CloudSQLインスタンスへの安全な接続を設定する方法はいくつかあります。
- SSL証明書を使用してインスタンスに接続し、「SSL接続のみを許可する」を有効にします。
-
プライベートIPを使用します。作成したアプリケーションはGCPでホストされていないことを理解していますが、他の場所でホストされているため、次の方法をお勧めします。
2.1。 CSQLインスタンスでプライベートIP機能を有効にする
2.2。 「import
2.3。テクニカルサポートチームに、作成したばかりのピアリングで「カスタムルートのエクスポート」を有効にするよう依頼しますが、今回は、私たちの側で(前述の「speckle-umbrella- [pg] -xx」プロジェクトで)。サポートパッケージがない場合は、次のに従ってプライベート課題トラッカーを開くことができます。リンク 私の名前、プロジェクトID、およびこの機能を有効にするCSQLインスタンスを指定します。心配しないでください。そこで開く課題追跡システムは、Googleの従業員とあなただけに表示されます。課題追跡システムを開くと、回答が得られるまでに最大90日かかる可能性があることに注意してください。ただし、この投稿を監視します。
2.4。次に、アプリがGCPで実行されていないと想定したため、VPNトンネルを設定する必要があります または
この後、アプリからCSQLインスタンスに安全な方法で接続できるようになります。
- プライベートIPを使用する場合、アプリがGCPでホストされている場合、アプリとCSQLが両方とも同じリージョンにあり、同じVPCを使用している場合(サーバーレスオプションを使用している場合)、CSQLインスタンスに直接接続できますCloudFunctionsやGoogleAppEngine Standardなど、サーバーレスVPCアクセスを使用できます )。ただし、アプリがGCPでホストされているが、別のプロジェクトでホストされている場合は、手順2.1、2.2、2.3に従って、アプリケーションが存在するプロジェクト間にVPCピアリングを作成できます(このプロジェクトを「プロジェクトB」と呼びます)。 CSQLインスタンスを関連付けたプロジェクト(「プロジェクトA」)。 「プロジェクトA」の場合は、この新しいVPCピアリングで「カスタムルートのエクスポート」を有効にする必要があり、「プロジェクトB」の場合は、「カスタムルートのインポート」を有効にする必要があります。これを行うと、アプリ(「プロジェクトB」でホストされている)間の接続は、Cloud SQLインスタンスに到達するまで、プロジェクトBからプロジェクトAに、プロジェクトAからspeckle-umbrella-[pg]-xxに移動します。
カスタムルートを処理する必要がある理由は、以前はVPCピアリングがルートを伝播できなかったためですが、現在は完全に可能です。