本頁面由 Cloud Translation API 翻譯而成。

關於連線選項
透過集合功能整理內容你可以依據偏好儲存及分類內容。

MySQL | PostgreSQL | SQL Server

本頁面將概略說明連線至 Cloud SQL 執行個體的方式，並說明可用的驗證和授權選項。

總覽

考慮如何連線至 Cloud SQL 執行個體時，請留意以下許多選項：

您希望 Cloud SQL 執行個體可從網際網路存取，還是要將其保留在虛擬私有雲 (VPC) 網路中，還是要同時提供公開和私人存取權？
您打算自行編寫連線程式碼，還是使用公開可用的工具 (例如 Cloud SQL Auth Proxy 或 psql 用戶端) 進行連線？
您是要要求透過 SSL/TLS 加密，還是允許未加密的流量？

在後續章節中，我們將討論 Cloud SQL 提供的資料庫連線、授權和驗證選項。

連線方式：您用來連線至執行個體的網路路徑：
- 僅限虛擬私有雲的內部 IP 位址 (私人)。
- 可透過網際網路存取的外部 IP 位址 (公開)。
如何授權 - 哪些連線已授權，且允許連線至 Cloud SQL 執行個體：
- Java 和 Python 適用的 Cloud SQL Auth Proxy 和 Cloud SQL 連接器程式庫 - 這些程式庫可根據 IAM 提供存取權。
- 自行管理的 SSL/TLS 憑證：只允許使用特定公開金鑰的連線。
- 授權網路：可連線的 IP 位址清單。
如何驗證 - 登入資料庫的方法。
- 內建資料庫驗證：使用資料庫引擎中設定的使用者名稱/密碼登入。
- IAM 資料庫驗證：使用電子郵件或 OAuth 2.0 權杖做為密碼登入。

請參考下列資訊，決定最適合您的連線、授權和驗證選項。

事前準備

授予應用程式的存取權限，並不會讓資料庫使用者帳戶自動連結執行個體。您必須要有可用來連線的資料庫使用者帳戶，才能連線至執行個體。而對於新的執行個體，這代表您必須已經設定預設的使用者帳戶。詳情請參閱「運用內建驗證機制管理使用者」。

如何連線至 Cloud SQL

資料庫連線會耗用伺服器與連線中應用程式的資源，因此請務必使用合適的連線管理做法，以便將應用程式耗用的資源降到最低，同時降低超過 Cloud SQL 連線限制的可能性。詳情請參閱「管理資料庫連線」。

公開和私人 IP

在 Cloud SQL 中，公開 IP 代表您可透過公開網際網路存取執行個體。相反地，如果執行個體只使用私人 IP，則無法透過公開網際網路存取，但可以透過虛擬私有雲 (VPC) 存取。Cloud SQL 執行個體可同時具備公開和私人 IP 位址。

私人 IP

私人 IP 是可透過虛擬私有雲 (VPC) 存取的 IPv4 位址。

您可以使用這個位址，從其他可存取 VPC 的資源連線。透過私人 IP 進行的連線通常延遲時間較短，且攻擊向量有限，因為這些連線不需要穿越網際網路。您可以選擇要求所有連線都使用 Cloud SQL Proxy 或自行管理的 SSL 憑證。

