Conecta la VPN con alta disponibilidad a las VMs de Compute Engine

En esta página, se describe cómo conectar una puerta de enlace de VPN con alta disponibilidad a las instancias de máquina virtual (VM) de Compute Engine con direcciones IP externas alojadas en Google Cloud.

En estas instrucciones, se crean los siguientes recursos de VPN con alta disponibilidad:

Una puerta de enlace de VPN con alta disponibilidad
Una puerta de enlace de VPN de intercambio de tráfico
Un par de túneles VPN desde la puerta de enlace de VPN de intercambio de tráfico hacia cada instancia de VM para ayudar a garantizar una alta disponibilidad

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Para ver los diagramas de esta topología, consulta VPN con alta disponibilidad a instancias de VM de Compute Engine en varias zonas y VPN con alta disponibilidad a una instancia de VM de Compute Engine.
Para obtener prácticas recomendadas antes de configurar Cloud VPN, consulta Prácticas recomendadas.
Para obtener más información sobre Cloud VPN, consulta la Descripción general de Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Antes de comenzar

Revisa la información sobre cómo funciona el enrutamiento dinámico en Google Cloud.
Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico sea compatible con el protocolo de puerta de enlace de frontera (BGP).
Asegúrate de tener una o dos VMs de Compute Engine con direcciones IP externas.

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Ir al selector de proyectos

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Ir al selector de proyectos

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Si usas Google Cloud CLI, configura el ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.
```
gcloud config set project PROJECT_ID
```

También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:
```
gcloud config list --format='text(core.project)'
```

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN con alta disponibilidad y un par de túneles, crea una red de nube privada virtual (VPC) y al menos una subred en la región donde reside la puerta de enlace de VPN con alta disponibilidad:

Para crear una red de VPC en modo personalizado (recomendado), consulta Crea una red de VPC en modo personalizado.
Para crear subredes, consulta Trabaja con subredes.

A fin de habilitar IPv6 para las puertas de enlace de VPN con alta disponibilidad, debes habilitar la asignación de direcciones internas de IPv6 cuando crees la VPC. Además, debes configurar las subredes para usar direcciones internas IPv6.

También debes configurar IPv6 en las VM de la subred.

Para crear una red de VPC de modo personalizado con direcciones IPv6 internas, consulta Crea una red de VPC de modo personalizado con al menos una subred de pila doble.
Para crear una subred con IPv6 habilitada, consulta Agrega una subred de pila doble.
Para habilitar IPv6 en una subred existente, consulta Convierte una subred IPv4 en una subred de pila doble.
Si deseas crear VM con IPv6 habilitado, consulta Configura IPv6 para instancias y plantillas de instancias.

La subred de VPC debe estar configurada para usar direcciones IPv6 internas. Cuando usas gcloud CLI, configuras la subred con la marca --ipv6-access-type=INTERNAL. Cloud Router no anuncia rutas de forma dinámica para las subredes que están configuradas a fin de usar direcciones IPv6 externas (--ipv6-access-type=EXTERNAL).

Para obtener información sobre el uso de rangos de IPv6 internos en la red y las subredes de VPC, consulta Especificaciones de IPv6 internas.

En los ejemplos de este documento, también se usa el modo de enrutamiento dinámico global de VPC, que se comporta de la siguiente manera:

Todas las instancias de Cloud Router aplican las rutas to on-premises que aprenden a todas las subredes de la red de VPC.
Las rutas a todas las subredes en la red de VPC se comparten con los routers locales.

Crea una puerta de enlace de VPN con alta disponibilidad y túneles para las instancias de VM de Compute Engine

Sigue las instrucciones de esta sección para crear una puerta de enlace de VPN con alta disponibilidad, un recurso de puerta de enlace de VPN de par, túneles y sesiones de BGP.

Permisos necesarios para esta tarea

Para hacer esta tarea, debes tener los siguientes permisos o las siguientes funciones de IAM.

Permisos

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Funciones

roles/compute.networkAdmin

Nota: Después de crear una puerta de enlace de VPN con alta disponibilidad, no puedes modificar su tipo de pila. Si necesitas un tipo de pila diferente para una puerta de enlace de VPN con alta disponibilidad existente, debes borrar y volver a crear la puerta de enlace.

