Mengonfigurasi VPN dengan Ketersediaan Tinggi (HA) melalui Cloud Interconnect

Dokumen ini menjelaskan langkah-langkah yang diperlukan untuk men-deploy VPN dengan ketersediaan tinggi (HA) di samping lampiran VLAN terenkripsi dari koneksi Cloud Interconnect Anda. Langkah-langkah ini berlaku pada VPN dengan ketersediaan tinggi (HA) untuk Dedicated Interconnect dan Partner Interconnect.

Saat membuat gateway VPN dengan ketersediaan tinggi (HA) untuk VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect, Anda mengaitkan gateway VPN dengan ketersediaan tinggi (HA) tersebut dengan dua lampiran VLAN terenkripsi Anda. Anda mengaitkan setiap lampiran VLAN dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA). Lampiran VLAN pertama di domain ketersediaan edge pertama, zone1, sesuai dengan antarmuka VPN dengan ketersediaan tinggi (HA) 0. Lampiran VLAN kedua di zone2 sesuai dengan antarmuka VPN dengan ketersediaan tinggi (HA) 1.

Setelah membuat lampiran VLAN terenkripsi dan gateway VPN dengan ketersediaan tinggi (HA), membuat tunnel VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer. Setiap tunnel VPN dengan ketersediaan tinggi (HA) memiliki bandwidth 3 Gbps. Oleh karena itu, agar sesuai dengan kapasitas lampiran VLAN, Anda harus membuat beberapa tunnel VPN dengan ketersediaan tinggi (HA).

Kapasitas VLAN dan jumlah tunnel yang direkomendasikan

Bagian ini memberikan perkiraan jumlah tunnel yang mungkin diperlukan berdasarkan kapasitas lampiran VLAN Anda. Kapasitas lampiran VLAN mencakup traffic keluar dan masuk, dan jumlah tunnel dalam tabel mungkin tidak mencerminkan pola traffic tertentu pada jaringan Anda.

Gunakan tabel berikut sebagai titik awal dan pantau pemanfaatan traffic tunnel VPN dengan ketersediaan tinggi (HA) Anda. Guna memastikan kapasitas yang memadai untuk failover di tunnel Anda, sebaiknya jangan melebihi 50% dari batas bandwidth 3 Gbps atau batas kapasitas paket sebesar 250,000 pps untuk tunnel VPN tertentu.

Untuk informasi lebih lanjut tentang penyiapan pemantauan dan pemberitahuan untuk tunnel Cloud VPN, lihat Melihat log dan metrik.

Kapasitas lampiran VLAN Jumlah tunnel untuk setiap lampiran VLAN Jumlah total tunnel untuk seluruh deployment
2 Gbps atau kurang 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Pemetaan gateway dan tunnel

Anda tidak perlu memiliki pemetaan one-to-one gateway VPN peer ke gateway VPN dengan ketersediaan tinggi (HA). Anda dapat menambahkan beberapa tunnel ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) selama ada antarmuka di gateway VPN peer yang belum dipetakan ke antarmuka gateway VPN dengan ketersediaan tinggi (HA) tersebut. Hanya boleh satu pemetaan atau tunnel unik antara antarmuka gateway VPN dengan ketersediaan tinggi (HA) dan antarmuka gateway VPN peer tertentu.

Dengan demikian, Anda dapat memiliki konfigurasi berikut:

  • Beberapa gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke sebuah gateway VPN peer tunggal (dengan beberapa antarmuka)
  • Gateway VPN dengan ketersediaan tinggi (HA) yang melakukan tunneling ke beberapa gateway VPN peer
  • Beberapa gateway VPN dengan ketersediaan tinggi (HA) yang melakukan tunnel ke beberapa gateway VPN peer

Sebagai aturan umum, jumlah gateway VPN dengan ketersediaan tinggi (HA) yang perlu Anda deploy ditentukan oleh jumlah gateway VPN peer dengan antarmuka yang tidak digunakan yang Anda miliki di jaringan lokal.

