Cloud Run 和 Cloud SQL 代理似乎无法协同工作

当您通过命令行通过

--add-cloudsql-instances

标志或通过 UI 部署具有“Cloud SQL 连接”的 Cloud Run 服务时，如下所示：

它的作用是通过 Unix 套接字在后台为您部署 Cloud SQL 代理，Cloud SQL 代理的 Unix 套接字部署仅适用于公共 IP Cloud SQL 连接。有一篇很好的博客文章概述了这个限制。

对于私有 IP Cloud SQL 连接（例如您的），有两个选项：

• 使用 Cloud Run 多容器部署将 Cloud SQL 代理部署为 side car
• 使用 TCP 直接连接到您的 Cloud SQL 实例（无 Cloud SQL 代理）

第一个选项有一个示例，展示了使用新的多容器功能将 Cloud SQL 代理与 Cloud Run 应用程序一起部署。 （该示例适用于 Ruby，但 YAML 是相同的）。

第二个选项是删除 Cloud SQL 代理并直接使用 TCP 连接到您的 Cloud SQL 实例。由于自动 mTLS 连接的优势，我们主要建议将 Cloud SQL 代理用于公共 IP Cloud SQL 连接。代理生成客户端证书并使用它建立安全的 SSL 连接。但是，客户端证书并不是安全连接所必需的。如果您使用私有 IP，那么您的连接是通过私有 VPC 网络进行的，在这种情况下，对客户端证书的要求并不那么突出，并且设置

ssl="require"

仍将建立安全的 SSL 连接（这可能足以满足您的使用案例）

import sqlalchemy
from sqlalchemy import event

engine = sqlalchemy.create_engine(
    # Equivalent URL:
    # postgresql+psycopg2://<user>:<password>@<host>:5432/<db_name>
    sqlalchemy.engine.url.URL.create(
        drivername="postgresql+psycopg2",
        username="my-user",
        password="my-password",
        host=ip_address,  # Cloud SQL instance IP address (or localhost for local SQL)
        port=5432,
        database=db_name,  # "my-database-name"
    ),
    connect_args={"sslmode": "require"},
)

# use connection from connection pool to query Cloud SQL database
with engine.connect() as conn:
    time = conn.execute(sqlalchemy.text("SELECT NOW()")).fetchone()
    conn.commit()
    print("Current time is ", time[0])

如果您使用自动 IAM 身份验证，您甚至可以在不使用代理的情况下进行连接：

import sqlalchemy
from sqlalchemy import event

import google.auth
from google.auth.credentials import Credentials
from google.auth.transport.requests import Request

# initialize Google Auth creds
creds, _ = google.auth.default(
    scopes=["https://www.googleapis.com/auth/sqlservice.admin"]
)

def get_authentication_token(credentials: Credentials) -> str:
    """Get OAuth2 access token to be used for IAM database authentication"""
    # refresh credentials if expired
    if not credentials.valid:
        request = Request()
        credentials.refresh(request)
    return credentials.token

engine = sqlalchemy.create_engine(
    # Equivalent URL:
    # postgresql+psycopg2://<user>:empty@<host>:5432/<db_name>
    sqlalchemy.engine.url.URL.create(
        drivername="postgresql+psycopg2",
        username=user,  # IAM db user, e.g. [email protected]
        password="",  # placeholder to be replaced with OAuth2 token
        host=ip_address,  # Cloud SQL instance IP address
        port=5432,
        database=db_name,  # "my-database-name"
    ),
    connect_args={"sslmode": "require"},
)

# set 'do_connect' event listener to replace password with OAuth2 token
@event.listens_for(engine, "do_connect")
def auto_iam_authentication(dialect, conn_rec, cargs, cparams) -> None:
    cparams["password"] = get_authentication_token(creds)

需要注意的一件事是，零信任环境不喜欢依赖客户做正确的事情。例如，Cloud SQL 有一个配置选项“仅允许 SSL 连接”，该选项强制连接使用客户端证书进行 mTLS 连接才能成功。虽然

ssl=require

强制加密连接，但如果您需要 mTLS 连接，则可能还需要下载和管理客户端证书。在这种情况下，使用代理的第一个选项可能是更好的选择。