Google App Engine似乎通过Cloud SQL Proxy自动将其连接隧道连接到Cloud SQL 2nd generation。这是在尝试理清如何使用TLS时无意中发现的,但未成功:"TLS requested but server does not support TLS" error with Google Cloud SQL (2nd generation) from Google App Engine?如何通过Google Cloud SQL第二代主机过滤App Engine连接? (2nd)
我注意到这种方法在不允许全局访问Cloud SQL实例的情况下进行不安全的访问......这很好。但是,我们只能为以cloudsqlproxy~%
,而不是连接的主机名接受筛选,以localhost
,这使得几乎所有的“cloudsqlproxy”主机与正确的凭据连接。
这是安全和正确的事,而不是使用%
好...这显然绕过任何种类的主机筛选的?或者,这是否会打开任何cloudsqlproxy与我们的第二代实例的可能连接?
的目标是限制上的SQL实例特定用户帐户只连接来自我们的App Engine的项目。没有其他人应该能够连接这些凭据。
因此,如果有,除了项目本身和我的项目没有编辑/业主,那么其他人可以通过云SQL代理连接? –
没错。通过让客户端连接到Cloud SQL API并请求临时SSL证书,代理连接起作用。除非调用者是项目的编辑者或所有者,否则API不会授予证书。 – Vadim