使用 VPN 配置连接

概览

如果您的源数据库位于 VPN 内(例如在 AWS 中或您自己的本地 VPN 中),您还需要在目标端使用 VPN 才能连接到源。

您可以使用许多 VPN 产品。配置 VPN 的步骤因产品而异,但它们在本质上是相似的。本部分包含使用 AWS 和 VPN 的示例。 Google Cloud

如要在控制台中查找内部 IP 范围,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 VPC 网络页面。

  2. 选择要使用的 VPC 网络。

  3. 选择专用服务连接标签页。

示例 1:AWS 与使用静态路由的 Google Cloud 传统 VPN 搭配使用

如需查看更完整的分步文档,请访问以下链接:

总的来说,整个步骤序列如下所示:

  1. 在 Google Cloud 控制台 > VPC 网络 > 外部 IP 地址中,预留一个静态 IP 地址以供 Cloud VPN 使用。
  2. 在 AWS VPC 控制台中:
    1. 创建客户网关。
    2. 创建新的虚拟专用网关,或将现有虚拟专用网关添加到与数据库关联的 VPC。
    3. 路由表中,添加路由传播
    4. 点击修改,选中传播复选框,然后点击保存,将 Google Cloud VPC 网络的 IP 地址范围添加为目标范围。
  3. 在 AWS VPC 控制台中,创建 VPN:
    1. VPN 连接下,选择 站点到站点 VPN 连接
    2. 选择创建 VPN 连接
    3. 为 VPN 连接输入名称。
    4. 对于 Virtual Private Gateway(虚拟专用网关),请选择您在此过程中之前创建或选择的专用网关。
    5. 对于客户网关,选择您在此过程中前面创建的客户网关。
    6. 对于路由选项,选择静态,然后将您为 Cloud VPN 预留的静态 IP 地址指定为 CIDR(添加 /32)。
    7. 下载配置以保存设置。
      1. 将文件另存为默认
      2. 找到 IP Sec 隧道第 1 部分和第 2 部分。
      3. 记下每个隧道的 IKE 版本和预共享密钥
      4. 记下每个隧道的虚拟专用网关的 IP 地址。
      5. 记下每个隧道的“静态路由配置”选项的 IP 地址。
  4. 在 Google Cloud中,使用静态路由创建传统 VPN
    1. 在 Google Cloud 控制台中,依次选择“混合连接”>“VPN”:
    2. 点击创建 VPN 连接
      1. 选择您的 VPC 网络和区域。
      2. 对于 Cloud VPN,请使用您在此过程中之前预留的静态 IP 地址。
      3. 使用您在此过程中前面下载的 AWS 配置中的 Pre-shared key 和密钥类型。
      4. 选择基于路由路由选项,然后添加两个隧道;对于每个隧道的远程网络 IP 地址范围字段,请使用您在此过程中前面下载的 AWS 配置文件的 IP Sec Tunnel 部分中的静态路由配置选项对应的 IP 地址。
      5. 点击创建远程网络 IP 范围

VPN 隧道应该很快就会开始通信。在 AWS 端,VPC 信息中心中的隧道状态为 UP。在 GCP 端,在 Cloud VPN gateway 项目的 Cloud Logging 控制台中查看 VPN 之间的流量。

示例 2:AWS 与具有动态路由的 Google Cloud 高可用性 VPN

在 AWS 端,您可以按照示例 1 中的前 3 个步骤操作,但在路由选项下选择动态,而不是静态

  1. 修改此 VPC 对等互连,然后在 VPC 对等互连连接详情中选中 Import Custom RoutesExport Custom Routes,然后点击保存

    现在,对等互连会从您的 VPC 接收动态路由,就像从 BGP 对等端接收路由一样。这样,VPN 中的流量就可以流向对等网络。 不过,Cloud Router 尚未向其他网络通告此路由。 为此,您需要在 Cloud Router 中添加自定义通告路由,以便您的 VPC 向其他网络通告导入的路由。如需了解详情,请参阅导入和导出自定义路由

  2. 允许路由在 AWS 路由表中传播。确保包含来源数据库的子网的 AWS 路由表包含路由到 VPN 虚拟专用网关的 DESTINATION_IP_RANGE 范围条目。