Verbindung über VPNs konfigurieren

Übersicht

Wenn sich Ihre Quelldatenbank in einem VPN befindet (z. B. in AWS oder in Ihrem lokalen VPN), müssen Sie auch auf der Zielseite ein VPN verwenden, um eine Verbindung zur Quelle herzustellen.

Es gibt viele VPN-Produkte, die Sie verwenden können. Die Schritte zur Konfiguration von VPNs unterscheiden sich von Produkt zu Produkt, sind aber im Grunde ähnlich. Dieser Abschnitt enthält Beispiele für die Verwendung von AWS und Google Cloud VPNs.

Die Firewall des Quelldatenbankservers muss so konfiguriert sein, dass sie den gesamten internen IP-Adressbereich zulässt, der für die private Dienstverbindung des VPC-Netzwerk zugewiesen ist, das die Cloud SQL-Zielinstanz als Feld privateNetwork ihrer ipConfiguration-Einstellungen verwendet.

So finden Sie den internen IP-Bereich in der Console:

1. Rufen Sie in der Console die Seite „VPC-Netzwerke“ auf. Google Cloud

2. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.

3. Wählen Sie Zugriff auf private Dienste > Diensten zugewiesene IP-Bereiche aus.

4. Suchen Sie den internen IP-Bereich, der mit der von servicenetworking-googleapis-com erstellten Verbindung verknüpft ist.

Beispiel 1: AWS mit Google Cloud Classic VPN mit statischen Routen

Eine ausführlichere Anleitung findest du unter den folgenden Links:

• Richten Sie auf der AWS-Seite ein Site-to-Site-VPN ein.
• Google Cloud Erstellen Sie ein Cloud-VPN mit statischem Routing.

Zusammenfassend sieht die Abfolge der Schritte so aus:

1. Reservieren Sie unter Google Cloud Console > VPC-Netzwerke > Externe IP-Adressen eine statische IP-Adresse für das Cloud-VPN.
2. In der AWS VPC-Konsole:
   1. Erstellen Sie ein Kunden-Gateway.
   2. Erstellen Sie ein neues virtuelles privates Gateway oder fügen Sie der VPC, die mit Ihrer Datenbank verknüpft ist, ein vorhandenes hinzu.
   3. Fügen Sie unter Routingtabellen die Weitergabe von Routen hinzu:
   4. Klicken Sie auf Bearbeiten, setzen Sie ein Häkchen in das Kästchen propagate (Verteilen) und klicken Sie auf Speichern, um den IP-Adressbereich Ihres Google Cloud VPC-Netzwerks als Zielbereich hinzuzufügen.
3. Erstellen Sie in der AWS VPC-Konsole das VPN:
   1. Wählen Sie unter VPN-Verbindungen die Option Site-to-Site-VPN-Verbindungen aus.
   2. Wählen Sie VPN-Verbindung erstellen aus.
   3. Geben Sie einen Namen für die VPN-Verbindung ein.
   4. Wählen Sie unter Virtuelles privates Gateway das private Gateway aus, das Sie zuvor in diesem Verfahren erstellt oder ausgewählt haben.
   5. Wählen Sie unter Kunden-Gateway das Kunden-Gateway aus, das Sie zuvor in diesem Verfahren erstellt haben.
   6. Wählen Sie unter Routing-Optionen die Option Statisch aus und geben Sie die statische IP-Adresse an, die Sie für das Cloud VPN reserviert haben, als CIDR-Bereich an (fügen Sie /32 hinzu).
   7. Laden Sie die Konfiguration herunter, um die Einstellungen zu speichern.
      1. Speichern Sie die Datei als Standard.
      2. Suchen Sie die Abschnitte IP‑Sec-Tunnel 1 und 2.
      3. Notieren Sie sich die IKE-Version und den vorinstallierten Schlüssel für jeden Tunnel.
      4. Notieren Sie sich die IP-Adresse für das virtuelle private Gateway für jeden Tunnel.
      5. Notieren Sie sich die IP-Adresse für die Option „Statische Routenkonfiguration“ für jeden Tunnel.
4. Erstellen Sie in Google Cloudein klassisches VPN mit statischem Routing.
   1. In der Google Cloud Console > Hybridkonnektivität > VPN:
   2. Klicken Sie auf VPN-Verbindung erstellen.
      1. Wählen Sie Ihr VPC-Netzwerk und Ihre Region aus.
      2. Verwenden Sie für das Cloud VPN die statische IP-Adresse, die Sie zuvor in diesem Verfahren reserviert haben.
      3. Verwenden Sie einen Pre-shared key und einen Schlüsseltyp aus der AWS-Konfiguration, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      4. Wählen Sie die Routingoption Routenbasiert aus und fügen Sie zwei Tunnel hinzu. Verwenden Sie für jedes Feld IP-Bereiche des Remote-Netzwerks des Tunnels eine IP-Adresse für die Option Statische Routenkonfiguration aus den Abschnitten IP Sec Tunnel der AWS-Konfigurationsdatei, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      5. Klicken Sie auf Erstellen.IP-Bereich des Remotenetzwerks

