비공개 IP 구성

MySQL | PostgreSQL | SQL Server

이 페이지에서는 Cloud SQL 인스턴스에서 비공개 IP를 사용하도록 구성하는 방법을 설명합니다.

비공개 IP의 작동 방식과 환경, 관리 요구사항은 비공개 IP를 참조하세요.

시작하기 전에

API 및 IAM 요구사항

Google Cloud 프로젝트에 Service Networking API를 사용 설정해야 합니다.

공유 VPC 네트워크를 사용할 경우 호스트 프로젝트에도 이 API를 사용 설정해야 합니다.

비공개 서비스 액세스 연결을 관리하려면 사용자에게 다음 Identity and Access Management(IAM) 권한이 있어야 합니다. 필요한 권한이 없으면 권한 부족 오류가 발생할 수 있습니다.
- compute.networks.list
- compute.addresses.create
- compute.addresses.list
- servicenetworking.services.addPeering
또한 공유 VPC 네트워크를 사용하는 경우 사용자를 호스트 프로젝트에 추가하고 호스트 프로젝트에서 사용자에게 동일한 권한을 할당해야 합니다.

비공개 서비스 액세스

프로젝트에서 새 Virtual Private Cloud(VPC) 네트워크를 만들 때는 비공개 서비스 액세스를 구성하여 IP 주소 범위를 할당하고 비공개 서비스 연결을 만들어야 합니다. 그러면 VPC 네트워크의 리소스를 Cloud SQL 인스턴스에 연결할 수 있습니다. Google Cloud 콘솔은 이 구성을 설정하는 데 도움이 되는 마법사를 제공합니다.

비공개 IP 주소를 사용하여 PostgreSQL용 Cloud SQL 인스턴스에 다른 VPC 네트워크를 할당하면 default VPC 네트워크에 모두 할당하는 것보다 나은 격리를 제공합니다.

비공개 IP를 사용하도록 인스턴스 구성

인스턴스를 만들 때 또는 기존 인스턴스에 비공개 IP를 사용하도록 Cloud SQL 인스턴스를 구성할 수 있습니다.

새 인스턴스에 비공개 IP 구성

Cloud SQL 인스턴스를 만들 때 이 인스턴스에서 비공개 IP를 사용하도록 구성하려면 다음 안내를 따르세요.

Console

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스 만들기를 클릭합니다.
구성 옵션 표시를 펼칩니다.
연결을 펼칩니다.
비공개 IP를 선택합니다.
드롭다운 목록에 프로젝트에서 사용할 수 있는 VPC 네트워크가 표시됩니다. 프로젝트가 공유 VPC의 서비스 프로젝트이면 호스트 프로젝트의 VPC 네트워크도 표시됩니다.
사용할 VPC 네트워크를 선택합니다.

비공개 서비스 연결을 설정해야 한다는 메시지가 표시되면 다음을 수행합니다.

연결 설정을 클릭합니다.
IP 범위 할당 섹션에서 다음 옵션 중 하나를 선택합니다.
- 하나 이상의 기존 IP 범위를 선택하거나 드롭다운에서 새 범위를 만듭니다. 드롭다운에 이전에 할당된 범위(있는 경우)가 포함되거나 새 IP 범위 할당을 선택하고 새 범위와 이름을 입력할 수 있습니다.
- 네트워크에 자동으로 할당된 IP 범위를 사용합니다.
참고: 읽기 복제본이나 클론이 아닌 기본 인스턴스에만 IP 주소 범위를 지정할 수 있습니다.
계속을 클릭합니다.
연결 만들기를 클릭합니다.
Private service connection for network VPC_NETWORK_NAME has been successfully created 메시지가 표시되는지 확인합니다.

