Dokumen ini menjelaskan langkah-langkah yang diperlukan untuk men-deploy VPN dengan ketersediaan tinggi (HA) di samping lampiran VLAN terenkripsi dari koneksi Cloud Interconnect Anda. Langkah-langkah ini berlaku pada VPN dengan ketersediaan tinggi (HA) untuk Dedicated Interconnect dan Partner Interconnect.
Saat membuat gateway VPN dengan ketersediaan tinggi (HA) untuk
VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect, Anda
mengaitkan gateway VPN dengan ketersediaan tinggi (HA) tersebut dengan dua lampiran
VLAN terenkripsi Anda. Anda mengaitkan setiap lampiran VLAN dengan
antarmuka gateway VPN dengan ketersediaan tinggi (HA).
Lampiran VLAN pertama di domain ketersediaan edge pertama, zone1
,
sesuai dengan antarmuka VPN dengan ketersediaan tinggi (HA) 0
.
Lampiran VLAN kedua di zone2
sesuai dengan antarmuka
VPN dengan ketersediaan tinggi (HA) 1
.
Setelah membuat lampiran VLAN terenkripsi dan gateway VPN dengan ketersediaan tinggi (HA), membuat tunnel VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer. Setiap tunnel VPN dengan ketersediaan tinggi (HA) memiliki bandwidth 3 Gbps. Oleh karena itu, agar sesuai dengan kapasitas lampiran VLAN, Anda harus membuat beberapa tunnel VPN dengan ketersediaan tinggi (HA).
Kapasitas VLAN dan jumlah tunnel yang direkomendasikan
Bagian ini memberikan perkiraan jumlah tunnel yang mungkin diperlukan berdasarkan kapasitas lampiran VLAN Anda. Kapasitas lampiran VLAN mencakup traffic keluar dan masuk, dan jumlah tunnel dalam tabel mungkin tidak mencerminkan pola traffic tertentu pada jaringan Anda.
Gunakan tabel berikut sebagai titik awal dan pantau pemanfaatan traffic tunnel VPN dengan ketersediaan tinggi (HA) Anda. Guna memastikan kapasitas yang memadai untuk failover di tunnel Anda, sebaiknya jangan melebihi 50% dari batas bandwidth 3 Gbps atau batas kapasitas paket sebesar 250,000 pps untuk tunnel VPN tertentu.
Untuk informasi lebih lanjut tentang penyiapan pemantauan dan pemberitahuan untuk tunnel Cloud VPN, lihat Melihat log dan metrik.
Kapasitas lampiran VLAN | Jumlah tunnel untuk setiap lampiran VLAN | Jumlah total tunnel untuk seluruh deployment |
---|---|---|
2 Gbps atau kurang | 1 | 2 |
5 Gbps | 2 | 4 |
10 Gbps | 4 | 8 |
20 Gbps | 7 | 14 |
50 Gbps | 17 | 34 |
Pemetaan gateway dan tunnel
Anda tidak perlu memiliki pemetaan one-to-one gateway VPN peer ke gateway VPN dengan ketersediaan tinggi (HA). Anda dapat menambahkan beberapa tunnel ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) selama ada antarmuka di gateway VPN peer yang belum dipetakan ke antarmuka gateway VPN dengan ketersediaan tinggi (HA) tersebut. Hanya boleh satu pemetaan atau tunnel unik antara antarmuka gateway VPN dengan ketersediaan tinggi (HA) dan antarmuka gateway VPN peer tertentu.
Dengan demikian, Anda dapat memiliki konfigurasi berikut:
- Beberapa gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke sebuah gateway VPN peer tunggal (dengan beberapa antarmuka)
- Gateway VPN dengan ketersediaan tinggi (HA) yang melakukan tunneling ke beberapa gateway VPN peer
- Beberapa gateway VPN dengan ketersediaan tinggi (HA) yang melakukan tunnel ke beberapa gateway VPN peer
Sebagai aturan umum, jumlah gateway VPN dengan ketersediaan tinggi (HA) yang perlu Anda deploy ditentukan oleh jumlah gateway VPN peer dengan antarmuka yang tidak digunakan yang Anda miliki di jaringan lokal.
