Configure o IP privado

Esta pĆ”gina descreve como configurar uma instĆ¢ncia do Cloud SQL para usar o IP privado.

Para ver informaƧƵes sobre como funciona o IP privado, bem como os requisitos de gestĆ£o e ambiente, consulte o artigo IP privado.

Antes de comeƧar

Requisitos da API e da IAM

  • Tem de ativar a API Service Networking para o seu Cloud de Confiance projeto.

    • Se estiver a usar uma rede VPC partilhada, tambĆ©m tem de ativar esta API para o projeto anfitriĆ£o.

  • Para gerir uma ligaĆ§Ć£o de acesso a serviƧos privados, o utilizador tem de ter as seguintes autorizaƧƵes de gestĆ£o de identidade e de acesso (IAM). Se nĆ£o tiver as autorizaƧƵes necessĆ”rias, pode receber erros de autorizaƧƵes insuficientes.
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

    Se estiver a usar uma rede VPC partilhada, tambĆ©m tem de adicionar o utilizador ao projeto anfitriĆ£o e atribuir as mesmas autorizaƧƵes ao utilizador no projeto anfitriĆ£o.

Acesso a serviƧos privados

Quando cria uma nova rede de nuvem virtual privada (VPC) no seu projeto, tem de configurar o acesso privado a serviƧos para atribuir um intervalo de endereƧos IP e criar uma ligaĆ§Ć£o de serviƧo privado. Isto permite que os recursos na rede VPC se liguem a instĆ¢ncias do Cloud SQL. A consola Cloud de Confiance oferece um assistente para ajudar a configurar esta configuraĆ§Ć£o.

Configure uma instĆ¢ncia para usar o IP privado

Pode configurar uma instĆ¢ncia do Cloud SQL para usar o IP privado quando criar a instĆ¢ncia ou para uma instĆ¢ncia existente.

Configure o IP privado para uma nova instĆ¢ncia

Para configurar uma instĆ¢ncia do Cloud SQL para usar o IP privado ao criar uma instĆ¢ncia:

Consola

  1. Na Cloud de Confiance consola, aceda Ć  pĆ”gina InstĆ¢ncias do Cloud SQL.

    Aceda a InstĆ¢ncias do Cloud SQL

  2. Clique em Criar instĆ¢ncia.
  3. Expanda Mostrar opƧƵes de configuraĆ§Ć£o.
  4. Expanda LigaƧƵes.
  5. Selecione IP privado.

    Uma lista pendente mostra as redes VPC disponĆ­veis no seu projeto. Se o seu projeto for o projeto de serviƧo de uma VPC partilhada, tambĆ©m sĆ£o apresentadas as redes VPC do projeto anfitriĆ£o.

  6. Selecione a rede de VPC que quer usar.

    7. Se vir uma mensagem a indicar que tem de configurar uma ligaĆ§Ć£o de serviƧo privado, faƧa o seguinte:

    1. Clique em Configurar associaĆ§Ć£o.
    2. Na secĆ§Ć£o Atribua um intervalo de IPs, selecione uma das seguintes opƧƵes:
      • Selecione um ou mais intervalos de IP existentes ou crie um novo no menu pendente. O menu pendente inclui intervalos atribuĆ­dos anteriormente, se existirem, ou pode selecionar Atribuir um novo intervalo de IPs e introduzir um novo intervalo e nome.
      • Use um intervalo de IP atribuĆ­do automaticamente na sua rede.
    3. Clique em Continuar.
    4. Clique em Criar associaĆ§Ć£o.
    5. Confirme se vĆŖ a mensagem: Private service connection for network VPC_NETWORK_NAME has been successfully created.
  7. Opcionalmente, pode especificar um intervalo de IPs atribuĆ­do para as suas instĆ¢ncias usarem para ligaƧƵes.
    1. Expanda a opĆ§Ć£o Mostrar intervalo de IPs atribuĆ­dos.
    2. Selecione um intervalo de IPs no menu pendente.
  8. Opcional. Se quiser permitir que outros Cloud de Confiance by S3NS serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o de IP privada, selecione Ativar caminho privado.
  9. Conclua a configuraĆ§Ć£o da instĆ¢ncia.
  10. Clique em Criar instĆ¢ncia.

gcloud

Antes de criar uma instĆ¢ncia com um endereƧo IP privado, certifique-se de que o seu projeto estĆ” configurado para o acesso a serviƧos privados.

