HA VPN über Cloud Interconnect konfigurieren

In diesem Dokument werden die Schritte beschrieben, die zum Bereitstellen von HA VPN auf den verschlüsselten VLAN-Anhängen Ihrer Cloud Interconnect-Verbindung erforderlich sind. Diese Schritte gelten für HA VPN sowohl für Dedicated Interconnect als auch für Partner Interconnect.

Wenn Sie ein HA VPN-Gateway für eine HA VPN über Cloud Interconnect-Bereitstellung erstellen, verknüpfen Sie dieses HA VPN-Gateway mit Ihren beiden verschlüsselten VLAN-Anhängen. Sie verknüpfen jeden VLAN-Anhang mit einer HA VPN-Gateway-Schnittstelle. Der erste VLAN-Anhang in der ersten Edge-Verfügbarkeitsdomain zone1 entspricht der HA VPN-Schnittstelle 0. Der zweite VLAN-Anhang in zone2 entspricht der HA VPN-Schnittstelle 1.

Nachdem Sie Ihre verschlüsselten VLAN-Anhänge und HA VPN-Gateways erstellt haben, können Sie die HA VPN-Tunnel zu den Peer-VPN-Gateways erstellen. Jeder HA VPN-Tunnel hat eine Bandbreite von 3 Gbit/s. Daher müssen Sie mehrere HA VPN-Tunnel erstellen, um die Kapazität Ihres VLAN-Anhangs abzugleichen.

VLAN-Kapazität und empfohlene Anzahl von Tunneln

Der Abschnitt enthält eine Schätzung der Anzahl der Tunnel, die Sie möglicherweise basierend auf der Kapazität Ihres VLAN-Anhangs benötigen. Die Kapazität von VLAN-Anhängen deckt sowohl ausgehenden als auch eingehenden Traffic ab. Die Anzahl der Tunnel in der Tabelle spiegelt möglicherweise nicht die spezifischen Trafficmuster Ihres Netzwerks wider.

Verwenden Sie die folgende Tabelle als Ausgangspunkt und überwachen Sie die Trafficauslastung Ihrer HA VPN-Tunnel. Damit die Kapazität für das Failover in Ihren Tunneln ausreicht, empfehlen wir, 50 % des Bandbreitenlimits für 3 Gbit/s oder das Paketratenlimit von 250.000 PPS für einen bestimmten VPN-Tunnel nicht zu überschreiten.

Weitere Informationen zum Einrichten von Monitoring und Benachrichtigungen für Cloud VPN-Tunnel finden Sie unter Logs und Messwerte anzeigen.

VLAN-Anhangkapazität Anzahl der Tunnel für jeden VLAN-Anhang Gesamtanzahl der Tunnel für die gesamte Bereitstellung
Maximal 2 Gbit/s 1 2
5 Gbit/s 2 4
10 Gbit/s 4 8
20 Gbit/s 7 14
50 Gbit/s 17 34

Gateway- und Tunnelzuordnung

Sie müssen keine 1:1-Zuordnung von Peer-VPN-Gateways zu HA VPN-Gateways haben. Sie können jeder Schnittstelle des HA VPN-Gateways mehrere Tunnel hinzufügen, sofern Schnittstellen auf dem Peer-VPN-Gateway vorhanden sind, die dieser HA VPN-Gateway-Schnittstelle noch nicht zugeordnet sind. Es gibt nur eine eindeutige Zuordnung oder einen Tunnel zwischen einer bestimmten HA VPN-Gateway-Schnittstelle und einer bestimmten Peer-VPN-Gateway-Schnittstelle.

Sie haben also die folgenden Konfigurationen:

  • Mehrere HA VPN-Gateways, die zu einem einzelnen Peer-VPN-Gateway führen (mit mehreren Schnittstellen)
  • Ein einzelnes HA VPN-Gateway, das zu mehreren Peer-VPN-Gateways tunnelt
  • Mehrere HA VPN-Gateways, die zu mehreren Peer-VPN-Gateways tunneln

In der Regel wird die Anzahl der HA VPN-Gateways, die Sie bereitstellen müssen, dadurch bestimmt, wie viele Peer-VPN-Gateways mit nicht verwendeten Schnittstellen in Ihrem lokalen Netzwerk verfügbar sind.

