Configura la conectividad mediante VPN

Descripción general

Si la base de datos de origen está dentro de una VPN (en AWS, por ejemplo, o en tu VPN local), también debes usar una VPN en el lado de destino para conectarte a la fuente.

Hay muchos productos de VPN que puedes usar. Los pasos para configurar las VPN varían de un producto a otro, pero todos son básicamente similares. En esta sección, se incluyen ejemplos del uso de AWS y VPN. Google Cloud

El firewall del servidor de la base de datos de origen debe configurarse para permitir todo el rango de IP interna asignado a la conexión de servicio privada de la red de VPC que la instancia de destino de Cloud SQL usará como el campo privateNetwork de su configuración de ipConfiguration.

Para encontrar el rango de IP interna en la consola, sigue estos pasos:

1. Ve a la página Redes de VPC en la Google Cloud consola.

2. Selecciona la red de VPC que deseas usar.

3. Selecciona Acceso a servicios privados > Rangos de IP asignados para servicios.

4. Busca el rango de IP interna asociado con la conexión que creó servicenetworking-googleapis-com.

Ejemplo 1: AWS con VPN clásica de Google Cloud con rutas estáticas

Consulta la siguiente documentación para obtener información más completa y paso a paso:

• En el lado de AWS, configura una VPN de sitio a sitio.
• Por Google Cloud otro lado, crea una VPN de Cloud con enrutamiento estático.

En conjunto, la secuencia general de pasos se ve de la siguiente manera:

1. En Google Cloud consola > Redes de VPC > Direcciones IP externas, reserva una dirección IP estática para usar en la Cloud VPN.
2. En la consola de VPC de AWS, haz lo siguiente:
   1. Crea una puerta de enlace de cliente.
   2. Crea una puerta de enlace privada virtual nueva o agrega una existente a la VPC asociada con tu base de datos.
   3. En Tablas de rutas, agrega propagación de rutas:
   4. Haz clic en Editar, marca la casilla de verificación propagar y Guardar para añadir el rango de direcciones IP de tu Google Cloud red de VPC como el rango de destino.
3. En la consola de VPC de AWS, crea la VPN:
   1. En Conexiones de VPN, selecciona Conexiones de VPN de sitio a sitio.
   2. Selecciona Crear conexión de VPN.
   3. Ingresa un nombre para la conexión de VPN.
   4. En Puerta de enlace privada virtual, selecciona la puerta de enlace privada que creaste o seleccionaste antes en este procedimiento.
   5. En Puerta de enlace del cliente, selecciona la puerta de enlace del cliente que creaste antes en este procedimiento.
   6. En Opciones de enrutamiento, selecciona Estática y especifica la dirección IP estática que reservaste para la Cloud VPN como un CIDR (agrega /32).
   7. Descarga la configuración para guardarla.
      1. Guarda el archivo como Predeterminado.
      2. Busca las secciones IP Sec Tunnels n.° 1 y n.° 2.
      3. Anota la versión de IKE y la clave precompartida para cada túnel.
      4. Anota la dirección IP de la Puerta de enlace privada virtual para cada túnel.
      5. Anota la dirección IP de la opción de configuración de ruta estática para cada túnel.
4. En Google Cloud, crea una VPN clásica mediante el enrutamiento estático.
   1. En Google Cloud console > Hybrid Connectivity > VPN:
   2. Haz clic en Crear conexión de VPN.
      1. Selecciona tu red de VPC y región.
      2. Para Cloud VPN, usa la dirección IP estática que reservaste antes en este procedimiento.
      3. Usa un Pre-shared key y un tipo de clave de la configuración de AWS que descargaste antes en este procedimiento.
      4. Selecciona la opción de enrutamiento Basada en rutas y agrega dos túneles. Para cada campo Rango de IP de red remota del túnel, usa una dirección IP para la opción de configuración de ruta estática de las secciones IP Sec Tunnel del archivo de configuración de AWS que descargaste antes en este procedimiento.
      5. Haz clic en Crear.Rango de IP de la red remota

5. En la consola de AWS RDS, haz lo siguiente:
   1. Selecciona un grupo de seguridad.
   2. Agrega reglas de firewall entrantes para permitir todos los protocolos y puertos de la Cloud VPN.

Los túneles VPN deberían comenzar a comunicarse en breve. En el lado de AWS, en el panel de la VPC, los estados de los túneles son UP. En el lado de GCP, consulta el tráfico entre las VPN en la consola de Cloud Logging del proyecto Cloud VPN gateway.

Ejemplo 2: AWS con VPN con alta disponibilidad de Google Cloud con rutas dinámicas

En el lado de AWS, puedes seguir los primeros tres pasos del ejemplo 1, excepto que debes seleccionar Dinámico en lugar de Estático en Opciones de enrutamiento.

1. Selecciona la configuración de vinculación de VPC de Cloud SQL en la consola y toma nota de los rangos de IP de destino en RUTA IMPORTADA. Para obtener más información, consulta Importa y exporta rutas personalizadas.
2. Edita este intercambio de tráfico de VPC y marca Import Custom Routes y Export Custom Routes en los detalles de la conexión de intercambio de tráfico de VPC, y haz clic en GUARDAR.

   El intercambio de tráfico ahora recibe rutas dinámicas de tu VPC, como las rutas que provienen de pares de BGP. Esto permite el tráfico de la VPN a la red con intercambio de tráfico. Sin embargo, Cloud Router aún no anuncia esta ruta a otras redes. Para ello, debes agregar rutas personalizadas anunciadas en Cloud Router para que tu VPC anuncie las rutas importadas a otras redes. Para obtener más información, consulta Importa y exporta rutas personalizadas.

3. Agrega tu rango de IP personalizado DESTINATION_IP_RANGE como una ruta personalizada en las rutas anunciadas de la configuración de Cloud Router. Las redes de pares de BGP ahora reciben anuncios de las rutas de red de Cloud SQL importadas, DESTINATION_IP_RANGE. El tráfico de esas redes conectadas a VPN destinadas a la VPC de intercambio de tráfico de Cloud SQL ahora se enruta a través del túnel de VPN.
4. Permite que las rutas se propaguen en las tablas de rutas de AWS. Asegúrate de que las tablas de rutas de AWS para las subredes que contienen tu base de datos de origen contengan una entrada para el rango DESTINATION_IP_RANGE que enruta a la puerta de enlace privada virtual de la VPN.
5. Agrega una regla de firewall entrante del grupo de seguridad para permitir el tráfico de DESTINATION_IP_RANGE TCP port 3306. Ahora se puede establecer la conectividad.