Antes de usar qualquer um dos dados do pedido, faƧa as seguintes substituiƧƵes:

  • INSTANCE_ID: o ID da instĆ¢ncia
  • PROJECT_ID: o ID do projeto

  • NETWORK_PROJECT_ID: o ID do projeto da rede VPC

  • VPC_NETWORK_NAME: o nome da rede da VPC
  • RANGE_NAME: opcional. Se especificado, define um nome de intervalo para o qual Ć© atribuĆ­do um intervalo de IPs. O nome do intervalo tem de estar em conformidade com RFC-1035 e conter entre 1 e 63 carateres.
  • DATABASE_VERSION: a versĆ£o da base de dados PostgreSQL (por exemplo, POSTGRES_14)
  • NUMBER_OF_CPU: o nĆŗmero de CPUs
  • MEMORY_IN_GB: a quantidade de memĆ³ria (em GB)
  • REGION_NAME: o nome da regiĆ£o
Para especificar o nome da sua rede VPC, use o parĆ¢metro --network. Para desativar o IP pĆŗblico, use a flag --no-assign-ip.

AlĆ©m disso, opcionalmente, use o parĆ¢metro --enable-google-private-path para permitir que outros Cloud de Confiance serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada. Este parĆ¢metro sĆ³ Ć© vĆ”lido se:

  • Usar o parĆ¢metro --no-assign-ip.
  • Use o parĆ¢metro --network para especificar o nome da rede VPC que quer usar para criar uma ligaĆ§Ć£o privada.

Para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia, use a flag --enforce-new-network-architecture. Certifique-se de que atribuiu endereƧos IP suficientes. Quando usa a aplicaĆ§Ć£o da nova arquitetura de rede antes de um projeto ser totalmente atualizado, pode ocorrer uma falha na criaĆ§Ć£o de instĆ¢ncias se nĆ£o houver espaƧo de endereƧo IP suficiente disponĆ­vel. Para mais informaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP. 

gcloud beta sql instances create INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--allocated-ip-range-name=RANGE_NAME \
--enable-google-private-path \
--database-version=DATABASE_VERSION \
--cpu=NUMBER_OF_CPU \
--memory=MEMORY_IN_GB \
--region=REGION_NAME \
--enforce-new-network-architecture

Terraform

Para configurar o IP privado para uma nova instĆ¢ncia, use os seguintes recursos do Terraform:


resource "google_compute_network" "peering_network" {
  name                    = "private-network"
  auto_create_subnetworks = "false"
}

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

resource "google_sql_database_instance" "default" {
  name             = "private-ip-sql-instance"
  region           = "us-central1"
  database_version = "POSTGRES_14"

  depends_on = [google_service_networking_connection.default]

  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.peering_network.id
    }
  }
}

resource "google_compute_network_peering_routes_config" "peering_routes" {
  peering              = google_service_networking_connection.default.peering
  network              = google_compute_network.peering_network.name
  import_custom_routes = true
  export_custom_routes = true
}

# [START  cloud_sql_postgres_instance_private_ip_dns]

## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.id
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Aplique as alteraƧƵes

Para aplicar a configuraĆ§Ć£o do Terraform num Cloud de Confiance projeto, conclua os passos nas secƧƵes seguintes.

Prepare o Cloud Shell

  1. Inicie o Cloud Shell.

  2. Defina o Cloud de Confiance projeto predefinido onde quer aplicar as suas configuraƧƵes do Terraform.

    SĆ³ tem de executar este comando uma vez por projeto e pode executĆ”-lo em qualquer diretĆ³rio.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    As variĆ”veis de ambiente sĆ£o substituĆ­das se definir valores explĆ­citos no ficheiro de configuraĆ§Ć£o do Terraform.

Prepare o diretĆ³rio

Cada ficheiro de configuraĆ§Ć£o do Terraform tem de ter o seu prĆ³prio diretĆ³rio (tambĆ©m denominado mĆ³dulo raiz).

  1. No Cloud Shell, crie um diretĆ³rio e um novo ficheiro nesse diretĆ³rio. O nome do ficheiro tem de ter a extensĆ£o .tf, por exemplo, main.tf. Neste tutorial, o ficheiro Ć© denominado main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se estiver a seguir um tutorial, pode copiar o cĆ³digo de exemplo em cada secĆ§Ć£o ou passo.

