Conectar uma VPN de alta disponibilidade a VMs do Compute Engine

Nesta página, descrevemos como conectar um gateway de uma VPN de alta disponibilidade a instâncias de máquina virtual (VM) do Compute Engine com endereços IP externos hospedados no Google Cloud.

Estas instruções criam os seguintes recursos de VPN de alta disponibilidade:

Um gateway de VPN de alta disponibilidade
Um gateway de VPN de peering
Um par de túneis VPN do gateway da VPN de peering para cada instância de VM para ajudar a garantir alta disponibilidade.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Para diagramas dessa topologia, consulte VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas e VPN de alta disponibilidade para uma instância de VM do Compute Engine.
Para conhecer as práticas recomendadas antes de configurar o Cloud VPN, consulte Práticas recomendadas.
Para mais informações sobre o Cloud VPN, consulte a visão geral do Cloud VPN.
Para definições de termos usados nesta página, consulte Termos importantes.

Antes de começar

Revise informações sobre como o roteamento dinâmico funciona no Google Cloud.
Verifique se o gateway de VPN de peering é compatível com o protocolo de gateway de borda (BGP).
Verifique se você tem uma ou duas VMs do Compute Engine com endereços IP externos.

Configure os seguintes itens no Google Cloud para facilitar a configuração do Cloud VPN:

Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Acessar o seletor de projetos

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Se você estiver usando a CLI do Google Cloud, defina o ID do projeto com o comando a seguir. As instruções da gcloud nesta página supõem que você tenha definido o ID do projeto antes de emitir comandos.
```
gcloud config set project PROJECT_ID
```

É possível também visualizar um ID do projeto que já foi definido executando o seguinte comando:
```
gcloud config list --format='text(core.project)'
```

Criar uma rede e uma sub-rede VPC personalizadas

Antes de criar um par de túnel e gateway de VPN de alta disponibilidade, crie uma rede de nuvem privada virtual (VPC) e pelo menos uma sub-rede na região onde o gateway de VPN de alta disponibilidade reside:

Para criar uma rede VPC de modo personalizado (recomendado), consulte Como criar uma rede VPC de modo personalizado.
Para criar sub-redes, consulte Como trabalhar com sub-redes.

Para ativar o IPv6 para gateways de VPN de alta disponibilidade, ative a alocação de endereços internos IPv6 ao criar a VPC. Além disso, você precisa configurar as sub-redes para usar endereços internos IPv6.

Você também precisa configurar o IPv6 nas VMs na sub-rede.

Para criar uma rede VPC de modo personalizado com endereços IPv6 internos, consulte Criar uma rede VPC de modo personalizado com pelo menos uma sub-rede de pilha dupla.
Para criar uma sub-rede com o IPv6 ativado, consulte Adicionar uma sub-rede de pilha dupla.
Para ativar o IPv6 em uma sub-rede atual, consulte Converter uma sub-rede IPv4 em uma sub-rede de pilha dupla.
Para criar VMs com o IPv6 ativado, consulte Como configurar o IPv6 para instâncias e modelos de instância.

A sub-rede VPC precisa ser configurada para usar endereços IPv6 internos. Ao usar a gcloud CLI, você configura a sub-rede com a sinalização --ipv6-access-type=INTERNAL. O Cloud Router não divulga dinamicamente rotas para sub-redes configuradas para usar endereços IPv6 externos (--ipv6-access-type=EXTERNAL).

Para mais informações sobre como usar intervalos IPv6 internos na rede e nas sub-redes VPC, consulte Especificações do IPv6 interno.

Os exemplos neste documento também usam o modo de roteamento dinâmico global da VPC, que se comporta da seguinte maneira:

Todas as instâncias do Cloud Router aplicam as rotas to on-premises que aprendem a todas as sub-redes da rede VPC.
Rotas para todas as sub-redes na rede VPC são compartilhadas com roteadores no local.

