Crea collegamenti VLAN

I collegamenti VLAN (noti anche come interconnectAttachments) determinano quali reti VPC (Virtual Private Cloud) possono raggiungere la tua rete on-premise tramite una connessione Dedicated Interconnect. Puoi creare collegamenti VLAN su connessioni che hanno superato tutti i test e sono pronte per l'uso.

Puoi creare collegamenti VLAN non criptati o criptati. I collegamenti VLAN criptati vengono utilizzati nei deployment di VPN ad alta disponibilità su Cloud Interconnect. Puoi creare collegamenti VLAN non criptati a stack singolo (solo IPv4) o a doppio stack (IPv4 e IPv6).

Per impostazione predefinita, quando crei un collegamento VLAN non criptato, il collegamento VLAN è a stack singolo (solo IPv4). Se non specifichi diversamente, l'interfaccia che crei per il collegamento VLAN non criptato è una singola interfaccia con un indirizzo IPv4 e la sessione BGP risultante scambia solo route IPv4.

Se devi supportare il traffico IPv6, devi configurare un collegamento VLAN non criptato dual-stack (IPv4 e IPv6). Con un collegamento VLAN a stack doppio, puoi creare una sessione BGP IPv4, una sessione BGP IPv6 o entrambe.

I collegamenti VLAN criptati sono sempre configurati per essere solo IPv4. Se vuoi supportare il traffico IPv6 nei tuoi allegati criptati per un deployment VPN ad alta disponibilità su Cloud Interconnect, puoi eseguire il deployment e configurare gateway e tunnel VPN ad alta disponibilità a doppio stack.

La fatturazione dei collegamenti VLAN inizia quando li crei e si interrompe quando li elimini.

Se utilizzi collegamenti VLAN in regioni Google Cloud diverse da quella della connessione Dedicated Interconnect, modifica la modalità di routing dinamico della rete VPC impostandola su Globale.

Se devi creare un collegamento VLAN per una connessione in un altro progetto Google Cloud, consulta Utilizzare le connessioni Dedicated Interconnect in altri progetti.

Per i collegamenti VLAN per Partner Interconnect, consulta Creare collegamenti VLAN per Partner Interconnect.

Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave di Cloud Interconnect.

Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Dedicated Interconnect, consulta la sezione Risoluzione dei problemi.

Associare i collegamenti VLAN a un router cloud

Per Dedicated Interconnect, il collegamento VLAN assegna una VLAN a una connessione e la associa al router cloud specificato. È possibile associare più collegamenti VLAN diversi allo stesso router cloud.

Quando crei il collegamento VLAN, specifica un router cloud nella regione che contiene le subnet che vuoi raggiungere. Il collegamento VLAN alloca automaticamente un ID VLAN e gli indirizzi IP del peering BGP (Border Gateway Protocol). Utilizza queste informazioni per configurare il router on-premise e stabilire una sessione BGP con il router Cloud.

Se vuoi, puoi specificare manualmente un intervallo candidato per gli indirizzi BGP IPv4 quando crei il collegamento VLAN. Router Cloud seleziona gli indirizzi IPv4 da questo intervallo per l'interfaccia e il peer BGP. Questi indirizzi IPv4 non possono essere modificati dopo essere stati selezionati. L'intervallo di indirizzi IPv4 BGP specificato come candidato deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

Non puoi specificare manualmente un intervallo di candidati per gli indirizzi IPv6 durante la creazione del collegamento VLAN.

Per la VPN ad alta disponibilità su Cloud Interconnect, devi creare un router cloud utilizzato esclusivamente con i collegamenti VLAN criptati. Il router Cloud scambia route solo per i gateway VPN tramite i collegamenti VLAN, il che garantisce che solo il traffico criptato esca dai collegamenti. Non puoi utilizzare questo router Cloud per i collegamenti VLAN non criptati o per i tunnel VPN.

Utilizzare più collegamenti VLAN

Ogni collegamento VLAN supporta una larghezza di banda massima di 50 Gbps con incrementi descritti nella pagina Prezzi e una frequenza massima dei pacchetti come descritto nei limiti di Cloud Interconnect. Ciò vale anche se il collegamento è configurato su una connessione con una capacità di larghezza di banda maggiore rispetto al collegamento.

Per utilizzare completamente la larghezza di banda di una connessione, potresti dover creare più collegamenti VLAN.

Per utilizzare contemporaneamente più collegamenti VLAN per il traffico in uscita in una rete VPC, creali nella stessa regione. Poi, configura il router on-premise in modo che pubblicizzi le route con lo stesso MED. Le route dinamiche personalizzate, apprese tramite sessioni BGP su uno o più router cloud che gestiscono i collegamenti VLAN, vengono applicate alla rete VPC con una priorità della route corrispondente al MED.

Quando più route disponibili hanno la stessa priorità, Google Cloud distribuisce il traffico tra di loro utilizzando un hash di cinque tuple per l'affinità, implementando un design di routing ECMP (Equal-cost multipath). Per ulteriori informazioni, consulta la sezione Applicabilità e ordine nella documentazione VPC.

