配置通过 Cloud Interconnect 实现的高可用性 VPN

本文档介绍了在 Cloud Interconnect 连接的加密 VLAN 连接之上部署高可用性 VPN 所需的步骤。这些步骤适用于专用互连和合作伙伴互连的高可用性 VPN。

为通过 Cloud Interconnect 实现的高可用性 VPN 部署创建高可用性 VPN 网关时，您需要将该高可用性 VPN 网关与两个加密的 VLAN 连接相关联。将每个 VLAN 连接与一个高可用性 VPN 网关接口相关联。第一个边缘可用性网域 zone1 中的第一个 VLAN 连接对应于高可用性 VPN 接口 0。 zone2 中的第二个 VLAN 连接对应于高可用性 VPN 接口 1。

创建加密的 VLAN 连接和高可用性 VPN 网关后，您可以创建连接到对等 VPN 网关的高可用性 VPN 隧道。每个高可用性 VPN 隧道的带宽为 3 Gbps。因此，为匹配 VLAN 连接的容量，您必须创建多个高可用性 VPN 隧道。

VLAN 容量和建议的隧道数

本部分根据 VLAN 连接的容量估算您可能需要的隧道数。VLAN 连接容量同时涵盖出站流量和入站流量，下表中的隧道数可能无法反映网络的特定流量模式。

您可以将下表作为基础，监控高可用性 VPN 隧道的流量利用率。为了确保有足够的容量用于隧道中的故障切换，我们建议给定 VPN 隧道的带宽不要超过 3 Gbps 带宽限制或 250,000 pps 数据包速率限制的 50%。

如需详细了解如何为 Cloud VPN 隧道设置监控和提醒，请参阅查看日志和指标。

VLAN 连接容量	每个 VLAN 连接的隧道数	整个部署的隧道总数
不超过 2 Gbps	1	2
5 Gbps	2	4
10 Gbps	4	8
20 Gbps	7	14
50 Gbps	17	34

网关和隧道映射

您无需将对等 VPN 网关与高可用性 VPN 网关进行一对一映射。只要对等 VPN 网关上的接口尚未映射到高可用性 VPN 网关接口，您就可以为高可用性 VPN 网关的每个接口添加多个隧道。特定高可用性 VPN 网关接口与特定对等 VPN 网关接口之间只能存在一个唯一的映射或隧道。

因此，您可以拥有以下配置：

通过隧道连接到单个对等 VPN 网关（具有多个接口）的多个高可用性 VPN 网关
通过隧道连接到多个对等 VPN 网关的单个高可用性 VPN 网关
通过隧道连接到多个对等 VPN 网关的多个高可用性 VPN 网关

一般来说，您需要部署的高可用性 VPN 网关的数量取决于您在本地网络中拥有多少个具有未使用接口的对等 VPN 网关。

下图提供了高可用性 VPN 网关与对等 VPN 网关之间的隧道映射示例。

示例 1：一个高可用性 VPN 连接到两个对等 VPN

**图 1**：一个高可用性 VPN 网关连接到两个对等 VPN 网关的示例（点击可放大）。

示例 2：两个高可用性 VPN 连接到一个对等 VPN

**图 2**：两个高可用性 VPN 连接到一个对等 VPN 网关的示例（点击可放大）。

创建高可用性 VPN 网关

执行此任务所需的权限

如需执行此任务，您必须已获得以下权限或 IAM 角色。

权限

compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

角色

roles/compute.networkAdmin

控制台

此过程假定您已使用 Google Cloud 控制台创建和配置加密的 VLAN 连接：

对于专用互连，请参阅创建加密的 VLAN 连接。
对于合作伙伴互连，请参阅创建加密的 VLAN 连接。

如要创建高可用性 VPN 网关，请按以下步骤操作：

在 Google Cloud 控制台中，继续执行通过 Cloud Interconnect 实现的高可用性 VPN 部署向导的下一部分操作。

完成适用于 Cloud Interconnect 的 Cloud Router 路由器配置后，系统会显示创建 VPN 网关页面。

通过 Cloud Interconnect 实现的高可用性 VPN 配置向导会自动根据您为 VLAN 连接配置的容量创建高可用性 VPN 网关。例如，如果您将 5 Gbps 指定为每个 VLAN 连接的容量，则该向导会创建两个高可用性 VPN 网关。
可选：点击展开以更改每个高可用性 VPN 网关生成的名称。
可选：如果您要添加更多高可用性 VPN 网关，请点击添加其他网关。指定名称和可选的说明。然后，点击完成。
点击创建并继续。

gcloud

使用 VLAN 容量和隧道表估算为匹配 VLAN 连接的容量所需的 VPN 隧道的数量。您至少需要创建一个高可用性 VPN 网关，才能创建这些高可用性 VPN 隧道。

