Configura la conectividad mediante VPN

Descripción general

Si tu base de datos de origen está dentro de una VPN (por ejemplo, en AWS o en tu VPN local), también debes usar una VPN en el lado del destino para conectarte al origen.

Hay muchos productos de VPN que puedes usar. Los pasos para configurar VPNs varían de un producto a otro, pero todos son fundamentalmente similares. En esta sección, se incluyen ejemplos con VPNs de AWS y Google Cloud .

El firewall del servidor de la base de datos de origen debe configurarse para permitir todo el rango de IP interna asignado a la conexión de servicio privada de la red de VPC que usará la instancia de destino de Cloud SQL.

Para encontrar el rango de IP interna en la consola, sigue estos pasos:

1. Ve a la página Redes de VPC en la consola de Google Cloud .

2. Selecciona la red de VPC que deseas usar.

3. Selecciona Acceso privado a servicios > Rangos de IP asignados para servicios.

4. Busca el rango de IP interna asociado con la conexión creada por servicenetworking-googleapis-com.

Ejemplo 1: AWS con una VPN clásica de Google Cloud con rutas estáticas

En los siguientes vínculos, encontrarás documentación más completa paso a paso:

• En el lado de AWS, configura una VPN de sitio a sitio.
• En el lado de Google Cloud , crea una VPN de Cloud con enrutamiento estático.

En conjunto, la secuencia general de pasos se ve de la siguiente manera:

1. En Google Cloud consola > Redes de VPC > Direcciones IP externas, reserva una dirección IP estática para usarla en la Cloud VPN.
2. En la consola de VPC de AWS, haz lo siguiente:
   1. Crea una puerta de enlace del cliente.
   2. Crea una puerta de enlace privada virtual nueva o agrega una existente a la VPC asociada con tu base de datos.
   3. En Tablas de rutas, agrega la propagación de rutas:
   4. Haz clic en Editar, marca la casilla de verificación Propagar y haz clic en Guardar para agregar el rango de direcciones IP de tu red de VPC Google Cloud como el rango de destino.
3. En la consola de VPC de AWS, crea la VPN:
   1. En Conexiones de VPN, selecciona Conexiones de VPN de sitio a sitio.
   2. Selecciona Crear conexión de VPN.
   3. Ingresa un nombre para la conexión de VPN.
   4. En Puerta de enlace privada virtual, selecciona la puerta de enlace privada que creaste o seleccionaste anteriormente en este procedimiento.
   5. En Puerta de enlace del cliente, selecciona la puerta de enlace del cliente que creaste anteriormente en este procedimiento.
   6. En Opciones de enrutamiento, selecciona Estático y especifica la dirección IP estática que reservaste para la Cloud VPN como un CIDR (agrega /32).
   7. Descarga la configuración para guardar los parámetros.
      1. Guarda el archivo como Default.
      2. Busca las secciones IP Sec Tunnels núm. 1 y núm. 2.
      3. Anota la versión de IKE y la clave precompartida para cada túnel.
      4. Anota la dirección IP de la puerta de enlace privada virtual para cada túnel.
      5. Anota la dirección IP de la opción de configuración de ruta estática para cada túnel.
4. En Google Cloud, crea una VPN clásica con enrutamiento estático.
   1. En Google Cloud consola > Conectividad híbrida > VPN:
   2. Haz clic en Crear conexión de VPN.
      1. Selecciona tu red de VPC y tu región.
      2. Para Cloud VPN, usa la dirección IP estática que reservaste antes en este procedimiento.
      3. Usa un Pre-shared key y un tipo de clave de la configuración de AWS que descargaste anteriormente en este procedimiento.
      4. Selecciona la opción de enrutamiento Basada en rutas y agrega dos túneles. Para el campo Rango de IP de red remota de cada túnel, usa una dirección IP para la opción Configuración de ruta estática de las secciones IP Sec Tunnel del archivo de configuración de AWS que descargaste anteriormente en este procedimiento.
      5. Haz clic en Crear.Rango de IP de la red remota

5. En la consola de AWS RDS, haz lo siguiente:
   1. Selecciona un grupo de seguridad.
   2. Agrega reglas de firewall de entrada para permitir todos los protocolos y puertos de Cloud VPN.

Los túneles VPN deberían comenzar a comunicarse en breve. En el lado de AWS, en el panel de VPC, los estados de los túneles son UP. En el lado de GCP, consulta el tráfico entre las VPNs en la consola de Cloud Logging en el proyecto Cloud VPN gateway.

Ejemplo 2: AWS con VPN con alta disponibilidad de Google Cloud y rutas dinámicas

En el lado de AWS, puedes seguir los tres primeros pasos del Ejemplo 1, excepto que debes seleccionar Dinámico en lugar de Estático en Opciones de enrutamiento.

1. Selecciona la configuración de VPC Peering de Cloud SQL en la consola y anota los rangos de IP de destino en RUTAS IMPORTADAS. Para obtener más información, consulta Importa y exporta rutas personalizadas.
2. Edita este intercambio de tráfico de VPC y marca Import Custom Routes y Export Custom Routes en los detalles de la conexión de intercambio de tráfico de VPC, y haz clic en SAVE.

   El intercambio de tráfico ahora recibe rutas dinámicas de tu VPC, como las rutas que provienen de pares de BGP. Esto permite el tráfico de la VPN a la red con intercambio de tráfico. Sin embargo, Cloud Router aún no anuncia esta ruta a otras redes. Para ello, debes agregar rutas personalizadas anunciadas en Cloud Router para que tu VPC anuncie las rutas importadas a otras redes. Para obtener más información, consulta Importa y exporta rutas personalizadas.

3. Agrega tu rango de IP personalizado DESTINATION_IP_RANGE como una ruta personalizada en las rutas anunciadas de la configuración de Cloud Router. Las redes con intercambio de tráfico BGP ahora reciben anuncios de las rutas de red de Cloud SQL importadas, DESTINATION_IP_RANGE. El tráfico en esas redes conectadas por VPN con destino a la VPC con intercambio de tráfico de Cloud SQL ahora se enruta a través del túnel de VPN.
4. Permite que las rutas se propaguen en las tablas de rutas de AWS. Asegúrate de que las tablas de rutas de AWS para las subredes que contienen tu base de datos de origen incluyan una entrada para el rango DESTINATION_IP_RANGE que se dirige a la puerta de enlace privada virtual de VPN.
5. Agrega una regla de entrada de firewall del grupo de seguridad para permitir el tráfico de DESTINATION_IP_RANGE TCP port 5432. Ahora se puede establecer la conectividad.