VLAN-Anhänge erstellen

VLAN-Anhänge (auch interconnectAttachments genannt) bestimmen, welche Virtual Private Cloud-Netzwerke (VPC) Ihr lokales Netzwerk über eine Dedicated Interconnect-Verbindung erreichen können. Sie haben die Möglichkeit, VLAN-Anhänge über Verbindungen zu erstellen, die alle Tests bestanden haben und einsatzbereit sind.

Sie können unverschlüsselte VLAN-Anhänge oder verschlüsselte VLAN-Anhänge erstellen. Verschlüsselte VLAN-Anhänge werden in HA VPN über Cloud Interconnect-Bereitstellungen verwendet. Sie können unverschlüsselte VLAN-Anhänge erstellen, die Single-Stack (nur IPv4) oder Dual-Stack (IPv4 und IPv6) sind.

Wenn Sie einen unverschlüsselten VLAN-Anhang erstellen, ist er standardmäßig Single-Stack (nur IPv4). Sofern Sie nichts anderes angeben, ist die Schnittstelle, die Sie für Ihren unverschlüsselten VLAN-Anhang erstellen, eine einzelne Schnittstelle mit einer IPv4-Adresse. In der resultierenden BGP-Sitzung werden nur IPv4-Routen ausgetauscht.

Zur Unterstützung von IPv6-Traffic müssen Sie einen unverschlüsselten Dual-Stack-VLAN-Anhang (IPv4 und IPv6) konfigurieren. Mit einem Dual-Stack-VLAN-Anhang können Sie eine IPv4-BGP-Sitzung, eine IPv6-BGP-Sitzung oder beides erstellen.

Verschlüsselte VLAN-Anhänge sind jedoch immer nur als IPv4 konfiguriert. Wenn Sie IPv6-Traffic in Ihren verschlüsselten Anhängen für eine HA VPN über Cloud Interconnect-Bereitstellung unterstützen möchten, können Sie Dual-Stack-HA VPN-Gateways und -Tunnel konfigurieren.

Die Abrechnung für VLAN-Anhänge beginnt, sobald Sie sie erstellt haben, und endet, sobald Sie sie löschen.

Wenn Sie VLAN-Anhänge verwenden, die sich in anderen Google CloudRegionen als Ihre Dedicated Interconnect-Verbindung befinden, ändern Sie den Modus für das dynamische Routing Ihres VPC-Netzwerk-Netzwerks zu Global.

Wenn Sie einen VLAN-Anhang für eine Verbindung in einem anderen Google Cloud-Projekt erstellen müssen, lesen Sie die Informationen unter Dedicated Interconnect-Verbindungen in anderen Projekten verwenden.

Informationen zu VLAN-Anhängen für Partner Interconnect finden Sie unter VLAN-Anhänge für Partner Interconnect erstellen.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.

Informationen zur Behebung häufiger Probleme bei der Verwendung von Dedicated Interconnect finden Sie unter Fehlerbehebung.

VLAN-Anhänge mit einer Cloud Router-Instanz verknüpfen

Bei Dedicated Interconnect ordnet der VLAN-Anhang einer Verbindung ein VLAN zu und verknüpft dieses VLAN mit dem angegebenen Cloud Router. Es ist möglich, mehrere unterschiedliche VLAN-Anhänge mit demselben Cloud Router zu verknüpfen.

Geben Sie beim Erstellen eines VLAN-Anhangs einen Cloud Router an, der sich in der Region mit den zu erreichenden Subnetzen befindet. Der VLAN-Anhang ordnet automatisch eine VLAN-ID und BGP-Peering-IP-Adressen (Border Gateway Protocol) zu. Verwenden Sie diese Informationen, um Ihren lokalen Router zu konfigurieren und eine BGP-Sitzung mit dem Cloud-Router einzurichten.

Optional können Sie beim Erstellen des VLAN-Anhang einen möglichen Bereich für IPv4-BGP-Adressen manuell angeben. Cloud Router wählt IPv4-Adressen aus diesem Bereich für die Schnittstelle und den BGP-Peer aus. Diese IPv4-Adressen können nach der Auswahl nicht mehr geändert werden. Der als Kandidat angegebene BGP-IPv4-Adressbereich muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

Sie können beim Erstellen des VLAN-Anhang keinen möglichen Bereich für IPv6-Adressen manuell angeben.

Für HA VPN über Cloud Interconnect müssen Sie einen Cloud Router erstellen, der ausschließlich mit verschlüsselten VLAN-Anhängen genutzt wird. Der Cloud Router tauscht nur die Routen für die VPN-Gateways über die VLAN-Anhänge aus. Damit wird sichergestellt, dass nur verschlüsselter Traffic die Anhänge verlässt. Dieser Cloud Router kann nicht für unverschlüsselte VLAN-Anhänge oder für VPN-Tunnel verwendet werden.

Mehrere VLAN-Anhänge verwenden

Jeder VLAN-Anhang unterstützt eine maximale Bandbreite von 100 Gbit/s in den auf der Seite Preise beschriebenen Schritten und eine maximale Paketrate,wie unter Cloud Interconnect-Limits dokumentiert. Dies gilt auch, wenn der Anhang für eine Verbindung konfiguriert wurde, die eine höhere Bandbreitenkapazität als der Anhang hat.

Möglicherweise müssen Sie, um die Bandbreite einer Verbindung vollständig nutzen zu können, mehrere VLAN-Anhänge erstellen.

Wenn Sie mehrere VLAN-Anhänge für ausgehenden Traffic in einem VPC-Netzwerk gleichzeitig verwenden möchten, müssen Sie sie in derselben Region erstellen. Konfigurieren Sie dann Ihren lokalen Router so, dass er Routen mit demselben MED bewirbt. Die benutzerdefinierten dynamischen Routen, die über BGP-Sitzungen auf einer oder mehreren Cloud Router-Instanzen erkannt werden, die die VLAN-Anhänge verwalten, werden auf Ihr VPC-Netzwerk mit einer Routenpriorität gemäß MED angewendet.

Wenn mehrere verfügbare Routen dieselbe Priorität haben, verteilt Google Cloudden Traffic unter Verwendung eines 5-Tupel-Hash für Affinität und implementiert ein ECMP-Routingdesign (Equal Cost Multipath). Weitere Informationen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.

Unverschlüsselte VLAN-Anhänge erstellen

Console

  1. Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

    Zu „VLAN-Anhänge“

  2. Klicken Sie auf VLAN-Anhänge erstellen.

  3. Wählen Sie Dedicated Interconnect-Verbindung aus.

  4. Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option Unverschlüsselte Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.