Criar túneis e gateway de VPN de alta disponibilidade para instâncias de VM do Compute Engine

Siga as instruções nesta seção para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Papéis

roles/compute.networkAdmin

Console

Para criar uma conexão VPN pela primeira vez, use o assistente de configuração de VPN. O assistente de configuração de VPN inclui todas as etapas de configuração necessárias para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Criar um gateway de VPN de alta disponibilidade do Cloud

No Console do Google Cloud, acesse a página VPN.

Acessar a VPN
1. Se você estiver criando um gateway pela primeira vez, clique em Criar conexão VPN.
2. Se você tiver recursos do Cloud VPN, clique no assistente de configuração de VPN.
Selecione VPN de alta disponibilidade (HA).
Clique em Continuar.
Especifique um nome de gateway de VPN.
Na lista Rede, selecione uma rede atual ou a rede padrão.
Na lista Região, selecione a mesma região em que as VMs do Compute Engine estão localizadas.
Selecione um tipo de pilha para o gateway de VPN: IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).
Clique em Criar e continuar.

A página do console exibe as informações do gateway. Dois endereços IP externos são alocados automaticamente para cada uma das suas interfaces de gateway. Para etapas futuras de configuração, anote os detalhes da configuração do gateway.

Adicionar túneis de VPN

Na lista Gateway de VPN de peering, selecione VMs do Compute Engine com endereços IP externos.
Na lista Nome de gateway de VPN de peering, escolha um gateway de peering ou clique em Criar um novo gateway de VPN de peering.

Se você escolher um gateway de peering existente, o console do Google Cloud selecionará o número de túneis a serem configurados com base no número de interfaces de peering que você configurou no gateway de peering.

Para criar um gateway de peering, conclua as seguintes etapas:
1. Especifique um nome para o gateway de VPN de peering.
2. Na seção Interfaces de gateway de VPN de peering, selecione uma ou duas interfaces. É possível conectar um par de túneis a cada instância de VM do Compute Engine. Para exemplos dessa topologia, consulte Topologias de VPN de alta disponibilidade.
3. No campo de cada interface VPN de peering, especifique o endereço IP externo usado para essa interface.
Na lista do Cloud Router, selecione ou crie um Cloud Router especificando as seguintes opções.
1. Para criar um novo Cloud Router, especifique o seguinte:
2. Um Nome
3. Uma Descrição opcional
4. Um ASN do Google para o novo roteador
É possível usar qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que não estiver usando em outro lugar da rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterar o ASN posteriormente.
1. Para criar o roteador, clique em Criar.
Na seção Túneis de VPN, expanda cada item para preencher os detalhes dos túneis de VPN criados.
1. Na seção Interface de gateway de VPN de peering associada, selecione a combinação de interface de gateway de VPN de peering e de endereço IP que você quer associar a esse túnel e à interface de VPN de alta disponibilidade. Essa interface precisa corresponder à do roteador de peering real.
2. Especifique um Nome para o túnel.
3. Especifique uma descrição opcional.
4. Especifique a versão IKE. Recomendamos a IKEv2, a configuração padrão, se seu roteador de mesmo nível for compatível com ela. Para permitir o tráfego IPv6, selecione IKEv2.
5. Especifique uma chave IKE pré-compartilhada usando sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada do túnel de parceiro que você criar em gateway de peering. Se você não tiver configurado uma chave pré-compartilhada no gateway de VPN de peering e quiser gerar uma, clique em Gerar e copiar. Grave a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
6. Clique em Concluído.
7. Na página Criar VPN, repita as etapas de criação do túnel para todas as caixas de diálogo de túnel restantes.
Quando você tiver configurado todos os túneis, clique em Criar e continuar.

Configurar sessões do BGP

Clique em Configurar sessão do BGP para configurar a sessão do BGP no Cloud Router. Veja mais informações em Criar sessões do BGP.
Clique em Salvar configuração do BGP.

