HA VPN mit Compute Engine-VMs verbinden

Auf dieser Seite wird beschrieben, wie Sie ein HA VPN-Gateway mit Compute Engine-VM-Instanzen mit externen IP-Adressen verbinden, die in Google Cloud gehostet werden.

In dieser Anleitung werden die folgenden HA VPN-Ressourcen erstellt:

Ein HA VPN-Gateway
Ein Peer-VPN-Gateway
Ein Paar von VPN-Tunneln vom Peer-VPN-Gateway zu jeder VM-Instanz, um eine hohe Verfügbarkeit zu gewährleisten

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Diagramme dieser Topologie finden Sie unter HA VPN zu Compute Engine-VM-Instanzen in mehreren Zonen und HA VPN zu einer Compute Engine-VM-Instanz.
Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Hinweise

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.
Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.
Prüfen Sie, ob Sie eine oder zwei Compute Engine-VMs mit externen IP-Adressen haben.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.
```
gcloud config set project PROJECT_ID
```

Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
```
gcloud config list --format='text(core.project)'
```

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:

Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
Informationen zum Erstellen von Subnetzen finden Sie unter Mit Subnetzen arbeiten.

Um IPv6 für HA VPN-Gateways zu aktivieren, müssen Sie die Zuweisung interner IPv6-Adressen aktivieren, wenn Sie die VPC erstellen. Außerdem müssen Sie die Subnetze so konfigurieren, dass interne IPv6-Adressen verwendet werden.

Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren.

Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus mit internen IPv6-Adressen finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus mit mindestens einem Dual-Stack-Subnetz erstellen.
Informationen zum Erstellen eines Subnetzes mit aktiviertem IPv6 finden Sie unter Dual-Stack-Subnetz hinzufügen.
Informationen zum Aktivieren von IPv6 in einem vorhandenen Subnetz finden Sie unter IPv4-Subnetz in ein Dual-Stack-Subnetz konvertieren.
Informationen zum Erstellen von VMs mit aktiviertem IPv6 finden Sie unter IPv6 für Instanzen und Instanzvorlagen konfigurieren.

Das VPC-Subnetz muss für die Verwendung interner IPv6-Adressen konfiguriert sein. Wenn Sie die gcloud CLI verwenden, konfigurieren Sie das Subnetz mit dem Flag --ipv6-access-type=INTERNAL. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL) konfiguriert sind, nicht dynamisch.

Informationen zur Verwendung interner IPv6-Bereiche in Ihrem VPC-Netzwerk und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

HA VPN-Gateway und Tunnel zu Compute Engine-VM-Instanzen erstellen

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, Tunnel und BGP-Sitzungen zu erstellen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Rollen

roles/compute.networkAdmin

Console

Wenn Sie zum ersten Mal eine VPN-Verbindung erstellen möchten, verwenden Sie den VPN-Einrichtungsassistenten. Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

Cloud HA VPN-Gateway erstellen

Rufen Sie in der Google Cloud Console die Seite VPN auf.

Zu VPN
1. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
2. Wenn Sie bereits Cloud VPN-Ressourcen haben, klicken Sie auf VPN-Einrichtungsassistent.
Wählen Sie Hochverfügbarkeits-VPN aus.
Klicken Sie auf Weiter.
Geben Sie einen VPN-Gateway-Namen an.
Wählen Sie in der Liste Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
Wählen Sie in der Liste Region die Region aus, in der sich auch Ihre Compute Engine-VMs befinden.
Wählen Sie einen Stack-Typ für das VPN-Gateway aus, entweder IPv4 (Einzel-Stack) oder IPv4 und IPv6 (Dual-Stack).
Klicken Sie auf Erstellen und fortfahren.

Auf der Seite der Console werden die Gateway-Informationen angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

VPN-Tunnel hinzufügen

Wählen Sie in der Liste Peer-VPN-Gateway die Option Compute Engine-VMs mit externen IP-Adressen aus.
Wählen Sie in der Liste Name des Peer-VPN-Gateways ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen.

Wenn Sie ein vorhandenes Gateway auswählen, wird die Anzahl der zu konfigurierenden Tunnel von der Google Cloud Console anhand der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben.

Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:
1. Geben Sie einen Namen für das Peer-VPN-Gateway an.
2. Wählen Sie im Abschnitt Peer-VPN-Gateway-Schnittstellen eine oder zwei Schnittstellen aus. Sie können ein Paar Tunnel mit jeder Compute Engine-VM-Instanz verbinden. Beispiele für diese Topologie finden Sie unter HA VPN-Topologien.
3. Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an.
Wählen Sie in der Liste Cloud Router einen Cloud Router aus oder erstellen Sie einen. Geben Sie dazu die folgenden Optionen an.
1. Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:
2. einen Namen
3. eine optionale Beschreibung
4. eine Google-ASN für den neuen Router
Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (64512 bis 65534, 4200000000 bis 4294967294). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.
1. Klicken Sie auf Erstellen, um den Router zu erstellen.
Maximieren Sie im Bereich VPN-Tunnel jedes Element, um die Details der erstellten VPN-Tunnel einzugeben.
1. Wählen Sie im Bereich Zugehörige Peer-VPN-Gateway-Schnittstelle die Kombination aus Peer-VPN-Gateway und IP-Adresse aus, die Sie mit diesem Tunnel und der HA VPN-Schnittstelle verknüpfen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
2. Geben Sie einen Namen für den Tunnel an.
3. Geben Sie eine optionale Beschreibung an.
4. Geben Sie die IKE-Version an. Wir empfehlen die Verwendung der Standardeinstellung IKE v2, sofern diese von Ihrem Peer-Router unterstützt wird. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
5. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
6. Klicken Sie auf Fertig.
7. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

BGP-Sitzungen konfigurieren

Klicken Sie auf BGP-Sitzung konfigurieren, um die BGP-Sitzung auf dem Cloud Router einzurichten. Informationen zum Erstellen von BGP-Sitzungen finden Sie unter BGP-Sitzungen erstellen.
Klicken Sie auf BGP-Konfiguration speichern.

Die Seite der Console wird aktualisiert und zeigt Informationen zum HA VPN-Gateway, zum Peer-VPN-Gateway und zum Cloud VPN-Tunnel an.

gcloud

HA VPN-Gateway erstellen

Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Dabei gilt:

GW_NAME: der Name des Gateways
NETWORK: Name Ihres Google Cloud-Netzwerks
REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
IP_STACK (optional): der zu verwendende IP-Stack. Geben Sie entweder IPV4_ONLY oder IPV4_IPV6 an. Wenn Sie dieses Flag nicht angeben, ist der Standard-Stack-Typ IPV4_ONLY.

Das von Ihnen erstellte Gateway sieht in etwa so aus: Jeder Gateway-Schnittstelle wird automatisch eine externe IPv4-Adresse zugewiesen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Peer-VPN-Gateway-Ressource erstellen

Je nach Hochverfügbarkeitsanforderungen können Sie eine oder zwei Peer-VPN-Gateway-Ressourcen erstellen.

Führen Sie den folgenden Befehl aus, um das erste Peer-VPN-Gateway zu erstellen:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Führen Sie den folgenden Befehl aus, um das zweite Peer-VPN-Gateway zu erstellen:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Ersetzen Sie Folgendes:

PEER_GW_NAME1: der Name, der das erste Peer-VPN-Gateway darstellt
PEER_GW_NAME2: der Name, der das zweite Peer-VPN-Gateway darstellt
PEER_GW_IP_1: die externe IP-Adresse für die erste Compute Engine-VM
PEER_GW_IP_0: die externe IP-Adresse für die zweite Compute Engine-VM

Die von Ihnen erstellte Peer-VPN-Gateway-Ressource sieht wie das folgende Beispiel aus und PEER_GW_IP_0 und PEER_GW_IP_1 zeigen die externen IP-Adressen der virtuellen Compute Engine-Maschinen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Cloud Router erstellen

Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Dabei gilt:

ROUTER_NAME: der Name des Cloud Routers in derselben Region wie das Cloud VPN-Gateway
REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
NETWORK: der Name Ihres Google Cloud-Netzwerks
GOOGLE_ASN: private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden; die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden

Die Ausgabe sieht in etwa so aus:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

VPN-Tunnel hinzufügen

Erstellen Sie vier VPN-Tunnel, zwei für jede Schnittstelle auf dem HA VPN-Gateway. Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben.