El tráfico de IPv6 solo es compatible con las puertas de enlace de VPN con alta disponibilidad configuradas para usar el tipo de pila de pila doble (IPv4 e IPv6) o el tipo de pila solo de IPv6 (disponible solo para vista previa mediante la API o Google Cloud CLI). Para inhabilitar el tráfico IPv6 de forma temporal sin tener que borrar la puerta de enlace, puedes inhabilitar el intercambio de rutas IPv6 en la sesión de BGP IPv4 o inhabilitar la función la sesión IPv6 que estableciste para los túneles VPN con alta disponibilidad.

Console

Para crear una conexión de VPN por primera vez, usa el asistente de configuración de VPN. En el Asistente de configuración de VPN, se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Crear una puerta de enlace de VPN con alta disponibilidad de Cloud

En la consola de Google Cloud, ve a la página VPN.

Ir a VPN
1. Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.
2. Si tienes recursos de Cloud VPN existentes, haz clic en el asistente de configuración de VPN.
Selecciona High-availability (HA) VPN.
Haz clic en Continuar.
Especifica un Nombre de puerta de enlace de VPN.
En la lista Red, selecciona una red existente o la red predeterminada.
En la lista Región, selecciona la misma región en la que se encuentran tus VMs de Compute Engine.
Selecciona un tipo de pila para la puerta de enlace de VPN, ya sea IPv4 (pila única) o IPv4 e IPv6 (pila doble).
Haz clic en Crear y continuar.

La página de la consola muestra la información de la puerta de enlace. Se asignan dos direcciones IP externas de forma automática para cada una de las interfaces de la puerta de enlace. Para los próximos pasos de configuración, toma nota de los detalles de la configuración de la puerta de enlace.

Agregar túneles VPN

En la lista Peer VPN gateway, selecciona Compute Engine VMs with external IP addresses.
En la lista Nombre de la puerta de enlace de VPN con intercambio de tráfico, elige una puerta de enlace de intercambio de tráfico existente o haz clic en Crear una nueva puerta de enlace de VPN de intercambio de tráfico.

Si eliges una puerta de enlace de intercambio de tráfico existente, la consola de Google Cloud selecciona la cantidad de túneles que se configurarán según la cantidad de interfaces de intercambio de tráfico que configuraste en la puerta de enlace de intercambio de tráfico.

Para crear una puerta de enlace de intercambio de tráfico, completa los siguientes pasos:
1. Especifica un nombre para la puerta de enlace de VPN de intercambio de tráfico.
2. En la sección Interfaces de puerta de enlace de VPN de intercambio de tráfico, selecciona una o dos interfaces. Puedes conectar un par de túneles a cada instancia de VM de Compute Engine. Para ver ejemplos de esta topología, consulta Topologías de VPN con alta disponibilidad.
3. En el campo de cada interfaz de VPN de intercambio de tráfico, especifica la dirección IP externa que se usa para esa interfaz.
En la lista Cloud Router, selecciona o crea un Cloud Router a través de la especificación de las siguientes opciones.
1. Para crear un Cloud Router nuevo, especifica lo siguiente:
2. Un nombre
3. Una descripción opcional
4. Un ASN de Google para el router nuevo
Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.
1. Para crear el router, haz clic en Crear.
En la sección Túneles VPN, expande cada elemento para completar los detalles de los túneles VPN creados.
1. En la sección Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada, selecciona la combinación de interfaz de puerta de enlace de VPN de intercambio de tráfico y dirección IP que deseas asociar con este túnel y con la interfaz de VPN con alta disponibilidad. Esta interfaz debe coincidir con la interfaz del router de intercambio de tráfico real.
2. Especifica un Nombre para el túnel.
3. Especifica una Descripción opcional.
4. Especifica la versión de IKE. Recomendamos IKEv2, la configuración predeterminada, si tu router de intercambio de tráfico lo admite. Para permitir el tráfico IPv6, debes seleccionar IKEv2.
5. Especifica una Clave precompartida de IKE con tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico. Si no configuraste una clave precompartida en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar una, haz clic en Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
6. Haz clic en Listo.
7. En la página Crear una VPN, repite los pasos de creación del túnel para cualquier cuadro de diálogo de túnel restante.
Cuando hayas configurado todos los túneles, haz clic en Crear y continuar.

Configura sesiones de BGP

Haz clic en Configurar sesión de BGP para configurarla en Cloud Router. Para obtener información sobre cómo crear sesiones de BGP, consulta Crea sesiones de BGP.
Haz clic en Guardar configuración de BGP.

