Configurare la connettività utilizzando le VPN

Panoramica

Se il database di origine si trova all'interno di una VPN (ad esempio in AWS o nella tua VPN on-premise), devi utilizzare una VPN anche sul lato di destinazione per connetterti all'origine.

Esistono molti prodotti VPN che puoi utilizzare. I passaggi per configurare le VPN variano da un prodotto all'altro, ma sono tutti fondamentalmente simili. Questa sezione contiene esempi che utilizzano AWS e VPN. Google Cloud

Il firewall del server di database di origine deve essere configurato in modo da consentire l'intero intervallo IP interno allocato per la connessione al servizio privato della rete VPC che verrà utilizzata dall'istanza di destinazione AlloyDB.

Per trovare l'intervallo IP interno nella console:

1. Vai alla pagina Reti VPC nella Google Cloud console.

2. Seleziona la rete VPC che vuoi utilizzare.

3. Seleziona Accesso ai servizi privati > Intervalli IP allocati per i servizi.

4. Individua l'intervallo IP interno associato alla connessione creata da servicenetworking-googleapis-com.

Esempio 1: AWS con VPN classica Google Cloud con route statiche

Per una documentazione dettagliata e completa, consulta i seguenti link:

• Sul lato AWS, configura una VPN site-to-site.
• Google Cloud Inoltre, crea una VPN Cloud utilizzando il routing statico.

Nel complesso, la sequenza generale dei passaggi è la seguente:

1. In Google Cloud console > Reti VPC > Indirizzi IP esterni, prenota un indirizzo IP statico da utilizzare per la Cloud VPN.
2. Nella console VPC AWS:
   1. Crea un gateway per i clienti.
   2. Crea un nuovo gateway privato virtuale o aggiungine uno esistente al VPC associato al tuo database.
   3. In Route Tables (Tabelle route), aggiungi la propagazione dei route:
   4. Fai clic su Modifica, seleziona la casella di controllo Propaga e fai clic su Salva per aggiungere l'intervallo di indirizzi IP della tua Google Cloud rete VPC come intervallo di destinazione.
3. Nella console VPC AWS, crea la VPN:
   1. In Connessioni VPN, seleziona Connessioni VPN site-to-site.
   2. Seleziona Crea connessione VPN.
   3. Inserisci un nome per la connessione VPN.
   4. Per Virtual Private Gateway (Gateway privato virtuale), seleziona il gateway privato che hai creato o selezionato in precedenza in questa procedura.
   5. Per Customer Gateway (Gateway cliente), seleziona il gateway cliente che hai creato in precedenza in questa procedura.
   6. Per Opzioni di routing, seleziona Statico e specifica l'indirizzo IP statico che hai prenotato per la Cloud VPN come CIDR (aggiungi /32).
   7. Scarica la configurazione per salvare le impostazioni.
      1. Salva il file come Predefinito.
      2. Individua le sezioni IP Sec Tunnels 1 e 2.
      3. Prendi nota della versione IKE e della chiave precondivisa per ogni tunnel.
      4. Prendi nota dell'indirizzo IP del Virtual Private Gateway per ogni tunnel.
      5. Prendi nota dell'indirizzo IP per l'opzione di configurazione della route statica per ogni tunnel.
4. In Google Cloud, crea una VPN classica mediante routing statico.
   1. In Google Cloud console > Connettività ibrida > VPN:
   2. Fai clic su Crea connessione VPN.
      1. Seleziona la rete VPC e la regione.
      2. Per Cloud VPN, utilizza l'indirizzo IP statico che hai prenotato in precedenza in questa procedura.
      3. Utilizza un Pre-shared key e un tipo di chiave dalla configurazione AWS scaricata in precedenza in questa procedura.
      4. Seleziona l'opzione di routing In base alla route e aggiungi due tunnel. Per ogni campo Intervallo IP rete remota del tunnel, utilizza un indirizzo IP per l'opzione di configurazione della route statica dalle sezioni IP Sec Tunnel del file di configurazione AWS scaricato in precedenza in questa procedura.
      5. Fai clic su Crea.Intervallo IP della rete remota

5. Nella console AWS RDS:
   1. Seleziona un gruppo di sicurezza.
   2. Aggiungi regole firewall in entrata per consentire tutti i protocolli e le porte della Cloud VPN.

I tunnel VPN dovrebbero iniziare a comunicare a breve. Sul lato AWS, nella dashboard VPC, gli stati dei tunnel sono UP. Sul lato Google Cloud, visualizza il traffico tra le VPN nella console Cloud Logging del progetto Cloud VPN gateway.

Esempio 2: AWS con VPN ad alta disponibilità Google Cloud con route dinamici

Sul lato AWS, puoi seguire i primi tre passaggi dell'esempio 1, ma in Opzioni di routing seleziona Dinamico anziché Statico.

1. Seleziona la configurazione del peering VPC di AlloyDB nella console e prendi nota degli intervalli IP di destinazione in ROUTE IMPORTATE. Per ulteriori informazioni, consulta Importare ed esportare route personalizzate.
2. Modifica questo peering VPC e seleziona Import Custom Routes e Export Custom Routes nei dettagli della connessione del peering VPC, poi fai clic su SALVA.

   Il peering ora riceve route dinamiche dalla tua VPC, come le route provenienti dai peer BGP. In questo modo, il traffico dalla VPN alla rete in peering è consentito. Tuttavia, il router Cloud non sta ancora pubblicizzando questa route ad altre reti. Per farlo, devi aggiungere route annunciate personalizzate nel router Cloud in modo che il VPC annunci le route importate ad altre reti. Per ulteriori informazioni, consulta Importare ed esportare route personalizzate.

3. Aggiungi il tuo intervallo IP personalizzato DESTINATION_IP_RANGE come route personalizzato nelle route annunciate nella configurazione del router Cloud. Le reti BGP con peering ora ricevono annunci dei percorsi di rete AlloyDB importati, DESTINATION_IP_RANGE. Il traffico su queste reti collegate tramite VPN destinate alla VPC in peering di AlloyDB ora viene reindirizzato tramite il tunnel VPN.
4. Consenti la propagazione delle route nelle tabelle di route AWS. Assicurati che le tabelle di route AWS per le subnet che contengono il database di origine contengano una voce per l'intervallo DESTINATION_IP_RANGE che inoltra al gateway privato virtuale VPN.
5. Aggiungi una regola firewall in entrata del gruppo di sicurezza per consentire il traffico per DESTINATION_IP_RANGE TCP port 5432. Ora è possibile stabilire la connettività.