VLAN-Anhänge erstellen

VLAN-Anhänge für Partner Interconnect-Verbindungen (auch interconnectAttachments genannt) verbinden Ihre VPC-Netzwerke (Virtual Private Cloud) über das Netzwerk Ihres Dienstanbieters mit Ihrem lokalen Netzwerk. Dafür werden über die Verbindung Ihres Dienstanbieters VLANs zugewiesen.

Sie können unverschlüsselte VLAN-Anhänge oder verschlüsselte VLAN-Anhänge erstellen. Unverschlüsselte VLAN-Anhänge unterstützen nur IPv4 (Single-Stack) oder IPv4 und IPv6 (Dual-Stack). Verschlüsselte VLAN-Anhänge werden in HA VPN über Cloud Interconnect-Bereitstellungen verwendet und unterstützen nur IPv4 (Single-Stack).

Bevor Sie VLAN-Anhänge für Partner Interconnect erstellen können, müssen Sie eine Verbindung mit einem unterstützten Dienstanbieter herstellen.

Die Abrechnung für VLAN-Anhänge beginnt, wenn Ihr Dienstanbieter die Konfiguration abgeschlossen hat. Ob Sie Ihre Anhänge vorab aktiviert haben oder nicht, ist dabei unerheblich. Der Dienstanbieter konfiguriert Ihre Anhänge, wenn sie sich im Status PENDING_CUSTOMER oder ACTIVE befinden. Die Abrechnung wird beendet, wenn Sie oder der Dienstanbieter die Anhänge löschen (wenn sie sich im Status DEFUNCT befinden).

Informationen zu VLAN-Anhängen für Dedicated Interconnect finden Sie unter VLAN-Anhänge für Dedicated Interconnect erstellen.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.

Informationen zur Behebung häufiger Probleme bei der Verwendung von Partner Interconnect finden Sie unter Fehlerbehebung.

Mehrere VLAN-Anhänge verwenden

VLAN-Anhänge unterstützen Trafficgeschwindigkeiten von bis zu 50 Gbit/s oder 6,25 M Pakete pro Sekunde (pps) bei Verbindungen mit 100 Gbit/s. Der Durchsatz hängt davon ab, welches Limit Sie zuerst erreichen. Wenn Ihr Traffic beispielsweise sehr kleine Pakete verwendet, können Sie das Limit von 6,25 M pps vor dem Limit von 50 Gbit/s erreichen.

Sie müssen mehrere VLAN-Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede Border-Gateway-Protocol-Sitzung (BGP) dieselben MED-Werte, damit der Traffic ECMP-Routing (Equal Cost Multipath) für alle konfigurierten VLAN-Anhänge verwendet.

Wenn Sie mehrere VLAN-Anhänge haben, einschließlich Anhängen in verschiedenen Projekten, können Sie diese mit einer Partner Interconnect-Verbindung desselben Dienstanbieters oder mit Partner Interconnect-Verbindungen von unterschiedlichen Dienstanbietern koppeln.

Unverschlüsselte VLAN-Anhänge erstellen

Console

  1. Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

    Zu „VLAN-Anhänge“

  2. Klicken Sie auf VLAN-Anhänge erstellen.

  3. Wählen Sie Partner Interconnect-Verbindung aus.

  4. Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option Unverschlüsselte Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.

  5. Wählen Sie Ich habe bereits einen Dienstanbieter aus.

  6. Wählen Sie Ein Paar redundanter VLAN-Anhänge erstellen aus. Redundanz bietet eine höhere Verfügbarkeit als eine einzelne Verbindung. Beide Anhänge verarbeiten Traffic und zwischen ihnen wird ein Load-Balancing des Traffics durchgeführt. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie unter Redundanz und SLA.

    Wenn Sie einen Anhang zu Testzwecken erstellen oder keine hohe Verfügbarkeit benötigen, wählen Sie Ein einzelnes VLAN erstellen aus, um nur einen VLAN-Anhang zu erstellen.

  7. Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.

  8. Geben Sie die Details der VLAN-Anhänge an:

    • Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN 16550 im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden. Wenn Sie noch keinen Cloud Router haben, erstellen Sie einen mit der ASN 16550. Jeder VLAN-Anhang kann einer einzelnen Cloud Router-Instanz zugeordnet sein. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu.

    • Name des VLAN-Anhangs: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B. my-attachment.

    • IP-Stacktyp: Wählen Sie den IP-Stacktyp aus. Entweder IPv4 (Single-Stack) oder IPv4 und IPv6 (Dual-Stack).

