解读

面试官想验证你对 私有 IP Cloud SQL 实例的网络准入控制 是否具备“可运维、可排障、可安全加固”的实战视角。
国内政企、金融客户普遍要求 流量不出公网，因此私有 IP 成为首选；但私有 IP 不等于“天然可达”，入站流量策略（Ingress Firewall Rule） 才是决定“连得上、连得快、连得稳”的第一道闸门。
回答时要体现：

1. 知道策略由谁下发（VPC 防火墙规则、本地防火墙、甚至云厂商侧“隐藏控制器”）。
2. 知道策略缺省行为（Google Cloud 默认拒绝全部入站，仅开放 3307/5433/1433 等白名单端口）。
3. 知道策略粒度（IP、标签、服务账户、地域、协议、端口、优先级）。
4. 知道策略对高可用、只读副本、PSC（Private Service Connect）场景的级联影响。
5. 知道国内合规要求（等保 2.0/3.0、关基、密评）对策略审计留痕的刚性要求。

知识点

• VPC 防火墙规则：优先级数字越小越优先；拒绝规则高于允许规则；支持基于源标签、服务账户、CIDR 范围。
• Cloud SQL 私有 IP 实现：通过 Google-managed VPC peering（servicenetworking-googleapis-com），用户侧看不到实例网卡，只能看到 分配的 RFC 1918 地址。
• 实例端口：MySQL 3307（注意不是 3306）、PostgreSQL 5432、SQL Server 1433；代理端口 3307 被国内部分企业防火墙默认拦截，需显式放行。
• 健康检查：高可用实例的 failover 依赖 Google 侧健康探针，源 IP 35.199.192.0/19 必须在入站规则中放行，否则主备切换失败。
• PSC 场景：若使用 Private Service Connect 暴露 Cloud SQL，需要额外放行 PSC 子网段 与 Google 前端 IP。
• 国内加速：通过 Cloud VPN 或专线（Partner Interconnect / Dedicated Interconnect） 接入，防火墙规则需同时覆盖 on-prem CIDR 与 Cloud Router 自定义路由宣告段。
• 等保合规：策略变更必须走 IAM 审计日志（ADMIN_READ、DATA_WRITE），并同步到 云安全中心（Security Command Center） 或第三方 SIEM。

答案

入站流量策略直接决定私有 IP Cloud SQL 实例的 网络可达性、高可用可用性、以及合规审计闭环，具体影响分四层：

1. 连通性：默认拒绝一切入站，必须在 VPC 防火墙规则中显式放行 源 CIDR + 目标标签 + 协议端口（TCP 3307/5432/1433）；若源端是本地数据中心，还需同步放行 VPN/专线侧 CIDR。
2. 高可用：主备切换依赖 Google 健康检查，源网段 35.199.192.0/19 必须在高优先级规则中允许 TCP 3307/5432/1433，否则 failover 超时，RPO 升高。
3. 只读副本与跨区域灾备：只读副本使用独立私有 IP，策略需单独维护；若副本与主实例位于不同 VPC，需通过 VPC peering 导入导出自定义路由，并在两端同时放行对应标签。
4. 合规与排障：国内等保要求策略变更 可回溯、可告警、可冻结；若规则优先级设置错误（如误把拒绝规则置于 1000，允许规则置于 2000），会导致 间歇性连接超时，需借助 VPC Flow Logs + Cloud Logging 实时告警 快速定位。

一句话总结：入站流量策略是私有 IP Cloud SQL 的“隐形门锁”，锁错了连不上，锁漏了不合规，锁死了切不动。

拓展思考

1. 如果客户要求 “零信任”最小权限，你会如何用 IAM 条件 + 防火墙规则 + 云安全中心 实现“人到端口级”动态授权？
2. 当实例开启 PSC + Private Service Connect 后，防火墙规则需要同时考虑 Google 前端池 IP 与 客户侧 PSC 子网，如何设计自动化 Terraform 模板保证 “双端同步” 不遗漏？
3. 国内 双活架构 要求上海与张家口 VPC 同时访问同一私有 IP 实例，但只允许 专线侧流量，如何结合 Cloud Router 自定义路由 + 防火墙规则优先级 避免 公网泄露路径？