建議您在有權存取虛擬私人雲端的資源上，透過用戶端連線時，使用私人 IP 設定執行個體。如要進一步瞭解哪些資源可使用私人 IP，請參閱「私人 IP 的規定」。

針對私人 IP 路徑，下列服務和應用程式會透過無伺服器虛擬私有雲端存取直接連線至您的執行個體：

App Engine 標準環境
App Engine 彈性環境
Cloud Run 函式
Cloud Run

進一步瞭解如何搭配使用私人 IP 與 Cloud SQL

如要瞭解如何在執行個體中新增私人 IP，請參閱下列任一說明：

公開 IP

公開 IP 是可在公開網際網路上外部使用的 IPv4 位址。這個位址可接收來自 Google 網路內外裝置的連線，包括住家或辦公室等地點。

為確保執行個體安全無虞，使用公開 IP 連線至 Cloud SQL 執行個體的所有連線都必須透過 Cloud SQL Auth Proxy 或授權網路授權。

如果您從不符合 VPC 規定的用戶端連線，建議您使用公開 IP 設定執行個體。

如要瞭解如何在執行個體中新增公開 IP，請參閱「設定公開 IP 連線」。

如需有關使用公開 IP 將 psql 用戶端連線至 Cloud SQL 執行個體的資訊，請參閱「使用資料庫用戶端連線」一文。

動態指派的 IP 位址

有些應用程式必須使用動態指派的 IP 位址或臨時 IP 位址連結 Cloud SQL 執行個體。平台式服務 (PaaS) 應用程式就屬於這種情況。

在這種情況下，您必須使用 Cloud SQL 驗證 Proxy。

執行個體的連線選項

本節說明 Cloud SQL 支援的連線至執行個體功能。這個部分也包含建立、停用和啟用執行個體的支援連結選項。

支援功能

下表列出 Cloud SQL 支援的功能，可透過私人連線連線至執行個體。

功能	僅具備私人服務存取權的執行個體	僅使用 Private Service Connect 的執行個體	同時具備私人服務存取權和 Private Service Connect 的執行個體
從多個虛擬私有雲連線	不支援。	支援。	使用 Private Service Connect 端點即可支援。
`pglogical`、`PL/Proxy`、`dblink` 和 `postgres_fdw` 擴充功能	支援。	不支援。	使用私人服務存取權的傳出連線功能即可支援。
外部備援機制	支援。	不支援。	使用私人服務存取權的傳出連線功能即可支援。
寫入端點	支援。	不支援。	支援私人服務存取權。
變更私人服務存取權的相關聯虛擬私有雲網路	支援。	不適用。	因為執行個體已啟用 Private Service Connect，因此不支援私人服務存取權。不適用於 Private Service Connect。
用戶端 IP 位址對 Cloud SQL 的顯示狀態	支援。	不支援。	使用私人服務存取 IP 位址即可支援。使用 Private Service Connect 端點時不支援。

建立執行個體的連線選項

Cloud SQL 支援私人 IP 和公開 IP 設定。您可以根據應用程式需求選擇連線選項。

您可以設定私人 IP，讓 Cloud SQL 執行個體在虛擬私人雲端網路中保持私密。系統支援下列類型的私人連線：

私人服務存取權：透過單一虛擬私有雲網路連線至 Cloud SQL 執行個體
Private Service Connect：從屬於不同群組、團隊、專案或機構的多個虛擬私有雲網路連線至 Cloud SQL 執行個體

如果您希望執行個體透過公用網際網路，存取 Google Cloud網路內部和外部的用戶端連線，請為執行個體設定公開 IP。

Cloud SQL 支援下列建立執行個體的連線選項：

僅限私人服務存取權
僅限 Private Service Connect
僅限公開 IP
私人服務存取權和 Private Service Connect
公開 IP 和私人服務存取權
公開 IP、私人服務存取和 Private Service Connect

停用連線選項

Cloud SQL 支援停用下列執行個體的連線選項：

在同時具備私人服務存取權和公開 IP 的執行個體上使用公開 IP
在含有公開 IP、私人服務存取權和 Private Service Connect 的執行個體上使用公開 IP
在同時具備 Private Service Connect 和私人服務存取權的執行個體上使用 Private Service Connect
在具有 Private Service Connect、私人服務存取權和公開 IP 的執行個體上使用 Private Service Connect

啟用連線選項

Cloud SQL 支援為執行個體啟用下列連線選項：

在僅有公用 IP 的執行個體上存取私人服務
僅限私人服務存取權的執行個體上的 Private Service Connect
在同時具備私人服務存取權和公開 IP 的執行個體上使用 Private Service Connect
僅具備私人服務存取權的執行個體上的公開 IP

