使用Terraform创建私有Cloud SQL实例及连接测试

Terraform创建私有Cloud SQL及连通性测试
原创 已于 2025-11-09 20:00:52 修改 · 496 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#terraform #sql #云原生

于 2025-11-09 19:56:18 首次发布

指南一:使用Terraform创建私有Cloud SQL实例及连接测试

本文档详细记录了使用Terraform创建一个专用于VPC内部访问的Cloud SQL for PostgreSQL实例的全过程,并演示了如何从GCE和GKE环境中测试其连通性。

1. Terraform项目结构

我们创建了一个结构清晰的Terraform项目,将不同功能的资源分离到独立的文件中:

  • instance.tf: 定义Cloud SQL实例本身。
  • db.tf: 定义实例内的数据库。
  • user.tf: 定义数据库用户。
  • provider.tf: 配置GCP提供商。
  • variables.tf: 定义所有变量。
  • outputs.tf: 输出重要信息(如连接名)。
  • backend.tf: 配置Terraform状态文件的GCS后端。

2. 核心Terraform代码

2.1. 创建Cloud SQL实例 (instance.tf)

为了创建私有实例,我们在ip_configuration块中进行了关键设置:

  • ipv4_enabled = false: 禁用了公共IP地址。
  • private_network = "...": 将实例关联到指定的VPC网络。
# instance.tf
resource "google_sql_database_instance" "main" {
  name             = var.instance_name
  database_version = "POSTGRES_13"
  region           = var.gcp_region

  settings {
    tier = var.db_tier
    ip_configuration {
      ipv4_enabled    = false
      private_network = "projects/${var.gcp_project_id}/global/networks/${var.vpc_network_name}"
    }
  }
  
  deletion_protection = false
}

2.2. 创建数据库 (db.tf)

# db.tf
resource "google_sql_database" "default" {
  name     = "default_db"
  instance = google_sql_database_instance.main.name
}

2.3. 创建数据库用户 (user.tf)

# user.tf
resource "google_sql_user" "default" {
  name     = var.db_user_name
  instance = google_sql_database_instance.main.name
  password = var.db_user_password
}

2.4. 配置VPC网络对等互连 (network.tf)

为了让Cloud SQL能够与我们的VPC通信,需要配置专用服务访问(Private Service Access),它通过VPC Peering实现。

注意: 在我们的实践中,我们发现此Peering连接已存在,因此最终移除network.tf文件。但如果是首次配置,则需要以下资源:

# network.tf (如果Peering不存在时需要)
resource "google_service_networking_connection" "private_vpc_connection" {
  network                 = "projects/${var.gcp_project_id}/global/networks/${var.vpc_network_name}"
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-for-cloudsql"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = "projects/${var.gcp_project_id}/global/networks/${var.vpc_network_name}"
}

3. 部署与验证

我们通过terraform apply成功部署了实例。

3.1. 验证实例IP

我们使用gcloud命令确认实例只有一个私有IP。

命令:

gcloud sql instances describe my-database-instance --project=jason-hsbc --format="json(ipAddresses)"

输出:

{
  "ipAddresses": [
    {
      "ipAddress": "10.195.208.3",
      "type": "PRIVATE"
    }
  ]
}

结论: 验证成功,实例只有一个私有IP 10.195.208.3

4. 连通性测试

4.1. 从GCE VM测试 (成功)

我们从一台位于同一VPC的GCE虚拟机my-envoy-vm-b5hr上进行了测试。

测试命令:

gcloud compute ssh my-envoy-vm-b5hr --zone=europe-west2-c --project=jason-hsbc --command="sudo apt-get update && sudo apt-get install -y postgresql-client && echo 'psql installed, now testing connection...' && env PGPASSWORD=[YOUR_PASSWORD] psql -h 10.195.208.3 -U nvd11 -d default_db -c '\l'"

