限制与 Cloud SQL MySQL 实例的连接
restrict connections to Cloud SQL MySQL instance
有没有办法限制哪个计算引擎实例可以连接到我的云 SQL 实例?看起来只要计算引擎使用私有 IP 连接到我的 Cloud SQL 实例,它就会通过。
有没有办法限制它,只允许那些计算引擎实例连接到我的云 SQL 已附加指定服务帐户的实例?
Is there a way to restrict it by saying only allow those compute engine instances to connect to my Cloud SQL instance that has specified service account attached?
已经有一个 feature request 与您的问题相同。您可以为 public 问题跟踪器功能请求加注星标,以确保您将收到有关它的更新。
作为替代方法,为您的 Cloud SQL 实例连接和 Compute Engine 实例创建一个新的 VPC 网络。或者将您的 Cloud SQL 实例和 Compute Engine 实例托管到新的 Google Cloud 项目。
你可以create firewall rule based on the service account。假设您的端口是 3306(MySQL 标准端口)。你可以这样做:
- 创建防火墙规则:
- 源 -> 网络中的所有 VM
- 目标 -> 数据库的 IP
- 出口
- 拒绝
- 优先级 10000
- 端口 3306
- TCP 协议
- 为您要授权的每个虚拟机创建防火墙规则
- 源 -> VM 的服务帐户
- 目标 -> 数据库的 IP
- 出口
- 允许
- 优先级 1000
- 端口 3306
- TCP 协议
比如你默认全部屏蔽,只明确授权指定服务账号的虚拟机访问你的数据库IP
Cloud SQL 现在支持 MySQL、PostgreSQL 和 SQL 服务器的 IAM 条件。您可以使用 IAM 条件在 IAM 策略中指定用户有权按名称绑定特定实例,例如 cloudsql.instances.connect 用于授权 Cloud SQL Auth 代理。 https://cloud.google.com/sql/docs/release-notes#August_21_2021
https://cloud.google.com/sql/docs/mysql/project-access-control#iam-conditions
有没有办法限制哪个计算引擎实例可以连接到我的云 SQL 实例?看起来只要计算引擎使用私有 IP 连接到我的 Cloud SQL 实例,它就会通过。
有没有办法限制它,只允许那些计算引擎实例连接到我的云 SQL 已附加指定服务帐户的实例?
Is there a way to restrict it by saying only allow those compute engine instances to connect to my Cloud SQL instance that has specified service account attached?
已经有一个 feature request 与您的问题相同。您可以为 public 问题跟踪器功能请求加注星标,以确保您将收到有关它的更新。
作为替代方法,为您的 Cloud SQL 实例连接和 Compute Engine 实例创建一个新的 VPC 网络。或者将您的 Cloud SQL 实例和 Compute Engine 实例托管到新的 Google Cloud 项目。
你可以create firewall rule based on the service account。假设您的端口是 3306(MySQL 标准端口)。你可以这样做:
- 创建防火墙规则:
- 源 -> 网络中的所有 VM
- 目标 -> 数据库的 IP
- 出口
- 拒绝
- 优先级 10000
- 端口 3306
- TCP 协议
- 为您要授权的每个虚拟机创建防火墙规则
- 源 -> VM 的服务帐户
- 目标 -> 数据库的 IP
- 出口
- 允许
- 优先级 1000
- 端口 3306
- TCP 协议
比如你默认全部屏蔽,只明确授权指定服务账号的虚拟机访问你的数据库IP
Cloud SQL 现在支持 MySQL、PostgreSQL 和 SQL 服务器的 IAM 条件。您可以使用 IAM 条件在 IAM 策略中指定用户有权按名称绑定特定实例,例如 cloudsql.instances.connect 用于授权 Cloud SQL Auth 代理。 https://cloud.google.com/sql/docs/release-notes#August_21_2021
https://cloud.google.com/sql/docs/mysql/project-access-control#iam-conditions