Connecter un VPN haute disponibilité à des VM Compute Engine

Cette page explique comment connecter une passerelle VPN haute disponibilité à des instances de machines virtuelles (VM) Compute Engine avec des adresses IP externes hébergées dans Google Cloud.

Ces instructions permettent de créer les ressources VPN haute disponibilité suivantes :

Une passerelle VPN haute disponibilité
Une passerelle VPN de pairs
Une paire de tunnels VPN entre la passerelle VPN de pairs et chaque instance de VM pour garantir la haute disponibilité

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

Pour obtenir des schémas de cette topologie, consultez VPN haute disponibilité vers instances de VM Compute Engine dans plusieurs zones et VPN haute disponibilité vers instance de VM Compute Engine.
Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Avant de commencer

Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.
Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP (Border Gateway Protocol).
Assurez-vous de disposer d'une ou deux VM Compute Engine avec des adresses IP externes.

Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions gcloud présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.
```
gcloud config set project PROJECT_ID
```

Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :
```
gcloud config list --format='text(core.project)'
```

Créer un réseau VPC et un sous-réseau personnalisés

Avant de créer une passerelle VPN haute disponibilité et une paire de tunnels, créez un réseau cloud privé virtuel (VPC) et au moins un sous-réseau dans la région où se trouve la passerelle VPN haute disponibilité :

Pour créer un réseau VPC personnalisé (recommandé), consultez la section Créer un réseau VPC en mode personnalisé.
Pour créer des sous-réseaux, consultez la section Travailler avec des sous-réseaux.

Pour activer le protocole IPv6 pour les passerelles VPN haute disponibilité, vous devez activer l'allocation d'adresses internes IPv6 lors de la création du VPC. De plus, les sous-réseaux doivent être configurés pour utiliser des adresses internes IPv6.

Vous devez également configurer le protocole IPv6 sur les VM du sous-réseau.

Pour créer un réseau VPC en mode personnalisé avec des adresses IPv6 internes, consultez la section Créer un réseau VPC en mode personnalisé avec au moins un sous-réseau à deux piles.
Pour créer un sous-réseau avec IPv6 activé, consultez la page Ajouter un sous-réseau à deux piles.
Pour activer IPv6 dans un sous-réseau existant, consultez la section Convertir un sous-réseau IPv4 en sous-réseau à deux piles.
Pour créer des VM avec IPv6 activé, consultez la page Configurer IPv6 pour les instances et les modèles d'instance.

Le sous-réseau VPC doit être configuré pour utiliser des adresses IPv6 internes. Lorsque vous utilisez gcloud CLI, vous devez configurer le sous-réseau avec l'indicateur --ipv6-access-type=INTERNAL. Cloud Router n'annonce pas dynamiquement les routes pour les sous-réseaux configurés pour utiliser des adresses IPv6 externes (--ipv6-access-type=EXTERNAL).

Pour en savoir plus sur l'utilisation de plages IPv6 internes dans votre réseau et sous-réseaux VPC, consultez la section Spécifications IPv6 internes.

Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, qui se comporte comme suit :

Toutes les instances de Cloud Router appliquent les routes to on-premises apprises à tous les sous-réseaux du réseau VPC.
Les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.

Créer une passerelle VPN haute disponibilité et des tunnels vers des instances de VM Compute Engine

Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez avoir reçu les autorisations OU les rôles IAM suivants :

Autorisations

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Rôles

roles/compute.networkAdmin

Remarque : Une fois que vous avez créé une passerelle VPN haute disponibilité, vous ne pouvez pas modifier son type de pile. Si vous avez besoin d'un type de pile différent pour une passerelle VPN haute disponibilité existante, vous devez supprimer et recréer la passerelle.