Diagram berikut memberikan contoh pemetaan tunnel antara gateway VPN dengan ketersediaan tinggi (HA) dan gateway VPN peer.
Contoh 1: Satu VPN dengan ketersediaan tinggi (HA) ke dua VPN peer
Contoh 2: Dua VPN dengan ketersediaan tinggi (HA) ke satu VPN peer
Membuat gateway VPN dengan ketersediaan tinggi (HA)
Konsol
Prosedur ini menyatakan bahwa Anda telah membuat dan mengonfigurasi lampiran VLAN terenkripsi menggunakan Google Cloud Console:
Untuk Dedicated Interconnect, lihat Membuat lampiran VLAN terenkripsi.
Untuk Partner Interconnect, lihat Membuat lampiran VLAN terenkripsi.
Untuk membuat gateway VPN dengan ketersediaan tinggi (HA), ikuti langkah-langkah berikut:
Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.
Setelah Anda menyelesaikan konfigurasi Cloud Router untuk Cloud Interconnect, halaman Buat gateway VPN akan muncul.
Konfigurasi VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect secara otomatis membuat gateway VPN dengan ketersediaan tinggi (HA) berdasarkan kapasitas yang Anda konfigurasikan untuk sambungan VLAN Anda. Misalnya, jika Anda menentukan 5 Gbps sebagai kapasitas setiap lampiran VLAN, wizard akan membuat dua gateway VPN dengan ketersediaan tinggi (HA).
Opsional: Klik
Luaskan untuk mengubah nama yang dihasilkan untuk setiap gateway VPN dengan ketersediaan tinggi (HA).Opsional: Jika Anda ingin menambahkan gateway VPN dengan ketersediaan tinggi (HA), klik Tambahkan gateway lain. Tentukan Name dan Descriptionoptional. Kemudian, klik Done.
Klik Create and Continue.
gcloud
Gunakan tabel kapasitas dan tunnel VLAN untuk memperkirakan jumlah tunnel VPN yang diperlukan agar sesuai dengan kapasitas lampiran VLAN Anda. Anda harus membuat setidaknya satu gateway VPN dengan ketersediaan tinggi (HA) agar dapat membuat tunnel VPN dengan ketersediaan tinggi (HA) ini.
Pada contoh berikut, lampiran VLAN berkapasitas 5 Gbps mungkin memerlukan empat tunnel.
Membuat gateway VPN dengan ketersediaan tinggi (HA).
Misalnya, perintah berikut membuat dua gateway VPN dengan ketersediaan tinggi (HA) dan menetapkan antarmuka gateway ke lampiran VLAN terenkripsi Anda.
gcloud compute vpn-gateways create vpn-gateway-a \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
gcloud compute vpn-gateways create vpn-gateway-b \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
Untuk parameter --interconnect-attachments
, Anda harus mencantumkan kedua lampiran VLAN.
Lampiran VLAN pertama yang Anda cantumkan ditetapkan ke antarmuka 0 (if0
)
gateway VPN dengan ketersediaan tinggi (HA), dan lampiran VLAN kedua
ditetapkan ke antarmuka 1 (if1
).
Mengonfigurasi Cloud Router VPN dengan ketersediaan tinggi (HA), resource gateway VPN peer, dan tunnel VPN dengan ketersediaan tinggi (HA)
Konsol
Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.
Di bagian Cloud Router, pilih Cloud Router. Router ini dikhususkan untuk mengelola sesi BGP untuk semua tunnel VPN dengan ketersediaan tinggi (HA) Anda.
Anda dapat menggunakan Cloud Router yang ada jika router tersebut belum mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect.
Anda tidak dapat menggunakan Cloud Router terenkripsi yang digunakan untuk paket Interconnect dari VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect.
Jika Anda tidak memiliki Cloud Router yang tersedia, pilih Create new router, dan tentukan hal berikut:
- Nama:
- Deskripsi opsional
Google ASN untuk router baru
Anda dapat menggunakan ASN pribadi (
64512
hingga65534
,4200000000
hingga4294967294
) yang tidak digunakan di tempat lain di jaringan Anda. Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan Anda tidak dapat mengubah ASN nanti.
