SANSARA
SANSARA12 июля 2026 г.10 мин

Google Cloud SQL Auth Proxy через личный VPS в 2026 году

Как настроить Google Cloud SQL Auth Proxy в 2026 году через личный VPS SANSARA: практические шаги для безопасного подключения к базам данных без публичных IP и SSL‑сертификатов.

VPSSANSARAгайд

Чтобы безопасно подключаться к Google Cloud SQL извне облака без публичных IP и SSL‑сертификатов, используйте Cloud SQL Auth Proxy через личный VPS SANSARA. Зарегистрируйтесь в SANSARA, выберите страну сервера, получите данные подключения в кабинете и импортируйте их в клиент на своём устройстве. После этого установите Cloud SQL Auth Proxy на VPS и настройте туннель к своей Cloud SQL‑базе.

Коротко:

  • Cloud SQL Auth Proxy — это посредник между вашим приложением и Cloud SQL, который шифрует трафик и авторизует подключения через Google IAM.
  • SANSARA даёт личный VPS с готовым подключением в 9+ странах, без терминала для обычного пользователя.
  • Вы получаете выделенный узел вместо общего пула и настраиваете защищённый канал к Cloud SQL через прокси.
  • Подходит для iPhone, Android, Windows и macOS через клиенты с поддержкой импорта конфигурации.

Что это и кому подходит

Cloud SQL Auth Proxy — это утилита от Google, которая создаёт безопасное соединение с Cloud SQL через авторизацию средствами IAM и шифрование трафика. Она работает как прокси‑сервер между вашим приложением и базой данных: вместо прямого подключения к публичному IP или настройки SSL‑сертификатов вы подключаетесь к локальному порту на том же хосте, где запущен прокси, а он уже связывается с Cloud SQL.

Этот подход упрощает безопасность:

  • Не нужны публичные IP‑адреса для Cloud SQL.
  • Не нужно управлять SSL‑сертификатами — прокси сам обеспечивает шифрование.
  • Доступ контролируется через IAM‑роли Google Cloud, а не только паролями.

Сценарии, где это полезно:

  • Разработчики, которые хотят подключаться к Cloud SQL с локальной машины или из другой сети без публичного IP.
  • Команды, которые используют Cloud SQL из приложений на Kubernetes, Compute Engine или внешних сервисов.
  • Пользователи, которым нужен безопасный доступ к базе через промежуточный сервер с фиксированным IP.

Если вы уже используете личный VPS SANSARA как шлюз для доступа в интернет или для хостинга, на нём удобно запустить Cloud SQL Auth Proxy и направлять через него запросы к Cloud SQL.

Как настроить по шагам (с личным VPS SANSARA)

Ниже — общая схема настройки Cloud SQL Auth Proxy на личном VPS SANSARA. Точные команды могут немного меняться в зависимости от версии прокси и ОС на сервере, но логика остаётся той же.

1. Подготовьте Cloud SQL и учётные данные

  • Убедитесь, что у вас есть экземпляр Cloud SQL (MySQL, PostgreSQL или SQL Server).
  • В Google Cloud Console создайте сервисный аккаунт с ролью Cloud SQL Client.
  • Скачайте ключ сервисного аккаунта в формате JSON — он понадобится прокси для авторизации.

2. Запустите личный VPS в SANSARA

  • Зарегистрируйтесь в SANSARA и выберите тариф с личным VPS.
  • В кабинете выберите страну сервера (доступно 9+ локаций).
  • После активации вы получите данные подключения: адрес сервера, логин, пароль и конфигурацию для импорта.
  • Импортируйте конфигурацию в клиент на своём устройстве (телефон или компьютер). Подключитесь к своему выделенному узлу.

3. Установите Cloud SQL Auth Proxy на VPS

На вашем VPS SANSARA (обычно Linux) выполните примерно следующие шаги:

  • Скачайте бинарный файл Cloud SQL Auth Proxy для вашей архитектуры (например, linux‑amd64).
  • Разместите его в каталоге в PATH, например /usr/local/bin/cloud-sql-proxy.
  • Сделайте файл исполняемым: chmod +x /usr/local/bin/cloud-sql-proxy.

4. Запустите прокси на VPS

Передайте прокси идентификатор вашего экземпляра Cloud SQL и файл с учётными данными сервисного аккаунта. Пример команды:

`bash ./cloud-sql-proxy \ --credentials-file /path/to/service-account-key.json \ my-project:region:my-db-instance \ --port 3306 `

Здесь:

  • my-project:region:my-db-instance — полный идентификатор вашего экземпляра Cloud SQL.
  • --port 3306 — локальный порт на VPS, на котором прокси будет слушать подключения.

После запуска прокси создаст туннель к Cloud SQL и будет принимать соединения на указанном порту.

5. Подключитесь к базе через VPS

Теперь ваше приложение или клиент СУБД могут подключаться не напрямую к Cloud SQL, а к локальному порту на VPS SANSARA:

  • Хост: IP‑адрес или localhost (если клиент работает на том же VPS).
  • Порт: тот, который вы указали при запуске прокси (например, 3306).
  • Пользователь и пароль — те, что созданы в Cloud SQL.

Прокси авторизует запрос через IAM, шифрует трафик и перенаправляет его в Cloud SQL.

Если вы хотите подключаться с внешних устройств (ноутбук, телефон), настройте на VPS дополнительный туннель или проброс портов через тот же защищённый канал SANSARA.

Устройства: iPhone, Android, Windows, macOS

Cloud SQL Auth Proxy работает на сервере, а клиенты подключаются к нему как к обычной базе данных. Поэтому совместимость зависит от того, где запущен прокси и как вы организовали доступ.