Creare collegamenti VLAN non criptati

Console

  1. Nella console Google Cloud, vai alla scheda Collegamenti VLAN di Cloud Interconnect.

    Vai ai collegamenti VLAN

  2. Fai clic su Crea collegamenti VLAN.

  3. Seleziona Connessione Dedicated Interconnect.

  4. Nella sezione Crittografa interconnessione, seleziona Configura interconnessione non criptata e poi fai clic su Continua.

  5. Per creare i collegamenti nel progetto, nella sezione Seleziona interconnessioni e ridondanza, selezionare In questo progetto. Per altri progetti, vedi Utilizzare le connessioni Dedicated Interconnect in altri progetti.

  6. Seleziona una connessione di Dedicated Interconnect esistente nel progetto e poi fai clic su Continua.

  7. Seleziona Aggiungi collegamento VLAN, quindi specifica i seguenti dettagli:

    • Nome: un nome per l'allegato. Questo nome viene visualizzato nella console Google Cloud e viene utilizzato da Google Cloud CLI per fare riferimento all'allegato, ad esempio my-attachment.
    • (Facoltativo) Descrizione: una descrizione dell'allegato.
  8. Seleziona un tipo di stack per il collegamento, IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).

  9. Seleziona un router Cloud da associare a questo allegato. Il router Cloud deve trovarsi nella rete VPC a cui vuoi connetterti.

    Se non hai già un router Cloud, seleziona Crea nuovo router. Per il numero AS BGP, utilizza qualsiasi ASN privato (64512-65535 o 4200000000-4294967294) o 16550.

  10. (Facoltativo) Per specificare un ID VLAN, un intervallo di indirizzi IP specifico per la sessione BGP, la capacità del collegamento VLAN o l'unità di trasmissione massima (MTU), fai clic su ID VLAN, IP BGP, capacità, MTU.

    • Per specificare un ID VLAN, seleziona Personalizza nella sezione ID VLAN.

      Per impostazione predefinita, Google genera automaticamente un ID VLAN. Puoi specificare un ID VLAN compreso nell'intervallo 2-4093. Non puoi specificare un ID VLAN già in uso sulla connessione. Se l'ID VLAN è in uso, ti viene chiesto di sceglierne un altro.

      Se non inserisci un ID VLAN, viene selezionato automaticamente un ID VLAN casuale non utilizzato per il collegamento VLAN.

    • Per specificare un intervallo di indirizzi IPv4 per la sessione BGP, nella sezione Alloca indirizzo IPv4 di BGP, seleziona Manualmente.

      L'intervallo di indirizzi IPv4 BGP specificato deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

      Gli indirizzi IPv4 utilizzati per la sessione BGP tra un router Cloud e il router on-premise vengono allocati dallo spazio indirizzi IPv4 link-local (169.254.0.0/16). Per impostazione predefinita, Google seleziona gli indirizzi inutilizzati dallo spazio indirizzi IPv4 link-local.

      Per limitare l'intervallo IPv4 da cui Google seleziona, puoi specificare fino a 16 prefissi dallo spazio di indirizzi IPv4 link-local. Tutti i prefissi devono trovarsi all'interno di 169.254.0.0/16 e avere una lunghezza di /30 o inferiore, ad esempio /29 o /28. Viene selezionato automaticamente un intervallo /29 inutilizzato dal prefisso specificato. La richiesta di allocazione degli indirizzi non va a buon fine se tutti gli intervalli /29 possibili sono in uso da Google Cloud.

      Se non fornisci un intervallo di prefissi, Google Cloud sceglie un'allocazione di indirizzi /29 da 169.254.0.0/16 non ancora utilizzata da alcuna sessione BGP nella tua rete VPC. Se fornisci uno o più prefissi, Google Cloud sceglie un'allocazione di indirizzi /30 non utilizzata dai prefissi forniti.

      Dopo aver selezionato l'intervallo di indirizzi /30, Google Cloud assegna un indirizzo al router Cloud e un altro al router on-premise. Il resto dello spazio degli indirizzi nel prefisso /30 è riservato all'utilizzo di Google.

    • Per specificare la larghezza di banda massima, seleziona un valore nel campo Capacità. Se non selezioni un valore, Cloud Interconnect utilizza 10 Gbps.

      Se hai più collegamenti VLAN su una connessione, l'impostazione della capacità ti consente di controllare la quantità di larghezza di banda che ciascun collegamento può utilizzare. La larghezza di banda massima è approssimativa, pertanto è possibile che i collegamenti VLAN utilizzino più larghezza di banda rispetto alla capacità selezionata.

    • Per specificare l'unità massima di trasmissione (MTU) per l'allegato, seleziona un valore dal campo.

      Per utilizzare un'MTU di 1460, 1500 o 8896 byte, la rete VPC che utilizza il collegamento deve impostare un'MTU dello stesso valore. Inoltre, le istanze VM (macchine virtuali) on-premise e i router devono impostare l'MTU sullo stesso valore. Se la tua rete ha un MTU predefinito di 1460, seleziona un MTU di 1460 per il tuo allegato.

  11. Se vuoi connettere più reti VPC (ad esempio per creare la ridondanza), fai clic su + Aggiungi collegamento VLAN per collegare altre VLAN alla connessione. Scegli un router Cloud diverso per ogni collegamento VLAN. Per ulteriori informazioni, consulta la sezione Redundanza nella panoramica.