    Copie o exemplo de cĆ³digo para o main.tf criado recentemente.

    Opcionalmente, copie o cĆ³digo do GitHub. Isto Ć© recomendado quando o fragmento do Terraform faz parte de uma soluĆ§Ć£o completa.

  3. Reveja e modifique os parĆ¢metros de exemplo para aplicar ao seu ambiente.
  4. Guarde as alteraƧƵes.
  5. Inicialize o Terraform. SĆ³ tem de fazer isto uma vez por diretĆ³rio. 
    terraform init

    Opcionalmente, para usar a versĆ£o mais recente do fornecedor Google, inclua a opĆ§Ć£o -upgrade: 

    terraform init -upgrade

Aplique as alteraƧƵes

  1. Reveja a configuraĆ§Ć£o e verifique se os recursos que o Terraform vai criar ou atualizar correspondem Ć s suas expetativas: 
    terraform plan

    FaƧa correƧƵes Ć  configuraĆ§Ć£o conforme necessĆ”rio.

  2. Aplique a configuraĆ§Ć£o do Terraform executando o seguinte comando e introduzindo yes no comando: 
    terraform apply

    Aguarde atĆ© que o Terraform apresente a mensagem "Apply complete!" (AplicaĆ§Ć£o concluĆ­da!).

  3. Abra o seu Cloud de Confiance projeto para ver os resultados. Na Cloud de Confiance consola, navegue para os seus recursos na IU para se certificar de que o Terraform os criou ou atualizou.

Eliminar as alteraƧƵes

Para eliminar as alteraƧƵes, faƧa o seguinte:

  1. Para desativar a proteĆ§Ć£o contra eliminaĆ§Ć£o, no ficheiro de configuraĆ§Ć£o do Terraform, defina o argumento deletion_protection como false. 
    deletion_protection =  "false"
  2. Aplique a configuraĆ§Ć£o do Terraform atualizada executando o seguinte comando e introduzindo yes no comando: 
    terraform apply

  1. Remova os recursos aplicados anteriormente com a sua configuraĆ§Ć£o do Terraform executando o seguinte comando e introduzindo yes no comando:

    terraform destroy

REST v1

Crie uma nova instĆ¢ncia com um endereƧo IP privado:

Antes de usar qualquer um dos dados do pedido, faƧa as seguintes substituiƧƵes:

  • PROJECT_ID: O ID do projeto
  • INSTANCE_ID: O ID da instĆ¢ncia
  • VPC_NETWORK_NAME: Especifique o nome da rede de nuvem virtual privada (VPC) que quer usar para esta instĆ¢ncia. O acesso a serviƧos privados jĆ” tem de estar configurado para a rede.
  • RANGE_NAME: Opcional. Se especificado, define um nome de intervalo para o qual Ć© alocado um intervalo de IP. O nome do intervalo tem de estar em conformidade com RFC-1035 e conter entre 1 e 63 carateres.
  • AUTHORIZED_NETWORKS: Para ligaƧƵes de IP pĆŗblico, especifique as ligaƧƵes de redes autorizadas que podem estabelecer ligaĆ§Ć£o Ć  sua instĆ¢ncia.

Para o parĆ¢metro ipv4Enabled, defina o valor como true se estiver a usar um endereƧo IP pĆŗblico para a sua instĆ¢ncia ou false se a sua instĆ¢ncia tiver um endereƧo IP privado.

Se definir o parĆ¢metro enablePrivatePathForGoogleCloudServices como true, permite que outros Cloud de Confiance by S3NS serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada. Se definir este parĆ¢metro como false, outros Cloud de Confiance by S3NS serviƧos nĆ£o podem aceder a dados no Cloud SQL atravĆ©s de uma ligaĆ§Ć£o IP privada.

Pode usar o campo sqlNetworkArchitecture para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia no momento da criaĆ§Ć£o, mesmo que o projeto nĆ£o esteja totalmente atualizado. Para mais detalhes sobre a nova arquitetura de rede e as respetivas implicaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP.

