VLAN-Anhänge erstellen

VLAN-Anhänge für Partner Interconnect-Verbindungen (auch interconnectAttachments genannt) verbinden Ihre VPC-Netzwerke (Virtual Private Cloud) über das Netzwerk Ihres Dienstanbieters mit Ihrem lokalen Netzwerk. Dafür werden über die Verbindung Ihres Dienstanbieters VLANs zugewiesen.

Bevor Sie VLAN-Anhänge für Partner Interconnect erstellen können, müssen Sie eine Verbindung mit einem unterstützten Dienstanbieter herstellen.

Die Abrechnung für VLAN-Anhänge beginnt, wenn Ihr Dienstanbieter die Konfiguration abgeschlossen hat. Ob Sie Ihre Anhänge vorab aktiviert haben oder nicht, ist dabei unerheblich. Der Dienstanbieter konfiguriert Ihre Anhänge, wenn sie sich im Status PENDING_CUSTOMER oder ACTIVE befinden. Die Abrechnung wird beendet, wenn Sie oder der Dienstanbieter die Anhänge löschen (wenn sie sich im Status DEFUNCT befinden).

Informationen zu VLAN-Anhängen für Dedicated Interconnect finden Sie unter VLAN-Anhänge für Dedicated Interconnect erstellen.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.

Informationen zur Behebung häufiger Probleme bei der Verwendung von Partner Interconnect finden Sie unter Fehlerbehebung.

Mehrere VLAN-Anhänge verwenden

VLAN-Anhänge unterstützen Trafficgeschwindigkeiten von bis zu 50 Gbit/s oder 6,25 M Pakete pro Sekunde (pps) bei Verbindungen mit 100 Gbit/s. Der Durchsatz hängt davon ab, welches Limit Sie zuerst erreichen. Wenn Ihr Traffic beispielsweise sehr kleine Pakete verwendet, können Sie das Limit von 6,25 M pps vor dem Limit von 50 Gbit/s erreichen.

Sie müssen mehrere VLAN-Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede Border-Gateway-Protocol-Sitzung (BGP) dieselben MED-Werte, damit der Traffic ECMP-Routing (Equal Cost Multipath) für alle konfigurierten VLAN-Anhänge verwendet.

Wenn Sie mehrere VLAN-Anhänge haben, einschließlich Anhängen in verschiedenen Projekten, können Sie diese mit einer Partner Interconnect-Verbindung desselben Dienstanbieters oder mit Partner Interconnect-Verbindungen von unterschiedlichen Dienstanbietern koppeln.

Unverschlüsselte VLAN-Anhänge erstellen

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen (Identity and Access Management).

Berechtigungen

compute.interconnects.use
compute.interconnectAttachments.create
compute.interconnectAttachments.get
compute.routers.create
compute.routers.get
compute.routers.update

Rollen

roles/owner
roles/editor
roles/compute.networkAdmin

Console

Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

Zu „VLAN-Anhänge“
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option Unverschlüsselte Interconnect-Verbindung einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie Ein Paar redundanter VLAN-Anhänge erstellen aus. Redundanz bietet eine höhere Verfügbarkeit als eine einzelne Verbindung. Beide Anhänge verarbeiten Traffic und zwischen ihnen wird ein Load-Balancing des Traffics durchgeführt. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie unter Redundanz und SLA.