  12. Dopo aver creato tutti i collegamenti VLAN necessari, fai clic su Crea. La creazione dell'allegato richiede alcuni istanti.

    La pagina Configura le sessioni BGP mostra ogni collegamento VLAN e il relativo stato di configurazione.

  13. Per ogni collegamento VLAN, crea una sessione BGP per scambiare le route BGP tra la rete del router Cloud e il router on-premise. Fai clic su Configura e inserisci le seguenti informazioni:

    • Nome: un nome per la sessione BGP.
    • ASN peer: l'ASN pubblico o privato del tuo router on-premise.
    • Priorità route annunciata (MED) (facoltativo): il valore di base utilizzato dal router Cloud per calcolare le metriche del percorso. Tutti i percorsi pubblicità per questa sessione utilizzano questo valore di base. Per ulteriori informazioni, consulta Prefisso e priorità pubblicizzati.
    • Peer BGP: consente di attivare o disattivare la sessione BGP con questo peer. Se è disattivato, questo router Cloud non invia richieste di connessione BGP e rifiuta tutte le richieste di connessione BGP da questo peer.
    • Autenticazione MD5 (facoltativa): consente di autenticare le sessioni BGP tra il router Cloud e i suoi peer. Per istruzioni su come utilizzare l'autenticazione MD5, vedi Utilizzare l'autenticazione MD5.
    • Route annunciate personalizzate (facoltative): consente di scegliere le route che il router Cloud annuncia al router on-premise tramite BGP. Per la procedura di configurazione, consulta la panoramica dei route pubblicizzati personalizzati.
    • Route apprese personalizzate: ti consentono di definire manualmente route apprese aggiuntive per una sessione BGP. Il router Cloud si comporta come se avesse appreso le route dal peer BGP.
    • Bidirectional Forwarding Detection (BFD) per Cloud Router (facoltativo): consente di rilevare interruzioni del percorso di inoltro, ad esempio eventi di interruzione del link, consentendo reti ibride più resilienti. Per istruzioni su come aggiornare una sessione BGP per l'utilizzo di BFD, consulta Configurazione di BFD.

  14. Fai clic su Salva e continua.

  15. Dopo aver aggiunto le sessioni BGP per tutti i collegamenti VLAN, fai clic su Salva configurazione. Le sessioni BGP che hai configurato rimangono inattive fino a quando non configuri BGP sul router on-premise.

gcloud

Prima di creare un collegamento VLAN, devi avere un router cloud esistente nella rete e nella regione che vuoi raggiungere dalla tua rete on-premise. Se non hai già un router cloud, creane uno. Il router Cloud deve avere un ASN BGP pari a 16550 oppure puoi utilizzare qualsiasi ASN privato (64512-65535 o 4200000000-4294967294).

  1. Crea un collegamento VLAN, specificando i nomi della connessione Dedicated Interconnect e del router Cloud. Il collegamento assegna una VLAN alla connessione che si connette al router cloud.

    L'esempio seguente crea un allegato per la connessione my-interconnect che si connette al router Cloud my-router, che si trova nella regione us-central1.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
    

    Collegamento VLAN a doppio stack (IPv4 e IPv6)

    Per creare un collegamento VLAN a doppio stack che supporti sia il traffico IPv4 sia IPv6, specifica --stack-type IPV4_IPV6.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
        --stack-type IPV4_IPV6
    

    Quando crei un collegamento VLAN con il tipo di pila IPV4_IPV6 (doppio stack), Google Cloud assegna automaticamente un CIDR /125 non utilizzato dall'intervallo 2600:2d00:0:1::/64 come indirizzo IPv6 per il collegamento VLAN.

    Se selezioni il tipo di stack IPV4_IPV6 (dual stack), puoi configurare il collegamento VLAN in un secondo momento con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe.

    Se ometti il flag --stack-type, il collegamento VLAN viene configurato come collegamento solo IPv4 (a stack singolo). Un collegamento VLAN IPV4_ONLY (stack singolo) può scambiare solo route IPv4. https://developers.google.com/devsite/author-databases Puoi anche modificare il tipo di stack di un collegamento dopo averlo creato. Vedi Modificare type stack.

    Alloca indirizzi IPv4 per il peering BGP

    Per il peering BGP, Google può allocare indirizzi IPv4 inutilizzati dallo spazio degli indirizzi IPv4 locale rispetto al collegamento (169.254.0.0/16). Per limitare l'intervallo di indirizzi IPv4 da cui Google può selezionare, puoi utilizzare il flag --candidate-subnets, come mostrato nell'esempio seguente.

    L'intervallo di indirizzi IPv4 del peering BGP specificato deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --candidate-subnets 169.254.0.0/29,169.254.10.0/24 \
        --region us-central1
    

    Puoi specificare un intervallo di massimo 16 prefissi dallo spazio di indirizzi IPv4 locale rispetto al collegamento. Tutti i prefissi devono trovarsi all'interno di 169.254.0.0/16 e devono essere di /29 o meno, ad esempio /28 o /27. Un /29 inutilizzato viene selezionato automaticamente dall'intervallo di prefissi specificato. La richiesta di allocazione degli indirizzi non va a buon fine se tutti i possibili prefissi /29 sono in uso da Google Cloud.

