Configurar la conectividad mediante VPNs

Información general

Si tu base de datos de origen está dentro de una VPN (en AWS, por ejemplo, o en tu VPN local), también debes usar una VPN en el destino para conectarte al origen.

Hay muchos productos de VPN que puedes usar. Los pasos para configurar una VPN varían de un producto a otro, pero todos son fundamentalmente similares. En esta sección se incluyen ejemplos con redes VPN de AWS y Google Cloud .

El cortafuegos del servidor de la base de datos de origen debe configurarse para permitir todo el intervalo de IPs internas asignado a la conexión de servicio privada de la red de VPC que va a usar la instancia de destino de Cloud SQL.

Para encontrar el intervalo de IP internas en la consola, sigue estos pasos:

1. Ve a la página Redes de VPC de la consola de Google Cloud .

2. Selecciona la red de VPC que quieras usar.

3. Selecciona Acceso a servicios privados > Intervalos de direcciones IP asignados para los servicios.

4. Busca el intervalo de IPs internas asociado a la conexión creada por servicenetworking-googleapis-com.

Ejemplo 1: AWS con VPN clásica de Google Cloud con rutas estáticas

Puedes consultar documentación más completa y detallada en los siguientes enlaces:

• En AWS, configura una VPN de sitio a sitio.
• En el lado de Google Cloud , crea una Cloud VPN mediante enrutamiento estático.

En conjunto, la secuencia general de pasos es la siguiente:

1. En la Google Cloud consola > Redes de VPC > Direcciones IP externas, reserva una dirección IP estática para usarla en Cloud VPN.
2. En la consola de VPC de AWS:
   1. Crea una pasarela de cliente.
   2. Crea una pasarela privada virtual o añade una que ya tengas a la VPC asociada a tu base de datos.
   3. En Tablas de rutas, añade la propagación de rutas:
   4. Haz clic en Editar, marca la casilla Propagar y haz clic en Guardar para añadir el intervalo de direcciones IP de tu red de VPC Google Cloud como intervalo de destino.
3. En la consola de VPC de AWS, crea la VPN:
   1. En Conexiones VPN, selecciona Conexiones VPN de sitio a sitio.
   2. Selecciona Crear conexión VPN.
   3. Introduce un nombre para la conexión VPN.
   4. En Virtual Private Gateway (Gateway privado virtual), selecciona el gateway privado que has creado o seleccionado anteriormente en este procedimiento.
   5. En Customer Gateway, selecciona la pasarela de cliente que has creado anteriormente en este procedimiento.
   6. En Opciones de enrutamiento, selecciona Estático y especifica la dirección IP estática que has reservado para Cloud VPN como CIDR (añade /32).
   7. Descarga la configuración para guardar los ajustes.
      1. Guarda el archivo como Default.
      2. Busca las secciones Túneles IP Sec 1 y 2.
      3. Anota la versión de IKE y la clave precompartida de cada túnel.
      4. Anota la dirección IP de la Virtual Private Gateway de cada túnel.
      5. Anota la dirección IP de la opción de configuración de ruta estática de cada túnel.
4. En Google Cloud, crea una VPN clásica mediante enrutamiento estático.
   1. En la Google Cloud consola > Conectividad híbrida > VPN:
   2. Haz clic en Crear conexión VPN.
      1. Selecciona tu red de VPC y tu región.
      2. En el caso de Cloud VPN, usa la dirección IP estática que has reservado anteriormente en este procedimiento.
      3. Usa un Pre-shared key y un tipo de clave de la configuración de AWS que has descargado anteriormente en este procedimiento.
      4. Selecciona la opción de enrutamiento Basado en rutas y añade dos túneles. En el campo Intervalo de IPs de red remota de cada túnel, usa una dirección IP de la opción Configuración de ruta estática de las secciones IP Sec Tunnel del archivo de configuración de AWS que has descargado anteriormente en este procedimiento.
      5. Haz clic en Crear.Intervalo de IP de red remota

5. En la consola de AWS RDS:
   1. Selecciona un grupo de seguridad.
   2. Añade reglas de cortafuegos de entrada para permitir todos los protocolos y puertos de Cloud VPN.

Los túneles VPN deberían empezar a comunicarse en breve. En el lado de AWS, en el panel de control de VPC, los estados de los túneles son UP. En GCP, consulta el tráfico entre las VPNs en la consola Cloud Logging del proyecto Cloud VPN gateway.

Ejemplo 2: AWS con una VPN de alta disponibilidad de Google Cloud con rutas dinámicas

En AWS, puede seguir los tres primeros pasos del ejemplo 1, excepto que debe seleccionar Dinámico en lugar de Estático en Opciones de enrutamiento.

1. Selecciona la configuración de emparejamiento de VPC de Cloud SQL en la consola y anota los intervalos de direcciones IP de destino en RUTAS IMPORTADAS. Para obtener más información, consulta el artículo Importar y exportar rutas personalizadas.
2. Edita este emparejamiento de VPCs y marca Import Custom Routes y Export Custom Routes en los detalles de la conexión de emparejamiento de VPCs. A continuación, haz clic en GUARDAR.

   El peering ahora recibe rutas dinámicas de tu VPC, como las rutas procedentes de peers de BGP. De esta forma, se permite el tráfico de la VPN a la red emparejada. Sin embargo, Cloud Router aún no anuncia esta ruta a otras redes. Para ello, debes añadir rutas anunciadas personalizadas en Cloud Router para que tu VPC anuncie las rutas importadas a otras redes. Para obtener más información, consulta el artículo Importar y exportar rutas personalizadas.

3. Añade tu DESTINATION_IP_RANGE intervalo de direcciones IP personalizadas como ruta personalizada en las rutas anunciadas de la configuración de Cloud Router. Las redes emparejadas por BGP ahora reciben anuncios de las rutas de red de Cloud SQL importadas, DESTINATION_IP_RANGE. El tráfico de esas redes conectadas por VPN con destino a la VPC emparejada de Cloud SQL ahora se enruta a través del túnel VPN.
4. Permite que las rutas se propaguen en las tablas de enrutamiento de AWS. Asegúrate de que las tablas de rutas de AWS de las subredes que contienen tu base de datos de origen tengan una entrada para el intervalo DESTINATION_IP_RANGE que se dirige a la pasarela privada virtual de la VPN.
5. Añade una regla de cortafuegos de entrada de grupo de seguridad para permitir el tráfico de DESTINATION_IP_RANGE TCP port 5432. Ahora se puede establecer la conectividad.