Mengonfigurasi konektivitas menggunakan VPN

Ringkasan

Jika database sumber Anda berada di dalam VPN (misalnya, di AWS, atau VPN lokal Anda), Anda juga harus menggunakan VPN di sisi tujuan untuk terhubung ke sumber.

Ada banyak produk VPN yang dapat Anda gunakan. Langkah-langkah untuk mengonfigurasi VPN bervariasi dari satu produk ke produk lainnya, tetapi semuanya pada dasarnya serupa. Bagian ini berisi contoh penggunaan AWS dan Google Cloud VPN.

Firewall server database sumber harus dikonfigurasi untuk mengizinkan seluruh rentang IP internal yang dialokasikan untuk koneksi layanan pribadi jaringan VPC yang akan digunakan oleh instance tujuan Cloud SQL sebagai kolom privateNetwork dari setelan ipConfiguration -nya.

Untuk menemukan rentang IP internal di konsol:

1. Buka halaman VPC networks di Google Cloud konsol.

2. Pilih jaringan VPC yang ingin Anda gunakan.

3. Pilih Private services access > Allocated IP ranges for services.

4. Temukan Internal IP range yang terkait dengan koneksi yang dibuat oleh servicenetworking-googleapis-com.

Contoh 1: AWS dengan VPN Klasik Google Cloud dengan rute statis

Temukan dokumentasi langkah demi langkah yang lebih lengkap di link berikut:

• Di sisi AWS, siapkan VPN Site-to-Site.
• Di sisi, buat Cloud VPN menggunakan perutean statis. Google Cloud

Jika digabungkan, urutan langkah keseluruhannya akan terlihat seperti berikut:

1. Di Google Cloud konsol > VPC Networks > External IP addresses, cadangkan alamat IP statis untuk digunakan untuk Cloud VPN.
2. Di konsol VPC AWS:
   1. Buat gateway pelanggan.
   2. Buat gateway pribadi virtual baru atau tambahkan gateway yang sudah ada ke VPC yang terkait dengan database Anda.
   3. Di Routes Tables , tambahkan route propagation:
   4. Klik Edit, centang kotak propagate, lalu klik Save untuk menambahkan rentang alamat IP jaringan Google Cloud VPC Anda sebagai rentang tujuan.
3. Di konsol VPC AWS, buat VPN:
   1. Di bagian VPN Connections, pilih Site-to-site VPN Connections.
   2. Pilih Create VPN Connection.
   3. Masukkan nama untuk koneksi VPN.
   4. Untuk Virtual Private Gateway, pilih gateway pribadi yang Anda buat atau pilih sebelumnya dalam prosedur ini.
   5. Untuk Customer Gateway, pilih gateway pelanggan yang Anda buat sebelumnya dalam prosedur ini.
   6. Untuk Routing Options, pilih Static, lalu tentukan alamat IP statis yang Anda cadangkan untuk Cloud VPN sebagai CIDR (tambahkan /32).
   7. Download konfigurasi untuk menyimpan setelan.
      1. Simpan file sebagai Default.
      2. Temukan bagian IP Sec Tunnels #1 dan #2.
      3. Catat versi IKE dan Pre-Shared Key untuk setiap tunnel.
      4. Catat alamat IP untuk Virtual Private Gateway untuk setiap tunnel.
      5. Catat alamat IP untuk Static Route Configuration option untuk setiap tunnel.
4. Di Google Cloud, buat VPN Klasik menggunakan perutean statis.
   1. Di Google Cloud konsol > Hybrid Connectivity > VPN:
   2. Klik Create VPN connection.
      1. Pilih jaringan dan region VPC Anda.
      2. Untuk Cloud VPN, gunakan alamat IP statis yang Anda cadangkan sebelumnya dalam prosedur ini.
      3. Gunakan Pre-shared key dan jenis kunci dari konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
      4. Pilih opsi perutean Route based dan tambahkan dua tunnel; untuk setiap kolom Remote network IP range tunnel, gunakan alamat IP untuk Static Route Configuration option dari bagian IP Sec Tunnel file konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
      5. Klik Create.Remote network IP range

5. Di konsol AWS RDS:
   1. Pilih grup keamanan.
   2. Tambahkan aturan firewall masuk untuk mengizinkan semua protokol dan port dari the Cloud VPN.

Tunnel VPN akan segera mulai berkomunikasi. Di sisi AWS, di Dasbor VPC, status tunnel adalah UP. Di sisi GCP, lihat traffic antara VPN di konsol Cloud Logging dalam project Cloud VPN gateway.

Contoh 2: AWS dengan VPN dengan ketersediaan tinggi (HA) Google Cloud dengan rute dinamis

Di sisi AWS, Anda dapat mengikuti tiga langkah pertama di Contoh 1, kecuali pilih Dynamic , bukan Static di bagian Routing options.

1. Pilih konfigurasi VPC Peering Cloud SQL Anda di Konsol dan catat Destination IP ranges di bagian IMPORTED ROUTES. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.
2. Edit peering VPC ini dan centang Import Custom Routes dan Export Custom Routes di detail koneksi VPC Peering, lalu klik SAVE.

   Peering kini menerima rute dinamis dari VPC Anda seperti rute yang berasal dari peer BGP. Hal ini memungkinkan traffic dari VPN ke jaringan yang di-peering. Namun, Cloud Router belum mengiklankan rute ini ke jaringan lain. Untuk melakukannya, Anda harus menambahkan rute kustom yang diiklankan di Cloud Router sehingga VPC Anda mengiklankan rute yang diimpor ke jaringan lain. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.

3. Tambahkan rentang IP kustom DESTINATION_IP_RANGE Anda sebagai rute kustom di rute yang diiklankan konfigurasi Cloud Router. Jaringan yang di-peering BGP kini menerima iklan rute jaringan Cloud SQL yang diimpor, DESTINATION_IP_RANGE. Traffic di jaringan yang terhubung VPN yang terikat ke VPC yang di-peering Cloud SQL kini dirutekan melalui tunnel VPN.
4. Izinkan rute untuk disebarkan di tabel rute AWS. Pastikan tabel rute AWS untuk subnet yang berisi database sumber Anda berisi entri untuk rentang DESTINATION_IP_RANGE yang merutekan ke Gateway Pribadi Virtual VPN.
5. Tambahkan aturan masuk firewall grup keamanan untuk mengizinkan traffic untuk DESTINATION_IP_RANGE TCP port 3306. Konektivitas kini dapat dibuat.