    Puoi specificare intervalli di subnet candidati solo per gli indirizzi IPv4. Non puoi specificare un intervallo di indirizzi candidati per gli indirizzi IPv6.

    Configurazione dell'ID VLAN

    Per specificare un ID VLAN, utilizza il flag --vlan, come mostrato nell'esempio seguente:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --vlan 5 \
        --region us-central1
    

    Per impostazione predefinita, Google genera automaticamente un ID VLAN. Puoi specificare un ID VLAN nell'intervallo 2-4093. Non puoi specificare un ID VLAN già in uso sulla connessione Dedicated Interconnect. Se l'ID VLAN è in uso, ti verrà chiesto di sceglierne un altro.

    Se non inserisci un ID VLAN, viene selezionato automaticamente un ID VLAN casuale non utilizzato per il collegamento VLAN.

    Configurazione della larghezza di banda massima

    Per specificare la larghezza di banda massima dell'allegato, utilizza il flag --bandwidth, come mostrato nell'esempio seguente. Se hai più collegamenti VLAN su una connessione, l'impostazione della capacità ti consente di controllare la quantità di larghezza di banda che ogni collegamento può utilizzare. La larghezza di banda massima è approssimativa, pertanto è possibile che i collegamenti VLAN utilizzino più larghezza di banda rispetto alla capacità selezionata.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --bandwidth 500M \
        --region us-central1
    

    Se non specifichi una capacità, Cloud Interconnect utilizza il valore predefinito di 10 Gbps. Per ulteriori informazioni, consulta il riferimento gcloud compute interconnects attachments dedicated create.

    Configurazione MTU

    L'MTU predefinito di un allegato è 1440 byte. Puoi anche specificare un valore MTU dell'allegato pari a 1460, 1500 o 8896 byte. Per specificare un MTU di 1460, 1500 o 8896 byte per l'allegato, utilizza il flag --mtu, come mostrato nell'esempio seguente:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --mtu 1500 \
        --region us-central1
    

    Per utilizzare un'MTU di 1460, 1500 o 8896 byte, la rete VPC che utilizza il collegamento e i sistemi e i router on-premise devono avere lo stesso valore MTU impostato.

  2. Descrivi il collegamento per recuperare le risorse allocate, ad esempio l'ID VLAN e gli indirizzi di peering BGP, come mostrato nell'esempio seguente. Utilizza questi valori per configurare il router Cloud e il router on-premise.

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    Output:

    cloudRouterIpAddress: 169.254.180.81/29
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • Il tag VLAN (1000) identifica il traffico che passa per questo collegamento. Questo valore è necessario per configurare una sottointerfaccia VLAN con tagging sul router on-premise.
    • L'indirizzo del router Cloud (169.254.180.81/29) è un indirizzo IPv4 locale rispetto al collegamento. Quando crei un'interfaccia router Cloud per questo allegato, l'interfaccia utilizza questo indirizzo IP. Utilizza lo stesso indirizzo per il vicino BGP sul tuo router on-premise.
    • L'indirizzo del router del cliente (169.254.180.82/29) è un indirizzo IPv4 link-local. Sul router Cloud, configura un peer BGP con questo indirizzo sull'interfaccia a cui è assegnato l'indirizzo del router Cloud. Assegna questo indirizzo alla sottointerfaccia VLAN sul router on-premise.
    • Il tipo di stack IPV4_ONLY (single stack) indica il tipo di traffico supportato dal collegamento VLAN.
  3. Sul router cloud, aggiungi l'interfaccia o le interfacce che si connettono al collegamento VLAN.

    • Se il collegamento VLAN è solo IPv4, devi creare un'interfaccia con un indirizzo IPv4.

    • Se il collegamento VLAN utilizza il tipo di stack IPV4_IPV6 (doppio stack), puoi creare un'interfaccia con un indirizzo IPv4, un'interfaccia con un indirizzo IPv6 o entrambe.

      La creazione di un'interfaccia con un indirizzo IPv4 e di un'altra con un indirizzo IPv6 ti consente di eseguire due sessioni BGP in parallelo sullo stesso collegamento VLAN. Per saperne di più, consulta Stabilire sessioni BGP nella documentazione del router Cloud.

      Per creare un'interfaccia con un indirizzo IPv4, esegui il seguente comando.

      gcloud compute routers add-interface my-router \
      --region us-central1 \
      --interface-name my-router-intf-v4 \
      --interconnect-attachment my-attachment
      

      L'indirizzo IPv4 di un'interfaccia viene configurato automaticamente utilizzando cloudRouterIpAddress del tuo allegato.

      Per creare un'interfaccia con un indirizzo IPv6, esegui il seguente comando.

      gcloud beta compute routers add-interface my-router \
       --region us-central1 \
       --interface-name my-router-intf-v6 \
       --interconnect-attachment my-attachment
       --ip-version=IPV6
      

      L'indirizzo IPv6 di un'interfaccia viene configurato automaticamente utilizzando il cloudRouterIpv6Address del tuo allegato.

  4. Aggiungi un peer BGP per ogni interfaccia creata. Per il valore ASN del peer, utilizza lo stesso numero configurato sul router on-premise.

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect-v4 \
        --peer-asn 65201
    

    L'indirizzo IPv4 del peer BGP viene configurato automaticamente utilizzando il valore customerRouterIpAddress dell'allegato.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v6 \
       --peer-asn 65201
    

    L'indirizzo IPv6 del peer viene configurato automaticamente utilizzando customerRouterIpv6Address del tuo allegato.

    Configurazione di BGP multiprotocollo (MP-BGP)

    Se hai configurato il collegamento VLAN con il tipo di stack IPV4_IPV6 (a doppio stack), puoi utilizzare BGP multiprotocollo (MP-BGP) nella singola sessione BGP IPv4 o IPv6. Non puoi utilizzare MP-BGP se utilizzi entrambe le sessioni BGP.

    Con MP-BGP, puoi scambiare route IPv6 tramite una sessione BGP IPv4 o puoi scambiare route IPv4 tramite una sessione BGP IPv6.

    Per abilitare lo scambio di route IPv6 in una sessione BGP IPv4, esegui il seguente comando.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v4 \
       --peer-asn 65201 \
       --enable-ipv6
    

    Se ometti il flag --enable-ipv6, la sessione BGP IPv4 scambia solo route IPv4. Puoi anche abilitare lo scambio di route IPv6 nella sessione BGP in un secondo momento.

    Per abilitare lo scambio di route IPv4 in una sessione BGP IPv6, esegui il seguente comando.

    gcloud beta compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --enable-ipv4
    

    Per ulteriori informazioni, consulta Configurare BGP multiprotocollo per le sessioni BGP IPv4 o IPv6.

    Se attivi lo scambio di route IPv6 nella sessione BGP IPv4, devi configurare il router on-premise in modo che pubblicizzi le route IPv6 con customerRouterIpv6Address del tuo collegamento come hop successivo.

    Se attivi lo scambio di route IPv4 nella sessione BGP IPv6, devi configurare il router on-premise in modo che pubblicizzi le route IPv4 con customerRouterIpAddress del tuo allegato come hop successivo.

    Descrivi l'allegato per recuperare l'indirizzo dell'hop successivo IPv4 o IPv6.

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    Output:

    cloudRouterIpAddress: 169.254.180.81/29
    cloudRouterIpv6Address: 2600:2d00:0:1:8000:12:0:299/125
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    customerRouterIpv6Address: 2600:2d00:0:1:8000:12:0:29a/125
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_IPV6
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    Configurazione di route annunciate personalizzate e priorità route (MED)

    Per specificare un valore di priorità di base, utilizza il flag --advertised-route-priority. Router Cloud utilizza questo valore per calcolare le metriche delle route per tutte le route che annuncia per questa sessione. Per ulteriori informazioni, consulta Prefi e priorità pubblicizzati nella documentazione del router Cloud.

    Puoi anche utilizzare il flag --advertisement-mode per attivare la modalità di annuncio personalizzato per questa sessione BGP. Utilizza --advertisement-groups e --advertisement-ranges per definire le route pubblicizzate personalizzate per la sessione BGP. Le route annunciate personalizzate ti consentono di scegliere le route che il router Cloud annuncia al tuo router on-premise tramite BGP. Puoi specificare route pubblicizzate personalizzate sia IPv4 che IPv6. Tuttavia, le route pubblicizzate personalizzate IPv6 vengono pubblicizzate solo nelle sessioni BGP in cui è abilitato lo scambio di route IPv6. Le route pubblicizzate personalizzate IPv4 vengono pubblicizzate solo nelle sessioni BGP in cui è abilitato lo scambio di route IPv4.

    Per la procedura di configurazione, consulta la panoramica delle route pubblicizzate personalizzate.

    Configurazione route appresa personalizzate

    Se vuoi configurare route apprese personalizzate, utilizza il flag --set-custom-learned-route-ranges. Se vuoi, puoi anche utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate configurate per la sessione. Quando utilizzi questa funzionalità, il router Cloud si comporta come se avesse appreso queste route dal peer BGP. Per ulteriori informazioni, consulta Route apprese personalizzate.

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-i1-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect \
        --peer-asn 65201 \
        --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
        --custom-learned-route-priority 200
    

    Configurazione dell'autenticazione MD5

    Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag md5-authentication-key. Per saperne di più su questa funzionalità, consulta Utilizzare l'autenticazione MD5.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-i1-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --md5-authentication-key 'secret_key_value'
    

    Bidirectional Forwarding Detection (BFD)

    Se vuoi aggiungere BFD (Bidirectional Forwarding Detection) per il router cloud, puoi configurare il peer BGP con una sessione BFD. BFD rileva le interruzioni del percorso di inoltro, ad esempio gli eventi di interruzioni del link, consentendo reti ibride più resilienti. Per aggiornare la sessione BGP in modo che utilizzi BFD, consulta Configurazione di BFD per il router Cloud.

Se stai creando la ridondanza con una connessione di Dedicated Interconnect duplicata, ripeti questi passaggi per la seconda connessione e specifica lo stesso router Cloud. Per ulteriori informazioni, consulta Redundanza e SLA.

