Verbindung über VPNs konfigurieren

Übersicht

Wenn sich Ihre Quelldatenbank in einem VPN befindet (z. B. in AWS oder Ihrem lokalen VPN), müssen Sie auch auf der Zielseite ein VPN verwenden, um eine Verbindung zur Quelle herzustellen.

Es gibt viele VPN-Produkte, die Sie verwenden können. Die Schritte zum Konfigurieren von VPNs variieren von Produkt zu Produkt, sind aber im Grunde ähnlich. Dieser Abschnitt enthält Beispiele für die Verwendung von AWS und Google Cloud VPNs.

Die Firewall des Quelldatenbankservers muss so konfiguriert sein, dass sie den gesamten internen IP-Adressbereich zulässt, der für die private Dienstverbindung des VPC-Netzwerks zugewiesen ist, das die Cloud SQL-Zielinstanz verwenden wird.

So finden Sie den internen IP-Bereich in der Console:

1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.

2. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.

3. Wählen Sie Zugriff auf private Dienste > Diensten zugewiesene IP-Bereiche aus.

4. Suchen Sie den internen IP-Bereich, der der von servicenetworking-googleapis-com erstellten Verbindung zugeordnet ist.

Beispiel 1: AWS mit Google Cloud Classic VPN mit statischen Routen

Eine ausführlichere Schritt-für-Schritt-Anleitung finden Sie unter den folgenden Links:

• Richten Sie auf AWS-Seite ein Site-to-Site-VPN ein.
• Erstellen Sie auf der Google Cloud Seite ein Cloud VPN mit statischem Routing.

Die gesamte Abfolge der Schritte sieht so aus:

1. Reservieren Sie in der Google Cloud Console > VPC-Netzwerke > Externe IP-Adressen eine statische IP-Adresse für Cloud VPN.
2. In der AWS-VPC-Konsole:
   1. Kunden-Gateway erstellen
   2. Erstellen Sie ein neues virtuelles privates Gateway oder fügen Sie ein vorhandenes der VPC hinzu, die Ihrer Datenbank zugeordnet ist.
   3. Fügen Sie in Routingtabellen die Routenweitergabe hinzu:
   4. Klicken Sie auf Bearbeiten, aktivieren Sie das Kästchen Verteilen und klicken Sie auf Speichern, um den IP-Adressbereich Ihres Google Cloud VPC-Netzwerks als Zielbereich hinzuzufügen.
3. Erstellen Sie in der AWS VPC-Konsole das VPN:
   1. Wählen Sie unter VPN-Verbindungen die Option Site-to-Site-VPN-Verbindungen aus.
   2. Wählen Sie VPN-Verbindung erstellen aus.
   3. Geben Sie einen Namen für die VPN-Verbindung ein.
   4. Wählen Sie für Virtuelles privates Gateway das private Gateway aus, das Sie zuvor in diesem Verfahren erstellt oder ausgewählt haben.
   5. Wählen Sie für Customer Gateway (Kundengateway) das Kundengateway aus, das Sie zuvor in diesem Verfahren erstellt haben.
   6. Wählen Sie unter Routing Options (Routingoptionen) die Option Static (Statisch) aus und geben Sie die statische IP-Adresse, die Sie für das Cloud VPN reserviert haben, als CIDR an (fügen Sie /32 hinzu).
   7. Laden Sie die Konfiguration herunter, um die Einstellungen zu speichern.
      1. Speichern Sie die Datei als Default.
      2. Suchen Sie nach den Abschnitten IP Sec-Tunnel #1 und #2.
      3. Notieren Sie sich die IKE-Version und den vorinstallierten Schlüssel für jeden Tunnel.
      4. Notieren Sie sich die IP-Adresse für das Virtual Private Gateway für jeden Tunnel.
      5. Notieren Sie sich die IP-Adresse für die Option zur Konfiguration statischer Routen für jeden Tunnel.
4. Erstellen Sie in Google Cloudein klassisches VPN mit statischem Routing.
   1. In der Google Cloud Console > Hybridkonnektivität > VPN:
   2. Klicken Sie auf VPN-Verbindung erstellen.
      1. Wählen Sie Ihr VPC-Netzwerk und Ihre Region aus.
      2. Verwenden Sie für Cloud VPN die statische IP-Adresse, die Sie zuvor in diesem Verfahren reserviert haben.
      3. Verwenden Sie einen Pre-shared key und einen Schlüsseltyp aus der AWS-Konfiguration, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      4. Wählen Sie die Routingoption Routenbasiert aus und fügen Sie zwei Tunnel hinzu. Verwenden Sie für das Feld IP-Bereich des Remote-Netzwerks jedes Tunnels eine IP-Adresse für die Konfigurationsoption für statische Routen aus den IP Sec Tunnel-Abschnitten der AWS-Konfigurationsdatei, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      5. Klicken Sie auf Erstellen.IP-Bereich des Remotenetzwerks