필요한 경우 연결에 사용할 인스턴스에 할당된 IP 범위를 지정할 수 있습니다.
1. 할당된 IP 범위 옵션 표시를 펼칩니다.
2. 드롭다운 메뉴에서 IP 범위를 선택합니다.
(선택사항) BigQuery와 같은 다른 Google Cloud 서비스에서 Cloud SQL의 데이터에 액세스하고 비공개 IP 연결을 통해 이 데이터에 대해 쿼리를 수행하도록 허용하려면 비공개 경로 사용 설정을 선택합니다.
인스턴스 구성을 완료합니다.
인스턴스 만들기를 클릭합니다.

gcloud

비공개 IP 주소를 사용하여 인스턴스를 만들기 전에 프로젝트가 비공개 서비스 액세스를 위해 구성되었는지 확인합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

INSTANCE_ID: 인스턴스 ID입니다.
PROJECT_ID: 프로젝트 ID입니다.
NETWORK_PROJECT_ID: VPC 네트워크의 프로젝트 ID입니다.

참고: VPC 네트워크가 공유 VPC인 경우 PROJECT_ID는 공유 VPC 서비스 프로젝트의 ID여야 하고 NETWORK_PROJECT_ID는 공유 VPC 호스트 프로젝트의 ID여야 합니다.
VPC_NETWORK_NAME: VPC 네트워크의 이름입니다.
RANGE_NAME: 선택사항. 지정하면 IP 범위가 할당되는 범위 이름이 설정됩니다. 범위 이름은 RFC-1035를 준수해야 하며 1~63(영문 기준)자 이내여야 합니다.
DATABASE_VERSION: PostgreSQL 데이터베이스 버전입니다(예: POSTGRES_14).
NUMBER_OF_CPU: CPU 수입니다.
MEMORY_IN_GB: 메모리 용량(GB)입니다.
REGION_NAME: 리전 이름입니다.

VPC 네트워크의 이름을 지정하려면 --network 파라미터를 사용합니다. 공개 IP를 사용 중지하려면 --no-assign-ip 플래그를 사용합니다.

또는 원하는 경우 --enable-google-private-path 파라미터를 사용하여 BigQuery와 같은 다른 Google Cloud 서비스에서 Cloud SQL의 데이터에 액세스하고 비공개 IP 연결을 통해 이 데이터에 대해 쿼리를 수행하도록 허용합니다. 이 매개변수는 다음 경우에만 유효합니다.

--no-assign-ip 파라미터를 사용합니다.
--network 파라미터를 사용하여 비공개 연결을 만드는 데 사용할 VPC 네트워크의 이름을 지정합니다.

gcloud beta sql instances create INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--allocated-ip-range-name=RANGE_NAME \
--enable-google-private-path \
--database-version=DATABASE_VERSION \
--cpu=NUMBER_OF_CPU \
--memory=MEMORY_IN_GB \
--region=REGION_NAME

Terraform

새 인스턴스에 비공개 IP를 구성하려면 다음 Terraform 리소스를 사용합니다.


resource "google_compute_network" "peering_network" {
  name                    = "private-network"
  auto_create_subnetworks = "false"
}

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

resource "google_sql_database_instance" "default" {
  name             = "private-ip-sql-instance"
  region           = "us-central1"
  database_version = "POSTGRES_14"

  depends_on = [google_service_networking_connection.default]

  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.peering_network.id
    }
  }
}

resource "google_compute_network_peering_routes_config" "peering_routes" {
  peering              = google_service_networking_connection.default.peering
  network              = google_compute_network.peering_network.name
  import_custom_routes = true
  export_custom_routes = true
}

# [START  cloud_sql_postgres_instance_private_ip_dns]

## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.id
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

변경사항 적용

프로젝트에 Terraform 구성을 적용하려면 Google Cloud 다음 섹션의 단계를 완료하세요.

Cloud Shell 준비

Cloud Shell을 실행합니다.
Terraform 구성을 적용할 기본 Google Cloud 프로젝트를 설정합니다.

이 명령어는 프로젝트당 한 번만 실행하면 되며 어떤 디렉터리에서도 실행할 수 있습니다.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Terraform 구성 파일에서 명시적 값을 설정하면 환경 변수가 재정의됩니다.

디렉터리 준비

각 Terraform 구성 파일에는 자체 디렉터리(루트 모듈이라고도 함)가 있어야 합니다.

