PCD#351(integrating)

Cloud Run サービスから Cloud SQL for PostgreSQL に Private IP 経由でセキュアに接続したいと考えています。サービスアカウントベースの認証情報ハンドリングと暗号化を Google が自動管理する方法を選びたいです。どの構成が最適ですか？

A. Cloud Run の Direct VPC Egress を有効化し Cloud SQL Auth Proxy ライブラリで Private IP に接続します
B. Cloud SQL の Authorized Networks に Cloud Run の外向き IP レンジを登録し、Public IP 経由で接続する構成にします
C. Cloud Run のサイドカーに HAProxy を構成し、TCP レベルで Public IP に転送する経路で接続を成立させる方針にします
D. Cloud SQL の Serverless VPC Access コネクタのみで、IP 制限の無い Public IP に到達する構成で運用する方針にします

正解と解説ディスカッション 0

正解：A

正解の根拠

Cloud Run から Cloud SQL に到達する推奨パターンは、Direct VPC Egress で VPC に直接接続し、Cloud SQL Auth Proxy ライブラリ経由で Private IP に接続する構成です。これにより、TLS と IAM 認証情報の取り扱いを Google 管理ライブラリに委譲できます。

接続オプション比較

方式	到達経路	認証情報	推奨度
Direct VPC Egress + Auth Proxy	VPC 内 Private IP	IAM 委譲	本問の正解
Serverless VPC Connector + Auth Proxy	VPC 経由	IAM 委譲	旧来の選択肢
Public IP + Authorized Networks	インターネット経由	静的 IP 制限	非推奨

接続コード例

// Java + JDBC + Auth Proxy library
jdbc:postgresql:///mydb?cloudSqlInstance=project:region:inst&socketFactory=com.google.cloud.sql.postgres.SocketFactory&ipTypes=PRIVATE

不正解の理由

B: Cloud Run のマネージド環境は egress IP が固定でないため、Authorized Networks による Public IP 制限は安定運用に向きません。
C: HAProxy サイドカーの自前管理は TLS と IAM の責務を増やし、Auth Proxy 利用の優位性を失います。
D: Serverless VPC Access コネクタ単独では Private IP 経由の Auth Proxy 認証統合が得られず、Public IP 利用も推奨されません。

参考：Cloud SQL: Connect from Cloud Run

PCD#351(integrating)

正解の根拠

接続オプション比較

接続コード例

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

接続オプション比較

接続コード例

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル