Verbindung über VPNs konfigurieren

Übersicht

Wenn sich Ihre Quelldatenbank in einem VPN befindet (z. B. in AWS oder Ihrem lokalen VPN), müssen Sie auch auf der Zielseite ein VPN verwenden, um eine Verbindung zur Quelle herzustellen.

Es gibt viele VPN-Produkte, die Sie verwenden können. Die Schritte zum Konfigurieren von VPNs variieren von Produkt zu Produkt, sind aber im Grunde ähnlich. Dieser Abschnitt enthält Beispiele für die Verwendung von AWS und Google Cloud VPNs.

Die Firewall des Quelldatenbankservers muss so konfiguriert sein, dass sie den gesamten internen IP-Bereich zulässt, der für die private Dienstverbindung des VPC-Netzwerks zugewiesen ist, das die AlloyDB-Zielinstanz verwenden wird.

So finden Sie den internen IP-Bereich in der Console:

1. Rufen Sie in der Console die Seite VPC-Netzwerke auf. Google Cloud

2. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.

3. Wählen Sie Zugriff auf private Dienste > Diensten zugewiesene IP-Bereiche aus.

4. Suchen Sie den internen IP-Bereich , der mit der von servicenetworking-googleapis-com erstellten Verbindung verknüpft ist.

Beispiel 1: AWS mit Google Cloud Klassisches VPN mit statischen Routen

Eine ausführlichere Schritt-für-Schritt-Anleitung finden Sie unter den folgenden Links:

• Richten Sie auf der AWS-Seite ein Site-to-Site-VPN ein.
• Erstellen Sie auf der Google Cloud Seite ein Cloud VPN mit statischem Routing.

Zusammengenommen sieht die gesamte Abfolge der Schritte so aus:

1. Reservieren Sie in der Google Cloud Console unter „VPC-Netzwerke“ > „Externe IP-Adressen“ eine statische IP-Adresse für das Cloud VPN.
2. In der AWS-VPC-Konsole:
   1. Erstellen Sie ein Kunden-Gateway.
   2. Erstellen Sie ein neues virtuelles privates Gateway oder fügen Sie ein vorhandenes der VPC hinzu, die mit Ihrer Datenbank verknüpft ist.
   3. Fügen Sie in Routentabellen die Routenweitergabe hinzu:
   4. Klicken Sie auf Bearbeiten, aktivieren Sie das Kästchen Weitergeben und klicken Sie auf Speichern, um den IP-Adressbereich Ihres Google Cloud VPC-Netzwerks als Zielbereich hinzuzufügen.
3. Erstellen Sie in der AWS-VPC-Konsole das VPN:
   1. Wählen Sie unter VPN-Verbindungen die Option Site-to-Site-VPN-Verbindungen aus.
   2. Wählen Sie VPN-Verbindung erstellen aus.
   3. Geben Sie einen Namen für die VPN-Verbindung ein.
   4. Wählen Sie unter Virtuelles privates Gateway das private Gateway aus, das Sie zuvor in dieser Anleitung erstellt oder ausgewählt haben.
   5. Wählen Sie unter Kunden-Gateway das Kunden-Gateway aus, das Sie zuvor in dieser Anleitung erstellt haben.
   6. Wählen Sie unter Routingoptionen die Option Statisch aus und geben Sie die statische IP Adresse an, die Sie für das Cloud VPN als CIDR reserviert haben (fügen Sie /32 hinzu).
   7. Laden Sie die Konfiguration herunter, um die Einstellungen zu speichern.
      1. Speichern Sie die Datei als Standard.
      2. Suchen Sie die Abschnitte IPSec-Tunnel 1 und 2.
      3. Notieren Sie sich die IKE-Version und den vorinstallierten Schlüssel für jeden Tunnel.
      4. Notieren Sie sich die IP-Adresse für das virtuelle private Gateway für jeden Tunnel.
      5. Notieren Sie sich die IP-Adresse für die Konfigurationsoption für statische Routen für jeden Tunnel.
4. Erstellen Sie in Google Cloudein Klassisches VPN mit statischem Routing.
   1. Rufen Sie in der Google Cloud Console „Hybridkonnektivität“ > „VPN“ auf:
   2. Klicken Sie auf VPN-Verbindung erstellen.
      1. Wählen Sie Ihr VPC-Netzwerk und Ihre Region aus.
      2. Verwenden Sie für das Cloud VPN die statische IP-Adresse, die Sie zuvor in dieser Anleitung reserviert haben.
      3. Verwenden Sie einen Pre-shared key und einen Schlüsseltyp aus der AWS Konfiguration, die Sie zuvor in dieser Anleitung heruntergeladen haben.
      4. Wählen Sie die Routingoption Routenbasiert aus und fügen Sie zwei Tunnel hinzu. Verwenden Sie für das Feld IP-Bereich des Remote-Netzwerks jedes Tunnels eine IP-Adresse für die Konfigurationsoption für statische Routen aus den IP Sec Tunnel Abschnitten der AWS-Konfigurationsdatei, die Sie zuvor in dieser Anleitung heruntergeladen haben.
      5. Klicken Sie auf Erstellen.IP-Bereich des Remote-Netzwerks