限制

不支援同時使用公開 IP 和 Private Service Connect 建立執行個體。
在同時具備私人服務存取權和 Private Service Connect 的執行個體上，無法停用私人服務存取權。
在同時具備私人服務存取權和公開 IP 的執行個體上，系統不支援停用私人服務存取權。
如果您的執行個體只使用公開 IP，則無法同時啟用私人服務存取權和 Private Service Connect。請先啟用私人服務存取權，再啟用 Private Service Connect。
對於已啟用 Private Service Connect 的執行個體，系統不支援使用授權網路的 IP 白名單。

如何授權存取 Cloud SQL

Cloud SQL 語言連接器

Cloud SQL 語言連接器是用戶端程式庫，可在連線至 Cloud SQL 執行個體時提供加密和 IAM 授權。Cloud SQL 建議您使用 Cloud SQL 語言連接器，透過其他連線選項連線至 Cloud SQL 執行個體。

您可以直接使用這些程式庫的支援程式設計語言。這些 Proxy 提供與 Cloud SQL Auth Proxy 相同的驗證機制，但不需要外部程序。這可提升安全性，並減少連線至 Cloud SQL 的設定需求。使用公開 IP 位址或私人 IP 位址連線時，Cloud SQL 語言連接器也會使用相同的程式碼。

如要開始使用，請參閱「關於 Cloud SQL 語言連接器」。

Cloud SQL 驗證 Proxy

Cloud SQL Auth Proxy 可讓您使用 Identity and Access Management (IAM) 權限授權及保護連線。Cloud SQL 驗證 Proxy 會使用使用者或服務帳戶的憑證驗證連線，並在 Cloud SQL 執行個體授權的 SSL/TLS 層中包裝連線。如要進一步瞭解 Cloud SQL 驗證 Proxy 的運作方式，請參閱「關於 Cloud SQL 驗證 Proxy」一文。

使用 Cloud SQL Auth Proxy 是驗證與 Cloud SQL 執行個體連線的建議方法，因為這是最安全的方法。

Cloud SQL 驗證 Proxy 是開放原始碼程式庫，以可執行的二進位檔發行。Cloud SQL 驗證 Proxy 會充當中介伺服器，監聽傳入的連線，並以 SSL/TLS 包裝這些連線，然後將其傳遞至 Cloud SQL 執行個體。

部分環境提供使用 Cloud SQL 驗證 Proxy 連線的機制。如要瞭解如何使用這些環境進行連線，請參閱下列任一文章：

自行管理的 SSL/TLS 憑證

您可以設定專屬於 Cloud SQL 執行個體的用戶端/伺服器 SSL/TLS 憑證，而非使用 Cloud SQL 驗證 Proxy 來加密連線。這些憑證可用於驗證用戶端和伺服器彼此的連線，並加密兩者之間的連線。

強烈建議您在未使用 Cloud SQL 驗證 Proxy 時，使用自行管理的 SSL/TLS 憑證來提供加密功能。否則，您的資料就會以不安全的方式傳輸，並可能遭到第三方攔截或檢查。

如要開始使用自行管理的 SSL/TLS 憑證，請參閱「使用 SSL/TLS 憑證進行授權」一文。

已授權網路

除非使用 Cloud SQL Auth Proxy，否則只有來自授權網路的連線才能連線至執行個體的公開 IP 位址。授權網路是指使用者指定的 IP 位址或範圍，這些位址或範圍具有連線權限。

如要開始使用授權網路，請參閱「使用授權網路進行授權」一文。

如何驗證 Cloud SQL

驗證功能會驗證使用者的身分，提供存取權控管。對於使用者而言，只要輸入憑證 (使用者名稱和密碼)，即可完成驗證。對於應用程式而言，只要使用者憑證指派給服務帳戶，即可完成驗證。

