Ligue a VPN de alta disponibilidade a VMs do Compute Engine

Esta página descreve como ligar um gateway de VPN de alta disponibilidade a instâncias de máquinas virtuais (VMs) do Compute Engine com endereços IP externos alojados no Google Cloud.

Estas instruções criam os seguintes recursos de VPN de HA:

• Um gateway de HA VPN
• Um gateway de VPN de intercâmbio
• Um par de túneis VPN do gateway de VPN de pares para cada instância de VM para ajudar a garantir a elevada disponibilidade

Para mais informações sobre a Cloud VPN, consulte os seguintes recursos:

• Para ver diagramas desta topologia, consulte os artigos VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas e VPN de alta disponibilidade para uma instância de VM do Compute Engine.

• Para ver as práticas recomendadas a considerar antes de configurar o Cloud VPN, consulte o artigo Práticas recomendadas.

• Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.

• Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Antes de começar

• Reveja as informações sobre como o encaminhamento dinâmico funciona no Google Cloud.

• Certifique-se de que o gateway de VPN de pares suporta o Border Gateway Protocol (BGP).

• Certifique-se de que tem uma ou duas VMs do Compute Engine com endereços IP externos.

Configure os seguintes itens Google Cloud para facilitar a configuração da VPN na nuvem:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

5. Se estiver a usar a CLI do Google Cloud, defina o ID do projeto com o seguinte comando. As instruções gcloud nesta página pressupõem que definiu o ID do projeto antes de emitir comandos.

   gcloud config set project PROJECT_ID
   

6. Também pode ver um ID do projeto que já foi definido executando o seguinte comando:

   gcloud config list --format='text(core.project)'
   

Crie uma rede VPC e uma sub-rede personalizadas

Antes de criar um par de túneis e um gateway de VPN de alta disponibilidade, crie uma rede de nuvem virtual privada (VPC) e, pelo menos, uma sub-rede na região onde reside o gateway de VPN de alta disponibilidade:

• Para criar uma rede VPC no modo personalizado (recomendado), consulte o artigo Criar uma rede VPC no modo personalizado.
• Para criar sub-redes, consulte o artigo Trabalhar com sub-redes.

Para ativar o IPv6 para gateways de VPN de alta disponibilidade, tem de ativar a atribuição de endereços internos IPv6 quando cria a VPC. Além disso, tem de configurar as sub-redes para usar endereços internos IPv6.

Também tem de configurar o IPv6 nas VMs na sub-rede.

• Para criar uma rede VPC no modo personalizado com endereços IPv6 internos, consulte o artigo Crie uma rede VPC no modo personalizado com, pelo menos, uma sub-rede de pilha dupla.
• Para criar uma sub-rede com o IPv6 ativado, consulte o artigo Adicione uma sub-rede de pilha dupla.
• Para ativar o IPv6 numa sub-rede existente, consulte o artigo Converta uma sub-rede IPv4 numa sub-rede de pilha dupla.
• Para criar VMs com o IPv6 ativado, consulte o artigo Configurar o IPv6 para instâncias e modelos de instâncias.

A sub-rede da VPC tem de estar configurada para usar endereços IPv6 internos. Quando usa a CLI gcloud, configura a sub-rede com a flag --ipv6-access-type=INTERNAL. O Cloud Router não anuncia dinamicamente rotas para sub-redes configuradas para usar endereços IPv6 externos (--ipv6-access-type=EXTERNAL).

Para ver informações sobre a utilização de intervalos IPv6 internos na sua rede VPC e sub-redes, consulte as especificações IPv6 internas.

Os exemplos neste documento também usam o modo de encaminhamento dinâmico global da VPC, que se comporta da seguinte forma:

• Todas as instâncias do Cloud Router aplicam as rotas to on-premises que aprendem a todas as sub-redes da rede VPC.
• As rotas para todas as sub-redes na rede VPC são partilhadas com os routers no local.

Crie um gateway de VPN de alta disponibilidade e túneis para instâncias de VM do Compute Engine

Siga as instruções nesta secção para criar um gateway de VPN de alta disponibilidade, um recurso de gateway de VPN de pares, túneis e sessões BGP.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Funções

• roles/compute.networkAdmin

Consola

Para criar uma ligação VPN pela primeira vez, use o assistente de configuração da VPN. O assistente de configuração da VPN inclui todos os passos de configuração necessários para criar um gateway de VPN de HA, um recurso de gateway de VPN paritário, túneis e sessões de BGP.

