Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi konektivitas menggunakan VPN

MySQL | PostgreSQL | PostgreSQL ke AlloyDB

Ringkasan

Jika database sumber berada di dalam VPN (misalnya, di AWS, atau VPN lokal), Anda juga perlu menggunakan VPN di sisi tujuan untuk terhubung ke sumber.

Ada banyak produk VPN yang dapat Anda gunakan. Langkah-langkah untuk mengonfigurasi VPN bervariasi dari satu produk ke produk lainnya, tetapi semuanya pada dasarnya serupa. Bagian ini berisi contoh yang menggunakan AWS dan VPN Google Cloud .

Firewall server database sumber harus dikonfigurasi untuk mengizinkan seluruh rentang IP internal yang dialokasikan untuk koneksi layanan pribadi dari jaringan VPC yang akan digunakan oleh instance tujuan AlloyDB.

Untuk menemukan rentang IP internal di konsol:

Buka halaman jaringan VPC di konsol Google Cloud .
Pilih jaringan VPC yang ingin Anda gunakan.

Pilih tab PRIVATE SERVICE CONNECTION.

Contoh 1: AWS dengan VPN Klasik Google Cloud dengan rute statis

Temukan dokumentasi langkah demi langkah yang lebih lengkap di link berikut:

Di sisi AWS, siapkan VPN Site to Site.
Di sisi Google Cloud , buat Cloud VPN menggunakan pemilihan rute statis.

Jika digabungkan, urutan langkah keseluruhannya akan terlihat seperti berikut:

Di konsol Google Cloud > Jaringan VPC > Alamat IP eksternal, cadangkan alamat IP statis untuk digunakan untuk Cloud VPN.
Di konsol AWS VPC:
1. Buat gateway pelanggan.
2. Buat gateway pribadi virtual baru atau tambahkan gateway pribadi virtual yang ada ke VPC yang terkait dengan database Anda.
3. Di Tabel Rute, tambahkan propagasi rute:
4. Klik Edit, centang kotak propagate, dan Save untuk menambahkan rentang alamat IP jaringan VPC Google Cloud Anda sebagai rentang tujuan.
Di konsol AWS VPC, buat VPN:
1. Di bagian VPN Connections, pilih Site-to-site VPN Connections.
2. Pilih Create VPN Connection.
3. Masukkan nama untuk koneksi VPN.
4. Untuk Virtual Private Gateway, pilih gateway pribadi yang Anda buat atau pilih sebelumnya dalam prosedur ini.
5. Untuk Customer Gateway, pilih gateway pelanggan yang Anda buat sebelumnya dalam prosedur ini.
6. Untuk Routing Options, pilih Static, dan tentukan alamat IP statis yang Anda cadangkan untuk Cloud VPN sebagai CIDR (tambahkan /32).
7. Download konfigurasi untuk menyimpan setelan.
  1. Simpan file sebagai Default.
  2. Temukan bagian IP Sec Tunnels #1 dan #2.
  3. Perhatikan versi IKE dan Pre-Shared Key untuk setiap tunnel.
  4. Catat alamat IP untuk Virtual Private Gateway untuk setiap tunnel.
  5. Perhatikan alamat IP untuk opsi Konfigurasi Rute Statis untuk setiap tunnel.
Di Google Cloud, buat VPN Klasik menggunakan perutean statis.
1. Di konsol Google Cloud > Hybrid Connectivity > VPN:
2. Klik Create VPN connection.
  1. Pilih jaringan VPC dan region Anda.
  2. Untuk Cloud VPN, gunakan alamat IP statis yang Anda cadangkan sebelumnya dalam prosedur ini.
  3. Gunakan Pre-shared key dan jenis kunci dari konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
  4. Pilih opsi perutean Route based dan tambahkan dua tunnel; untuk setiap kolom Remote network IP range tunnel, gunakan alamat IP untuk Static Route Configuration option dari bagian IP Sec Tunnel file konfigurasi AWS yang Anda download sebelumnya dalam prosedur ini.
  5. Klik Buat.Rentang IP jaringan jarak jauh

Di konsol AWS RDS:
1. Pilih grup keamanan.
2. Tambahkan aturan firewall masuk untuk mengizinkan semua protokol dan port dari Cloud VPN.

Tunnel VPN akan segera mulai berkomunikasi. Di sisi AWS, di Dasbor VPC, status tunnel adalah UP. Di sisi GCP, lihat traffic di antara VPN di konsol Cloud Logging di project Cloud VPN gateway.

Contoh 2: AWS dengan VPN HA Google Cloud dengan rute dinamis

Untuk mendapatkan Peering VPC dengan VPN dengan ketersediaan tinggi (HA) (rute dinamis) ke AWS, Anda perlu mengekspor rute BGP ke VPC yang di-peering AlloyDB, dan membuat rute yang diiklankan kustom di Cloud Router untuk rute yang diimpor VPC yang di-peering AlloyDB. Pada saat itu, Cloud Router mengiklankan rute AWS ke VPC AlloyDB dan sebaliknya. Aturan firewall di kedua sisi juga harus cocok dengan CIDR rute peering AlloyDB.

Di sisi AWS, Anda dapat mengikuti tiga langkah pertama di Contoh 1, kecuali pilih Dinamis, bukan Statis di bagian Routing options.

Pilih konfigurasi AlloyDB VPC Peering di Konsol dan catat Rentang IP tujuan di bagian IMPORTED ROUTES. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.
Edit peering VPC ini dan centang Import Custom Routes dan Export Custom Routes di detail koneksi Peering VPC, lalu klik SIMPAN.
Peering kini menerima rute dinamis dari VPC Anda seperti rute yang berasal dari peer BGP. Tindakan ini memungkinkan traffic dari VPN ke jaringan yang dihubungkan. Namun, Cloud Router belum mengiklankan rute ini ke jaringan lain. Untuk melakukannya, Anda perlu menambahkan rute yang diiklankan secara kustom di Cloud Router agar VPC mengiklankan rute yang diimpor ke jaringan lain. Untuk mengetahui informasi selengkapnya, lihat Mengimpor dan mengekspor rute kustom.
Tambahkan rentang IP kustom DESTINATION_IP_RANGE sebagai rute kustom di rute yang diiklankan konfigurasi Cloud Router. Jaringan BGP yang di-peering kini menerima iklan rute jaringan AlloyDB yang diimpor, DESTINATION_IP_RANGE. Traffic di jaringan yang terhubung VPN tersebut yang dituju untuk VPC peering AlloyDB kini dirutekan melalui tunnel VPN.
Mengizinkan rute untuk diterapkan di tabel rute AWS. Pastikan tabel rute AWS untuk subnet yang berisi database sumber Anda berisi entri untuk rentang DESTINATION_IP_RANGE yang merutekan ke Virtual Private Gateway VPN.
Tambahkan aturan masuk firewall grup keamanan untuk mengizinkan traffic untuk DESTINATION_IP_RANGE TCP port 5432. Konektivitas kini dapat dilakukan.