Diagram berikut memberikan contoh pemetaan tunnel antara gateway VPN dengan ketersediaan tinggi (HA) dan gateway VPN peer.

Contoh 1: Satu VPN dengan ketersediaan tinggi (HA) ke dua VPN peer

Contoh satu gateway VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer (klik untuk memperbesar).
Gambar 1: Contoh satu gateway VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer (klik untuk memperbesar).

Contoh 2: Dua VPN dengan ketersediaan tinggi (HA) ke satu VPN peer

Contoh dua gateway VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (klik untuk memperbesar).
Gambar 2: Contoh dua gateway VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (klik untuk memperbesar).

Membuat gateway VPN dengan ketersediaan tinggi (HA)

Konsol

Prosedur ini menyatakan bahwa Anda telah membuat dan mengonfigurasi lampiran VLAN terenkripsi menggunakan Google Cloud Console:

Untuk membuat gateway VPN dengan ketersediaan tinggi (HA), ikuti langkah-langkah berikut:

  1. Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.

    Setelah Anda menyelesaikan konfigurasi Cloud Router untuk Cloud Interconnect, halaman Buat gateway VPN akan muncul.

    Konfigurasi VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect secara otomatis membuat gateway VPN dengan ketersediaan tinggi (HA) berdasarkan kapasitas yang Anda konfigurasikan untuk sambungan VLAN Anda. Misalnya, jika Anda menentukan 5 Gbps sebagai kapasitas setiap lampiran VLAN, wizard akan membuat dua gateway VPN dengan ketersediaan tinggi (HA).

  2. Opsional: Klik Luaskan untuk mengubah nama yang dihasilkan untuk setiap gateway VPN dengan ketersediaan tinggi (HA).

  3. Opsional: Jika Anda ingin menambahkan gateway VPN dengan ketersediaan tinggi (HA), klik Tambahkan gateway lain. Tentukan Name dan Descriptionoptional. Kemudian, klik Done.

  4. Klik Create and Continue.

gcloud

  1. Gunakan tabel kapasitas dan tunnel VLAN untuk memperkirakan jumlah tunnel VPN yang diperlukan agar sesuai dengan kapasitas lampiran VLAN Anda. Anda harus membuat setidaknya satu gateway VPN dengan ketersediaan tinggi (HA) agar dapat membuat tunnel VPN dengan ketersediaan tinggi (HA) ini.

    Pada contoh berikut, lampiran VLAN berkapasitas 5 Gbps mungkin memerlukan empat tunnel.

  2. Membuat gateway VPN dengan ketersediaan tinggi (HA).

    Misalnya, perintah berikut membuat dua gateway VPN dengan ketersediaan tinggi (HA) dan menetapkan antarmuka gateway ke lampiran VLAN terenkripsi Anda.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Untuk parameter --interconnect-attachments, Anda harus mencantumkan kedua lampiran VLAN. Lampiran VLAN pertama yang Anda cantumkan ditetapkan ke antarmuka 0 (if0) gateway VPN dengan ketersediaan tinggi (HA), dan lampiran VLAN kedua ditetapkan ke antarmuka 1 (if1).

Mengonfigurasi Cloud Router VPN dengan ketersediaan tinggi (HA), resource gateway VPN peer, dan tunnel VPN dengan ketersediaan tinggi (HA)

Konsol

  1. Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.

  2. Di bagian Cloud Router, pilih Cloud Router. Router ini dikhususkan untuk mengelola sesi BGP untuk semua tunnel VPN dengan ketersediaan tinggi (HA) Anda.

    Anda dapat menggunakan Cloud Router yang ada jika router tersebut belum mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect.

    Anda tidak dapat menggunakan Cloud Router terenkripsi yang digunakan untuk paket Interconnect dari VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect.