Crie um gateway do Cloud HA VPN

1. Na Google Cloud consola, aceda à página VPN.

   Aceda à VPN

   1. Se estiver a criar um gateway pela primeira vez, clique em Criar ligação VPN.
   2. Se tiver recursos da Cloud VPN existentes, clique em Assistente de configuração de VPN.

2. Selecione VPN de alta disponibilidade (HA).

3. Clique em Continuar.

4. Especifique um nome do gateway de VPN.

5. Na lista Rede, selecione uma rede existente ou a rede predefinida.

6. Na lista Região, selecione a mesma região onde se encontram as suas VMs do Compute Engine.

7. Selecione um tipo de pilha para o gateway de VPN, IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).

8. Clique em Criar e continuar.

A página da consola apresenta as informações da gateway. São automaticamente atribuídos dois endereços IP externos a cada uma das interfaces de gateway. Para os passos de configuração futuros, tome nota dos detalhes da configuração do gateway.

Adicione túneis de VPN

1. Na lista Gateway de VPN de pares, selecione VMs do Compute Engine com endereços IP externos.

2. Na lista Nome do gateway de VPN de pares, escolha um gateway de pares existente ou clique em Criar um novo gateway de VPN de pares.

   Se escolher um gateway de pares existente, a Google Cloud consola seleciona o número de túneis a configurar com base no número de interfaces de pares que configurou no gateway de pares.

   Para criar um gateway de pares, conclua os seguintes passos:

   1. Especifique um nome para o gateway de VPN de intercâmbio.
   2. Na secção Interfaces do gateway de VPN de pares, selecione uma ou duas interfaces. Pode associar um par de túneis a cada instância de VM do Compute Engine. Para ver exemplos desta topologia, consulte as topologias de VPN de HA.
   3. No campo de cada interface de VPN de pares, especifique o endereço IP externo usado para essa interface.

   Na lista Cloud Router, selecione ou crie um Cloud Router especificando as seguintes opções.

   1. Para criar um novo Cloud Router, especifique o seguinte:
   2. Um nome
   3. Uma descrição opcional
   4. Um ASN da Google para o novo router

   Pode usar qualquer ASN privado (64512 a 65534, 4200000000 a 4294967294) que não esteja a usar noutro local na sua rede. O ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode alterar o ASN posteriormente.

   1. Para criar o router, clique em Criar.

   Na secção Túneis de VPN, expanda cada item para preencher os detalhes dos túneis de VPN criados.

   1. Na secção Interface do gateway de VPN de pares associada, selecione a combinação de interface do gateway de VPN de pares e endereço IP que quer associar a este túnel e à interface de VPN de alta disponibilidade. Esta interface tem de corresponder à interface no seu router de pares real.
   2. Especifique um Nome para o túnel.
   3. Especifique uma descrição opcional.
   4. Especifique a versão do IKE. Recomendamos o IKEv2, a predefinição, se o seu router de pares o suportar. Para permitir o tráfego IPv6, tem de selecionar IKEv2.
   5. Especifique uma chave pré-partilhada IKE através da sua chave pré-partilhada (segredo partilhado), que tem de corresponder à chave pré-partilhada do túnel de parceiro que cria no seu gateway de pares. Se não tiver configurado uma chave pré-partilhada no seu gateway de VPN de intercâmbio e quiser gerar uma, clique em Gerar e copiar. Certifique-se de que regista a chave pré-partilhada num local seguro, uma vez que não pode ser obtida depois de criar os túneis de VPN.
   6. Clique em Concluído.
   7. Na página Criar uma VPN, repita os passos de criação do túnel para todas as caixas de diálogo de túnel restantes.

3. Quando tiver configurado todos os túneis, clique em Criar e continuar.

Configure sessões de BGP

1. Clique em Configurar sessão de BGP para configurar a sessão de BGP no Cloud Router. Para ver informações sobre como criar sessões de BGP, consulte o artigo Crie sessões de BGP.
2. Clique em Guardar configuração de BGP.

