Cloud SQL에 연결하는 방법 선택

이 페이지에서는 Cloud SQL 인스턴스에 연결할 수 있는 방법을 간략하게 설명합니다.

Cloud SQL 인스턴스에 연결하려면 먼저 Cloud SQL 인스턴스를 배포 및 구성하는 방법과 지원 네트워킹 리소스를 결정해야 합니다. Cloud SQL 인스턴스를 이미 구성하여 배포한 경우 이 페이지에서 클라이언트를 기존 인스턴스에 연결하는 다양한 방법을 알아볼 수 있습니다.

IP 주소 유형: 비공개 또는 공개

Cloud SQL 인스턴스를 처음 만들 때 공개 IP 주소, 비공개 IP 주소 또는 이 둘의 조합으로 인스턴스를 구성할지 선택할 수 있습니다.

애플리케이션 요구사항에 따라 인스턴스의 IP 주소 구성을 선택합니다. 그런 다음 인스턴스를 구성한 후 클라이언트 연결 문자열에 공개 IP 주소, 비공개 IP 주소 또는 경우에 따라 DNS 이름을 지정합니다.

비공개 IP 주소 공개 IP 주소
설명 내부, 가상 프라이빗 클라우드(VPC) 네트워크 전용(비공개) IP 주소 인터넷 액세스가 가능한(공개) 외부 IP 주소
결정 지점

Google Cloud 내부의 VPC 네트워크에 호스팅되는 클라이언트 또는 해당 VPC 네트워크에 액세스할 수 있는 클라이언트에서 연결해야 하나요?

'예'라고 답한 경우 인스턴스에 비공개 IP 주소를 선택합니다.

Google CloudVPC 네트워크 외부의 클라이언트에서 공개 인터넷을 통해 연결해야 하나요?

'예'라고 답한 경우 인스턴스의 공개 IP 주소를 선택합니다.
구성 옵션

다음 유형의 비공개 네트워킹 구성이 지원됩니다.

공개 IP 주소를 사용하여 인스턴스에 직접 연결하는 경우 승인된 네트워크를 구성해야 합니다.

공개 IP를 사용하는 Cloud SQL 인스턴스에 연결하는 또 다른 안전한 방법은 Cloud SQL 커넥터(Cloud SQL 인증 프록시 또는 Cloud SQL 언어 커넥터 중 하나 등)를 사용하는 것입니다.

인스턴스에 공개 IP를 추가하는 방법은 공개 IP 구성을 참조하세요.

공개 IP 주소를 사용하여 Cloud SQL 인스턴스에 연결하려면 psql 클라이언트 또는 사용 가능한 다른 클라이언트를 사용하면 됩니다.
요약

추천: 보안 강화를 위해 인터넷 액세스가 가능한 Cloud SQL 인스턴스에 대한 특정 요구사항이 있거나 VPC 요구사항을 충족하지 않는 클라이언트에서 연결하는 경우가 아니라면 비공개 IP 주소 유형으로 인스턴스를 구성하는 것이 좋습니다.

연결 유형: Cloud SQL 커넥터 또는 직접 연결

Cloud SQL 인스턴스에 연결할 때는 Cloud SQL 커넥터를 사용하거나 직접 연결할 수 있습니다.

Cloud SQL 커넥터는 Cloud SQL 인증 프록시 또는 Cloud SQL 언어 커넥터 중 하나입니다.

Cloud SQL 커넥터 직접 연결
설명 클라이언트 측 프록시인 Cloud SQL 인증 프록시와 클라이언트 측 라이브러리인 Cloud SQL 언어 커넥터를 사용하면 특히 공개 IP 주소를 사용하여 인스턴스에 연결할 때 Cloud SQL 인스턴스에 간편하고 안전하게 액세스할 수 있습니다. 클라이언트에서 Cloud SQL 인스턴스로의 직접 연결은 지연 시간이 짧은 연결을 제공합니다. 공개 또는 비공개 IP 주소에서 직접 연결할 수 있습니다.
결정 지점

Cloud SQL 커넥터는 다음과 같은 시나리오에서 유용합니다.