Wenn Sie einen Anhang zu Testzwecken erstellen oder keine hohe Verfügbarkeit benötigen, wählen Sie Ein einzelnes VLAN erstellen aus, um nur einen VLAN-Anhang zu erstellen.
Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.
Geben Sie die Details der VLAN-Anhänge an:
- Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN 16550 im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden. Wenn Sie noch keinen Cloud Router haben, erstellen Sie einen mit der ASN 16550. Jeder VLAN-Anhang kann einer einzelnen Cloud Router-Instanz zugeordnet sein. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu.
- Name des VLAN-Anhangs: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B. my-attachment.
- Maximale Übertragungseinheit (MTU) für den Anhang: Um die 1.460- oder 1.500-Byte-MTU zu verwenden, muss für das VPC-Netzwerk, das den Anhang verwendet, eine MTU auf denselben Wert festgelegt werden. Darüber hinaus muss für die lokalen VMs und Router die MTU ebenfalls auf denselben Wert festgelegt sein. Wenn das Netzwerk die MTU-Standardeinstellung 1460 hat, wählen Sie 1460 als MTU des VLAN-Anhangs aus.
Klicken Sie zum Erstellen der Anhänge auf Erstellen. Dieser Vorgang dauert einige Minuten.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.

Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.

Sie können Ihre BGP-Sitzungen optional für die Verwendung der MD5-Authentifizierung aktualisieren.

Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

Optional: Bidirektionale Weiterleitungserkennung (BFD) für Cloud Router erkennt Ausfälle des Weiterleitungspfades wie Link-Down-Ereignisse, sodass stabilere Hybridnetzwerke bereitgestellt werden können. Informationen zum Aktualisieren Ihrer BGP-Sitzung für die Verwendung von BFD finden Sie unter BFD konfigurieren.

Wichtig: BFD kann nur für bereitgestellte VLAN-Anhänge aktiviert werden, die Dataplane Version 2 verwenden. Sie können die dataplaneVersion für einen VLAN-Anhang aufrufen, indem Sie die Anhangsdetails auf eine der folgenden Arten aufrufen:

API: Verwenden Sie die Methode interconnectAttachments.get. Sie können diese Methode für VLAN-Anhänge für Dedicated Interconnect oder Partner Interconnect verwenden.
Google Cloud-CLI: Verwenden Sie den Befehl gcloud compute interconnects attachments describe ATTACHMENT-NAME, wobei ATTACHMENT-NAME der Name des VLAN-Anhangs für Dedicated Interconnect oder Partner Interconnect ist.

Suchen Sie in der Ausgabe der API oder der gcloud CLI nach dem Feld dataplaneVersion mit dem Wert 2. Wenn das Feld in der Ausgabe fehlt, verwendet der VLAN-Anhang die Version 1 und kann nicht mit BFD verwendet werden. Weitere Informationen erhalten Sie von Ihrem Account-Management-Team.

gcloud

Damit Sie einen VLAN-Anhang erstellen können, benötigen Sie einen vorhandenen Cloud Router in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Wenn kein Cloud Router vorhanden ist, erstellen Sie einen. Der Cloud Router muss die BGP-ASN 16550 haben.

Erstellen Sie einen VLAN-Anhang vom Typ PARTNER. Geben Sie dafür die Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLAN-Anhangs an. Google fügt der Cloud Router-Instanz automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.

Sie können die MTU Ihres Anhangs angeben. Gültige Werte sind 1440 (Standard), 1460 und 1500. Um eine MTU von 1460 oder 1500 anzugeben, verwenden Sie den Parameter --mtu (z. B. --mtu 1500). Um die 1.460- oder 1.500-Byte-MTU zu verwenden, muss das VPC-Netzwerk, das den Anhang verwendet, dieselbe MTU festlegen. Darüber hinaus müssen die lokalen VMs und Router die gleiche MTU festlegen.

Im folgenden Beispiel wird in der Edge-Verfügbarkeitsdomain availability-domain-1 ein VLAN-Anhang erstellt und dem Cloud Router my-router zugeordnet, der sich in der Region us-central1 befindet.
```
gcloud compute interconnects attachments partner create my-attachment \
    --region us-central1 \
    --router my-router \
    --edge-availability-domain availability-domain-1
```
Hinweis: Sie können als Edge-Verfügbarkeitsdomain die Option any angeben. In diesem Fall weist Ihr Dienstanbieter die Domain für Sie zu. Wenn Sie jedoch einen redundanten Anhang (zweiten Anhang) einfügen möchten, müssen Sie warten, bis der Dienstanbieter Ihren ersten VLAN-Anhang konfiguriert hat. Sie wissen erst nach dieser Konfiguration, welche Domain für den redundanten Anhang zu verwenden ist.

Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag --admin-enabled aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
```
gcloud compute interconnects attachments partner create my-attachment \
    --region us-central1 \
    --router my-router \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled
```

Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie müssen diesen Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:

gcloud compute interconnects attachments describe my-attachment \
    --region us-central1

Ausgabe:

adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: my-attachment
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
state: PENDING_PARTNER
type: PARTNER

Das Feld pairingKey enthält den Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.

Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Wenn Sie Redundanz mit einem duplizierten VLAN-Anhang herstellen möchten, wiederholen Sie diese Schritte für den zweiten Anhang. Verwenden Sie dieselbe Cloud Router-Instanz, aber geben Sie eine andere Edge-Verfügbarkeitsdomain an. Außerdem müssen Sie beim Anfordern von Verbindungen bei Ihrem Dienstanbieter dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie unter Redundanz und SLA.

Verschlüsselte VLAN-Anhänge erstellen

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen (Identity and Access Management).

Berechtigungen

compute.interconnects.use
compute.interconnectAttachments.create
compute.interconnectAttachments.get
compute.routers.create
compute.routers.get
compute.routers.update

Rollen

roles/owner
roles/editor
roles/compute.networkAdmin

Console

Wechseln Sie in der Google Cloud Console zum Cloud Interconnect-Tab VLAN-Anhänge.

Zu „VLAN-Anhänge“
Klicken Sie auf VLAN-Anhänge erstellen.
Wählen Sie Partner Interconnect-Verbindung aus.
Wählen Sie im Abschnitt Interconnect-Verbindung verschlüsseln die Option HA VPN über Interconnect einrichten aus und klicken Sie dann auf Weiter.
Wählen Sie Ich habe bereits einen Dienstanbieter aus.
Wählen Sie auf der Seite VLAN-Anhänge erstellen die Option VPC-Netzwerk aus.
Wählen Sie im Feld Verschlüsselter Interconnect-Router einen Cloud Router aus, um diesen mit beiden verschlüsselten VLAN-Anhängen zu verknüpfen. Der Cloud-Router muss sich im VPC-Netzwerk befinden, zu dem Sie eine Verbindung herstellen möchten. Außerdem kann der von Ihnen angegebene Cloud Router nur mit verschlüsselten VLAN-Anhängen verwendet werden. Dieser Router bewirbt nur die Routen für HA VPN- und Peer-VPN-Tunnelschnittstellen.