Die folgenden Diagramme enthalten Beispiele für Tunnelzuordnungen zwischen HA VPN- und Peer-VPN-Gateways.

Beispiel 1: Ein HA VPN zu zwei Peer-VPN

Beispiel für ein HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)
Abbildung 1: Beispiel von einem HA VPN-Gateway zu zwei Peer-VPN-Gateways (Zum Vergrößern klicken).

Beispiel 2: Zwei HA VPN zu einem Peer-VPN

Beispiel für zwei HA VPN-Gateways zu einem Peer-VPN-Gateway (zum Vergrößern klicken).
Abbildung 2: Beispiel für zwei HA VPN-Gateways zu einem Peer-VPN-Gateway (Zum Vergrößern klicken).

HA VPN-Gateways erstellen

Console

Bei diesem Verfahren wird davon ausgegangen, dass Sie Ihre verschlüsselten VLAN-Anhänge bereits über die Google Cloud Console erstellt und konfiguriert haben:

So erstellen Sie ein HA VPN-Gateway:

  1. Fahren Sie in der Google Cloud Console mit dem nächsten Abschnitt des Bereitstellungsassistenten für HA VPN über Cloud Interconnect fort.

    Nachdem Sie die Konfiguration von Cloud Router für Cloud Interconnect abgeschlossen haben, wird die Seite VPN-Gateways erstellen angezeigt.

    Der Konfigurationsassistenten für HA VPN über Cloud Interconnect erstellt automatisch HA VPN-Gateways anhand der Kapazität, die Sie für Ihre VLAN-Anhänge konfiguriert haben. Wenn Sie beispielsweise 5 Gbit/s als Kapazität jedes VLAN-Anhangs angegeben haben, erstellt der Assistent zwei HA VPN-Gateways.

  2. Optional: Klicken Sie auf Maximieren, um den generierten Namen jedes HA VPN-Gateways zu ändern.

  3. Optional: Wenn Sie weitere HA VPN-Gateways hinzufügen möchten, klicken Sie auf Weiteres Gateway hinzufügen. Geben Sie einen Namen und optional eine Beschreibung an. Klicken Sie dann auf Fertig.

  4. Klicken Sie auf Erstellen und fortfahren.

gcloud

  1. Verwenden Sie die Tabelle für VLAN-Kapazität und Tunnel, um zu schätzen, wie viele VPN-Tunnel erforderlich sind, um die Kapazität Ihres VLAN-Anhangs zu erfüllen. Sie müssen mindestens ein HA VPN-Gateway erstellen, um diese HA VPN-Tunnel erstellen zu können.

    Im folgenden Beispiel erfordert ein VLAN-Anhang mit einer Kapazität von 5 Gbit/s vier Tunnel.

  2. Erstellen Sie die HA VPN-Gateways.

    Mit dem folgenden Befehl werden beispielsweise zwei HA VPN-Gateways erstellt und Ihren verschlüsselten VLAN-Anhängen die Gateway-Schnittstellen zugewiesen.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Für den Parameter --interconnect-attachments listen Sie beide VLAN-Anhänge auf. Dem ersten VLAN-Anhang, den Sie auflisten, wird Schnittstelle 0 (if0) des HA VPN-Gateways zugewiesen und dem zweiten VLAN-Anhang Schnittstelle 1 (if1).

HA VPN-Cloud Router, Peer-VPN-Gateway-Ressourcen und HA VPN-Tunnel konfigurieren

Console

  1. Fahren Sie in der Google Cloud Console mit dem nächsten Abschnitt des Bereitstellungsassistenten für HA VPN über Cloud Interconnect fort.