  3. Jika Anda tidak memiliki Cloud Router yang tersedia, pilih Create new router, dan tentukan hal berikut:

    • Nama:
    • Deskripsi opsional

    • Google ASN untuk router baru

      Anda dapat menggunakan ASN pribadi (64512 hingga 65534, 4200000000 hingga 4294967294) yang tidak digunakan di tempat lain di jaringan Anda. Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan Anda tidak dapat mengubah ASN nanti.

    Untuk membuat router baru, klik Buat.

  4. Konfigurasikan versi IKE dengan memilih IKEv1 atau IKEv2. Versi ini digunakan di semua tunnel VPN dengan ketersediaan tinggi (HA) dalam deployment.

  5. Opsional: Klik Buat kunci jika ingin membuat IKE pre-shared key untuk semua tunnel VPN. Jika Anda memilih opsi ini, IKE pre-shared key yang sama diisi untuk semua terowongan di semua gateway VPN dengan ketersediaan tinggi (HA). Pastikan Anda mencatat to generate the IKE pre-shared key di lokasi yang aman karena kunci tersebut tidak dapat diambil setelah Anda membuat tunnel VPN.

  6. Di bagian VPN Configurations, klik konfigurasi VPN, lalu tentukan hal berikut:

    1. Peer VPN gateway: Pilih gateway VPN peer yang sudah ada, atau buat gateway dengan memilih Buat gateway VPN peer baru. Untuk membuat gateway VPN peer, tentukan hal berikut:

      • Nama:

      • Dua antarmuka

        Jika perlu menentukan satu atau empat antarmuka, Anda tidak dapat membuat gateway VPN peer ini di Google Cloud Console. Sebagai gantinya, gunakan Google Cloud CLI. Khususnya, Anda harus menetapkan empat antarmuka di gateway VPN peer jika terhubung ke Amazon Web Services (AWS).

    2. Di kolom IP addresses masukkan alamat IPv4 dari kedua antarmuka gateway VPN peer.

    3. Klik Create.

  7. Di bagian VPN Tunnel over ENCRYPTED VLAN_ATTACHMENT_1 dan VPN Tunnel over ENCRYPTED VLAN_ATTACHMENT_2, konfigurasikan kolom berikut untuk setiap tunnel:

    • Nama: Anda dapat membiarkan nama tunnel yang sudah ada atau mengubahnya.
    • Deskripsi: opsional.
    • Associated peer VPN gateway interface: Pilih kombinasi antarmuka gateway VPN peer dan alamat IP yang ingin Anda kaitkan dengan tunnel ini dan antarmuka VPN dengan ketersediaan tinggi (HA). Antarmuka ini harus cocok dengan antarmuka pada router peer Anda yang sebenarnya.
    • IKE pre-shared key: Jika Anda belum membuat pre-shared key untuk semua tunnel, tentukan IKE pre-shared key. Gunakan pre-shared key (rahasia bersama) yang sesuai dengan pre-shared key yang Anda buat di gateway peer. Jika Anda belum mengonfigurasi pre-shared key di gateway VPN peer dan ingin membuatnya, klik Buat dan salin. Pastikan Anda mencatat to generate the IKE pre-shared key di lokasi yang aman karena kunci tersebut tidak dapat diambil setelah Anda membuat tunnel VPN.

  8. Klik Done setelah Anda menyelesaikan konfigurasi kedua tunnel.

  9. Ulangi dua langkah sebelumnya untuk setiap gateway VPN dengan ketersediaan tinggi (HA) hingga Anda mengonfigurasi semua gateway dan tunnel-nya.

  10. Jika Anda perlu menambahkan lebih banyak tunnel, klik Add VPN configuration dan konfigurasikan kolom berikut:

    1. VPN gateway: Pilih salah satu gateway VPN dengan ketersediaan tinggi (HA) yang terkait dengan lampiran VLAN terenkripsi.

