使用 VPN 設定連線

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

總覽

如果來源資料庫位於 VPN 內 (例如 AWS 或您自己的地端部署 VPN)，則也必須在目的地端使用 VPN 連線至來源。

你可以使用許多 VPN 產品。設定 VPN 的步驟會因產品而異，但基本上都大同小異。本節包含使用 AWS 和 Google Cloud VPN 的範例。

來源資料庫伺服器的防火牆必須設為允許Cloud SQL 目的地執行個體將要使用的虛擬私有雲端網路的私人服務連線所分配的整個內部 IP 範圍。

如要在主控台中尋找內部 IP 範圍：

1. 前往 Google Cloud 控制台的「VPC networks」(虛擬私有雲網路) 頁面。

2. 選取要使用的 VPC 網路。

3. 選取「Private service connection」(私人服務連線) 分頁標籤。

範例 1：AWS 與 Google Cloud 傳統版 VPN (含靜態路徑)

如需更完整的逐步操作說明文件，請參閱下列連結：

• 在 AWS 端設定站對站 VPN。
• 在 Google Cloud 端，使用靜態轉送建立 Cloud VPN。

整體步驟流程如下：

1. 在 Google Cloud 控制台 >「VPC 網路」>「外部 IP 位址」中，保留要用於 Cloud VPN 的靜態 IP 位址。
2. 在 AWS VPC 主控台中：
   1. 建立客戶閘道。
   2. 建立新的虛擬私人閘道，或將現有閘道新增至與資料庫相關聯的 VPC。
   3. 在「路徑資料表」中新增路徑傳播：
   4. 按一下「編輯」，勾選「傳播」核取方塊，然後按一下「儲存」，即可將 Google Cloud VPC 網路的 IP 位址範圍新增為目的地範圍。
3. 在 AWS VPC 主控台中建立 VPN：
   1. 在「VPN 連線」下方，選取「站對站 VPN 連線」。
   2. 選取「建立 VPN 連線」。
   3. 輸入 VPN 連線的名稱。
   4. 在「Virtual Private Gateway」部分，選取您在本程序中先前建立或選取的私人閘道。
   5. 在「Customer Gateway」(客戶閘道) 部分，選取先前在這個程序中建立的客戶閘道。
   6. 在「Routing Options」中，選取「Static」，然後指定您為 Cloud VPN 保留的靜態 IP 位址，做為 CIDR (新增 /32)。
   7. 下載設定檔以儲存設定。
      1. 將檔案儲存為「預設」。
      2. 找到「IP Sec 隧道」 #1 和 #2 部分。
      3. 請注意每個通道的 IKE 版本和預先共用金鑰。
      4. 記下每個隧道的 Virtual Private Gateway IP 位址。
      5. 記下每個通道的靜態路由設定選項 IP 位址。
4. 在 Google Cloud中，使用靜態轉送建立傳統版 VPN。
   1. 在 Google Cloud 控制台 > 混合式連線 > VPN：
   2. 按一下「建立 VPN 連線」。
      1. 選取虛擬私有雲網路和區域。
      2. 針對 Cloud VPN，請使用您在此程序中先前保留的靜態 IP 位址。
      3. 使用先前在本程序中下載的 AWS 設定中的 Pre-shared key 和金鑰類型。
      4. 選取「Route based」路由選項，然後新增兩個通道；針對每個通道的「Remote network IP range」欄位，請使用先前在本程序中下載的 AWS 設定檔 IP Sec Tunnel 部分的 IP 位址，為「Static Route Configuration」選項設定 IP 位址。
      5. 按一下「建立」。遠端網路 IP 範圍

5. 在 AWS RDS 控制台中：
   1. 選取安全性群組。
   2. 新增傳入防火牆規則，允許來自 Cloud VPN 的所有通訊協定和通訊埠。

VPN 通道應該很快就會開始傳輸資料。在 AWS 端的 VPC 資訊主頁中，通道的狀態為 UP。在 GCP 端，請在 Cloud VPN gateway 專案的 Cloud Logging 主控台中查看 VPN 之間的流量。

範例 2：AWS 與 Google Cloud 高可用性 VPN (含動態路徑)

在 AWS 端，您可以按照範例 1 中的前三個步驟操作，但在「轉送選項」下方，請選取「動態」，而非「靜態」。

1. 在控制台中選取 Cloud SQL VPC 對等互連設定，並記下「IMPORTED ROUTES」下方的「Destination IP ranges」。詳情請參閱「匯入及匯出自訂路徑」。
2. 編輯這個 VPC 對等互連連線，並在「VPC 對等互連連線詳細資料」中勾選 Import Custom Routes 和 Export Custom Routes，然後按一下「儲存」。

   對等互連現在會接收來自 VPC 的動態路徑，就像來自 BGP 對等節點的路徑一樣。這麼做可讓 VPN 的流量傳送至對等網路。不過，Cloud Router 尚未將這個路徑通告給其他網路。為此，您需要在 Cloud Router 中新增自訂的宣傳路徑，讓虛擬私人雲端將匯入的路徑宣傳至其他網路。詳情請參閱「匯入並匯出自訂路徑」。

3. 在 Cloud Router 設定的通告路徑中，將 DESTINATION_IP_RANGE 自訂 IP 範圍新增為自訂路徑。BGP 對等互連網路現在會收到匯入的 Cloud SQL 網路路由廣告，DESTINATION_IP_RANGE。這些 VPN 連線網路上的流量，如果要連往 Cloud SQL 對等互連虛擬私人雲端網路，現在會透過 VPN 通道轉送。
4. 允許路由在 AWS 路由表中傳播。請確認包含來源資料庫的子網路的 AWS 路徑表，包含將路由傳送至 VPN 虛擬私有閘道的 DESTINATION_IP_RANGE 範圍項目。
5. 新增安全群組防火牆入站規則，允許 DESTINATION_IP_RANGE TCP port 5432 的流量。連線現在可以建立。