  5. Wählen Sie zum Erstellen von Anhängen in Ihrem Projekt im Abschnitt Interconnect-Verbindungen und Redundanz auswählen die Option In diesem Projekt aus. Informationen zur Nutzung weiterer Projekte finden Sie unter Dedicated Interconnect-Verbindungen in anderen Projekten verwenden.

  6. Wählen Sie in Ihrem Projekt eine vorhandene Dedicated Interconnect-Verbindung aus und klicken Sie dann auf Weiter.

  7. Wählen Sie VLAN-Anhang hinzufügen aus und geben Sie die folgenden Details an:

    • Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf den Anhang zu verweisen, z. B. auf my-attachment.
    • Beschreibung (optional): Eine Beschreibung des Anhangs.

  8. Wählen Sie einen Stacktyp für den Anhang aus, entweder IPv4 (Single-Stack) oder IPv4 und IPv6 (Dual-Stack).

  9. Wählen Sie einen Cloud Router, der mit diesem Anhang verknüpft werden soll. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten.

    Wenn Sie noch keinen Cloud Router haben, wählen Sie Neuen Router erstellen aus. Verwenden Sie als BGP-ASN eine beliebige private ASN (64512-65535 oder 4200000000-4294967294) oder 16550.

  10. Optional: Um eine VLAN-ID, einen bestimmten IP-Adressbereich für die BGP-Sitzung, die Kapazität der VLAN-Anhänge oder die MTU (Maximum Transmission Unit) anzugeben, klicken Sie auf VLAN-ID, BGP-IPs, Kapazität, MTU.

    • Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.

      Standardmäßig generiert Google automatisch eine VLAN-ID. Sie können eine VLAN-ID im Bereich von 2 bis 4093 angeben. Sie können keine VLAN-ID angeben, die für die Verbindung bereits verwendet wird. Wenn Ihre VLAN-ID bereits verwendet wird, werden Sie aufgefordert, eine andere auszuwählen.

      Wenn Sie keine VLAN-ID eingeben, wird automatisch eine nicht verwendete, zufällige VLAN-ID für den VLAN-Anhang ausgewählt.

    • Um einen IPv4-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IPv4-Adresse zuweisen die Option Manuell aus.

      Der angegebene BGP-IP-Adressbereich muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

      IPv4-Adressen, die für die BGP-Sitzung zwischen einem Cloud Router und Ihrem lokalen Router verwendet werden, werden aus dem IPv4-Link-Local-Adressbereich (169.254.0.0/16) zugewiesen. Standardmäßig wählt Google nicht verwendete Adressen aus dem IPv4-Link-Local-Adressbereich aus.

      Sie können bis zu 16 Präfixe aus dem IPv4-Link-Local-Adressbereich angeben, um den IPv4-Bereich einzuschränken, aus dem Google auswählt. Alle Präfixe müssen sich innerhalb des Bereichs 169.254.0.0/16 befinden und müssen eine Präfixlänge von maximal /30 haben, z. B. /29 oder /28. Ein nicht verwendeter /29-Bereich wird automatisch aus dem angegebenen Präfix ausgewählt. Die Adresszuweisungsanfrage schlägt fehl, wenn alle möglichen /29-Bereiche bereits von Google Cloudverwendet werden.

      Wenn Sie keinen Präfixbereich angeben, wählt Google Cloud eine Google Cloud -Adresszuweisung aus /29 aus, die noch nicht von einer BGP-Sitzung in Ihrem VPC-Netzwerk verwendet wird.169.254.0.0/16 Wenn Sie ein oder mehrere Präfixe angeben,wählt Google Cloud eine nicht verwendete /30-Adresszuweisung aus den angegebenen Präfixen aus.

      Nachdem der /30-Adressbereich ausgewählt wurde,weist Google Clouddem Cloud Router eine Adresse und Ihrem lokalen Router eine andere Adresse zu. Der restliche Adressbereich im /30-Präfix ist für die Nutzung durch Google reserviert.

    • Wählen Sie im Feld Kapazität einen Wert aus, um die maximale Anzahl von Bandbreite anzugeben Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet.

      Wenn Sie mehrere VLAN-Anhänge für eine Verbindung haben, können Sie mit der Kapazitätseinstellung festlegen, wie viel Bandbreite ein Anhang jeweils belegen kann. Die maximale Bandbreite ist ein Näherungswert, daher können VLAN-Anhänge mehr Bandbreite belegen als die ausgewählte Kapazität.

    • Wählen Sie zur Festlegung der maximalen Übertragungseinheit (Maximum Transmission Unit, MTU) einen Wert aus dem Feld aus.

      Um eine MTU mit 1.460, 1.500 oder 8.896 Byte zu verwenden, muss das VPC-Netzwerk, das den Anhang verwendet, eine MTU auf denselben Wert festlegen. Darüber hinaus muss für die lokalen VM-Instanzen und Router die MTU auf den gleichen Wert festgelegt werden. Wenn Ihr Netzwerk die MTU-Standardeinstellung 1460 hat, wählen Sie eine MTU von 1460 für Ihren Anhang aus.

  11. Wenn Sie mehrere VPC-Netzwerke verbinden möchten (z. B. für Redundanz), klicken Sie auf + VLAN-Anhang hinzufügen, um weitere VLANs an die Verbindung anzuhängen. Wählen Sie für jeden VLAN-Anhang eine andere Cloud Router-Instanz aus. Weitere Informationen finden Sie im Abschnitt Redundanz in der Übersicht.

  12. Nachdem Sie alle benötigten VLAN-Anhänge erstellt haben, klicken Sie auf Erstellen. Die Anhänge sind in wenigen Momenten erstellt.

    Im Bildschirm BGP-Sitzungen konfigurieren werden die einzelnen VLAN-Anhänge und ihre Konfigurationsstatus angezeigt.

