל של DNS ורשומת DNS.

אחרי שתעמדו בתנאים האלה, תוכלו להשתמש ברשומת ה-DNS כדי להתחבר למופע מכל רשת VPC שבה יצרתם את נקודת הקצה.

psql "sslmode=disable dbname=DATABASE_NAME user=USERNAME host=DNS_RECORD"

מחליפים את הפרטים הבאים:

  • DATABASE_NAME: השם של מסד הנתונים של Cloud SQL ל-PostgreSQL שנמצא במופע
  • USERNAME: השם של המשתמש שמתחבר למכונה
  • DNS_RECORD: רשומת ה-DNS של נקודת הקצה

התחברות ישירה באמצעות כתובת IP פנימית

לפני שמתחברים למופע Cloud SQL עם Private Service Connect מופעל, צריך לבצע את הפעולות הבאות:

  1. יצירת נקודת קצה מסוג Private Service Connect
  2. מוודאים שקובץ ה-service attachment של המופע מקבל את נקודת הקצה. כדי לוודא שהסטטוס של נקודת הקצה הוא ACCEPTED, בודקים את הסטטוס.

אחרי שתעמדו בתנאים האלה, תוכלו להשתמש בכתובת ה-IP של נקודת הקצה כדי לגשת למופע מכל רשת VPC שבה יצרתם את נקודת הקצה.

  1. מאחזרים את כתובת ה-IP הפנימית של נקודת הקצה של Private Service Connect באמצעות השם של כתובת ה-IP של נקודת הקצה.

    gcloud

    כדי לאחזר את כתובת ה-IP, משתמשים בפקודה gcloud compute addresses describe:

    gcloud compute addresses describe ADDRESS_NAME \
--project=PROJECT_ID \
--region=REGION_NAME

    מחליפים את הפרטים הבאים:

    • ADDRESS_NAME: השם של כתובת ה-IP של נקודת הקצה
    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה
    • REGION_NAME: שם האזור של נקודת הקצה

    בתשובה, מוודאים שכתובת IP מופיעה בשדה address. זוהי כתובת ה-IP הפנימית.

    REST

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה
    • REGION_NAME: שם האזור של נקודת הקצה
    • ADDRESS_NAME: השם של כתובת ה-IP של נקודת הקצה

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/addresses/ADDRESS_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "kind": "compute#address",
  "id": "ADDRESS_ID",
  "creationTimestamp": "2024-05-09T11:20:50.114-07:00",
  "name": "ADDRESS_NAME",
  "description": "This is the name of the internal IP address.",
  "address": "IP_ADDRESS",
  "status": "RESERVED",
  "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/addresses/ADDRESS_NAME",
  "networkTier": "PREMIUM",
  "labelFingerprint": "LABEL_FINGERPRINT_ID",
  "addressType": "EXTERNAL"
}

    כתובת ה-IP הפנימית היא הערך שמשויך לשדה address.

  2. אפשר גם לאחזר את כתובת ה-IP הפנימית של נקודת הקצה (endpoint) של Private Service Connect באמצעות הקובץ המצורף לשירות של מופע Cloud SQL.

    gcloud

    כדי לאחזר את כתובת ה-IP, משתמשים בפקודה gcloud compute forwarding-rules list:

    gcloud compute forwarding-rules list \
--filter="TARGET:REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME" \
--project=PROJECT_ID

    מחליפים את הפרטים הבאים:

    • REGION_NAME: שם האזור של נקודת הקצה
    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה
    • SERVICE_ATTACHMENT_NAME: השם של קובץ השירות המצורף למופע Cloud SQL

    בתגובה, מוודאים שמופיעה כתובת IP. זוהי כתובת ה-IP הפנימית.