5. In der AWS RDS-Konsole:
   1. Wählen Sie eine Sicherheitsgruppe aus.
   2. Fügen Sie eingehende Firewallregeln hinzu, um alle Protokolle und Ports aus dem Cloud VPN zuzulassen.

Die VPN-Tunnel sollten in Kürze miteinander kommunizieren. Auf der AWS-Seite sind die Tunnelstatus im VPC-Dashboard UP. Auf GCP-Seite können Sie den Traffic zwischen den VPNs in der Cloud Logging-Konsole im Projekt Cloud VPN gateway ansehen.

Beispiel 2: AWS mit Google Cloud HA VPN mit dynamischen Routen

Auf AWS-Seite können Sie die ersten drei Schritte in Beispiel 1 ausführen. Wählen Sie jedoch unter Routingoptionen die Option Dynamisch anstelle von Statisch aus.

1. Wählen Sie in der Console Ihre Cloud SQL-VPC-Peering-Konfiguration aus und notieren Sie sich die Ziel-IP-Bereiche unter IMPORTIERTE ROUTEN. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.
2. Bearbeiten Sie dieses VPC-Peering, setzen Sie ein Häkchen bei Import Custom Routes und Export Custom Routes in den Details der VPC-Peering-Verbindung und klicken Sie auf SPEICHERN.

   Das Peering empfängt jetzt dynamische Routen aus Ihrer VPC, wie die Routen von BGP-Peers. Dadurch wird Traffic vom VPN zum verbundenen Netzwerk zugelassen. Cloud Router bewirbt diese Route jedoch noch nicht für andere Netzwerke. Dazu müssen Sie im Cloud Router benutzerdefinierte beworbene Routen hinzufügen, damit Ihre VPC die importierten Routen an andere Netzwerke bewirbt. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

3. Fügen Sie Ihren benutzerdefinierten IP-Bereich DESTINATION_IP_RANGE als benutzerdefinierte Route in der Cloud Router-Konfiguration hinzu, um Routen zu bewerben. BGP-Peering-Netzwerke empfangen jetzt Ankündigungen der importierten Cloud SQL-Netzwerkrouten, DESTINATION_IP_RANGE. Traffic in diesen VPN-verbundenen Netzwerken, der für die Cloud SQL-VPC mit Peering bestimmt ist, wird jetzt über den VPN-Tunnel weitergeleitet.
4. Routen in AWS-Routentabellen weitergeben. Die AWS-Routentabellen für die Subnetze, die Ihre Quelldatenbank enthalten, müssen einen Eintrag für den Bereich DESTINATION_IP_RANGE enthalten, der zum VPN Virtual Private Gateway weitergeleitet wird.
5. Fügen Sie eine Firewallregel für eingehenden Traffic für die Sicherheitsgruppe hinzu, um Traffic für DESTINATION_IP_RANGE TCP port 5432 zuzulassen. Jetzt kann eine Verbindung hergestellt werden.