部署通过 Cloud Interconnect 实现的高可用性 VPN 时,您可以选择为高可用性 VPN 网关接口使用区域级内部 IP 地址或区域级外部 IP 地址。除非您需要为 VPN 隧道使用外部 IP 地址(例如,连接到其他云服务提供商),否则我们建议您为通过 Cloud Interconnect 实现的高可用性 VPN 使用区域级内部 IP 地址。
如果您选择使用区域级内部 IP 地址(仅限 RFC 1918),则必须为 VLAN 连接预留专用 IPv4 地址范围。该范围内的 IP 地址专门用于高可用性 VPN 网关接口。高可用性 VPN 使用这些 IP 地址与一个或多个对等 VPN 网关进行通信。
如果您没有将 VLAN 连接配置为使用区域级内部 IP 地址,则 Google Cloud 会从其地址池中选择两个区域级外部 IP 地址,并为每个接口分配一个地址。
无论您选择区域级内部还是外部 IP 地址,通过 Cloud Interconnect 实现的高可用性 VPN 数据包在任何时候都不会通过公共互联网传输。
Cloud Router 路由器 BGP 接口的 IP 地址要求与没有 Cloud Interconnect 的高可用性 VPN 部署中使用的 IP 地址的要求相同。您必须为 BGP 接口分配来自 169.254.0.0/16 地址空间的链路本地 IPv4 地址。
前缀长度和高可用性 VPN 网关接口
预留区域级内部 IPv4 地址范围时,您需要配置前缀长度。前缀长度决定了此范围的大小。对于通过 Cloud Interconnect 实现的高可用性 VPN,此配置会确定可用于高可用性 VPN 网关接口的区域级内部 IP 地址的数量。
前缀长度 (--prefix-length) 必须设置为 26 到 29 之间。您以后无法修改此范围的大小。
指定前缀长度时,请选择与连接的容量匹配的前缀长度。为 VLAN 连接预留足够大的范围,以便在以后需要额外的高可用性 VPN 网关时可以将其容纳。
| 对于容量为...的 VLAN 连接 | ...为高可用性 VPN 网关接口至少预留以下数量的 IP 地址 | 使用以下前缀长度 |
|---|---|---|
| 不超过 2 Gbps | 1 | /29 |
| 5 Gbps | 2 | /29 |
| 10 Gbps | 4 | /29 |
| 20 Gbps | 7 | /28 |
| 50 Gbps | 17 | /26 |
注意事项
如果您选择为高可用性 VPN 网关预留区域级内部 IP 地址,请注意以下几点:
- 同一 Virtual Private Cloud (VPC) 网络中的不同预留范围不能重叠。
- 预留范围不能与用于同一虚拟网络中的虚拟机 (VM) 实例的子网重叠。
- 如果您使用
--purpose=IPSEC_INTERCONNECT预留内部 IP 地址范围,则该范围的前缀长度必须介于 26 到 29 之间。 - 如果您使用的是专用互连,则在应用前缀范围与 VLAN 连接的带宽不匹配的地址范围时,系统会抛出错误。
- 对于每个 VLAN 连接,您只能指定一个内部 IP 地址范围。
- 如果您为通过 Cloud Interconnect 实现的高可用性 VPN 部署中的一个 VLAN 连接分配区域级内部 IP 地址,则该部署中的另一个 VLAN 连接必须匹配,并且也会使用内部 IP 地址。另一个 VLAN 连接不能使用区域级外部 IP 地址。
预留区域级内部 IP 范围
这些 IP 地址范围用于为高可用性 VPN 网关分配 IP 地址。
控制台
创建加密的 VLAN 连接时,您可以选择创建内部 IP 范围。
在创建 VLAN 连接页面上,选择内部区域级 IP 地址。
如需为专用互连创建加密的 VLAN 连接,请参阅创建加密的 VLAN 连接。
如需为合作伙伴互连创建加密的 VLAN 连接,请参阅创建加密的 VLAN 连接。
gcloud
如需预留区域级内部 IP 地址范围,请使用以下命令:
gcloud compute addresses create ADDRESS_NAME \ --region REGION \ --addresses=IP_ADDRESS \ --prefix-length=PREFIX_LENGTH \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
请替换以下内容:
ADDRESS_NAME:区域级内部 IP 地址范围的名称。REGION:您计划在其中创建 VLAN 连接和高可用性 VPN 网关的区域。IP_ADDRESS:您要预留的 RFC 1918 内部 IP 地址范围的第一个 IP 地址。PREFIX_LENGTH:适用于连接容量的正确 CIDR 前缀长度(介于26和29之间)。请参阅前缀长度和高可用性 VPN 网关接口。NETWORK_NAME:您的 VPC 网络的名称。
例如,如需预留两个前缀长度为 29 的区域级内部 IP 地址范围,请使用以下命令:
gcloud compute addresses create ip-range-1 \ --region us-central1 \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
gcloud compute addresses create ip-range-2 \ --region us-central1 \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
示例输出:
Created [https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-1]. NAME REGION NETWORK ip-range-1 us-central1 network-a
Created https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-2]. NAME REGION NETWORK ip-range-2 us-central1 network-a