    • Maximale Übertragungseinheit (MTU) für den Anhang: Zur Verwendung der maximalen Übertragungseinheit (MTU) von 1.460, 1.500 oder 8.896 Byte muss für das VPC-Netzwerk, das den Anhang verwendet, eine MTU auf denselben Wert festgelegt sein. Darüber hinaus muss für die lokalen VM-Instanzen und -Router die MTU auch auf den gleichen Wert festgelegt werden. Wenn Ihr Netzwerk die MTU-Standardeinstellung 1460 hat, wählen Sie 1460 als MTU des VLAN-Anhangs aus.

  9. Klicken Sie zum Erstellen der Anhänge auf Erstellen. Dieser Vorgang dauert einige Minuten.

  10. Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.

    Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.

  11. Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.

Sie können Ihre BGP-Sitzungen optional für die Verwendung der MD5-Authentifizierung aktualisieren.

Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD konfigurieren.

gcloud

Damit Sie einen VLAN-Anhang erstellen können, benötigen Sie einen vorhandenen Cloud Router in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Wenn kein Cloud Router vorhanden ist, erstellen Sie einen. Der Cloud Router muss die BGP-ASN 16550 haben.

  1. Erstellen Sie einen VLAN-Anhang vom Typ PARTNER. Geben Sie dafür die Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (Großraum-Verfügbarkeitszone) des VLAN-Anhangs an. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.

    Sie können die MTU Ihres Anhangs angeben. Gültige Werte sind 1440 (Standard), 1460, 1500 und 8896. Um eine MTU von 1460, 1500 oder 8896 anzugeben, verwenden Sie den Parameter --mtu, z. B. --mtu 1500. Um die MTU mit 1.460, 1.500 oder 8.896 Byte zu verwenden, muss das VPC-Netzwerk, das den Anhang verwendet, dieselbe MTU festlegen. Darüber hinaus müssen die lokalen VMs und Router dieselbe MTU festlegen.

    Sie können den Stacktyp Ihres VLAN-Anhangs angeben. Der Standard-Stacktyp ist IPv4.

    Im folgenden Beispiel wird ein VLAN-Anhang in der Edge-Verfügbarkeitsdomain availability-domain-1 erstellt:

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: ein Name für Ihren VLAN-Anhang.
    • REGION: die Region Ihres VLAN-Anhangs.
    • ROUTER_NAME: Der Name Ihres Cloud Routers.
    • STACK_TYPE: der Stacktyp für Ihren VLAN-Anhang. Der Stack-Typ kann einer der folgenden sein:
      • IPV4_ONLY: Wählt nur IPv4 aus (Single-Stack).
      • IPV4_IPV6: Wählt IPv4 und IPv6 aus (Dual-Stack).

    Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag --admin-enabled aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled
    • ATTACHMENT_NAME: ein Name für Ihren VLAN-Anhang.
    • REGION: die Region Ihres VLAN-Anhangs.
    • ROUTER_NAME: Der Name Ihres Cloud Routers.
    • STACK_TYPE: der Stacktyp für Ihren VLAN-Anhang. Der Stack-Typ kann einer der folgenden sein:
      • IPV4_ONLY: Wählt nur IPv4 aus (Single-Stack).
      • IPV4_IPV6: Wählt IPv4 und IPv6 aus (Dual-Stack).

  2. Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie müssen diesen Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

    Die Ausgabe für IPv4-VLAN-Anhänge sieht in etwa so aus:

    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: ATTACHMENT_NAME
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    Die Ausgabe für IPv4- und IPv6-VLAN-Anhänge (Dual-Stack) sieht in etwa so aus:

    bandwidth: BPS_1G
cloudRouterIpAddress: 169.254.67.201/29
cloudRouterIpv6Address: 2600:2d00:0:1::1/125
creationTimestamp: '2017-12-01T08:31:11.580-08:00'
customerRouterIpAddress: 169.254.67.202/29
customerRouterIpv6Address: 2600:2d00:0:1::2/125
description: Interconnect for Customer 1
id: '7193021941765913888'
interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: partner-attachment
partnerMetadata:
  interconnectName: New York (2)
  partnerName: Partner Inc
  portalUrl: https://partner-portal.com
region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION
selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_IPV6
state: ACTIVE
type: PARTNER
vlanTag8021q: 1000

    Das Feld pairingKey enthält den Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.

    Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD für Cloud Router konfigurieren.

