このページは Cloud Translation API によって翻訳されました。

VPN を使用して接続を構成する

MySQL | PostgreSQL | PostgreSQL to AlloyDB

概要

移行元データベースが VPN（AWS やオンプレミス VPN など）の内部にある場合は、宛先側でも VPN を使用して移行元に接続する必要があります。

使用できる VPN プロダクトは多数あります。VPN を構成する手順はプロダクトによって異なりますが、基本的にはすべて同じです。このセクションでは、AWS と Google Cloud VPN を使用する例を示します。

ソースデータベースサーバーのファイアウォールは、AlloyDB の宛先インスタンスが使用する VPC ネットワークのプライベートサービス接続に割り振られた内部 IP 範囲全体を許可するように構成する必要があります。

Console で内部 IP 範囲を確認するには:

Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
使用する VPC ネットワークを選択します。

[プライベートサービス接続] タブを選択します。

例 1: AWS と静的ルートを使用する Google Cloud Classic VPN

詳細な手順については、次のリンクをご覧ください。

AWS 側でサイト間 VPN を設定します。
Google Cloud 側で、静的ルーティングを使用して Cloud VPN を作成します。

全体的な手順の流れは次のとおりです。

Google Cloud コンソール > [VPC ネットワーク] > [外部 IP アドレス] で、Cloud VPN に使用する静的 IP アドレスを予約します。
AWS VPC コンソールで、次の操作を行います。
1. カスタマーゲートウェイを作成します。
2. 新しい仮想プライベートゲートウェイを作成するか、既存の仮想プライベートゲートウェイをデータベースに関連付けられた VPC に追加します。
3. [ルートテーブル] で、ルート伝播を追加します。
4. [編集] をクリックし、[伝播] チェックボックスをオンにして [保存] をクリックし、 Google Cloud VPC ネットワークの IP アドレス範囲を宛先範囲として追加します。
AWS VPC コンソールで、VPN を作成します。
1. [VPN 接続] で、[サイト間 VPN 接続] を選択します。
2. [VPN 接続を作成] を選択します。
3. VPN 接続の名前を入力します。
4. [Virtual Private Gateway] で、この手順で作成または選択したプライベートゲートウェイを選択します。
5. [Customer Gateway] で、この手順で作成したカスタマーゲートウェイを選択します。
6. [ルーティングオプション] で [静的] を選択し、Cloud VPN 用に予約した静的 IP アドレスを CIDR として指定します（/32 を追加します）。
7. 構成をダウンロードして設定を保存します。
  1. ファイルを [デフォルト] として保存します。
  2. IP Sec トンネルのセクション 1 と 2 を見つけます。
  3. 各トンネルの IKE バージョンと事前共有キーをメモします。
  4. 各トンネルの Virtual Private Gateway の IP アドレスをメモします。
  5. 各トンネルの [静的ルート構成オプション] の IP アドレスをメモします。
Google Cloudで、静的ルーティングを使用した従来の VPN を作成します。
1. Google Cloud コンソール > [ハイブリッド接続] > [VPN] で、次の操作を行います。
2. [VPN 接続を作成] をクリックします。
  1. VPC ネットワークとリージョンを選択します。
  2. Cloud VPN には、この手順で予約した静的 IP アドレスを使用します。
  3. この手順でダウンロードした AWS 構成の Pre-shared key とキータイプを使用します。
  4. [ルートベース] ルーティングオプションを選択し、2 つのトンネルを追加します。トンネルの [リモートネットワーク IP の範囲] フィールドごとに、この手順でダウンロードした AWS 構成ファイルの IP Sec Tunnel セクションの [静的ルート構成オプション] の IP アドレスを使用します。
  5. [作成] をクリックします。リモートネットワーク IP 範囲

AWS RDS コンソールで、次の操作を行います。
1. セキュリティグループを選択します。
2. 上り（受信）ファイアウォールルールを追加して、Cloud VPN からのすべてのプロトコルとポートを許可します。

まもなく VPN トンネルが通信を開始します。AWS 側の VPC ダッシュボードでは、トンネルのステータスは UP です。GCP 側で、Cloud VPN gateway プロジェクトの Cloud Logging コンソールで VPN 間のトラフィックを表示します。

例 2: AWS と動的ルートを使用する Google Cloud HA VPN

AWS への HA VPN（動的ルート）を使用した VPC ピアリングを取得するには、BGP ルートを AlloyDB ピアリングされた VPC にエクスポートし、AlloyDB ピアリングされた VPC のインポートルート用に Cloud Router でカスタムアドバタイズルートを作成する必要があります。この時点で、Cloud Router は AlloyDB VPC への AWS ルートをアドバタイズし、その逆もアドバタイズします。また、両側のファイアウォールルールは、AlloyDB ピアリングルートの CIDR と一致している必要があります。

AWS 側では、例 1 の最初の 3 つの手順に沿って操作します。ただし、[ルーティングオプション] で [静的] ではなく [動的] を選択します。

コンソールで AlloyDB VPC ピアリング構成を選択し、[インポートされたルート] の [宛先 IP 範囲] をメモします。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
この VPC ピアリングを編集し、VPC ピアリング接続の詳細で Import Custom Routes と Export Custom Routes をオンにして、[保存] をクリックします。
ピアリングは、BGP ピアから受信するルートと同様に、VPC から動的ルートを受信します。これにより、VPN からピアリングされたネットワークへのトラフィックが許可されます。ただし、Cloud Router はまだこのルートを他のネットワークにアドバタイズしていません。これを行うには、Cloud Router にカスタムアドバタイズルートを追加して、VPC がインポートされたルートを他のネットワークにアドバタイズするようにする必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
DESTINATION_IP_RANGE カスタム IP 範囲を、Cloud Router 構成のアドバタイズルートでカスタムルートとして追加します。BGP ピアリングネットワークが、インポートされた AlloyDB ネットワークルート DESTINATION_IP_RANGE のアドバタイズを受信するようになりました。AlloyDB ピアリングされた VPC にバインドされているこれらの VPN 接続ネットワーク上のトラフィックは、VPN トンネル経由でルーティングされるようになりました。
AWS ルートテーブルでルートを伝播できるようにします。ソースデータベースを含むサブネットの AWS ルートテーブルに、VPN 仮想プライベートゲートウェイにルーティングする DESTINATION_IP_RANGE 範囲のエントリがあることを確認します。
セキュリティグループのファイアウォール受信ルールを追加して、DESTINATION_IP_RANGE TCP port 5432 のトラフィックを許可します。これで接続を確立できます。