Cloud Shell에서 디렉터리를 만들고 해당 디렉터리 내에 새 파일을 만드세요. 파일 이름에는 .tf 확장자가 있어야 합니다(예: main.tf). 이 튜토리얼에서는 파일을 main.tf라고 합니다.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
튜토리얼을 따라 하는 경우 각 섹션이나 단계에서 샘플 코드를 복사할 수 있습니다.

샘플 코드를 새로 만든 main.tf에 복사합니다.

필요한 경우 GitHub에서 코드를 복사합니다. 이는 Terraform 스니펫이 엔드 투 엔드 솔루션의 일부인 경우에 권장됩니다.
환경에 적용할 샘플 파라미터를 검토하고 수정합니다.
변경사항을 저장합니다.
Terraform을 초기화합니다. 이 작업은 디렉터리당 한 번만 수행하면 됩니다.
```
terraform init
```
원하는 경우 최신 Google 공급업체 버전을 사용하려면 -upgrade 옵션을 포함합니다.
```
terraform init -upgrade
```

변경사항 적용

구성을 검토하고 Terraform에서 만들거나 업데이트할 리소스가 예상과 일치하는지 확인합니다.
```
terraform plan
```
필요에 따라 구성을 수정합니다.
다음 명령어를 실행하고 프롬프트에 yes를 입력하여 Terraform 구성을 적용합니다.
```
terraform apply
```
Terraform에 '적용 완료' 메시지가 표시될 때까지 기다립니다.
결과를 보려면 Google Cloud 프로젝트를 엽니다. Google Cloud 콘솔에서 UI의 리소스로 이동하여 Terraform이 리소스를 만들었거나 업데이트했는지 확인합니다.

변경사항 삭제

변경사항을 삭제하려면 다음 단계를 따르세요.

Terraform 구성 파일에서 삭제 보호를 사용 중지하려면 deletion_protection 인수를 false로 설정합니다.
```
deletion_protection =  "false"
```
다음 명령어를 실행하고 프롬프트에 yes를 입력하여 업데이트된 Terraform 구성을 적용합니다.
```
terraform apply
```

다음 명령어를 실행하고 프롬프트에 yes를 입력하여 이전에 Terraform 구성에 적용된 리소스를 삭제합니다.
```
terraform destroy
```

REST v1

비공개 IP 주소로 새 인스턴스를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID:: 프로젝트 ID
INSTANCE_ID:: 인스턴스 ID
VPC_NETWORK_NAME:: 이 인스턴스에 사용하려는 Virtual Private Cloud(VPC) 네트워크 이름을 지정합니다. 비공개 서비스 액세스가 이미 네트워크에 구성되어 있어야 합니다.
RANGE_NAME:: 선택사항입니다. 지정하면 IP 범위가 할당되는 범위 이름이 설정됩니다. 범위 이름은 RFC-1035를 준수해야 하며 1~63(영문 기준)자 이내여야 합니다.
AUTHORIZED_NETWORKS:: 공개 IP 연결의 경우 인스턴스에 연결할 수 있는 승인된 네트워크의 연결을 지정합니다.

ipv4Enabled 매개변수의 경우 인스턴스에 공개 IP 주소를 사용하려면 값을 true로 설정하고, 인스턴스에 비공개 IP 주소가 포함되었으면 false로 설정합니다.

enablePrivatePathForGoogleCloudServices 파라미터를 true로 설정하면 BigQuery와 같은 다른 Google Cloud 서비스에서 Cloud SQL의 데이터에 액세스하고 비공개 IP 연결을 통해 이 데이터에 대해 쿼리를 수행할 수 있습니다. 이 파라미터를 false로 설정하면 다른 Google Cloud 서비스에서 비공개 IP 연결을 통해 Cloud SQL의 데이터에 액세스할 수 없습니다.

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

JSON 요청 본문:

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "CREATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

비공개 IP 주소로 새 인스턴스를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID:: 프로젝트 ID
INSTANCE_ID:: 인스턴스 ID
VPC_NETWORK_NAME:: 이 인스턴스에 사용하려는 Virtual Private Cloud(VPC) 네트워크 이름을 지정합니다. 비공개 서비스 액세스가 이미 네트워크에 구성되어 있어야 합니다.
RANGE_NAME:: 선택사항입니다. 지정하면 IP 범위가 할당되는 범위 이름이 설정됩니다. 범위 이름은 RFC-1035를 준수해야 하며 1~63(영문 기준)자 이내여야 합니다.
AUTHORIZED_NETWORKS:: 공개 IP 연결의 경우 인스턴스에 연결할 수 있는 승인된 네트워크의 연결을 지정합니다.

