VLAN-Anhänge für Partner Interconnect-Verbindungen (auch interconnectAttachments
genannt) verbinden Ihre VPC-Netzwerke (Virtual Private Cloud) über das Netzwerk Ihres Dienstanbieters mit Ihrem lokalen Netzwerk. Dafür werden über die Verbindung Ihres Dienstanbieters VLANs zugewiesen.
Sie können unverschlüsselte VLAN-Anhänge oder verschlüsselte VLAN-Anhänge erstellen. Unverschlüsselte VLAN-Anhänge unterstützen nur IPv4 (Single-Stack) oder IPv4 und IPv6 (Dual-Stack). Verschlüsselte VLAN-Anhänge werden in HA VPN über Cloud Interconnect-Bereitstellungen verwendet und unterstützen nur IPv4 (Single-Stack).
Bevor Sie VLAN-Anhänge für Partner Interconnect erstellen können, müssen Sie eine Verbindung mit einem unterstützten Dienstanbieter herstellen.
Die Abrechnung für VLAN-Anhänge beginnt, wenn Ihr Dienstanbieter die Konfiguration abgeschlossen hat. Ob Sie Ihre Anhänge vorab aktiviert haben oder nicht, ist dabei unerheblich. Der Dienstanbieter konfiguriert Ihre Anhänge, wenn sie sich im Status PENDING_CUSTOMER
oder ACTIVE
befinden. Die Abrechnung wird beendet, wenn Sie oder der Dienstanbieter die Anhänge löschen (wenn sie sich im Status DEFUNCT
befinden).
Die VLAN-ID ist für Ihre Partner Interconnect-Verbindung eindeutig. Sie können dieselbe VLAN-ID daher für eine andere Verbindung wiederverwenden, unabhängig davon, wo sich diese Verbindung befindet.
Informationen zu VLAN-Anhängen für Dedicated Interconnect finden Sie unter VLAN-Anhänge für Dedicated Interconnect erstellen.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Partner Interconnect finden Sie unter Fehlerbehebung.
Mehrere VLAN-Anhänge verwenden
VLAN-Anhänge unterstützen Trafficgeschwindigkeiten von bis zu 50 Gbit/s oder 6,25 M Pakete pro Sekunde (pps) bei Verbindungen mit 100 Gbit/s. Der Durchsatz hängt davon ab, welches Limit Sie zuerst erreichen. Wenn Ihr Traffic beispielsweise sehr kleine Pakete verwendet, können Sie das Limit von 6,25 M pps vor dem Limit von 50 Gbit/s erreichen.
Sie müssen mehrere VLAN-Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede Border-Gateway-Protocol-Sitzung (BGP) dieselben MED-Werte, damit der Traffic ECMP-Routing (Equal Cost Multipath) für alle konfigurierten VLAN-Anhänge verwendet.
Wenn Sie mehrere VLAN-Anhänge haben, einschließlich Anhängen in verschiedenen Projekten, können Sie diese mit einer Partner Interconnect-Verbindung desselben Dienstanbieters oder mit Partner Interconnect-Verbindungen von unterschiedlichen Dienstanbietern koppeln.
Unverschlüsselte VLAN-Anhänge erstellen
Console
Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option Unverschlüsselte Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie Ein Paar redundanter VLAN-Anhänge erstellen aus. Redundanz bietet eine höhere Verfügbarkeit als eine einzelne Verbindung. Beide Anhänge verarbeiten Traffic und zwischen ihnen wird ein Load-Balancing des Traffics durchgeführt. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie unter Redundanz und SLA.
Wenn Sie einen Anhang zu Testzwecken erstellen oder keine hohe Verfügbarkeit benötigen, wählen Sie Ein einzelnes VLAN erstellen aus, um nur einen VLAN-Anhang zu erstellen.
Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.
Geben Sie die Details der VLAN-Anhänge an:
Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN
16550
im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden. Wenn Sie noch keinen Cloud Router haben, erstellen Sie einen mit der ASN16550
. Jeder VLAN-Anhang kann einer einzelnen Cloud Router-Instanz zugeordnet sein. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu.Name des VLAN-Anhangs: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
my-attachment
.IP-Stacktyp: Wählen Sie den IP-Stacktyp aus. Entweder IPv4 (Single-Stack) oder IPv4 und IPv6 (Dual-Stack).