Crea collegamenti VLAN criptati

Console

  1. Nella console Google Cloud, vai alla scheda Collegamenti VLAN di Cloud Interconnect.

    Vai ai collegamenti VLAN

  2. Fai clic su Crea collegamenti VLAN.

  3. Seleziona Connessione Dedicated Interconnect.

  4. Nella sezione Crittografa l'interconnessione, seleziona Configura la VPN ad alta disponibilità su Interconnect e poi fai clic su Continua.

  5. Nella sezione Seleziona interconnessioni, seleziona due connessioni Dedicated Interconnect esistenti in cui vuoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect.

    • Per utilizzare le connessioni nel progetto corrente, seleziona In questo progetto.
    • Per utilizzare le connessioni in un altro progetto, seleziona In un altro progetto, quindi inserisci l'ID progetto del progetto.
    • Nel campo Interconnect 1, seleziona la prima connessione.
    • Nel campo Interconnect 2, seleziona la seconda connessione. Assicurati di selezionare una connessione ospitata nella stessa area metropolitana, ma in un dominio di disponibilità edge diverso rispetto alla prima connessione. Ad esempio, se la prima connessione è in ord-zone1, assicurati che la seconda sia in ord-zone2.
  6. Dopo aver selezionato due connessioni Dedicated Interconnect esistenti, fai clic su Continua.

  7. Nella pagina Crea collegamenti VLAN, seleziona Rete VPC.

  8. Nel campo Router di interconnessione criptato, seleziona un router cloud da associare a entrambi i collegamenti VLAN criptati. Il router Cloud deve trovarsi nella rete VPC a cui vuoi connetterti. Inoltre, il router Cloud specificato può essere utilizzato solo con i collegamenti VLAN criptati. Questo router annuncia solo le route per le interfacce VPN ad alta disponibilità e del tunnel VPN peer.

    Se non hai un router Cloud criptato esistente che puoi utilizzare, seleziona Crea nuovo router e specifica una regione compatibile con Dataplane v2. Per visualizzare le regioni compatibili con Dataplane V2 per la tua località, consulta la tabella Località. Per il numero AS BGP, utilizza qualsiasi ASN privato (64512-65535 o 4200000000-4294967294) o 16550.

  9. Configura i due collegamenti VLAN. Per Collegamento VLAN 1 e Collegamento VLAN 2, configura i seguenti campi:

    • Nome: un nome per l'allegato. Questo nome viene visualizzato nella console Google Cloud e viene utilizzato da Google Cloud CLI per fare riferimento all'allegato, ad esempio my-attachment.
    • Descrizione: inserisci una descrizione facoltativa.
  10. Per configurare un ID VLAN o un intervallo di indirizzi IP specifico per la sessione BGP, fai clic su ID VLAN, IP BGP.

    • Per specificare un ID VLAN, seleziona Personalizza nella sezione ID VLAN.
    • Per specificare un intervallo di indirizzi IPv4 per la sessione BGP, nella sezione Alloca indirizzo IP BGP, seleziona Manualmente.

    Se non specifichi un ID VLAN o non assegni manualmente gli indirizzi IPv4 BGP, Google Cloud assegna automaticamente questi valori.

  11. Nel campo Capacità, seleziona la larghezza di banda massima per ogni collegamento VLAN. Il valore selezionato per il collegamento VLAN 1 viene applicato automaticamente al collegamento VLAN 2. Se non selezioni un valore, Cloud Interconnect utilizza 10 Gbps. La capacità selezionata determina il numero di tunnel VPN ad alta disponibilità da implementare.

  12. Nella sezione Indirizzi IP gateway VPN, seleziona il tipo di indirizzi IP da utilizzare per le interfacce dei tunnel VPN ad alta disponibilità.

    • Se selezioni Indirizzi IP regionali interni, fai clic su Aggiungi nuovo intervallo di indirizzi IP e inserisci un Nome e un Intervallo IP. Per l'intervallo IP, specifica un intervallo IPv4 interno regionale con una lunghezza del prefisso compresa tra 26 e 29. La lunghezza del prefisso determina il numero di indirizzi IPv4 disponibili per le interfacce del tunnel VPN e deve essere basata sulla capacità dell'attacco. Per ulteriori informazioni, consulta Assegnare intervalli di indirizzi IP interni ai gateway VPN ad alta disponibilità.
    • Se selezioni Indirizzi IP esterni regionali, Cloud Interconnect assegna automaticamente gli indirizzi IP esterni regionali alle interfacce dei tunnel VPN ad alta disponibilità che crei sul collegamento VLAN.

    Entrambi i collegamenti VLAN devono utilizzare lo stesso tipo di indirizzi, interno o esterno, per gli indirizzi IPv4 del gateway VPN.

  13. Dopo aver creato entrambi i collegamenti VLAN, fai clic su Crea. La creazione degli allegati richiede alcuni istanti.

  14. La pagina Configura router di interconnessione mostra ogni collegamento VLAN e il relativo stato di configurazione.

  15. Per ogni collegamento VLAN, per creare una sessione BGP per scambiare le route tra la rete del router Cloud e il router on-premise, fai clic su Configura e inserisci le seguenti informazioni:

    • Nome: un nome per la sessione BGP.
    • ASN peer: l'ASN pubblico o privato del tuo router on-premise.
    • Priorità route annunciata (MED) (facoltativo): il valore di base utilizzato dal router Cloud per calcolare le metriche del percorso. Tutti i percorsi pubblicità per questa sessione utilizzano questo valore di base. Per ulteriori informazioni, consulta Prefisso e priorità pubblicizzati.