  13. Klicken Sie bei jedem VLAN-Anhang zum Erstellen einer BGP-Sitzung für den Austausch von BGP-Routen zwischen Ihrem Cloud Router-Netzwerk und Ihrem lokalen Router auf Konfigurieren und geben Sie dann die folgenden Informationen ein:

    • Name: Ein Name für die BGP-Sitzung.
    • Peer-ASN: Die öffentliche oder private ASN Ihres lokalen Routers.
    • Priorität der beworbenen Route (MED) (optional): Der vom Cloud Router verwendete Basiswert zum Berechnen der Routenmesswerte. Alle für diese Sitzung bekannt gegebenen Routen verwenden diesen Basiswert. Weitere Informationen finden Sie unter Angebotene Präfixe und Prioritäten.
    • BGP-Peer: Ermöglicht das Aktivieren oder Deaktivieren der BGP-Sitzung mit diesem Peer. Wenn diese Option deaktiviert ist, sendet dieser Cloud Router keine BGP-Verbindungsanfragen und lehnt alle BGP-Verbindungsanfragen von diesem Peer ab.
    • MD5-Authentifizierung (optional): Ermöglicht die Authentifizierung von BGP-Sitzungen zwischen Cloud Router und seinen Peers. Eine Anleitung zur Verwendung der MD5-Authentifizierung finden Sie unter MD5-Authentifizierung verwenden.
    • Benutzerdefinierte beworbene Routen (optional): Damit können Sie auswählen, welche Routen der Cloud Router über BGP für Ihren lokalen Router anbietet. Die Konfigurationsschritte finden Sie in der Übersicht über benutzerdefinierte beworbene Routen.
    • Benutzerdefinierte erkannte Routen: Ermöglicht die manuelle Definition zusätzlicher erkannter Routen für eine BGP-Sitzung. Der Cloud Router verhält sich so, als hätte er die Routen vom BGP-Peer erkannt.

    • Bidirectional Forwarding Detection (BFD) für Cloud Router (optional): Hiermit werden Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse erkannt, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Eine Anleitung zum Aktualisieren einer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD konfigurieren.

  14. Klicken Sie auf Speichern und fortfahren.

  15. Nachdem Sie allen VLAN-Anhängen BGP-Sitzungen hinzugefügt haben, klicken Sie auf Konfiguration speichern. Die von Ihnen konfigurierten BGP-Sitzungen sind inaktiv, bis Sie BGP auf Ihrem lokalen Router konfigurieren.

gcloud

Damit Sie einen VLAN-Anhang erstellen können, benötigen Sie einen vorhandenen Cloud Router in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Wenn Sie noch keinen Cloud Router haben, erstellen Sie einen. Der Cloud Router muss die BGP-ASN 16550 haben. Sie können auch eine beliebige private ASN (64512-65535 oder 4200000000-4294967294) verwenden.

  1. Erstellen Sie einen VLAN-Anhang. Der Anhang weist Ihrer Verbindung zum Cloud Router ein VLAN zu.

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des VLAN-Anhangs
    • REGION: die Region, in der sich der Cloud Router befindet
    • ROUTER_NAME: der Name des Cloud Router, mit dem dieser VLAN-Anhang verbunden ist
    • INTERCONNECT_NAME: der Name Ihrer Dedicated Interconnect-Verbindung

    Dual-Stack-VLAN-Anhang (IPv4 und IPv6)

    Geben Sie --stack-type IPV4_IPV6 an, um einen Dual-Stack-VLAN-Anhang zu erstellen, der sowohl IPv4- als auch IPv6-Traffic unterstützen kann:

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME \
    --stack-type=IPV4_IPV6

    Wenn Sie einen VLAN-Anhang mit dem Stacktyp IPV4_IPV6 (Dual-Stack) erstellen,weist Google Cloud automatisch ein nicht verwendetes /125-CIDR aus dem Bereich 2600:2d00:0:1::/64 als IPv6-Adresse für den VLAN-Anhang zu. Google Cloud

    Wenn Sie den Stacktyp IPV4_IPV6 (Dual-Stack) auswählen, können Sie den VLAN-Anhang später mit einer IPv4-BGP-Sitzung, einer IPv6-BGP-Sitzung oder beidem konfigurieren.

    Wenn Sie das Flag --stack-type weglassen, wird der VLAN-Anhang als reiner IPv4-Anhang (Single-Stack) konfiguriert. Ein IPV4_ONLY-VLAN-Anhang (Single-Stack) kann nur IPv4-Routen austauschen. https://developers.google.com/devsite/author-databases Sie können den Stacktyp eines Anhangs auch nach der Erstellung noch ändern. Siehe Stacktyp ändern.

    IPv4-Adressen für das BGP-Peering zuweisen

    Für das BGP-Peering kann Google nicht verwendete IPv4-Adressen aus dem IPv4-Link-Local-Adressbereich (169.254.0.0/16) zuweisen. Um den Bereich der IPv4-Adressen einzuschränken, aus dem Google auswählen kann, verwenden Sie das Flag --candidate-subnets, wie im folgenden Beispiel gezeigt.

    Der angegebene BGP-Peering-IPv4-Adressbereich muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME \
    --candidate-subnets=CANDIDATE_SUBNETS

    Ersetzen Sie CANDIDATE_SUBNETS durch eine durch Kommas getrennte Liste von Bereichen mit Link-Local-IP-Adressen, die Google Cloud für die BGP-Sitzung verwendet, die Routen für den VLAN-Anhang verwaltet. Geben Sie dazu beispielsweise 169.254.0.0/29,169.254.10.0/24 ein.

    Sie können einen Bereich von bis zu 16 Präfixen aus dem IPv4-Link-Local-Adressbereich angeben. Alle Präfixe müssen sich innerhalb des Bereichs 169.254.0.0/16 befinden und müssen /29 oder kürzer sein, z. B. /28 oder /27. Ein nicht verwendetes /29-Präfix wird automatisch aus dem von Ihnen angegebenen Präfixbereich ausgewählt. Die Adresszuweisungsanfrage schlägt fehl, wenn alle möglichen /29-Präfixe bereits von Google Cloudverwendet werden.

    Sie können Kandidatenbereiche für Subnetze nur für IPv4-Adressen angeben. Sie können keinen möglichen Adressbereich für IPv6-Adressen angeben.

    VLAN-ID-Konfiguration

    Verwenden Sie das Flag --vlan wie im folgenden Beispiel, um eine VLAN-ID anzugeben:

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME \
    --vlan=5

    Standardmäßig generiert Google automatisch eine VLAN-ID. Sie können eine VLAN-ID im Bereich von 2 bis 4093 angeben. Sie können keine VLAN-ID angeben, die bereits für die Dedicated Interconnect-Verbindung verwendet wird. Wenn Ihre VLAN-ID bereits verwendet wird, werden Sie aufgefordert, eine andere auszuwählen.