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances

JSON 요청 본문:

{
  "name": "INSTANCE_ID",
  "region": "region",
  "databaseVersion": "database-version",
  "settings": {
    "tier": "machine-type",
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1beta4/projects/PROJECT_ID/instances" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "CREATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

기존 인스턴스에 비공개 IP 구성

기존 Cloud SQL 인스턴스에서 비공개 IP를 사용하도록 구성하면 해당 인스턴스가 다시 시작되므로 다운타임이 발생합니다.

비공개 IP를 사용하도록 기존 인스턴스를 구성하려면 다음 안내를 따르세요.

Console

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
Cloud SQL 탐색 메뉴에서 연결을 선택합니다.
네트워킹 탭에서 비공개 IP 체크박스를 선택합니다.
드롭다운 목록에 프로젝트에서 사용할 수 있는 네트워크가 표시됩니다.
사용할 VPC 네트워크를 선택합니다.

비공개 서비스 연결 필요가 표시되는 경우:

연결 설정을 클릭합니다.
IP 범위 할당 섹션에서 다음 옵션 중 하나를 선택합니다.
- 하나 이상의 기존 IP 범위를 선택하거나 드롭다운에서 새 범위를 만듭니다. 드롭다운에 이전에 할당된 범위(있는 경우)가 포함되거나 새 IP 범위 할당을 선택하고 새 범위와 이름을 입력할 수 있습니다.
- 네트워크에 자동으로 할당된 IP 범위를 사용합니다.
참고: 읽기 복제본이나 클론이 아닌 기본 인스턴스에만 IP 주소 범위를 지정할 수 있습니다.
계속을 클릭합니다.
연결 만들기를 클릭합니다.
VPC_NETWORK_NAME 네트워크의 비공개 서비스 연결이 생성되었습니다. 상태가 표시되는지 확인합니다.

(선택사항) BigQuery와 같은 다른 Google Cloud 서비스에서 Cloud SQL의 데이터에 액세스하고 비공개 IP 연결을 통해 이 데이터에 대해 쿼리를 수행하도록 허용하려면 비공개 경로 사용 설정 체크박스를 선택합니다.
저장을 클릭합니다.

gcloud

프로젝트가 비공개 서비스 액세스를 위해 구성되었는지 확인합니다.

--network 파라미터를 사용하여 선택한 VPC 네트워크의 이름을 지정해 Cloud SQL 인스턴스를 업데이트합니다.

gcloud beta sql instances patch INSTANCE_ID \
--project=PROJECT_ID \
--network=projects/NETWORK_PROJECT_ID/global/networks/VPC_NETWORK_NAME \
--no-assign-ip \
--enable-google-private-path

REST v1

비공개 IP 주소로 새 인스턴스를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID:: 프로젝트 ID
INSTANCE_ID:: 인스턴스 ID
VPC_NETWORK_NAME:: 이 인스턴스에 사용하려는 Virtual Private Cloud(VPC) 네트워크 이름을 지정합니다. 비공개 서비스 액세스가 이미 네트워크에 구성되어 있어야 합니다.
RANGE_NAME:: 선택사항입니다. 지정하면 IP 범위가 할당되는 범위 이름이 설정됩니다. 범위 이름은 RFC-1035를 준수해야 하며 1~63(영문 기준)자 이내여야 합니다.
AUTHORIZED_NETWORKS:: 공개 IP 연결의 경우 인스턴스에 연결할 수 있는 승인된 네트워크의 연결을 지정합니다.