Cloud SQL 會使用資料庫內建的驗證機制，透過使用者名稱和密碼進行驗證。詳情請參閱「建立及管理 PostgreSQL 使用者」一文。

Cloud SQL 也已整合 IAM，協助您更有效地監控及管理使用者和服務帳戶的資料庫存取權。這項功能稱為 IAM 資料庫驗證。

進一步瞭解 IAM 資料庫驗證。

進一步瞭解如何建立及管理使用 IAM 資料庫驗證功能的使用者。

連線至 Cloud SQL 的工具

下表列出連線至 Cloud SQL 的部分選項：

連線選項	更多資訊
Cloud SQL 驗證 Proxy	關於 Cloud SQL 驗證 Proxy 使用 Cloud SQL 驗證 Proxy 連線使用 Cloud SQL 驗證 Proxy Docker 映像檔連線
gcloud CLI	`gcloud sql connect`
Cloud SQL 語言連接器	使用 Java、Python 和 Go 適用的 Cloud SQL 連接器建立連線。
Cloud Shell	使用 Cloud Shell 連線
Cloud Code	在 JetBrains IDE 中使用 Cloud Code 進行連線

使用第三方資料庫管理工具連線
pgAdmin	PostgreSQL 適用的 pgAdmin.org
Toad Edge	Toad Edge for PostgreSQL
Blendo	如何將 Google Cloud SQL PostgreSQL 連結至 Blendo

程式碼範例

任何可讓您連線至 Unix 或 TCP 通訊端的程式語言，都能用來連線至 Cloud SQL 驗證 Proxy。以下是 GitHub 完整範例中的程式碼片段，可協助您瞭解這些程式碼片段如何在應用程式中搭配運作。

透過 TCP 連線

Cloud SQL 驗證 Proxy 叫用陳述式：

./cloud-sql-proxy INSTANCE_CONNECTION_NAME &

Python

如要在網頁應用程式內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

import os
import ssl

import sqlalchemy


def connect_tcp_socket() -> sqlalchemy.engine.base.Engine:
    """Initializes a TCP connection pool for a Cloud SQL instance of Postgres."""
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    db_host = os.environ[
        "INSTANCE_HOST"
    ]  # e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
    db_user = os.environ["DB_USER"]  # e.g. 'my-db-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-db-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    db_port = os.environ["DB_PORT"]  # e.g. 5432

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgresql+pg8000://<db_user>:<db_pass>@<db_host>:<db_port>/<db_name>
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,
            password=db_pass,
            host=db_host,
            port=db_port,
            database=db_name,
        ),
        # ...
    )
    return pool

Java

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

注意：

CLOUD_SQL_CONNECTION_NAME 應以 <MY-PROJECT>:<INSTANCE-REGION>:<INSTANCE-NAME> 的格式表示
使用引數 ipTypes=PRIVATE 會強制 SocketFactory 連線至執行個體的相關聯私人 IP
請參閱這裡的 JDBC 通訊端處理站版本需求，瞭解 pom.xml 檔案的相關規定。


import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class TcpConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  private static final String INSTANCE_HOST = System.getenv("INSTANCE_HOST");
  private static final String DB_PORT = System.getenv("DB_PORT");


  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:postgresql://<INSTANCE_HOST>:<DB_PORT>/<DB_NAME>?user=<DB_USER>&password=<DB_PASS>
    // See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
    // https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:postgresql://%s:%s/%s", INSTANCE_HOST, DB_PORT, DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", "postgres"
    config.setPassword(DB_PASS); // e.g. "my-password"


    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

Node.js

如要在網頁應用程式內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

const Knex = require('knex');
const fs = require('fs');

