使用 VPN 配置连接

概览

如果您的源数据库位于 VPN 内（例如在 AWS 中或您自己的本地 VPN 中），您还需要在目标端使用 VPN 来连接到源。

您可以使用许多 VPN 产品。配置 VPN 的步骤因产品而异，但它们在本质上是相似的。本部分 包含使用 AWS 和 Google Cloud VPN 的示例。

源数据库服务器的防火墙必须配置为允许为 VPC 网络（Cloud SQL 目标实例将其用作 ipConfiguration 设置的 privateNetwork 字段）的 专用服务连接 分配的整个 内部 IP 地址范围 。

如要在控制台中查找内部 IP 地址范围 ，请执行以下操作：

1. 进入 控制台中的 VPC 网络页面。 Google Cloud

2. 选择要使用的 VPC 网络。

3. 依次选择专用服务访问通道 > 为服务分配的 IP 地址范围。

4. 找到与 servicenetworking-googleapis-com 创建的连接关联的内部 IP 地址范围 。

示例 1：AWS 与使用静态路由的 Google Cloud 传统 VPN

如需查看更完整的分步文档，请点击以下链接：

• 在 AWS 端，设置站点到站点 VPN。
• 在 Google Cloud Google Cloud 端，使用静态路由创建 Cloud VPN。

将这些步骤组合在一起，总体顺序如下所示：

1. 在 Google Cloud 控制台 > VPC 网络 > 外部 IP 地址中，预留一个静态 IP 地址以用于 Cloud VPN。 Google Cloud
2. 在 AWS VPC 控制台中：
   1. 创建客户网关。
   2. 创建新的虚拟专用网关，或将现有虚拟专用网关添加到与数据库关联的 VPC。
   3. 在路由表 中添加路由传播：
   4. 点击修改，选中传播复选框，然后点击保存，将您的 Google Cloud VPC 网络的 IP 地址范围添加为目标范围。
3. 在 AWS VPC 控制台中，创建 VPN：
   1. 在 VPN 连接 下，选择站点到站点 VPN 连接。
   2. 选择创建 VPN 连接 。
   3. 输入 VPN 连接的名称。
   4. 对于虚拟专用网关，请选择您 之前在此过程中创建或选择的专用网关。
   5. 对于客户网关，请选择您之前在此过程中创建的客户网关 。
   6. 对于路由选项 ，请选择静态 ，然后将您为 Cloud VPN 预留的静态 IP 地址指定为 CIDR（添加 /32）。
   7. 下载配置以保存设置。
      1. 将文件另存为 Default 。
      2. 找到 IP Sec Tunnels #1 和 #2 部分。
      3. 记下每个隧道的 IKE 版本和预共享密钥 。
      4. 记下每个隧道的虚拟专用网关 的 IP 地址。
      5. 记下每个隧道的静态路由配置选项 的 IP 地址。
4. 在 Google CloudGoogle Cloud 中，使用静态路由创建传统 VPN。
   1. 在 Google Cloud Google Cloud 控制台 > 混合连接 > VPN 中：
   2. 点击创建 VPN 连接 。
      1. 选择您的 VPC 网络和区域。
      2. 对于 Cloud VPN，请使用您之前在此过程中预留的静态 IP 地址。
      3. 使用您之前在此过程中下载的 AWS 配置中的 Pre-shared key 和密钥类型。
      4. 选择基于路由 路由选项并添加两个隧道；对于每个隧道的远程网络 IP 地址范围 字段，请使用您之前在此过程中下载的 AWS 配置文件 IP Sec Tunnel 部分中的静态路由配置选项 的 IP 地址。
      5. 点击创建 。远程网络 IP 地址范围

5. 在 AWS RDS 控制台中：
   1. 选择一个安全群组。
   2. 添加入站防火墙规则，以允许来自 Cloud VPN 的所有协议和端口。

VPN 隧道应很快开始通信。在 AWS 端，在 VPC 信息中心内，隧道状态为 UP。在 GCP 端，在 Cloud Logging 控制台中查看 VPN 之间的流量（位于 Cloud VPN gateway 项目中）。

示例 2：AWS 与使用动态路由的 Google Cloud 高可用性 VPN

在 AWS 端，您可以按照示例 1中的前三个步骤操作， 但需要在路由选项下选择动态而不是静态。

1. 在 Google Cloud 控制台 中选择您的 Cloud SQL VPC 对等互连配置，并记下导入的路由 下的目标 IP 地址范围 。如需了解详情，请参阅导入和导出自定义路由。
2. 修改此 VPC 对等互连，然后在 VPC 对等互连连接详细信息中选中 Import Custom Routes 和 Export Custom Routes， 然后点击 保存。

   对等互连现在会从您的 VPC 接收动态路由，就像从 BGP 对等端接收的路由一样。这样一来，VPN 中的流量就可以进入对等互连的网络。 不过，Cloud Router 尚未向其他网络通告此路由。 如需执行此操作，您需要在 Cloud Router 中添加自定义通告路由，以便您的 VPC 向其他网络通告导入的路由。如需了解详情，请参阅导入和导出自定义路由。

3. 在 Cloud Router 配置的通告路由中，将您的 DESTINATION_IP_RANGE 自定义 IP 地址范围添加为自定义 路由。BGP 对等互连 网络现在会收到导入的 Cloud SQL 网络路由 DESTINATION_IP_RANGE的通告。现在，这些 VPN 连接的网络上发往 Cloud SQL 对等互连 VPC 的流量会通过 VPN 隧道路由。
4. 允许路由在 AWS 路由表中传播。确保包含源数据库的子网的 AWS 路由表包含 DESTINATION_IP_RANGE 范围的条目，该条目会路由到 VPN 虚拟专用网关。
5. 添加安全群组防火墙入站规则，以允许 DESTINATION_IP_RANGE TCP port 3306. 的流量。现在可以建立连接。