La página de la consola se actualiza y muestra la información sobre la puerta de enlace de VPN con alta disponibilidad, la puerta de enlace de VPN de intercambio de tráfico y la información del túnel de Cloud VPN.

gcloud

Crea una puerta de enlace de VPN con alta disponibilidad.

Para crear una puerta de enlace de VPN con alta disponibilidad, ejecuta el siguiente comando. Cuando se crea la puerta de enlace, se asignan de forma automática dos direcciones IPv4 externas, una para cada interfaz de puerta de enlace.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Reemplaza lo siguiente:

GW_NAME: El nombre de la puerta de enlace
NETWORK: El nombre de tu red de Google Cloud
REGION: la región de Google Cloud en la que creas la puerta de enlace y el túnel
IP_STACK: Opcional: la pila de IP que se usará. Especifica IPV4_ONLY o IPV4_IPV6. Si no especificas esta marca, el tipo de pila predeterminado es IPV4_ONLY.

La puerta de enlace que crees será similar al siguiente resultado de ejemplo. Se asigna una dirección IPv4 externa a cada interfaz de puerta de enlace de forma automática:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

Según las necesidades de alta disponibilidad, puedes crear un recurso o un par de recursos de puerta de enlace de VPN de intercambio de tráfico.

Para crear la primera puerta de enlace de VPN de intercambio de tráfico, ejecuta el siguiente comando:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Para crear la segunda puerta de enlace de VPN de intercambio de tráfico, ejecuta el siguiente comando:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Reemplaza lo siguiente:

PEER_GW_NAME1: un nombre que representa la primera puerta de enlace de VPN de intercambio de tráfico
PEER_GW_NAME2: un nombre que representa la segunda puerta de enlace de VPN de intercambio de tráfico
PEER_GW_IP_1: la dirección IP externa de la primera máquina virtual de Compute Engine
PEER_GW_IP_0: la dirección IP externa de la segunda máquina virtual de Compute Engine

El recurso de puerta de enlace de VPN de intercambio de tráfico que creaste se parece al siguiente ejemplo, y PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones IP externas de las máquinas virtuales de Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Crea un Cloud Router

Para crear un Cloud Router, ejecuta el siguiente comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Reemplaza lo siguiente:

ROUTER_NAME: El nombre del Cloud Router en la misma región que la puerta de enlace de Cloud VPN
REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
NETWORK: El nombre de tu red de Google Cloud
GOOGLE_ASN: Cualquier ASN privado (de 64512 a 65534, de 4200000000 a 4294967294) que no estés usando en la red de intercambio de tráfico. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.

El resultado es similar al siguiente:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Agregar túneles VPN

Crea cuatro túneles VPN: dos para cada interfaz en la puerta de enlace de VPN con alta disponibilidad. Cuando crees túneles VPN, especifica su lado de intercambio de tráfico como la puerta de enlace de VPN externa que creaste antes.

Un túnel VPN debe conectarse a interface 0 de la puerta de enlace de VPN externa, y el otro túnel VPN debe conectarse a interface 1 de la puerta de enlace de VPN externa.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Reemplaza lo siguiente:

TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2 y TUNNEL_NAME_IF3: un nombre para el túnel. Incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante
PEER_GW_NAME: Un nombre de la puerta de enlace externa de intercambio de tráfico que se creó antes
PEER_EXT_GW_IF0 y PEER_EXT_GW_IF1: El número de interfaz configurado anteriormente en la puerta de enlace externa de intercambio de tráfico
IKE_VERS: 1 para IKEv1 o 2 para IKEv2; si es posible, usa IKEv2 para la versión IKE. Si la puerta de enlace de intercambio de tráfico necesita IKEv1, reemplaza --ike-version 2 por --ike-version 1. Para permitir el tráfico de IPv6, debes especificar IKEv2.
SHARED_SECRET: Tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico; para obtener recomendaciones, consulta Genera una clave segura y compartida previamente
GW_NAME: El nombre de la puerta de enlace de VPN con alta disponibilidad
INT_NUM_0: El número 0 para la primera interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes
INT_NUM_1: El número 1 para la segunda interfaz de la puerta de enlace de VPN con alta disponibilidad que creaste antes

Opcional: --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción, se anula el valor predeterminado de la propiedad de procesamiento o región para esta invocación de comando.

El resultado del comando es similar al siguiente ejemplo:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1

Configura sesiones de BGP

Para obtener información sobre cómo crear sesiones de BGP, consulta Crea sesiones de BGP.