测试输出:

psql installed, now testing connection...
                                                List of databases
     Name      |       Owner       | Encoding |  Collate   |   Ctype    |            Access privileges
---------------+-------------------+----------+------------+------------+-----------------------------------------
 cloudsqladmin | cloudsqladmin     | UTF8     | en_US.UTF8 | en_US.UTF8 |
 default_db    | cloudsqlsuperuser | UTF8     | en_US.UTF8 | en_US.UTF8 |
 postgres      | cloudsqlsuperuser | UTF8     | en_US.UTF8 | en_US.UTF8 |
 template0     | cloudsqladmin     | UTF8     | en_US.UTF8 | en_US.UTF8 | =c/cloudsqladmin                       +
               |                   |          |            |            | cloudsqladmin=CTc/cloudsqladmin
 template1     | cloudsqlsuperuser | UTF8     | en_US.UTF8 | en_US.UTF8 | =c/cloudsqlsuperuser                   +
               |                   |          |            |            | cloudsqlsuperuser=CTc/cloudsqlsuperuser
(5 rows)

结论: 从GCE VM到Cloud SQL私有IP的网络路径是通畅的

4.2. 从GKE Pod测试 (失败)

我们创建了一个临时的Pod psql-test-runner-2,并尝试从Pod内部连接。

测试命令:

kubectl exec psql-test-runner-2 -- env PGPASSWORD=[YOUR_PASSWORD] psql -h 10.195.208.3 -U nvd11 -d default_db -c "\l"

测试输出:

psql: error: connection to server at "10.195.208.3", port 5432 failed: Connection timed out

结论: 从GKE Pod到Cloud SQL私有IP的网络路径被阻塞。这引发了第二份文档中详细描述的深度排查过程。
GKE连接private Cloud SQL疑难问题排查实录

