Mengonfigurasi konektivitas menggunakan VPN

Ringkasan

Jika database sumber Anda berada di dalam VPN (misalnya, di AWS, atau VPN lokal Anda), Anda juga perlu menggunakan VPN di sisi tujuan untuk terhubung ke sumber.

Ada banyak produk VPN yang dapat Anda gunakan. Langkah-langkah untuk mengonfigurasi VPN bervariasi dari satu produk ke produk lainnya, tetapi semuanya pada dasarnya serupa. Bagian ini berisi contoh penggunaan AWS dan VPN Google Cloud .

Firewall server database sumber harus dikonfigurasi untuk mengizinkan seluruh rentang IP internal yang dialokasikan untuk koneksi layanan pribadi dari jaringan VPC yang akan digunakan oleh instance tujuan Cloud SQL.

Untuk menemukan rentang IP internal di konsol:

1. Buka halaman jaringan VPC di konsol Google Cloud .

2. Pilih jaringan VPC yang ingin Anda gunakan.

3. Pilih Private services access > Allocated IP ranges for services.

4. Temukan Rentang IP internal yang terkait dengan koneksi yang dibuat oleh servicenetworking-googleapis-com.

Contoh 1: AWS dengan VPN Klasik Google Cloud dengan rute statis

Temukan dokumentasi langkah demi langkah yang lebih lengkap di link berikut:

• Di sisi AWS, siapkan VPN Site-to-Site.
• Di sisi Google Cloud , buat Cloud VPN menggunakan perutean statis.

Jika digabungkan, urutan langkah keseluruhan akan terlihat seperti berikut:

1. Di Google Cloud console > VPC Networks > External IP addresses, cadangkan alamat IP statis untuk digunakan untuk Cloud VPN.
2. Di konsol AWS VPC:
   1. Buat gateway pelanggan.
   2. Buat gateway pribadi virtual baru atau tambahkan gateway yang sudah ada ke VPC yang terkait dengan database Anda.
   3. Di Tabel Rute, tambahkan propagasi rute:
   4. Klik Edit, centang kotak propagate, lalu klik Save untuk menambahkan rentang alamat IP jaringan VPC Google Cloud Anda sebagai rentang tujuan.
3. Di konsol VPC AWS, buat VPN:
   1. Di bagian VPN Connections, pilih Site-to-site VPN Connections.
   2. Pilih Create VPN Connection.
   3. Masukkan nama untuk koneksi VPN.
   4. Untuk Virtual Private Gateway, pilih gateway pribadi yang Anda buat atau pilih sebelumnya dalam prosedur ini.
   5. Untuk Customer Gateway, pilih customer gateway yang Anda buat sebelumnya dalam prosedur ini.
   6. Untuk Opsi Perutean, pilih Statis, dan tentukan alamat IP statis yang Anda cadangkan untuk Cloud VPN sebagai CIDR (tambahkan /32).
   7. Download konfigurasi untuk menyimpan setelan.
      1. Simpan file sebagai Default.
      2. Temukan bagian IP Sec Tunnels #1 dan #2.
      3. Catat versi IKE dan Pre-Shared Key untuk setiap tunnel.
      4. Catat alamat IP untuk Virtual Private Gateway untuk setiap tunnel.
      5. Catat alamat IP untuk opsi Konfigurasi Rute Statis untuk setiap tunnel.
4. Di Google Cloud, buat VPN Klasik menggunakan perutean statis.
   1. Di Google Cloud konsol > Hybrid Connectivity > VPN:
   2. Klik Buat koneksi VPN.
      1. Pilih jaringan VPC dan region Anda.
      2. Untuk Cloud VPN, gunakan alamat IP statis yang Anda cadangkan sebelumnya dalam prosedur ini.
      3. Gunakan jenis kunci dan Pre-shared key dari konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
      4. Pilih opsi perutean Berbasis rute dan tambahkan dua tunnel; untuk setiap kolom Remote network IP range tunnel, gunakan alamat IP untuk Static Route Configuration option dari bagian IP Sec Tunnel file konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
      5. Klik Buat.Rentang IP jaringan jarak jauh

5. Di konsol AWS RDS:
   1. Pilih grup keamanan.
   2. Tambahkan aturan firewall masuk untuk mengizinkan semua protokol dan port dari Cloud VPN.

Tunnel VPN akan segera mulai berkomunikasi. Di sisi AWS, di VPC Dashboard, status tunnel adalah UP. Di sisi GCP, lihat traffic antara VPN di konsol Cloud Logging di project Cloud VPN gateway.

Contoh 2: AWS dengan VPN HA Google Cloud dengan rute dinamis

Di sisi AWS, Anda dapat mengikuti tiga langkah pertama di Contoh 1, kecuali memilih Dynamic, bukan Static di bagian Routing options.

1. Pilih konfigurasi VPC Peering Cloud SQL Anda di Konsol dan catat Rentang IP tujuan di bagian RUTE YANG DIIMPOR. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.
2. Edit peering VPC ini dan periksa Import Custom Routes dan Export Custom Routes di detail koneksi Peering VPC, lalu klik SIMPAN.

   Peering kini menerima rute dinamis dari VPC Anda seperti rute yang berasal dari peer BGP. Tindakan ini memungkinkan traffic dari VPN ke jaringan yang di-peering. Namun, Cloud Router belum mengiklankan rute ini ke jaringan lain. Untuk melakukannya, Anda perlu menambahkan rute kustom yang diberitahukan di Cloud Router sehingga VPC Anda memberitahukan rute yang diimpor ke jaringan lain. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.

3. Tambahkan rentang IP kustom DESTINATION_IP_RANGE sebagai rute kustom di rute yang diiklankan konfigurasi Cloud Router. Jaringan yang di-peering BGP kini menerima iklan rute jaringan Cloud SQL yang diimpor, DESTINATION_IP_RANGE. Traffic di jaringan yang terhubung ke VPN tersebut yang ditujukan ke VPC yang di-peering Cloud SQL kini dirutekan melalui tunnel VPN.
4. Izinkan rute untuk berpropagasi di tabel rute AWS. Pastikan tabel rute AWS untuk subnet yang berisi database sumber Anda berisi entri untuk rentang DESTINATION_IP_RANGE yang merutekan ke Gateway Pribadi Virtual VPN.
5. Tambahkan aturan masuk firewall grup keamanan untuk mengizinkan traffic untuk DESTINATION_IP_RANGE TCP port 5432. Konektivitas kini dapat dibuat.