    2. Peer VPN gateway: Pilih gateway VPN peer yang sudah ada atau buat yang baru dengan memilih Buat gateway VPN peer baru. Untuk membuat gateway VPN peer baru, tentukan hal berikut:

      • Nama:
      • Dua antarmuka

      Jika perlu menentukan satu atau empat antarmuka, Anda tidak dapat membuat gateway VPN peer ini di Google Cloud Console. Sebagai gantinya, gunakan Google Cloud CLI. khususnya, Anda harus menetapkan empat antarmuka di gateway VPN peer jika terhubung ke AWS.

    3. Di kolom IP addresses masukkan alamat IPv4 dari kedua antarmuka gateway VPN peer.

    4. Klik Create.

  11. Setelah selesai mengonfigurasi semua tunnel VPN dengan ketersediaan tinggi (HA), klik Create and Continue.

gcloud

Router ini dikhususkan untuk mengelola sesi BGP untuk semua tunnel VPN dengan ketersediaan tinggi (HA) Anda.

Anda dapat menggunakan Cloud Router yang ada jika router tersebut belum mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect. Anda tidak dapat menggunakan Cloud Router terenkripsi yang digunakan untuk paket Cloud Interconnect dari VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect.

  1. Untuk membuat Cloud Router, jalankan perintah berikut:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Ganti kode berikut:

    • ROUTER_NAME: nama Cloud Router di region yang sama dengan gateway Cloud VPN
    • REGION: region Google Cloud tempat Anda akan membuat gateway dan tunnel
    • NETWORK: nama project Google Cloud Anda.
    • GOOGLE_ASN: ASN pribadi apa pun (64512 hingga 65534, 4200000000 hingga 4294967294) yang belum Anda gunakan di jaringan peer; Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan tidak dapat diubah nanti

    Router yang Anda buat akan terlihat mirip dengan contoh output berikut:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Buat setidaknya satu gateway VPN peer eksternal.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Ganti kode berikut:

    • ON_PREM_GW_IP_0: alamat IP yang ditetapkan ke antarmuka 0 di gateway VPN peer Anda
    • ON_PREM_GW_IP_1: alamat IP yang ditetapkan ke antarmuka 1 di gateway VPN peer Anda

    Buat gateway VPN peer eksternal sebanyak yang diperlukan dalam deployment Anda.

  3. Untuk setiap gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di Create HA VPN gateways, buat tunnel VPN untuk setiap antarmuka, 0 dan 1. Di setiap perintah, Anda menentukan sisi peer dari tunnel VPN sebagai gateway dan antarmuka VPN eksternal yang Anda buat sebelumnya.

    Misalnya, guna membuat empat tunnel untuk dua contoh gateway VPN dengan ketersediaan tinggi (HA) yang dibuat di Create HA VPN gateways, jalankan perintah berikut:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Mengonfigurasikan sesi BGP

Konsol

Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.

Setelah membuat semua tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi sesi BGP untuk setiap tunnel.

Di samping setiap tunnel, klik Configure BGP session.

Ikuti petunjuk di bagian Create BGP sessions untuk mengonfigurasi BGP untuk setiap tunnel VPN.

gcloud

Setelah membuat semua tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi sesi BGP untuk setiap tunnel.

Untuk setiap tunnel, ikuti petunjuk di Create BGP sessions.

Selesaikan konfigurasi VPN dengan ketersediaan tinggi (HA)

Sebelum Anda dapat menggunakan gateway Cloud VPN yang baru dan tunnel VPN terkaitnya, selesaikan langkah-langkah berikut:

  1. Siapkan gateway VPN peer untuk jaringan lokal Anda dan konfigurasikan tunnel yang sesuai di sana. Untuk mengetahui petunjuknya, lihat referensi berikut:
  2. Konfigurasikan aturan firewall di Google Cloud dan jaringan peer Anda sesuai kebutuhan.
  3. Periksa status tunnel VPN. Langkah ini termasuk memeriksa konfigurasi ketersediaan tinggi gateway VPN dengan ketersediaan tinggi (HA).

Apa langkah selanjutnya?