Grafana Cloud SQL Proxy 镜像文档

镜像概述

Grafana Cloud SQL Proxy镜像基于Google Cloud SQL Proxy工具构建，由Grafana团队维护。该镜像提供轻量级代理服务，用于安全连接Google Cloud SQL实例，避免直接暴露数据库端口。通过代理建立加密连接，无需手动管理SSL证书或配置IP白名单，简化数据库访问流程。

核心功能与特性

安全连接

• 自动建立与Cloud SQL实例的加密TLS连接，无需手动配置SSL证书
• 避免数据库实例直接暴露公网，降低攻击面

简化认证

• 支持多种认证方式：
  • Google Cloud服务账号密钥文件
  • GCE/GKE实例默认应用凭据（无需额外配置）
  • 工作负载身份（GKE环境）

多数据库支持

• 兼容PostgreSQL、MySQL等Cloud SQL支持的数据库类型
• 自动适配目标数据库协议

轻量级设计

• 基于精简基础镜像，容器体积小，资源占用低
• 无状态设计，支持水平扩展

使用场景

容器化应用连接

适用于Kubernetes或Docker环境中，容器化应用需要连接Cloud SQL实例的场景

本地开发环境

本地开发时安全连接Cloud SQL实例，无需配置复杂网络规则

生产环境部署

生产环境中通过代理访问数据库，统一管理连接配置，增强安全性

多环境一致性

开发、测试、生产环境使用相同连接方式，减少环境差异导致的问题

使用方法

前提条件

• 已创建Google Cloud SQL实例
• 已准备认证凭据（服务账号密钥文件或GCE/GKE环境默认凭据）
• 目标Cloud SQL实例已配置允许代理连接（通常默认支持）

镜像拉取

docker pull grafana/cloudsql-proxy

基础使用示例

使用服务账号密钥文件认证

docker run -d \
  -v /local/path/to/service-account-key.json:/config/key.json \
  -p 5432:5432 \
  grafana/cloudsql-proxy \
  --credentials-file /config/key.json \
  --port 5432 \
  my-gcp-project:us-central1:my-sql-instance

GCE/GKE环境（默认凭据）

在GCE实例或GKE集群中运行时，可使用默认应用凭据，无需挂载密钥文件：

docker run -d \
  -p 3306:3306 \
  grafana/cloudsql-proxy \
  --port 3306 \
  my-gcp-project:asia-east1:my-mysql-instance

Docker Compose示例

version: '3'
services:
  cloudsql-proxy:
    image: grafana/cloudsql-proxy
    ports:
      - "5432:5432"
    volumes:
      - ./service-account-key.json:/config/key.json
    command:
      - --credentials-file=/config/key.json
      - --port=5432
      - my-gcp-project:us-west1:my-postgres-instance
    restart: always

核心配置参数

命令行参数

环境变量

部分参数可通过环境变量配置（优先级低于命令行参数）：

注意事项

• 密钥文件权限：容器内密钥文件权限建议设置为400，避免权限过高
• 网络配置：确保容器可访问Google Cloud API（[***]）
• 资源限制：根据并发连接数调整容器CPU/内存资源，建议至少分配100m CPU和64Mi内存
• 版本选择：生产环境建议使用特定版本标签（如grafana/cloudsql-proxy:1.33.0），避免自动升级导致兼容性问题