Crea un router cloud per connettere una rete VPC a una rete peer

Scopri come configurare router Cloud per scambiare dinamicamente le route tra una rete Virtual Private Cloud (VPC) e una rete peer. La rete peer può essere una rete on-premise, una rete ospitata da un altro provider cloud come AWS o Azure o anche un'altra rete VPC in Google Cloud.

Per connettere una rete VPC a una rete peer utilizzando router Cloud, devi completare le seguenti attività di alto livello:

  1. Crea un router Cloud.
  2. Configura un prodotto per la connettività di rete in Google Cloud.
  3. Stabilisci sessioni BGP (Border Gateway Protocol) con un router sulla rete peer.

Quando crei un router Cloud, puoi utilizzare la modalità di annuncio predefinita o la modalità di annuncio personalizzata. Per impostazione predefinita, router Cloud pubblicizza le subnet nella sua regione per il routing dinamico regionale o tutte le subnet in una rete VPC per il routing dinamico globale. Con la modalità di annunci personalizzati, scegli i route pubblicizzati dal router Cloud, ad esempio indirizzi IP statici esterni o intervalli CIDR specifici.

Per ulteriori informazioni, consulta la sezione Modalità di annunci di route nella panoramica del router Cloud.

Prima di iniziare

gcloud

Se vuoi utilizzare gli esempi di riga di comando in questa guida:

  1. Installa o esegui l'aggiornamento alla versione più recente di Google Cloud CLI.
  2. Imposta una regione e una zona predefinite.

API

Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso API.

Numero di sistema autonomo (ASN)

Quando crei un router Cloud, scegli l'ASN lato Google per tutte le sessioni BGP utilizzate dal router Cloud. Le istruzioni per ciascun prodotto e il relativo utilizzo dell'ASN sono elencate in Prodotti Google Cloud che utilizzano Cloud Router.

Crea un router Cloud

Per creare un router cloud:

Console

  1. Nella console Google Cloud, vai alla pagina Crea un router cloud.

    Vai a Crea un router Cloud

  2. Specifica i dettagli del router Cloud:

    • Nome: il nome del router Cloud. Questo nome viene visualizzato nella console Google Cloud e viene utilizzato da Google Cloud CLI per fare riferimento al router Cloud, ad esempio my-router.
    • Descrizione: facoltativo. Una descrizione del router Cloud.
    • Rete: la rete VPC che contiene le istanze che vuoi raggiungere, ad esempio my-network.
    • Regione: la regione in cui vuoi posizionare il router Cloud, ad esempio asia-east1.
    • ASN di Google: qualsiasi ASN privato (64512-65534, 4200000000-4294967294) che non stai già utilizzando nella rete on-premise. Router Cloud richiede l'utilizzo di un ASN privato, ma l'ASN on-premise può essere pubblico o privato.

    • Intervallo keepalive peer BGP: l'intervallo tra due messaggi keepalive BGP consecutivi inviati al router peer. Questo valore deve essere un numero intero compreso tra 20 e 60 che specifica il numero di secondi dell'intervallo. Il valore predefinito è 20 secondi. Per ulteriori informazioni, consulta Gestire i timer BGP.
    • Identificatore BGP: facoltativo. L'identificatore BGP, a volte chiamato ID router, che identifica in modo univoco un router Cloud in una rete. Se omesso, i router Cloud con sessioni BGP IPv4 utilizzano uno degli indirizzi BGP IPv4 come identificatore BGP e l'aggiunta della prima interfaccia IPv6 a questo router Cloud compila automaticamente il campo.

      Per ulteriori informazioni, consulta Configurare l'intervallo di identificatori BGP per un router Cloud.

  3. (Facoltativo) Per specificare route annunciate personalizzate, vai alla sezione Route annunciate. Per ulteriori informazioni, consulta Percorsi pubblicizzati.
    1. Per specificare Route personalizzati, seleziona Crea route personalizzati.
    2. Scegli se pubblicizzare le subnet visibili al router Cloud. L'attivazione di questa opzione riproduce il comportamento predefinito del router Cloud.
    3. Per aggiungere una route pubblicizzata, seleziona Aggiungi una route personalizzata e poi configurala.
  4. Per salvare le impostazioni e creare un router cloud, fai clic su Crea. Il nuovo router Cloud viene visualizzato nella pagina della scheda del router Cloud. Per visualizzarne i dettagli e per configurare una sessione BGP, selezionalo.

gcloud

  • Per creare un router cloud nella regione contenente le istanze che vuoi raggiungere, esegui il comando create:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION
    

    Sostituisci quanto segue:

    • ROUTER_NAME: il nome del router Cloud

    • PROJECT_ID: l'ID del progetto che contiene il router cloud

    • NETWORK: la rete VPC che contiene le istanze che vuoi raggiungere

    • ASN_NUMBER: qualsiasi ASN privato (64512-65534,4200000000-4294967294) che non utilizzi già nella rete on-premise. router Cloud richiede l'utilizzo di un ASN privato, ma l'ASN on-premise può essere pubblico o privato.