5. In der AWS RDS-Konsole:
   1. Wählen Sie eine Sicherheitsgruppe aus.
   2. Fügen Sie eingehende Firewallregeln hinzu, um alle Protokolle und Ports aus dem Cloud VPN zuzulassen.

Die VPN-Tunnel sollten bald miteinander kommunizieren. Auf der AWS-Seite haben die Tunnel im VPC-Dashboard den Status UP. Rufen Sie auf der GCP-Seite den Traffic zwischen den VPNs in der Cloud Logging-Konsole im Projekt Cloud VPN gateway auf.

Beispiel 2: AWS mit Google Cloud HA VPN mit dynamischen Routen

Auf der AWS-Seite können Sie die ersten drei Schritte in Beispiel 1 ausführen. Wählen Sie jedoch unter Routingoptionen die Option Dynamisch anstelle von Statisch aus.

1. Wählen Sie in der Konsole Ihre Cloud SQL-VPC-Peering-Konfiguration aus und notieren Sie sich die Ziel-IP-Bereiche unter IMPORTIERTE ROUTEN. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.
2. Bearbeiten Sie dieses VPC-Peering, setzen Sie in den VPC-Peering-Verbindungsdetails ein Häkchen bei Import Custom Routes und Export Custom Routes und klicken Sie auf SPEICHERN.

   Das Peering empfängt jetzt dynamische Routen von Ihrem VPC, genau wie die Routen von BGP-Peers. Dadurch wird Traffic vom VPN zum Peering-Netzwerk zugelassen. Cloud Router bietet diese Route jedoch noch nicht für andere Netzwerke an. Dazu müssen Sie benutzerdefinierte beworbene Routen im Cloud Router hinzufügen, damit Ihr VPC die importierten Routen für andere Netzwerke angibt. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

3. Fügen Sie den benutzerdefinierten IP-Bereich DESTINATION_IP_RANGE als benutzerdefinierte Route in die beworbenen Routen der Cloud Router-Konfiguration hinzu. BGP-Peering-Netzwerke erhalten jetzt Anzeigen für die importierten Cloud SQL-Netzwerkrouten, DESTINATION_IP_RANGE. Traffic in diesen VPN-verbundenen Netzwerken, der an das Cloud SQL-Peering-VPC gerichtet ist, wird jetzt über den VPN-Tunnel weitergeleitet.
4. Routen in AWS-Routingtabellen weitergeben lassen Die AWS-Routentabellen für die Subnetze, die Ihre Quelldatenbank enthalten, müssen einen Eintrag für den Bereich DESTINATION_IP_RANGE enthalten, der zum virtuellen privaten Gateway des VPN führt.
5. Fügen Sie eine Firewallregel für eingehenden Traffic für die Sicherheitsgruppe hinzu, um Traffic für DESTINATION_IP_RANGE TCP port 3306 zuzulassen. Die Verbindung kann jetzt hergestellt werden.