Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת קישוריות באמצעות רשתות VPN

‫MySQL | PostgreSQL | PostgreSQL ל-AlloyDB

סקירה כללית

אם מסד הנתונים של המקור נמצא בתוך VPN (למשל ב-AWS או ב-VPN המקומי), צריך להשתמש ב-VPN גם בצד היעד כדי להתחבר למקור.

יש הרבה מוצרי VPN שאפשר להשתמש בהם. השלבים להגדרת VPN משתנים ממוצר למוצר, אבל כולם דומים במהותם. בקטע הזה מופיעות דוגמאות לשימוש ב-AWS וב- Google Cloud VPNs.

צריך להגדיר את חומת האש של שרת מסד הנתונים של המקור כך שתאפשר את כל טווח כתובות ה-IP הפנימיות שהוקצה לחיבור השירות הפרטי של רשת ה-VPC שבה מכונת היעד של Cloud SQL תשתמש.

כדי למצוא את טווח כתובות ה-IP הפנימיות במסוף:

נכנסים לדף VPC networks במסוף Google Cloud .
בוחרים את רשת ה-VPC שרוצים להשתמש בה.

בוחרים באפשרות גישה לשירותים פרטיים > הקצאת טווחי כתובות IP לשירותים.
מאתרים את טווח כתובות ה-IP הפנימיות שמשויך לחיבור שנוצר על ידי servicenetworking-googleapis-com.

דוגמה 1: AWS עם Google Cloud VPN קלאסי עם מסלולים סטטיים

בקישורים הבאים אפשר למצוא תיעוד מפורט יותר עם הוראות שלב אחר שלב:

בצד של AWS, מגדירים Site to Site VPN.
בצד Google Cloud , יוצרים Cloud VPN באמצעות ניתוב סטטי.

הסדר הכולל של השלבים נראה כך:

במסוף Google Cloud > VPC Networks > External IP addresses, שומרים כתובת IP חיצונית סטטית לשימוש ב-Cloud VPN.
במסוף AWS VPC:
1. יוצרים שער לקוחות.
2. יוצרים שער וירטואלי פרטי חדש או מוסיפים שער קיים ל-VPC שמשויך למסד הנתונים.
3. בקטע Routes Tables (טבלאות של נתיבים) מוסיפים route propagation (הפצה של נתיבים):
4. לוחצים על עריכה, מסמנים את תיבת הסימון הפצה ולוחצים על שמירה כדי להוסיף את טווח כתובות ה-IP של רשת ה-VPC שלכם כטווח היעד. Google Cloud
במסוף AWS VPC, יוצרים את ה-VPN:
1. בקטע VPN Connections (חיבורי VPN), בוחרים באפשרות Site-to-site VPN Connections (חיבורי VPN בין אתרים).
2. בוחרים באפשרות Create VPN Connection (יצירת חיבור VPN).
3. מזינים שם לחיבור ה-VPN.
4. בקטע Virtual Private Gateway, בוחרים את השער הפרטי שיצרתם או בחרתם קודם לכן בתהליך הזה.
5. בקטע Customer Gateway (שער לקוחות), בוחרים את שער הלקוחות שיצרתם בשלב מוקדם יותר בתהליך הזה.
6. בקטע אפשרויות ניתוב, בוחרים באפשרות סטטי ומציינים את כתובת ה-IP הסטטית שהזמנתם עבור Cloud VPN כ-CIDR (מוסיפים ‎ /32).
7. מורידים את ההגדרה כדי לשמור את ההגדרות.
  1. שומרים את הקובץ בשם Default.
  2. מאתרים את הקטעים IP Sec Tunnels #1 ו-2.
  3. שימו לב לגרסת IKE ולמפתח משותף מראש לכל מנהרה.
  4. שימו לב לכתובת ה-IP של Virtual Private Gateway לכל מנהרה.
  5. שימו לב לכתובת ה-IP של האפשרות Static Route Configuration לכל מנהרה.
ב- Google Cloud, יוצרים VPN קלאסי באמצעות ניתוב סטטי.
1. במסוף Google Cloud > Hybrid Connectivity > VPN:
2. לוחצים על יצירת חיבור VPN.
  1. בוחרים את רשת ה-VPC והאזור.
  2. ב-Cloud VPN, משתמשים בכתובת ה-IP הסטטית ששמרתם קודם לכן בהליך הזה.
  3. משתמשים בPre-shared key ובסוג המפתח מההגדרה של AWS שהורדתם קודם בתהליך הזה.
  4. בוחרים באפשרות הניתוב Route based (מבוסס נתיב) ומוסיפים שתי מנהרות. בשדה Remote network IP range (טווח כתובות ה-IP של הרשת המרוחקת) של כל מנהרה, משתמשים בכתובת IP של Static Route Configuration option (אפשרות הגדרת נתיב סטטי) מהקטעים IP Sec Tunnel של קובץ ההגדרות של AWS שהורדתם קודם לכן בתהליך הזה.
  5. לוחצים על יצירה.טווח כתובות IP של רשת מרוחקת

במסוף AWS RDS:
1. בוחרים קבוצת אבטחה.
2. מוסיפים כללי חומת אש לתעבורה נכנסת כדי לאפשר את כל הפרוטוקולים והיציאות מ-Cloud VPN.