    • REGION: la regione in cui vuoi posizionare il router Cloud. Il router Cloud pubblicizza tutte le sottoreti nella regione in cui si trova

  • Per creare un router Cloud in modalità di annuncio personalizzato, imposta --advertisement-mode su custom e utilizza i flag --set-advertisement-ranges e --set-advertisement-groups per specificare le route pubblicizzate personalizzate.

    Il flag --set-advertisement-ranges accetta un elenco di intervalli CIDR. Il flag --set-advertisement-groups accetta i gruppi definiti da Google che il router Cloud annuncia dinamicamente. Al momento, l'unico valore valido è all_subnets, che pubblicizza le subnet in base alla modalità di routing dinamico della rete VPC (simile agli annunci predefiniti).

    Se fornisci un prefisso dell'indirizzo IP senza una subnet mask, viene interpretato come una subnet mask /32 per IPv4 e /128 per IPv6. Per informazioni sul numero massimo di route personalizzate apprese che puoi avere, consulta Limiti.

    L'esempio seguente pubblicizza le subnet e gli intervalli IP personalizzati192.0.2.0/24 e 198.51.100.0/24:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION \
        --advertisement-mode custom \
        --set-advertisement-groups=all_subnets \
        --set-advertisement-ranges='192.0.2.0/24,198.51.100.0/24'
    
  • Per impostare il timer keepalive per un peer BGP, utilizza l'opzione--keepalive-interval, che imposta l'intervallo tra i messaggi keepalive BGP inviati al router peer. Questo valore deve essere un numero intero compreso tra 20 e 60 che specifica il numero di secondi dell'intervallo. Il valore predefinito è 20 secondi. Per ulteriori informazioni, consulta keepalive timer.

  • Per assegnare un intervallo di identificatori BGP a un router Cloud, utilizza l'opzione --bgp-identifier-range e specifica un intervallo IPv4 locale rispetto al collegamento da 169.254.0.0/16 con una dimensione di almeno /30. Ad esempio, 169.254.16.16/30. Un identificatore BGP viene utilizzato per identificare in modo univoco un router Cloud. Un router Cloud richiede un identificatore BGP esplicito di 32 bit per ospitare sessioni BGP IPv6 (anteprima).

    Tuttavia, il flag dell'intervallo di identificatori BGP non è obbligatorio perché Google Cloud assegna automaticamente un intervallo di identificatori inutilizzati a un router Cloud quando configuri un'interfaccia per una sessione BGP IPv6 per la prima volta.

    Devi configurare questa opzione solo se vuoi utilizzare un intervallo IP specifico per i tuoi identificatori BGP. Puoi anche modificare l'intervallo di identificatori BGP per un router Cloud in un secondo momento. Per ulteriori informazioni, consulta Configurare l'intervallo di identificatori BGP.

  • Per creare un router per un deployment di VPN ad alta disponibilità su Cloud Interconnect, specifica l'opzione --encrypted-interconnect-router.

    Il router Cloud che utilizzi per Cloud Interconnect criptato è un tipo speciale di router Cloud. Questi router possono essere utilizzati solo con i collegamenti VLAN di cui esegui il deployment con la VPN ad alta disponibilità su Cloud Interconnect.

Terraform

Utilizza il modulo Terraform di Google Cloud per Cloud Router.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 6.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

  • Utilizza il metodo routers.insert:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "keepaliveInterval": KEEPALIVE_INTERVAL,
             "identifierRange": BGP_IDENTIFIER_RANGE
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto che contiene la rete VPC

    • REGION: la regione in cui vuoi posizionare il router cloud

    • ASN_NUMBER: l'ASN privato (64512-65534, 4200000000-4294967294) per il router Cloud che stai configurando. Può essere qualsiasi ASN privato che non utilizzi già come ASN peer nella stessa regione e nella stessa rete. Ad esempio, il router Cloud 65001 richiede l'utilizzo di un ASN privato, ma l'ASN on-premise può essere pubblico o privato.

    • KEEPALIVE_INTERVAL: l'intervallo tra due messaggi keepalive BGP consecutivi inviati al router peer. Questo segnaposto è facoltativo. Il valore deve essere un numero intero compreso tra 20 e 60 che specifica il numero di secondi dell'intervallo. Il valore predefinito è 20 secondi. Per ulteriori informazioni, consulta la sezione Timer keepalive per Cloud Router.

