Configurer la connectivité à l'aide de VPN

Présentation

Si votre base de données source se trouve dans un VPN (dans AWS, par exemple, ou dans votre VPN sur site), vous devez également utiliser un VPN côté destination pour vous connecter à la source.

Vous pouvez utiliser de nombreux produits VPN. Les étapes de configuration des VPN varient d'un produit à l'autre, mais elles sont toutes fondamentalement similaires. Cette section contient des exemples utilisant AWS et des Google Cloud VPN.

Le pare-feu du serveur de base de données source doit être configuré pour autoriser l'intégralité de la plage d'adresses IP internes allouée à la connexion de service privée du réseau VPC que l'instance de destination Cloud SQL utilisera.

Pour trouver la plage d'adresses IP internes dans la console, procédez comme suit :

1. Accédez à la page Réseaux VPC dans la Google Cloud console.

2. Sélectionnez le réseau VPC que vous souhaitez utiliser.

3. Sélectionnez Accès privé aux services > Plages d'adresses IP allouées pour les services.

4. Recherchez la plage d'adresses IP internes associée à la connexion créée par servicenetworking-googleapis-com.

Exemple 1 : AWS avec Google Cloud Classic VPN avec des routes statiques

Pour obtenir une documentation plus complète et détaillée, consultez les liens suivants :

• Côté AWS, configurez un VPN de site à site.
• Côté Google Cloud , créez un Cloud VPN à l'aide d'un routage statique.

La séquence globale des étapes se présente comme suit :

1. Dans la Google Cloud console > Réseaux VPC > Adresses IP externes, réservez une adresse IP statique à utiliser pour le Cloud VPN.
2. Dans la console AWS VPC :
   1. Créez une passerelle client.
   2. Créez une passerelle réseau privé virtuel ou ajoutez-en une existante au VPC associé à votre base de données.
   3. Dans Tables de routage , ajoutez la propagation de route :
   4. Cliquez sur Modifier, cochez la case Propager, puis cliquez sur Enregistrer pour ajouter la plage d'adresses IP de votre Google Cloud réseau VPC comme plage de destination.
3. Dans la console AWS VPC, créez le VPN :
   1. Sous Connexions VPN, sélectionnez Connexions VPN de site à site.
   2. Sélectionnez Créer une connexion VPN.
   3. Saisissez un nom pour la connexion VPN.
   4. Pour Passerelle réseau privé virtuel, sélectionnez la passerelle privée que vous avez créée ou sélectionnée précédemment dans cette procédure.
   5. Pour Passerelle client, sélectionnez la passerelle client que vous avez créée précédemment dans cette procédure.
   6. Pour Options de routage, sélectionnez Statique, puis spécifiez l'adresse IP statique que vous avez réservée pour le Cloud VPN au format CIDR (ajoutez /32).
   7. Téléchargez la configuration pour enregistrer les paramètres.
      1. Enregistrez le fichier sous le nom Default.
      2. Recherchez les sections IP Sec Tunnels (Tunnels IPsec) 1 et 2.
      3. Notez la version IKE et la clé pré-partagée pour chaque tunnel.
      4. Notez l'adresse IP de la passerelle réseau privé virtuel pour chaque tunnel.
      5. Notez l'adresse IP de l'option de configuration de route statique pour chaque tunnel.
4. Dans Google Cloud, créez un VPN classique à l'aide d'un routage statique.
   1. Dans la Google Cloud console > Connectivité hybride > VPN :
   2. Cliquez sur Créer une connexion VPN.
      1. Sélectionnez votre réseau VPC et votre région.
      2. Pour le Cloud VPN, utilisez l'adresse IP statique que vous avez réservée précédemment dans cette procédure.
      3. Utilisez un Pre-shared key et un type de clé issus de la configuration AWS que vous avez téléchargée précédemment dans cette procédure.
      4. Sélectionnez l'option de routage Basé sur le routage et ajoutez deux tunnels. Pour le champ Plage d'adresses IP du réseau distant de chaque tunnel, utilisez une adresse IP pour l'option de configuration de route statique des sections IP Sec Tunnel du fichier de configuration AWS que vous avez téléchargé précédemment dans cette procédure.
      5. Cliquez sur Créer.Plage d'adresses IP du réseau distant

5. Dans la console AWS RDS :
   1. Sélectionnez un groupe de sécurité.
   2. Ajoutez des règles de pare-feu entrantes pour autoriser tous les protocoles et ports du Cloud VPN.

Les tunnels VPN devraient commencer à communiquer sous peu. Côté AWS, dans le tableau de bord VPC, l'état des tunnels est UP. Côté GCP side, affichez le trafic entre les VPN dans la console Cloud Logging du Cloud VPN gateway projet.

Exemple 2 : AWS avec Google Cloud HA VPN avec des routes dynamiques

Côté AWS, vous pouvez suivre les trois premières étapes de l'exemple 1, sauf que vous devez sélectionner Dynamique au lieu de Statique sous Options de routage.

1. Sélectionnez votre configuration d'appairage VPC Cloud SQL dans la console et notez les plages d'adresses IP de destination sous ROUTES IMPORTÉES. Pour en savoir plus, consultez Importer et exporter des routes personnalisées.
2. Modifiez cet appairage VPC, cochez les cases Import Custom Routes et Export Custom Routes dans les détails de la connexion d'appairage VPC, puis cliquez sur ENREGISTRER.

   L'appairage reçoit désormais des routes dynamiques de votre VPC, comme les routes provenant de pairs BGP. Cela permet au trafic du VPN d'accéder au réseau appairé. Toutefois, Cloud Router n'annonce pas encore cette route à d'autres réseaux. Pour ce faire, vous devez ajouter des routes annoncées personnalisées dans Cloud Router afin que votre VPC annonce les routes importées à d'autres réseaux. Pour en savoir plus, consultez Importer et exporter des routes personnalisées.

3. Ajoutez votre DESTINATION_IP_RANGE plage d'adresses IP personnalisée en tant que route personnalisée dans les routes annoncées de la configuration Cloud Router. Les réseaux appairés BGP reçoivent désormais des annonces des routes réseau Cloud SQL importées, DESTINATION_IP_RANGE. Le trafic sur ces réseaux connectés au VPN et destinés au VPC appairé Cloud SQL est désormais acheminé via le tunnel VPN.
4. Autorisez la propagation des routes dans les tables de routage AWS. Assurez-vous que les tables de routage AWS pour les sous-réseaux contenant votre base de données source contiennent une entrée pour la plage DESTINATION_IP_RANGE qui achemine le trafic vers la passerelle réseau privé virtuel VPN.
5. Ajoutez une règle entrante de pare-feu de groupe de sécurité pour autoriser le trafic pour DESTINATION_IP_RANGE TCP port 5432. La connectivité peut désormais être établie.