    זוהי דוגמה לתשובה:

    NAME REGION IP_ADDRESS TARGET
    myInstance us-central1 10.10.10.10 us-central1/serviceAttachments/a-123456789e0a-psc-service-attachment-abc123d4e5f67gh8

    REST

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה
    • REGION_NAME: שם האזור של נקודת הקצה
    • SERVICE_ATTACHMENT_PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את קובץ השירות
    • SERVICE_ATTACHMENT_NAME: השם של קובץ השירות המצורף למופע Cloud SQL

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules?target="https://www.googleapis.com/compute/v1/projects/SERVICE_ATTACHMENT_PROJECT_ID/regions/REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME"

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "kind": "compute#forwardingRuleList",
  "id": "projects/PROJECT_ID/regions/REGION_NAME/forwardingRules",
  "items": [
    {
      "kind": "compute#forwardingRule",
      "id": "FORWARDING_RULE_ID",
      "creationTimestamp": "2023-10-31T13:04:37.168-07:00",
      "name": "FORWARDING_RULE_NAME",
      "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME",
      "IPAddress": "IP_ADDRESS",
      "target": "https://www.googleapis.com/compute/v1/projects/SERVICE_ATTACHMENT_PROJECT_ID/regions/REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME",
      "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules/FORWARDING_RULE_NAME",
      "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "serviceDirectoryRegistrations": [
        {
          "namespace": "goog-psc-default"
        }
      ],
      "networkTier": "PREMIUM",
      "labelFingerprint": "LABEL_FINGERPRINT_ID",
      "fingerprint": "FINGERPRINT_ID",
      "pscConnectionId": "PSC_CONNECTION_ID",
      "pscConnectionStatus": "CLOSED",
      "allowPscGlobalAccess": true
    }
  ],
  "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules"
}

    כתובת ה-IP הפנימית היא הערך שמשויך לשדה IPAddress.

  3. כדי להתחבר למופע Cloud SQL, משתמשים בכתובת ה-IP הפנימית.

    psql "sslmode=disable dbname=DATABASE_NAME user=USERNAME hostaddr=IP_ADDRESS"

    מחליפים את הפרטים הבאים:

    • DATABASE_NAME: השם של מסד הנתונים של Cloud SQL ל-PostgreSQL שנמצא במופע
    • USERNAME: השם של המשתמש שמתחבר למכונה
    • IP_ADDRESS: כתובת ה-IP של נקודת הקצה

התחברות באמצעות שרת proxy ל-Cloud SQL Auth

שרת ה-proxy ל-Cloud SQL Auth הוא מחבר שמספק גישה מאובטחת למכונה עם Private Service Connect מופעל, בלי צורך ברשתות מורשות או בהגדרת SSL.

כדי לאפשר חיבורי לקוח של שרת proxy ל-Cloud SQL Auth, צריך להגדיר רשומת DNS שתתאים לשם ה-DNS המומלץ שסופק עבור המכונה. רשומת ה-DNS היא מיפוי בין משאב DNS לבין שם דומיין.

אם אתם מתחברים באמצעות Private Service Connect, נדרשת גרסה v2.5.0 ואילך של Cloud SQL Auth Proxy.

הורדה והתקנה של שרת proxy ל-Cloud SQL Auth

כדי להתחבר למכונות שמופעל בהן Private Service Connect, צריך להוריד ולהתקין את הקובץ הבינארי של Cloud SQL Auth Proxy. קובץ הבינארי שאתם מורידים תלוי במערכת ההפעלה, ובסוג הליבה שלה – 32 סיביות או 64 סיביות. ברוב המכשירים החדשים יותר נעשה שימוש בקרנל של 64 ביט.

אם אתם לא בטוחים אם במחשב שלכם פועל ליבת 32 ביט או 64 ביט, תוכלו להשתמש בפקודה uname -a ב-Linux או ב-macOS. ב-Windows, אפשר לעיין במסמכי התיעוד של Windows.

הפעלת שרת proxy ל-Cloud SQL Auth

שרת proxy ל-Cloud SQL Auth תומך בחיבורים למכונות שמופעל בהן Private Service Connect. מידע נוסף זמין במאמר הפעלת שרת proxy ל-Cloud SQL Auth.

  1. צפייה בסיכום מידע על מופע Cloud SQL, כולל שם החיבור של המופע.

    gcloud

    כדי לראות סיכום מידע על מופע Cloud SQL, משתמשים בפקודה
    gcloud sql instances describe.

    gcloud sql instances describe INSTANCE_NAME \
--project=PROJECT_ID \
--format='value(connectionName)'

    מחליפים את הפרטים הבאים:

    • INSTANCE_NAME: השם של מכונת Cloud SQL
    • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע

    שם החיבור הוא בפורמט PROJECT_ID:REGION_NAME:INSTANCE_NAME.

