Wenn Sie HA VPN über Cloud Interconnect bereitstellen, können Sie entweder regionale interne IP-Adressen oder regionale externe IP-Adressen für Ihre HA VPN-Gateway-Schnittstellen verwenden. Wenn Sie keine externen IP-Adressen für Ihre VPN-Tunnel verwenden müssen (z. B. um eine Verbindung zu einem anderen Cloud-Anbieter herzustellen), empfehlen wir die Verwendung regionaler interner IP-Adressen für HA VPN über Cloud Interconnect.
Wenn Sie regionale interne IP-Adressen verwenden (nur RFC 1918), müssen Sie einen privaten IPv4-Adressbereich für Ihren VLAN-Anhang reservieren. Die IP-Adressen aus diesem Bereich werden ausschließlich für Ihre HA VPN-Gateway-Schnittstellen verwendet. HA VPN verwendet diese IP-Adressen für die Kommunikation mit einem oder mehreren Peer-VPN-Gateways.
Wenn Sie die VLAN-Anhänge nicht für die Verwendung regionaler interner IP-Adressen konfigurieren, wählt Google Cloud zwei regionale externe IP-Adressen aus ihrem Adresspool aus und weist jeder Schnittstelle eine Adresse zu.
Unabhängig davon, ob Sie eine regionale interne oder externe IP-Adressierung wählen, werden HA VPN über Cloud Interconnect-Pakete zu keinem Zeitpunkt über das öffentliche Internet geleitet.
Die IP-Adressanforderungen für Cloud Router-BGP-Schnittstellen bleiben mit denen in HA VPN-Bereitstellungen ohne Cloud Interconnect identisch. Den BGP-Schnittstellen müssen Link-Local-IPv4-Adressen aus dem Adressbereich 169.254.0.0/16
zugewiesen werden.
Präfixlänge und HA VPN-Gateway-Schnittstellen
Wenn Sie einen regionalen internen IPv4-Adressbereich reservieren, konfigurieren Sie die Präfixlänge. Die Präfixlänge bestimmt die Größe des reservierten Bereichs. Für HA VPN über Cloud Interconnect legt diese Konfiguration fest, wie viele regionale interne IP-Adressen für Ihre HA VPN-Gateway-Schnittstellen verfügbar sind.
Die Präfixlänge (--prefix-length
) muss zwischen 26 und 30 liegen. Sie können die Größe dieses Bereichs später nicht mehr ändern.
Wenn Sie die Präfixlänge festlegen, wählen Sie die Präfixlänge aus, die der Kapazität Ihres Anhangs entspricht. Reservieren Sie einen ausreichend großen Bereich für Ihren VLAN-Anhang, damit Sie später zusätzliche HA VPN-Gateways aufnehmen können.
Für einen VLAN-Anhang mit folgender Kapazität: | Reservieren Sie mindestens so viele IP-Adressen für Ihre HA VPN-Gateway-Schnittstellen: | Zu verwendende Präfixlänge: |
---|---|---|
Maximal 2 Gbit/s | 1 | /29 |
5 Gbit/s | 2 | /29 |
10 Gbit/s | 4 | /29 |
20 Gbit/s | 7 | /28 |
50 Gbit/s | 17 | /26 |
Hinweise
Wenn Sie regionale interne IP-Adressen für Ihre HA VPN-Gateways reservieren, beachten Sie Folgendes:
- Verschiedene reservierte Bereiche im selben Virtual Private Cloud-Netzwerk (VPC) dürfen sich nicht überschneiden.
- Die reservierten Bereiche dürfen sich nicht mit Subnetzen überschneiden, die für VM-Instanzen im selben virtuellen Netzwerk verwendet werden.
- Wenn Sie einen internen IP-Adressbereich mit
--purpose=IPSEC_INTERCONNECT
reservieren, muss die Präfixlänge für den Bereich zwischen 26 und 29 liegen. - Wenn Sie Dedicated Interconnect verwenden, wird ein Fehler ausgegeben, wenn Sie einen Adressbereich mit einer Präfixlänge anwenden, der nicht mit der Bandbreite der VLAN-Anhänge übereinstimmt.
- Für jeden VLAN-Anhang können Sie nur einen internen IP-Adressbereich angeben.
- Wenn Sie einem VLAN-Anhang in Ihrer HA VPN über Cloud Interconnect-Bereitstellung regionale interne IP-Adressen zuweisen, muss der andere VLAN-Anhang in der Bereitstellung übereinstimmen und auch interne IP-Adressen verwenden. Der andere VLAN-Anhang kann keine regionalen externen IP-Adressen verwenden.
Regionale interne IP-Bereiche reservieren
Diese IP-Adressbereiche werden für die Zuweisung von IP-Adressen für die HA VPN-Gateways verwendet.
Console
Beim Erstellen Ihrer verschlüsselten VLAN-Anhänge haben Sie die Möglichkeit, interne IP-Bereiche zu erstellen.
Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option Interne regionale IP-Adressen aus.
Informationen zum Erstellen eines verschlüsselten VLAN-Anhangs für Dedicated Interconnect finden Sie unter Verschlüsselte VLAN-Anhänge erstellen.
Informationen zum Erstellen eines verschlüsselten VLAN-Anhangs für Partner Interconnect finden Sie unter Verschlüsselte VLAN-Anhänge erstellen.
gcloud
Verwenden Sie den folgenden Befehl, um einen regionalen internen IP-Adressbereich zu reservieren:
gcloud compute addresses create ADDRESS_NAME \ --region REGION \ --addresses=IP_ADDRESS \ --prefix-length=PREFIX_LENGTH \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
Dabei gilt:
ADDRESS_NAME
: Name für den regionalen internen IP-Adressbereich.REGION
: Region, in der Sie den VLAN-Anhang und die HA VPN-Gateways erstellen möchten.IP_ADDRESS
: Erste IP-Adresse des internen RFC 1918-IP-Adressbereichs, den Sie reservieren.PREFIX_LENGTH
: Richtige CIDR-Präfixlänge zwischen26
und29
für die Kapazität Ihres Anhangs. Weitere Informationen finden Sie unter Präfixlängen und HA VPN-Gateway-Schnittstellen.NETWORK_NAME
: Name des VPC-Netzwerks
Wenn Sie beispielsweise zwei regionale interne IP-Adressbereiche mit der Präfixlänge von 29
reservieren möchten, verwenden Sie die folgenden Befehle:
gcloud compute addresses create ip-range-1 \ --region us-central1 \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
gcloud compute addresses create ip-range-2 \ --region us-central1 \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
Beispielausgabe:
Created [https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-1]. NAME REGION NETWORK ip-range-1 us-central1 network-a
Created https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-2]. NAME REGION NETWORK ip-range-2 us-central1 network-a
Nächste Schritte
Informationen zum Auswählen eines Verbindungstyps für Cloud Interconnect finden Sie unter Produkt für Netzwerkverbindung auswählen.
Informationen zu Best Practices beim Planen und Konfigurieren von Cloud Interconnect finden Sie unter Best Practices.