Configurare la connettività utilizzando le VPN

Panoramica

Se il database di origine si trova all'interno di una VPN (ad esempio in AWS o nella tua VPN on-premise), devi utilizzare una VPN anche sul lato di destinazione per connetterti all'origine.

Esistono molti prodotti VPN che puoi utilizzare. I passaggi per configurare le VPN variano da un prodotto all'altro, ma sono tutti fondamentalmente simili. Questa sezione contiene esempi che utilizzano le VPN AWS e Google Cloud .

Il firewall del server di database di origine deve essere configurato in modo da consentire l'intero intervallo IP interno allocato per la connessione al servizio privato della rete VPC che l'istanza di destinazione Cloud SQL utilizzerà.

Per trovare l'intervallo IP interno nella console:

1. Vai alla pagina Reti VPC nella console Google Cloud .

2. Seleziona la rete VPC che vuoi utilizzare.

3. Seleziona la scheda CONNESSIONE A SERVIZI PRIVATI.

Esempio 1: AWS con VPN classica Google Cloud con route statiche

Per una documentazione dettagliata e completa, consulta i seguenti link:

• Sul lato AWS, configura una VPN site-to-site.
• In Google Cloud , crea una VPN Cloud utilizzando il routing statico.

Nel complesso, la sequenza generale dei passaggi è la seguente:

1. In Google Cloud console > Reti VPC > Indirizzi IP esterni, prenota un indirizzo IP statico da utilizzare per la Cloud VPN.
2. Nella console VPC AWS:
   1. Crea un gateway per i clienti.
   2. Crea un nuovo gateway privato virtuale o aggiungine uno esistente al VPC associato al tuo database.
   3. In Route Tables (Tabelle route), aggiungi la propagazione dei route:
   4. Fai clic su Modifica, seleziona la casella di controllo Propaga e Salva per aggiungere l'intervallo di indirizzi IP della tua rete VPC Google Cloud come intervallo di destinazione.
3. Nella console VPC AWS, crea la VPN:
   1. In Connessioni VPN, seleziona Connessioni VPN site-to-site.
   2. Seleziona Crea connessione VPN.
   3. Inserisci un nome per la connessione VPN.
   4. Per Virtual Private Gateway (Gateway privato virtuale), seleziona il gateway privato che hai creato o selezionato in precedenza in questa procedura.
   5. Per Customer Gateway (Gateway cliente), seleziona il gateway cliente che hai creato in precedenza in questa procedura.
   6. Per Opzioni di routing, seleziona Statico e specifica l'indirizzo IP statico che hai prenotato per la Cloud VPN come CIDR (aggiungi /32).
   7. Scarica la configurazione per salvare le impostazioni.
      1. Salva il file come Predefinito.
      2. Individua le sezioni IP Sec Tunnels 1 e 2.
      3. Prendi nota della versione IKE e della chiave precondivisa per ogni tunnel.
      4. Prendi nota dell'indirizzo IP del Virtual Private Gateway per ogni tunnel.
      5. Prendi nota dell'indirizzo IP per l'opzione di configurazione della route statica per ogni tunnel.
4. In Google Cloud, crea una VPN classica che utilizza il routing statico.
   1. In Google Cloud console > Connettività ibrida > VPN:
   2. Fai clic su Crea connessione VPN.
      1. Seleziona la rete VPC e la regione.
      2. Per Cloud VPN, utilizza l'indirizzo IP statico che hai prenotato in precedenza in questa procedura.
      3. Utilizza un Pre-shared key e un tipo di chiave dalla configurazione AWS scaricata in precedenza in questa procedura.
      4. Seleziona l'opzione di routing In base alla route e aggiungi due tunnel. Per ogni campo Intervallo IP rete remota del tunnel, utilizza un indirizzo IP per l'opzione di configurazione della route statica dalle sezioni IP Sec Tunnel del file di configurazione AWS scaricato in precedenza in questa procedura.
      5. Fai clic su Crea.Intervallo IP della rete remota

5. Nella console AWS RDS:
   1. Seleziona un gruppo di sicurezza.
   2. Aggiungi regole firewall in entrata per consentire tutti i protocolli e le porte della Cloud VPN.

I tunnel VPN dovrebbero iniziare a comunicare a breve. Sul lato AWS, nella dashboard VPC, gli stati dei tunnel sono UP. Sul lato GCP, visualizza il traffico tra le VPN nella console Cloud Logging del progetto Cloud VPN gateway.

Esempio 2: AWS con VPN ad alta disponibilità Google Cloud con route dinamici

Sul lato AWS, puoi seguire i primi tre passaggi dell'esempio 1, ma in Opzioni di routing seleziona Dinamico anziché Statico.

1. Seleziona la configurazione del peering VPC Cloud SQL nella console e prendi nota degli intervalli IP di destinazione in ROUTE IMPORTATE. Per ulteriori informazioni, vedi Importare ed esportare route personalizzate.
2. Modifica questo peering VPC e seleziona Import Custom Routes e Export Custom Routes nei dettagli della connessione del peering VPC, poi fai clic su SALVA.

   Il peering ora riceve route dinamiche dalla tua VPC, come quelle provenienti dai peer BGP. In questo modo, il traffico dalla VPN alla rete in peering è consentito. Tuttavia, il router Cloud non sta ancora pubblicizzando questa route ad altre reti. Per farlo, devi aggiungere route annunciate personalizzate nel router Cloud in modo che il VPC annunci le route importate ad altre reti. Per ulteriori informazioni, consulta Importare ed esportare route personalizzate.

3. Aggiungi il tuo intervallo IP personalizzato DESTINATION_IP_RANGE come route personalizzato nelle route annunciate nella configurazione del router Cloud. Le reti con peering BGP ora ricevono annunci dei percorsi di rete Cloud SQL importati, DESTINATION_IP_RANGE. Il traffico su queste reti collegate tramite VPN destinate alla VPC di Cloud SQL connessa in peer viene ora instradato tramite il tunnel VPN.
4. Consenti la propagazione delle route nelle tabelle delle route AWS. Assicurati che le tabelle di route AWS per le sottoreti che contengono il database di origine contengano una voce per l'intervallo DESTINATION_IP_RANGE che inoltra al gateway privato virtuale VPN.
5. Aggiungi una regola firewall in entrata del gruppo di sicurezza per consentire il traffico per DESTINATION_IP_RANGE TCP port 5432. Ora è possibile stabilire la connettività.