Google Cloud SQL Auth Proxy через личный VPS в 2026 году
Как настроить Google Cloud SQL Auth Proxy в 2026 году через личный VPS SANSARA: практические шаги для безопасного подключения к базам данных без публичных IP и SSL‑сертификатов.
Чтобы безопасно подключаться к Google Cloud SQL извне облака без публичных IP и SSL‑сертификатов, используйте Cloud SQL Auth Proxy через личный VPS SANSARA. Зарегистрируйтесь в SANSARA, выберите страну сервера, получите данные подключения в кабинете и импортируйте их в клиент на своём устройстве. После этого установите Cloud SQL Auth Proxy на VPS и настройте туннель к своей Cloud SQL‑базе.
Коротко:
- Cloud SQL Auth Proxy — это посредник между вашим приложением и Cloud SQL, который шифрует трафик и авторизует подключения через Google IAM.
- SANSARA даёт личный VPS с готовым подключением в 9+ странах, без терминала для обычного пользователя.
- Вы получаете выделенный узел вместо общего пула и настраиваете защищённый канал к Cloud SQL через прокси.
- Подходит для iPhone, Android, Windows и macOS через клиенты с поддержкой импорта конфигурации.
Что это и кому подходит
Cloud SQL Auth Proxy — это утилита от Google, которая создаёт безопасное соединение с Cloud SQL через авторизацию средствами IAM и шифрование трафика. Она работает как прокси‑сервер между вашим приложением и базой данных: вместо прямого подключения к публичному IP или настройки SSL‑сертификатов вы подключаетесь к локальному порту на том же хосте, где запущен прокси, а он уже связывается с Cloud SQL.
Этот подход упрощает безопасность:
- Не нужны публичные IP‑адреса для Cloud SQL.
- Не нужно управлять SSL‑сертификатами — прокси сам обеспечивает шифрование.
- Доступ контролируется через IAM‑роли Google Cloud, а не только паролями.
Сценарии, где это полезно:
- Разработчики, которые хотят подключаться к Cloud SQL с локальной машины или из другой сети без публичного IP.
- Команды, которые используют Cloud SQL из приложений на Kubernetes, Compute Engine или внешних сервисов.
- Пользователи, которым нужен безопасный доступ к базе через промежуточный сервер с фиксированным IP.
Если вы уже используете личный VPS SANSARA как шлюз для доступа в интернет или для хостинга, на нём удобно запустить Cloud SQL Auth Proxy и направлять через него запросы к Cloud SQL.
Как настроить по шагам (с личным VPS SANSARA)
Ниже — общая схема настройки Cloud SQL Auth Proxy на личном VPS SANSARA. Точные команды могут немного меняться в зависимости от версии прокси и ОС на сервере, но логика остаётся той же.
1. Подготовьте Cloud SQL и учётные данные
- Убедитесь, что у вас есть экземпляр Cloud SQL (MySQL, PostgreSQL или SQL Server).
- В Google Cloud Console создайте сервисный аккаунт с ролью Cloud SQL Client.
- Скачайте ключ сервисного аккаунта в формате JSON — он понадобится прокси для авторизации.
2. Запустите личный VPS в SANSARA
- Зарегистрируйтесь в SANSARA и выберите тариф с личным VPS.
- В кабинете выберите страну сервера (доступно 9+ локаций).
- После активации вы получите данные подключения: адрес сервера, логин, пароль и конфигурацию для импорта.
- Импортируйте конфигурацию в клиент на своём устройстве (телефон или компьютер). Подключитесь к своему выделенному узлу.
3. Установите Cloud SQL Auth Proxy на VPS
На вашем VPS SANSARA (обычно Linux) выполните примерно следующие шаги:
- Скачайте бинарный файл Cloud SQL Auth Proxy для вашей архитектуры (например, linux‑amd64).
- Разместите его в каталоге в PATH, например /usr/local/bin/cloud-sql-proxy.
- Сделайте файл исполняемым: chmod +x /usr/local/bin/cloud-sql-proxy.
4. Запустите прокси на VPS
Передайте прокси идентификатор вашего экземпляра Cloud SQL и файл с учётными данными сервисного аккаунта. Пример команды:
`bash ./cloud-sql-proxy \ --credentials-file /path/to/service-account-key.json \ my-project:region:my-db-instance \ --port 3306 `
Здесь:
- my-project:region:my-db-instance — полный идентификатор вашего экземпляра Cloud SQL.
- --port 3306 — локальный порт на VPS, на котором прокси будет слушать подключения.
После запуска прокси создаст туннель к Cloud SQL и будет принимать соединения на указанном порту.
5. Подключитесь к базе через VPS
Теперь ваше приложение или клиент СУБД могут подключаться не напрямую к Cloud SQL, а к локальному порту на VPS SANSARA:
- Хост: IP‑адрес или localhost (если клиент работает на том же VPS).
- Порт: тот, который вы указали при запуске прокси (например, 3306).
- Пользователь и пароль — те, что созданы в Cloud SQL.
Прокси авторизует запрос через IAM, шифрует трафик и перенаправляет его в Cloud SQL.
Если вы хотите подключаться с внешних устройств (ноутбук, телефон), настройте на VPS дополнительный туннель или проброс портов через тот же защищённый канал SANSARA.
Устройства: iPhone, Android, Windows, macOS
Cloud SQL Auth Proxy работает на сервере, а клиенты подключаются к нему как к обычной базе данных. Поэтому совместимость зависит от того, где запущен прокси и как вы организовали доступ.
Windows / macOS
- Запустите Cloud SQL Auth Proxy на вашем личном VPS SANSARA.