      Questo router Cloud annuncia solo le route per le interfacce VPN ad alta disponibilità e del tunnel VPN peer.

    • Peer BGP: consente di attivare o disattivare la sessione BGP con questo peer. Se è disattivato, questo router Cloud non invia richieste di connessione BGP e rifiuta tutte le richieste di connessione BGP da questo peer.

    • Autenticazione MD5 (facoltativa): consente di autenticare le sessioni BGP tra il router Cloud e i suoi peer. Per istruzioni su come utilizzare l'autenticazione MD5, vedi Utilizzare l'autenticazione MD5.

    Non attivare Bidirectional Forwarding Detection (BFD). L'abilitazione di BFD a livello di Cloud Interconnect non consente di rilevare più rapidamente gli errori per il traffico del tunnel VPN ad alta disponibilità.

  16. Fai clic su Salva e continua.

  17. Dopo aver aggiunto le sessioni BGP per tutti i collegamenti VLAN, fai clic su Salva configurazione. Le sessioni BGP che hai configurato rimangono inattive fino a quando non configuri BGP sul router on-premise.

  18. Nella pagina Crea gateway VPN, completa il deployment della VPN ad alta disponibilità su Cloud Interconnect configurando la VPN ad alta disponibilità per i tuoi collegamenti VLAN (consulta Configurare la VPN ad alta disponibilità su Cloud Interconnect) e poi fai clic su Crea e continua.

  19. Nella pagina Crea tunnel VPN, crea due tunnel VPN per ogni gateway VPN ad alta disponibilità, un tunnel su ogni interfaccia. Specifica il lato peer del tunnel VPN come interfaccia corrispondente sul gateway VPN peer, quindi fai clic su Crea e continua.

  20. Nella pagina Configura router VPN, fai clic su Configura sessione BGP per configurare la sessione BGP sul router Cloud per ogni tunnel VPN ad alta disponibilità (consulta Specificare e gestire le route apprese personalizzate).

gcloud

  1. Crea un router Cloud criptato per Cloud Interconnect.

    Crea il router Cloud nella rete e nella regione che vuoi raggiungere dalla tua rete on-premise. Specifica il flag --encrypted-interconnect-router per identificare questo router da utilizzare con la VPN ad alta disponibilità tramite il deployment di Cloud Interconnect. Il router Cloud deve avere un ASN BGP pari a 16550 oppure puoi utilizzare qualsiasi ASN privato (64512-65535 o 4200000000-4294967294).

    L'esempio seguente crea un router denominato interconnect-router nella regione us-central1 con un ASN di 65001.

     gcloud compute routers create interconnect-router \
        --region us-central1 \
        --network network-a \
        --asn 65001 \
        --encrypted-interconnect-router
    
  2. (Facoltativo) Prenota un intervallo IPv4 interno regionale con una lunghezza del prefisso compresa tra 26 e 29.

    La lunghezza del prefisso determina il numero di indirizzi IPv4 disponibili per le interfacce del gateway VPN. Il numero di indirizzi IPv4 da prenotare dipende dalla capacità del collegamento VLAN associato.

    Ad esempio, per prenotare un intervallo per il primo collegamento VLAN con una capacità di 10 Gbps:

     gcloud compute addresses create ip-range-1 \
        --region us-central1 \
        --addresses=192.168.1.0 \
        --prefix-length=29 \
        --network=network-a \
        --purpose=IPSEC_INTERCONNECT
    

    Per prenotare un intervallo di indirizzi per il secondo collegamento VLAN:

    gcloud compute addresses create ip-range-2 \
       --region us-central1 \
       --addresses=192.168.2.0 \
       --prefix-length=29 \
       --network=network-a \
       --purpose=IPSEC_INTERCONNECT
    

    Per ulteriori informazioni sulla prenotazione degli indirizzi interni regionali, consulta Assegnare intervalli di indirizzi IP interni ai gateway VPN ad alta disponibilità.

  3. Crea il primo collegamento VLAN criptato, specificando i nomi della prima connessione e del router Cloud criptato.

    L'esempio seguente crea un allegato criptato per la connessione my-interconnect-ead-1 che si connette al router cloud criptato interconnect-router nella regione us-central1. Il comando specifica anche l'intervallo di indirizzi IPv4 interni regionali, ip-range-1, da utilizzare per tutte le interfacce del tunnel VPN ad alta disponibilità create su questo collegamento.

    gcloud compute interconnects attachments dedicated create ha-vpn-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-1
    

    Se vuoi utilizzare indirizzi IPv4 esterni regionali per le interfacce del gateway VPN ad alta disponibilità nel collegamento, ometti il flag --ipsec-internal-addresses. A tutte le interfacce del gateway VPN ad alta disponibilità vengono assegnati automaticamente indirizzi IPv4 esterni regionali.

    gcloud compute interconnects attachments dedicated create my-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC
    

    Non puoi impostare un MTU (--mtu) personalizzato con i collegamenti VLAN criptati. Tutti i collegamenti VLAN criptati devono utilizzare un MTU di 1440 byte, che è il valore predefinito.

