Configure a conetividade através de VPNs

Vista geral

Se a sua base de dados de origem estiver dentro de uma VPN (por exemplo, na AWS ou na sua VPN no local), também tem de usar uma VPN no lado de destino para estabelecer ligação à origem.

Existem muitos produtos de VPN que pode usar. Os passos para configurar VPNs variam de um produto para outro, mas são fundamentalmente semelhantes. Esta secção contém exemplos que usam VPNs da AWS e da Google Cloud .

A firewall do servidor da base de dados de origem tem de ser configurada para permitir todo o intervalo de IP interno atribuído para a ligação de serviço privado da rede VPC que a instância de destino do Cloud SQL vai usar como o campo privateNetwork das respetivas definições de ipConfiguration.

Para encontrar o intervalo de IPs internos na consola:

1. Aceda à página Redes VPC na Google Cloud consola.

2. Selecione a rede de VPC que quer usar.

3. Selecione Acesso a serviços privados > Intervalos de IP atribuídos para serviços.

4. Encontre o intervalo de IPs internos associado à ligação criada por servicenetworking-googleapis-com.

Exemplo 1: AWS com VPN clássica do Google Cloud com rotas estáticas

Encontre documentação passo a passo mais completa nos seguintes links:

• No lado da AWS, configure uma VPN site a site.
• No lado Google Cloud , crie uma VPN na nuvem com encaminhamento estático.

Em conjunto, a sequência geral de passos tem o seguinte aspeto:

1. Na Google Cloud consola > Redes VPC > Endereços IP externos, reserve um endereço IP estático para usar na Cloud VPN.
2. Na consola da VPC da AWS:
   1. Crie um gateway do cliente.
   2. Crie um novo gateway privado virtual ou adicione um existente à VPC associada à sua base de dados.
   3. Em Tabelas de rotas, adicione a propagação de rotas:
   4. Clique em Editar, selecione a caixa de verificação propagate e clique em Guardar para adicionar o intervalo de endereços IP da sua rede Google Cloud VPC como o intervalo de destino.
3. Na consola da VPC da AWS, crie a VPN:
   1. Em Ligações VPN, selecione Ligações VPN site a site.
   2. Selecione Criar ligação VPN.
   3. Introduza um nome para a ligação VPN.
   4. Para Virtual Private Gateway, selecione o gateway privado que criou ou selecionou anteriormente neste procedimento.
   5. Para o Customer Gateway, selecione o gateway do cliente que criou anteriormente neste procedimento.
   6. Para Opções de encaminhamento, selecione Estático e especifique o endereço IP estático que reservou para a VPN na nuvem como um CIDR (adicione /32).
   7. Transfira a configuração para guardar as definições.
      1. Guarde o ficheiro como Predefinição.
      2. Encontre as secções Túneis IP Sec n.º 1 e n.º 2.
      3. Tenha em atenção a versão do IKE e a chave pré-partilhada para cada túnel.
      4. Tome nota do endereço IP do Virtual Private Gateway para cada túnel.
      5. Tome nota do endereço IP da opção de configuração de rota estática para cada túnel.
4. Em Google Cloud, crie uma VPN clássica com encaminhamento estático.
   1. Na Google Cloud consola > Conetividade híbrida > VPN:
   2. Clique em Criar ligação VPN.
      1. Selecione a sua rede de VPC e região.
      2. Para a VPN do Google Cloud, use o endereço IP estático que reservou anteriormente neste procedimento.
      3. Use um Pre-shared key e um tipo de chave da configuração da AWS que transferiu anteriormente neste procedimento.
      4. Selecione a opção de encaminhamento Com base no trajeto e adicione dois túneis. Para o campo Intervalo de IPs da rede remota de cada túnel, use um endereço IP da opção de configuração de trajeto estático das secções IP Sec Tunnel do ficheiro de configuração da AWS que transferiu anteriormente neste procedimento.
      5. Clique em Criar.Intervalo de IPs da rede remota

5. Na consola do AWS RDS:
   1. Selecione um grupo de segurança.
   2. Adicione regras de firewall de entrada para permitir todos os protocolos e portas da VPN do Google Cloud.

Os túneis VPN devem começar a comunicar em breve. No lado da AWS, no painel de controlo da VPC, os estados dos túneis são UP. No lado do GCP, veja o tráfego entre as VPNs na consola do Cloud Logging no projeto Cloud VPN gateway.

Exemplo 2: AWS com VPN de alta disponibilidade do Google Cloud com rotas dinâmicas

No lado da AWS, pode seguir os três primeiros passos no Exemplo 1, exceto selecionar Dinâmico em vez de Estático em Opções de encaminhamento.

1. Selecione a configuração de interligação VPC do Cloud SQL na consola e tome nota dos intervalos de IP de destino em ROTAS IMPORTADAS. Para mais informações, consulte o artigo Importar e exportar rotas personalizadas.
2. Edite este intercâmbio de VPCs e selecione Import Custom Routes e Export Custom Routes nos detalhes da ligação de intercâmbio de VPCs, e clique em GUARDAR.

   O peering recebe agora rotas dinâmicas da sua VPC, como as rotas provenientes de pares BGP. Isto permite o tráfego da VPN para a rede com peering. No entanto, o Cloud Router ainda não está a anunciar esta rota a outras redes. Para tal, tem de adicionar rotas anunciadas personalizadas no Cloud Router para que a sua VPC anuncie as rotas importadas a outras redes. Para mais informações, consulte o artigo Importar e exportar rotas personalizadas.

3. Adicione o seu intervalo de IP personalizado DESTINATION_IP_RANGE como um trajeto personalizado nos trajetos anunciados da configuração do Cloud Router. As redes com peering de BGP estão agora a receber anúncios das rotas de rede do Cloud SQL importadas, DESTINATION_IP_RANGE. O tráfego nessas redes ligadas à VPN destinadas à VPC em peering do Cloud SQL é agora encaminhado através do túnel VPN.
4. Permitir que os trajetos sejam propagados nas tabelas de trajetos da AWS. Certifique-se de que as tabelas de rotas da AWS para as sub-redes que contêm a sua base de dados de origem contêm uma entrada para o intervalo DESTINATION_IP_RANGE que encaminha para o gateway privado virtual da VPN.
5. Adicione uma regra de entrada de firewall do grupo de segurança para permitir o tráfego para DESTINATION_IP_RANGE TCP port 3306. Já é possível estabelecer a conetividade.