A página do console é atualizada e exibe as informações sobre o gateway da VPN de alta disponibilidade, o gateway da VPN de peering e as informações do túnel do Cloud VPN.

gcloud

Crie um gateway de VPN de alta disponibilidade

Para criar um gateway de VPN de alta disponibilidade, execute o comando a seguir. Quando o gateway é criado, dois endereços IPv4 externos são alocados automaticamente, um para cada interface de gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Substitua:

GW_NAME: o nome do gateway.
NETWORK: o nome da sua rede do Google Cloud.
REGION: a região do Google Cloud em que você cria o gateway e o túnel
IP_STACK: opcional: a pilha de IP a ser usada. Especifique IPV4_ONLY ou IPV4_IPV6. Se você não especificar essa sinalização, o tipo de pilha padrão será IPV4_ONLY.

O gateway criado é semelhante ao exemplo de saída a seguir. Um endereço IPv4 externo é atribuído automaticamente a cada interface de gateway:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Criar um recurso de gateway de VPN de peering

Dependendo das necessidades da alta disponibilidade, é possível criar um ou um par de recursos de gateway de VPN de peering.

Para criar o primeiro gateway de VPN de peering, execute o seguinte comando:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Para criar o segundo gateway de VPN de peering, execute o seguinte comando:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Substitua:

PEER_GW_NAME1: um nome que representa o primeiro gateway de VPN de peering
PEER_GW_NAME2: um nome que representa o segundo gateway de VPN de peering
PEER_GW_IP_1: o endereço IP externo da primeira máquina virtual do Compute Engine
PEER_GW_IP_0: o endereço IP externo da segunda máquina virtual do Compute Engine

O recurso de gateway de VPN de peering que você criou se parece com o exemplo a seguir, e PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos das máquinas virtuais do Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Criar um Cloud Router

Para criar um Cloud Router, execute o seguinte comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Substitua:

ROUTER_NAME: o nome do Cloud Router na mesma região do gateway do Cloud VPN.
REGION: a região do Google Cloud em que você cria o gateway e o túnel
NETWORK: o nome da sua rede do Google Cloud.
GOOGLE_ASN: qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que você ainda não esteja usando na rede de peering. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterá-lo depois.

O resultado será assim:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Adicionar túneis de VPN

Crie quatro túneis de VPN, dois para cada interface no gateway de VPN de alta disponibilidade. Ao criar túneis de VPN, especifique o lado de peering dos túneis de VPN como o gateway de VPN externo criado anteriormente.

Um túnel de VPN precisa se conectar a interface 0 do gateway de VPN externo e o outro túnel de VPN precisa se conectar a interface 1 do gateway de VPN externo.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Substitua:

TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2 e TUNNEL_NAME_IF3: um nome para o túnel; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente
PEER_GW_NAME: um nome do gateway de peering externo criado anteriormente.
PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: o número da interface configurado anteriormente no gateway de peering externo.
IKE_VERS: 1 para IKEv1 ou 2 para IKEv2; Se possível, use IKEv2 para a versão IKE. Se o gateway de peering exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, especifique o IKEv2.
SHARED_SECRET: sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel do parceiro criado no gateway de par; para recomendações, consulte Gerar uma chave pré-compartilhada forte
GW_NAME: o nome do gateway da VPN de alta disponibilidade
INT_NUM_0: o número 0 da primeira interface no gateway de VPN de alta disponibilidade que você criou anteriormente.
INT_NUM_1: o número 1 da segunda interface no gateway de VPN de alta disponibilidade que você criou anteriormente

Opcional: A --vpn-gateway-region é a região do gateway de VPN de alta disponibilidade para operar. Seu valor precisa ser igual a --region. Se não for especificada, esta opção será definida automaticamente. Ela modifica o valor padrão da propriedade compute ou region para esta invocação de comando.

A resposta ao comando é semelhante ao exemplo a seguir:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1

Configurar sessões do BGP

Veja mais informações em Criar sessões do BGP.

API

Criar um gateway de VPN de alta disponibilidade do Cloud

Para criar um gateway de VPN de alta disponibilidade, faça uma solicitação POSTusando o método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

O campo stackType é opcional. Os únicos valores válidos são IPV4_IPV6 ou IPV4_ONLY. Se você não especificar um stackType, o padrão será IPV4_ONLY.

