Configurer la connectivité à l'aide de VPN

Présentation

Si votre base de données source se trouve dans un VPN (dans AWS, par exemple, ou dans votre VPN sur site), vous devez également utiliser un VPN côté destination pour vous connecter à la source.

Il existe de nombreux produits VPN que vous pouvez utiliser. Les étapes de configuration des VPN varient d'un produit à l'autre, mais elles sont toutes fondamentalement similaires. Cette section contient des exemples d'utilisation des VPN AWS et Google Cloud .

Le pare-feu du serveur de base de données source doit être configuré pour autoriser l'intégralité de la plage d'adresses IP internes allouée à la connexion de service privée du réseau VPC que l'instance de destination Cloud SQL utilisera.

Pour trouver la plage d'adresses IP internes dans la console, procédez comme suit :

1. Accédez à la page "Réseaux VPC" dans la console Google Cloud .

2. Sélectionnez le réseau VPC que vous souhaitez utiliser.

3. Sélectionnez Accès aux services privés > Plages d'adresses IP allouées pour les services.

4. Recherchez la plage d'adresses IP internes associée à la connexion créée par servicenetworking-googleapis-com.

Exemple 1 : AWS avec Google Cloud VPN classique avec routes statiques

Pour obtenir une documentation plus complète et détaillée, consultez les liens suivants :

• Du côté AWS, configurez un VPN de site à site.
• Du côté de Google Cloud , créez un Cloud VPN à l'aide du routage statique.

En regroupant tout, la séquence globale d'étapes se présente comme suit :

1. Dans la console Google Cloud > Réseaux VPC > Adresses IP externes, réservez une adresse IP statique à utiliser pour Cloud VPN.
2. Dans la console AWS VPC :
   1. Créez une passerelle client.
   2. Créez une passerelle réseau privé virtuel ou ajoutez-en une existante au VPC associé à votre base de données.
   3. Dans Tables de routage, ajoutez la propagation de route :
   4. Cliquez sur Modifier, cochez la case Propager, puis cliquez sur Enregistrer pour ajouter la plage d'adresses IP de votre réseau VPC Google Cloud en tant que plage de destination.
3. Dans la console AWS VPC, créez le VPN :
   1. Sous Connexions VPN, sélectionnez Connexions VPN de site à site.
   2. Sélectionnez Créer une connexion VPN.
   3. Saisissez un nom pour la connexion VPN.
   4. Pour Passerelle réseau privé virtuel, sélectionnez la passerelle privée que vous avez créée ou sélectionnée précédemment dans cette procédure.
   5. Pour Passerelle client, sélectionnez la passerelle client que vous avez créée précédemment dans cette procédure.
   6. Pour Options de routage, sélectionnez Statique, puis spécifiez l'adresse IP statique que vous avez réservée pour Cloud VPN en tant que CIDR (ajoutez /32).
   7. Téléchargez la configuration pour enregistrer les paramètres.
      1. Enregistrez le fichier sous le nom Default.
      2. Recherchez les sections Tunnels IPsec 1 et 2.
      3. Notez la version IKE et la clé pré-partagée pour chaque tunnel.
      4. Notez l'adresse IP de la passerelle privée virtuelle pour chaque tunnel.
      5. Notez l'adresse IP de l'option de configuration de la route statique pour chaque tunnel.
4. Dans Google Cloud, créez un VPN classique à l'aide d'un routage statique.
   1. Dans la console Google Cloud > Connectivité hybride > VPN :
   2. Cliquez sur Créer une connexion VPN.
      1. Sélectionnez votre réseau VPC et votre région.
      2. Pour Cloud VPN, utilisez l'adresse IP statique que vous avez réservée précédemment dans cette procédure.
      3. Utilisez un Pre-shared key et un type de clé issus de la configuration AWS que vous avez téléchargée précédemment dans cette procédure.
      4. Sélectionnez l'option de routage Basé sur le routage et ajoutez deux tunnels. Pour le champ Plage d'adresses IP du réseau distant de chaque tunnel, utilisez une adresse IP pour l'option de configuration de route statique à partir des sections IP Sec Tunnel du fichier de configuration AWS que vous avez téléchargé précédemment dans cette procédure.
      5. Cliquez sur Créer.Plage d'adresses IP du réseau distant

5. Dans la console AWS RDS :
   1. Sélectionnez un groupe de sécurité.
   2. Ajoutez des règles de pare-feu d'entrée pour autoriser tous les protocoles et ports de Cloud VPN.

Les tunnels VPN devraient bientôt commencer à communiquer. Du côté AWS, dans le tableau de bord VPC, l'état des tunnels est UP. Du côté de GCP, affichez le trafic entre les VPN dans la console Cloud Logging du projet Cloud VPN gateway.

Exemple 2 : AWS avec un VPN haute disponibilité Google Cloud et des routes dynamiques

Du côté d'AWS, vous pouvez suivre les trois premières étapes de l'exemple 1, sauf que vous devez sélectionner Dynamic (Dynamique) au lieu de Static (Statique) sous Routing options (Options de routage).

1. Sélectionnez votre configuration Cloud SQL VPC Peering dans la console et notez les plages d'adresses IP de destination sous ROUTES IMPORTÉES. Pour en savoir plus, consultez Importer et exporter des routes personnalisées.
2. Modifiez cet appairage de VPC, cochez Import Custom Routes et Export Custom Routes dans les détails de la connexion d'appairage de VPC, puis cliquez sur ENREGISTRER.

   L'appairage reçoit désormais des routes dynamiques de votre VPC, comme celles provenant des pairs BGP. Cela permet au trafic du VPN d'accéder au réseau appairé. Toutefois, Cloud Router n'annonce pas encore cette route aux autres réseaux. Pour ce faire, vous devez ajouter des routes annoncées personnalisées dans le routeur Cloud Router afin que votre VPC annonce les routes importées aux autres réseaux. Pour en savoir plus, consultez Importer et exporter des routes personnalisées.

3. Ajoutez votre plage d'adresses IP personnalisée DESTINATION_IP_RANGE en tant que route personnalisée dans les routes annoncées de la configuration Cloud Router. Les réseaux appairés BGP reçoivent désormais des annonces concernant les routes réseau Cloud SQL importées, DESTINATION_IP_RANGE. Le trafic sur ces réseaux connectés au VPN et destiné au VPC appairé Cloud SQL est désormais acheminé via le tunnel VPN.
4. Autorisez la propagation des routes dans les tables de routage AWS. Assurez-vous que les tables de routage AWS pour les sous-réseaux contenant votre base de données source contiennent une entrée pour la plage DESTINATION_IP_RANGE qui est routée vers la passerelle réseau privé virtuel VPN.
5. Ajoutez une règle de pare-feu de groupe de sécurité pour autoriser le trafic pour DESTINATION_IP_RANGE TCP port 5432. La connectivité peut désormais être établie.