Le trafic IPv6 n'est compatible qu'avec les passerelles VPN haute disponibilité configurées pour utiliser le type de pile à double pile (IPv4 et IPv6) ou le type de pile IPv6 uniquement (disponible en version bêta en utilisant Google Cloud CLI ou l'API). Pour désactiver temporairement le trafic IPv6 sans avoir à supprimer votre passerelle, vous pouvez désactiver l'échange de routes IPv6 dans la session BGP IPv4 ou désactiver la session IPv6 que vous avez établie pour les tunnels VPN haute disponibilité.

Console

Pour créer une connexion VPN pour la première fois, utilisez l'assistant de configuration VPN. L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Créer une passerelle Cloud VPN haute disponibilité

Dans Google Cloud Console, accédez à la page VPN.

Accéder au VPN
1. Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.
2. Si vous disposez déjà de ressources Cloud VPN, cliquez sur l'Assistant de configuration VPN.
Sélectionnez un VPN haute disponibilité.
Cliquez sur Continuer.
Spécifiez un nom de passerelle VPN.
Dans la liste Réseau, sélectionnez un réseau existant ou le réseau par défaut.
Dans la liste Région, sélectionnez la même région que vos VM Compute Engine.
Sélectionnez un type de pile pour la passerelle VPN, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile).
Cliquez sur Créer et continuer.

La page de la console affiche les informations sur la passerelle. Deux adresses IP externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.

Ajouter des tunnels VPN

Dans la liste Passerelle VPN de pairs, sélectionnez VM Compute Engine avec adresses IP externes.
Dans la liste Nom de la passerelle VPN de pairs, sélectionnez une passerelle de pairs existante ou cliquez sur Créer une passerelle VPN de pairs.

Si vous choisissez une passerelle de pairs existante, la console Google Cloud sélectionne le nombre de tunnels à configurer en fonction du nombre d'interfaces de pairs que vous avez configurées sur la passerelle de pairs existante.

Pour créer une passerelle de pairs, procédez comme suit :
1. Spécifiez un Nom pour la passerelle VPN de pairs.
2. Dans la section Interfaces de passerelle VPN de pairs, sélectionnez une ou deux interfaces. Vous pouvez connecter une paire de tunnels à chaque instance de VM Compute Engine. Pour obtenir des exemples de cette topologie, consultez la page Topologies des VPN haute disponibilité.
3. Dans le champ correspondant à chaque interface VPN de pairs, spécifiez l'adresse IP externe utilisée pour l'interface.
Dans la liste des routeurs cloud, sélectionnez ou créez un routeur cloud en spécifiant les options suivantes.
1. Pour créer un routeur Cloud Router, spécifiez les éléments suivants :
2. Un nom
3. Une description facultative
4. Un numéro ASN Google pour le nouveau routeur
Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.
1. Pour créer le routeur, cliquez sur Créer.
Dans la section Tunnels VPN, développez chaque élément pour renseigner les détails des tunnels VPN créés.
1. Dans la section Interface passerelle VPN de pairs associée, sélectionnez la combinaison d'interface passerelle VPN de pairs et d'adresse IP que vous souhaitez associer à ce tunnel et à l'interface VPN haute disponibilité. Cette interface doit correspondre à celle de votre routeur de pairs réel.
2. Spécifiez un nom pour le tunnel.
3. Spécifiez une Description facultative.
4. Spécifiez la version IKE. Nous vous recommandons d'utiliser IKEv2, le paramètre par défaut, si votre routeur de pairs est compatible. Pour autoriser le trafic IPv6, vous devez sélectionner IKEv2.
5. Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
6. Cliquez sur OK.
7. Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.
Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.

Configurer les sessions BGP

Cliquez sur Configurer la session BGP pour configurer la session BGP sur le routeur Cloud Router. Pour en savoir plus sur la création de sessions BGP, consultez la page Créer des sessions BGP.
Cliquez sur Enregistrer la configuration BGP.