  • 승인된 네트워크를 구성하지 않고 공개 IP 주소를 사용하여 Cloud SQL 인스턴스에 연결하려는 경우.
  • SSL 인증서를 관리하지 않고 서버 및 클라이언트 본인 인증을 통해 데이터베이스와 주고받는 트래픽을 자동으로 암호화하려는 경우.
  • IAM 데이터베이스 인증을 사용하고 OAuth 2.0 액세스 토큰을 자동으로 새로고침하려는 경우.
  • 동적으로 할당된 IP 주소 또는 임시 IP 주소를 사용하는 클라이언트나 애플리케이션에서 연결하는 경우. 동적 IP 구성은 Platform as a Service(PaaS) 애플리케이션에서 흔히 사용됩니다.

직접 연결을 사용하면 다음과 같은 이점이 있습니다.

  • Cloud SQL 커넥터를 사용한 연결에 비해 지연 시간이 짧습니다.
  • Cloud SQL 커넥터와 달리 추가 패키지 또는 라이브러리 종속 항목이 없습니다.
  • 직접 연결을 사용하는 경우 SSL/TLS 설정을 직접 구성해야 합니다.
구성 옵션

Cloud SQL 인스턴스 및 클라이언트에 대해 SSL/TLS 인증서를 구성하려면 다음 단계를 따르세요.

  1. 인스턴스의 서버 CA 모드를 선택합니다.
  2. 인스턴스의 연결에 SSL/TLS 암호화를 적용하도록 인스턴스를 구성합니다.
  3. 클라이언트 인증서를 만듭니다.
  4. 서버 및 클라이언트 인증서를 다운로드합니다.
요약

Cloud SQL 인스턴스에 연결할 때는 Cloud SQL 커넥터를 사용하거나 클라이언트에서 직접 연결할 수 있습니다.

일반적인 추천: 비공개 IP 주소로 인스턴스에 연결하는 경우 직접 연결을 사용하세요. 또한 SSL을 적용하고 연결에 SSL/TLS 인증서를 구성하는 것이 좋습니다.

공개 IP 주소를 통해 인스턴스에 연결하는 경우 Cloud SQL 커넥터(Cloud SQL 인증 프록시 또는 Cloud SQL 언어 커넥터 중 하나)를 사용합니다.

데이터베이스 인증 유형: IAM 또는 기본 제공

인스턴스에 연결할 때 데이터베이스 사용자로 인증해야 합니다. 기본 제공 인증 또는 IAM 데이터베이스 인증 중에서 선택할 수 있습니다.

IAM 데이터베이스 인증 기본 제공되는 인증
설명 IAM 데이터베이스 인증을 사용하면 비밀번호 대신 단기 액세스 토큰을 사용하여 Google Cloud IAM 사용자 및 서비스 계정으로 데이터베이스를 인증할 수 있습니다. 사용자, 서비스 계정, 그룹과 같은 IAM 주 구성원을 사용하여 데이터베이스 권한을 관리할 수 있습니다. 기본 제공 인증은 데이터베이스 로컬 사용자 이름과 비밀번호를 사용하여 데이터베이스 사용자를 인증합니다.
결정 지점 Google Cloud에서 IAM을 사용하여 Google Cloud서비스 전반에서 사용자 관리를 중앙 집중화하는 것을 선호하시나요? '예'인 경우 IAM 데이터베이스 인증을 사용합니다. 기본 제공 데이터베이스 인증에 의존하는 애플리케이션이나 워크플로가 있나요? '예'인 경우 기본 제공 인증을 사용합니다.
구성 옵션

개별 IAM 사용자, 개별 서비스 계정, 그룹에 IAM 데이터베이스 인증을 사용할 수 있습니다. 자세한 내용은 IAM 데이터베이스 인증으로 사용자 관리를 참조하세요.

Cloud SQL 커넥터를 사용하는 경우 커넥터가 IAM 액세스 토큰의 자동 새로고침을 처리합니다. 자세한 내용은 자동 IAM 데이터베이스 인증을 참조하세요.

 기본 제공 데이터베이스 인증을 사용하고 인스턴스 및 사용자 수준에서 비밀번호 정책을 구성할 수 있습니다. 자세한 내용은 기본 제공 인증을 참조하세요.
요약 추천: 기본 제공 데이터베이스 인증을 사용하는 애플리케이션이나 워크플로가 없는 경우 가능한 한 IAM 데이터베이스 인증을 사용하세요.

비공개 IP 주소를 사용할 때의 비공개 네트워킹 옵션

비공개 IP 주소를 사용하도록 인스턴스를 구성하는 경우 비공개 서비스 액세스, Private Service Connect 또는 두 가지 모두의 비공개 네트워킹 옵션을 선택할 수 있습니다.

