Verbindung über VPNs konfigurieren

Übersicht

Wenn sich Ihre Quelldatenbank in einem VPN befindet (z. B. in AWS oder in Ihrem lokalen VPN), müssen Sie auch auf der Zielseite ein VPN verwenden, um eine Verbindung zur Quelle herzustellen.

Es gibt viele VPN-Produkte, die Sie verwenden können. Die Schritte zur Konfiguration von VPNs unterscheiden sich von Produkt zu Produkt, sind aber im Grunde ähnlich. Dieser Abschnitt enthält Beispiele für die Verwendung von AWS und Google Cloud VPNs.

So finden Sie den internen IP-Bereich in der Console:

1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

2. Wählen Sie das VPC-Netzwerk aus, das Sie verwenden möchten.

3. Wählen Sie den Tab PRIVATE DIENSTVERKNÜPFUNG aus.

Beispiel 1: AWS mit Google Cloud Classic VPN mit statischen Routen

Eine ausführlichere Anleitung findest du unter den folgenden Links:

• Richten Sie auf der AWS-Seite ein Site-to-Site-VPN ein.
• Google Cloud Erstellen Sie ein Cloud-VPN mit statischem Routing.

Zusammengenommen sieht die Abfolge der Schritte so aus:

1. Reservieren Sie unter „Google Cloud Console“ > „VPC-Netzwerke“ > „Externe IP-Adressen“ eine statische IP-Adresse für das Cloud-VPN.
2. In der AWS VPC-Konsole:
   1. Erstellen Sie ein Kunden-Gateway.
   2. Erstellen Sie ein neues virtuelles privates Gateway oder fügen Sie der VPC, die mit Ihrer Datenbank verknüpft ist, ein vorhandenes hinzu.
   3. Fügen Sie unter Routingtabellen die Weitergabe von Routen hinzu:
   4. Klicken Sie auf Bearbeiten, setzen Sie ein Häkchen in das Kästchen propagate (Verteilen) und klicken Sie auf Speichern, um den IP-Adressbereich Ihres Google Cloud VPC-Netzwerks als Zielbereich hinzuzufügen.
3. Erstellen Sie in der AWS VPC-Konsole das VPN:
   1. Wählen Sie unter VPN-Verbindungen die Option Site-to-Site-VPN-Verbindungen aus.
   2. Wählen Sie VPN-Verbindung erstellen aus.
   3. Geben Sie einen Namen für die VPN-Verbindung ein.
   4. Wählen Sie unter Virtuelles privates Gateway das private Gateway aus, das Sie zuvor in diesem Verfahren erstellt oder ausgewählt haben.
   5. Wählen Sie unter Kunden-Gateway das Kunden-Gateway aus, das Sie zuvor in diesem Verfahren erstellt haben.
   6. Wählen Sie unter Routing-Optionen die Option Statisch aus und geben Sie die statische IP-Adresse an, die Sie für das Cloud VPN reserviert haben, als CIDR-Bereich an (fügen Sie /32 hinzu).
   7. Laden Sie die Konfiguration herunter, um die Einstellungen zu speichern.
      1. Speichern Sie die Datei als Standard.
      2. Suchen Sie die Abschnitte IP‑Sec-Tunnel 1 und 2.
      3. Notieren Sie sich die IKE-Version und den vorinstallierten Schlüssel für jeden Tunnel.
      4. Notieren Sie sich die IP-Adresse für das virtuelle private Gateway für jeden Tunnel.
      5. Notieren Sie sich die IP-Adresse für die Option „Statische Routenkonfiguration“ für jeden Tunnel.
4. Erstellen Sie in Google Cloudein klassisches VPN mit statischem Routing.
   1. In der Google Cloud Console > „Hybridkonnektivität“ > „VPN“:
   2. Klicken Sie auf VPN-Verbindung erstellen.
      1. Wählen Sie Ihr VPC-Netzwerk und Ihre Region aus.
      2. Verwenden Sie für das Cloud VPN die statische IP-Adresse, die Sie zuvor in diesem Verfahren reserviert haben.
      3. Verwenden Sie einen Pre-shared key und einen Schlüsseltyp aus der AWS-Konfiguration, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      4. Wählen Sie die Routingoption Routenbasiert aus und fügen Sie zwei Tunnel hinzu. Verwenden Sie für jedes Feld IP-Bereiche des Remote-Netzwerks des Tunnels eine IP-Adresse für die Option Statische Routenkonfiguration aus den IP Sec Tunnel-Abschnitten der AWS-Konfigurationsdatei, die Sie zuvor in diesem Verfahren heruntergeladen haben.
      5. Klicken Sie auf Erstellen.IP-Bereich für Remotenetzwerk

Die VPN-Tunnel sollten bald miteinander kommunizieren. Auf der AWS-Seite haben die Tunnel im VPC-Dashboard den Status UP. Rufen Sie auf der GCP-Seite den Traffic zwischen den VPNs in der Cloud Logging-Konsole im Projekt Cloud VPN gateway auf.

Beispiel 2: AWS mit Google Cloud HA VPN mit dynamischen Routen

Auf der AWS-Seite können Sie die ersten drei Schritte in Beispiel 1 ausführen. Wählen Sie jedoch unter Routingoptionen die Option Dynamisch anstelle von Statisch aus.

1. Bearbeiten Sie dieses VPC-Peering, setzen Sie in den VPC-Peering-Verbindungsdetails ein Häkchen bei Import Custom Routes und Export Custom Routes und klicken Sie auf SPEICHERN.

   Das Peering empfängt jetzt dynamische Routen von Ihrem VPC, genau wie die Routen von BGP-Peers. Dadurch wird Traffic vom VPN zum Peering-Netzwerk zugelassen. Cloud Router bietet diese Route jedoch noch nicht für andere Netzwerke an. Dazu müssen Sie benutzerdefinierte beworbene Routen im Cloud Router hinzufügen, damit Ihr VPC die importierten Routen für andere Netzwerke angibt. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

2. Routen in AWS-Routingtabellen weitergeben lassen Die AWS-Routentabellen für die Subnetze, die Ihre Quelldatenbank enthalten, müssen einen Eintrag für den Bereich DESTINATION_IP_RANGE enthalten, der zum virtuellen privaten Gateway des VPN führt.