此页面由 Cloud Translation API 翻译。

使用 VPN 配置连接

MySQL | PostgreSQL | PostgreSQL 到 AlloyDB

概览

如果您的源数据库位于 VPN 内（例如在 AWS 中或您自己的本地 VPN 中），您还需要在目标端使用 VPN 才能连接到源。

您可以使用许多 VPN 产品。配置 VPN 的步骤因产品而异，但它们在本质上是相似的。本部分包含使用 AWS 和 Google Cloud VPN 的示例。

源数据库服务器的防火墙必须配置为允许为 AlloyDB 目标实例将要使用的 VPC 网络的专用服务连接分配的整个内部 IP 地址范围。

如要在控制台中查找内部 IP 范围，请执行以下操作：

在 Google Cloud 控制台中，前往“VPC 网络”页面。
选择要使用的 VPC 网络。

选择专用服务连接标签页。

示例 1：AWS 与使用静态路由的 Google Cloud 传统 VPN 搭配使用

如需查看更完整的分步文档，请访问以下链接：

在 AWS 端，设置站点到站点 VPN。
在 Google Cloud 端，使用静态路由创建 Cloud VPN。

总的来说，整个步骤序列如下所示：

在 Google Cloud 控制台 > VPC 网络 > 外部 IP 地址中，预留一个要用于 Cloud VPN 的静态 IP 地址。
在 AWS VPC 控制台中：
1. 创建客户网关。
2. 创建新的虚拟专用网关，或将现有虚拟专用网关添加到与数据库关联的 VPC。
3. 在路由表中，添加路由传播：
4. 点击修改，选中传播复选框，然后点击保存，将 Google Cloud VPC 网络的 IP 地址范围添加为目标范围。
在 AWS VPC 控制台中，创建 VPN：
1. 在 VPN 连接下，选择 站点到站点 VPN 连接。
2. 选择创建 VPN 连接。
3. 为 VPN 连接输入名称。
4. 对于 Virtual Private Gateway（虚拟专用网关），请选择您在此过程中之前创建或选择的专用网关。
5. 对于客户网关，选择您在此过程中前面创建的客户网关。
6. 对于路由选项，选择静态，然后将您为 Cloud VPN 预留的静态 IP 地址指定为 CIDR（添加 /32）。
7. 下载配置以保存设置。
  1. 将文件另存为默认。
  2. 找到 IP Sec 隧道第 1 部分和第 2 部分。
  3. 记下每个隧道的 IKE 版本和预共享密钥。
  4. 记下每个隧道的虚拟专用网关的 IP 地址。
  5. 记下每个隧道的“静态路由配置”选项的 IP 地址。
在 Google Cloud中，创建使用静态路由的传统 VPN。
1. 在 Google Cloud 控制台中，依次选择“混合连接”>“VPN”：
2. 点击创建 VPN 连接。
  1. 选择您的 VPC 网络和区域。
  2. 对于 Cloud VPN，请使用您在此过程中之前预留的静态 IP 地址。
  3. 使用您在此过程中前面下载的 AWS 配置中的 Pre-shared key 和密钥类型。
  4. 选择基于路由路由选项，然后添加两个隧道；对于每个隧道的远程网络 IP 地址范围字段，请使用您在此过程中前面下载的 AWS 配置文件的 IP Sec Tunnel 部分中的静态路由配置选项对应的 IP 地址。
  5. 点击创建。远程网络 IP 范围

在 AWS RDS 控制台中：
1. 选择一个安全群组。
2. 添加入站防火墙规则，以允许来自 Cloud VPN 的所有协议和端口。

VPN 隧道应该很快就会开始通信。在 AWS 端，VPC 信息中心中的隧道状态为 UP。在 GCP 端，在 Cloud VPN gateway 项目的 Cloud Logging 控制台中查看 VPN 之间的流量。

示例 2：AWS 与具有动态路由的 Google Cloud 高可用性 VPN

如需将 VPC 对等互连与高可用性 VPN（动态路由）连接到 AWS，您需要将 BGP 路由导出到 AlloyDB 对等互连 VPC，并在 Cloud Router 中为 AlloyDB 对等互连 VPC 导入的路由创建自定义通告路由。此时，Cloud Router 会向 AlloyDB VPC 通告 AWS 路由，反之亦然。两端的防火墙规则也需要与 AlloyDB 对等路由 CIDR 相匹配。

在 AWS 端，您可以按照示例 1 中的前 3 个步骤操作，但在路由选项下选择动态，而不是静态。

在控制台中选择您的 AlloyDB VPC 对等互连配置，并记下导入的路由下的目标 IP 地址范围。如需了解详情，请参阅导入和导出自定义路由。
修改此 VPC 对等互连，然后在 VPC 对等互连连接详情中选中 Import Custom Routes 和 Export Custom Routes，然后点击保存。
现在，对等互连会从您的 VPC 接收动态路由，就像从 BGP 对等端接收路由一样。这样，VPN 中的流量就可以流向对等网络。不过，Cloud Router 尚未向其他网络通告此路由。为此，您需要在 Cloud Router 中添加自定义通告路由，以便您的 VPC 向其他网络通告导入的路由。如需了解详情，请参阅导入和导出自定义路由。
在 Cloud Router 配置通告路由中，将 DESTINATION_IP_RANGE 自定义 IP 范围添加为自定义路由。BGP 对等网络现在会接收导入的 AlloyDB 网络路由的通告，DESTINATION_IP_RANGE。现在，这些通过 VPN 连接的网络上要发送到 AlloyDB 对等 VPC 的流量会通过 VPN 隧道进行路由。
允许路由在 AWS 路由表中传播。确保包含来源数据库的子网的 AWS 路由表包含路由到 VPN 虚拟专用网关的 DESTINATION_IP_RANGE 范围的条目。
添加安全群组防火墙入站规则，以允许 DESTINATION_IP_RANGE TCP port 5432 的流量。现在可以建立连接了。