Configurare la connettività utilizzando le VPN

Panoramica

Se il database di origine si trova all'interno di una VPN (ad esempio in AWS o nella tua VPN on-premise), devi utilizzare una VPN anche sul lato di destinazione per connetterti all'origine.

Esistono molti prodotti VPN che puoi utilizzare. I passaggi per configurare le VPN variano da un prodotto all'altro, ma sono tutti fondamentalmente simili. Questa sezione contiene esempi che utilizzano VPN AWS e Google Cloud .

Il firewall del server di database di origine deve essere configurato per consentire l'intero intervallo IP interno allocato per la connessione di servizio privato della rete VPC che verrà utilizzata dall'istanza di destinazione Cloud SQL.

Per trovare l'intervallo IP interno nella console:

1. Vai alla pagina Reti VPC nella console Google Cloud .

2. Seleziona la rete VPC che vuoi utilizzare.

3. Seleziona Accesso privato ai servizi > Intervalli IP allocati per i servizi.

4. Trova l'intervallo IP interno associato alla connessione creata da servicenetworking-googleapis-com.

Esempio 1: AWS con VPN classica Google Cloud con route statiche

Per una documentazione più completa e dettagliata, consulta i seguenti link:

• Sul lato AWS, configura una VPN site-to-site.
• Sul lato Google Cloud , crea una Cloud VPN utilizzando il routing statico.

Nel complesso, la sequenza di passaggi è la seguente:

1. In Google Cloud console > Reti VPC > Indirizzi IP esterni, prenota un indirizzo IP statico da utilizzare per Cloud VPN.
2. Nella console VPC AWS:
   1. Crea un gateway cliente.
   2. Crea un nuovo gateway privato virtuale o aggiungine uno esistente al VPC associato al tuo database.
   3. In Tabelle route aggiungi la propagazione delle route:
   4. Fai clic su Modifica, seleziona la casella di controllo Propaga e fai clic su Salva per aggiungere l'intervallo di indirizzi IP della tua rete VPC Google Cloud come intervallo di destinazione.
3. Nella console AWS VPC, crea la VPN:
   1. In Connessioni VPN, seleziona Connessioni VPN Site-to-Site.
   2. Seleziona Crea connessione VPN.
   3. Inserisci un nome per la connessione VPN.
   4. Per Virtual Private Gateway, seleziona il gateway privato che hai creato o selezionato in precedenza in questa procedura.
   5. Per Customer Gateway, seleziona il customer gateway che hai creato in precedenza in questa procedura.
   6. Per Opzioni di routing, seleziona Statico e specifica l'indirizzo IP statico che hai riservato per Cloud VPN come CIDR (aggiungi /32).
   7. Scarica la configurazione per salvare le impostazioni.
      1. Salva il file come Default.
      2. Individua le sezioni Tunnel IP Sec 1 e 2.
      3. Prendi nota della versione IKE e della chiave precondivisa per ogni tunnel.
      4. Prendi nota dell'indirizzo IP del Virtual Private Gateway per ogni tunnel.
      5. Prendi nota dell'indirizzo IP per l'opzione di configurazione della route statica per ogni tunnel.
4. In Google Cloud, crea una VPN classica mediante routing statico.
   1. In Google Cloud console > Connettività ibrida > VPN:
   2. Fai clic su Crea connessione VPN.
      1. Seleziona la rete VPC e la regione.
      2. Per Cloud VPN, utilizza l'indirizzo IP statico che hai prenotato in precedenza in questa procedura.
      3. Utilizza un Pre-shared key e un tipo di chiave della configurazione AWS scaricata in precedenza in questa procedura.
      4. Seleziona l'opzione di routing Basato su route e aggiungi due tunnel. Per ogni tunnel, utilizza un indirizzo IP per l'opzione di configurazione della route statica dal campo Intervallo IP di rete remota delle sezioni IP Sec Tunnel del file di configurazione AWS che hai scaricato in precedenza in questa procedura.
      5. Fai clic su Crea.Intervallo IP della rete remota

5. Nella console AWS RDS:
   1. Seleziona un gruppo di sicurezza.
   2. Aggiungi regole firewall in entrata per consentire tutti i protocolli e le porte dalla Cloud VPN.

I tunnel VPN dovrebbero iniziare a comunicare a breve. Sul lato AWS, nella dashboard VPC, gli stati dei tunnel sono UP. Sul lato GCP, visualizza il traffico tra le VPN nella console Cloud Logging nel progetto Cloud VPN gateway.

Esempio 2: AWS con VPN ad alta affidabilità Google Cloud con route dinamici

Sul lato AWS, puoi seguire i primi tre passaggi dell'esempio 1, tranne selezionare Dinamico anziché Statico in Opzioni di routing.

1. Seleziona la configurazione del peering VPC Cloud SQL nella console e prendi nota degli intervalli IP di destinazione in ROUTE IMPORTATE. Per saperne di più, consulta Importazione ed esportazione delle route personalizzate.
2. Modifica questo peering VPC e seleziona Import Custom Routes e Export Custom Routes nei dettagli della connessione di peering VPC e fai clic su SALVA.

   Il peering ora riceve route dinamiche dal tuo VPC come le route provenienti dai peer BGP. Ciò consente il traffico dalla VPN alla rete in peering. Tuttavia, il router Cloud non sta ancora pubblicizzando questa route ad altre reti. Per farlo, devi aggiungere route annunciate personalizzate nel router Cloud in modo che il tuo VPC annunci le route importate ad altre reti. Per saperne di più, consulta Importazione ed esportazione delle route personalizzate.

3. Aggiungi il tuo intervallo IP personalizzato DESTINATION_IP_RANGE come route personalizzata nelle route annunciate della configurazione del router Cloud. Le reti con peering BGP ora ricevono annunci delle route di rete Cloud SQL importate, DESTINATION_IP_RANGE. Il traffico su queste reti connesse alla VPN e destinate al VPC con peering Cloud SQL viene ora instradato tramite il tunnel VPN.
4. Consente la propagazione delle route nelle tabelle di route AWS. Assicurati che le tabelle di routing AWS per le subnet che contengono il database di origine contengano una voce per l'intervallo DESTINATION_IP_RANGE che indirizza al gateway VPN privato virtuale.
5. Aggiungi una regola in entrata del firewall del gruppo di sicurezza per consentire il traffico per DESTINATION_IP_RANGE TCP port 5432. Ora è possibile stabilire la connettività.