מנהרות ה-VPN אמורות להתחיל לתקשר ביניהן תוך זמן קצר. בצד של AWS, בלוח הבקרה של VPC, סטטוסי המנהרות הם UP. בצד GCP, אפשר לראות את התעבורה בין רשתות ה-VPN במסוף Cloud Logging בפרויקט Cloud VPN gateway.

דוגמה 2: AWS עם HA VPN ב-Google Cloud עם מסלולים דינמיים

כדי להגדיר קישור בין רשתות שכנות של VPC עם HA VPN (ניתוב דינמי) ל-AWS, צריך לייצא מסלולי BGP ל-VPC המקושר של Cloud SQL וליצור מסלול מותאם אישית שמועבר ב-Cloud Router עבור המסלול המיובא של ה-VPC המקושר של Cloud SQL. בשלב הזה, Cloud Router מפרסם נתיבי AWS ל-VPC של Cloud SQL, ולהפך. כללי חומת האש בשני הצדדים צריכים להתאים גם ל-CIDR של נתיב הפירינג ב-Cloud SQL.

בצד של AWS, אפשר לפעול לפי שלושת השלבים הראשונים בדוגמה 1, אבל במקום לבחור באפשרות סטטי בקטע אפשרויות ניתוב, בוחרים באפשרות דינמי.

בוחרים את ההגדרה של Cloud SQL VPC Peering ב-Console ורושמים את Destination IP ranges (טווח כתובות ה-IP של היעד) בקטע IMPORTED ROUTES (מסלולים מיובאים). מידע נוסף זמין במאמר בנושא ייבוא וייצוא של נתיבים מותאמים אישית.
עורכים את הקישור בין רשתות ה-VPC, מסמנים את התיבות Import Custom Routes ו-Export Custom Routes בפרטי הקישור בין רשתות ה-VPC ולוחצים על שמירה.
ה-peering מקבל עכשיו מסלולים דינמיים מה-VPC שלכם, כמו המסלולים שמגיעים מ-BGP peers. כך מתאפשרת תנועה מרשת ה-VPN לרשת המקושרת. עם זאת, ה-Cloud Router עדיין לא מפרסם את הנתיב הזה לרשתות אחרות. כדי לעשות זאת, צריך להוסיף נתיבים מותאמים אישית לפרסום ב-Cloud Router, כדי שרשת ה-VPC תפרסם את הנתיבים המיובאים לרשתות אחרות. מידע נוסף זמין במאמר בנושא ייבוא וייצוא של נתיבים מותאמים אישית.
מוסיפים את DESTINATION_IP_RANGE טווח כתובות ה-IP המותאם אישית כנתיב מותאם אישית בהגדרות של Cloud Router, בנתיבים שמפורסמים. רשתות עם BGP peering מקבלות עכשיו פרסומים של מסלולי רשת מיובאים של Cloud SQL, ‏ DESTINATION_IP_RANGE. התנועה ברשתות האלה שמחוברות ל-VPN ומיועדת ל-VPC השכנה של Cloud SQL מנותבת עכשיו דרך מנהרת ה-VPN.
אפשר להפיץ מסלולים בטבלאות מסלולים של AWS. מוודאים שטבלאות הניתוב של AWS עבור רשתות המשנה שמכילות את מסד הנתונים של המקור כוללות רשומה לטווח DESTINATION_IP_RANGE שמנותב ל-VPN Virtual Private Gateway.
מוסיפים כלל נכנס לחומת האש של קבוצת האבטחה כדי לאפשר תעבורה עבור DESTINATION_IP_RANGE TCP port 5432. עכשיו אפשר ליצור קישוריות.

הגדרת קישוריות באמצעות רשתות VPN קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

סקירה כללית

דוגמה 1: AWS עם Google Cloud VPN קלאסי עם מסלולים סטטיים

דוגמה 2: AWS עם HA VPN ב-Google Cloud עם מסלולים דינמיים

הגדרת קישוריות באמצעות רשתות VPN