    • BGP_IDENTIFIER_RANGE: un intervallo IPv4 link-local da 169.254.0.0/16 con una dimensione di almeno /30. Questo segnaposto è facoltativo. Se non viene fornito alcun valore, al router Cloud viene assegnato automaticamente un identificatore BGP. Per ulteriori informazioni, consulta Configurare l'intervallo di identificatori BGP per un Cloud Router.

    • ROUTER_NAME: il nome del router Cloud. Questo nome viene visualizzato nella console Google Cloud e utilizzato da Google Cloud CLI per fare riferimento al router Cloud.

    • NETWORK: la rete contenente le istanze che vuoi raggiungere

  • Per creare un router Cloud con route pubblicizzati personalizzati, imposta il campo bgp.advertiseMode su CUSTOM e utilizza i campi bgp.advertisedGroups[] e bgp.advertisedIpRanges[] per specificare le route pubblicizzate.

    Il campo bgp.advertisedIpRanges[] accetta un array di intervalli CIDR. Il campo bgp.advertisedGroups[] accetta gruppi definiti da Google che il router Cloud annuncia dinamicamente. L'unico valore valido è ALL_SUBNETS, che pubblicizza le sottoreti in base alla modalità di routing dinamico della rete VPC (simile alla modalità di pubblicità predefinita).

    L'esempio seguente pubblicizza le subnet e gli intervalli di indirizzi IP personalizzati 1.2.3.4 e 6.7.0.0/16:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "advertiseMode": "CUSTOM",
             "advertisedGroups": [
               "ALL_SUBNETS"
             ],
             "advertisedIpRanges": [
               {
                 "range": "1.2.3.4",
                 "description": "First example range"
               },
               {
                 "range": "6.7.0.0/16",
                 "description": "Second example range"
               }
             ]
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

Configura il prodotto di connettività di rete

Per scambiare le route tra una rete VPC e una rete peer, oltre al router Cloud devi configurare almeno uno dei seguenti prodotti di connettività di rete Google Cloud:

Cloud Interconnect

Per connettere una rete VPC a una rete on-premise utilizzando Cloud Interconnect e router Cloud, devi prima eseguire il provisioning di una connessione Cloud Interconnect.

Devi configurare il router Cloud e le relative sessioni BGP quando crei i collegamenti VLAN per la connessione Cloud Interconnect. Consulta Creare collegamenti VLAN per Dedicated Interconnect e Creare collegamenti VLAN per Partner Interconnect.

Se esegui il deployment di una VPN ad alta disponibilità su Cloud Interconnect, devi eseguire il deployment di due router Cloud:

  • Un router Cloud speciale per Cloud Interconnect che devi configurare per i collegamenti VLAN. Questo router Cloud garantisce che solo il traffico criptato dai gateway VPN ad alta disponibilità possa essere inviato al collegamento VLAN.

  • Un normale router Cloud configurato per i tunnel VPN ad alta disponibilità.

Cloud VPN

Per connettere una rete VPC a una rete on-premise o multicloud utilizzando la VPN ad alta disponibilità e router Cloud, consulta Creare un gateway VPN ad alta disponibilità connesso a un gateway VPN peer.

Per connettere una rete VPC a un'altra rete VPC utilizzando VPN ad alta disponibilità e router Cloud, consulta Creare una VPN ad alta disponibilità tra reti Google Cloud .

Configura il router Cloud e le relative sessioni BGP quando crei i tunnel VPN ad alta disponibilità per la rete peer.

Network Connectivity Center

Per collegare una rete VPC a una rete peer utilizzando un'appliance router, consulta Creare istanze di appliance router.

Definizione di sessioni BGP

Quando configuri un prodotto di connettività di rete con Cloud Router, stabilisci sessioni BGP (Border Gateway Protocol) tra il router Cloud e il router sulla rete peer.

Puoi riutilizzare lo stesso router Cloud con diversi prodotti per la connettività di rete. Tuttavia, ogni sessione BGP è univoca per il prodotto di connettività di rete (collegamento VLAN, tunnel Cloud VPN o istanza dell'appliance router) che configuri per l'utilizzo con router Cloud. Prodotti di connettività di rete diversi non possono utilizzare la stessa sessione BGP. A volte, per ottenere una ridondanza sufficiente, potresti dover configurare più sessioni BGP per un prodotto di connettività di rete. Ad esempio, puoi configurare più sessioni BGP quando utilizzi router Cloud con VPN ad alta disponibilità.

Per stabilire sessioni BGP tra il tuo router Cloud e il router sulla rete peer, consulta Stabilire sessioni BGP.

Passaggi successivi