Configurar a conectividade usando VPNs

Visão geral

Se o banco de dados de origem estiver em uma VPN (na AWS, por exemplo, ou na sua VPN local), também será necessário usar uma VPN no lado do destino para se conectar à origem.

Há muitos produtos de VPN que você pode usar. As etapas para configurar VPNs variam de um produto para outro, mas todas são basicamente semelhantes. Esta seção contém exemplos de uso da AWS e de Google Cloud VPNs.

O firewall do servidor de banco de dados de origem precisa ser configurado para permitir todo o intervalo de IPs interno alocado para a conexão de serviço particular da rede VPC que a instância de destino do Cloud SQL vai usar como o campo privateNetwork das configurações de ipConfiguration.

Para encontrar o intervalo de IP interno no console:

1. Acesse a página "Redes VPC" no Google Cloud console.

2. Selecione a rede VPC que você quer usar.

3. Selecione Acesso a serviços particulares > Intervalos de IP alocados para serviços.

4. Encontre o intervalo de IP interno associado à conexão criada por servicenetworking-googleapis-com.

Exemplo 1: AWS com VPN clássica do Google Cloud e rotas estáticas

Confira a documentação completa e detalhada nos links a seguir:

• No lado da AWS, configure uma VPN site a site.
• No Google Cloud lado, crie uma VPN do Cloud usando o roteamento estático.

Juntando tudo, a sequência geral de etapas fica assim:

1. Em Google Cloud console > Redes VPC > Endereços IP externos, reserve um endereço IP estático para usar na Cloud VPN.
2. No console da AWS VPC:
   1. Crie um gateway de cliente.
   2. Crie um gateway particular virtual ou adicione um gateway à VPC associada ao seu banco de dados.
   3. Em Tabelas de rotas, adicione a propagação de rotas:
   4. Clique em Editar, marque a caixa de seleção propagar e Salvar para adicionar o intervalo de endereços IP da rede VPC Google Cloud como o intervalo de destino.
3. No console da VPC da AWS, crie a VPN:
   1. Em Conexões de VPN, selecione Conexões de VPN site a site.
   2. Selecione Criar conexão VPN.
   3. Digite um nome para a conexão VPN.
   4. Em Gateway particular virtual, selecione o gateway particular que você criou ou selecionou anteriormente neste procedimento.
   5. Em Customer Gateway, selecione o gateway do cliente que você criou anteriormente neste procedimento.
   6. Em Opções de roteamento, selecione Estático e especifique o endereço IP estático que você reservou para a Cloud VPN como um CIDR (adicione /32).
   7. Faça o download da configuração para salvar as definições.
      1. Salve o arquivo como Padrão.
      2. Encontre as seções Túneis de segurança IP 1 e 2.
      3. Anote a versão do IKE e a chave pré-compartilhada de cada túnel.
      4. Anote o endereço IP do gateway privado virtual para cada túnel.
      5. Anote o endereço IP da opção de configuração de rota estática para cada túnel.
4. Em Google Cloud, crie uma VPN clássica usando o roteamento estático.
   1. No Google Cloud console > Conectividade híbrida > VPN:
   2. Clique em Criar conexão VPN.
      1. Selecione a rede VPC e a região.
      2. Para a Cloud VPN, use o endereço IP estático que você reservou anteriormente neste procedimento.
      3. Use um Pre-shared key e um tipo de chave da configuração da AWS que você fez o download anteriormente neste procedimento.
      4. Selecione a opção de roteamento Baseado em rotas e adicione dois túneis. Para cada campo Intervalo de IP de rede remota do túnel, use um endereço IP para a opção de configuração de rota estática nas seções IP Sec Tunnel do arquivo de configuração da AWS que você fez o download anteriormente neste procedimento.
      5. Clique em Criar.Intervalo de IP da rede remota

5. No console do AWS RDS:
   1. Selecione um grupo de segurança.
   2. Adicione regras de firewall de entrada para permitir todos os protocolos e portas da Cloud VPN.

Os túneis da VPN vão começar a se comunicar em breve. No painel da VPC, os status do túnel são UP. No GCP, confira o tráfego entre as VPNs no console do Cloud Logging no projeto Cloud VPN gateway.

Exemplo 2: AWS com VPN de alta disponibilidade do Google Cloud com rotas dinâmicas

Na AWS, siga as três primeiras etapas do Exemplo 1, exceto selecione Dinâmico em vez de Estático em Opções de roteamento.

1. Selecione a configuração de peering da VPC do Cloud SQL no Console e anote os Intervalos de IP de destino em Rotas importadas. Para mais informações, consulte Como importar e exportar rotas personalizadas.
2. Edite esse peering de VPC e marque Import Custom Routes e Export Custom Routes nos detalhes da conexão de peering de VPC e clique em SALVAR.

   O peering agora recebe rotas dinâmicas da VPC, como as rotas provenientes de pares BGP. Isso permite o tráfego da VPN para a rede pareada. No entanto, o Cloud Router ainda não está divulgando essa rota para outras redes. Para isso, adicione rotas divulgadas personalizadas no Cloud Router para que a VPC divulgue as rotas importadas para outras redes. Para mais informações, consulte Como importar e exportar rotas personalizadas.

3. Adicione o intervalo IP personalizado DESTINATION_IP_RANGE como uma rota personalizada nas rotas anunciadas da configuração do Cloud Router. As redes BGP pareadas agora recebem anúncios das rotas de rede do Cloud SQL importadas, DESTINATION_IP_RANGE. O tráfego nessas redes conectadas por VPN destinadas à VPC pareada do Cloud SQL agora é roteado pelo túnel do VPN.
4. Permitir que as rotas sejam propagadas nas tabelas de rotas da AWS. Verifique se as tabelas de rotas da AWS para as sub-redes que contêm o banco de dados de origem têm uma entrada para o intervalo DESTINATION_IP_RANGE que encaminha para o gateway particular virtual da VPN.
5. Adicione uma regra de entrada de firewall do grupo de segurança para permitir o tráfego de DESTINATION_IP_RANGE TCP port 3306. Agora é possível estabelecer a conectividade.