    REST

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע
    • INSTANCE_NAME: השם של המכונה

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  ...
  "connectionName": "PROJECT_ID:REGION_NAME:INSTANCE_NAME"
}

    שם החיבור הוא בפורמט PROJECT_ID:REGION_NAME:INSTANCE_NAME.

  2. מעתיקים את שם החיבור של המכונה.

  3. מפעילים את שרת ה-proxy ל-Cloud SQL Auth:

    ./cloud-sql-proxy INSTANCE_CONNECTION_NAME --psc

    מחליפים את INSTANCE_CONNECTION_NAME בשם החיבור של המכונה שהעתקתם בשלב הקודם.

חיבור באמצעות Cloud SQL Language Connectors

מחברי השפה של Cloud SQL הם ספריות שמספקות גישה מאובטחת למופע של Cloud SQL עם Private Service Connect מופעל, בלי צורך ברשתות מורשות או בהגדרת SSL.

כדי לאפשר חיבורים באמצעות Cloud SQL Language Connectors, צריך להגדיר רשומת DNS שתואמת לשם ה-DNS המומלץ שמופיע עבור המופע. רשומת ה-DNS היא מיפוי בין משאב DNS לבין שם דומיין.

מחברי השפה של Cloud SQL תומכים בחיבורים של Private Service Connect דרך PSC סוג ה-IP בספריות המתאימות.

התחברות מ-App Engine Standard, מ-Cloud Run או מפונקציות של Cloud Run

כדי להתחבר למופעי Cloud SQL עם Private Service Connect מופעל, אפשר להשתמש ב-App Engine Standard או ב-Cloud Run.

בסביבות הנתמכות האלה של שרתים וירטואליים, יש תמיכה במחברי שפות של Cloud SQL ובחיבורי TCP ישירים באמצעות כתובת IP ומספר יציאה. בחיבורי TCP ישירים, זו כתובת ה-IP ששמרתם כשיצרתם את נקודת הקצה של Private Service Connect. אפשר לציין את כתובת ה-IP ככתובת של מארח מסד הנתונים.

אם יוצרים רשומת DNS לנקודת הקצה, אפשר לציין את הרשומה הזו למארח.

חיבור מ-BigQuery

כדי לגשת לנתונים ב-Cloud SQL ולהריץ שאילתות על הנתונים האלה באמצעות חיבור IP פנימי, משתמשים בפרמטר
--enable-google-private-path . הפרמטר הזה תקף רק אם:

  • משתמשים בפרמטר --no-assign-ip.
  • משתמשים בפרמטר --network כדי לציין את השם של רשת ה-VPC שרוצים להשתמש בה כדי ליצור חיבור פנימי.

הגדרת קישוריות יוצאת למכונה של Cloud SQL

אתם יכולים להגדיר את מופע Cloud SQL עם Private Service Connect כך שתהיה לו קישוריות יוצאת לרשת באמצעות ממשק Private Service Connect וקובץ מצורף עם הרשת. מידע נוסף על האופן שבו פועלת קישוריות יוצאת של Private Service Connect ועל המגבלות שלה זמין במאמר סקירה כללית על קישוריות יוצאת של Private Service Connect.

כדי להשתמש בקישוריות יוצאת עם מופע Cloud SQL, צריך:

  1. יוצרים או מעדכנים קובץ מצורף לרשת. החיבור לרשת משמש את מכונת Cloud SQL כדי להתחבר לממשק Private Service Connect של הרשת.

    1. הקובץ המצורף לרשת צריך להיות באותו אזור כמו מכונת Cloud SQL, וצריך להיות מוגדר לקבל חיבורים באופן אוטומטי באמצעות רשימה מממשקי Private Service Connect.

      המופע צריך שתי כתובות IP: אחת למופע הראשי ואחת למופע ההמתנה.

