Configurar la conectividad mediante VPN

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Descripción general

Si su base de datos de origen está dentro de una VPN (en AWS, por ejemplo, o su VPN local), también necesita usar una VPN en el lado de destino para conectarse a la fuente.

Hay muchos productos VPN que puedes utilizar. Los pasos para configurar una VPN varían de un producto a otro, pero todos son fundamentalmente similares. Esta sección contiene ejemplos que utilizan AWS y Google Cloud VPN.

El firewall del servidor de la base de datos de origen debe estar configurado para permitir todo el rango de IP interno asignado para la conexión de servicio privado de la red VPC que va a utilizar la instancia de destino de Cloud SQL .

Para encontrar el rango de IP interno en la consola:

1. Vaya a la página de redes VPC en el Google Cloud consola.

2. Seleccione la red VPC que desea utilizar.

3. Seleccione la pestaña CONEXIÓN DE SERVICIO PRIVADO .

Ejemplo 1: AWS con Google Cloud Classic VPN con rutas estáticas

Encuentre documentación más completa paso a paso en los siguientes enlaces:

• En el lado de AWS, configure una VPN de sitio a sitio .
• en el Google Cloud Por otro lado, cree una VPN en la nube utilizando enrutamiento estático.

En conjunto, la secuencia general de pasos se parece a la siguiente:

1. En Google Cloud consola > Redes VPC > Direcciones IP externas, reserve una dirección IP estática para usarla en Cloud VPN.
2. En la consola de AWS VPC:
   1. Cree una puerta de enlace para el cliente.
   2. Cree una nueva puerta de enlace privada virtual o agregue una existente a la VPC asociada con su base de datos.
   3. En las tablas de rutas agregue la propagación de rutas :
   4. Haga clic en Editar , marque la casilla de verificación propagar y Guardar para agregar el rango de direcciones IP de su Google Cloud Red VPC como rango de destino.
3. En la consola de AWS VPC, cree la VPN:
   1. En Conexiones VPN , seleccione Conexiones VPN de sitio a sitio .
   2. Seleccione Crear conexión VPN .
   3. Ingrese un nombre para la conexión VPN.
   4. Para Virtual Private Gateway , seleccione la puerta de enlace privada que creó o seleccionó anteriormente en este procedimiento.
   5. Para Customer Gateway , seleccione el gateway de cliente que creó anteriormente en este procedimiento.
   6. Para Opciones de enrutamiento , seleccione Estático y especifique la dirección IP estática que reservó para Cloud VPN como CIDR (agregue /32).
   7. Descargue la configuración para guardar la configuración.
      1. Guarde el archivo como predeterminado .
      2. Busque las secciones Túneles IP Sec #1 y #2.
      3. Tenga en cuenta la versión de IKE y la clave precompartida para cada túnel.
      4. Anote la dirección IP de la puerta de enlace privada virtual para cada túnel.
      5. Anote la dirección IP para la opción Configuración de ruta estática para cada túnel.
4. En Google Cloud, cree una VPN clásica utilizando enrutamiento estático .
   1. En Google Cloud consola > Conectividad híbrida > VPN:
   2. Haga clic en Crear conexión VPN .
      1. Seleccione su red y región de VPC.
      2. Para Cloud VPN, utilice la dirección IP estática que reservó anteriormente en este procedimiento.
      3. Utilice una Pre-shared key y un tipo de clave de la configuración de AWS que descargó anteriormente en este procedimiento.
      4. Seleccione la opción de enrutamiento basado en ruta y agregue dos túneles; para el campo Rango de IP de la red remota de cada túnel, utilice una dirección IP para la opción Configuración de ruta estática de las secciones IP Sec Tunnel del archivo de configuración de AWS que descargó anteriormente en este procedimiento.
      5. Haga clic en Crear . Rango de IP de la red remota

5. En la consola de AWS RDS:
   1. Seleccione un grupo de seguridad.
   2. Agregue reglas de firewall entrantes para permitir todos los protocolos y puertos de Cloud VPN.

Los túneles VPN deberían comenzar a comunicarse en breve. En el lado de AWS, en el panel de VPC, los estados del túnel son UP . En el lado de GCP, vea el tráfico entre las VPN en la consola de Cloud Logging en el proyecto Cloud VPN gateway .

Ejemplo 2: AWS con Google Cloud HA VPN con rutas dinámicas

En el lado de AWS, puede seguir los primeros tres pasos del Ejemplo 1 , excepto seleccionar Dinámico en lugar de Estático en Opciones de enrutamiento .

1. Seleccione su configuración de intercambio de tráfico de VPC de Cloud SQL en la consola y anote los rangos de IP de destino en RUTAS IMPORTADAS . Para obtener más información, consulte Importación y exportación de rutas personalizadas .
2. Edite este intercambio de tráfico de VPC y marque Import Custom Routes y Export Custom Routes en los detalles de la conexión de intercambio de tráfico de VPC y haga clic en GUARDAR .

   El emparejamiento ahora recibe rutas dinámicas de su VPC, como las rutas provenientes de pares BGP. Esto permite el tráfico desde la VPN a la red emparejada. Sin embargo, Cloud Router aún no anuncia esta ruta a otras redes. Para hacerlo, debe agregar rutas anunciadas personalizadas en Cloud Router para que su VPC anuncie las rutas importadas a otras redes. Para obtener más información, consulte Importación y exportación de rutas personalizadas .

3. Agregue su rango de IP personalizado DESTINATION_IP_RANGE como una ruta personalizada en las rutas anunciadas de configuración de Cloud Router. Las redes interconectadas BGP ahora reciben anuncios de las rutas de red importadas de Cloud SQL , DESTINATION_IP_RANGE . El tráfico en esas redes conectadas a VPN con destino a la VPC emparejada de Cloud SQL ahora se enruta a través del túnel VPN.
4. Permitir que las rutas se propaguen en las tablas de rutas de AWS. Asegúrese de que las tablas de enrutamiento de AWS para las subredes que contienen su base de datos de origen contengan una entrada para el rango DESTINATION_IP_RANGE que enruta a la puerta de enlace privada virtual VPN.
5. Agregue una regla de entrada de firewall de grupo de seguridad para permitir el tráfico para TCP port 5432 DESTINATION_IP_RANGE . Ahora se puede establecer la conectividad.