Auf dieser Seite wird beschrieben, wie Sie VPN-Tunnel zu HA VPN oder klassischem VPN hinzufügen.
Wenn Sie das HA VPN-Gateway noch nicht eingerichtet haben, finden Sie hier weitere Informationen:
- Gateway zwischen HA VPN und Peer-VPN erstellen
- HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen
Tunnel von einem HA VPN-Gateway zu einem Peer-VPN-Gateway hinzufügen
Konfigurieren Sie in jeder HA VPN-Schnittstelle einen Tunnel, um ein SLA mit 99,99% Verfügbarkeit zu erhalten. In diesem Abschnitt wird beschrieben, wie Sie zusätzliche Tunnel auf der Schnittstelle eines HA VPN-Gateways konfigurieren.
Konfigurieren Sie unter folgenden Umständen zusätzliche HA VPN-Tunnel:
- Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzige Peer-VPN-Schnittstelle hat.
- Wenn Sie zuvor einen einzelnen Tunnel auf einem HA VPN-Gateway für ein Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.
- Wenn Sie HA VPN über Cloud Interconnect bereitgestellt haben und HA VPN-Tunnel hinzufügen müssen, um die erhöhte Kapazität eines VLAN-Anhangs zu berücksichtigen.
Führen Sie die folgenden Schritte aus, um zusätzliche HA VPN-Tunnel zu konfigurieren.
Console
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Klicken Sie auf VPN-Tunnel erstellen.
Wählen Sie im Drop-down-Menü das Gateway aus, das den zusätzlichen Tunnel erfordert, und klicken Sie auf Weiter.
Wählen Sie einen Cloud Router aus. Wenn Sie noch keinen Cloud Router konfiguriert haben, führen Sie die Schritte unter VPN-Tunnel erstellen aus, um einen zu erstellen.
Wählen Sie für Peer-VPN-Gateway die Option Lokal oder Drittanbieter-Cloud aus.
Wählen Sie für Name des Peer-VPN-Gateways die vorhandene Peer-VPN-Gateway-Ressource aus, die vom neuen Tunnel verwendet werden soll. Um die Namen von vorhandenen Peer-VPN-Gateways für dieses Cloud VPN-Gateway zu prüfen, klicken Sie oben auf der Seite unter Name des VPN-Gateways auf Alle vorhandenen Tunnel ansehen.
Sie erhalten möglicherweise eine Warnmeldung, dass ein Tunnel mit derselben Peer-VPN-Gateway-Schnittstelle bereits derselben lokalen Cloud VPN-Gateway-Schnittstelle zugeordnet ist. Wählen Sie zum Beheben dieses Problems unter Zugehörige Cloud VPN-Gateway-Schnittstelle die andere HA VPN-Schnittstelle aus.
Konfigurieren Sie zum Abschluss der Tunnelkonfiguration die verbleibenden Schritte, die unter VPN-Tunnel erstellen aufgeführt sind.
Tunnel von einem HA VPN-Gateway zu einem anderen HA VPN-Gateway hinzufügen
In diesem Abschnitt wird beschrieben, wie Sie einen zweiten Tunnel auf der zweiten Schnittstelle eines HA VPN-Gateways konfigurieren.
Wenn Sie einen Tunnel auf einem HA VPN-Gateway zu einem anderen HA VPN-Gateway konfiguriert haben, aber ein SLA mit einer Verfügbarkeit von 99,99 % erhalten möchten, müssen Sie einen zweiten Tunnel konfigurieren. Konfigurieren Sie einen Tunnel auf jeder HA VPN-Schnittstelle und zwar auf jeder Seite einer HA-VPN-zu-HA-VPN-Gateway-Konfiguration.
Führen Sie die folgenden Schritte aus, um einen zweiten Tunnel zu konfigurieren.
Console
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Suchen Sie das HA VPN, dem Sie den Tunnel hinzufügen möchten.
Klicken Sie auf VPN-Tunnel hinzufügen.
Wählen Sie unter Peer-VPN-Gateway Google Cloud aus.
Wählen Sie unter Projekt ein Google Cloud-Projekt aus, das das neue Gateway enthalten soll.
Wählen Sie für VPN-Gateway-Name das andere HA VPN-Gateway aus, zu dem der neue Tunnel eine Verbindung herstellt.
Wählen Sie Fügen Sie den zweiten VPN-Tunnel einem vorhandenen hinzu, um Hochverfügbarkeit zu gewährleisten aus.
