Configurare la connettività utilizzando le VPN

Panoramica

Se il database di origine si trova all'interno di una VPN (ad esempio in AWS o nella VPN on-premise), devi utilizzare una VPN anche sul lato di destinazione per connetterti all'origine.

Esistono molti prodotti VPN che puoi utilizzare. I passaggi per configurare le VPN variano da un prodotto all'altro, ma sono tutti fondamentalmente simili. Questa sezione contiene esempi che utilizzano AWS e Google Cloud VPN.

Il firewall del server di database di origine deve essere configurato per consentire l'intero intervallo IP interno allocato per la connessione di servizi privati della rete VPC che l'istanza di destinazione Cloud SQL utilizzerà come campo privateNetwork delle impostazioni ipConfiguration.

Per trovare l'intervallo IP interno nella console:

1. Vai alla pagina delle reti VPC nella Google Cloud console.

2. Seleziona la rete VPC che vuoi utilizzare.

3. Seleziona Accesso privato ai servizi > Intervalli IP allocati per i servizi.

4. Trova l'intervallo IP interno associato alla connessione creata da servicenetworking-googleapis-com.

Esempio 1: AWS con VPN classica di Google Cloud con route statiche

Per una documentazione più completa e dettagliata, consulta i seguenti link:

• Sul lato AWS, configura una VPN site-to-site.
• Sul lato Google Cloud Google Cloud, crea una Cloud VPN utilizzando il routing statico.

La sequenza complessiva dei passaggi è la seguente:

1. In Google Cloud Google Cloud Console > Reti VPC > Indirizzi IP esterni, prenota un indirizzo IP statico da utilizzare per la Cloud VPN.
2. Nella console VPC di AWS:
   1. Crea un gateway cliente.
   2. Crea un nuovo gateway privato virtuale o aggiungine uno esistente al VPC associato al tuo database.
   3. In Tabelle delle route aggiungi la propagazione delle route:
   4. Fai clic su Modifica, seleziona la casella di controllo Propaga e fai clic su Salva per aggiungere l'intervallo di indirizzi IP della tua Google Cloud rete VPC come intervallo di destinazione.
3. Nella console VPC di AWS, crea la VPN:
   1. In Connessioni VPN, seleziona Connessioni VPN site-to-site.
   2. Seleziona Crea connessione VPN.
   3. Inserisci un nome per la connessione VPN.
   4. Per Gateway privato virtuale, seleziona il gateway privato che hai creato o selezionato in precedenza in questa procedura.
   5. Per Gateway cliente, seleziona il gateway cliente che hai creato in precedenza in questa procedura.
   6. Per Opzioni di routing, seleziona Statico e specifica l'indirizzo IP statico che hai prenotato per la Cloud VPN come CIDR (aggiungi /32).
   7. Scarica la configurazione per salvare le impostazioni.
      1. Salva il file come Default.
      2. Trova le sezioni Tunnel IP Sec n. 1 e n. 2.
      3. Prendi nota della versione IKE e della chiave precondivisa per ogni tunnel.
      4. Prendi nota dell'indirizzo IP del gateway privato virtuale per ogni tunnel.
      5. Prendi nota dell'indirizzo IP per l'opzione di configurazione della route statica per ogni tunnel.
4. In Google Cloud, crea una VPN classica utilizzando il routing statico.
   1. In Google Cloud Google Cloud Console > Connettività ibrida > VPN:
   2. Fai clic su Crea connessione VPN.
      1. Seleziona la rete VPC e la regione.
      2. Per la Cloud VPN, utilizza l'indirizzo IP statico che hai prenotato in precedenza in questa procedura.
      3. Utilizza una Pre-shared key e un tipo di chiave dalla configurazione AWS che hai scaricato in precedenza in questa procedura.
      4. Seleziona l'opzione di routing Basato su route e aggiungi due tunnel; per il campo Intervallo IP della rete remota di ogni tunnel, utilizza un indirizzo IP per l'opzione di configurazione della route statica dalle sezioni IP Sec Tunnel del file di configurazione AWS che hai scaricato in precedenza in questa procedura.
      5. Fai clic su Crea.Intervallo IP della rete remota

5. Nella console RDS di AWS:
   1. Seleziona un gruppo di sicurezza.
   2. Aggiungi regole firewall in entrata per consentire tutti i protocolli e le porte dalla Cloud VPN.

I tunnel VPN dovrebbero iniziare a comunicare a breve. Sul lato AWS, nella dashboard VPC, gli stati dei tunnel sono UP. Sul lato Google Cloud, visualizza il traffico tra le VPN nella console Cloud Logging nel Cloud VPN gateway progetto.

Esempio 2: AWS con VPN ad alta affidabilità di Google Cloud con route dinamiche

Sul lato AWS, puoi seguire i primi tre passaggi dell'Esempio 1, tranne selezionare Dinamico anziché Statico in Opzioni di routing.

1. Seleziona la configurazione del peering VPC di Cloud SQL nella console e prendi nota degli intervalli IP di destinazione in ROUTE IMPORTATE. Per saperne di più, consulta Importazione ed esportazione di route personalizzate.
2. Modifica questo peering VPC e seleziona Import Custom Routes e Export Custom Routes nei dettagli della connessione di peering VPC, e fai clic su SALVA.

   Il peering ora riceve route dinamiche dal tuo VPC, come le route provenienti dai peer BGP. Ciò consente il traffico dalla VPN alla rete in peering. Tuttavia, il router Cloud non sta ancora annunciando questa route ad altre reti. Per farlo, devi aggiungere route annunciate personalizzate nel router Cloud in modo che il tuo VPC annunci le route importate ad altre reti. Per saperne di più, consulta Importazione ed esportazione di route personalizzate.

3. Aggiungi l'intervallo IP personalizzato DESTINATION_IP_RANGE come route personalizzata nelle route annunciate della configurazione del router Cloud. Le reti in peering BGP ora ricevono annunci delle route di rete Cloud SQL importate, DESTINATION_IP_RANGE. Il traffico sulle reti connesse tramite VPN destinate al VPC in peering di Cloud SQL viene ora instradato tramite il tunnel VPN.
4. Consenti la propagazione delle route nelle tabelle delle route AWS. Assicurati che le tabelle delle route AWS per le subnet che contengono il database di origine contengano una voce per l' DESTINATION_IP_RANGE intervallo che esegue il routing al gateway privato virtuale VPN.
5. Aggiungi una regola in entrata del firewall del gruppo di sicurezza per consentire il traffico per DESTINATION_IP_RANGE TCP port 3306. Ora è possibile stabilire la connettività.