Разве эти два ресурса не являются частью одного и того же VPC, если они являются частью одного и того же проекта?
Экземпляр Cloud SQL не создается ни в одной из сетей VPC вашего проекта.но в проекте, управляемом Google, внутри его собственной сети.
Что происходит, когда вы включаете частный IP , так это то, что эта сеть будет подключена к сети по вашему выбору в вашем проекте, гдеВаш экземпляр Compute Engine находится: 
Затем вы можете подключиться к экземпляру Cloud SQL с вашей виртуальной машины через внутренний IP-адрес.Виртуальная машина считается доверенной, если ваша сетевая конфигурация позволяет ей подключаться к экземпляру Cloud SQL.
Когда вы задаете внешний IP-адрес в экземпляре Cloud SQL, это означает, что экземпляр доступен для Интернета и подключения.должен быть авторизован.Один из способов сделать это - внести в белый список IP-адрес звонящего, как вы упомянули.Это хорошо работает, если IP-адрес звонящего не меняется.Другой (более простой) вариант - подключиться через cloud_sql_proxy , который обрабатывает авторизацию и шифрование для вас.Тогда вам не нужно вносить белый список IP-адресов.