在以下示例中，容量为 5 Gbps 的 VLAN 连接可能需要四个隧道。

创建高可用性 VPN 网关。

例如，以下命令会创建两个高可用性 VPN 网关，并为加密的 VLAN 连接分配网关接口。

gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

对于 --interconnect-attachments 参数，您需要列出两个 VLAN 连接。您列出的第一个 VLAN 连接会分配给高可用性 VPN 网关的接口 0 (if0)，第二个 VLAN 连接会分配给接口 1 (if1)。

配置高可用性 VPN Cloud Router 路由器、对等 VPN 网关资源和高可用性 VPN 隧道

控制台

在 Google Cloud 控制台中，继续执行通过 Cloud Interconnect 实现的高可用性 VPN 部署向导的下一部分操作。
在 Cloud Router 路由器部分中，选择一个 Cloud Router 路由器。此路由器专门用于管理所有高可用性 VPN 隧道的 BGP 会话。

如果 Cloud Router 路由器尚未管理与“合作伙伴互连”连接关联的 VLAN 连接的 BGP 会话，则可以使用现有的 Cloud Router 路由器。

您不能使用通过 Cloud Interconnect 实现的高可用性 VPN 部署的互连层级所使用的加密 Cloud Router 路由器。
如果您没有可用的 Cloud Router 路由器，请选择创建新路由器，然后指定以下内容：
- 名称
- 可选的说明
- 新路由器的 Google ASN
  
  您可以使用未在网络中其他位置使用的任何专用 ASN（64512 至 65534、4200000000 至 4294967294）。Google ASN 用于同一个 Cloud Router 路由器上的所有 BGP 会话，且以后不能更改 ASN。
如需创建新路由器，请点击创建。
通过选择 IKEv1 或 IKEv2 来配置 IKE 版本。此版本用于部署中的所有高可用性 VPN 隧道。
可选：点击生成密钥，为所有 VPN 隧道生成 IKE 预共享密钥。如果您选择此选项，则系统会为所有高可用性 VPN 网关中的所有隧道填充相同的 IKE 预共享密钥。请确保将预共享密钥记录在一个安全位置，因为在创建 VPN 隧道后将无法检索该密钥。
在 VPN 配置部分中，点击一个 VPN 配置，然后指定以下内容：
1. 对等 VPN 网关：选择现有的对等 VPN 网关，或者通过选择创建新的对等 VPN 网关来创建一个。如需创建对等 VPN 网关，请指定以下内容：
  - 名称
  - 两个接口
    
    如果您需要指定单个接口或四个接口，则无法在 Google Cloud 控制台中创建此对等 VPN 网关。请改用 Google Cloud CLI。具体而言，如果您要连接到 Amazon Web Services (AWS)，则必须在对等 VPN 网关上分配四个接口。
2. 在 IP 地址字段中，输入两个对等 VPN 网关接口的 IPv4 地址。
3. 点击创建。
在 ENCRYPTED VLAN_ATTACHMENT_1 上的 VPN 隧道和 ENCRYPTED VLAN_ATTACHMENT_2 上的 VPN 隧道下，为每个隧道配置以下字段：
- 名称：您可以保留生成的隧道名称，也可以对其进行修改。
- 说明：可选。
- 关联的对等 VPN 网关接口：选择要与此隧道以及高可用性 VPN 接口关联的对等 VPN 网关接口和 IP 地址组合。此接口必须与您的实际对等路由器上的接口匹配。
- IKE 预共享密钥：如果您尚未为所有隧道生成预共享密钥，请指定 IKE 预共享密钥。使用与您在对等网关上创建的预共享密钥相对应的预共享密钥（共享密钥）。如果您尚未在对等 VPN 网关上配置预共享密钥并希望生成一个预共享密钥，请点击生成并复制。请确保将预共享密钥记录在一个安全位置，因为在创建 VPN 隧道后将无法检索该密钥。
完成两个隧道的配置后，点击完成。
对每个高可用性 VPN 网关重复前两个步骤，直到您配置完所有网关及其隧道。
如果您需要添加更多隧道，请点击添加 VPN 配置，然后配置以下字段：
1. VPN 网关：选择与加密的 VLAN 连接关联的一个高可用性 VPN 网关。
2. 对等 VPN 网关：选择现有的对等 VPN 网关，或者通过选择创建新的对等 VPN 网关来创建一个。如需创建新的对等 VPN 网关，请指定以下内容：
  - 名称
  - 两个接口
  如果您需要指定单个接口或四个接口，则无法在 Google Cloud 控制台中创建此对等 VPN 网关。请改用 Google Cloud CLI。具体而言，如果您要连接到 AWS，则必须在对等 VPN 网关上分配四个接口。
3. 在 IP 地址字段中，输入两个对等 VPN 网关接口的 IPv4 地址。
4. 点击创建。
完成所有高可用性 VPN 隧道的配置后，点击创建并继续。

