Configurar a conectividade usando VPNs

Visão geral

Se o banco de dados de origem estiver dentro de uma VPN (por exemplo, na AWS ou na sua VPN local), você também precisará usar uma VPN no lado de destino para se conectar à origem.

Há muitos produtos de VPN que podem ser usados. As etapas para configurar VPNs variam de um produto para outro, mas todas são fundamentalmente semelhantes. Esta seção contém exemplos usando AWS e Google Cloud VPNs.

O firewall do servidor de banco de dados de origem precisa ser configurado para permitir todo o intervalo de IPs interno alocado para a conexão de serviço particular da rede VPC que a instância de destino do Cloud SQL vai usar.

Para encontrar o intervalo de IP interno no console do Google Cloud:

1. Acesse a página Redes VPC no Google Cloud console.

2. Selecione a rede VPC que você quer usar.

3. Selecione Acesso a serviços particulares > Intervalos de IP alocados para serviços.

4. Encontre o intervalo de IP interno associado à conexão criada por servicenetworking-googleapis-com.

Exemplo 1: AWS com VPN clássica do Google Cloud com rotas estáticas

Encontre documentação mais completa e detalhada nos links a seguir:

• No lado da AWS, configure uma VPN site a site.
• No Google Cloud lado, crie uma Cloud VPN usando roteamento estático.

A sequência geral de etapas é a seguinte:

1. Em Google Cloud console > Redes VPC > Endereços IP externos, reserve um endereço IP estático para usar na Cloud VPN.
2. No console da VPC da AWS:
   1. Crie um gateway de cliente.
   2. Crie um novo gateway particular virtual ou adicione um já existente à VPC associada ao seu banco de dados.
   3. Em Tabelas de rotas, adicione a propagação de rotas:
   4. Clique em Editar, marque a caixa de seleção Propagar e Salvar para adicionar o intervalo de endereços IP da sua Google Cloud rede VPC como o intervalo de destino.
3. No console da VPC da AWS, crie a VPN:
   1. Em Conexões VPN, selecione Conexões VPN site a site.
   2. Selecione Criar uma conexão VPN.
   3. Insira um nome para a conexão VPN.
   4. Em Gateway particular virtual, selecione o gateway particular que você criou ou selecionou anteriormente neste procedimento.
   5. Em Gateway de cliente, selecione o gateway de cliente que você criou anteriormente neste procedimento.
   6. Em Opções de roteamento, selecione Estático e especifique o endereço IP estático reservado para a Cloud VPN como um CIDR (adicione /32).
   7. Faça o download da configuração para salvar as configurações.
      1. Salve o arquivo como Padrão.
      2. Encontre as seções Túneis IP Sec nº 1 e nº 2.
      3. Anote a versão do IKE e a chave pré-compartilhada de cada túnel.
      4. Anote o endereço IP do gateway particular virtual de cada túnel.
      5. Anote o endereço IP da opção de configuração de rota estática de cada túnel.
4. Em Google Cloud, crie uma VPN clássica usando roteamento estático.
   1. Em Google Cloud console > Conectividade híbrida > VPN:
   2. Clique em Criar uma conexão VPN.
      1. Selecione a rede VPC e a região.
      2. Para a Cloud VPN, use o endereço IP estático reservado anteriormente neste procedimento.
      3. Use uma Pre-shared key e um tipo de chave da configuração da AWS que você baixou anteriormente neste procedimento.
      4. Selecione a opção de roteamento Baseado em rotas e adicione dois túneis. Para o campo Intervalo de IP de rede remota de cada túnel, use um endereço IP para a opção de configuração de rota estática das seções IP Sec Tunnel do arquivo de configuração da AWS que você baixou anteriormente neste procedimento.
      5. Clique em Criar.Intervalo de IP de rede remota

5. No console do AWS RDS:
   1. Selecione um grupo de segurança.
   2. Adicione regras de firewall de entrada para permitir todos os protocolos e portas da Cloud VPN.

Os túneis VPN vão começar a se comunicar em breve. No lado da AWS, no painel da VPC, os status dos túneis são UP. No lado do GCP, visualize o tráfego entre as VPNs no console do Cloud Logging no projeto Cloud VPN gateway.

Exemplo 2: AWS com VPN de alta disponibilidade do Google Cloud com rotas dinâmicas

No lado da AWS, siga as três primeiras etapas do Exemplo 1, exceto selecione Dinâmico em vez de Estático em Opções de roteamento.

1. Selecione a configuração de peering de VPC do Cloud SQL no console e anote os intervalos de IP de destino em ROTAS IMPORTADAS. Para mais informações, consulte Importar e exportar rotas personalizadas.
2. Edite esse peering de VPC e marque Import Custom Routes e Export Custom Routes nos detalhes da conexão de peering de VPC, e clique em SALVAR.

   O peering agora recebe rotas dinâmicas da sua VPC, como as rotas de pares BGP. Isso permite o tráfego da VPN para a rede com peering. No entanto, o Cloud Router ainda não está anunciando essa rota para outras redes. Para fazer isso, adicione rotas divulgadas personalizadas no Cloud Router para que sua VPC anuncie as rotas importadas para outras redes. Para mais informações, consulte Importar e exportar rotas personalizadas.

3. Adicione seu intervalo de IP personalizado DESTINATION_IP_RANGE como uma rota personalizada na configuração do Cloud Router rotas anunciadas. As redes com peering BGP agora estão recebendo anúncios das rotas de rede importadas do Cloud SQL, DESTINATION_IP_RANGE. O tráfego nessas redes conectadas à VPN vinculadas à VPC com peering do Cloud SQL agora é roteado pelo túnel VPN.
4. Permita que as rotas sejam propagadas nas tabelas de rotas da AWS. Verifique se as tabelas de rotas da AWS para as sub-redes que contêm o banco de dados de origem têm uma entrada para o DESTINATION_IP_RANGE intervalo que é roteado para o gateway particular virtual da VPN.
5. Adicione uma regra de entrada de firewall do grupo de segurança para permitir o tráfego para DESTINATION_IP_RANGE TCP port 5432. A conectividade agora pode ser estabelecida.