Untuk membuat router baru, klik Buat.
Konfigurasikan versi IKE dengan memilih IKEv1 atau IKEv2. Versi ini digunakan di semua tunnel VPN dengan ketersediaan tinggi (HA) dalam deployment.
Opsional: Klik Buat kunci jika ingin membuat IKE pre-shared key untuk semua tunnel VPN. Jika Anda memilih opsi ini, IKE pre-shared key yang sama diisi untuk semua terowongan di semua gateway VPN dengan ketersediaan tinggi (HA). Pastikan Anda mencatat to generate the IKE pre-shared key di lokasi yang aman karena kunci tersebut tidak dapat diambil setelah Anda membuat tunnel VPN.
Di bagian VPN Configurations, klik konfigurasi VPN, lalu tentukan hal berikut:
Peer VPN gateway: Pilih gateway VPN peer yang sudah ada, atau buat gateway dengan memilih Buat gateway VPN peer baru. Untuk membuat gateway VPN peer, tentukan hal berikut:
- Nama:
Dua antarmuka
Jika perlu menentukan satu atau empat antarmuka, Anda tidak dapat membuat gateway VPN peer ini di Google Cloud Console. Sebagai gantinya, gunakan Google Cloud CLI. Khususnya, Anda harus menetapkan empat antarmuka di gateway VPN peer jika terhubung ke Amazon Web Services (AWS).
Di kolom IP addresses masukkan alamat IPv4 dari kedua antarmuka gateway VPN peer.
Klik Create.
Di bagian VPN Tunnel over
ENCRYPTED VLAN_ATTACHMENT_1
dan VPN Tunnel overENCRYPTED VLAN_ATTACHMENT_2
, konfigurasikan kolom berikut untuk setiap tunnel:- Nama: Anda dapat membiarkan nama tunnel yang sudah ada atau mengubahnya.
- Deskripsi: opsional.
- Associated peer VPN gateway interface: Pilih kombinasi antarmuka gateway VPN peer dan alamat IP yang ingin Anda kaitkan dengan tunnel ini dan antarmuka VPN dengan ketersediaan tinggi (HA). Antarmuka ini harus cocok dengan antarmuka pada router peer Anda yang sebenarnya.
- IKE pre-shared key: Jika Anda belum membuat pre-shared key untuk semua tunnel, tentukan IKE pre-shared key. Gunakan pre-shared key (rahasia bersama) yang sesuai dengan pre-shared key yang Anda buat di gateway peer. Jika Anda belum mengonfigurasi pre-shared key di gateway VPN peer dan ingin membuatnya, klik Buat dan salin. Pastikan Anda mencatat to generate the IKE pre-shared key di lokasi yang aman karena kunci tersebut tidak dapat diambil setelah Anda membuat tunnel VPN.
Klik Done setelah Anda menyelesaikan konfigurasi kedua tunnel.
Ulangi dua langkah sebelumnya untuk setiap gateway VPN dengan ketersediaan tinggi (HA) hingga Anda mengonfigurasi semua gateway dan tunnel-nya.
Jika Anda perlu menambahkan lebih banyak tunnel, klik Add VPN configuration dan konfigurasikan kolom berikut:
- VPN gateway: Pilih salah satu gateway VPN dengan ketersediaan tinggi (HA) yang terkait dengan lampiran VLAN terenkripsi.
Peer VPN gateway: Pilih gateway VPN peer yang sudah ada atau buat yang baru dengan memilih Buat gateway VPN peer baru. Untuk membuat gateway VPN peer baru, tentukan hal berikut:
- Nama:
- Dua antarmuka
Jika perlu menentukan satu atau empat antarmuka, Anda tidak dapat membuat gateway VPN peer ini di Google Cloud Console. Sebagai gantinya, gunakan Google Cloud CLI. khususnya, Anda harus menetapkan empat antarmuka di gateway VPN peer jika terhubung ke AWS.