    2. מאתרים את מזהה פרויקט הדייר ב-Cloud SQL. משתמשים בפקודה gcloud sql instances describe כדי לאחזר פרטים על המופע. אפשר למצוא את מזהה פרויקט הדייר בכתובת ה-URL של קובץ השירות שמוצגת בפלט:

        ADMIN_PROJECT=PROJECT_ID
  INSTANCE_NAME=INSTANCE_NAME

  TENANT_PROJECT_ID=$(gcloud --project=$ADMIN_PROJECT sql instances describe $INSTANCE_NAME | grep pscServiceAttachmentLink | cut -f 2 -d "/")

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: מזהה הפרויקט של הפרויקט שבו אתם משתמשים ב- Cloud de Confiance by S3NS.
      • INSTANCE_NAME: השם של מופע Cloud SQL עם Private Service Connect שרוצים להגדיר עבור קישוריות יוצאת.

      שומרים את הערך של מזהה פרויקט הדייר כדי לכלול אותו מאוחר יותר ברשימה של מזהי פרויקטים קבילים. המאפיין הזה נדרש כשיוצרים או מעדכנים קובץ מצורף לרשת ב Cloud de Confiance by S3NS פרויקט.

  2. מזהים את הרשת שרוצים לקבל ממנה חיבורים יוצאים של Cloud SQL ומוודאים שיש לה ממשק Private Service Connect.

  3. מפעילים חיבורים יוצאים למכונה של Cloud SQL באמצעות קובץ מצורף לרשת.

אתם יכולים גם להשבית את הקישוריות היוצאת בכל שלב, אם אתם לא צריכים יותר חיבורים יוצאים למופע.

מידע נוסף על קישוריות יוצאת של Private Service Connect זמין במאמר חיבורים יוצאים של Private Service Connect.

הפעלת חיבורים יוצאים למכונה של Cloud SQL

כדי להפעיל קישוריות יוצאת למכונה של Cloud SQL, צריך קודם ליצור או לעדכן קובץ מצורף לרשת בפרויקט Cloud de Confiance by S3NS .

gcloud

כדי להפעיל קישוריות יוצאת, מריצים את הפקודה הבאה:

gcloud beta sql instances patch INSTANCE_NAME \
  --psc-network-attachment-uri=NETWORK_ATTACHMENT_URI \
  --project=PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_NAME: השם של מופע Cloud SQL עם Private Service Connect שרוצים להגדיר עבור קישוריות יוצאת.
  • NETWORK_ATTACHMENT_URI: ה-URI של קובץ הרשת המצורף בפרויקט Cloud de Confiance by S3NS שבו רוצים להשתמש כדי להתחבר לממשק Private Service Connect של הרשת.
  • PROJECT_ID: מזהה הפרויקט של Cloud de Confiance by S3NSהפרויקט שבו אתם משתמשים.

כדי לוודא שהפעלתם בהצלחה את הקישוריות היוצאת של Private Service Connect, מריצים את הפקודה gcloud sql instances describe. אם הפלט יחזיר psc-network-attachment-uri, סימן שהפעלת הקישוריות היוצאת של Private Service Connect הושלמה בהצלחה.

REST v1

כדי להפעיל קישוריות יוצאת, מריצים את הפקודה הבאה:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • NETWORK_ATTACHMENT_URI: ה-URI של רכיב הרשת המצורף בפרויקט.
  • INSTANCE_ID: השם של מופע Cloud SQL.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID

תוכן בקשת JSON: 

{
  "settings": {
    "ipConfiguration": {
      "pscConfig: {
        "networkAttachmentUri": "NETWORK_ATTACHMENT_URI"
        "kind": "sql#settings"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": USER,
  "insertTime": "2025-05-13T20:44:23.064Z",
  "operationType": "UPDATE",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID","
}

REST v1beta4

כדי להפעיל קישוריות יוצאת, מריצים את הפקודה הבאה:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • NETWORK_ATTACHMENT_URI: ה-URI של רכיב הרשת המצורף בפרויקט.
  • INSTANCE_ID: השם של מופע Cloud SQL.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

תוכן בקשת JSON: 

{
  "settings": {
    "ipConfiguration": {
      "pscConfig: {
        "networkAttachmentUri": "NETWORK_ATTACHMENT_URI"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": USER,
  "insertTime": "2025-05-13T20:44:23.064Z",
  "operationType": "UPDATE",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID","
}

למידע על פתרון בעיות שקשורות לקישוריות יוצאת של Private Service Connect, אפשר לעיין במאמר פתרון בעיות ב-Private Service Connect.