Maximale Übertragungseinheit (MTU) für den Anhang: Zur Verwendung der maximalen Übertragungseinheit (MTU) von 1.460, 1.500 oder 8.896 Byte muss für das VPC-Netzwerk, das den Anhang verwendet, eine MTU auf denselben Wert festgelegt sein. Darüber hinaus muss für die lokalen VM-Instanzen und -Router die MTU auch auf den gleichen Wert festgelegt werden. Wenn Ihr Netzwerk die MTU-Standardeinstellung
1460
hat, wählen Sie1460
als MTU des VLAN-Anhangs aus.
Klicken Sie zum Erstellen der Anhänge auf Erstellen. Dieser Vorgang dauert einige Minuten.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.
Sie können Ihre BGP-Sitzungen optional für die Verwendung der MD5-Authentifizierung aktualisieren.
Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD konfigurieren.
gcloud
Damit Sie einen VLAN-Anhang erstellen können, benötigen Sie einen vorhandenen Cloud Router in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Wenn kein Cloud Router vorhanden ist, erstellen Sie einen.
Der Cloud Router muss die BGP-ASN 16550
haben.
Erstellen Sie einen VLAN-Anhang vom Typ
PARTNER
. Geben Sie dafür die Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (Großraum-Verfügbarkeitszone) des VLAN-Anhangs an. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.Sie können die MTU Ihres Anhangs angeben. Gültige Werte sind
1440
(Standard),1460
,1500
und8896
. Um eine MTU von1460
,1500
oder8896
anzugeben, verwenden Sie den Parameter--mtu
, z. B.--mtu 1500
. Um die 1.460-, 1.500- oder 8.896-Byte-MTU zu nutzen, muss das VPC-Netzwerk, das den Anhang verwendet, auf die dieselbe MTU festgelegt sein. Darüber hinaus müssen die lokalen VMs und Router dieselbe MTU festlegenSie können den Stacktyp Ihres VLAN-Anhangs angeben. Der Standard-Stacktyp ist IPv4.
Im folgenden Beispiel wird in der Edge-Verfügbarkeitsdomain
availability-domain-1
ein VLAN-Anhang erstellt:gcloud compute interconnects attachments partner create ATTACHMENT_NAME \ --region=REGION \ --router=ROUTER_NAME \ --stack-type=STACK_TYPE \ --edge-availability-domain availability-domain-1
Ersetzen Sie Folgendes:
ATTACHMENT_NAME
: ein Name für Ihren VLAN-AnhangREGION
: die Region Ihres VLAN-Anhang.ROUTER_NAME
: Der Name Ihres Cloud Routers.STACK_TYPE
: der Stacktyp für Ihren VLAN-Anhang. Der Stack-Typ kann einer der folgenden sein:IPV4_ONLY
: Wählt nur IPv4 aus (Single-Stack).IPV4_IPV6
: Wählt IPv4 und IPv6 aus (Dual-Stack).
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag
--admin-enabled
aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.gcloud compute interconnects attachments partner create ATTACHMENT_NAME \ --region=REGION \ --router=ROUTER_NAME \ --stack-type=STACK_TYPE \ --edge-availability-domain availability-domain-1 \ --admin-enabled
ATTACHMENT_NAME
: ein Name für Ihren VLAN-AnhangREGION
: die Region Ihres VLAN-Anhang.ROUTER_NAME
: Der Name Ihres Cloud Routers.STACK_TYPE
: der Stacktyp für Ihren VLAN-Anhang. Der Stack-Typ kann einer der folgenden sein:IPV4_ONLY
: Wählt nur IPv4 aus (Single-Stack).IPV4_IPV6
: Wählt IPv4 und IPv6 aus (Dual-Stack).
Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie müssen diesen Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:
gcloud compute interconnects attachments describe ATTACHMENT_NAME \ --region=REGION
Die Ausgabe für IPv4-VLAN-Anhänge sieht in etwa so aus:
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: ATTACHMENT_NAME pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
Die Ausgabe für IPv4- und IPv6-VLAN-Anhänge (Dual-Stack) sieht in etwa so aus:
bandwidth: BPS_1G cloudRouterIpAddress: 169.254.67.201/29 cloudRouterIpv6Address: 2600:2d00:0:1::1/125 creationTimestamp: '2017-12-01T08:31:11.580-08:00' customerRouterIpAddress: 169.254.67.202/29 customerRouterIpv6Address: 2600:2d00:0:1::2/125 description: Interconnect for Customer 1 id: '7193021941765913888' interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2 kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: partner-attachment partnerMetadata: interconnectName: New York (2) partnerName: Partner Inc portalUrl: https://partner-portal.com region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME stackType: IPV4_IPV6 state: ACTIVE type: PARTNER vlanTag8021q: 1000
Das Feld
pairingKey
enthält den Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD für Cloud Router konfigurieren.