MĆ©todo HTTP e URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

Corpo JSON do pedido: 

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Para enviar o seu pedido, expanda uma destas opƧƵes:

Deve receber uma resposta JSON semelhante Ć  seguinte:

REST v1beta4

Crie uma nova instĆ¢ncia com um endereƧo IP privado:

Antes de usar qualquer um dos dados do pedido, faƧa as seguintes substituiƧƵes:

  • PROJECT_ID: O ID do projeto
  • INSTANCE_ID: O ID da instĆ¢ncia
  • VPC_NETWORK_NAME: Especifique o nome da rede de nuvem virtual privada (VPC) que quer usar para esta instĆ¢ncia. O acesso a serviƧos privados jĆ” tem de estar configurado para a rede.
  • RANGE_NAME: Opcional. Se especificado, define um nome de intervalo para o qual Ć© alocado um intervalo de IP. O nome do intervalo tem de estar em conformidade com RFC-1035 e conter entre 1 e 63 carateres.
  • AUTHORIZED_NETWORKS: Para ligaƧƵes de IP pĆŗblico, especifique as ligaƧƵes de redes autorizadas que podem estabelecer ligaĆ§Ć£o Ć  sua instĆ¢ncia.

Para o parĆ¢metro ipv4Enabled, defina o valor como true se estiver a usar um endereƧo IP pĆŗblico para a sua instĆ¢ncia ou false se a sua instĆ¢ncia tiver um endereƧo IP privado.

Se definir o parĆ¢metro enablePrivatePathForGoogleCloudServices como true, permite que outros Cloud de Confiance by S3NS serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada. Se definir este parĆ¢metro como false, outros Cloud de Confiance by S3NS serviƧos nĆ£o podem aceder a dados no Cloud SQL atravĆ©s de uma ligaĆ§Ć£o IP privada.

Pode usar o campo sqlNetworkArchitecture para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia no momento da criaĆ§Ć£o, mesmo que o projeto nĆ£o esteja totalmente atualizado. Para mais detalhes sobre a nova arquitetura de rede e as respetivas implicaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP.

MĆ©todo HTTP e URL: 

POST https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances

Corpo JSON do pedido: 

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Para enviar o seu pedido, expanda uma destas opƧƵes:

Deve receber uma resposta JSON semelhante Ć  seguinte:

Configure o IP privado para uma instĆ¢ncia existente

A configuraĆ§Ć£o de uma instĆ¢ncia do Cloud SQL existente para usar o IP privado faz com que a instĆ¢ncia seja reiniciada, o que resulta em tempo de inatividade.

Para configurar uma instĆ¢ncia existente para usar o IP privado:

Consola

  1. Na Cloud de Confiance consola, aceda Ć  pĆ”gina InstĆ¢ncias do Cloud SQL.

    Aceda a InstĆ¢ncias do Cloud SQL

  2. Para abrir a pĆ”gina Vista geral de uma instĆ¢ncia, clique no nome da instĆ¢ncia.
  3. Selecione AssociaƧƵes no menu de navegaĆ§Ć£o do Cloud SQL.
  4. No separador Rede, selecione a caixa de verificaĆ§Ć£o IP privado.

    Uma lista pendente mostra as redes disponĆ­veis no seu projeto.

  5. Selecione a rede de VPC que quer usar:

    6. Se vir a mensagem LigaĆ§Ć£o de serviƧo privada necessĆ”ria:

    1. Clique em Configurar associaĆ§Ć£o.
    2. Na secĆ§Ć£o Atribua um intervalo de IPs, escolha uma das seguintes opƧƵes:
      • Selecione um ou mais intervalos de IP existentes ou crie um novo no menu pendente. O menu pendente inclui intervalos atribuĆ­dos anteriormente, se existirem, ou pode selecionar Atribuir um novo intervalo de IPs e introduzir um novo intervalo e nome.
      • Use um intervalo de IP atribuĆ­do automaticamente na sua rede.
    3. Clique em Continuar.
    4. Clique em Criar associaĆ§Ć£o.
    5. Verifique se vĆŖ o estado LigaĆ§Ć£o de serviƧo privada para a rede VPC_NETWORK_NAME criada com ĆŖxito.
  6. Opcional. Se quiser permitir que outros Cloud de Confiance serviƧos, como o BigQuery, acedam a dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada, selecione a caixa de verificaĆ§Ć£o Ativar caminho privado.
  7. Clique em Guardar.

gcloud

Certifique-se de que o seu projeto estƔ configurado para o acesso a serviƧos privados.

