Google Cloud Sql仅带ssl的内网ip

Question

我想从GCP中的spring boot app连接到有内网ip的Cloud Sql，只有公网IP的ssl。我不明白"ssl只标记“它只用于公共连接还是公共/私有？

Answer 1

它们是安全性/连接性的两个不同维度。

公网IP表示私有网络外连接(https://cloud.google.com/vpc)。因此，它可以是外部应用程序(不在云中)，也可以是在GCP中运行但在不同网络(VPC)上运行的应用程序。内网IP是指应用程序和数据库共享私有网络，或者两个私有网络(https://cloud.google.com/vpc/docs/vpc-peering)对等。基本上，一个你停留在谷歌的互联网范围内，另一个你可能接触到公共互联网。

SSL是其中一层或另一层之上的另一层，您可以在其中指定允许用户连接的密钥。因此，选中"ssl only connections“框意味着您只希望允许连接到具有与您注册的密钥相匹配的私钥的DB实例。

一般来说，我们的最佳实践是使用Cloud SQL Proxy (https://cloud.google.com/sql/docs/mysql/sql-proxy)，而不是设置您自己的SSL。代理也使用SSL密钥来确保安全连接，但它是按需执行的，而不是静态密钥，后者更安全。唯一你真正想要使用自己的SSL密钥的时候，是当你有一个特定的证书颁发机构，你想要信任和使用，所以你有你需要使用的特定密钥(或者你只是不信任Google，而想要跟踪你自己的SSL密钥)。