使用 VPN 設定連線

總覽

如果來源資料庫位於 VPN 內 (例如 AWS 或地端部署 VPN)，您也必須在目的地端使用 VPN 連線至來源。

你可以使用許多 VPN 產品。設定 VPN 的步驟會因產品而異，但基本原理都差不多。本節包含使用 AWS 和 Google Cloud VPN 的範例。

您必須設定來源資料庫伺服器的防火牆，允許整個內部 IP 範圍，該範圍是為 私人服務連線所分配，Cloud SQL 目的地執行個體將使用該連線的虛擬私有雲網路。

如要在控制台中尋找內部 IP 範圍：

1. 在 Google Cloud 控制台中前往「VPC networks」(VPC 網路) 頁面。

2. 選取要使用的虛擬私有雲網路。

3. 依序選取「私人服務連線」>「分配的服務 IP 範圍」。

4. 找出與 servicenetworking-googleapis-com 建立的連線相關聯的內部 IP 範圍。

範例 1：AWS 與 Google Cloud 傳統版 VPN (含靜態路徑)

如需更完整的逐步操作說明文件，請參閱下列連結：

• 在 AWS 端，設定站對站 VPN。
• 在 Google Cloud 端，使用靜態轉送建立 Cloud VPN。

總而言之，整體步驟順序如下：

1. 在 Google Cloud 控制台 >「VPC Networks」(虛擬私有雲網路) >「External IP addresses」(外部 IP 位址) 中，保留靜態 IP 位址，用於 Cloud VPN。
2. 在 AWS 虛擬私有雲控制台中：
   1. 建立客戶閘道。
   2. 建立新的虛擬私有閘道，或將現有閘道新增至與資料庫相關聯的 VPC。
   3. 在「Routes Tables」(路徑資料表) 中新增路徑傳播：
   4. 按一下「編輯」，勾選「傳播」核取方塊，然後按一下「儲存」，將虛擬私有雲網路的 IP 位址範圍新增為目的地範圍。 Google Cloud
3. 在 AWS 虛擬私有雲控制台中建立 VPN：
   1. 在「VPN 連線」下方，選取「站對站 VPN 連線」。
   2. 選取「建立 VPN 連線」。
   3. 輸入 VPN 連線名稱。
   4. 在「Virtual Private Gateway」部分，選取您在本程序中建立或選取的私人閘道。
   5. 在「Customer Gateway」(客戶閘道) 部分，選取您在本程序中稍早建立的客戶閘道。
   6. 在「Routing Options」(轉送選項) 中選取「Static」(靜態)，然後指定您為 Cloud VPN 預留的靜態 IP 位址做為 CIDR (新增 /32)。
   7. 下載設定檔，儲存設定。
      1. 將檔案儲存為「Default」。
      2. 找出「IP Sec Tunnels」部分 #1 和 #2。
      3. 請記下每個通道的 IKE 版本和預先共用金鑰。
      4. 記下每個通道的虛擬私人閘道 IP 位址。
      5. 請記下每個通道的「靜態路由設定選項」IP 位址。
4. 在 Google Cloud中，使用靜態轉送建立傳統版 VPN。
   1. 在 Google Cloud 控制台 >「混合式連線」>「VPN」中：
   2. 按一下「建立 VPN 連線」。
      1. 選取虛擬私有雲網路和區域。
      2. 如果是 Cloud VPN，請使用您在本程序稍早保留的靜態 IP 位址。
      3. 使用您在本程序稍早下載的 AWS 設定中的 Pre-shared key 和金鑰類型。
      4. 選取「依據路徑」轉送選項，然後新增兩個通道；針對每個通道的「遠端網路 IP 範圍」欄位，請使用您在本程序稍早下載的 AWS 設定檔中，IP Sec Tunnel 部分的「靜態路徑設定選項」IP 位址。
      5. 按一下「建立」。遠端網路 IP 範圍

5. 在 AWS RDS 控制台中：
   1. 選取安全性群組。
   2. 新增傳入防火牆規則，允許來自 Cloud VPN 的所有通訊協定和通訊埠。

VPN 通道應很快就會開始通訊。在 AWS 端，VPC 資訊主頁中的通道狀態為 UP。在 GCP 端，前往 Cloud VPN gateway 專案的 Cloud Logging 控制台，查看 VPN 之間的流量。

範例 2：AWS 與 Google Cloud 高可用性 VPN (含動態路徑)

在 AWS 端，您可以按照「範例 1」的前三個步驟操作，但請在「Routing options」(轉送選項) 下選取「Dynamic」(動態)，而非「Static」(靜態)。

1. 在 控制台中選取 Cloud SQL 虛擬私有雲對接設定，並記下「IMPORTED ROUTES」(匯入的路由) 下的「Destination IP ranges」(目的地 IP 範圍)。詳情請參閱「匯入及匯出自訂路徑」。
2. 編輯這個 VPC 對等互連，並在 VPC 對等互連連線詳細資料中勾選 Import Custom Routes 和 Export Custom Routes，然後按一下「儲存」。

   對等互連現在會從虛擬私有雲接收動態路徑，就像來自 BGP 對等互連的路徑一樣。這樣一來，VPN 流量就能傳輸至對等互連網路。不過，Cloud Router 尚未向其他網路通告這條路徑。如要這麼做，您需要在 Cloud Router 中新增自訂通告路徑，讓 VPC 將匯入的路徑通告至其他網路。詳情請參閱「匯入及匯出自訂路徑」。

3. 在 Cloud Router 設定的通告路徑中，新增 DESTINATION_IP_RANGE 自訂 IP 範圍做為自訂路徑。BGP 對等互連網路現在會收到匯入的 Cloud SQL 網路路徑的通告，DESTINATION_IP_RANGE。現在，這些 VPN 連線網路中前往 Cloud SQL 對等互連 VPC 的流量，都會透過 VPN 通道轉送。
4. 允許在 AWS 路由表傳播路由。確認包含來源資料庫的子網路的 AWS 路由表，含有路由至 VPN 虛擬私有閘道的 DESTINATION_IP_RANGE 範圍項目。
5. 新增安全性群組防火牆連入規則，允許 DESTINATION_IP_RANGE TCP port 5432 的流量。現在可以建立連線。