השבתת חיבורים יוצאים למכונה של Cloud SQL

gcloud

כדי להשבית את הקישוריות היוצאת, מריצים את הפקודה הבאה:

gcloud beta sql instances patch INSTANCE_NAME \
  --clear-psc-network-attachment-uri \
  --project=PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_NAME: השם של מופע Cloud SQL עם Private Service Connect שרוצים להגדיר עבור קישוריות יוצאת.
  • PROJECT_ID: מזהה הפרויקט של Cloud de Confiance by S3NSהפרויקט שבו אתם משתמשים.

REST v1

כדי להשבית את הקישוריות היוצאת, מריצים את הפקודה הבאה:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • NETWORK_ATTACHMENT_URI: ה-URI של רכיב הרשת המצורף בפרויקט. כדי להשבית את ההגדרה, מגדירים את הערך null.
  • INSTANCE_ID: השם של מופע Cloud SQL.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID

תוכן בקשת JSON: 

{
  "settings": {
    "ipConfiguration": {
      "pscConfig: {
        "networkAttachmentUri": null,
        "kind": "sql#settings"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": USER,
  "insertTime": "2025-05-13T20:44:23.064Z",
  "operationType": "UPDATE",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID","
}

REST v1beta4

כדי להשבית את הקישוריות היוצאת, מריצים את הפקודה הבאה:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • NETWORK_ATTACHMENT_URI: ה-URI של רכיב הרשת המצורף בפרויקט. כדי להשבית את ההגדרה, מגדירים את הערך null.
  • INSTANCE_ID: השם של מופע Cloud SQL.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

תוכן בקשת JSON: 

{
  "settings": {
    "ipConfiguration": {
      "pscConfig: {
        "networkAttachmentUri": null,
        "kind": "sql#settings"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": USER,
  "insertTime": "2025-05-13T20:44:23.064Z",
  "operationType": "UPDATE",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID","
}

בדיקת הקישוריות

כדי לבדוק קישוריות נכנסת למופע Cloud SQL עם Private Service Connect מופעל, צריך להגדיר את כתובת ה-IP של נקודת הקצה של Private Service Connect ככתובת ה-IP של היעד.

gcloud

כדי ליצור בדיקת קישוריות למופע Cloud SQL עם Private Service Connect מופעל, משתמשים בפקודה gcloud network-management connectivity-tests create:

gcloud network-management connectivity-tests create CONNECTIVITY_TEST_NAME \
--source-instance=SOURCE_INSTANCE \
--destination-cloud-sql-instance=DESTINATION_CLOUD_SQL_INSTANCE \
--destination-network=DESTINATION_NETWORK \
--destination-port=DESTINATION_PORT \
--protocol=tcp

מחליפים את הפרטים הבאים:

  • CONNECTIVITY_TEST_NAME: השם של בדיקת הקישוריות.
  • SOURCE_INSTANCE: ה-URI של מופע Compute Engine שבו נמצאת כתובת ה-IP של המקור (לדוגמה, projects/myproject/zones/myzone/instances/myinstance).
  • DESTINATION_CLOUD_SQL_INSTANCE: כתובת ה-URL של מופע Cloud SQL (לדוגמה, projects/myproject/instances/myinstance).
  • DESTINATION_NETWORK: ה-URI של רשת ה-VPC שבה נמצאת כתובת ה-IP של היעד (לדוגמה, projects/myproject/global/networks/mynetwork).
  • DESTINATION_PORT: מספר היציאה ששמור למכונה. במופעים של Cloud SQL ל-PostgreSQL, מספר היציאה הוא 5432.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Cloud de Confiance שמכיל את המופע.
  • CONNECTIVITY_TEST_NAME: השם של בדיקת הקישוריות.
  • SOURCE_IP_ADDRESS: כתובת ה-IP של מכונת המקור של Compute Engine.
  • SOURCE_INSTANCE: ה-URI של מופע Compute Engine שבו נמצאת כתובת ה-IP של המקור (לדוגמה, projects/myproject/zones/myzone/instances/myinstance).
  • SOURCE_NETWORK: ה-URI של רשת ה-VPC שבה נמצאת כתובת ה-IP של המקור (לדוגמה, projects/myproject/global/networks/mynetwork).
  • DESTINATION_IP_ADDRESS: כתובת ה-IP של מופע היעד של Cloud SQL.
  • DESTINATION_PORT: מספר היציאה ששמור למכונה. במופעים של Cloud SQL ל-PostgreSQL, מספר היציאה הוא 5432.
  • DESTINATION_NETWORK: ה-URI של רשת ה-VPC שבה נמצאת כתובת ה-IP של היעד (לדוגמה, projects/myproject/global/networks/mynetwork).