HTTP 메서드 및 URL:

PATCH https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID

JSON 요청 본문:

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

비공개 IP 주소로 새 인스턴스를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID:: 프로젝트 ID
INSTANCE_ID:: 인스턴스 ID
VPC_NETWORK_NAME:: 이 인스턴스에 사용하려는 Virtual Private Cloud(VPC) 네트워크 이름을 지정합니다. 비공개 서비스 액세스가 이미 네트워크에 구성되어 있어야 합니다.
RANGE_NAME:: 선택사항입니다. 지정하면 IP 범위가 할당되는 범위 이름이 설정됩니다. 범위 이름은 RFC-1035를 준수해야 하며 1~63(영문 기준)자 이내여야 합니다.
AUTHORIZED_NETWORKS: 공개 IP 연결의 경우 인스턴스에 연결할 수 있는 승인된 네트워크의 연결을 지정합니다.

HTTP 메서드 및 URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

JSON 요청 본문:

{
  "settings":
  {
    "ipConfiguration": {
      "ipv4Enabled": false,
      "privateNetwork": "projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME",
      "allocatedIpRange": "RANGE_NAME"
      "authorizedNetworks": [AUTHORIZED_NETWORKS],
      
      "enablePrivatePathForGoogleCloudServices": true
      
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-21T22:43:37.981Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

비공개 IP를 사용하여 인스턴스에 연결

비공개 서비스 액세스를 사용하여 동일한 VPC 네트워크의 Compute Engine 또는 Google Kubernetes Engine 인스턴스(여기서는 내부 소스로 정의)에서 또는 해당 네트워크의 외부(외부 소스)에서 Cloud SQL 인스턴스에 연결합니다.

내부 소스에서 연결

Compute Engine 리소스에서 실행되는 Cloud SQL 인증 프록시와 같이 Cloud SQL 인스턴스와 동일한 Google Cloud 프로젝트의 소스에서 연결하려면 리소스가 Cloud SQL 인스턴스에 비공개 서비스 액세스가 설정된 동일한 VPC 네트워크에 있어야 합니다.

App Engine 표준 환경, Cloud Run, Cloud Run Functions와 같은 서버리스 소스에서 연결하기 위해 애플리케이션 또는 함수가 Cloud SQL 인증 프록시 없이 서버리스 VPC 액세스를 통해 인스턴스에 직접 연결합니다.

외부 소스에서 연결

외부 네트워크(예: 온프레미스 네트워크 또는 VPC 네트워크)가 Cloud SQL 인스턴스가 연결된 VPC 네트워크에 연결된 경우 Cloud VPN 또는 Cloud Interconnect를 사용하여 외부 네트워크의 클라이언트에서 인스턴스에 연결할 수 있습니다.

외부 네트워크에서 연결을 허용하려면 다음을 수행합니다.

Cloud VPN 터널 또는 Dedicated Interconnect 또는 Partner Interconnect를 위한 VLAN 연결을 사용하여 VPC 네트워크가 외부 네트워크에 연결되어 있는지 확인합니다.
Cloud VPN 터널 및 Cloud Interconnect 연결(VLAN)을 관리하는 Cloud Router의 경계 게이트웨이 프로토콜(BGP) 세션이 온프레미스 네트워크에서 특정 프리픽스(대상)를 수신했는지 확인합니다.
네트워크에 자체 로컬 기본 경로가 있으므로 기본 경로(대상 0.0.0.0/0)를 Cloud SQL VPC 네트워크로 가져올 수 없습니다. 대상의 로컬 경로는 Cloud SQL 피어링이 VPC 네트워크에서 커스텀 경로를 가져오도록 구성되어 있더라도 사용됩니다.
비공개 서비스 연결에서 생성한 피어링 연결을 식별합니다. 서비스에 따라 비공개 서비스 연결에서 다음 피어링 연결 중 하나 이상을 만들 수 있지만 반드시 모든 피어링 연결을 구성할 필요는 없습니다.
- cloudsql-mysql-googleapis-com
- cloudsql-postgres-googleapis-com
- servicenetworking-googleapis-com
피어링 연결 모두를 업데이트하여 커스텀 경로 내보내기를 사용 설정합니다.
비공개 서비스 연결에 사용되는 할당 범위를 식별합니다.
Cloud VPN 터널 또는 Cloud Interconnect 연결(VLAN)의 BGP 세션을 관리하는 Cloud Router에 할당된 범위에 대한 Cloud Router 커스텀 공지 모드를 구성합니다.