Wenn Sie keinen vorhandenen Cloud Router haben, den Sie speziell für verschlüsselte Cloud Interconnect verwenden können, gehen Sie so vor:
1. Wählen Sie Neuen Router erstellen aus.
2. Geben Sie eine Region an, die mit Dataplane v2 kompatibel ist. In der Liste Nach geografischem Bereich der Dienstanbieter finden Sie Informationen, welche Regionen Dataplane v2-kompatibel für Ihren Dienstanbieter sind.
3. Verwenden Sie 16550 als BGP-ASN.
Konfigurieren Sie die beiden VLAN-Anhänge. Konfigurieren Sie für VLAN-Anhang 1 und VLAN-Anhang 2 die folgenden Felder:
- Name: Ein Name für den Anhang. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhang zu verweisen, z. B. attachment-a-zone1 oder attachment-a-zone2.
- Beschreibung: Geben Sie eine optionale Beschreibung ein.
Um eine VLAN-ID oder einen bestimmten IP-Adressbereich für die BGP-Sitzung zu konfigurieren, klicken Sie auf VLAN-ID, BGP-IPs.
- Um eine VLAN-ID anzugeben, wählen Sie im Bereich VLAN-ID die Option Anpassen aus.
- Um einen IP-Adressbereich für die BGP-Sitzung anzugeben, wählen Sie im Abschnitt BGP-IP-Adresse zuweisen die Option Manuell aus.
Wenn Sie keine VLAN-ID angeben oder BGP-IP-Adressen manuell zuweisen, ordnet Google Cloud diese Werte automatisch zu.
Wählen Sie im Feld Kapazität die maximale Bandbreite für jeden VLAN-Anhang aus. Der Wert für VLAN-Anhang 1 wird automatisch auf VLAN-Anhang 2 angewendet. Wenn Sie keinen Wert auswählen, werden von der Cloud Interconnect-Verbindung 10 Gbit/s verwendet. Die ausgewählte Kapazität bestimmt, wie viele HA VPN-Tunnel Sie bereitstellen müssen.
Wählen Sie unter VPN-Gateway-IP-Adressen den Typ der IP-Adressen aus, die für Ihre HA VPN-Gateway-Schnittstellen verwendet werden sollen.
- Wenn Sie Interne regionale IP-Adressen auswählen, klicken Sie auf Neuen IP-Adressbereich hinzufügen und geben Sie unter Name und IP-Bereich einen Namen sowie einen IP-Bereich ein. Legen Sie für IP-Bereich einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29 fest. Die Präfixlänge bestimmt die Anzahl der für die VPN-Gateway-Schnittstellen verfügbaren IP-Adressen und muss auf der Kapazität des Anhangs basieren. Weitere Informationen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
- Wenn Sie Externe regionale IP-Adressen auswählen, weist Cloud Interconnect den externen HA VPN-Tunnelschnittstellen, die Sie in Ihrem VLAN-Anhang erstellen, automatisch regionale externe IP-Adressen zu.
Beide VLAN-Anhänge müssen für ihre VPN-Gateway-IP-Adressen den gleichen internen oder externen Adressierungstyp verwenden.
Nachdem Sie beide VLAN-Anhänge angelegt haben, klicken Sie auf Erstellen. Es kann dann etwas dauern, bis die Anhänge erstellt sind.
Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Sie geben diesen Schlüssel an Ihren Dienstanbieter weiter, wenn Sie eine Verbindung bei ihm anfordern.

Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie Aktivieren aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.
Klicken Sie auf OK, um eine Liste Ihrer VLAN-Anhänge aufzurufen.

Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.

Hinweis: Wenn Ihr verschlüsselter VLAN-Anhang für einen längeren Zeitraum im Status PENDING_PARTNER oder Waiting for service provider bleibt, wenden Sie sich an Ihren Dienstanbieter.

Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er diese Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.

Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.

gcloud

Erstellen Sie einen verschlüsselten Cloud Router für Cloud Interconnect in dem Netzwerk und der Region, die Sie über Ihr lokales Netzwerk erreichen möchten. Geben Sie das Flag --encrypted-interconnect-router an, um festzulegen, dass dieser Router für die HA VPN über Cloud Interconnect-Bereitstellung verwendet wird.

Der Cloud Router muss die BGP-ASN 16550 haben.

Im folgenden Beispiel wird ein Router namens interconnect-router in der Region us-central1 mit der ASN 16550 erstellt.
```
gcloud compute routers create interconnect-router \
    --region us-central1 \
    --network network-a \
    --asn 16550 \
    --encrypted-interconnect-router
```
Optional: Reservieren Sie einen regionalen internen IPv4-Bereich mit einer Präfixlänge zwischen 26 und 29. Die Präfixlänge bestimmt die Anzahl der IP-Adressen, die für die VPN-Gateway-Schnittstellen verfügbar sind. Die Anzahl der Adressen, die Sie reservieren müssen, hängt von der Kapazität des zugehörigen VLAN-Anhangs ab.