  2. Wählen Sie im Abschnitt Cloud Router einen Cloud Router aus. Dieser Router ist für die Verwaltung der BGP-Sitzungen für alle Ihre HA VPN-Tunnel vorgesehen.

    Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

    Sie können den verschlüsselten Cloud Router, der für die Interconnect-Ebene Ihrer HA VPN über Cloud Interconnect-Bereitstellung verwendet wird, nicht nutzen.

  3. Wenn Sie keinen verfügbaren Cloud Router haben, wählen Sie Neuen Router erstellen aus und geben Sie Folgendes an:

    • Einen Namen
    • Eine optionale Beschreibung

    • Eine Google-ASN für den neuen Router

      Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (64512 bis 65534, 4200000000 bis 4294967294). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.

    Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

  4. Konfigurieren Sie die IKE-Version. Wählen Sie dazu entweder IKEv1 oder IKEv2 aus. Diese Version wird für alle HA VPN-Tunnel in der Bereitstellung verwendet.

  5. Optional: Klicken Sie auf Schlüssel generieren, um den vorinstallierten IKE-Schlüssel für alle VPN-Tunnel zu generieren. Wenn Sie diese Option auswählen, wird derselbe vorinstallierte IKE-Schlüssel für alle Tunnel auf allen HA VPN-Gateways ausgefüllt. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.

  6. Klicken Sie im Abschnitt VPN-Konfigurationen auf eine VPN-Konfiguration und geben Sie Folgendes an:

    1. Peer-VPN-Gateway: Wählen Sie ein vorhandenes Peer-VPN-Gateway aus oder erstellen Sie ein neues, indem Sie Neues Peer-VPN-Gateway erstellen auswählen. Geben Sie Folgendes an, um ein Peer-VPN-Gateway zu erstellen:

      • Einen Namen

      • Zwei Schnittstellen

        Wenn Sie eine einzelne Schnittstelle oder vier Schnittstellen angeben müssen, können Sie dieses Peer-VPN-Gateway nicht in der Google Cloud Console erstellen. Verwenden Sie stattdessen die Google Cloud CLI. Insbesondere müssen Sie auf Ihrem Peer-VPN-Gateway vier Schnittstellen zuweisen, wenn Sie eine Verbindung zu Amazon Web Services (AWS) herstellen.

    2. Geben Sie im Feld IP-Adressen die IPv4-Adressen der beiden Peer-VPN-Gateway-Schnittstellen ein.

    3. Klicken Sie auf Erstellen.

  7. Konfigurieren Sie unter VPN-Tunnel über ENCRYPTED VLAN_ATTACHMENT_1 und VPN-Tunnel über ENCRYPTED VLAN_ATTACHMENT_2 die folgenden Felder für jeden Tunnel:

    • Name: Sie können den generierten Tunnelnamen beibehalten oder ändern.
    • Beschreibung: Optional.
    • Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
    • Vorinstallierter IKE-Schlüssel: Wenn Sie noch keinen vorinstallierten Schlüssel für alle Tunnel generiert haben, geben Sie einen vorinstallierten IKE-Schlüssel an. Verwenden Sie den vorinstallierten Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel entspricht, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.

  8. Klicken Sie auf Fertig, wenn Sie die Konfiguration beider Tunnel abgeschlossen haben.

  9. Wiederholen Sie die vorherigen beiden Schritte für jedes HA VPN-Gateway, bis Sie alle Gateways und deren Tunnel konfiguriert haben.