API

Crear una puerta de enlace de VPN con alta disponibilidad de Cloud

Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST mediante el método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

El campo stackType es opcional. Los únicos valores válidos son IPV4_IPV6 o IPV4_ONLY. Si no especificas stackType, el valor predeterminado es IPV4_ONLY.

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

Para crear un recurso de puerta de enlace de VPN externa, realiza una solicitud POST a través del método externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }

Para crear una puerta de enlace de VPN de intercambio de tráfico con dos interfaces o dos puertas de enlace de VPN externas con una interfaz cada una, usa la configuración TWO_IPS_REDUNDANCY. Para crear una puerta de enlace de VPN de intercambio de tráfico con cuatro interfaces, especifica cuatro instancias del ID de interfaz y la ipAddress, y usa un redundancyType de FOUR_IPS_REDUNDANCY.

Crea un Cloud Router

Para crear un Cloud Router, realiza una solicitud POST a través del método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Agregar túneles VPN

Para crear cuatro túneles VPN, dos para cada interfaz en la puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST a través del método vpnTunnels.insert. Para cumplir con un ANS de tiempo de actividad del 99.99%, debes crear un túnel en cada interfaz de la puerta de enlace de VPN con alta disponibilidad.

Para crear el primer túnel, ejecuta el siguiente comando:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Si planeas habilitar IPv6 en la sesión de BGP asociada con este túnel, debes especificar 2 para ikeVersion.

Para crear los otros túneles, repite este comando, pero cambia los siguientes parámetros:
- name
- peerExternalGatewayInterface
- sharedSecret o sharedSecretHash (si es necesario)
- vpnGatewayInterface: Cambia al valor de la otra interfaz de puerta de enlace de VPN con alta disponibilidad. En este ejemplo, cambia este valor a 1.

Configura sesiones de BGP

Para obtener información sobre cómo crear sesiones de BGP, consulta Crea sesiones de BGP.

API

Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa los comandos de la API en las siguientes secciones. Todos los valores de campo que se usan en estas secciones son valores de ejemplo.

Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST mediante el método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

El campo stackType es opcional. Los únicos valores válidos son IPV4_IPV6 o IPV4_ONLY. Si no especificas stackType, el valor predeterminado es IPV4_ONLY.

Verifica la configuración

Consola

Para verificar la configuración, ve a la página Resumen y recordatorio:

En la sección Resumen de esta pantalla, se muestra información de la puerta de enlace de VPN con alta disponibilidad y del perfil de puerta de enlace de VPN de intercambio de tráfico. Para cada túnel VPN, puedes ver el Estado del túnel VPN, el Nombre de la sesión de BGP, el Estado de la sesión de BGP y el valor MED (prioridad de ruta anunciada).
En la sección Recordatorio de esta página, se enumeran los pasos que debes completar para tener una conexión de VPN operativa por completo entre Cloud VPN y la VPN de intercambio de tráfico.
Después de revisar la información de esta página, haz clic en Aceptar.

gcloud

Para verificar la configuración de Cloud Router, sigue estos pasos:

Enumera las direcciones IP de BGP que eligió Cloud Router. Si agregaste una nueva interfaz a un Cloud Router existente, las direcciones IP de BGP para la nueva interfaz aparecen con el número de índice más alto. Usa la dirección IP de BGP peerIpAddress para configurar tu puerta de enlace VPN de intercambio de tráfico:
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
El resultado esperado para un Cloud Router que administra dos túneles de Cloud VPN (índice 0 e índice 1) es similar al siguiente ejemplo, en el que se cumple lo siguiente:
- GOOGLE_BGP_IP_0 representa la dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 0. PEER_BGP_IP_0 representa la dirección IP de BGP de su intercambio de tráfico.
- GOOGLE_BGP_IP_1 representa la dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 1. PEER_BGP_IP_1 representa la dirección IP de BGP de su intercambio de tráfico.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

También puedes usar el siguiente comando para obtener una lista completa de la configuración de Cloud Router:

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

La lista completa se ve como el siguiente ejemplo:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Para verificar la configuración de Cloud Router, realiza una solicitud GET con el método routers.getRouterStatus y usa un cuerpo de la solicitud vacío:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

¿Qué sigue?

Para controlar qué direcciones IP se permiten en las puertas de enlace de VPN de intercambio de tráfico, consulta Restringe las direcciones IP para las puertas de enlace de VPN de intercambio de tráfico.