Cette page a été traduite par l'API Cloud Translation.

Configurer la connectivité à l'aide de VPN

MySQL | PostgreSQL | PostgreSQL vers AlloyDB

Présentation

Si votre base de données source se trouve dans un VPN (dans AWS, par exemple, ou dans votre VPN sur site), vous devez également utiliser un VPN côté destination pour vous connecter à la source.

Vous pouvez utiliser de nombreux produits VPN. La procédure de configuration des VPN varie d'un produit à l'autre, mais elles sont toutes fondamentalement similaires. Cette section contient des exemples utilisant les VPN AWS et Google Cloud .

Le pare-feu du serveur de base de données source doit être configuré pour autoriser l'intégralité de la plage d'adresses IP internes allouée à la connexion de service privée du réseau VPC que l'instance de destination Cloud SQL utilisera.

Pour trouver la plage d'adresses IP internes dans la console, procédez comme suit :

Accédez à la page "Réseaux VPC" dans la console Google Cloud .
Sélectionnez le réseau VPC que vous souhaitez utiliser.

Sélectionnez l'onglet CONNEXION AU SERVICE PRIVÉ.

Exemple 1: AWS avec VPN classique Google Cloud avec routes statiques

Pour obtenir une documentation plus complète et détaillée, consultez les liens suivants:

Côté AWS, configurez un VPN de site à site.
Côté Google Cloud , créez un VPN Cloud à l'aide du routage statique.

La séquence d'étapes globale se présente comme suit:

Dans la console Google Cloud > Réseaux VPC > Adresses IP externes, réservez une adresse IP statique à utiliser pour le Cloud VPN.
Dans la console VPC AWS :
1. Créez une passerelle client.
2. Créez une passerelle réseau privé virtuel ou ajoutez-en une existante au VPC associé à votre base de données.
3. Dans Tables de routage, ajoutez la propagation des routes:
4. Cliquez sur Modifier, cochez la case propagater, puis sur Enregistrer pour ajouter la plage d'adresses IP de votre réseau VPC Google Cloud en tant que plage de destination.
Dans la console VPC AWS, créez le VPN :
1. Sous Connexions VPN, sélectionnez Connexions VPN site à site.
2. Sélectionnez Créer une connexion VPN.
3. Saisissez un nom pour la connexion VPN.
4. Dans Passerelle réseau privé virtuel, sélectionnez la passerelle privée que vous avez créée ou sélectionnée précédemment dans cette procédure.
5. Pour Passerelle client, sélectionnez la passerelle client que vous avez créée précédemment dans cette procédure.
6. Pour Routing Options (Options de routage), sélectionnez Static (Statique), puis spécifiez l'adresse IP statique que vous avez réservée pour le Cloud VPN en tant que plage CIDR (ajoutez /32).
7. Téléchargez la configuration pour enregistrer les paramètres.
  1. Enregistrez le fichier sous le nom Default (Par défaut).
  2. Recherchez les sections Tunnels IP Sec 1 et 2.
  3. Notez la version IKE et la clé pré-partagée pour chaque tunnel.
  4. Notez l'adresse IP de la passerelle privée virtuelle pour chaque tunnel.
  5. Notez l'adresse IP de l'option de configuration de route statique pour chaque tunnel.
Dans Google Cloud, créez un VPN classique à l'aide du routage statique.
1. Dans la console Google Cloud > Connectivité hybride > VPN:
2. Cliquez sur Créer une connexion VPN.
  1. Sélectionnez votre réseau VPC et votre région.
  2. Pour Cloud VPN, utilisez l'adresse IP statique que vous avez réservée précédemment dans cette procédure.
  3. Utilisez un Pre-shared key et un type de clé issus de la configuration AWS que vous avez téléchargée précédemment dans cette procédure.
  4. Sélectionnez l'option de routage Basé sur le routage et ajoutez deux tunnels. Pour chaque champ Plage d'adresses IP du réseau distant du tunnel, utilisez une adresse IP pour l'option de configuration de route statique à partir des sections IP Sec Tunnel du fichier de configuration AWS que vous avez téléchargé précédemment dans cette procédure.
  5. Cliquez sur Créer.Plage d'adresses IP du réseau distant

Dans la console AWS RDS :
1. Sélectionnez un groupe de sécurité.
2. Ajoutez des règles de pare-feu entrant pour autoriser tous les protocoles et ports du Cloud VPN.

Les tunnels VPN devraient bientôt commencer à communiquer. Du côté AWS, dans le tableau de bord VPC, les états des tunnels sont UP. Côté GCP, affichez le trafic entre les VPN dans la console Cloud Logging du projet Cloud VPN gateway.

Exemple 2: AWS avec VPN haute disponibilité Google Cloud avec routes dynamiques

Pour obtenir un appairage VPC avec un VPN haute disponibilité (routes dynamiques) vers AWS, vous devez exporter des routes BGP vers le VPC appairé Cloud SQL et créer une route annoncée personnalisée dans Cloud Router pour la route importée du VPC appairé Cloud SQL. À ce stade, Cloud Router annonce les routes AWS vers le VPC Cloud SQL et inversement. Les règles de pare-feu des deux côtés doivent également correspondre au CIDR de la route d'appairage Cloud SQL.

Côté AWS, vous pouvez suivre les trois premières étapes de l'exemple 1, à l'exception de la sélection de Dynamic (Dynamique) au lieu de Static (Statique) sous Routing options (Options de routage).

Sélectionnez la configuration de mise en pairage VPC Cloud SQL dans la console et notez les plages d'adresses IP de destination sous ROUTES IMPORTÉES. Pour en savoir plus, consultez la section Importer et exporter des routes personnalisées.
Modifiez cet appairage de VPC, cochez Import Custom Routes et Export Custom Routes dans les détails de la connexion d'appairage de VPC, puis cliquez sur ENREGISTRER.
L'appairage reçoit désormais des routes dynamiques à partir de votre VPC, comme les routes provenant de pairs BGP. Cela permet le trafic du VPN vers le réseau appairé. Toutefois, Cloud Router n'annonce pas encore cette route aux autres réseaux. Pour ce faire, vous devez ajouter des routes annoncées personnalisées dans Cloud Router afin que votre VPC annonce les routes importées aux autres réseaux. Pour en savoir plus, consultez la section Importer et exporter des routes personnalisées.
Ajoutez votre plage d'adresses IP personnalisée DESTINATION_IP_RANGE en tant que route personnalisée dans les routes annoncées de la configuration Cloud Router. Les réseaux associés BGP reçoivent désormais des annonces des routes réseau Cloud SQL importées, DESTINATION_IP_RANGE. Le trafic sur ces réseaux connectés par VPN à destination du VPC associé Cloud SQL est désormais acheminé via le tunnel VPN.
Autorisez la propagation des routes dans les tables de routage AWS. Assurez-vous que les tables de routage AWS des sous-réseaux contenant votre base de données source contiennent une entrée pour la plage DESTINATION_IP_RANGE qui achemine vers la passerelle réseau privé virtuel VPN.
Ajoutez une règle de pare-feu entrante de groupe de sécurité pour autoriser le trafic pour DESTINATION_IP_RANGE TCP port 5432. La connectivité peut maintenant être établie.