Wenn Sie Redundanz mit einem duplizierten VLAN-Anhang herstellen möchten, wiederholen Sie diese Schritte für den zweiten Anhang. Verwenden Sie dieselbe Cloud Router-Instanz, aber geben Sie eine andere Edge-Verfügbarkeitsdomain an. Außerdem müssen Sie beim Anfordern von Verbindungen bei Ihrem Dienstanbieter dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie unter Redundanz und SLA.

Verschlüsselte VLAN-Anhänge erstellen

Verschlüsselte VLAN-Anhänge unterstützen IPv4 und IPv6 (Dual-Stack) nicht. Der Versuch, einen verschlüsselten Dual-Stack-Anhang zu erstellen, schlägt fehl.

Console

  1. Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

    Zu „VLAN-Anhänge“

  2. Klicken Sie auf VLAN-Anhänge erstellen.

  3. Wählen Sie Partner Interconnect-Verbindung aus.

  4. Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option HA VPN über Interconnect einrichten aus und klicken Sie dann auf Weiter.

  5. Wählen Sie Ich habe bereits einen Dienstanbieter aus.

  6. Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option VPC-Netzwerk aus.

  7. Wählen Sie im Feld Verschlüsselter Interconnect-Router einen Cloud Router aus, um diesen mit beiden verschlüsselten VLAN-Anhängen zu verknüpfen. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten. Außerdem kann der von Ihnen angegebene Cloud Router nur mit verschlüsselten VLAN-Anhängen verwendet werden. Dieser Router bewirbt nur die Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.

    Wenn Sie keinen Cloud Router haben, den Sie speziell für verschlüsselte Cloud Interconnect-Verbindungen verwenden können, gehen Sie so vor:

    1. Wählen Sie Neuen Router erstellen aus.
    2. Geben Sie eine Region an, die mit Dataplane v2 kompatibel ist. In der Liste Nach geografischem Bereich der Dienstanbieter finden Sie Informationen, welche Regionen Dataplane v2-kompatibel für Ihren Dienstanbieter sind.
    3. Verwenden Sie als BGP-ASN 16550.

  8. Konfigurieren Sie die beiden VLAN-Anhänge. Konfigurieren Sie für VLAN-Anhang 1 und VLAN-Anhang 2 die folgenden Felder:

    • Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B. attachment-a-zone1 oder attachment-a-zone2.
    • Beschreibung: Geben Sie eine optionale Beschreibung ein.

  9. Um eine VLAN-ID oder einen bestimmten IP-Adressbereich für die BGP-Sitzung zu konfigurieren, klicken Sie auf VLAN-ID, BGP-IPs.

    • Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.
    • Um einen IP-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IP-Adresse zuweisen die Option Manuell aus.

    Wenn Sie keine VLAN-ID angeben oder BGP-IP-Adressen manuell zuweisen, ordnet Google Cloud diese Werte automatisch zu.

  10. Wählen Sie im Feld Kapazität die maximale Bandbreite für jeden VLAN-Anhang aus. Der Wert für VLAN-Anhang 1 wird automatisch auf VLAN-Anhang 2 angewendet. Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet. Die ausgewählte Kapazität bestimmt, wie viele HA VPN-Tunnel Sie bereitstellen müssen.

  11. Wählen Sie unter VPN-Gateway-IP-Adressen den Typ der IP-Adressen aus, die für Ihre HA VPN-Gateway-Schnittstellen verwendet werden sollen.

    • Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein. Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29 fest. Die Präfixlänge bestimmt die Anzahl der für die VPN-Gateway-Schnittstellen verfügbaren IP-Adressen und muss auf die Kapazität des Anhangs abgestimmt sein. Weitere Informationen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
    • Wenn Sie Externe regionale IP-Adressen auswählen, weist Cloud Interconnect den externen HA VPN-Tunnelschnittstellen, die Sie in Ihrem VLAN-Anhang erstellen, automatisch regionale externe IP-Adressen zu.

    Beide VLAN-Anhänge müssen für ihre VPN-Gateway-IP-Adressen den gleichen internen oder externen Adressierungstyp verwenden.

  12. Nachdem Sie beide VLAN-Anhänge angelegt haben, klicken Sie auf Erstellen. Es kann dann etwas dauern, bis die Anhänge erstellt sind.

  13. Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.

    Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.

  14. Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.

    Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

    Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.

    Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

    Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

    Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.

  15. Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.

    Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.

gcloud

  1. Erstellen Sie einen verschlüsselten Cloud Router für Cloud Interconnect in dem Netzwerk und der Region, die Sie von Ihrem lokalen Netzwerk aus erreichen möchten. Geben Sie das Flag --encrypted-interconnect-router an, um festzulegen, dass dieser Router für die HA VPN über Cloud Interconnect-Bereitstellung verwendet wird.

    Der Cloud Router muss die BGP-ASN 16550 haben.

    Im folgenden Beispiel wird die Router-ASN 16550 erstellt:

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK_NAME \
     --asn 16550 \
     --encrypted-interconnect-router

    Ersetzen Sie NETWORK_NAME durch den Namen Ihres Netzwerks.

  2. Optional: Reservieren Sie einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29. Die Präfixlänge bestimmt die Anzahl der IP-Adressen, die für die VPN-Gateway-Schnittstellen verfügbar sind. Die Anzahl der Adressen, die Sie reservieren müssen, hängt von der Kapazität des zugehörigen VLAN-Anhangs ab.

    So reservieren Sie beispielsweise einen Bereich für den ersten VLAN-Anhang mit einer Kapazität von 10 GB:

    gcloud compute addresses create ip-range-1 \
  --region=REGION \
  --addresses=192.168.1.0 \
  --prefix-length=29 \
  --network=NETWORK_NAME \
  --purpose=IPSEC_INTERCONNECT

    So reservieren Sie einen Adressbereich für den zweiten VLAN-Anhang:

    gcloud compute addresses create ip-range-2 \
  --region=REGION \
  --addresses=192.168.2.0 \
  --prefix-length=29 \
  --network=NETWORK_NAME \
  --purpose=IPSEC_INTERCONNECT

    Weitere Informationen zum Reservieren regionaler interner Adressen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.

  3. Erstellen Sie den ersten verschlüsselten VLAN-Anhang vom Typ PARTNER. Geben Sie dafür die Namen Ihres verschlüsselten Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLANs-Anhangs an. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.

    Im folgenden Beispiel wird ein Anhang für die Edge-Verfügbarkeitsdomain availability-domain-1 erstellt. Der Befehl legt auch den regionalen internen IP-Adressbereich ip-range-1 fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1

    Wenn Sie für die HA VPN-Gateway-Schnittstellen in Ihrem Anhang regionale externe IP-Adressen verwenden möchten, lassen Sie das Flag --ipsec-internal-addresses weg. Allen HA VPN-Gateway-Schnittstellen werden automatisch regionale externe IPv4-Adressen zugewiesen.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC

    Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag --admin-enabled aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.

    Sie können mit verschlüsselten VLAN-Anhängen keine benutzerdefinierte MTU (--mtu) festlegen. Alle verschlüsselten VLAN-Anhänge müssen eine MTU von 1.440 Byte nutzen. Dies ist der Standardwert.

  4. Erstellen Sie den zweiten verschlüsselten VLAN-Anhang. Geben Sie dafür die Namen Ihrer zweiten Cloud Interconnect-Verbindung und des Cloud Routers für Cloud Interconnect an.

    Im folgenden Beispiel wird ein Anhang für die Edge-Verfügbarkeitsdomain availability-domain-2 erstellt. Der Befehl legt auch den regionalen internen IP-Adressbereich ip-range-2 fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2

    Geben Sie beim Erstellen des zweiten VLAN-Anhangs das gleiche IP-Adressierungsschema (intern oder extern) an wie beim ersten Anhang. Jedem VLAN-Anhang muss ein anderer interner Adressbereich zugewiesen sein. Sie können nur einen IP-Bereich für jeden Anhang angeben.

  5. Beschreiben Sie die Anhänge, um deren Kopplungsschlüssel abzurufen. Sie müssen diese Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:

    Für den ersten VLAN-Anhang:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \
  --region=REGION

    Die Ausgabe sieht in etwa so aus:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    Für den zweiten VLAN-Anhang:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \
  --region=REGION

    Die Ausgabe sieht in etwa so aus:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    Die pairingKey-Felder enthalten die Kopplungsschlüssel, die Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie die Kopplungsschlüssel als vertrauliche Informationen, bis Ihre VLAN-Anhänge konfiguriert sind.

    Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

    Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.

    Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er die benutzerdefinierten erkannten Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

    Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

    Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.

  6. Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.

    Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.

Partner Interconnect-Nutzung einschränken

Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.

Nächste Schritte

Zurück
Bereitstellungsübersicht
Weiter
Verbindungen anfordern