本頁面說明如何跨越傳遞式對等 VPC 連線至 Cloud SQL 執行個體。
Cloud SQL 提供下列方式,可透過私人 IP 將 Cloud SQL 執行個體連線至多個 VPC:
使用自訂的廣告路徑連線
您可以使用 Cloud Router,在兩個網路之間設定自訂通告路徑,這些網路會經過中介虛擬私有雲,將多個虛擬私有雲連結至 Cloud SQL 執行個體。這兩個 VPC 必須使用虛擬私人網路 (VPN)、Cloud Interconnect 或任何其他 Cloud Router 支援的網路進行連線。
使用自訂通告路徑後,Cloud SQL 虛擬私有雲 (VPC C) 會透過中介虛擬私有雲 (VPC B) 連線至主要虛擬私有雲 (VPC A)。您可以透過下列方式,設定這些網路之間的共用路徑:
您可以使用 Cloud Router,手動在經過中介 VPC 的兩個網路之間通告路徑。如要進一步瞭解如何設定 Cloud Router 手動通告路徑,請參閱「轉接網路」。
您可以建立兩個互相連線的高可用性 VPN 閘道,以便連結兩個不同的 VPC,並設定 Cloud Router 在兩者之間共用路徑。如要進一步瞭解如何設定高可用性 VPN 閘道,請參閱「建立高可用性 VPN 閘道來連結虛擬私有雲網路」。
建議您使用自訂通告路徑,透過 Cloud Router 將多個 VPC 連線至 Cloud SQL 執行個體。
使用中介 Proxy (SOCKS5) 連線
您可以在中介 VPC 上設定中介 Proxy (例如 SOCKS5 Proxy),以及在用戶端和 Cloud SQL 執行個體之間的主要 VPC 中設定 Cloud SQL 驗證 Proxy。這樣中繼節點就能將從 Cloud SQL 驗證 Proxy 加密的流量轉送至 Cloud SQL 執行個體。
如要使用中介 Proxy 從多個虛擬私人雲端連線至 Cloud SQL 執行個體,請按照下列步驟操作:
在外部用戶端上安裝 gcloud CLI。
在中介 VM 上安裝、設定及執行 SOCKS 伺服器。Dante 就是這類伺服器的例子,這是一款熱門的開放原始碼解決方案。
設定伺服器,讓其繫結至 VM 的
ens4網路介面,以便進行外部和內部連線。如為內部連線,請指定任何通訊埠。設定 VPC 的防火牆,允許從適當 IP 位址或範圍傳送至 SOCKS 伺服器所設定通訊埠的 TCP 流量。
在外部用戶端上下載並安裝 Cloud SQL 驗證 Proxy。
在外部用戶端上啟動 Cloud SQL 驗證 Proxy。
由於您已將執行個體設定為使用內部 IP 位址,因此在啟動 Cloud SQL Auth Proxy 時,您必須提供
--private-ip選項。此外,請將
ALL_PROXY環境變數設為中介 VM 的 IP 位址,並指定 SOCKS 伺服器使用的通訊埠。例如:ALL_PROXY=socks5://VM_IP_ADDRESS:SOCKS_SERVER_PORT.如果您是從對等虛擬私有雲連線,請使用中介 VM 的內部 IP 位址;否則請使用外部 IP 位址。
在外部用戶端上,使用 SQL Server 用戶端測試連線。
使用 Cloud SQL 驗證 Proxy 做為服務連線
您可以在中介 VPC 上安裝及執行 Cloud SQL 驗證 Proxy,而非在外部用戶端上安裝及執行,並搭配使用支援通訊協定的 Proxy (也稱為連線集區) 啟用安全連線。連線集區器的範例包括 PGbouncer 或 Pgpool-II(僅限 PostgreSQL)。
這個連線方法可讓應用程式使用已設定的 SSL,直接安全連線至集區管理工具。集結器會使用 Cloud SQL 驗證 Proxy,將資料庫查詢傳遞至 Cloud SQL 執行個體。
使用 Private Service Connect 連線
Private Service Connect 可讓您連線至不同專案或機構中的多個虛擬私有雲網路。您可以使用 Private Service Connect 連線至主要執行個體或任何讀取/複寫執行個體。如要進一步瞭解 Private Service Connect,請參閱 Private Service Connect 總覽。
如要使用 Private Service Connect 跨多個 VPC 建立連線,請參閱「使用 Private Service Connect 連線至執行個體」一文。