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://networkmanagement.googleapis.com/v1beta/projects/PROJECT_ID/locations/global/connectivityTests?testId=CONNECTIVITY_TEST_NAME

תוכן בקשת JSON: 

{
  "source": {
    "ipAddress": "SOURCE_IP_ADDRESS",
    "instance": "SOURCE_INSTANCE",
    "network": "SOURCE_NETWORK"
  },
  "destination": {
    "ipAddress": "DESTINATION_IP_ADDRESS",
    "port": DESTINATION_PORT,
    "network": "DESTINATION_NETWORK",
    "projectId": "PROJECT_ID"
  },
  "protocol": "TCP"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/PROJECT_ID/locations/global/operations/operation-OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkmanagement.v1.OperationMetadata",
    "createTime": "2024-05-23T16:43:49.313981473Z",
    "target": "projects/PROJECT_ID/locations/global/connectivityTests/CONNECTIVITY_TEST_NAME",
    "verb": "create",
    "cancelRequested": false,
    "apiVersion": "v1"
  },
  "done": false
}

מגבלות

  • אתם יכולים להגדיר עד 20 נקודות קצה של Private Service Connect שמתחברות לקובץ המצורף של שירות במכונת Cloud SQL עם Private Service Connect מופעל.

    אם אתם צריכים להתחבר מיותר רשתות VPC, אתם יכולים להשתמש בהפצה של נקודת קצה (endpoint) מסוג Private Service Connect דרך NCC. מידע נוסף זמין במאמר בנושא הפצה של נקודות קצה של Private Service Connect.

  • אפשר ליצור עד 64,512 חיבורים בו-זמניים באמצעות Private Service Connect למכונת Cloud SQL.

  • הדגלים הבאים לא תקפים או מושפעים:

    • --no-assign-ip: צריך להשתמש בדגל הזה כי לא ניתן להשתמש במופעים עם Private Service Connect מופעל בסוגי קישוריות אחרים, כמו חיבורי כתובת IP חיצונית
    • --authorized-networks: אי אפשר להשתמש בדגל הזה כדי להוסיף רשתות מורשות
    • --network: אי אפשר להשתמש בדגל הזה כי הוא משויך לגישה לשירותים פרטיים
    • --allocated-ip-range-name: אי אפשר להשתמש בדגל הזה כי אין תמיכה בשמות של טווחי כתובות IP מותרים

  • אי אפשר להגדיר מופע שמופעל בו Private Service Connect כך שישתמש בגישה לשירותים פרטיים או בחיבורי כתובת IP חיצונית.

    • אי אפשר להפעיל חיבורים של כתובות IP חיצוניות במכונה שמופעל בה Private Service Connect.
    • אי אפשר להפעיל גישה לשירותים פרטיים או להוסיף רשתות מורשות למופע.
    • אי אפשר לשנות את סוג הקישוריות של המופע.

  • אי אפשר להשתמש בפקודה gcloud sql connect, ב-Cloud Shell, ב-Cloud Build או ב-Datastream כדי להתחבר למופעי Cloud SQL עם Private Service Connect מופעל.

  • כשבודקים את הקישוריות למופע Cloud SQL עם Private Service Connect מופעל, אי אפשר להגדיר את הפריטים הבאים:

    • כתובת ה-IP הפנימית או שם ה-DNS של המופע כיעד ישירות
    • המופע כמקור
    • כתובת ה-IP של נקודת הקצה של Private Service Connect כמקור

  • אין תמיכה בהוספה לרשימת ההיתרים על סמך כתובת IP באמצעות רשתות מורשות.