5. In der AWS-RDS-Konsole:
   1. Wählen Sie eine Sicherheitsgruppe aus.
   2. Fügen Sie Firewallregeln für eingehenden Traffic hinzu, um alle Protokolle und Ports aus dem Cloud VPN zuzulassen.

Die VPN-Tunnel sollten in Kürze miteinander kommunizieren. Auf der AWS-Seite ist der Tunnelstatus im VPC-Dashboard UP. Auf der Google Cloud Seite können Sie den Traffic zwischen den VPNs in der Cloud Logging Konsole im Cloud VPN gateway Projekt ansehen.

Beispiel 2: AWS mit Google Cloud HA VPN mit dynamischen Routen

Auf der AWS-Seite können Sie die ersten drei Schritte in Beispiel 1 ausführen. Wählen Sie jedoch unter Routingoptionen die Option Dynamisch anstelle von Statisch aus.

1. Wählen Sie in der Console Ihre AlloyDB-VPC-Peering-Konfiguration aus und notieren Sie sich unter IMPORTIERTE ROUTEN die Ziel-IP-Bereiche. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.
2. Bearbeiten Sie dieses VPC-Peering und aktivieren Sie Import Custom Routes und Export Custom Routes in den Details der VPC-Peering-Verbindung, und klicken Sie auf SPEICHERN.

   Das Peering empfängt jetzt dynamische Routen aus Ihrer VPC, wie die Routen von BGP-Peers. Dadurch wird Traffic vom VPN zum Peering-Netzwerk zugelassen. Cloud Router bewirbt diese Route jedoch noch nicht für andere Netzwerke. Dazu müssen Sie in Cloud Router benutzerdefinierte beworbene Routen hinzufügen, so dass Ihre VPC die importierten Routen für andere Netzwerke bewirbt. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

3. Fügen Sie Ihren benutzerdefinierten IP-Bereich DESTINATION_IP_RANGE als benutzerdefinierte Route in den beworbenen Routen der Cloud Router-Konfiguration hinzu. BGP-Peering-Netzwerke erhalten jetzt Anzeigen der importierten AlloyDB-Netzwerkrouten, DESTINATION_IP_RANGE. Traffic in diesen VPN-verbundenen Netzwerken, der für die AlloyDB-Peering-VPC bestimmt ist, wird jetzt über den VPN-Tunnel weitergeleitet.
4. Lassen Sie Routen in AWS-Routentabellen weitergeben. Achten Sie darauf, dass die AWS-Routentabellen für die Subnetze, die Ihre Quelldatenbank enthalten, einen Eintrag für den DESTINATION_IP_RANGE Bereich enthalten, der zum virtuellen privaten VPN- Gateway weiterleitet.
5. Fügen Sie eine Firewallregel für eingehenden Traffic für die Sicherheitsgruppe hinzu, um Traffic für DESTINATION_IP_RANGE TCP port 5432 zuzulassen. Jetzt kann eine Verbindung hergestellt werden.