    Wenn Sie keine VLAN-ID eingeben, wird automatisch eine nicht verwendete, zufällige VLAN-ID für den VLAN-Anhang ausgewählt.

    Konfiguration der maximalen Bandbreite

    Verwenden Sie das Flag --bandwidth wie im folgenden Beispiel, um die maximale Bandbreite des Anhangs anzugeben. Wenn Sie mehrere VLAN-Anhänge für eine Verbindung haben, können Sie mit der Kapazitätseinstellung festlegen, wie viel Bandbreite ein Anhang jeweils belegen kann. Die maximale Bandbreite ist ein Näherungswert, daher können VLAN-Anhänge mehr Bandbreite belegen als die ausgewählte Kapazität.

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME \
    --bandwidth=500M

    Wenn Sie keine Kapazität angeben, verwendet Cloud Interconnect die Standardeinstellung 10 Gbit/s. Weitere Informationen finden Sie in der Referenz zu gcloud compute interconnects attachments dedicated create.

    MTU-Konfiguration

    Die Standard-MTU eines Anhangs beträgt 1.440 Byte. Sie können auch eine Anhangs-MTU von 1.460, 1.500 oder 8.896 Byte angeben. Um eine MTU von 1.460, 1.500 oder 8.896 Byte für den Anhang festzulegen, verwenden Sie das Flag --mtu wie im folgenden Beispiel:

    gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --interconnect=INTERCONNECT_NAME \
    --mtu=1500

    Um eine MTU mit 1.460, 1.500 oder 8.896 Byte zu verwenden, muss für das VPC-Netzwerk, das den Anhang nutzt, und die lokalen Systeme und Router derselbe MTU-Wert festgelegt werden.

  2. Rufen Sie wie im folgenden Beispiel die Beschreibung des Anhangs ab, um die zugeordneten Ressourcen zu sehen, wie z. B. die VLAN-ID und die BGP-Peering-Adressen. Verwenden Sie diese Werte, um den Cloud Router und den lokalen Router zu konfigurieren.

    gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

    Die Ausgabe sieht in etwa so aus: 

    cloudRouterIpAddress: 169.254.180.81/29
creationTimestamp: '2022-03-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.180.82/29
dataplaneVersion: 2
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
kind: compute#interconnectAttachment
mtu: 1500
name: my-attachment
operationalStatus: ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    • Der Wert cloudRouterIpAddress (169.254.180.81/29) ist eine lokale IPv4-Adresse. Wenn Sie eine Cloud Router-Schnittstelle für diesen Anhang erstellen, verwendet die Schnittstelle diese IP-Adresse. Verwenden Sie dieselbe Adresse als benachbarte BGP-Adresse auf dem lokalen Router.

    • Der Wert customerRouterIpAddress (169.254.180.82/29) ist eine lokale IPv4-Adresse. Konfigurieren Sie auf dem Cloud Router einen BGP-Peer mit dieser Adresse über die Schnittstelle, der die Cloud Router-Adresse zugewiesen ist. Sie weisen diese Adresse der VLAN-Subschnittstelle auf Ihrem lokalen Router zu.

    • Der Wert stackType (IPV4_ONLY) gibt den Typ des Traffics an, der vom VLAN-Anhang unterstützt wird.

    • Der Wert vlanTag8021q (1000) identifiziert den Traffic, der über diesen Anhang weitergeleitet wird. Sie benötigen diesen Wert, um eine getaggte VLAN-Subschnittstelle auf Ihrem lokalen Router zu konfigurieren.

  3. Fügen Sie Ihrem Cloud Router die Schnittstelle oder Schnittstellen hinzu, die mit dem VLAN-Anhang verbunden sind.

    • Wenn Ihr VLAN-Anhang nur IPv4 unterstützt, müssen Sie eine Schnittstelle mit einer IPv4-Adresse erstellen.

    • Wenn Ihr VLAN-Anhang den Stacktyp IPV4_IPV6 (Dual-Stack) verwendet, können Sie eine Schnittstelle mit einer IPv4-Adresse, eine Schnittstelle mit einer IPv6-Adresse oder beides erstellen.

      Wenn Sie sowohl eine Schnittstelle mit einer IPv4-Adresse als auch eine Schnittstelle mit einer IPv6-Adresse erstellen, können Sie zwei BGP-Sitzungen parallel über denselben VLAN-Anhang ausführen. Weitere Informationen finden Sie in der Cloud Router-Dokumentation unter BGP-Sitzungen erstellen.

      Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse zu erstellen.

      gcloud compute routers add-interface ROUTER_NAME \
    --region=REGION \
    --interface-name=IPV4_INTERFACE_NAME \
    --interconnect-attachment=ATTACHMENT_NAME

      Ersetzen Sie IPV4_INTERFACE_NAME durch einen Namen für diese Schnittstelle.

      Die IPv4-Adresse einer Schnittstelle wird automatisch mit der cloudRouterIpAddress des Anhangs konfiguriert.

      Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv6-Adresse zu erstellen.

      gcloud beta compute routers add-interface ROUTER_NAME \
    --region=REGION \
    --interface-name=IPV6_INTERFACE_NAME \
    --interconnect-attachment=ATTACHMENT_NAME
    --ip-version=IPV6

      Ersetzen Sie IPV6_INTERFACE_NAME durch einen Namen für diese Schnittstelle.

      Die IPv6-Adresse einer Schnittstelle wird automatisch mit der cloudRouterIpv6Address des Anhangs konfiguriert.

  4. Fügen Sie für jede erstellte Schnittstelle einen BGP-Peer hinzu:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
    --interface=IPV4_INTERFACE_NAME \
    --region=REGION \
    --peer-name=IPV4_BGP_PEER_NAME \
    --peer-asn=PEER_ASN

    Ersetzen Sie Folgendes:

    • IPV4_BGP_PEER_NAME: einen Namen für diesen BGP-Peer.

    • PEER_ASN: dieselbe ASN, die Sie auf Ihrem lokalen Router konfiguriert haben.

    Die IPv4-Adresse des BGP-Peers wird automatisch über die customerRouterIpAddress Ihres Anhangs konfiguriert.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
      --interface=IPV6_INTERFACE_NAME \
      --region=REGION \
      --peer-name=IPV6_BGP_PEER_NAME \
      --peer-asn=PEER_ASN

    Ersetzen Sie IPV6_BGP_PEER_NAME durch einen Namen für diesen BGP-Peer.

    Die IPv6-Adresse des Peers wird automatisch mit der customerRouterIpv6Address Ihres Anhangs konfiguriert.