  • אין תמיכה ברשימת היתרים מבוססת-IP שנאכפת על ידי בקרת גישה מבוססת-הקשר.

  • אין תמיכה בשליטה, ברישום ובמדדים שמבוססים על כתובת IP של לקוח עבור תובנות לגבי שאילתות ומערכות. עם זאת, יש תמיכה ב-VPN וב-Interconnect.

  • אם פרויקט הרשת מכיל מכונות שמשתמשות בארכיטקטורת הרשת הישנה של Cloud SQL, אי אפשר ליצור מכונה של Private Service Connect. ‫Cloud SQL מספק כלים שיעזרו לכם לשדרג את המכונות מארכיטקטורת הרשת הישנה לארכיטקטורת הרשת החדשה. למידע נוסף או כדי לבדוק את ארכיטקטורת הרשת של מכונות Cloud SQL בפרויקט ולבצע שדרוגים נדרשים, אפשר לעיין במאמר שדרוג מכונה לארכיטקטורת הרשת החדשה.

פתרון בעיות

בקטע הזה מפורט מידע על בעיות שקשורות למופעי Cloud SQL עם Private Service Connect מופעל, וגם שלבים לפתרון הבעיות.
שגיאה פתרון בעיות
הקובץ המצורף של השירות של המופע לא מקבל את נקודת הקצה של Private Service Connect.
  1. בודקים את הסטטוס של נקודת הקצה.

    gcloud

    כדי לבדוק את הסטטוס, משתמשים בפקודה
    gcloud compute forwarding-rules describe.

    gcloud compute forwarding-rules describe ENDPOINT_NAME \
--project=PROJECT_ID \
--region=REGION_NAME \
| grep pscConnectionStatus

    מחליפים את הפרטים הבאים:

    • ENDPOINT_NAME: השם של נקודת הקצה
    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה
    • REGION_NAME: שם האזור של נקודת הקצה

    REST

    לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

    • PROJECT_ID: המזהה או מספר הפרויקט של Cloud de Confiance הפרויקט שמכיל את נקודת הקצה של Private Service Connect
    • REGION_NAME: שם האזור
    • ENDPOINT_NAME: השם של נקודת הקצה

    ה-method של ה-HTTP וכתובת ה-URL: 

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules/ENDPOINT_NAME

    כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

    אתם אמורים לקבל תגובת JSON שדומה לזו:

    {
  "kind": "compute#forwardingRule",
  "id": "ENDPOINT_ID",
  "creationTimestamp": "2024-05-09T12:03:21.383-07:00",
  "name": "ENDPOINT_NAME",
  "region": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME",
  "IPAddress": "IP_ADDRESS",
  "target": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/serviceAttachments/SERVICE_ATTACHMENT_NAME",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/forwardingRules/ENDPOINT_NAME",
  "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default",
  "serviceDirectoryRegistrations": [
    {
      "namespace": "goog-psc-default"
    }
  ],
  "networkTier": "PREMIUM",
  "labelFingerprint": "LABEL_FINGERPRINT_ID",
  "fingerprint": "FINGERPRINT_ID",
  "pscConnectionId": "CONNECTION_ID",
  "pscConnectionStatus": "ACCEPTED",
  "allowPscGlobalAccess": true
}
  2. מוודאים שהסטטוס של נקודת הקצה הוא ACCEPTED. אם הסטטוס הוא PENDING, המשמעות היא שהמופע לא מאפשר את הפרויקט שמכיל את נקודת הקצה. Cloud de Confiance מוודאים שהפרויקט ברשת שבו נוצרה נקודת הקצה מותר. מידע נוסף זמין במאמר עריכת מופע עם Private Service Connect מופעל.
ERROR: (gcloud.compute.forwarding-rules.create) Could not fetch resource: The resource 'projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME' was not found הודעת השגיאה הזו יכולה להופיע כשמזמינים כתובת IP פנימית סטטית לנקודת הקצה (endpoint) של Private Service Connect. מוודאים שרשת המשנה שצוינה קיימת בפרויקט שצוין ב-URI. אם רוצים ליצור נקודת קצה בפרויקט שירות אבל להשתמש בתת-רשת מרשת VPC משותפת, צריך לציין את תת-הרשת באמצעות ה-URI שלה ולהשתמש במזהה הפרויקט של פרויקט המארח ב-URI. מידע נוסף זמין במאמר יצירת נקודת הקצה באופן ידני.
ERROR: (gcloud.compute.forwarding-rules.create) Could not fetch resource: - The resource 'projects/PROJECT_ID/global/networks/NETWORK_NAME' was not found הודעת השגיאה הזו יכולה להופיע כשיוצרים נקודת קצה (endpoint) של Private Service Connect באופן ידני. מוודאים שהרשת שצוינה קיימת בפרויקט שצוין ב-URI. אם רוצים ליצור נקודת קצה בפרויקט שירות אבל להשתמש ברשת VPC משותפת, צריך לציין את הרשת באמצעות ה-URI שלה ולהשתמש במזהה הפרויקט של פרויקט המארח ב-URI. מידע נוסף זמין במאמר יצירת נקודת הקצה באופן ידני.
Invalid consumer network status for PSC auto connection.

