VLAN-Anhänge für Partner Interconnect-Verbindungen (auch interconnectAttachments
genannt) verbinden Ihre VPC-Netzwerke (Virtual Private Cloud) über das Netzwerk Ihres Dienstanbieters mit Ihrem lokalen Netzwerk. Dafür werden über die Verbindung Ihres Dienstanbieters VLANs zugewiesen.
Bevor Sie VLAN-Anhänge für Partner Interconnect erstellen können, müssen Sie eine Verbindung mit einem unterstützten Dienstanbieter herstellen.
Die Abrechnung für VLAN-Anhänge beginnt, wenn Ihr Dienstanbieter die Konfiguration abgeschlossen hat. Ob Sie Ihre Anhänge vorab aktiviert haben oder nicht, ist dabei unerheblich. Der Dienstanbieter konfiguriert Ihre Anhänge, wenn sie sich im Status PENDING_CUSTOMER
oder ACTIVE
befinden. Die Abrechnung wird beendet, wenn Sie oder der Dienstanbieter die Anhänge löschen (wenn sie sich im Status DEFUNCT
befinden).
Informationen zu VLAN-Anhängen für Dedicated Interconnect finden Sie unter VLAN-Anhänge für Dedicated Interconnect erstellen.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Partner Interconnect finden Sie unter Fehlerbehebung.
Mehrere VLAN-Anhänge verwenden
VLAN-Anhänge unterstützen Trafficgeschwindigkeiten von bis zu 50 Gbit/s oder 6,25 M Pakete pro Sekunde (pps) bei Verbindungen mit 100 Gbit/s. Der Durchsatz hängt davon ab, welches Limit Sie zuerst erreichen. Wenn Ihr Traffic beispielsweise sehr kleine Pakete verwendet, können Sie das Limit von 6,25 M pps vor dem Limit von 50 Gbit/s erreichen.
Sie müssen mehrere VLAN-Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede Border-Gateway-Protocol-Sitzung (BGP) dieselben MED-Werte, damit der Traffic ECMP-Routing (Equal Cost Multipath) für alle konfigurierten VLAN-Anhänge verwendet.
Wenn Sie mehrere VLAN-Anhänge haben, einschließlich Anhängen in verschiedenen Projekten, können Sie diese mit einer Partner Interconnect-Verbindung desselben Dienstanbieters oder mit Partner Interconnect-Verbindungen von unterschiedlichen Dienstanbietern koppeln.
Unverschlüsselte VLAN-Anhänge erstellen
Console
Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option Unverschlüsselte Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie Ein Paar redundanter VLAN-Anhänge erstellen aus. Redundanz bietet eine höhere Verfügbarkeit als eine einzelne Verbindung. Beide Anhänge verarbeiten Traffic und zwischen ihnen wird ein Load-Balancing des Traffics durchgeführt. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie unter Redundanz und SLA.
Wenn Sie einen Anhang zu Testzwecken erstellen oder keine hohe Verfügbarkeit benötigen, wählen Sie Ein einzelnes VLAN erstellen aus, um nur einen VLAN-Anhang zu erstellen.
Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.
Geben Sie die Details der VLAN-Anhänge an:
- Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN
16550
im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden. Wenn Sie noch keinen Cloud Router haben, erstellen Sie einen mit der ASN16550
. Jeder VLAN-Anhang kann einer einzelnen Cloud Router-Instanz zugeordnet sein. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu. - Name des VLAN-Anhangs: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
my-attachment
. - Maximale Übertragungseinheit (MTU) für den Anhang:
Um die 1.460- oder 1.500-Byte-MTU zu verwenden, muss für das VPC-Netzwerk, das den Anhang verwendet, eine MTU auf denselben Wert festgelegt werden.
Darüber hinaus muss für die lokalen VMs und Router die MTU ebenfalls auf denselben Wert festgelegt sein. Wenn das Netzwerk die MTU-Standardeinstellung
1460
hat, wählen Sie1460
als MTU des VLAN-Anhangs aus.
- Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN
Klicken Sie zum Erstellen der Anhänge auf Erstellen. Dieser Vorgang dauert einige Minuten.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.
Sie können Ihre BGP-Sitzungen optional für die Verwendung der MD5-Authentifizierung aktualisieren.
Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD konfigurieren.
gcloud
Damit Sie einen VLAN-Anhang erstellen können, benötigen Sie einen vorhandenen Cloud Router in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Wenn kein Cloud Router vorhanden ist, erstellen Sie einen.
Der Cloud Router muss die BGP-ASN 16550
haben.