Cloud Shell에서 연결

Cloud Shell은 Google Cloud 에서 관리하고 VPC 네트워크 외부에 있는 Compute Engine 가상 머신을 사용합니다. 따라서 Cloud Shell과 VPC 네트워크의 비공개 IP 주소 공간 간에 연결 경로가 없습니다.

그 결과 Cloud Shell은 비공개 IP 주소만 있는 Cloud SQL 인스턴스에 대한 연결을 지원하지 않습니다.

비공개 IP 연결을 사용하여 외부 네트워크에서 Cloud SQL 인스턴스에 연결하려면 VPC 외부에서 Cloud SQL 인스턴스에 연결을 참조하세요.

RFC 1918 이외의 IP 주소에서 연결

RFC 1918은 내부적으로(즉, 조직 내에서) 사용되기 위해 할당되는 IP 주소를 지정하며 인터넷에서 라우팅하지 않습니다. 구체적으로 다음과 같습니다.

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

비공개 IP 주소를 사용하는 Cloud SQL 인스턴스에 대한 연결은 RFC 1918 주소 범위에서 자동으로 승인됩니다. 이에 따라 모든 비공개 클라이언트가 프록시를 통하지 않고 데이터베이스에 액세스할 수 있습니다.

RFC 1918 이외의 IP 주소에서 연결하려면 RFC 1918 이외의 IP 주소 범위에서 오는 트래픽을 허용하도록 인스턴스별 IP 승인을 설정해야 합니다.

예를 들어 다음과 같은 gcloud 명령어를 사용합니다.

gcloud sql instances patch INSTANCE_NAME \
--authorized-networks=192.88.99.0/24,11.0.0.0/24

Cloud SQL은 기본적으로 VPC 네트워크에서 RFC 1918 이외의 서브넷 경로를 학습하지 않습니다. RFC 1918 이외의 경로를 내보내려면 네트워크 피어링을 Cloud SQL로 업데이트해야 합니다.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

다음을 바꿉니다.

cloudsql-postgres-googleapis-com은 VPC 네트워크 페이지의 비공개 서비스 연결 이름입니다.
네트워크를 선택한 다음 비공개 서비스 연결 섹션을 찾습니다.
VPC_NETWORK_NAME는 VPC 네트워크의 이름입니다.
PROJECT_ID는 VPC 네트워크 프로젝트의 ID입니다. 공유 VPC를 사용하는 경우 호스트 프로젝트 ID를 사용합니다.

IP 주소 소진을 완화하려면 비공개로 사용되는 공개 IP 주소를 사용하면 됩니다.

비공개로 사용되는 공개 IP 주소에서 연결

비공개로 사용되는 공개 IP 주소 범위에서 인스턴스를 구성하려면 네트워크와 Cloud SQL 네트워크 간의 네트워크 피어링에서 export-subnet-routes-with-public-ip를 사용 설정합니다.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--export-subnet-routes-with-public-ip \
--project=PROJECT_ID

다음을 바꿉니다.

cloudsql-postgres-googleapis-com은 VPC 네트워크 페이지의 비공개 서비스 연결 이름입니다.
네트워크를 선택한 다음 비공개 서비스 연결 섹션을 찾습니다.
VPC_NETWORK_NAME는 VPC 네트워크의 이름입니다.
PROJECT_ID는 VPC 네트워크 프로젝트의 ID입니다. 공유 VPC를 사용 중이면 호스트 프로젝트 ID를 사용합니다.