// createTcpPool initializes a TCP connection pool for a Cloud SQL
// instance of Postgres.
const createTcpPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  const dbConfig = {
    client: 'pg',
    connection: {
      host: process.env.INSTANCE_HOST, // e.g. '127.0.0.1'
      port: process.env.DB_PORT, // e.g. '5432'
      user: process.env.DB_USER, // e.g. 'my-user'
      password: process.env.DB_PASS, // e.g. 'my-user-password'
      database: process.env.DB_NAME, // e.g. 'my-database'
    },
    // ... Specify additional properties here.
    ...config,
  };
  // Establish a connection to the database.
  return Knex(dbConfig);
};

Go

如要在網頁應用程式內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

package cloudsql

import (
	"database/sql"
	"fmt"
	"log"
	"os"

	// Note: If connecting using the App Engine Flex Go runtime, use
	// "github.com/jackc/pgx/stdlib" instead, since v5 requires
	// Go modules which are not supported by App Engine Flex.
	_ "github.com/jackc/pgx/v5/stdlib"
)

// connectTCPSocket initializes a TCP connection pool for a Cloud SQL
// instance of Postgres.
func connectTCPSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Fatal Error in connect_tcp.go: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser    = mustGetenv("DB_USER")       // e.g. 'my-db-user'
		dbPwd     = mustGetenv("DB_PASS")       // e.g. 'my-db-password'
		dbTCPHost = mustGetenv("INSTANCE_HOST") // e.g. '127.0.0.1' ('172.17.0.1' if deployed to GAE Flex)
		dbPort    = mustGetenv("DB_PORT")       // e.g. '5432'
		dbName    = mustGetenv("DB_NAME")       // e.g. 'my-database'
	)

	dbURI := fmt.Sprintf("host=%s user=%s password=%s port=%s database=%s",
		dbTCPHost, dbUser, dbPwd, dbPort, dbName)


	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("pgx", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %w", err)
	}

	// ...

	return dbPool, nil
}

C#

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

using Npgsql;
using System;

namespace CloudSql
{
    public class PostgreSqlTcp
    {
        public static NpgsqlConnectionStringBuilder NewPostgreSqlTCPConnectionString()
        {
            // Equivalent connection string:
            // "Uid=<DB_USER>;Pwd=<DB_PASS>;Host=<INSTANCE_HOST>;Database=<DB_NAME>;"
            var connectionString = new NpgsqlConnectionStringBuilder()
            {
                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Host = Environment.GetEnvironmentVariable("INSTANCE_HOST"),     // e.g. '127.0.0.1'
                // Set Host to 'cloudsql' when deploying to App Engine Flexible environment
                Username = Environment.GetEnvironmentVariable("DB_USER"), // e.g. 'my-db-user'
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'

                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = SslMode.Disable,
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

Ruby

如要在網頁應用程式內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

tcp: &tcp
  adapter: postgresql
  # Configure additional properties here.
  # Note: Saving credentials in environment variables is convenient, but not
  # secure - consider a more secure solution such as
  # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  # keep secrets safe.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  host: <%= ENV.fetch("INSTANCE_HOST") { "127.0.0.1" }%> # '172.17.0.1' if deployed to GAE Flex
  port: <%= ENV.fetch("DB_PORT") { 5432 }%>

PHP

如要在網頁應用程式內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

namespace Google\Cloud\Samples\CloudSQL\Postgres;

use PDO;
use PDOException;
use RuntimeException;
use TypeError;

class DatabaseTcp
{
    public static function initTcpDatabaseConnection(): PDO
    {
        try {
            // Note: Saving credentials in environment variables is convenient, but not
            // secure - consider a more secure solution such as
            // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
            // keep secrets safe.
            $username = getenv('DB_USER'); // e.g. 'your_db_user'
            $password = getenv('DB_PASS'); // e.g. 'your_db_password'
            $dbName = getenv('DB_NAME'); // e.g. 'your_db_name'
            $instanceHost = getenv('INSTANCE_HOST'); // e.g. '127.0.0.1' ('172.17.0.1' for GAE Flex)