Wenn Sie Redundanz mit einem duplizierten VLAN-Anhang herstellen möchten, wiederholen Sie diese Schritte für den zweiten Anhang. Verwenden Sie dieselbe Cloud Router-Instanz, aber geben Sie eine andere Edge-Verfügbarkeitsdomain an. Außerdem müssen Sie beim Anfordern von Verbindungen bei Ihrem Dienstanbieter dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie unter Redundanz und SLA.
Verschlüsselte VLAN-Anhänge erstellen
Verschlüsselte VLAN-Anhänge unterstützen IPv4 und IPv6 (Dual-Stack) nicht. Der Versuch, einen verschlüsselten Dual-Stack-Anhang zu erstellen, schlägt fehl.
Console
Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option HA VPN über Interconnect einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option VPC-Netzwerk aus.
Wählen Sie im Feld Verschlüsselter Interconnect-Router einen Cloud Router aus, um diesen mit beiden verschlüsselten VLAN-Anhängen zu verknüpfen. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten. Außerdem kann der von Ihnen angegebene Cloud Router nur mit verschlüsselten VLAN-Anhängen verwendet werden. Dieser Router bewirbt nur die Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.
Wenn Sie noch keinen Cloud Router haben, den Sie speziell für verschlüsselte Cloud Interconnect-Verbindungen verwenden können, gehen Sie so vor:
- Wählen Sie Neuen Router erstellen aus.
- Geben Sie eine Region an, die mit Dataplane v2 kompatibel ist. In der Liste Nach geografischem Bereich der Dienstanbieter finden Sie Informationen, welche Regionen Dataplane v2-kompatibel für Ihren Dienstanbieter sind.
- Verwenden Sie als BGP-ASN
16550
.
Konfigurieren Sie die beiden VLAN-Anhänge. Konfigurieren Sie für VLAN-Anhang 1 und VLAN-Anhang 2 die folgenden Felder:
- Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
attachment-a-zone1
oderattachment-a-zone2
. - Beschreibung: Geben Sie eine optionale Beschreibung ein.
- Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
Um eine VLAN-ID oder einen bestimmten IP-Adressbereich für die BGP-Sitzung zu konfigurieren, klicken Sie auf VLAN-ID, BGP-IPs.
- Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.
- Um einen IP-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IP-Adresse zuweisen die Option Manuell aus.
Wenn Sie keine VLAN-ID angeben oder BGP-IP-Adressen manuell zuweisen, ordnet Google Cloud diese Werte automatisch zu.
Wählen Sie im Feld Kapazität die maximale Bandbreite für jeden VLAN-Anhang aus. Der Wert für VLAN-Anhang 1 wird automatisch auf VLAN-Anhang 2 angewendet. Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet. Die ausgewählte Kapazität bestimmt, wie viele HA VPN-Tunnel Sie bereitstellen müssen.
Wählen Sie unter VPN-Gateway-IP-Adressen den Typ der IP-Adressen aus, die für Ihre HA VPN-Gateway-Schnittstellen verwendet werden sollen.
- Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein.
Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
26
und29
fest. Die Präfixlänge bestimmt die Anzahl der für die VPN-Gateway-Schnittstellen verfügbaren IP-Adressen und muss auf die Kapazität des Anhangs abgestimmt sein. Weitere Informationen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen. - Wenn Sie Externe regionale IP-Adressen auswählen, weist Cloud Interconnect den externen HA VPN-Tunnelschnittstellen, die Sie in Ihrem VLAN-Anhang erstellen, automatisch regionale externe IP-Adressen zu.
Beide VLAN-Anhänge müssen für ihre VPN-Gateway-IP-Adressen den gleichen internen oder externen Adressierungstyp verwenden.
- Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein.
Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
Nachdem Sie beide VLAN-Anhänge angelegt haben, klicken Sie auf Erstellen. Es kann dann etwas dauern, bis die Anhänge erstellt sind.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.
Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.
Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.
gcloud
Erstellen Sie einen verschlüsselten Cloud Router für Cloud Interconnect in dem Netzwerk und der Region, die Sie von Ihrem lokalen Netzwerk aus erreichen möchten. Geben Sie das Flag
--encrypted-interconnect-router
an, um festzulegen, dass dieser Router für die HA VPN über Cloud Interconnect-Bereitstellung verwendet wird.Der Cloud Router muss die BGP-ASN
16550
haben.Im folgenden Beispiel wird die Router-ASN
16550
erstellt:gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK_NAME \ --asn 16550 \ --encrypted-interconnect-router
Ersetzen Sie
NETWORK_NAME
durch den Namen Ihres Netzwerks.Optional: Reservieren Sie einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
26
und29
. Die Präfixlänge bestimmt die Anzahl der IP-Adressen, die für die VPN-Gateway-Schnittstellen verfügbar sind. Die Anzahl der Adressen, die Sie reservieren müssen, hängt von der Kapazität des zugehörigen VLAN-Anhangs ab.So reservieren Sie beispielsweise einen Bereich für den ersten VLAN-Anhang mit einer Kapazität von 10 GB:
gcloud compute addresses create ip-range-1 \ --region=REGION \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
So reservieren Sie einen Adressbereich für den zweiten VLAN-Anhang:
gcloud compute addresses create ip-range-2 \ --region=REGION \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
Weitere Informationen zum Reservieren regionaler interner Adressen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
Erstellen Sie den ersten verschlüsselten VLAN-Anhang vom Typ
PARTNER
. Geben Sie dafür die Namen Ihres verschlüsselten Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLANs-Anhangs an. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.Im folgenden Beispiel wird ein verschlüsselter Anhang für die Edge-Verfügbarkeitsdomain
availability-domain-1
erstellt. Der Befehl legt auch den regionalen internen IP-Adressbereichip-range-1
fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-1
Wenn Sie für die HA VPN-Gateway-Schnittstellen in Ihrem Anhang regionale externe IP-Adressen verwenden möchten, lassen Sie das Flag
--ipsec-internal-addresses
weg. Allen HA VPN-Gateway-Schnittstellen werden automatisch regionale externe IPv4-Adressen zugewiesen.gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag
--admin-enabled
aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.Sie können mit verschlüsselten VLAN-Anhängen keine benutzerdefinierte MTU (
--mtu
) festlegen. Alle verschlüsselten VLAN-Anhänge müssen eine MTU von 1.440 Byte nutzen. Dies ist der Standardwert.Erstellen Sie den zweiten verschlüsselten VLAN-Anhang. Geben Sie dafür die Namen Ihrer zweiten Cloud Interconnect-Verbindung und des Cloud Routers für Cloud Interconnect an.
Im folgenden Beispiel wird ein verschlüsselter Anhang für eine Edge-Verfügbarkeitsdomain
availability-domain-2
erstellt. Der Befehl legt auch den regionalen internen IP-Adressbereichip-range-2
fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-2 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-2
Geben Sie beim Erstellen des zweiten VLAN-Anhangs das gleiche IP-Adressierungsschema (intern oder extern) an wie beim ersten Anhang. Jedem VLAN-Anhang muss ein anderer interner Adressbereich zugewiesen sein. Sie können für jeden Anhang nur einen IP-Bereich angeben.
Beschreiben Sie die Anhänge, um ihre Kopplungsschlüssel abzurufen. Sie müssen diese Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:
Für den ersten VLAN-Anhang:
gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \ --region=REGION
Die Ausgabe sieht in etwa so aus:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 encryption: IPSEC id: '7976913826166357434' kind: compute#interconnectAttachment name: ATTACHMENT_NAME_1 pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1 stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
Für den zweiten VLAN-Anhang:
gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \ --region=REGION
Die Ausgabe sieht in etwa so aus:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2 encryption: IPSEC id: '7976913826166334235' kind: compute#interconnectAttachment name: ATTACHMENT_NAME_2 pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2 stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
Die
pairingKey
-Felder enthalten die Kopplungsschlüssel, die Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie die Kopplungsschlüssel als vertrauliche Informationen, bis Ihre VLAN-Anhänge konfiguriert sind.Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er die benutzerdefinierten erkannten Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.
Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.
Partner Interconnect-Nutzung einschränken
Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.Nächste Schritte
- Informationen zum Ändern von VLAN-Anhängen finden Sie unter VLAN-Anhänge ändern.
- Informationen zum Konfigurieren lokaler Router für Dedicated Interconnect finden Sie unter Lokale Router konfigurieren.
- Informationen dazu, ob der Anhang Dataplane v2 verwendet, finden Sie unter VLAN-Anhänge aufrufen.