Atualize a instĆ¢ncia do Cloud SQL com o parĆ¢metro --network para especificar o nome da rede VPC selecionada.

Para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia quando adicionar uma configuraĆ§Ć£o de rede IP privada, use a flag --enforce-new-network-architecture. Certifique-se de que atribuiu espaƧo de endereƧo IP suficiente no seu intervalo de IPs. Quando usa a aplicaĆ§Ć£o da nova arquitetura de rede antes de um projeto ser totalmente atualizado, pode ocorrer uma falha na criaĆ§Ć£o de instĆ¢ncias se nĆ£o houver espaƧo de endereƧo IP suficiente disponĆ­vel.

Para mais informaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP.

gcloud beta sql instances patch INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--enable-google-private-path \
--enforce-new-network-architecture

REST v1

Crie uma nova instĆ¢ncia com um endereƧo IP privado:

Antes de usar qualquer um dos dados do pedido, faƧa as seguintes substituiƧƵes:

  • PROJECT_ID: O ID do projeto
  • INSTANCE_ID: O ID da instĆ¢ncia
  • VPC_NETWORK_NAME: Especifique o nome da rede de nuvem virtual privada (VPC) que quer usar para esta instĆ¢ncia. O acesso a serviƧos privados jĆ” tem de estar configurado para a rede.
  • RANGE_NAME: Opcional. Se especificado, define um nome de intervalo para o qual Ć© alocado um intervalo de IP. O nome do intervalo tem de estar em conformidade com RFC-1035 e conter entre 1 e 63 carateres.
  • AUTHORIZED_NETWORKS: Para ligaƧƵes de IP pĆŗblico, especifique as ligaƧƵes de redes autorizadas que podem estabelecer ligaĆ§Ć£o Ć  sua instĆ¢ncia.

Para o parĆ¢metro ipv4Enabled, defina o valor como true se estiver a usar um endereƧo IP pĆŗblico para a sua instĆ¢ncia ou false se a sua instĆ¢ncia tiver um endereƧo IP privado.

Se definir o parĆ¢metro enablePrivatePathForGoogleCloudServices como true, permite que outros Cloud de Confiance by S3NS serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada. Se definir este parĆ¢metro como false, outros Cloud de Confiance by S3NS serviƧos nĆ£o podem aceder a dados no Cloud SQL atravĆ©s de uma ligaĆ§Ć£o IP privada.

Pode usar o campo sqlNetworkArchitecture para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia no momento da criaĆ§Ć£o, mesmo que o projeto nĆ£o esteja totalmente atualizado. Para mais detalhes sobre a nova arquitetura de rede e as respetivas implicaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP.

MĆ©todo HTTP e URL: 

PATCH https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID

Corpo JSON do pedido: 

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Para enviar o seu pedido, expanda uma destas opƧƵes:

Deve receber uma resposta JSON semelhante Ć  seguinte:

REST v1beta4

Crie uma nova instĆ¢ncia com um endereƧo IP privado:

Antes de usar qualquer um dos dados do pedido, faƧa as seguintes substituiƧƵes:

  • PROJECT_ID: O ID do projeto
  • INSTANCE_ID: O ID da instĆ¢ncia
  • VPC_NETWORK_NAME: Especifique o nome da rede de nuvem virtual privada (VPC) que quer usar para esta instĆ¢ncia. O acesso a serviƧos privados jĆ” tem de estar configurado para a rede.
  • RANGE_NAME: Opcional. Se especificado, define um nome de intervalo para o qual Ć© alocado um intervalo de IP. O nome do intervalo tem de estar em conformidade com RFC-1035 e conter entre 1 e 63 carateres.
  • AUTHORIZED_NETWORKS: para ligaƧƵes de IP pĆŗblico, especifique as ligaƧƵes de redes autorizadas que podem estabelecer ligaĆ§Ć£o Ć  sua instĆ¢ncia.

Para o parĆ¢metro ipv4Enabled, defina o valor como true se estiver a usar um endereƧo IP pĆŗblico para a sua instĆ¢ncia ou false se a sua instĆ¢ncia tiver um endereƧo IP privado.