비공개로 사용되는 공개 IP 주소로 구성된 인스턴스에 연결

비공개로 사용되는 공개 IP 주소 범위로 구성되어 있는 인스턴스에 연결하려는 경우 네트워크와 Cloud SQL 네트워크 간의 네트워크 피어링에서 import-subnet-routes-with-public-ip를 사용 설정합니다.

gcloud compute networks peerings update cloudsql-postgres-googleapis-com \
--network=VPC_NETWORK_NAME \
--import-subnet-routes-with-public-ip \
--project=PROJECT_ID

다음을 바꿉니다.

cloudsql-postgres-googleapis-com은 VPC 네트워크 페이지의 비공개 서비스 연결 이름입니다.
네트워크를 선택한 다음 비공개 서비스 연결 섹션을 찾습니다.
VPC_NETWORK_NAME는 VPC 네트워크의 이름입니다.
PROJECT_ID는 VPC 네트워크 프로젝트의 ID입니다. 공유 VPC를 사용하는 경우 호스트 프로젝트 ID를 사용합니다.

쓰기 엔드포인트를 사용하여 연결

비공개 IP 주소 외에도 SQL 연결 문자열에서 쓰기 엔드포인트를 사용할 수 있습니다. 쓰기 엔드포인트는 현재 기본 인스턴스의 IP 주소로 자동 확인되는 전역 도메인 이름 서비스(DNS) 이름입니다. 쓰기 엔드포인트를 사용하면 리전 장애가 발생할 때 애플리케이션 연결을 변경하지 않아도 됩니다.

복제본 장애 조치 또는 전환이 발생하면 쓰기 엔드포인트를 사용하여 인스턴스의 비공개 IP 주소를 관리할 수 있습니다. 이 경우 쓰기 엔드포인트를 사용하여 기본 인스턴스 역할을 하는 인스턴스에 연결합니다.

Cloud SQL에서 쓰기 엔드포인트를 만드는 방법

Google Cloud 프로젝트에 Cloud DNS API를 사용 설정한 후 기본 Cloud SQL Enterprise Plus 버전 인스턴스를 만들거나 인스턴스의 복제본을 승격하거나 Cloud SQL Enterprise 버전에서 인스턴스를 업그레이드하면 Cloud SQL에서 쓰기 엔드포인트를 자동으로 생성하여 인스턴스에 할당합니다.

자세한 내용은 쓰기 엔드포인트 보기를 참조하세요.

인스턴스에 쓰기 엔드포인트 할당

Google Cloud 프로젝트에 Cloud DNS API를 사용 설정하지 않은 다음 인스턴스를 만들거나 승격하거나 업그레이드하면 Cloud SQL에서 인스턴스에 쓰기 엔드포인트를 자동으로 할당하지 않습니다.

Cloud SQL에서 쓰기 엔드포인트를 생성하고 인스턴스에 할당하려면 쓰기 엔드포인트 생성을 참조하세요.

문제 해결

알려진 연결 문제는 문제 해결을, 자가 진단에 대한 도움은 연결 문제 디버깅을 참조하세요.

다음 단계

비공개 IP 자세히 알아보기
비공개 서비스 액세스 자세히 알아보기
VPC 서비스 제어 사용 방법을 참조하여 서비스 경계 추가
비공개 서비스 액세스 구성 자세히 알아보기
Cloud SQL용 비공개 서비스 액세스 구성 자세히 알아보기
Cloud VPN 자세히 알아보기
VPC 네트워크 자세히 알아보기
VPC 네트워크 피어링 자세히 알아보기
공유 VPC 자세히 알아보기

비공개 IP 구성 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

시작하기 전에

API 및 IAM 요구사항

비공개 서비스 액세스

비공개 IP를 사용하도록 인스턴스 구성

새 인스턴스에 비공개 IP 구성

Console

gcloud

Terraform

변경사항 적용

Cloud Shell 준비

디렉터리 준비

변경사항 적용

변경사항 삭제

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

기존 인스턴스에 비공개 IP 구성

Console

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

비공개 IP를 사용하여 인스턴스에 연결

내부 소스에서 연결

외부 소스에서 연결

Cloud Shell에서 연결

RFC 1918 이외의 IP 주소에서 연결

비공개로 사용되는 공개 IP 주소에서 연결

비공개로 사용되는 공개 IP 주소로 구성된 인스턴스에 연결

쓰기 엔드포인트를 사용하여 연결

Cloud SQL에서 쓰기 엔드포인트를 만드는 방법

인스턴스에 쓰기 엔드포인트 할당

문제 해결

다음 단계

비공개 IP 구성