    MP-BGP-Konfiguration (Multiprotokoll-BGP)

    Wenn Sie den VLAN-Anhang mit dem Stacktyp IPV4_IPV6 (Dual-Stack) konfiguriert haben, können Sie in Ihrer IPv4-BGP-Sitzung oder in Ihrer IPv6-BGP-Sitzung Multiprotocol BGP (MP-BGP) verwenden. Sie können MP-BGP nicht verwenden, wenn Sie beide BGP-Sitzungen verwenden.

    Mit MP-BGP können Sie IPv6-Routen über eine IPv4-BGP-Sitzung oder IPv4-Routen über IPv6-BGP-Sitzungen austauschen.

    Führen Sie den folgenden Befehl aus, um den IPv6-Routenaustausch in einer IPv4-BGP-Sitzung zu aktivieren.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
    --interface=IPV4_INTERFACE_NAME \
    --region=REGION \
    --peer-name=IPV4_BGP_PEER_NAME \
    --peer-asn=PEER_ASN
    --enable-ipv6

    Wenn Sie das Flag --enable-ipv6 weglassen, tauscht die IPv4-BGP-Sitzung nur IPv4-Routen aus. Sie können den IPv6-Routenaustausch auch in der BGP-Sitzung später aktivieren.

    Führen Sie den folgenden Befehl aus, um den IPv4-Routenaustausch in einer IPv6-BGP-Sitzung zu aktivieren.

    gcloud beta compute routers add-bgp-peer ROUTER_NAME \
    --interface=IPV6_INTERFACE_NAME \
    --region=REGION \
    --peer-name=IPV6_BGP_PEER_NAME \
    --peer-asn=PEER_ASN
    --enable-ipv4

    Weitere Informationen finden Sie unter Multiprotokoll-BGP für IPv4- oder IPv6-BGP-Sitzungen konfigurieren.

    Wenn Sie den IPv6-Routenaustausch in Ihrer IPv4-BGP-Sitzung aktivieren, müssen Sie Ihren lokalen Router so konfigurieren, dass seine IPv6-Routen mit der customerRouterIpv6Address Ihres Attachments als nächsten Hop beworben werden.

    Wenn Sie den IPv4-Routenaustausch in Ihrer IPv6-BGP-Sitzung aktivieren, müssen Sie Ihren lokalen Router so konfigurieren, dass seine IPv4-Routen mit der customerRouterIpAddress Ihres Attachments als nächsten Hop beworben werden.

    Beschreiben Sie den Anhang, um die IPv4- oder IPv6-Adresse des nächsten Hops abzurufen.

    gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

    Die Ausgabe sieht in etwa so aus:

    cloudRouterIpAddress: 169.254.180.81/29
cloudRouterIpv6Address: 2600:2d00:0:1:8000:12:0:299/125
creationTimestamp: '2022-03-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.180.82/29
customerRouterIpv6Address: 2600:2d00:0:1:8000:12:0:29a/125
dataplaneVersion: 2
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
kind: compute#interconnectAttachment
mtu: 1500
name: my-attachment
operationalStatus: ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
stackType: IPV4_IPV6
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    Konfiguration der beworbenen Route und des MED-Werts

    Um einen Basis-MED-Wert anzugeben, verwenden Sie das Flag --advertised-route-priority. Der Cloud Router verwendet diesen Wert, um Routenmesswerte für alle Routen zu berechnen, die für diese Sitzung bekannt gegeben werden. Weitere Informationen finden Sie in der Cloud Router-Dokumentation im Abschnitt zu Angebotene Präfixe und Prioritäten.

    Sie können auch das Flag --advertisement-mode verwenden, um den Modus für benutzerdefiniertes Advertising für diese BGP-Sitzung zu aktivieren. Verwenden Sie --advertisement-groups und --advertisement-ranges, um die benutzerdefinierten beworbenen Routen für die BGP-Sitzung zu definieren. Mit benutzerdefinierten beworbenen Routen können Sie auswählen, welche Routen der Cloud Router über BGP für Ihren lokalen Router anbietet. Sie können sowohl benutzerdefinierte IPv4- als auch benutzerdefinierte IPv6-beworbene Routen angeben. Benutzerdefinierte IPv6-Routen werden jedoch nur in BGP-Sitzungen beworben, für die der IPv6-Routenaustausch aktiviert ist. Benutzerdefinierte IPv4-Routen werden nur in BGP-Sitzungen beworben, in denen der IPv4-Routenaustausch aktiviert ist.

    Die Konfigurationsschritte finden Sie in der Übersicht über benutzerdefinierte beworbene Routen.

    Konfiguration benutzerdefinierter erkannter Routen

    Wenn Sie benutzerdefinierte erkannte Routen konfigurieren möchten, verwenden Sie das Flag --set-custom-learned-route-ranges. Optional können Sie auch das Flag --custom-learned-route-priority verwenden, um einen MED-Wert für die Routen festzulegen. Jede BGP-Sitzung kann einen MED-Wert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen zur Funktionsweise von erkannten Routen in VPC finden Sie unter Erkannte Routen.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
    --interface=my-router-i1-intf-v4 \
    --region=REGION \
    --peer-name=BGP_PEER_NAME \
    --peer-asn=PEER_ASN
    --set-custom-learned-route-ranges=IP_PREFIXES \
    --custom-learned-route-priority=MED_VALUE

    Ersetzen Sie Folgendes:

    • IP_PREFIXES: Eine durch Kommas getrennte Liste von IP-Adresspräfixen, z. B. 1.2.3.4,6.7.0.0/16

    • MED_VALUE: einen MED-Wert für die angegebenen IP-Präfixe. Sie können einen MED-Wert zwischen 0 und 65535 festlegen.

    Konfiguration der MD5-Authentifizierung

    Wenn Sie die MD5-Authentifizierung verwenden möchten, fügen Sie das Flag md5-authentication-key hinzu. Weitere Informationen zu diesem Feature finden Sie unter MD5-Authentifizierung verwenden.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
    --interface=my-router-i1-intf-v4 \
    --region=REGION \
    --peer-name=BGP_PEER_NAME \
    --peer-asn=PEER_ASN
    --md5-authentication-key=MD5_AUTHENTICATION_KEY

    Ersetzen Sie MD5_AUTHENTICATION_KEY durch den MD5-Authentifizierungsschlüssel für diesen BGP-Peer.

