Configurar a conectividade usando VPNs

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Visão geral

Se o seu banco de dados de origem estiver dentro de uma VPN (na AWS, por exemplo, ou na sua VPN local), você também precisará usar uma VPN no lado de destino para se conectar à origem.

Existem muitos produtos VPN que você pode usar. As etapas para configurar VPNs variam de um produto para outro, mas todas são fundamentalmente semelhantes. Esta seção contém exemplos usando AWS e Google Cloud VPN.

O firewall do servidor de banco de dados de origem precisa ser configurado para permitir todo o intervalo de IP interno alocado para a conexão de serviço privada da rede VPC que a instância de destino do Cloud SQL usará .

Para encontrar o intervalo de IP interno no console:

1. Acesse a página de redes VPC no Google Cloud console.

2. Selecione a rede VPC que você deseja usar.

3. Selecione a guia CONEXÃO DE SERVIÇO PRIVADO .

Exemplo 1: AWS com Google Cloud Classic VPN com rotas estáticas

Encontre documentação passo a passo mais completa nos links a seguir:

• No lado da AWS, configure uma VPN Site to Site .
• No Google Cloud lado, crie uma Cloud VPN usando roteamento estático.

Juntas, a sequência geral de etapas é semelhante a esta:

1. Em Google Cloud console > Redes VPC > Endereços IP externos, reserve um endereço IP estático para usar no Cloud VPN.
2. No console AWS VPC:
   1. Crie um gateway de cliente.
   2. Crie um novo gateway privado virtual ou adicione um existente à VPC associada ao seu banco de dados.
   3. Em tabelas de rotas, adicione propagação de rota :
   4. Clique em Editar , marque a caixa de seleção de propagação e Salvar para adicionar o intervalo de endereços IP do seu Google Cloud Rede VPC como intervalo de destino.
3. No console AWS VPC, crie a VPN:
   1. Em Conexões VPN , selecione Conexões VPN site a site .
   2. Selecione Criar conexão VPN .
   3. Insira um nome para a conexão VPN.
   4. Para Virtual Private Gateway , selecione o gateway privado que você criou ou selecionou anteriormente neste procedimento.
   5. Para Customer Gateway , selecione o gateway do cliente criado anteriormente neste procedimento.
   6. Em Routing Options , selecione Static e especifique o endereço IP estático que você reservou para o Cloud VPN como CIDR (adicione /32).
   7. Baixe a configuração para salvar as configurações.
      1. Salve o arquivo como Padrão .
      2. Encontre as seções IP Sec Tunnels #1 e #2.
      3. Observe a versão IKE e a chave pré-compartilhada de cada túnel.
      4. Anote o endereço IP do Gateway Privado Virtual para cada túnel.
      5. Observe o endereço IP da opção Configuração de rota estática para cada túnel.
4. Em Google Cloud, crie uma VPN clássica usando roteamento estático .
   1. Em Google Cloud console > Conectividade Híbrida > VPN:
   2. Clique em Criar conexão VPN .
      1. Selecione sua rede VPC e região.
      2. Para o Cloud VPN, use o endereço IP estático reservado anteriormente neste procedimento.
      3. Use uma Pre-shared key e um tipo de chave da configuração da AWS que você baixou anteriormente neste procedimento.
      4. Selecione a opção Roteamento baseado em rota e adicione dois túneis; para o campo Intervalo IP de rede remota de cada túnel, use um endereço IP para a opção Configuração de rota estática nas seções IP Sec Tunnel do arquivo de configuração da AWS que você baixou anteriormente neste procedimento.
      5. Clique em Criar . Intervalo de IP de rede remota

5. No console do AWS RDS:
   1. Selecione um grupo de segurança.
   2. Adicione regras de firewall de entrada para permitir todos os protocolos e portas do Cloud VPN.

Os túneis VPN deverão começar a se comunicar em breve. No lado da AWS, no VPC Dashboard, os status do túnel são UP . No lado do GCP, visualize o tráfego entre as VPNs no console do Cloud Logging no projeto Cloud VPN gateway .

Exemplo 2: AWS com Google Cloud HA VPN com rotas dinâmicas

No lado da AWS, você pode seguir as três primeiras etapas do Exemplo 1 , exceto selecionar Dinâmico em vez de Estático em Opções de roteamento .

1. Selecione sua configuração de peering de VPC do Cloud SQL no console e anote os intervalos de IP de destino em IMPORTED ROUTES . Para obter mais informações, consulte Importando e exportando rotas personalizadas .
2. Edite este peering de VPC e marque Import Custom Routes e Export Custom Routes nos detalhes da conexão de peering de VPC e clique em SALVAR .

   O peering agora recebe rotas dinâmicas da sua VPC, como as rotas provenientes de peers do BGP. Isto permite o tráfego da VPN para a rede com peering. No entanto, o Cloud Router ainda não está divulgando essa rota para outras redes. Para fazer isso, você precisa adicionar rotas anunciadas personalizadas no Cloud Router para que sua VPC anuncie as rotas importadas para outras redes. Para obter mais informações, consulte Importando e exportando rotas personalizadas .

3. Adicione seu intervalo de IP personalizado DESTINATION_IP_RANGE como uma rota personalizada nas rotas anunciadas na configuração do Cloud Router. As redes com peering do BGP agora estão recebendo anúncios das rotas de rede importadas do Cloud SQL , DESTINATION_IP_RANGE . O tráfego nessas redes conectadas por VPN vinculadas à VPC com peering do Cloud SQL agora é roteado pelo túnel VPN.
4. Permitir que as rotas se propaguem nas tabelas de rotas da AWS. Certifique-se de que as tabelas de rotas da AWS para as sub-redes que contêm seu banco de dados de origem contenham uma entrada para o intervalo DESTINATION_IP_RANGE que roteia para o gateway privado virtual da VPN.
5. Adicione uma regra de entrada de firewall do grupo de segurança para permitir o tráfego para DESTINATION_IP_RANGE TCP port 5432 . A conectividade agora pode ser estabelecida.