הרשת של הצרכן לא מוגדרת נכון או לא מוגדרת בכלל, ולכן אין נקודת קצה שאפשר להתחבר אליה. כדי להתחבר לנקודת הקצה, צריך לבדוק את הסטטוס שלה ולתקן את השגיאה לפני שמנסים להתחבר שוב.
כדי לבדוק את הסטטוס של נקודת קצה, אפשר לעיין במאמר אחזור נקודת הקצה. הסטטוס של נקודת הקצה יכול להיות אחד מהבאים:

  • CONNECTION_POLICY_MISSING: אין מדיניות תואמת של חיבור שירות ברשת הצרכן. מדיניות חיבור לשירותים מוגדרת לפי רשת, לפי אזור. כדי להגדיר מחדש את הרשת, אפשר לעיין במאמר בנושא עדכון מדיניות חיבור לשירות.
  • CONSUMER_INSTANCE_PROJECT_NOT_ALLOWLISTED: יש מדיניות תואמת של חיבור שירות, אבל השדה היקף מופע השירות במדיניות לא מוגדר כך שיאפשר חיבור למופע הזה של Cloud SQL. מעדכנים את המדיניות כדי להגדיר את הערך של השדה היקף מופע השירות (--producer-instance-location) עם הפרויקט, התיקייה או הארגון שבהם נמצא מופע Cloud SQL. כדי להגדיר מחדש את המדיניות של חיבור השירות, אפשר לעיין במאמר עדכון מדיניות של חיבור שירות.
  • POLICY_LIMIT_REACHED: מדיניות החיבור לשירות הגיעה למגבלת נקודות הקצה. כדי לפתור את הבעיה, צריך להגדיל את מגבלת נקודות הקצה על ידי עדכון המדיניות של חיבור השירות.

No permission to create a service connection policy.

אין לכם את ההרשאות הנדרשות כדי ליצור מדיניות של חיבור שירות. כדי ליצור מדיניות לחיבור שירות, צריך את התפקיד Compute Network Admin IAM. מידע נוסף זמין במאמר בנושא תפקידים והרשאות.

לא ניתן לקבל חיבורים מהממשק של Private Service Connect לקובץ המצורף עם הרשת כשמשתמשים בקישוריות יוצאת של Private Service Connect.

אם הרשת החיצונית לא יכולה לקבל חיבורים מממשק Private Service Connect, יכול להיות שמדיניות החיבורים בקובץ המצורף של הרשת לא מוגדרת בצורה נכונה.

צריך להגדיר את הקבצים המצורפים לרשת כך שיקבלו את כל החיבורים באופן אוטומטי, או להגדיר אותם באופן ידני עם רשימה של חיבורים מאושרים. מידע נוסף זמין במאמר בנושא מדיניות חיבור.

כדי לאמת את החיבורים שאושרו, מריצים את הפקודה הבאה בקובץ המצורף לרשת:

      gcloud compute network-attachments describe default
      --region=REGION_ID
 אם הממשק של Private Service Connect לא מופיע ברשימה המקובלת, צריך לעדכן את הקובץ המצורף עם הרשת. מידע נוסף מופיע במאמר בנושא ניהול קבצים מצורפים ברשת.

המאמרים הבאים