            // Connect using TCP
            $dsn = sprintf('pgsql:dbname=%s;host=%s', $dbName, $instanceHost);

            // Connect to the database
            $conn = new PDO(
                $dsn,
                $username,
                $password,
                # ...
            );
        } catch (TypeError $e) {
            throw new RuntimeException(
                sprintf(
                    'Invalid or missing configuration! Make sure you have set ' .
                        '$username, $password, $dbName, and $instanceHost (for TCP mode). ' .
                        'The PHP error was %s',
                    $e->getMessage()
                ),
                $e->getCode(),
                $e
            );
        } catch (PDOException $e) {
            throw new RuntimeException(
                sprintf(
                    'Could not connect to the Cloud SQL Database. Check that ' .
                        'your username and password are correct, that the Cloud SQL ' .
                        'proxy is running, and that the database exists and is ready ' .
                        'for use. For more assistance, refer to %s. The PDO error was %s',
                    'https://cloud.google.com/sql/docs/postgres/connect-external-app',
                    $e->getMessage()
                ),
                $e->getCode(),
                $e
            );
        }

        return $conn;
    }
}

透過 Unix 通訊端連線

Cloud SQL 驗證 Proxy 叫用陳述式：

./cloud-sql-proxy --unix-socket /cloudsql INSTANCE_CONNECTION_NAME &

Python

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

import os

import sqlalchemy


def connect_unix_socket() -> sqlalchemy.engine.base.Engine:
    """Initializes a Unix socket connection pool for a Cloud SQL instance of Postgres."""
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    db_user = os.environ["DB_USER"]  # e.g. 'my-database-user'
    db_pass = os.environ["DB_PASS"]  # e.g. 'my-database-password'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'
    unix_socket_path = os.environ[
        "INSTANCE_UNIX_SOCKET"
    ]  # e.g. '/cloudsql/project:region:instance'

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgresql+pg8000://<db_user>:<db_pass>@/<db_name>
        #                         ?unix_sock=<INSTANCE_UNIX_SOCKET>/.s.PGSQL.5432
        # Note: Some drivers require the `unix_sock` query parameter to use a different key.
        # For example, 'psycopg2' uses the path set to `host` in order to connect successfully.
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,
            password=db_pass,
            database=db_name,
            query={"unix_sock": f"{unix_socket_path}/.s.PGSQL.5432"},
        ),
        # ...
    )
    return pool

Java

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class ConnectorConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String INSTANCE_CONNECTION_NAME =
      System.getenv("INSTANCE_CONNECTION_NAME");
  private static final String INSTANCE_UNIX_SOCKET = System.getenv("INSTANCE_UNIX_SOCKET");
  private static final String DB_USER = System.getenv("DB_USER");
  private static final String DB_PASS = System.getenv("DB_PASS");
  private static final String DB_NAME = System.getenv("DB_NAME");

  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:postgresql:///<DB_NAME>?cloudSqlInstance=<INSTANCE_CONNECTION_NAME>&
    // socketFactory=com.google.cloud.sql.postgres.SocketFactory&user=<DB_USER>&password=<DB_PASS>
    // See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
    // https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:postgresql:///%s", DB_NAME));
    config.setUsername(DB_USER); // e.g. "root", _postgres"
    config.setPassword(DB_PASS); // e.g. "my-password"

    config.addDataSourceProperty("socketFactory", "com.google.cloud.sql.postgres.SocketFactory");
    config.addDataSourceProperty("cloudSqlInstance", INSTANCE_CONNECTION_NAME);

    // Unix sockets are not natively supported in Java, so it is necessary to use the Cloud SQL
    // Java Connector to connect. When setting INSTANCE_UNIX_SOCKET, the connector will 
    // call an external package that will enable Unix socket connections.
    // Note: For Java users, the Cloud SQL Java Connector can provide authenticated connections
    // which is usually preferable to using the Cloud SQL Proxy with Unix sockets.
    // See https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory for details.
    if (INSTANCE_UNIX_SOCKET != null) {
      config.addDataSourceProperty("unixSocketPath", INSTANCE_UNIX_SOCKET);
    }