La page de la console s'actualise et affiche les informations sur la passerelle VPN haute disponibilité, la passerelle VPN de pairs et le tunnel Cloud VPN.

gcloud

Créez une passerelle VPN haute disponibilité

Pour créer une passerelle VPN haute disponibilité, exécutez la commande suivante. Lorsque la passerelle est créée, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Remplacez les éléments suivants :

GW_NAME : nom de la passerelle
NETWORK : nom de votre réseau Google Cloud
REGION : région Google Cloud dans laquelle vous créez la passerelle et le tunnel
IP_STACK : option facultative à utiliser pour la pile IP. Indiquez IPV4_ONLY ou IPV4_IPV6. Si vous ne spécifiez pas de type de pile, celui appliqué par défaut est IPV4_ONLY.

La passerelle que vous créez ressemble à l'exemple de résultat suivant. Une adresse IPv4 externe est automatiquement attribuée à chaque interface de passerelle :

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Créer une ressource de passerelle VPN de pairs

Selon les besoins en haute disponibilité, vous pouvez créer une ou deux ressources de passerelle VPN de pairs.

Pour créer la première passerelle VPN de pairs, exécutez la commande suivante :

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Pour créer la deuxième passerelle VPN de pairs, exécutez la commande suivante :

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Remplacez les éléments suivants :

PEER_GW_NAME1 : nom représentant la première passerelle VPN de pairs
PEER_GW_NAME2 : nom représentant la deuxième passerelle VPN de pairs
PEER_GW_IP_1 : adresse IP externe de la première machine virtuelle Compute Engine
PEER_GW_IP_0 : adresse IP externe de la deuxième machine virtuelle Compute Engine

La ressource de passerelle VPN de pairs que vous avez créée ressemble à l'exemple suivant, et PEER_GW_IP_0 et PEER_GW_IP_1 affichent les adresses IP externes des machines virtuelles Compute Engine :

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Créer un routeur cloud

Pour créer un routeur Cloud Router, exécutez la commande suivante :

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Remplacez les éléments suivants :

ROUTER_NAME : nom du routeur Cloud Router dans la même région que la passerelle Cloud VPN.
REGION : région Google Cloud dans laquelle vous créez la passerelle et le tunnel
NETWORK : nom de votre réseau Google Cloud
GOOGLE_ASN : tout numéro ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas déjà dans le réseau de pairs. Ce numéro est utilisé pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement

Le résultat ressemble à ce qui suit :

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Ajouter des tunnels VPN

Créez quatre tunnels VPN, deux pour chaque interface sur la passerelle VPN haute disponibilité. Lorsque vous créez des tunnels VPN, spécifiez le côté pair des tunnels VPN comme étant la passerelle VPN externe que vous avez créée précédemment.

Un tunnel VPN doit se connecter à l'interface 0 de la passerelle VPN externe, et l'autre tunnel VPN doit se connecter à l'interface 1 de la passerelle VPN externe.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Remplacez les éléments suivants :

TUNNEL_NAME_IF0, TUNNEL_NAME_IF1, TUNNEL_NAME_IF2 et TUNNEL_NAME_IF3 : nom du tunnel ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement
PEER_GW_NAME : nom de la passerelle de pairs externe créée précédemment
PEER_EXT_GW_IF0 et PEER_EXT_GW_IF1 : numéro d'interface configuré précédemment sur la passerelle de pairs externe
IKE_VERS : 1 pour IKEv1 ou 2 pour IKEv2 ; si possible, utilisez la version IKEv2 du protocole IKE. Si votre passerelle de pairs nécessite IKEv1, remplacez --ike-version 2 par --ike-version 1. Pour autoriser le trafic IPv6, vous devez spécifier le protocole IKEv2.
SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée du tunnel partenaire que vous créez sur votre passerelle de pairs ; pour obtenir des recommandations, consultez la section Générer une clé pré-partagée sécurisée
GW_NAME : nom de la passerelle VPN haute disponibilité
INT_NUM_0 : numéro 0 pour la première interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.
INT_NUM_1 : numéro 1 pour la deuxième interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.

Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute" ou "region" pour cet appel de commande.