terraform_如何使用Terraform使用私有IP部署Cloud SQL DB
weixin_26722031的博客
07-30 592
terraformThis is a writeup of how I configured a Cloud SQL database to have only a private IP address. The db is unreachable from the public internet except for a tiny hole in the private network that...
GKE连接私有Cloud SQL疑难问题排查实录
nvd11的专栏
11-09 962
本文详细记录了GKE Pod无法连接私有Cloud SQL实例的排查过程。通过检查VPC防火墙规则、GKE网络策略、IP伪装和VPC Peering路由传播,最终确定问题根源在于高级网络配置。采用Cloud SQL Auth Proxy作为解决方案,成功实现了安全可靠的数据库连接。经验表明,当直接IP连接出现难以诊断的网络问题时,使用官方认证的代理服务是最佳实践,既能保障安全又节省故障排查时间。
指南:为何及如何使用Envoy作为跳板机代理Cloud SQL
nvd11的专栏
11-09 620
本文记录了通过配置GCE虚拟机作为Envoy代理,实现外部访问VPC内私有Cloud SQL实例的解决方案。在尝试直接连接Cloud SQL Auth Proxy失败后,最终采用Envoy跳板机方案:将GCE公网IP的5432端口流量转发至Cloud SQL私有IP。文章详细描述了排查过程,包括VPC防火墙、GKE网络策略等检查,以及各种Proxy方案的失败原因分析。最终通过Envoy的TCP代理配置成功实现连接验证,为类似场景提供了可行参考方案。
8、云 SQL 使用指南:从连接到性能优化
Python的专栏
10-04 36
本文全面介绍了Google Cloud SQL使用指南,涵盖实例配置、安全连接、架构加载、用户权限管理、与Cloud Run集成以及并发性能优化等关键主题。通过Cloud SQL代理实现安全的身份验证与连接,推荐使用IAM和UNIX域套接字提升安全性。文章详细说明了如何保护默认root用户、限制数据库并发以避免性能下降,并对比了公共IP与私有IP的使用场景与影响。同时提供了部署示例、连接字符串配置、缩放边界设置及内外部连接池的实践建议,帮助开发者构建安全、高效、可扩展的云数据库应用。
Terraform-Kubernetes:在Google Cloud上自动化部署Kubernetes集群
weixin_36149538的博客
08-09 930
基础设施即代码(Infrastructure as Code, IaC)是一种实践,其中IT基础设施的配置和管理通过机器可读的定义文件而非物理硬件配置或交互式配置工具来完成。IaC能够提升运维效率,加速开发流程,确保环境一致性和版本控制。GCP提供丰富的产品和服务,以满足不同用户的需求。主要产品包括:计算服务:提供包括虚拟机、容器服务(如Google Kubernetes Engine, GKE)、无服务器计算平台(如Cloud Functions)等。存储和数据库服务。
12、云任务调度与基础设施即代码:Cloud Tasks 与 Terraform 实战
Python的专栏
10-08 46
本文深入探讨了如何使用Cloud Tasks进行云任务调度,并结合Terraform实践基础设施即代码(IaC)。内容涵盖任务调度的实现细节,如HTTP请求配置、ID令牌自动添加、工作器连接与队列管理;同时介绍了Terraform在Google Cloud环境下的安装、配置与应用流程,包括资源声明、部署步骤及适用场景。文章还分析了手动管理、自动化管理与IaC三种工作流的差异,帮助开发者根据项目规模选择合适的基础设施管理方式,提升系统的可维护性与协作效率。
14、使用Terraform自动设置攻击者VM实例及模拟渗透测试
jj890的博客
09-24 39
本文详细介绍如何使用Terraform自动创建攻击者VM实例,并在隔离的云环境中模拟渗透测试流程。通过模块化配置实现基础设施自动化,涵盖从环境清理、资源部署到访问Kali桌面及执行SQL注入攻击的完整过程,深入解析技术原理与常见问题解决方案,帮助安全研究人员高效搭建可重复的渗透测试实验环境。
Terraform 学习总结(4)—— Terraform 实战
科技D人生
04-18 3317
前言 Terraform 是一种部署技术,任何想要通过基础设施即代码(Infrastructure as Code,IaC)方法来置备和管理基础设施的人,都可以使用这种技术。基础设施指的主要是基于云的基础设施,不过从技术上讲,任何能够通过应用程序编程接口(Application Programming Interface,API)进行控制的东西都可以算作基础设施。基础设施即代码是通过机器可读的定义文件来管理和置备基础设施的过程的。我们使用IaC来自动完成原本要由人手动完成的过程。所谓置备,指的是基础设施部
1 Terraform 的最佳实践,一般样式和结构准则
一个运维开发工程师的博客
12-27 895
仅在必要时使用脚本。Terraform 不会考虑或管理通过脚本创建的资源的状态。尽可能避免使用自定义脚本。仅在 Terraform 资源不支持所需行为时使用它们。使用的任何自定义脚本都必须有明确记录的存在原因,并且最好有弃用方案。Terraform 可以通过预配工具(包括 local-exec 预配工具)调用自定义脚本。将 Terraform 调用的自定义脚本放在scripts/目录中。