Criar um recurso de gateway de VPN de peering

Para criar um recurso de gateway de VPN externa, faça uma solicitação POST usando o método externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }

Para criar um gateway de VPN de peering com duas interfaces ou dois gateways de VPN externos com uma interface cada, use a configuração TWO_IPS_REDUNDANCY. Para criar um gateway de VPN de peering com quatro interfaces, especifique quatro instâncias do ID da interface e ipAddress e use um redundancyType de FOUR_IPS_REDUNDANCY.

Criar um Cloud Router

Para criar um Cloud Router, faça uma solicitação POST usando o métodorouters.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Adicionar túneis de VPN

Para criar quatro túneis de VPN, dois para cada interface no gateway de VPN de alta disponibilidade, faça uma solicitação POST usando o método vpnTunnels.insert. Para um SLA de 99,9% de tempo de funcionamento, você precisa criar um túnel em cada interface do seu gateway de VPN de alta disponibilidade.

Para criar o primeiro túnel, execute o seguinte comando:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Se você planeja ativar o IPv6 na sessão do BGP associada a este túnel, especifique 2 para ikeVersion.

Para criar os outros túneis, repita esse comando, mas altere os seguintes parâmetros:
- name
- peerExternalGatewayInterface
- sharedSecret ou sharedSecretHash (se necessário)
- vpnGatewayInterface: altere para o valor da outra interface de gateway de VPN de alta disponibilidade. Neste exemplo, altere esse valor para 1

Configurar sessões do BGP

Veja mais informações em Criar sessões do BGP.

API

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos de API nas seções a seguir. Todos os valores de campo usados nestas seções são valores de exemplo.

Para criar um gateway de VPN de alta disponibilidade, faça uma solicitação POSTusando o método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

O campo stackType é opcional. Os únicos valores válidos são IPV4_IPV6 ou IPV4_ONLY. Se você não especificar um stackType, o padrão será IPV4_ONLY.

Verificar a configuração

Console

Para verificar a configuração, acesse a página Resumo e lembrete:

A seção Resumo desta tela contém informações sobre o gateway de VPN de alta disponibilidade e o perfil de gateway de VPN de peering. Para cada túnel de VPN, é possível ver o status do túnel da VPN, o nome da sessão do BGP, o status da sessão do BGP e o valor MED (prioridade da rota divulgada).
A seção Lembrete desta tela contém as etapas que você precisa concluir para ter uma conexão VPN totalmente operacional entre o Cloud VPN e a VPN de peering.
Depois de analisar as informações desta página, clique em OK.

gcloud

Para verificar a configuração do Cloud Router, siga estas etapas:

Liste os endereços IP do BGP escolhidos pelo Cloud Router. Caso você tenha adicionado uma nova interface a um Cloud Router atual, os endereços IP do BGP para a nova interface são listados com o maior número de índice. Use o endereço IP do BGP peerIpAddress para configurar o gateway de VPN de peering:
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
A saída esperada para um Cloud Router que gerencia dois túneis do Cloud VPN (índice 0 e índice 1) será semelhante ao exemplo a seguir, em que:
- GOOGLE_BGP_IP_0 representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0; PEER_BGP_IP_0 representa o endereço IP do BGP do seu par.
- GOOGLE_BGP_IP_1 representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1; PEER_BGP_IP_1 representa o endereço IP do BGP do seu par.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

É possível também usar o seguinte comando para uma lista completa da configuração do Cloud Router:

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

A lista completa vai ser semelhante ao exemplo a seguir:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Para verificar a configuração do Cloud Router, crie uma solicitação GET usando o método routers.getRouterStatus e use um corpo da solicitação vazio:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

A seguir

Para controlar quais endereços IP são permitidos para gateways de VPN de peering, consulte Restringir endereços IP para gateways de VPN de peering.