    Bidirectional Forwarding Detection (BFD)

    Wenn Sie Bidirectional Forwarding Detection (BFD) für Cloud Router hinzufügen möchten, können Sie Ihren BGP-Peer mit einer BFD-Sitzung konfigurieren. BFD erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD für Cloud Router konfigurieren.

Wenn Sie Redundanz mit einer duplizierten Dedicated Interconnect-Verbindung herstellen, wiederholen Sie diese Schritte für die zweite Verbindung und geben Sie die gleiche Cloud Router-Instanz an. Weitere Informationen finden Sie unter Redundanz und SLA.

Verschlüsselte VLAN-Anhänge erstellen

Console

  1. Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

    Zu „VLAN-Anhänge“

  2. Klicken Sie auf VLAN-Anhänge erstellen.

  3. Wählen Sie Dedicated Interconnect-Verbindung aus.

  4. Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option HA VPN über Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.

  5. Wählen Sie im Abschnitt Interconnect-Verbindungen auswählen zwei vorhandene Dedicated Interconnect-Verbindungen aus, für die Sie HA VPN über Cloud Interconnect bereitstellen möchten.

    • Wählen Sie In diesem Projekt aus, um die Verbindungen im aktuellen Projekt zu verwenden.
    • Wenn Sie die Verbindungen in einem anderen Projekt nutzen möchten, wählen Sie In einem anderen Projekt aus und geben Sie dann die jeweilige Projekt-ID ein.
    • Wählen Sie im Feld Interconnect 1 die erste Verbindung aus.
    • Wählen Sie im Feld Interconnect 2 die zweite Verbindung aus. Wählen Sie eine Verbindung aus, die in derselben Metropolregion (Metro) gehostet wird, jedoch in einer anderen Edge-Verfügbarkeitsdomain als die erste Verbindung. Wenn sich beispielsweise die erste Verbindung in ord-zone1 befindet, muss die zweite Verbindung in ord-zone2 sein.

  6. Nachdem Sie zwei vorhandene Dedicated Interconnect-Verbindungen ausgewählt haben, klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option VPC-Netzwerk aus.

  8. Wählen Sie im Feld Verschlüsselter Interconnect-Router einen Cloud Router aus, um diesen mit beiden verschlüsselten VLAN-Anhängen zu verknüpfen. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten. Außerdem kann der von Ihnen angegebene Cloud Router nur mit verschlüsselten VLAN-Anhängen verwendet werden. Dieser Router bewirbt nur die Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.

    Wenn Sie keinen verschlüsselten Cloud Router haben, wählen Sie Neuen Router erstellen aus und geben Sie eine Region an.

    Verwenden Sie als BGP-ASN eine beliebige private ASN (64512-65535 oder 4200000000-4294967294) oder 16550.

  9. Konfigurieren Sie die beiden VLAN-Anhänge. Konfigurieren Sie für VLAN-Anhang 1 und VLAN-Anhang 2 die folgenden Felder:

    • Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf den Anhang zu verweisen, z. B. auf my-attachment.
    • Beschreibung: Geben Sie eine optionale Beschreibung ein.

  10. Um eine VLAN-ID oder einen bestimmten IP-Adressbereich für die BGP-Sitzung zu konfigurieren, klicken Sie auf VLAN-ID, BGP-IPs.

    • Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.
    • Um einen IPv4-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IP-Adresse zuweisen die Option Manuell aus.

    Wenn Sie keine VLAN-ID angeben oder BGP-IPv4-Adressen manuell zuweisen, ordnetGoogle Cloud diese Werte automatisch zu.

  11. Wählen Sie im Feld Kapazität die maximale Bandbreite für jeden VLAN-Anhang aus. Der Wert für VLAN-Anhang 1 wird automatisch auf VLAN-Anhang 2 angewendet. Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet. Die ausgewählte Kapazität bestimmt, wie viele HA VPN-Tunnel Sie bereitstellen müssen.

  12. Wählen Sie im Bereich IP-Adressen für VPN-Gateway den Typ der IP-Adressen aus, der für Ihre HA VPN-Tunnelschnittstellen verwendet werden soll.

    • Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein. Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29 fest. Die Präfixlänge bestimmt die Anzahl der für die VPN-Tunnelschnittstellen verfügbaren IPv4-Adressen und muss auf die Kapazität des Anhangs abgestimmt sein. Weitere Informationen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
    • Wenn Sie Externe regionale IP-Adressen auswählen, weist Cloud Interconnect den externen HA VPN-Tunnelschnittstellen, die Sie in Ihrem VLAN-Anhang erstellen, automatisch regionale externe IP-Adressen zu.

    Beide VLAN-Anhänge müssen für ihre VPN-Gateway-IPv4-Adressen den gleichen internen oder externen Adressierungstyp verwenden.

  13. Nachdem Sie beide VLAN-Anhänge angelegt haben, klicken Sie auf Erstellen. Es kann dann etwas dauern, bis die Anhänge erstellt sind.

  14. Im Bildschirm Interconnect-Router konfigurieren werden die einzelnen VLAN-Anhänge und ihr jeweiliger Konfigurationsstatus angezeigt.

  15. Klicken Sie bei jedem VLAN-Anhang zum Erstellen einer BGP-Sitzung für den Austausch von BGP-Routen zwischen Ihrem Cloud Router-Netzwerk und Ihrem lokalen Router auf Konfigurieren und geben Sie dann die folgenden Informationen ein:

    • Name: Ein Name für die BGP-Sitzung.
    • Peer-ASN: Die öffentliche oder private ASN Ihres lokalen Routers.

    • Priorität der beworbenen Route (MED) (optional): Der vom Cloud Router verwendete Basiswert zum Berechnen der Routenmesswerte. Alle für diese Sitzung bekannt gegebenen Routen verwenden diesen Basiswert. Weitere Informationen finden Sie unter Angebotene Präfixe und Prioritäten.

      Dieser Cloud Router bewirbt nur Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.

    • BGP-Peer: Ermöglicht das Aktivieren oder Deaktivieren der BGP-Sitzung mit diesem Peer. Wenn diese Option deaktiviert ist, sendet dieser Cloud Router keine BGP-Verbindungsanfragen und lehnt alle BGP-Verbindungsanfragen von diesem Peer ab.

    • MD5-Authentifizierung (optional): Ermöglicht die Authentifizierung von BGP-Sitzungen zwischen Cloud Router und seinen Peers. Eine Anleitung zur Verwendung der MD5-Authentifizierung finden Sie unter MD5-Authentifizierung verwenden.

    Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.

  16. Klicken Sie auf Speichern und fortfahren.

  17. Nachdem Sie allen VLAN-Anhängen BGP-Sitzungen hinzugefügt haben, klicken Sie auf Konfiguration speichern. Die von Ihnen konfigurierten BGP-Sitzungen sind inaktiv, bis Sie BGP auf Ihrem lokalen Router konfigurieren.

  18. Schließen Sie auf der Seite VPN-Gateways erstellen die HA VPN über Cloud Interconnect-Bereitstellung ab. Konfigurieren Sie dazu HA VPN für Ihre VLAN-Anhänge (siehe HA VPN über Cloud Interconnect konfigurieren). Klicken Sie dann auf Erstellen und fortfahren.

  19. Erstellen Sie auf der Seite VPN-Tunnel erstellen zwei VPN-Tunnel für jedes HA VPN-Gateway, einen Tunnel pro Schnittstelle. Geben Sie die Peer-Seite des VPN-Tunnels als entsprechende Schnittstelle auf dem Peer-VPN-Gateway an und klicken Sie dann auf Erstellen und fortfahren.

  20. Klicken Sie auf der Seite VPN-Router konfigurieren auf BGP-Sitzung konfigurieren, um die BGP-Sitzung auf dem Cloud Router für jeden HA-VPN-Tunnel einzurichten (siehe Benutzerdefinierte erkannte Routen angeben und verwalten).

gcloud

  1. Erstellen Sie einen verschlüsselten Cloud Router für Cloud Interconnect.

    Erstellen Sie den Cloud Router in dem Netzwerk und der Region, das bzw. die Sie von Ihrem lokalen Netzwerk aus erreichen möchten. Geben Sie das Flag --encrypted-interconnect-router an, um festzulegen, dass dieser Router für die HA VPN über Cloud Interconnect-Bereitstellung verwendet wird.

    gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --asn=ROUTER_ASN \
    --encrypted-interconnect-router

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Einen Namen für Ihren Cloud Router, z. B. interconnect-router.

    • NETWORK_NAME: ein Name für dieses Netzwerk, z. B. network-a.

    • ROUTER_ASN: eine ASN für diesen Router. Der Cloud Router muss die BGP-ASN 16550 haben. Sie können auch eine beliebige private ASN (64512-65535 oder 4200000000-4294967294) verwenden.

  2. Optional: Reservieren Sie einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29.

    Die Präfixlänge bestimmt die Anzahl der IPv4-Adressen, die für die VPN-Gateway-Schnittstellen verfügbar sind. Die Anzahl der IPv4-Adressen, die Sie reservieren müssen, hängt von der Kapazität des zugehörigen VLAN-Anhangs ab.

    So reservieren Sie beispielsweise einen Bereich für den ersten VLAN-Anhang mit einer Kapazität von 10 Gbit/s:

      gcloud compute addresses create IP_ADDRESS_RANGE_NAME_1 \
      --region=REGION \
      --addresses=192.168.1.0 \
      --prefix-length=29 \
      --network=NETWORK_NAME \
      --purpose=IPSEC_INTERCONNECT

    Ersetzen Sie IP_ADDRESS_RANGE_NAME_1 durch einen Namen für diesen IP-Adressbereich.

    So reservieren Sie einen Adressbereich für den zweiten VLAN-Anhang:

     gcloud compute addresses create IP_ADDRESS_RANGE_NAME_2 \
     --region=REGION \
     --addresses=192.168.2.0 \
     --prefix-length=29 \
     --network=NETWORK_NAME \
     --purpose=IPSEC_INTERCONNECT

    Ersetzen Sie IP_ADDRESS_RANGE_NAME_2 durch einen Namen für diesen IP-Adressbereich.

    Weitere Informationen zum Reservieren regionaler interner Adressen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.

  3. Erstellen Sie den ersten verschlüsselten VLAN-Anhang und geben Sie dafür die Namen der ersten Verbindung und des verschlüsselten Cloud Router an:

     gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME \
     --region=REGION \
     --router=INTERCONNECT_ROUTER_NAME \
     --interconnect=INTERCONNECT_NAME_1 \
     --bandwidth=10g \
     --encryption=IPSEC \
     --ipsec-internal-addresses=IP_RANGE_1

    Ersetzen Sie Folgendes:

    • INTERCONNECT_NAME_1: der Name der Cloud Interconnect-Verbindung, zu der dieser Anhang gehört.

    • IP_RANGE_1: Der IP-Bereich für diese Verknüpfung, z. B. der regionale interne IPv4-Adressbereich ip-range-1.

    Wenn Sie für die HA VPN-Gateway-Schnittstellen in Ihrem Anhang regionale externe IPv4-Adressen verwenden möchten, lassen Sie das Flag --ipsec-internal-addresses weg. Allen HA VPN-Gateway-Schnittstellen werden automatisch regionale externe IPv4-Adressen zugewiesen.

     gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME_1 \
     --region=REGION \
     --router=INTERCONNECT_ROUTER_NAME \
     --interconnect=INTERCONNECT_NAME_1 \
     --bandwidth=10g \
     --encryption=IPSEC

    Sie können mit verschlüsselten VLAN-Anhängen keine benutzerdefinierte MTU (--mtu) festlegen. Alle verschlüsselten VLAN-Anhänge müssen eine MTU von 1.440 Byte nutzen. Dies ist der Standardwert.

    Darüber hinaus können Sie über Cloud Interconnect keine Dual-Stack-VLAN-Anhänge für HA VPN erstellen. Verschlüsselte VLAN-Anhänge unterstützen nur den Stacktyp IPV4_ONLY (Single-Stack).

  4. Erstellen Sie den zweiten verschlüsselten VLAN-Anhang. Geben Sie dafür die Namen Ihrer zweiten Cloud Interconnect-Verbindung und des Cloud Router für Cloud Interconnect an:

      gcloud compute interconnects attachments dedicated create ATTACHMENT_NAME_2 \
      --region=REGION \
      --router=INTERCONNECT_ROUTER_NAME \
      --interconnect=INTERCONNECT_NAME_2 \
      --bandwidth=10g \
      --encryption=IPSEC \
      --ipsec-internal-addresses=IP_RANGE_2

    Ersetzen Sie Folgendes:

    • INTERCONNECT_NAME_2: der Name der Cloud Interconnect-Verbindung, zu der dieser Anhang gehört.