Se definir o parĆ¢metro enablePrivatePathForGoogleCloudServices como true, permite que outros Cloud de Confiance by S3NS serviƧos, como o BigQuery, acedam aos dados no Cloud SQL e faƧam consultas a estes dados atravĆ©s de uma ligaĆ§Ć£o IP privada. Se definir este parĆ¢metro como false, outros Cloud de Confiance by S3NS serviƧos nĆ£o podem aceder a dados no Cloud SQL atravĆ©s de uma ligaĆ§Ć£o IP privada.

Pode usar o campo sqlNetworkArchitecture para aplicar a utilizaĆ§Ć£o da nova arquitetura de rede Ć  instĆ¢ncia no momento da criaĆ§Ć£o, mesmo que o projeto nĆ£o esteja totalmente atualizado. Para mais detalhes sobre a nova arquitetura de rede e as respetivas implicaƧƵes, consulte os artigos Atualize uma instĆ¢ncia para a nova arquitetura de rede e Atribua um intervalo de endereƧos IP.

MĆ©todo HTTP e URL: 

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

Corpo JSON do pedido: 

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  },
  "sqlNetworkArchitecture": "NEW_NETWORK_ARCHITECTURE"
}

Para enviar o seu pedido, expanda uma destas opƧƵes:

Deve receber uma resposta JSON semelhante Ć  seguinte:

EstabeleƧa ligaĆ§Ć£o a uma instĆ¢ncia atravĆ©s do respetivo IP privado

Usa o acesso privado a serviƧos para estabelecer ligaĆ§Ć£o a instĆ¢ncias do Cloud SQL a partir de instĆ¢ncias do Compute Engine ou do Google Kubernetes Engine na mesma rede VPC (definidas aqui como origens internas ) ou a partir de fora dessa rede (uma origem externa).

EstabeleƧa ligaĆ§Ć£o a partir de uma origem interna

Para estabelecer ligaĆ§Ć£o a partir de uma origem no mesmo Cloud de Confiance projeto que a sua instĆ¢ncia do Cloud SQL, como o proxy Auth do Cloud SQL em execuĆ§Ć£o num recurso do Compute Engine, esse recurso tem de estar na mesma rede de VPC onde o acesso privado aos serviƧos foi estabelecido para a instĆ¢ncia do Cloud SQL.

Para estabelecer ligaĆ§Ć£o a partir de uma origem sem servidor, como o ambiente padrĆ£o do App Engine, Cloud Run ou funƧƵes do Cloud Run, a sua aplicaĆ§Ć£o ou funĆ§Ć£o estabelece ligaĆ§Ć£o diretamente Ć  sua instĆ¢ncia atravĆ©s do acesso a VPC sem servidor sem o Cloud SQL Auth Proxy.

EstabeleƧa ligaĆ§Ć£o a partir de uma origem externa

Se uma rede externa (por exemplo, uma rede no local ou uma rede VPC) estiver ligada Ć  rede VPC Ć  qual a sua instĆ¢ncia do Cloud SQL estĆ” ligada, pode usar a Cloud VPN ou o Cloud Interconnect para estabelecer ligaĆ§Ć£o Ć  instĆ¢ncia a partir de um cliente na rede externa.

Para permitir ligaƧƵes a partir de uma rede externa, faƧa o seguinte:

  1. Certifique-se de que a sua rede VPC estĆ” ligada Ć  rede externa atravĆ©s de um tĆŗnel do Cloud VPN ou de uma associaĆ§Ć£o de VLAN para o Dedicated Interconnect ou o Partner Interconnect.
  2. Certifique-se de que as sessƵes do Border Gateway Protocol (BGP) nos Cloud Routers que gerem os seus tĆŗneis da Cloud VPN e anexos do Cloud Interconnect (VLANs) receberam prefixos especĆ­ficos (destinos) da sua rede no local.

    NĆ£o Ć© possĆ­vel importar encaminhamentos predefinidos (destino 0.0.0.0/0) para a rede VPC do Cloud SQL porque essa rede tem o seu prĆ³prio encaminhamento predefinido local. As rotas locais para um destino sĆ£o usadas mesmo que o peering do Cloud SQL esteja configurado para importar rotas personalizadas da sua rede VPC.