    Inoltre, non puoi creare collegamenti VLAN dual-stack per la VPN ad alta disponibilità su Cloud Interconnect. I collegamenti VLAN criptati supportano solo il tipo di stack IPV4_ONLY (a singolo stack).

  4. Crea il secondo collegamento VLAN criptato, specificando i nomi della seconda connessione Cloud Interconnect e del router cloud per Cloud Interconnect.

    L'esempio seguente crea un collegamento criptato per la connessione Dedicated Interconnect my-interconnect-ead-2 che si connette al router Cloud criptato interconnect-router nella regione us-central1. Il comando specifica anche l'intervallo di indirizzi IPv4 interni regionali, ip-range-2, da utilizzare per tutte le interfacce del gateway VPN ad alta disponibilità create in questo collegamento.

    gcloud compute interconnects attachments dedicated create my-attachment-2 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-2 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-2
    

    Quando crei il secondo collegamento VLAN, specifica lo stesso tipo di schema di indirizzamento IPv4, interno o esterno, utilizzato per creare il primo collegamento. Se hai specificato un intervallo di indirizzi interni per il primo allegato, specifica un altro intervallo di indirizzi IPv4 interni riservati.

  5. Descrivi il collegamento per recuperare le risorse allocate, ad esempio l'ID VLAN e gli indirizzi IPv4 del peering BGP, come mostrato nell'esempio seguente. Utilizza questi valori per configurare il router Cloud e il router on-premise.

    Per il primo collegamento VLAN:

    gcloud compute interconnects attachments describe my-attachment-1 \
      --region us-central1
    

    Output:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.61.89/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.61.90/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-1
    kind: compute#interconnectAttachment
    name: my-attachment-1
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-1
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    Per il secondo collegamento VLAN:

    gcloud compute interconnects attachments describe my-attachment-2 \
       --region us-central1
    

    Output:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.116.185/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.116.186/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397269'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-2
    kind: compute#interconnectAttachment
    name: my-attachment-2
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-2
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • Il tag VLAN (1000) identifica il traffico che passa per questo collegamento. Questo valore è necessario per configurare una sottointerfaccia VLAN con tagging sul router on-premise.
    • Gli indirizzi IPv4 del router Cloud (169.254.61.89/29 e 169.254.116.185/29) sono indirizzi IPv4 locali rispetto al collegamento. Quando crei interfacce router Cloud per questi allegati, le interfacce utilizzano questi indirizzi IPv4. Utilizza gli stessi indirizzi per i vicini BGP sul tuo router on-premise.
    • Gli indirizzi IPv4 del router del cliente (169.254.61.90/29 e 169.254.116.186/29) sono anche indirizzi IPv4 locali rispetto al collegamento. Sul router Cloud, configura due peer BGP con questi indirizzi sulle interfacce a cui è assegnato l'indirizzo del router Cloud. Assegna questi indirizzi alle sottointerfacce VLAN sul router on-premise.
  6. Aggiungi due interfacce sul router Cloud.

    Ogni interfaccia si connette a uno dei collegamenti VLAN. L'indirizzo IP dell'interfaccia viene configurato automaticamente utilizzando cloudRouterIpAddress del tuo allegato.

    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-1 \
        --interconnect-attachment my-attachment-1
    
    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-2 \
        --interconnect-attachment my-attachment-2
    
  7. Aggiungi i peer BGP alle interfacce.

    Per i valori ASN peer, utilizza lo stesso numero configurato sul router on-premise. Gli indirizzi IPv4 dei peer vengono configurati automaticamente utilizzando il customerRouterIpAddress dei tuoi allegati.

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201
    

    Per specificare un valore di priorità di base, utilizza il flag --advertised-route-priority. Router Cloud utilizza questo valore per calcolare le metriche delle route per tutte le route che annuncia per questa sessione. Per ulteriori informazioni, consulta Prefi e priorità pubblicizzati nella documentazione del router Cloud.

    Se vuoi configurare route apprese personalizzate, utilizza il flag --set-custom-learned-route-ranges. Se vuoi, puoi anche utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate configurate per la sessione. Quando utilizzi questa funzionalità, il router Cloud si comporta come se avesse appreso queste route dal peer BGP. Per ulteriori informazioni, consulta Route apprese personalizzate.

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201 \
       --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
       --custom-learned-route-priority 200
    

    Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag md5-authentication-key. Per ulteriori informazioni su questa funzionalità, consulta Utilizzare l'autenticazione MD5.

    Non attivare Bidirectional Forwarding Detection (BFD). L'abilitazione di BFD a livello di Cloud Interconnect non consente di rilevare più rapidamente gli errori per il traffico del tunnel VPN ad alta disponibilità.

  8. Completa il deployment della VPN ad alta disponibilità su Cloud Interconnect configurando la VPN ad alta disponibilità per i tuoi collegamenti VLAN.

    Consulta Configurare la VPN ad alta disponibilità su Cloud Interconnect.

Limita utilizzo dell'interconnessione dedicata

Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per ulteriori informazioni, consulta Limitare l'utilizzo di Cloud Interconnect.

Passaggi successivi