A página da consola é atualizada e apresenta as informações sobre o gateway de VPN de alta disponibilidade, o gateway de VPN de pares e as informações do túnel de VPN na nuvem.

gcloud

Crie um gateway de HA VPN

Para criar um gateway de VPN de HA, execute o seguinte comando. Quando o gateway é criado, são automaticamente atribuídos dois endereços IPv4 externos, um para cada interface do gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Substitua o seguinte:

• GW_NAME: o nome do gateway
• NETWORK: o nome da sua Google Cloud rede
• REGION: a Google Cloud região onde cria o gateway e o túnel
• IP_STACK: opcional: a pilha de IP a usar. Especifique IPV4_ONLY ou IPV4_IPV6. Se não especificar esta flag, o tipo de pilha predefinido é IPV4_ONLY.

O gateway que criar tem um aspeto semelhante ao seguinte exemplo de saída. É atribuído automaticamente um endereço IPv4 externo a cada interface de gateway:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Crie um recurso de gateway de VPN de intercâmbio

Consoante as necessidades de elevada disponibilidade, pode criar um ou um par de recursos de gateway de VPN interpares.

Para criar o primeiro gateway de VPN de intercâmbio, execute o seguinte comando:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Para criar o segundo gateway de VPN de intercâmbio, execute o seguinte comando:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Substitua o seguinte:

• PEER_GW_NAME1: um nome que representa o primeiro gateway de VPN de intercâmbio
• PEER_GW_NAME2: um nome que representa o segundo gateway de VPN de intercâmbio
• PEER_GW_IP_1: o endereço IP externo da primeira máquina virtual do Compute Engine
• PEER_GW_IP_0: o endereço IP externo da segunda máquina virtual do Compute Engine

O recurso de gateway de VPN de pares que criou tem o seguinte aspeto, e PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos das máquinas virtuais do Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Crie um Cloud Router

Para criar um Cloud Router, execute o seguinte comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Substitua o seguinte:

• ROUTER_NAME: o nome do Cloud Router na mesma região que o gateway da Cloud VPN
• REGION: a Google Cloudregião onde cria o gateway e o túnel
• NETWORK: o nome da sua Google Cloud rede
• GOOGLE_ASN: qualquer ASN privado (64512 a 65534, 4200000000 a 4294967294) que ainda não esteja a usar na rede de pares; o ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode ser alterado posteriormente

O resultado é semelhante ao seguinte:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Adicione túneis de VPN

Crie quatro túneis de VPN, dois para cada interface no gateway de VPN de HA. Quando criar túneis de VPN, especifique o lado de intercâmbio dos túneis de VPN como o gateway de VPN externo que criou anteriormente.

Um túnel de VPN tem de estabelecer ligação a interface 0 do gateway de VPN externo e o outro túnel de VPN tem de estabelecer ligação a interface 1 do gateway de VPN externo.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Substitua o seguinte:

• TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2 e TUNNEL_NAME_IF3: um nome para o túnel; dar nomes aos túneis incluindo o nome da interface do gateway pode ajudar a identificar os túneis mais tarde
• PEER_GW_NAME: um nome do gateway de pares externo criado anteriormente
• PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: o número da interface configurado anteriormente no gateway de pares externo
• IKE_VERS: 1 para IKEv1 ou 2 para IKEv2; se possível, use IKEv2 para a versão IKE. Se o seu gateway de pares exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, tem de especificar o IKEv2.
• SHARED_SECRET: a sua chave pré-partilhada (segredo partilhado), que tem de corresponder à chave pré-partilhada do túnel de parceiros que cria no seu gateway de pares; para recomendações, consulte Gere uma chave pré-partilhada forte
• GW_NAME: o nome do gateway de HA VPN
• INT_NUM_0: o número 0 para a primeira interface no gateway de HA VPN que criou anteriormente
• INT_NUM_1: o número 1 para a segunda interface no gateway de HA VPN que criou anteriormente

• Opcional: --vpn-gateway-region é a região em que o gateway de VPN de HA vai operar. O valor deve ser igual a --region. Se não for especificado, esta opção é definida automaticamente. Esta opção substitui o valor da propriedade de cálculo ou região predefinido para esta invocação de comando.

  O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1
  

Configure sessões de BGP

Para ver informações sobre como criar sessões de BGP, consulte o artigo Crie sessões de BGP.

API

Crie um gateway do Cloud HA VPN

Para criar um gateway de VPN de HA, faça um pedido POST usando o método:vpnGateways.insert

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

O campo stackType é opcional. Os únicos valores válidos são IPV4_IPV6 ou IPV4_ONLY. Se não especificar um stackType, o valor predefinido é IPV4_ONLY.