Ein VPN-Tunnel muss mit interface 0 des externen VPN-Gateways verbunden werden und der andere VPN-Tunnel mit interface 1 des externen VPN-Gateways.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Ersetzen Sie Folgendes:

TUNNEL_NAME_IF0, TUNNEL_NAME_IF1, TUNNEL_NAME_IF2 und TUNNEL_NAME_IF3: ein Name für den Tunnel. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
PEER_GW_NAME: ein Name des bereits erstellen externen Peer-Gateways
PEER_EXT_GW_IF0 und PEER_EXT_GW_IF1: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
IKE_VERS: 1 für IKEv1 oder 2 für IKEv2; Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.
SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
GW_NAME: der Name des HA VPN-Gateways
INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.

Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.

Die Befehlsausgabe sieht dann ungefähr so aus:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1

BGP-Sitzungen konfigurieren

Informationen zum Erstellen von BGP-Sitzungen finden Sie unter BGP-Sitzungen erstellen.

API

Cloud HA VPN-Gateway erstellen

Zum Erstellen eines HA VPN-Gateways senden Sie eine POST-Anfrage mit der Methode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Das Feld stackType ist optional. Die einzigen gültigen Werte sind IPV4_IPV6 und IPV4_ONLY. Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_ONLY.

Peer-VPN-Gateway-Ressource erstellen

Zum Erstellen einer externen VPN-Gateway-Ressource senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }

Verwenden Sie die Einstellung TWO_IPS_REDUNDANCY, um ein Peer-VPN-Gateway mit zwei Schnittstellen oder zwei externen VPN-Gateways mit jeweils einer Schnittstelle zu erstellen. Geben Sie zum Erstellen eines Peer-VPN-Gateways mit vier Schnittstellen vier Instanzen der Schnittstellen-ID und ipAddress an und verwenden Sie einen redundancyType von FOUR_IPS_REDUNDANCY.

Cloud Router erstellen

Zum Erstellen eines Cloud Routers senden Sie eine POST-Anfrage mit der Methode routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

VPN-Tunnel hinzufügen

Zum Erstellen von vier VPN-Tunneln, zwei für jede Schnittstelle auf dem HA VPN-Gateway, stellen Sie eine POST-Anfrage mit der Methode vpnTunnels.insert. Sie müssen auf jeder Schnittstelle des HA VPN-Gateways einen Tunnel erstellen, um ein SLA mit 99,9 % Verfügbarkeit zu erhalten.

Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie 2 für die ikeVersion angeben.

Wiederholen Sie diesen Befehl, um die anderen Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:
- name
- peerExternalGatewayInterface
- sharedSecret oder sharedSecretHash (falls erforderlich)
- vpnGatewayInterface: in den Wert der anderen Schnittstelle des HA VPN-Gateways ändern. In diesem Beispiel ändern Sie diesen Wert in 1.

BGP-Sitzungen konfigurieren

Informationen zum Erstellen von BGP-Sitzungen finden Sie unter BGP-Sitzungen erstellen.

API

Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Zum Erstellen eines HA VPN-Gateways senden Sie eine POST-Anfrage mit der Methode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Das Feld stackType ist optional. Die einzigen gültigen Werte sind IPV4_IPV6 und IPV4_ONLY. Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_ONLY.

Konfiguration prüfen

Console

Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:

Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

So prüfen Sie die Cloud Router-Konfiguration:

Listen Sie die von Cloud Router ausgewählten BGP-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, sollten die BGP-IP-Adressen für die neue Schnittstelle mit der höchsten Indexnummer aufgelistet werden. Verwenden Sie die BGP-IP-Adresse peerIpAddress, um Ihr Peer-VPN-Gateway zu konfigurieren:
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index 0 und Index 1), sollte wie im folgenden Beispiel aussehen. Dabei gilt Folgendes:
- GOOGLE_BGP_IP_0 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0. PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers.
- GOOGLE_BGP_IP_1 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1. PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

Die vollständige Auflistung sieht so aus:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET mit der Methode routers.getRouterStatus und verwenden Sie einen leeren Anfragetext:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Nächste Schritte

Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.