概要
移行元データベースが VPN(AWS の VPN や独自のオンプレミス VPN など)の内部にある場合は、移行先側でも VPN を使用して移行元に接続する必要があります。
使用できる VPN プロダクトは多数あります。VPN の構成手順はプロダクトによって異なりますが、基本的な手順は同じです。このセクション では、AWS と Google Cloud VPN を使用した例を示します。
ソース データベース サーバーのファイアウォールは、Cloud SQL の宛先インスタンスが使用する VPC ネットワークのプライベート サービス接続に割り振られた内部 IP 範囲全体を許可するように構成する必要があります。
Console で内部 IP 範囲 を確認するには:
[VPC ネットワーク] ページをコンソールで Google Cloud 開きます。
使用する VPC ネットワークを選択します。
[プライベート サービス アクセス] > [Allocated IP ranges for services] を選択します。
servicenetworking-googleapis-com によって作成された接続に関連付けられている内部 IP 範囲 を見つけます。
例 1: 静的ルートを使用する Google Cloud Classic VPN を使用した AWS
詳細な手順については、次のリンクをご覧ください。
全体的な手順は次のようになります。
- コンソール > [VPC ネットワーク] > [外部 IP アドレス] で、Cloud VPN に使用する静的 IP アドレスを予約します。 Google Cloud
- AWS VPC コンソールで、次の操作を行います。
- カスタマー ゲートウェイを作成します。
- 新しい仮想プライベート ゲートウェイを作成するか、既存のゲートウェイをデータベースに関連付けられた VPC に追加します。
- [**ルートテーブル**] で、[**ルート伝播**] を追加します。
- [**編集**] をクリックし、[**伝播**] チェックボックスをオンにして [**保存**] をクリックすると、VPC ネットワークの IP アドレス範囲が宛先範囲として追加されます。 Google Cloud
- AWS VPC コンソールで、VPN を作成します。
- [**VPN 接続**] で、[**サイト間 VPN 接続**] を選択します。
- [VPN 接続を作成] を選択します。
- VPN 接続の名前を入力します。
- [**仮想プライベート ゲートウェイ**] で、この手順で 作成または選択したプライベート ゲートウェイを選択します。
- [**カスタマー ゲートウェイ**] で、この手順で作成したカスタマー ゲートウェイを選択します 。
- [**ルーティング オプション**] で [**静的**] を選択し、Cloud VPN 用に予約した静的 IP アドレスを CIDR として指定します(/32 を追加します)。
- 構成をダウンロードして設定を保存します。
- ファイルを Default として保存します。
- [IP Sec トンネル] セクション #1 と #2 を見つけます。
- 各トンネルの IKE バージョンと事前共有キー をメモします。
- 各トンネルの仮想プライベート ゲートウェイ の IP アドレスをメモします。
- 各トンネルの静的ルート構成オプション の IP アドレスをメモします。
- で Google Cloud、静的ルーティングを使用して Classic VPN を作成します。
- Google Cloud [コンソール] > [ハイブリッド接続] > [VPN] に移動します。
- [VPN 接続を作成] をクリックします。
- VPC ネットワークとリージョンを選択します。
- Cloud VPN には、この手順で予約した静的 IP アドレスを使用します。
- この手順でダウンロードした AWS 構成の
Pre-shared keyとキータイプを使用します。 - [ルートベース] ルーティング オプションを選択して、2 つのトンネルを追加します。各トンネルの [リモート ネットワーク IP 範囲] フィールドには、この手順でダウンロードした AWS 構成ファイルの
IP Sec Tunnelセクションの静的ルート構成オプション の IP アドレスを使用します。 - [作成] をクリックします。リモート ネットワーク IP 範囲
- AWS RDS コンソールで、次の操作を行います。
- セキュリティ グループを選択します。
- Cloud VPN からのすべてのプロトコルとポートを許可する上り(内向き)ファイアウォール ルールを追加します。
VPN トンネルはまもなく通信を開始します。AWS 側では、VPC ダッシュボードでトンネルのステータスが UP になります。GCP
側では、
Cloud Logging コンソールの
Cloud VPN gateway プロジェクトで VPN 間のトラフィックを確認します。
例 2: 動的ルートを使用する Google Cloud HA VPN を使用した AWS
HA VPN(動的ルート)を使用して AWS と VPC ピアリングを行うには、BGP ルートを Cloud SQL ピアリング VPC にエクスポートし、Cloud Router で Cloud SQL ピアリング VPC インポート ルートのカスタム アドバタイズ ルートを作成する必要があります。この時点で、Cloud Router は AWS ルートを Cloud SQL VPC にアドバタイズし、その逆も同様です。両側のファイアウォール ルールも、Cloud SQL ピアリング ルート CIDR と一致する必要があります。AWS 側では、例 1 の最初の 3 つの手順に沿って操作できますが、 [ルーティング オプション] で [静的] ではなく [動的] を選択します。
- コンソールで Cloud SQL VPC ピアリング構成を選択し、[**インポートされたルート**] の [**宛先 IP 範囲**] をメモします。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
- この VPC ピアリングを編集し、VPC ピアリング接続の詳細で
Import Custom RoutesとExport Custom Routesをオンにして、 [**保存**] をクリックします。これで、ピアリングは BGP ピアからのルートと同様に、VPC から動的ルートを受信します。これにより、VPN からピアリングされたネットワークへのトラフィックが可能になります。 ただし、Cloud Router はまだこのルートを他のネットワークにアドバタイズしていません。これを行うには、Cloud Router にカスタム アドバタイズ ルートを追加して、VPC がインポートされたルートを他のネットワークにアドバタイズするようにします。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
- DESTINATION_IP_RANGE カスタム IP 範囲を、Cloud Router 構成のアドバタイズ ルートにカスタム ルートとして追加します。BGP ピアリング ネットワークは、インポートされた Cloud SQL ネットワーク ルートである DESTINATION_IP_RANGE のアドバタイズを受信するようになりました。これらの VPN 接続ネットワーク上の Cloud SQL ピアリング VPC 宛てのトラフィックは、VPN トンネルを介してルーティングされるようになりました。
- AWS ルートテーブルでルートの伝播を許可します。移行元データベースを含むサブネットの AWS ルートテーブルに、VPN 仮想プライベート ゲートウェイにルーティングする DESTINATION_IP_RANGE 範囲のエントリが含まれていることを確認します。
- セキュリティ グループ ファイアウォールの上り(内向き)ルールを追加して、
DESTINATION_IP_RANGE
TCP port 5432のトラフィックを許可します。これで接続を確立できます。