Esta página foi traduzida pela API Cloud Translation.

Configurar a conectividade usando VPNs

MySQL | PostgreSQL | PostgreSQL para AlloyDB

Visão geral

Se o banco de dados de origem estiver em uma VPN (na AWS, por exemplo, ou na sua VPN local), também será necessário usar uma VPN no lado do destino para se conectar à origem.

Há muitos produtos de VPN que você pode usar. As etapas para configurar VPNs variam de um produto para outro, mas todas são basicamente semelhantes. Esta seção contém exemplos de uso de VPNs da AWS e do Google Cloud .

O firewall do servidor de banco de dados de origem precisa ser configurado para permitir todo o intervalo de IPs interno alocado para a conexão de serviço particular da rede VPC que a instância de destino do Cloud SQL vai usar.

Para encontrar o intervalo de IP interno no console:

Acesse a página "Redes VPC" no console do Google Cloud .
Selecione a rede VPC que você quer usar.

Selecione a guia CONEXÃO DE SERVIÇO PARTICULAR.

Exemplo 1: AWS com VPN clássica do Google Cloud e rotas estáticas

Confira a documentação completa e detalhada nos links a seguir:

No lado da AWS, configure uma VPN site a site.
No Google Cloud , crie uma VPN do Cloud usando o roteamento estático.

Juntando tudo, a sequência geral de etapas fica assim:

Em Google Cloud console > Redes VPC > Endereços IP externos, reserve um endereço IP estático para usar na Cloud VPN.
No console da AWS VPC:
1. Crie um gateway de cliente.
2. Crie um gateway particular virtual ou adicione um gateway existente à VPC associada ao seu banco de dados.
3. Em Tabelas de rotas, adicione a propagação de rotas:
4. Clique em Editar, marque a caixa de seleção propagar e Salvar para adicionar o intervalo de endereços IP da sua rede VPC do Google Cloud como o intervalo de destino.
No console da VPC da AWS, crie a VPN:
1. Em Conexões VPN, selecione Conexões VPN site a site.
2. Selecione Criar conexão VPN.
3. Digite um nome para a conexão VPN.
4. Em Gateway particular virtual, selecione o gateway particular que você criou ou selecionou anteriormente neste procedimento.
5. Em Customer Gateway, selecione o gateway do cliente que você criou anteriormente neste procedimento.
6. Em Opções de roteamento, selecione Estático e especifique o endereço IP estático que você reservou para a Cloud VPN como um CIDR (adicione /32).
7. Faça o download da configuração para salvar as definições.
  1. Salve o arquivo como Padrão.
  2. Encontre as seções Túneis de segurança IP 1 e 2.
  3. Anote a versão do IKE e a chave pré-compartilhada de cada túnel.
  4. Anote o endereço IP do gateway privado virtual para cada túnel.
  5. Anote o endereço IP da opção de configuração de rota estática para cada túnel.
No Google Cloud, crie uma VPN clássica usando roteamento estático.
1. No console do Google Cloud > Conectividade híbrida > VPN:
2. Clique em Criar uma conexão VPN.
  1. Selecione a rede VPC e a região.
  2. Para a Cloud VPN, use o endereço IP estático reservado anteriormente neste procedimento.
  3. Use um Pre-shared key e um tipo de chave da configuração da AWS que você fez o download anteriormente neste procedimento.
  4. Selecione a opção de roteamento Baseada em rotas e adicione dois túneis. Para cada campo Intervalo de IP de rede remota do túnel, use um endereço IP para a opção de configuração de rota estática nas seções IP Sec Tunnel do arquivo de configuração da AWS que você fez o download anteriormente neste procedimento.
  5. Clique em Criar.Intervalo de IP da rede remota

No console do AWS RDS:
1. Selecione um grupo de segurança.
2. Adicione regras de firewall de entrada para permitir todos os protocolos e portas da Cloud VPN.

Os túneis da VPN vão começar a se comunicar em breve. No painel da VPC, os status do túnel são UP. No GCP, confira o tráfego entre as VPNs no console do Cloud Logging no projeto Cloud VPN gateway.

Exemplo 2: AWS com VPN de alta disponibilidade do Google Cloud com rotas dinâmicas

Para usar o VPC Peering com uma VPN de alta disponibilidade (rotas dinâmicas) para a AWS, é necessário exportar rotas BGP para a VPC pareada do Cloud SQL e criar uma rota divulgada personalizada no Cloud Router para a rota importada da VPC pareada do Cloud SQL. Nesse ponto, o Cloud Router está anunciando rotas da AWS para a VPC do Cloud SQL e vice-versa. As regras de firewall em ambos os lados também precisam corresponder ao CIDR da rota de peering do Cloud SQL.

Na AWS, siga as três primeiras etapas do Exemplo 1, exceto selecione Dinâmico em vez de Estático em Opções de roteamento.

Selecione a configuração de peering da VPC do Cloud SQL no Console e anote os Intervalos de IP de destino em Rotas importadas. Para mais informações, consulte Como importar e exportar rotas personalizadas.
Edite esse peering de VPC e marque Import Custom Routes e Export Custom Routes nos detalhes da conexão de peering de VPC e clique em SALVAR.
O peering agora recebe rotas dinâmicas da VPC, como as rotas provenientes de pares BGP. Isso permite o tráfego da VPN para a rede pareada. No entanto, o Cloud Router ainda não está anunciando essa rota para outras redes. Para isso, adicione rotas divulgadas personalizadas no Cloud Router para que a VPC divulgue as rotas importadas para outras redes. Para mais informações, consulte Como importar e exportar rotas personalizadas.
Adicione o intervalo de IP personalizado DESTINATION_IP_RANGE como uma rota personalizada nas rotas anunciadas da configuração do Cloud Router. As redes BGP pareadas agora recebem anúncios das rotas de rede do Cloud SQL importadas, DESTINATION_IP_RANGE. O tráfego nessas redes conectadas por VPN destinadas à VPC pareada do Cloud SQL agora é roteado pelo túnel do VPN.
Permitir que as rotas sejam propagadas nas tabelas de rotas da AWS. Verifique se as tabelas de rotas da AWS para as sub-redes que contêm o banco de dados de origem têm uma entrada para o intervalo DESTINATION_IP_RANGE que encaminha para o gateway particular virtual da VPN.
Adicione uma regra de entrada de firewall do grupo de segurança para permitir o tráfego de DESTINATION_IP_RANGE TCP port 5432. Agora é possível estabelecer a conectividade.