Prüfen Sie unter Vorhandenen VPN-Tunnel auswählen, ob der vorhandene Tunnel ausgewählt ist. Sie können auf einen Link klicken, um alle vorhandenen Tunnel oben auf derselben Seite anzusehen.
Geben Sie einen Tunnelnamen an.
Geben Sie die gleiche IKE-Version an, die der Tunnel auf dem anderen Gateway verwendet.
Geben Sie einen vorinstallierten IKE-Schlüssel mithilfe Ihres vorinstallierten Schlüssels (gemeinsames Secret) an. Dieser muss dem vorinstallierten Schlüssel für den Partnertunnel entsprechen, den Sie auf Ihrem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben und einen erstellen möchten, klicken Sie auf Generieren und kopieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
Klicken Sie auf Erstellen und fortfahren.
Konfigurieren und speichern Sie eine BGP-Sitzung. Sie können Sie dies auch später tun, indem Sie die Schritte unter BGP-Sitzungen erstellen ausführen.
Informationen zur Konfiguration finden Sie auf der Seite Zusammenfassung und Erinnerung. Klicken Sie dann auf OK.
Tunnel zum klassischen VPN hinzufügen
Jeder mit einem klassischen VPN-Gateway verknüpfte Cloud VPN-Tunnel muss eine Verbindung zu einem eindeutigen Peer-VPN-Gateway herstellen, entsprechend der Identifizierung durch die IP-Adresse des Peer-Gateways. Wenn Sie einen zweiten Tunnel zu demselben Peer-Gateway erstellen müssen, müssen Sie diesen Tunnel von einem anderen Cloud VPN-Gateway aus erstellen.
Führen Sie die folgenden Schritte aus, um einen zweiten Tunnel zu konfigurieren.
Console
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Klicken Sie auf den Tab Google VPN-Gateways.
Klicken Sie auf den Namen eines vorhandenen VPN-Gateways.
Klicken Sie auf der Seite mit den Details zum VPN-Gateway im Abschnitt Tunnel auf VPN-Tunnel hinzufügen.
Geben Sie die folgenden Informationen an:
- Geben Sie im Feld Name einen Namen für den Tunnel ein.
- Geben Sie im Feld Remote-Peer-IP-Adresse die externe IP-Adresse des Peer-VPN-Gateways ein.
- Wählen Sie eine mit Ihrem Peer-VPN-Gateway kompatible IKE-Version aus.
- Geben Sie den vorinstallierten IKE-Schlüssel (gemeinsames Secret) für die Authentifizierung ein. Vorschläge finden Sie unter Starken vorinstallierten Schlüssel generieren.
- Klicken Sie auf die entsprechende Routingoption.
- Wenn Sie dynamisches Routing verwenden möchten, klicken Sie auf Dynamisch (BGP). Wählen Sie im Menü Cloud Router einen neuen Cloud Router aus oder erstellen Sie einen. Klicken Sie zum Definieren der BGP-Sitzungsparameter im Feld BGP-Sitzung auf Bearbeiten. Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks (Virtual Private Cloud) eindeutig sein.
- Um routenbasiertes VPN zu verwenden, wählen Sie Routenbasiert aus. Geben Sie im Feld IP-Bereiche des Remote-Netzwerks die IP-Adressbereiche an, die vom Peer-Netzwerk verwendet werden.
- Wenn Sie richtlinienbasiertes Routing verwenden möchten, klicken Sie auf Richtlinienbasiert. Geben Sie sowohl die IP-Bereiche des Remote-Netzwerks als auch die lokalen IP-Bereiche an. Wählen Sie im Menü Lokale Subnetze IP-Bereiche von Subnetzen in einem VPC-Netzwerk aus.
Klicken Sie auf Erstellen.
Schließen Sie die Konfiguration ab, indem Sie den Schritten unter Peer-VPN-Gateway konfigurieren folgen.
gcloud
Führen Sie die Schritte zum Erstellen eines routenbasierten VPN-Gateways und -Tunnels aus, beginnen Sie jedoch im Abschnitt Cloud-VPN-Tunnel erstellen.
Wenn der neue Tunnel denselben CIDR-Block hat, können Sie mit dem Konfigurieren der Firewallregeln fortfahren.
Tunnelstatus prüfen
Nachdem Sie ein HA VPN oder einen klassischen VPN-Tunnel konfiguriert haben, überprüfen Sie dessen Status.
Nächste Schritte
- Informationen zum Aufrufen von Cloud Logging und Monitoring finden Sie unter Logs und Messwerte ansehen.
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.