  10. Wenn Sie weitere Tunnel hinzufügen möchten, klicken Sie auf VPN-Konfiguration hinzufügen und konfigurieren Sie die folgenden Felder:

    1. VPN-Gateway: Wählen Sie eines der HA VPN-Gateways aus, die den verschlüsselten VLAN-Anhängen zugeordnet sind.

    2. Peer-VPN-Gateway: Wählen Sie ein vorhandenes Peer-VPN-Gateway aus oder erstellen Sie ein neues, indem Sie Neues Peer-VPN-Gateway erstellen auswählen. Geben Sie Folgendes an, um ein neues Peer-VPN-Gateway zu erstellen:

      • Einen Namen
      • Zwei Schnittstellen

      Wenn Sie eine einzelne Schnittstelle oder vier Schnittstellen angeben müssen, können Sie dieses Peer-VPN-Gateway nicht in der Google Cloud Console erstellen. Verwenden Sie stattdessen die Google Cloud CLI. Insbesondere müssen Sie vier Schnittstellen auf Ihrem Peer-VPN-Gateway zuweisen, wenn Sie eine Verbindung zu AWS herstellen.

    3. Geben Sie im Feld IP-Adressen die IPv4-Adressen der beiden Peer-VPN-Gateway-Schnittstellen ein.

    4. Klicken Sie auf Erstellen.

  11. Wenn Sie die Konfiguration aller HA VPN-Tunnel abgeschlossen haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Dieser Router ist für die Verwaltung der BGP-Sitzungen für alle Ihre HA VPN-Tunnel vorgesehen.

Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist. Sie können den verschlüsselten Cloud Router, der für die Cloud Interconnect-Ebene Ihrer HA VPN über Cloud Interconnect-Bereitstellung verwendet wird, nicht nutzen.

  1. Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Dabei gilt:

    • ROUTER_NAME: Name des Cloud Routers in derselben Region wie das Cloud VPN-Gateway
    • REGION: Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
    • NETWORK: Name Ihres Google Cloud-Netzwerks
    • GOOGLE_ASN: Private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden. Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Erstellen Sie mindestens ein externes Peer-VPN-Gateway.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Dabei gilt:

    • ON_PREM_GW_IP_0: IP-Adresse, die der Schnittstelle 0 auf Ihrem Peer-VPN-Gateway zugewiesen ist
    • ON_PREM_GW_IP_1: IP-Adresse, die der Schnittstelle 1 auf Ihrem Peer-VPN-Gateway zugewiesen ist

    Erstellen Sie so viele externe Peer-VPN-Gateways wie nötig in Ihrer Bereitstellung.

  3. Erstellen Sie für jedes HA VPN-Gateway, das Sie unter HA VPN-Gateways erstellen erstellt haben, einen VPN-Tunnel für jede Schnittstelle, 0 und 1. Bei jedem Befehl geben Sie die Peer-Seite des VPN-Tunnels als externes VPN-Gateway und externe Schnittstelle an.

    Wenn Sie beispielsweise vier Tunnel für die beiden Beispiel-HA-Gateways erstellen möchten, die unter HA VPN-Gateways erstellen erstellt wurden, führen Sie die folgenden Befehle aus:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

BGP-Sitzungen konfigurieren

Console

Fahren Sie in der Google Cloud Console mit dem nächsten Abschnitt des Bereitstellungsassistenten für HA VPN über Cloud Interconnect fort.

Nachdem Sie alle HA VPN-Tunnel erstellt haben, müssen Sie die BGP-Sitzungen für jeden Tunnel konfigurieren.

Klicken Sie neben jedem Tunnel auf BGP-Sitzung konfigurieren.

Folgen Sie der Anleitung unter BGP-Sitzungen erstellen, um BGP für jeden VPN-Tunnel zu konfigurieren.

gcloud

Nachdem Sie alle HA VPN-Tunnel erstellt haben, müssen Sie die BGP-Sitzungen für jeden Tunnel konfigurieren.

Folgen Sie für jeden Tunnel der Anleitung unter BGP-Sitzungen erstellen.

HA VPN-Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie die neuen Cloud VPN-Gateways und die zugehörigen VPN-Tunnel verwenden können:

  1. Richten Sie die Peer-VPN-Gateways für Ihre lokalen Netzwerke ein und konfigurieren Sie die entsprechenden Tunnel dort. Weitere Informationen finden Sie hier:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
  3. Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Nächste Schritte