Terraform模块创建AWS RDS SQL Server实例
从标题“terraform-aws-rds-sqlserver:此terraform模块可创建SQL Server RDS实例和关联的资源”可以看出,该模块的核心功能是围绕AWS RDS服务中的Microsoft SQL Server引擎展开的。SQL Server作为企业级关系型...
使用Terraform和AWS构建Hybrid MultiCloud架构
任务3和任务4中提到的使用Terraform创建的VPC是专门为了部署特定的服务(如Wordpress和MySQL数据库)而构建的网络环境。 6. 公共Wordpress与私有MySQL数据库 在任务3和任务4中,创建了一个包含公共访问的Wordpress...
使用Terraform在OCI部署PostgreSQL集群的参考架构
VCN(Virtual Cloud Network)是用户在OCI中创建私有网络环境,它相当于一个隔离的网络环境,允许用户自定义路由规则和安全设置。Internet网关是连接VCN到公共互联网的组件,而子网是VCN内的逻辑分区。安全列表...
Terraform学习】Terraform_count使用Terraform配置语言学习)
zerotoall的博客
08-15 819
Terraform学习】Terraform_count使用Terraform配置语言学习) resource "aws_iam_user" "lb" { name = var.elb_names[count.index] count = 3 path = "/sys/" } 接下来,编辑main.tf以使用count根据新变量的值和私有子网的数量为 EC2 实例预置资源块。
从 Oracle 到 SQL Server:金仓数据库迁移落地与社区支撑指南
最新发布
稻草人
12-13 268
金仓数据库KingbaseES在信创产业中展现出强劲竞争力,特别是在Oracle迁移适配方面表现突出。其内置迁移工具支持99%以上PL/SQL语法兼容,可视化操作实现全量迁移成功率超99%,相比达梦等产品改造量减少15%-20%。在政务和金融行业实践中,金仓能实现存储过程零改造迁移,并发量达10万TPS,与Oracle性能持平。针对SQLServer迁移,其XML函数和时间日期处理与源库保持100%行为一致性。金仓社区提供丰富迁移案例库和测试工具包,显著降低企业转型难度,是信创数据库国产化的优选方案。
SQLAlchemy 核心 API 深度解析:超越 ORM 的数据库工具包
不懂先生的博客
12-13 263
SQLAlchemy Core 提供了强大的表结构定义能力,支持复杂的约束、索引和数据类型。# 示例:高级表结构定义# 枚举类型定义# 约束定义# 索引定义# 关联表示例SQLAlchemy 允许深度定制,包括创建自定义数据类型和扩展 SQL 编译器。# 示例:创建自定义 JSON 查询过滤器"""自定义 JSON 路径查询表达式"""operator=None # 自定义操作符"""为 PostgreSQL 编译 JSON 路径查询"""# 使用自定义 JSON 路径查询# )
MySQLSQL 注入
csbysj2020
12-11 437
MySQL 是一款开源的关系型数据库管理系统,由瑞典 MySQL AB 公司开发。它遵循 GNU 通用公共许可证(GPL),可以在商业和非商业环境下使用。MySQL 支持多种编程语言,如 C、C++、Java、PHP、Python 等,并且拥有丰富的扩展功能和优秀的性能。SQL 注入是一种常见的网络安全漏洞,它允许攻击者通过在 SQL 语句中插入恶意代码,从而获取数据库的控制权限。攻击者可以利用 SQL 注入攻击,窃取敏感数据、修改数据、删除数据、执行任意命令等。
SQL篇——【MySQL篇:SQL理论】SQL 与关系型数据库核心要点详解
2403_88453964的博客
12-12 1001
本文系统介绍了关系型数据库的核心概念与SQL操作指南。主要内容包括:1.关系型数据库基础概念,包括主流数据库产品对比;2.SQL语言详解,涵盖DDL(数据定义)、DML(数据操作)、DQL(数据查询)和DCL(数据控制)四大类语法;3.数据库函数与约束机制,包括字符串、数值、日期函数及主键、外键等约束类型;4.多表查询技术,涉及内连接、外连接、子查询等复杂查询方法;5.事务管理,详细说明ACID特性、隔离级别及并发控制。全文采用示例驱动的讲解方式,提供大量实用SQL代码片段,适合作为关系型数据库学习的系统参
Java @Mapper 使用注解的方式注入SQL
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 939
MySQL 的 JSON 数据类型(从 MySQL 5.7.8 开始支持)允许你在表中存储和处理 JSON 格式的数据。 JSON 数据类型提供了灵活性,但应谨慎使用。对于需要复杂查询、索引或关系约束的数据,传统的关系表结构通常是更好的选择。
用 pg_buffercache 和 pgfincore 彻底解剖 PostgreSQL 双缓存
安呀智数据坊的博客
12-11 439
在数据库日常使用中,我们常常会遇到一个有趣的现象:一个复杂的查询,第一次运行时可能需要数十秒,而紧接着第二次执行,却在瞬间完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值