- На ПК используйте клиент СУБД (например, MySQL Workbench, DBeaver, TablePlus).
- В настройках подключения укажите IP вашего VPS как хост и порт, на котором слушает прокси.
- Если VPS доступен только через защищённый канал SANSARA, предварительно подключитесь к своему серверу через клиент SANSARA.
iPhone / Android
- На телефоне установите клиент для работы с базами данных (например, MySQL Client, Postgres Client).
- Подключитесь к интернету через свой личный сервер SANSARA: импортируйте конфигурацию из кабинета в мобильное приложение SANSARA.
- В клиенте БД укажите хостом IP вашего VPS и порт прокси.
Таким образом, трафик к базе идёт через ваш выделенный узел, а Cloud SQL Auth Proxy обеспечивает авторизацию и шифрование.
Частые ошибки и как их избежать
Ошибка: прокси не может подключиться к Cloud SQL
- Проверьте, что идентификатор экземпляра указан полностью: проект:регион:экземпляр.
- Убедитесь, что сервисный аккаунт имеет роль Cloud SQL Client и ключ актуален.
- Убедитесь, что VPS имеет выход в интернет и может достигать Google Cloud.
Ошибка: клиент не подключается к порту прокси
- Проверьте, что прокси запущен и слушает на нужном порту (netstat -tlnp).
- Убедитесь, что брандмауэр на VPS разрешает входящие соединения на этом порту.
- Если подключаетесь извне, убедитесь, что порт проброшен через ваш защищённый канал.
Ошибка: доступ запрещён (IAM)
- Убедитесь, что сервисный аккаунт имеет необходимые разрешения на экземпляр Cloud SQL.
- Проверьте, что ключ JSON валиден и не истёк.
Ошибка: несовместимость версий
- Cloud SQL Auth Proxy периодически обновляется. Сверьтесь с актуальной документацией Google Cloud на 2026 год и используйте версию, совместимую с вашей ОС и версией СУБД.
Ошибка: путаница с типами подключений
Запомните разницу:
- Прямое подключение к Cloud SQL: нужен публичный IP, SSL‑сертификаты, авторизация по паролю.
- Через Cloud SQL Auth Proxy: публичный IP не нужен, шифрование и авторизация через IAM, подключение идёт к локальному порту прокси.
FAQ
Зачем вообще нужен Cloud SQL Auth Proxy, если можно открыть публичный IP?+
Публичный IP упрощает доступ, но увеличивает поверхность атаки. Cloud SQL Auth Proxy убирает необходимость в публичном IP, заменя его авторизацией через IAM и шифрованием «из коробки». Это особенно важно, когда база должна быть доступна только через доверенный промежуточный узел.
Можно ли запустить Cloud SQL Auth Proxy прямо на своём ноутбуке?+
Да, но тогда ваш ноутбук должен иметь стабильный доступ в интернет и возможность авторизоваться в Google Cloud. Чаще прокси запускают на сервере (например, на VPS SANSARA), чтобы централизовать доступ и не привязываться к конкретному устройству.
Нужно ли настраивать что‑то в самом Cloud SQL для работы с Auth Proxy?+
Нет, дополнительной настройки экземпляра обычно не требуется. Главное — правильно настроить IAM‑роли для сервисного аккаунта, от имени которого работает прокси.
Будет ли работать Cloud SQL Auth Proxy, если мой VPS находится не в Google Cloud?+
Да, Cloud SQL Auth Proxy может работать на любом сервере с выходом в интернет и доступом к Google Cloud. Ваш личный VPS SANSARA подходит для этой роли, если он расположен в регионе с хорошим соединением к Google Cloud.
Как организовать доступ для нескольких разработчиков через один VPS?+
Запустите Cloud SQL Auth Proxy на VPS и настройте туннели или проброс портов так, чтобы каждый разработчик подключался к своему порту или через отдельные учётные записи. Либо используйте один порт, но контролируйте доступ на уровне сети и IAM.
Сравнение подходов к доступу к Cloud SQL
| Подход | Нужен публичный IP | SSL‑сертификаты | Авторизация | Где запускается |
|---|---|---|---|---|
| Прямое подключение | Да | Да (настраивается) | Пароль БД | Клиентское приложение |
| Cloud SQL Auth Proxy | Нет | Нет (прокси шифрует) | IAM + пароль БД | Промежуточный сервер (например, VPS) |
| Приватный IP + VPC | Нет | Да (опционально) | Сетевая изоляция + IAM/пароль | Внутри VPC Google Cloud |
Cloud SQL Auth Proxy сочетает отсутствие публичного IP, встроенное шифрование и авторизацию через IAM, что делает его удобным выбором при работе через внешний сервер.
Итог
- Используйте Cloud SQL Auth Proxy для безопасного доступа к Cloud SQL без публичных IP и ручной настройки SSL.
- Разверните прокси на личном VPS SANSARA: выберите локацию, импортируйте конфигурацию, запустите прокси с учётными данными сервисного аккаунта.
- Подключайте клиенты на Windows, macOS, iPhone и Android к порту прокси на вашем VPS через защищённый канал SANSARA.
- Следите за актуальной документацией Google Cloud на 2026 год, чтобы использовать совместимые версии прокси и корректные идентификаторы экземпляров.
- Контролируйте доступ через IAM‑роли и избегайте хранения ключей сервисных аккаунтов в открытом виде на сервере.
Ещё по теме
Читайте также
CTA · SANSARA
Личный VPS — без терминала и очередей
Регистрация, импорт профиля и стабильный канал на телефон и компьютер. Тот же принцип, о котором мы пишем в блоге — на практике.