    // cloudSqlRefreshStrategy set to "lazy" is used to perform a
    // refresh when needed, rather than on a scheduled interval.
    // This is recommended for serverless environments to
    // avoid background refreshes from throttling CPU.
    config.addDataSourceProperty("cloudSqlRefreshStrategy", "lazy");

    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

Node.js

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

const Knex = require('knex');

// createUnixSocketPool initializes a Unix socket connection pool for
// a Cloud SQL instance of Postgres.
const createUnixSocketPool = async config => {
  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  return Knex({
    client: 'pg',
    connection: {
      user: process.env.DB_USER, // e.g. 'my-user'
      password: process.env.DB_PASS, // e.g. 'my-user-password'
      database: process.env.DB_NAME, // e.g. 'my-database'
      host: process.env.INSTANCE_UNIX_SOCKET, // e.g. '/cloudsql/project:region:instance'
    },
    // ... Specify additional properties here.
    ...config,
  });
};

C#

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

using Npgsql;
using System;

namespace CloudSql
{
    public class PostgreSqlUnix
    {
        public static NpgsqlConnectionStringBuilder NewPostgreSqlUnixSocketConnectionString()
        {
            // Equivalent connection string:
            // "Server=<INSTANCE_UNIX_SOCKET>;Uid=<DB_USER>;Pwd=<DB_PASS>;Database=<DB_NAME>"
            var connectionString = new NpgsqlConnectionStringBuilder()
            {
                // The Cloud SQL proxy provides encryption between the proxy and instance.
                SslMode = SslMode.Disable,

                // Note: Saving credentials in environment variables is convenient, but not
                // secure - consider a more secure solution such as
                // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
                // keep secrets safe.
                Host = Environment.GetEnvironmentVariable("INSTANCE_UNIX_SOCKET"), // e.g. '/cloudsql/project:region:instance'
                Username = Environment.GetEnvironmentVariable("DB_USER"), // e.g. 'my-db-user
                Password = Environment.GetEnvironmentVariable("DB_PASS"), // e.g. 'my-db-password'
                Database = Environment.GetEnvironmentVariable("DB_NAME"), // e.g. 'my-database'
            };
            connectionString.Pooling = true;
            // Specify additional properties here.
            return connectionString;
        }
    }
}

Go

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

package cloudsql

import (
	"database/sql"
	"fmt"
	"log"
	"os"

	// Note: If connecting using the App Engine Flex Go runtime, use
	// "github.com/jackc/pgx/stdlib" instead, since v5 requires
	// Go modules which are not supported by App Engine Flex.
	_ "github.com/jackc/pgx/v5/stdlib"
)

// connectUnixSocket initializes a Unix socket connection pool for
// a Cloud SQL instance of Postgres.
func connectUnixSocket() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Fatal Error in connect_unix.go: %s environment variable not set.\n", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser         = mustGetenv("DB_USER")              // e.g. 'my-db-user'
		dbPwd          = mustGetenv("DB_PASS")              // e.g. 'my-db-password'
		unixSocketPath = mustGetenv("INSTANCE_UNIX_SOCKET") // e.g. '/cloudsql/project:region:instance'
		dbName         = mustGetenv("DB_NAME")              // e.g. 'my-database'
	)

	dbURI := fmt.Sprintf("user=%s password=%s database=%s host=%s",
		dbUser, dbPwd, dbName, unixSocketPath)

	// dbPool is the pool of database connections.
	dbPool, err := sql.Open("pgx", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %w", err)
	}

	// ...