Crie um recurso de gateway de VPN de intercâmbio

Para criar um recurso de gateway de VPN externo, faça um pedido POST através do método externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }
 

Para criar um gateway de VPN de pares com duas interfaces ou dois gateways de VPN externos com uma interface cada, use a definição TWO_IPS_REDUNDANCY. Para criar um gateway de VPN de intercâmbio com quatro interfaces, especifique quatro instâncias do ID da interface e ipAddress e use um redundancyType de FOUR_IPS_REDUNDANCY.

Crie um Cloud Router

Para criar um Cloud Router, faça um pedido POST através do método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Adicione túneis de VPN

Para criar quatro túneis de VPN, dois para cada interface no gateway de VPN de HA, faça um pedido POST através do método vpnTunnels.insert. Para ter um SLA de tempo de atividade de 99,9%, tem de criar um túnel em cada interface da sua gateway de VPN de HA.

1. Para criar o primeiro túnel, execute o seguinte comando:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Se planeia ativar o IPv6 na sessão BGP associada a este túnel, tem de especificar 2 para o ikeVersion.

2. Para criar os outros túneis, repita este comando, mas altere os seguintes parâmetros:

   • name
   • peerExternalGatewayInterface
   • sharedSecret ou sharedSecretHash(se necessário)
   • vpnGatewayInterface: altere para o valor da outra interface do gateway de VPN de alta disponibilidade. Neste exemplo, altere este valor para 1

Configure sessões de BGP

Para ver informações sobre como criar sessões de BGP, consulte o artigo Crie sessões de BGP.

API

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos da API nas secções seguintes. Todos os valores dos campos usados nestas secções são valores de exemplo.

Para criar um gateway de VPN de HA, faça um pedido POST usando o método:vpnGateways.insert

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

O campo stackType é opcional. Os únicos valores válidos são IPV4_IPV6 ou IPV4_ONLY. Se não especificar um stackType, o valor predefinido é IPV4_ONLY.

Valide a configuração

Consola

Para validar a configuração, aceda à página Resumo e lembrete:

1. A secção Resumo desta página apresenta informações para o gateway de VPN de HA e o perfil do gateway de VPN de intercâmbio. Para cada túnel de VPN, pode ver o estado do túnel de VPN, o nome da sessão de BGP, o estado da sessão de BGP e o valor MED (prioridade da rota anunciada).
2. A secção Lembrete desta página apresenta os passos que tem de concluir para ter uma ligação VPN totalmente operacional entre a VPN na nuvem e a sua VPN de pares.
3. Depois de rever as informações nesta página, clique em OK.

gcloud

Para validar a configuração do Cloud Router, siga estes passos:

• Indique os endereços IP BGP escolhidos pelo Cloud Router. Se adicionou uma nova interface a um Cloud Router existente, os endereços IP BGP da nova interface são apresentados com o número de índice mais elevado. Use o endereço IP do BGP peerIpAddress para configurar o gateway de VPN de pares:

  gcloud compute routers get-status ROUTER_NAME \
     --region=REGION \
     --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  O resultado esperado para um Cloud Router que gere dois túneis da Cloud VPN (índice 0 e índice 1) é semelhante ao seguinte exemplo, em que o seguinte é verdadeiro:

  • GOOGLE_BGP_IP_0 representa o endereço IP BGP da interface do Cloud Router para o túnel no gateway Cloud VPN interface 0; PEER_BGP_IP_0 representa o endereço IP BGP do respetivo par.
  • GOOGLE_BGP_IP_1 representa o endereço IP BGP da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 1; PEER_BGP_IP_1 representa o endereço IP BGP do respetivo par.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• Também pode usar o seguinte comando para obter uma lista completa da configuração do Cloud Router:

  gcloud compute routers describe ROUTER_NAME \
     --region=REGION
  

  A ficha completa tem o seguinte aspeto:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Para validar a configuração do Cloud Router, faça um pedido GET através do método routers.getRouterStatus e use um corpo do pedido vazio:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

O que se segue?

• Para controlar que endereços IP são permitidos para gateways de VPNs de pares, consulte o artigo Restrinja os endereços IP para gateways de VPNs de pares.