    • IP_RANGE_2: Der IP-Bereich für diese Verknüpfung, z. B. der regionale interne IPv4-Adressbereich ip-range-2.

    Geben Sie beim Erstellen des zweiten VLAN-Anhangs das gleiche IPv4-Adressierungsschema (intern oder extern) an wie beim ersten Anhang. Wenn Sie für den ersten Anhang einen internen Adressbereich festgelegt haben, geben Sie einen anderen reservierten internen IPv4-Adressbereich an.

  5. Beschreiben Sie den Anhang, um die zugeordneten Ressourcen abzurufen, wie z. B. die VLAN-ID und die BGP-Peering-IPv4-Adressen, wie im folgenden Beispiel gezeigt. Verwenden Sie diese Werte, um den Cloud Router und den lokalen Router zu konfigurieren.

    Für den ersten VLAN-Anhang:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \
    --region=REGION

    Die Ausgabe sieht in etwa so aus:

    adminEnabled: true
bandwidth: BGP_10G
cloudRouterIpAddress: 169.254.61.89/29
creationTimestamp: '2022-05-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.61.90/29
dataplaneVersion: 2
encryption: IPSEC
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/INTERCONNECT_NAME_1
kind: compute#interconnectAttachment
name: my-attachment-1
operationalStatus: OS_ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/INTERCONNECT_ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-1
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    Für den zweiten VLAN-Anhang:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \
    --region=REGION

    Die Ausgabe sieht in etwa so aus:

    adminEnabled: true
bandwidth: BGP_10G
cloudRouterIpAddress: 169.254.116.185/29
creationTimestamp: '2022-05-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.116.186/29
dataplaneVersion: 2
encryption: IPSEC
id: '2973197662755397269'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/INTERCONNECT_NAME_2
kind: compute#interconnectAttachment
name: my-attachment-2
operationalStatus: OS_ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/INTERCONNECT_ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-2
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    • Die cloudRouterIpAddress-Werte (169.254.61.89/29 und 169.254.116.185/29) sind Link-Local-IPv4-Adressen. Wenn Sie Cloud Router-Schnittstellen für die Anhänge erstellen, werden diese IP-Adressen für die Schnittstellen genutzt. Verwenden Sie dieselben Adressen für das benachbarte BGP auf dem lokalen Router.

    • customerRouterIpAddress-Werte (169.254.61.90/29 und 169.254.116.186/29) sind Link-Local-IPv4-Adressen. Konfigurieren Sie auf dem Cloud Router einen BGP-Peer mit diesen Adressen über die Schnittstellen, denen die Cloud Router-Adressen zugewiesen sind. Sie weisen diese Adressen der VLAN-Subschnittstelle auf Ihrem lokalen Router zu.

    • Der Wert stackType (IPV4_ONLY) gibt den Typ des Traffics an, der vom VLAN-Anhang unterstützt wird.

    • Der vlanTag8021q-Wert (1000) identifiziert den Traffic, der über diesen Anhang weitergeleitet wird. Sie benötigen diesen Wert, um eine getaggte VLAN-Subschnittstelle auf Ihrem lokalen Router zu konfigurieren.

  6. Fügen Sie Ihrem Cloud Router zwei Schnittstellen hinzu.

    Mit jeder Schnittstelle wird eine Verbindung zu einem VLAN-Anhang hergestellt. Die IP-Adresse der Schnittstelle wird automatisch mit der cloudRouterIpAddress des Anhangs konfiguriert.

    gcloud compute routers add-interface INTERCONNECT_ROUTER_NAME \
    --region=REGION \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --interconnect-attachment=ATTACHMENT_NAME_1

    gcloud compute routers add-interface INTERCONNECT_ROUTER \
    --region=REGION \
    --interface-name=ROUTER_INTERFACE_NAME_2 \
    --interconnect-attachment=ATTACHMENT_NAME_2

    Ersetzen Sie Folgendes:

    • ROUTER_INTERFACE_NAME_1: ein Name für die erste Cloud Router-Schnittstelle.

    • ROUTER_INTERFACE_NAME_2: ein Name für die zweite Cloud Router-Schnittstelle.

  7. Fügen Sie den Schnittstellen BGP-Peers hinzu.

    Die Peer-IPv4-Adressen werden automatisch über die customerRouterIpAddress Ihrer Anhänge konfiguriert.

     gcloud compute routers add-bgp-peer ROUTER_NAME \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --peer-name=BGP_PEER_NAME \
     --peer-asn=PEER_ASN

    Ersetzen Sie PEER_ASN durch dieselbe ASN, die Sie auf Ihrem lokalen Router konfiguriert haben.

    Um den Basiswert der Priorität festzulegen, verwenden Sie das Flag --advertised-route-priority. Der Cloud Router verwendet diesen Wert, um Routenmesswerte für alle Routen zu berechnen, die für diese Sitzung bekannt gegeben werden. Weitere Informationen finden Sie in der Cloud Router-Dokumentation im Abschnitt zu Angebotene Präfixe und Prioritäten.

    Wenn Sie benutzerdefinierte erkannte Routen konfigurieren möchten, verwenden Sie das Flag --set-custom-learned-route-ranges. Optional können Sie auch das Flag --custom-learned-route-priority verwenden. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

     gcloud compute routers add-bgp-peer my-router \
     --interface=INTERCONNECT_ROUTER_INTERFACE_NAME \
     --region=REGION \
     --peer-name=BGP_PEER_NAME \
     --peer-asn=PEER_ASN
     --set-custom-learned-route-ranges=IP_PREFIXES \
     --custom-learned-route-priority=MED_VALUE

    Ersetzen Sie Folgendes:

    • IP_PREFIXES: Eine durch Kommas getrennte Liste von IP-Adresspräfixen, z. B. 1.2.3.4,6.7.0.0/16

    • MED_VALUE: einen MED-Wert für die angegebenen IP-Präfixe. Sie können einen MED-Wert zwischen 0 und 65535 festlegen.

    Wenn Sie die MD5-Authentifizierung verwenden möchten, fügen Sie das Flag md5-authentication-key hinzu. Weitere Informationen zu diesem Feature finden Sie unter MD5-Authentifizierung verwenden.

    Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.

  8. Schließen Sie die HA VPN über Cloud Interconnect-Bereitstellung ab und konfigurieren Sie dafür HA VPN für Ihre VLAN-Anhänge.

    Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.

Dedicated Interconnect-Nutzung einschränken

Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.

Nächste Schritte

Zurück
Verbindungen testen
Weiter
Lokale Router konfigurieren