	return dbPool, nil
}

Ruby

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

unix: &unix
  adapter: postgresql
  # Configure additional properties here.
  # Note: Saving credentials in environment variables is convenient, but not
  # secure - consider a more secure solution such as
  # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  # keep secrets safe.
  username: <%= ENV["DB_USER"] %>  # e.g. "my-database-user"
  password: <%= ENV["DB_PASS"] %> # e.g. "my-database-password"
  database: <%= ENV.fetch("DB_NAME") { "vote_development" } %>
  # Specify the Unix socket path as host
  host: "<%= ENV["INSTANCE_UNIX_SOCKET"] %>"

PHP

如要在網頁應用程式的內容中查看此程式碼片段，請參閱 GitHub 上的 README 檔案。

namespace Google\Cloud\Samples\CloudSQL\Postgres;

use PDO;
use PDOException;
use RuntimeException;
use TypeError;

class DatabaseUnix
{
    public static function initUnixDatabaseConnection(): PDO
    {
        try {
            // Note: Saving credentials in environment variables is convenient, but not
            // secure - consider a more secure solution such as
            // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
            // keep secrets safe.
            $username = getenv('DB_USER'); // e.g. 'your_db_user'
            $password = getenv('DB_PASS'); // e.g. 'your_db_password'
            $dbName = getenv('DB_NAME'); // e.g. 'your_db_name'
            $instanceUnixSocket = getenv('INSTANCE_UNIX_SOCKET'); // e.g. '/cloudsql/project:region:instance'

            // Connect using UNIX sockets
            $dsn = sprintf(
                'pgsql:dbname=%s;host=%s',
                $dbName,
                $instanceUnixSocket
            );

            // Connect to the database.
            $conn = new PDO(
                $dsn,
                $username,
                $password,
                # ...
            );
        } catch (TypeError $e) {
            throw new RuntimeException(
                sprintf(
                    'Invalid or missing configuration! Make sure you have set ' .
                        '$username, $password, $dbName, ' .
                        'and $instanceUnixSocket (for UNIX socket mode). ' .
                        'The PHP error was %s',
                    $e->getMessage()
                ),
                (int) $e->getCode(),
                $e
            );
        } catch (PDOException $e) {
            throw new RuntimeException(
                sprintf(
                    'Could not connect to the Cloud SQL Database. Check that ' .
                        'your username and password are correct, that the Cloud SQL ' .
                        'proxy is running, and that the database exists and is ready ' .
                        'for use. For more assistance, refer to %s. The PDO error was %s',
                    'https://cloud.google.com/sql/docs/postgres/connect-external-app',
                    $e->getMessage()
                ),
                (int) $e->getCode(),
                $e
            );
        }

        return $conn;
    }
}

疑難排解

如果無法順利連線，請參閱下列頁面，瞭解如何偵錯或找出已知問題的解決方案：

後續步驟

如要瞭解如何連線，請參閱 Cloud SQL for PostgreSQL 快速入門指南。
瞭解管理資料庫連線的最佳做法。
瞭解 IAM 資料庫驗證。
瞭解如何使用本機機器或 Compute Engine 中的 psql 用戶端建立連線。
瞭解如何設定 IP 連線能力。
瞭解 Cloud SQL 驗證 Proxy。
瞭解支援的選項。

關於連線選項 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

總覽

事前準備

如何連線至 Cloud SQL

公開和私人 IP

私人 IP

公開 IP

動態指派的 IP 位址

執行個體的連線選項

支援功能

建立執行個體的連線選項

停用連線選項

啟用連線選項

限制

如何授權存取 Cloud SQL

Cloud SQL 語言連接器

Cloud SQL 驗證 Proxy

自行管理的 SSL/TLS 憑證

已授權網路

如何驗證 Cloud SQL

連線至 Cloud SQL 的工具

程式碼範例

透過 TCP 連線

Python

Java

Node.js

Go

C#

Ruby

PHP

透過 Unix 通訊端連線

Python

Java

Node.js

C#

Go

Ruby

PHP

疑難排解

後續步驟

關於連線選項
透過集合功能整理內容你可以依據偏好儲存及分類內容。