  3. Identifique as associaƧƵes de peering produzidas pela ligaĆ§Ć£o de serviƧos privados. Consoante o serviƧo, a ligaĆ§Ć£o de serviƧos privados pode criar uma ou mais das seguintes ligaƧƵes de peering, mas nĆ£o necessariamente todas:
    • cloudsql-mysql-googleapis-com
    • cloudsql-postgres-googleapis-com
    • servicenetworking-googleapis-com
  4. Atualize todas as ligaƧƵes de intercĆ¢mbio de rede para ativar a opĆ§Ć£o Exportar encaminhamentos personalizados.
  5. Identifique o intervalo atribuĆ­do usado pela ligaĆ§Ć£o de serviƧos privados.
  6. Configure o modo de anĆŗncio personalizado do Cloud Router para o intervalo atribuĆ­do nos Cloud Routers que gerem sessƵes BGP para os seus tĆŗneis Cloud VPN ou anexos do Cloud Interconnect (VLANs).

EstabeleƧa ligaĆ§Ć£o a partir do Cloud Shell

O Cloud Shell usa uma mĆ”quina virtual do Compute Engine gerida pela Google e que estĆ” fora da sua rede VPC. Cloud de Confiance by S3NS Por conseguinte, nĆ£o existe um caminho de conetividade entre o Cloud Shell e o espaƧo de endereƧos IP privados da sua rede VPC.

Como resultado, o Cloud Shell nĆ£o suporta a ligaĆ§Ć£o a uma instĆ¢ncia do Cloud SQL que tenha apenas um endereƧo IP privado.

Para estabelecer ligaĆ§Ć£o a instĆ¢ncias do Cloud SQL a partir de uma rede externa atravĆ©s da conetividade de IP privado, consulte o artigo EstabeleƧa ligaĆ§Ć£o a uma instĆ¢ncia do Cloud SQL a partir do exterior da respetiva VPC.

EstabeleƧa ligaĆ§Ć£o a partir de endereƧos IP nĆ£o RFC 1918

A RFC 1918 especifica endereƧos IP que sĆ£o atribuĆ­dos para utilizaĆ§Ć£o interna (ou seja, numa organizaĆ§Ć£o) e nĆ£o sĆ£o encaminhados na Internet. Especificamente, estas sĆ£o:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

As ligaƧƵes a uma instĆ¢ncia do Cloud SQL atravĆ©s de um endereƧo IP privado sĆ£o autorizadas automaticamente para intervalos de endereƧos RFC 1918. Desta forma, todos os clientes privados podem aceder Ć  base de dados sem passar pelo proxy.

Para estabelecer ligaĆ§Ć£o a partir de um endereƧo IP nĆ£o RFC 1918, tem de definir a autorizaĆ§Ć£o de IP por instĆ¢ncia para permitir o trĆ”fego de intervalos de endereƧos IP nĆ£o RFC 1918.

Por exemplo, use um comando gcloud como o seguinte:

gcloud sql instances patch INSTANCE_NAME \
--authorized-networks=192.88.99.0/24,11.0.0.0/24

Por predefiniĆ§Ć£o, o Cloud SQL nĆ£o aprende trajetos de sub-redes nĆ£o RFC 1918 da sua rede VPC. Tem de atualizar a interligaĆ§Ć£o de redes para o Cloud SQL para exportar quaisquer trajetos nĆ£o RFC 1918.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

    Substitua o seguinte:

  • cloudsql-postgres-googleapis-com Ć© um nome de Private Service Connection na pĆ”gina Rede VPC.

    Selecione a sua rede e, de seguida, procure a secĆ§Ć£o LigaĆ§Ć£o de serviƧo privado.

  • VPC_NETWORK_NAME Ć© o nome da sua rede VPC.
  • PROJECT_ID Ć© o ID do projeto da rede VPC. Se estiver a usar a VPC partilhada, use o ID do projeto anfitriĆ£o.

Para mitigar o esgotamento de endereƧos IP, pode usar endereƧos IP pĆŗblicos usados de forma privada.

EstabeleƧa ligaĆ§Ć£o a partir de endereƧos IP pĆŗblicos usados de forma privada

Se quiser configurar a sua instĆ¢ncia num intervalo de endereƧos IP pĆŗblicos usados de forma privada, ative o export-subnet-routes-with-public-ip no peering de rede entre a sua rede e a rede do Cloud SQL.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

    Substitua o seguinte:

  • cloudsql-postgres-googleapis-com Ć© um nome de ligaĆ§Ć£o de serviƧo privado na pĆ”gina rede VPC.