So reservieren Sie beispielsweise einen Bereich für den ersten VLAN-Anhang mit einer Kapazität von 10 GB:
```
gcloud compute addresses create ip-range-1 \
  --region us-central1 \
  --addresses=192.168.1.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT
```
So reservieren Sie einen Adressbereich für den zweiten VLAN-Anhang:
```
gcloud compute addresses create ip-range-2 \
  --region us-central1 \
  --addresses=192.168.2.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT
```
Weitere Informationen zum Reservieren regionaler interner Adressen finden Sie unter HA VPN-Gateways interne IP-Adressbereiche zuweisen.
Erstellen Sie den ersten verschlüsselten VLAN-Anhang vom Typ PARTNER. Geben Sie dafür die Namen Ihres verschlüsselten Cloud Routers und die Edge-Verfügbarkeitsdomain (Metro-Verfügbarkeitszone) des VLANs-Anhangs an. Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie an Ihren Dienstanbieter weitergeben müssen.

Im folgenden Beispiel wird ein verschlüsselter Anhang für die Interconnect-Verbindung availability-domain-1 erstellt, die eine Verbindung zum verschlüsselten Cloud Router interconnect-router in der Region us-central1 herstellt. Der Befehl legt auch den regionalen internen IP-Adressbereich ip-range-1 fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.
```
gcloud compute interconnects attachments partner create attachment-a-ead1 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1
```
Hinweis: Sie können als Edge-Verfügbarkeitsdomain die Option any angeben. In diesem Fall weist Ihr Dienstanbieter die Domain für Sie zu. Wenn Sie jedoch einen redundanten Anhang (zweiten Anhang) einfügen möchten, müssen Sie warten, bis der Dienstanbieter Ihren ersten VLAN-Anhang konfiguriert hat. Sie wissen erst nach dieser Konfiguration, welche Domain für den redundanten Anhang zu verwenden ist.

Wenn Sie für die HA VPN-Gateway-Schnittstellen in Ihrem Anhang regionale externe IP-Adressen verwenden möchten, lassen Sie das Flag --ipsec-internal-addresses weg. Allen HA VPN-Gateway-Schnittstellen werden automatisch regionale externe IPv4-Adressen zugewiesen.
```
gcloud compute interconnects attachments partner create attachment-a-ead1 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC
```
Wenn Sie eine Ebene-3-Verbindung bei Ihrem Dienstanbieter anfordern, können Sie den Anhang vorab aktivieren. Dazu wählen Sie das Flag --admin-enabled aus. Mit der Aktivierung von Anhängen lässt sich bestätigen, dass die Verbindung mit dem gewünschten Dienstanbieter hergestellt wurde. Bei der Vorabaktivierung können Sie den Aktivierungsschritt überspringen und zulassen, dass der Anhang Traffic sofort weiterleitet, nachdem Ihr Dienstanbieter die Konfiguration abgeschlossen hat.

Sie können mit verschlüsselten VLAN-Anhängen keine benutzerdefinierte MTU (--mtu) festlegen. Alle verschlüsselten VLAN-Anhänge müssen eine MTU von 1.440 Byte nutzen. Dies ist der Standardwert.
Erstellen Sie den zweiten verschlüsselten VLAN-Anhang. Geben Sie dafür die Namen Ihrer zweiten Cloud Interconnect-Verbindung und des Cloud Routers für Cloud Interconnect an.

Im folgenden Beispiel wird ein verschlüsselter Anhang für die Edge-Verfügbarkeitsdomain availability-domain-2 erstellt, der eine Verbindung zum Cloud Router interconnect-router in der Region us-central1 herstellt. Der Befehl legt auch den regionalen internen IP-Adressbereich ip-range-2 fest, der für alle HA VPN-Gateway-Schnittstellen genutzt werden soll, die in diesem Anhang erstellt werden.
```
gcloud compute interconnects attachments partner create attachment-a-ead2 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2
```
Geben Sie beim Erstellen des zweiten VLAN-Anhangs das gleiche IP-Adressierungsschema (intern oder extern) an wie beim ersten Anhang. Jedem VLAN-Anhang muss ein anderer interner Adressbereich zugewiesen sein. Sie können für jeden Anhang nur einen IP-Bereich angeben.
Beschreiben Sie die Anhänge, um deren Kopplungsschlüssel abzurufen. Sie müssen diese Schlüssel an Ihren Dienstanbieter weitergeben, wenn Sie eine Verbindung bei ihm anfordern:

Für den ersten VLAN-Anhang:
```
gcloud compute interconnects attachments describe attachment-a-ead1 \
  --region us-central1
```
Ausgabe:
```
adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: attachment-a-ead1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead1
state: PENDING_PARTNER
type: PARTNER
```
Für den zweiten VLAN-Anhang:
```
gcloud compute interconnects attachments describe attachment-a-ead2 \
  --region us-central1
```
Ausgabe:
```
adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: attachment-a-ead2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/us-central1/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead2
state: PENDING_PARTNER
type: PARTNER
```
Die pairingKey-Felder enthalten die Kopplungsschlüssel, die Sie an Ihren Dienstanbieter weitergeben müssen. Behandeln Sie die Kopplungsschlüssel als vertrauliche Informationen, bis Ihre VLAN-Anhänge konfiguriert sind.

Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Sie eine Verbindung bei Ihrem Dienstanbieter anfordern und dieser die Konfiguration Ihres VLAN-Anhangs beendet. Wenn die Konfiguration abgeschlossen ist, ändert sich der Status des Anhangs in ACTIVE oder PENDING_CUSTOMER.

Informationen zum Aktivieren Ihrer VLAN-Anhänge finden Sie unter Verbindungen aktivieren.

Hinweis: Wenn Ihr verschlüsselter VLAN-Anhang für einen längeren Zeitraum im Status PENDING_PARTNER oder Waiting for service provider bleibt, wenden Sie sich an Ihren Dienstanbieter.

Optional: Sie können Ihre BGP-Sitzung für die Verwendung benutzerdefinierter erkannter Routen aktualisieren. Wenn Sie dieses Feature verwenden, verhält sich der Cloud Router so, als hätte er die benutzerdefinierten erkannten Routen vom BGP-Peer Router erkannt. Weitere Informationen finden Sie unter Vorhandene Sitzung zur Verwendung benutzerdefinierter erkannter Routen aktualisieren.

Optional: Sie können Ihre BGP-Sitzungen für die Verwendung der MD5-Authentifizierung aktualisieren. Wenn Sie eine Ebene-2-Verbindung haben, führen Sie die Schritte unter Authentifizierung zu einer vorhandenen Sitzung hinzufügen aus. Wenn Sie eine Ebene-3-Verbindung haben, wenden Sie sich an Ihren Dienstanbieter.

Aktivieren Sie nicht Bidirectional Forwarding Detection (BFD). Das Aktivieren von BFD auf der Cloud Interconnect-Ebene ermöglicht keine schnellere Fehlererkennung für den HA VPN-Tunnel-Traffic.
Sobald beide VLAN-Anhänge aktiv sind, können Sie das HA VPN über Cloud Interconnect-Bereitstellung abschließen, indem Sie HA VPN für Ihre VLAN-Anhänge konfigurieren.

Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect konfigurieren.

Partner Interconnect-Nutzung einschränken

Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.

Nächste Schritte

Informationen zum Ändern von VLAN-Anhängen finden Sie unter VLAN-Anhänge ändern.
Informationen zum Konfigurieren lokaler Router für Dedicated Interconnect finden Sie unter Lokale Router konfigurieren.
Informationen dazu, ob der Anhang Dataplane v2 verwendet, finden Sie unter VLAN-Anhänge aufrufen.

Zurück

Bereitstellungsübersicht

Weiter

Verbindungen anfordern