Le résultat de la commande ressemble à ceci :

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1

Configurer les sessions BGP

Pour en savoir plus sur la création de sessions BGP, consultez la page Créer des sessions BGP.

API

Créer une passerelle Cloud VPN haute disponibilité

Pour créer une passerelle VPN haute disponibilité, envoyez une requête POST à l'aide de la méthode vpnGateways.insert :

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Le champ stackType est facultatif. Les seules valeurs valides sont IPV4_IPV6 ou IPV4_ONLY. Si vous ne spécifiez pas de stackType, la valeur par défaut est IPV4_ONLY.

Créer une ressource de passerelle VPN de pairs

Pour créer une ressource de passerelle VPN externe, envoyez une requête POST à l'aide de la méthode externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }

Pour créer une passerelle VPN de pairs avec deux interfaces, ou deux passerelles VPN externes avec une interface chacune, utilisez le paramètre TWO_IPS_REDUNDANCY. Pour créer une passerelle VPN de pairs avec quatre interfaces, spécifiez quatre instances de l'ID d'interface et de l'adresse IP (ipAddress), et utilisez un type de redondance (redundancyType) FOUR_IPS_REDUNDANCY.

Créer un routeur cloud

Pour créer un routeur Cloud Router, envoyez une requête POST à l'aide de la méthode routers.insert :

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Ajouter des tunnels VPN

Pour créer quatre tunnels VPN, deux pour chaque interface sur la passerelle VPN haute disponibilité, effectuez une requête POST à l'aide de la méthode vpnTunnels.insert. Pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,9 %, vous devez créer un tunnel sur chaque interface de votre passerelle VPN haute disponibilité.

Pour créer le premier tunnel, exécutez la commande suivante :

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

Pour créer les autres tunnels, répétez cette commande, mais modifiez les paramètres suivants :
- name
- peerExternalGatewayInterface
- sharedSecret ou sharedSecretHash (si nécessaire)
- vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Configurer les sessions BGP

Pour en savoir plus sur la création de sessions BGP, consultez la page Créer des sessions BGP.

API

Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.

Pour créer une passerelle VPN haute disponibilité, envoyez une requête POST à l'aide de la méthode vpnGateways.insert :

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Le champ stackType est facultatif. Les seules valeurs valides sont IPV4_IPV6 ou IPV4_ONLY. Si vous ne spécifiez pas de stackType, la valeur par défaut est IPV4_ONLY.

Vérifier la configuration

Console

Pour vérifier la configuration, accédez à la page Résumé et rappel :

La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs.
Après la consultation des informations contenues sur cette page, cliquez sur OK.

gcloud

Pour vérifier la configuration du routeur Cloud Router, procédez comme suit :

Répertoriez les adresses IP BGP sélectionnées par routeur cloud Si vous avez ajouté une nouvelle interface à un routeur Cloud existant, les adresses IP BGP de la nouvelle interface sont répertoriées en indiquant le numéro d'index le plus élevé. Utilisez l'adresse IP BGP peerIpAddress pour configurer votre passerelle VPN de pairs :
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
Le résultat attendu pour un routeur Cloud Router gérant deux tunnels Cloud VPN (index 0 et index 1) doit ressembler à l'exemple suivant où les conditions suivantes sont remplies :
- GOOGLE_BGP_IP_0 représente l'adresse IP BGP de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPN interface 0 ; PEER_BGP_IP_0 représente l'adresse IP BGP de son pair.
- GOOGLE_BGP_IP_1 représente l'adresse IP BGP de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPN interface 1 ; PEER_BGP_IP_1 représente l'adresse IP BGP du pair.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

Vous pouvez également utiliser la commande suivante pour obtenir la liste complète de la configuration du routeur cloud :

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

La liste complète ressemble à l'exemple suivant:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET à l'aide de la méthode routers.getRouterStatus et utilisez un corps de requête vide :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Étapes suivantes

Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.