Di kolom IP addresses masukkan alamat IPv4 dari kedua antarmuka gateway VPN peer.
Klik Create.
Setelah selesai mengonfigurasi semua tunnel VPN dengan ketersediaan tinggi (HA), klik Create and Continue.
gcloud
Router ini dikhususkan untuk mengelola sesi BGP untuk semua tunnel VPN dengan ketersediaan tinggi (HA) Anda.
Anda dapat menggunakan Cloud Router yang ada jika router tersebut belum mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect. Anda tidak dapat menggunakan Cloud Router terenkripsi yang digunakan untuk paket Cloud Interconnect dari VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect.
Untuk membuat Cloud Router, jalankan perintah berikut:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Ganti kode berikut:
ROUTER_NAME
: nama Cloud Router di region yang sama dengan gateway Cloud VPNREGION
: region Google Cloud tempat Anda akan membuat gateway dan tunnelNETWORK
: nama project Google Cloud Anda.GOOGLE_ASN
: ASN pribadi apa pun (64512
hingga65534
,4200000000
hingga4294967294
) yang belum Anda gunakan di jaringan peer; Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan tidak dapat diubah nanti
Router yang Anda buat akan terlihat mirip dengan contoh output berikut:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
Buat setidaknya satu gateway VPN peer eksternal.
gcloud compute external-vpn-gateways create peer-gw \ --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1
Ganti kode berikut:
ON_PREM_GW_IP_0
: alamat IP yang ditetapkan ke antarmuka0
di gateway VPN peer AndaON_PREM_GW_IP_1
: alamat IP yang ditetapkan ke antarmuka1
di gateway VPN peer Anda
Buat gateway VPN peer eksternal sebanyak yang diperlukan dalam deployment Anda.
Untuk setiap gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat di Create HA VPN gateways, buat tunnel VPN untuk setiap antarmuka,
0
dan1
. Di setiap perintah, Anda menentukan sisi peer dari tunnel VPN sebagai gateway dan antarmuka VPN eksternal yang Anda buat sebelumnya.Misalnya, guna membuat empat tunnel untuk dua contoh gateway VPN dengan ketersediaan tinggi (HA) yang dibuat di Create HA VPN gateways, jalankan perintah berikut:
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 0
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 1
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 0
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 1
Mengonfigurasikan sesi BGP
Konsol
Di Google Cloud Console, lanjutkan ke bagian berikutnya dari wizard deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.
Setelah membuat semua tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi sesi BGP untuk setiap tunnel.
Di samping setiap tunnel, klik Configure BGP session.
Ikuti petunjuk di bagian Create BGP sessions untuk mengonfigurasi BGP untuk setiap tunnel VPN.
gcloud
Setelah membuat semua tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi sesi BGP untuk setiap tunnel.
Untuk setiap tunnel, ikuti petunjuk di Create BGP sessions.
Selesaikan konfigurasi VPN dengan ketersediaan tinggi (HA)
Sebelum Anda dapat menggunakan gateway Cloud VPN yang baru dan tunnel VPN terkaitnya, selesaikan langkah-langkah berikut:
- Siapkan gateway VPN peer untuk jaringan lokal Anda
dan konfigurasikan tunnel yang sesuai di sana. Untuk mengetahui petunjuknya, lihat referensi berikut:
- Untuk mengetahui panduan konfigurasi khusus bagi perangkat VPN peer tertentu, lihat Menggunakan VPN pihak ketiga.
- Untuk mengetahui parameter konfigurasi umum, lihat Mengonfigurasi peer VPN gateway.
- Konfigurasikan aturan firewall di Google Cloud dan jaringan peer Anda sesuai kebutuhan.
- Periksa status tunnel VPN. Langkah ini termasuk memeriksa konfigurasi ketersediaan tinggi gateway VPN dengan ketersediaan tinggi (HA).
Apa langkah selanjutnya?
Jika perlu menambahkan lebih banyak tunnel VPN dengan ketersediaan tinggi (HA), lihat Menambahkan tunnel VPN.
Untuk mempelajari pemantauan VPN dengan ketersediaan tinggi (HA), lihat Melihat log dan metrik.