Erstellen Sie einen VLAN-Anhang vom Typ
PARTNER
. Geben Sie dafür die Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLAN-Anhangs an. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.Sie können die MTU Ihres Anhangs angeben. Gültige Werte sind
1440
(Standard),1460
und1500
. Um eine MTU von1460
oder1500
anzugeben, verwenden Sie den Parameter--mtu
(z. B.--mtu 1500
). Um die 1.460- oder 1.500-Byte-MTU zu verwenden, muss das VPC-Netzwerk, das den Anhang verwendet, dieselbe MTU festlegen. Darüber hinaus müssen die lokalen VMs und Router die gleiche MTU festlegen.Im folgenden Beispiel wird in der Edge-Verfügbarkeitsdomain
availability-domain-1
ein VLAN-Anhang erstellt und dem Cloud Routermy-router
zugeordnet, der sich in der Regionus-central1
befindet.gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router \ --edge-availability-domain availability-domain-1
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag
--admin-enabled
aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router \ --edge-availability-domain availability-domain-1 \ --admin-enabled
Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie müssen diesen Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:
gcloud compute interconnects attachments describe my-attachment \ --region us-central1
Ausgabe:
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: my-attachment pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment state: PENDING_PARTNER type: PARTNER
Das Feld
pairingKey
enthält den Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD für Cloud Router konfigurieren.
Wenn Sie Redundanz mit einem duplizierten VLAN-Anhang herstellen möchten, wiederholen Sie diese Schritte für den zweiten Anhang. Verwenden Sie dieselbe Cloud Router-Instanz, aber geben Sie eine andere Edge-Verfügbarkeitsdomain an. Außerdem müssen Sie beim Anfordern von Verbindungen bei Ihrem Dienstanbieter dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie unter Redundanz und SLA.
Verschlüsselte VLAN-Anhänge erstellen
Console
Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option HA VPN über Interconnect einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option VPC-Netzwerk aus.
Wählen Sie im Feld Verschlüsselter Interconnect-Router einen Cloud Router aus, um diesen mit beiden verschlüsselten VLAN-Anhängen zu verknüpfen. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten. Außerdem kann der von Ihnen angegebene Cloud Router nur mit verschlüsselten VLAN-Anhängen verwendet werden. Dieser Router bewirbt nur die Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.
Wenn Sie keinen vorhandenen Cloud Router haben, den Sie speziell für verschlüsselte Cloud Interconnect verwenden können, gehen Sie so vor:
- Wählen Sie Neuen Router erstellen aus.
- Geben Sie eine Region an, die mit Dataplane v2 kompatibel ist. In der Liste Nach geografischem Bereich der Dienstanbieter finden Sie Informationen, welche Regionen Dataplane v2-kompatibel für Ihren Dienstanbieter sind.
- Verwenden Sie
16550
als BGP-ASN.
Konfigurieren Sie die beiden VLAN-Anhänge. Konfigurieren Sie für VLAN-Anhang 1 und VLAN-Anhang 2 die folgenden Felder:
- Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
attachment-a-zone1
oderattachment-a-zone2
. - Beschreibung: Geben Sie eine optionale Beschreibung ein.
- Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B.
Um eine VLAN-ID oder einen bestimmten IP-Adressbereich für die BGP-Sitzung zu konfigurieren, klicken Sie auf VLAN-ID, BGP-IPs.
- Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.
- Um einen IP-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IP-Adresse zuweisen die Option Manuell aus.
Wenn Sie keine VLAN-ID angeben oder BGP-IP-Adressen manuell zuweisen, ordnet Google Cloud diese Werte automatisch zu.
Wählen Sie im Feld Kapazität die maximale Bandbreite für jeden VLAN-Anhang aus. Der Wert für VLAN-Anhang 1 wird automatisch auf VLAN-Anhang 2 angewendet. Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet. Die ausgewählte Kapazität bestimmt, wie viele HA VPN-Tunnel Sie bereitstellen müssen.
Wählen Sie unter VPN-Gateway-IP-Adressen den Typ der IP-Adressen aus, die für Ihre HA VPN-Gateway-Schnittstellen verwendet werden sollen.
- Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein.
Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
26
und29
fest. Die Präfixlänge bestimmt die Anzahl der für die VPN-Gateway-Schnittstellen verfügbaren IP-Adressen und muss auf der Kapazität des Anhangs basieren. Weitere Informationen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen. - Wenn Sie Externe regionale IP-Adressen auswählen, weist Cloud Interconnect den externen HA VPN-Tunnelschnittstellen, die Sie in Ihrem VLAN-Anhang erstellen, automatisch regionale externe IP-Adressen zu.
Beide VLAN-Anhänge müssen für ihre VPN-Gateway-IP-Adressen den gleichen internen oder externen Adressierungstyp verwenden.
- Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein.
Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
Nachdem Sie beide VLAN-Anhänge angelegt haben, klicken Sie auf Erstellen. Es kann dann etwas dauern, bis die Anhänge erstellt sind.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.
Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.
Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.
gcloud
Erstellen Sie einen verschlüsselten Cloud Router für Cloud Interconnect in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Geben Sie das Flag
--encrypted-interconnect-router
an, um festzulegen, dass dieser Router für die HA VPN über Cloud Interconnect-Bereitstellung verwendet wird.Der Cloud Router muss die BGP-ASN
16550
haben.Im folgenden Beispiel wird ein Router namens
interconnect-router
in der Regionus-central1
mit der ASN16550
erstellt.gcloud compute routers create interconnect-router \ --region us-central1 \ --network network-a \ --asn 16550 \ --encrypted-interconnect-router
Optional: Reservieren Sie einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen
26
und29
. Die Präfixlänge bestimmt die Anzahl der IP-Adressen, die für die VPN-Gateway-Schnittstellen verfügbar sind. Die Anzahl der Adressen, die Sie reservieren müssen, hängt von der Kapazität des zugehörigen VLAN-Anhangs ab.So reservieren Sie beispielsweise einen Bereich für den ersten VLAN-Anhang mit einer Kapazität von 10 GB:
gcloud compute addresses create ip-range-1 \ --region us-central1 \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
So reservieren Sie einen Adressbereich für den zweiten VLAN-Anhang:
gcloud compute addresses create ip-range-2 \ --region us-central1 \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
Weitere Informationen zum Reservieren regionaler interner Adressen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
Erstellen Sie den ersten verschlüsselten VLAN-Anhang vom Typ
PARTNER
. Geben Sie dafür die Namen Ihres verschlüsselten Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLANs-Anhangs an. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.Im folgenden Beispiel wird ein verschlüsselter Anhang für die Interconnect-Verbindung
availability-domain-1
erstellt, die eine Verbindung zum verschlüsselten Cloud Routerinterconnect-router
in der Regionus-central1
herstellt. Der Befehl legt auch den regionalen internen IP-Adressbereichip-range-1
fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.gcloud compute interconnects attachments partner create attachment-a-ead1 \ --region us-central1 \ --router interconnect-router \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-1
Wenn Sie für die HA VPN-Gateway-Schnittstellen in Ihrem Anhang regionale externe IP-Adressen verwenden möchten, lassen Sie das Flag
--ipsec-internal-addresses
weg. Allen HA VPN-Gateway-Schnittstellen werden automatisch regionale externe IPv4-Adressen zugewiesen.gcloud compute interconnects attachments partner create attachment-a-ead1 \ --region us-central1 \ --router interconnect-router \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag
--admin-enabled
aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.Sie können mit verschlüsselten VLAN-Anhängen keine benutzerdefinierte MTU (
--mtu
) festlegen. Alle verschlüsselten VLAN-Anhänge müssen eine MTU von 1.440 Byte nutzen. Dies ist der Standardwert.Erstellen Sie den zweiten verschlüsselten VLAN-Anhang. Geben Sie dafür die Namen Ihrer zweiten Cloud Interconnect-Verbindung und des Cloud Routers für Cloud Interconnect an.
Im folgenden Beispiel wird ein verschlüsselter Anhang für die Edge-Verfügbarkeitsdomain
availability-domain-2
erstellt, der eine Verbindung zum Cloud Routerinterconnect-router
in der Regionus-central1
herstellt. Der Befehl legt auch den regionalen internen IP-Adressbereichip-range-2
fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.gcloud compute interconnects attachments partner create attachment-a-ead2 \ --region us-central1 \ --router interconnect-router \ --edge-availability-domain availability-domain-2 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-2
Geben Sie beim Erstellen des zweiten VLAN-Anhangs das gleiche IP-Adressierungsschema (intern oder extern) an wie beim ersten Anhang. Jedem VLAN-Anhang muss ein anderer interner Adressbereich zugewiesen sein. Sie können für jeden Anhang nur einen IP-Bereich angeben.
Beschreiben Sie die Anhänge, um deren Kopplungsschlüssel abzurufen. Sie müssen diese Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:
Für den ersten VLAN-Anhang:
gcloud compute interconnects attachments describe attachment-a-ead1 \ --region us-central1
Ausgabe:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 encryption: IPSEC id: '7976913826166357434' kind: compute#interconnectAttachment name: attachment-a-ead1 pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead1 state: PENDING_PARTNER type: PARTNER
Für den zweiten VLAN-Anhang:
gcloud compute interconnects attachments describe attachment-a-ead2 \ --region us-central1
Ausgabe:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2 encryption: IPSEC id: '7976913826166334235' kind: compute#interconnectAttachment name: attachment-a-ead2 pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/us-central1/2 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead2 state: PENDING_PARTNER type: PARTNER
Die
pairingKey
-Felder enthalten die Kopplungsschlüssel, die Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie die Kopplungsschlüssel als vertrauliche Informationen, bis Ihre VLAN-Anhänge konfiguriert sind.Der Status des VLAN-Anhangs lautet
PENDING_PARTNER
, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs inACTIVE
oderPENDING_CUSTOMER
.Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.
Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er die benutzerdefinierten erkannten Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.
Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.
Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.
Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.
Partner Interconnect-Nutzung einschränken
Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.Nächste Schritte
- Informationen zum Ändern von VLAN-Anhängen finden Sie unter VLAN-Anhänge ändern.
- Informationen zum Konfigurieren lokaler Router für Dedicated Interconnect finden Sie unter Lokale Router konfigurieren.
- Informationen dazu, ob der Anhang Dataplane v2 verwendet, finden Sie unter VLAN-Anhänge aufrufen.