지원되는 기능

다음 표에는 비공개 네트워킹 옵션 중 하나 또는 둘 다로 구성된 인스턴스에 연결할 때 Cloud SQL에서 지원되는 기능을 보여줍니다.

기능 비공개 서비스 액세스만 있는 인스턴스 Private Service Connect만 있는 인스턴스 비공개 서비스 액세스와 Private Service Connect가 모두 있는 인스턴스
여러 VPC에서 연결 지원되지 않음 지원됨 Private Service Connect 엔드포인트를 사용하여 지원됩니다.
pglogical, PL/Proxy, dblink, postgres_fdw 확장 프로그램 지원됨 지원되지 않음 비공개 서비스 액세스를 위해 아웃바운드 연결을 사용하여 지원됩니다.
외부 복제본 지원됨 지원되지 않음 비공개 서비스 액세스를 위해 아웃바운드 연결을 사용하여 지원됩니다.
쓰기 엔드포인트 지원됨 지원되지 않음 비공개 서비스 액세스에 대해 지원됩니다.
비공개 서비스 액세스의 연결된 VPC 네트워크 변경 지원됨 해당 없음 인스턴스에 Private Service Connect가 사용 설정되었기 때문에 비공개 서비스 액세스에 대해 지원되지 않습니다. Private Service Connect에는 적용되지 않습니다.
Cloud SQL에 대한 클라이언트 IP 주소의 공개 상태 지원됨 지원되지 않음 비공개 서비스 액세스 IP 주소를 사용할 때 지원됩니다. Private Service Connect 엔드포인트를 사용할 때는 지원되지 않습니다.

인스턴스에서 네트워킹 옵션 삭제

Cloud SQL은 인스턴스에서 다음 네트워킹 옵션을 삭제할 수 있도록 지원합니다.

  • 비공개 서비스 액세스와 공개 IP가 모두 있는 인스턴스의 공개 IP
  • 공개 IP, 비공개 서비스 액세스, Private Service Connect가 있는 인스턴스의 공개 IP
  • Private Service Connect 및 비공개 서비스 액세스가 모두 있는 인스턴스의 Private Service Connect
  • Private Service Connect, 비공개 서비스 액세스, 공개 IP가 있는 인스턴스의 Private Service Connect

인스턴스에 대한 네트워킹 옵션 사용 설정

Cloud SQL은 인스턴스에 대해 다음 연결 옵션을 사용 설정할 수 있도록 지원합니다.

  • 공개 IP만 있는 인스턴스의 비공개 서비스 액세스
  • 비공개 서비스 액세스만 있는 인스턴스의 Private Service Connect
  • 비공개 서비스 액세스와 공개 IP가 모두 있는 인스턴스의 Private Service Connect
  • 비공개 서비스 액세스만 있는 인스턴스의 공개 IP

제한사항

  • 공개 IP 주소와 Private Service Connect가 모두 있는 인스턴스를 만들 수 없습니다.
  • 비공개 서비스 액세스와 Private Service Connect가 있는 인스턴스에서 비공개 서비스 액세스를 삭제할 수 없습니다.
  • 비공개 서비스 액세스와 공개 IP가 있는 인스턴스에서 비공개 서비스 액세스를 삭제할 수 없습니다.
  • 공개 IP만 사용하는 인스턴스가 있는 경우 비공개 서비스 액세스와 Private Service Connect 모두를 동시에 사용 설정할 수 없습니다. 먼저 비공개 서비스 액세스를 사용 설정한 후 Private Service Connect를 사용 설정하세요.
  • 승인된 네트워크를 사용하여 Private Service Connect 인스턴스에 대한 IP 주소 기반 허용 목록을 추가할 수 없습니다.

Cloud SQL 연결 도구

다음 표에는 Cloud SQL에 연결하기 위한 옵션이 포함되어 있습니다.

연결 옵션 추가 정보
Cloud SQL 인증 프록시
gcloud CLI
Cloud SQL 언어 커넥터
Cloud Shell
Cloud Code
타사 데이터베이스 관리 도구를 사용하여 연결
pgAdmin
Toad Edge
Blendo

문제 해결

연결 문제가 발생하면 다음 페이지를 참조하여 디버깅이나 알려진 문제에 대한 해결책을 찾아보세요.

다음 단계