gcloud

此路由器专门用于管理所有高可用性 VPN 隧道的 BGP 会话。

如果 Cloud Router 路由器尚未管理与“合作伙伴互连”连接关联的 VLAN 连接的 BGP 会话，则可以使用现有的 Cloud Router 路由器。您不能使用通过 Cloud Interconnect 实现的高可用性 VPN 部署的 Cloud Interconnect 层级所使用的加密 Cloud Router 路由器。

要创建 Cloud Router 路由器，请运行以下命令：
```
gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN
```
请替换以下内容：
- ROUTER_NAME：Cloud VPN 网关所在区域中的 Cloud Router 路由器的名称
- REGION：您在其中创建网关和隧道的 Google Cloud 区域
- NETWORK：Google Cloud 网络的名称
- GOOGLE_ASN：您尚未在对等网络中使用的任何专用 ASN（64512 到 65534，4200000000 到 4294967294）；Google ASN 将用于同一个 Cloud Router 路由器上的所有 BGP 会话，且以后无法更改
您创建的路由器应类似于以下示例输出：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a
```
至少创建一个外部对等 VPN 网关。
```
gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1
```
请替换以下内容：
- ON_PREM_GW_IP_0：分配给对等 VPN 网关上的接口 0 的 IP 地址
- ON_PREM_GW_IP_1：分配给对等 VPN 网关上的接口 1 的 IP 地址
根据需要在部署中创建任意数量的外部对等 VPN 网关。

对于您在创建高可用性 VPN 网关中创建的每个高可用性 VPN 网关，请为每个接口 0 和 1 创建一个 VPN 隧道。在每个命令中，将 VPN 隧道的对等端指定为您之前创建的外部 VPN 网关和接口。

例如，如需为创建高可用性 VPN 网关中创建的两个示例高可用性 VPN 网关创建四个隧道，请运行以下命令：

gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

配置 BGP 会话

控制台

在 Google Cloud 控制台中，继续执行通过 Cloud Interconnect 实现的高可用性 VPN 部署向导的下一部分操作。

创建所有高可用性 VPN 隧道后，您必须为每个隧道配置 BGP 会话。

点击每个隧道旁边的配置 BGP 会话。

按照创建 BGP 会话中的说明，为每个 VPN 隧道配置 BGP。

gcloud

创建所有高可用性 VPN 隧道后，您必须为每个隧道配置 BGP 会话。

对于每个隧道，请按照创建 BGP 会话中的说明操作。

完成高可用性 VPN 配置

请先完成以下步骤，然后才能使用新的 Cloud VPN 网关及其关联的 VPN 隧道：

为您的本地网络设置对等 VPN 网关，并在此配置相应的隧道。如需了解相关说明，请参阅以下内容：
- 如需了解某些对等 VPN 设备的特定配置指南，请参阅使用第三方 VPN。
- 如需了解常规配置参数，请参阅配置对等 VPN 网关。
根据需要在 Google Cloud 和对等网络中配置防火墙规则。
检查您的 VPN 隧道的状态。注意：此步骤包括检查高可用性 VPN 网关的高可用性配置。

后续步骤

如果您需要添加更多高可用性 VPN 隧道，请参阅添加 VPN 隧道。
如需了解高可用性 VPN 监控，请参阅查看日志和指标。