Windows / macOS

  • Запустите Cloud SQL Auth Proxy на вашем личном VPS SANSARA.
  • На ПК используйте клиент СУБД (например, MySQL Workbench, DBeaver, TablePlus).
  • В настройках подключения укажите IP вашего VPS как хост и порт, на котором слушает прокси.
  • Если VPS доступен только через защищённый канал SANSARA, предварительно подключитесь к своему серверу через клиент SANSARA.

iPhone / Android

  • На телефоне установите клиент для работы с базами данных (например, MySQL Client, Postgres Client).
  • Подключитесь к интернету через свой личный сервер SANSARA: импортируйте конфигурацию из кабинета в мобильное приложение SANSARA.
  • В клиенте БД укажите хостом IP вашего VPS и порт прокси.

Таким образом, трафик к базе идёт через ваш выделенный узел, а Cloud SQL Auth Proxy обеспечивает авторизацию и шифрование.

Частые ошибки и как их избежать

Ошибка: прокси не может подключиться к Cloud SQL

  • Проверьте, что идентификатор экземпляра указан полностью: проект:регион:экземпляр.
  • Убедитесь, что сервисный аккаунт имеет роль Cloud SQL Client и ключ актуален.
  • Убедитесь, что VPS имеет выход в интернет и может достигать Google Cloud.

Ошибка: клиент не подключается к порту прокси

  • Проверьте, что прокси запущен и слушает на нужном порту (netstat -tlnp).
  • Убедитесь, что брандмауэр на VPS разрешает входящие соединения на этом порту.
  • Если подключаетесь извне, убедитесь, что порт проброшен через ваш защищённый канал.

Ошибка: доступ запрещён (IAM)

  • Убедитесь, что сервисный аккаунт имеет необходимые разрешения на экземпляр Cloud SQL.
  • Проверьте, что ключ JSON валиден и не истёк.

Ошибка: несовместимость версий

  • Cloud SQL Auth Proxy периодически обновляется. Сверьтесь с актуальной документацией Google Cloud на 2026 год и используйте версию, совместимую с вашей ОС и версией СУБД.

Ошибка: путаница с типами подключений

Запомните разницу:

  • Прямое подключение к Cloud SQL: нужен публичный IP, SSL‑сертификаты, авторизация по паролю.
  • Через Cloud SQL Auth Proxy: публичный IP не нужен, шифрование и авторизация через IAM, подключение идёт к локальному порту прокси.

FAQ

Зачем вообще нужен Cloud SQL Auth Proxy, если можно открыть публичный IP?+

Публичный IP упрощает доступ, но увеличивает поверхность атаки. Cloud SQL Auth Proxy убирает необходимость в публичном IP, заменя его авторизацией через IAM и шифрованием «из коробки». Это особенно важно, когда база должна быть доступна только через доверенный промежуточный узел.

Можно ли запустить Cloud SQL Auth Proxy прямо на своём ноутбуке?+

Да, но тогда ваш ноутбук должен иметь стабильный доступ в интернет и возможность авторизоваться в Google Cloud. Чаще прокси запускают на сервере (например, на VPS SANSARA), чтобы централизовать доступ и не привязываться к конкретному устройству.

Нужно ли настраивать что‑то в самом Cloud SQL для работы с Auth Proxy?+

Нет, дополнительной настройки экземпляра обычно не требуется. Главное — правильно настроить IAM‑роли для сервисного аккаунта, от имени которого работает прокси.

Будет ли работать Cloud SQL Auth Proxy, если мой VPS находится не в Google Cloud?+

Да, Cloud SQL Auth Proxy может работать на любом сервере с выходом в интернет и доступом к Google Cloud. Ваш личный VPS SANSARA подходит для этой роли, если он расположен в регионе с хорошим соединением к Google Cloud.

Как организовать доступ для нескольких разработчиков через один VPS?+

Запустите Cloud SQL Auth Proxy на VPS и настройте туннели или проброс портов так, чтобы каждый разработчик подключался к своему порту или через отдельные учётные записи. Либо используйте один порт, но контролируйте доступ на уровне сети и IAM.

Сравнение подходов к доступу к Cloud SQL

ПодходНужен публичный IPSSL‑сертификатыАвторизацияГде запускается
Прямое подключениеДаДа (настраивается)Пароль БДКлиентское приложение
Cloud SQL Auth ProxyНетНет (прокси шифрует)IAM + пароль БДПромежуточный сервер (например, VPS)
Приватный IP + VPCНетДа (опционально)Сетевая изоляция + IAM/парольВнутри VPC Google Cloud

Cloud SQL Auth Proxy сочетает отсутствие публичного IP, встроенное шифрование и авторизацию через IAM, что делает его удобным выбором при работе через внешний сервер.

Итог

  • Используйте Cloud SQL Auth Proxy для безопасного доступа к Cloud SQL без публичных IP и ручной настройки SSL.
  • Разверните прокси на личном VPS SANSARA: выберите локацию, импортируйте конфигурацию, запустите прокси с учётными данными сервисного аккаунта.
  • Подключайте клиенты на Windows, macOS, iPhone и Android к порту прокси на вашем VPS через защищённый канал SANSARA.
  • Следите за актуальной документацией Google Cloud на 2026 год, чтобы использовать совместимые версии прокси и корректные идентификаторы экземпляров.
  • Контролируйте доступ через IAM‑роли и избегайте хранения ключей сервисных аккаунтов в открытом виде на сервере.

Ещё по теме

CTA · SANSARA

Личный VPS — без терминала и очередей

Регистрация, импорт профиля и стабильный канал на телефон и компьютер. Тот же принцип, о котором мы пишем в блоге — на практике.