    Selecione a sua rede e, de seguida, procure a secĆ§Ć£o LigaĆ§Ć£o de serviƧo privado.

  • VPC_NETWORK_NAME Ć© o nome da sua rede VPC.
  • PROJECT_ID Ć© o ID do projeto da rede VPC. Se estiver a usar a VPC partilhada, use o ID do projeto anfitriĆ£o.

EstabeleƧa ligaĆ§Ć£o a uma instĆ¢ncia configurada com endereƧos IP pĆŗblicos usados de forma privada

Se a sua instĆ¢ncia estiver configurada num intervalo de endereƧos IP pĆŗblicos usados de forma privada e quiser estabelecer ligaĆ§Ć£o Ć  mesma, ative import-subnet-routes-with-public-ip na interligaĆ§Ć£o de redes entre a sua rede e a rede do Cloud SQL.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--import-subnet-routes-with-public-ip \
--project=PROJECT_ID

Substitua o seguinte:

  • cloudsql-postgres-googleapis-com Ć© um nome de Private Service Connection na pĆ”gina Rede VPC.

    Selecione a sua rede e, de seguida, procure a secĆ§Ć£o LigaĆ§Ć£o de serviƧo privado.

  • VPC_NETWORK_NAME Ć© o nome da sua rede VPC.
  • PROJECT_ID Ć© o ID do projeto da rede VPC. Use o ID do projeto anfitriĆ£o se estiver a usar a VPC partilhada.

EstabeleƧa ligaĆ§Ć£o atravĆ©s de um ponto final de escrita

AlĆ©m de um endereƧo IP privado, pode usar um ponto final de gravaĆ§Ć£o numa string de ligaĆ§Ć£o SQL. Um ponto final de gravaĆ§Ć£o Ć© um nome de serviƧo de nomes de domĆ­nio (DNS) global que Ć© resolvido automaticamente para o endereƧo IP da instĆ¢ncia principal atual. Ao usar um ponto final de gravaĆ§Ć£o, pode evitar ter de fazer alteraƧƵes Ć  ligaĆ§Ć£o da aplicaĆ§Ć£o quando ocorre uma falha na regiĆ£o.

Se ocorrer uma comutaĆ§Ć£o por falha ou uma comutaĆ§Ć£o de uma rĆ©plica, o ponto final de gravaĆ§Ć£o pode ajudar a gerir os endereƧos IP privados das instĆ¢ncias. Quando isto acontece, use o ponto final de escrita para estabelecer ligaĆ§Ć£o Ć  instĆ¢ncia que funciona como a instĆ¢ncia principal.

Como o Cloud SQL cria um ponto final de escrita

Se ativar a API Cloud DNS para o seu Cloud de Confiance projeto e, em seguida, criar uma instĆ¢ncia principal da ediĆ§Ć£o Cloud SQL Enterprise Plus, promover a rĆ©plica para a instĆ¢ncia, ou atualizar a instĆ¢ncia a partir da ediĆ§Ć£o Cloud SQL Enterprise, o Cloud SQL gera automaticamente um ponto final de gravaĆ§Ć£o e atribui-o Ć  instĆ¢ncia.

Para mais informaƧƵes, consulte o artigo Veja o ponto final de gravaĆ§Ć£o.

Atribua um ponto final de gravaĆ§Ć£o a uma instĆ¢ncia

Se nĆ£o ativar a API Cloud DNS para o seu Cloud de Confiance projeto e, em seguida, criar, promover ou atualizar a sua instĆ¢ncia, o Cloud SQL nĆ£o atribui automaticamente o ponto final de gravaĆ§Ć£o Ć  instĆ¢ncia.

Para que o Cloud SQL gere um ponto final de escrita e o atribua Ć  instĆ¢ncia, consulte o artigo Gerar o ponto final de escrita.

Resolver problemas

Consulte a resoluĆ§Ć£o de problemas para problemas de conetividade conhecidos e a depuraĆ§Ć£o de problemas de ligaĆ§Ć£o para obter ajuda com o autodiagnĆ³stico.

O que se segue?