Istnieje kilka sposobów na ustawienie bezpiecznego połączenia z instancją Cloud SQL.
- Użyj certyfikatów SSL, aby połączyć się z instancją i włącz opcję „Zezwalaj tylko na połączenia SSL”.
-
Użyj prywatnego adresu IP. Rozumiem, że utworzona przez Ciebie aplikacja nie jest hostowana w GCP, ale gdzie indziej, więc dobrym rozwiązaniem jest:
2.1. Włącz funkcję prywatnego adresu IP w swojej instancji CSQL
2.2. Włącz „importowanie trasy niestandardowe " w właśnie utworzonej komunikacji równorzędnej między twoim projektem (nazwijmy ten projekt "projektem A") a projektem dzierżawcy, w którym znajduje się twój CSQL (nazwa tego projektu będzie wyglądać jak "plamika-parasol-[pg]-xx" JFYI). Pamiętaj, że ta funkcja jest w wersji beta.
2.3. Poproś nasz zespół pomocy technicznej o włączenie „eksportu tras niestandardowych” na właśnie utworzonym peeringu, ale na razie po naszej stronie (we wspomnianym już projekcie „plamika-parasol-[pg]-xx”). Jeśli nie masz pakietu pomocy, możesz otworzyć narzędzie do śledzenia problemów prywatnych, korzystając z tego link określając moje imię i nazwisko, identyfikator projektu i instancję CSQL, w której chcesz włączyć tę funkcję. Nie martw się, narzędzie do śledzenia problemów, które tam otworzysz, jest widoczne tylko dla pracowników Google i dla Ciebie. Pamiętaj, że otwarcie narzędzia do śledzenia problemów może potrwać do 90 dni, aby uzyskać odpowiedź, ale będę monitorować ten post.
2.4. Następnie, ponieważ założyłem, że Twoja aplikacja nie działa w GCP, będziesz musiał ustawić tunel VPN lub Internet w chmurze , aby połączyć sieć lokalną z Google Cloud.
Następnie będziesz mógł łączyć się ze swojej aplikacji z instancją CSQL w bezpieczny sposób.
- Jeśli chcesz używać prywatnego adresu IP, a Twoja aplikacja jest hostowana w GCP, możesz połączyć się bezpośrednio z instancją CSQL, jeśli Twoja aplikacja i CSQL znajdują się w tym samym regionie i korzystają z tego samego VPC (jeśli używasz opcji bezserwerowej takich jak funkcje chmury lub Google App Engine Standard, możesz użyć bezserwerowego dostępu do VPC ). Ale jeśli Twoja aplikacja jest hostowana w GCP, ale w innym projekcie, możesz wykonać kroki 2.1, 2.2 i 2.3, a następnie utworzyć połączenie równorzędne VPC między projektem, w którym znajduje się Twoja aplikacja (nazwijmy ten projekt „projektem B”) oraz projekt, w którym powiązałeś swoją instancję CSQL („Projekt A”). W przypadku „projektu A” musisz włączyć opcję „eksportuj niestandardowe trasy” w nowym połączeniu równorzędnym VPC, a w przypadku „projektu B” musisz włączyć opcję „importuj niestandardowe trasy”. W ten sposób Twoje połączenie między Twoją aplikacją (hostowaną w „Projekcie B”) przejdzie z Projektu B do Projektu A i do Projektu A do speckle-parasol-[pg]-xx, aż dotrze do Twojej instancji Cloud SQL.
Powodem, dla którego musisz radzić sobie z niestandardowymi trasami, jest to, że jakiś czas temu peeringi VPC nie były w stanie propagować tras, ale teraz jest to całkowicie możliwe.