HA VPN zwischen Google Cloud-Netzwerken erstellen

Auf dieser Seite wird beschrieben, wie Sie zwei Virtual Private Cloud-Netzwerke (VPC) mithilfe einer HA VPN-Gateway-Konfiguration miteinander verbinden. Sie können zwei vorhandene VPC-Netzwerke miteinander verbinden, solange sich der primäre und der sekundäre Subnetz-IP-Adressbereich im jeweiligen Netzwerk nicht überschneiden.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Voraussetzungen

Allgemeine Richtlinien

Wenn Sie ein SLA von 99,99 % erhalten möchten, müssen Sie beim Erstellen dieser Konfiguration die folgenden Anforderungen erfüllen:

  • Erstellen Sie in jedem VPC-Netzwerk ein HA VPN-Gateway.
  • Beide HA VPN-Gateways müssen in derselben Google Cloud-Region sein.
  • Konfigurieren Sie in den einzelnen Gateway-Schnittstellen jeweils einen Tunnel.
  • Ordnen Sie Gateway-Schnittstellen wie im folgenden Hinweis beschrieben zu.

Obwohl es möglich ist, zwei VPC-Netzwerke über einen einzelnen Tunnel zwischen HA VPN-Gateways oder über klassische VPN-Gateways miteinander zu verbinden, wird diese Konfiguration nicht als hochverfügbar betrachtet und entspricht nicht der Verfügbarkeit des HA-SLA von 99,99 %.

Cloud Router erstellen

Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Berechtigungen verwalten

Da HA VPN-Gateways nicht immer Ihnen oder Ihrer Google Cloud-Organisation gehören, beachten Sie beim Erstellen eines HA VPN-Gateways die folgenden Berechtigungsanforderungen oder stellen Sie eine Verbindung zum Gateway eines anderen Inhabers her.

  • Wenn Sie der Inhaber des Projekts sind, in dem Sie ein HA VPN-Gateway erstellen, konfigurieren Sie die empfohlenen Berechtigungen.
  • Wenn Sie eine Verbindung zu einem HA VPN-Gateway herstellen möchten, das sich in einer Google Cloud-Organisation oder einem Projekt befindet, das nicht Ihnen gehört, müssen Sie vom Inhaber die compute.vpnGateways.use-Berechtigung anfordern.

Hinweis

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.

Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Installieren und initialisieren Sie das Cloud SDK.
  1. Wenn Sie das gcloud-Befehlszeilentool verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

        gcloud config set project PROJECT_ID
        
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:

        gcloud config list --format='text(core.project)'
        

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, erstellen Sie ein VPC-Netzwerk und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

  • Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
  • Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Zu Referenzzwecken wird in diesem Dokument ein HA VPN-Gateway in zwei verschiedenen VPC-Netzwerken erstellt:

NETWORK_1 enthält die folgenden Subnetze:

  • Ein Subnetz mit dem Namen SUBNET_NAME_1 in REGION_1, das den IP-Bereich RANGE_1 verwendet.
  • Ein Subnetz mit dem Namen SUBNET_NAME_2 in REGION_2, das den IP-Bereich RANGE_2 verwendet.

NETWORK_2 enthält die folgenden Subnetze:

  • Ein Subnetz mit dem Namen SUBNET_NAME_3 in REGION_1, das den IP-Bereich RANGE_3 verwendet.
  • Ein Subnetz mit dem Namen SUBNET_NAME_4 in REGION_3, das den IP-Bereich RANGE_4 verwendet.

Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, Tunnel und BGP-Sitzungen zu erstellen.

HA VPN-Gateways erstellen

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

So erstellen Sie ein HA VPN-Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    VPN aufrufen

  2. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.

  3. Wählen Sie den VPN-Einrichtungsassistenten aus.

  4. Wenn Sie bereits ein HA VPN-Gateway haben, wählen Sie die Optionsschaltfläche für dieses Gateway aus.

  5. Klicken Sie auf Weiter.

  6. Geben Sie einen VPN-Gateway-Namen an.

  7. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.

  8. Wählen Sie eine Region aus.

  9. Klicken Sie auf Erstellen und fortfahren.

  10. Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

gcloud

Führen Sie die folgende Befehlssequenz aus, um zwei HA VPN-Gateways zu erstellen:

  • Erstellen Sie in jedem Netzwerk in REGION_1 ein HA VPN-Gateway.

    Wenn ein Gateway erstellt wird, werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle. Notieren Sie sich diese IP-Adressen, um sie später in den Konfigurationsschritten zu verwenden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • GW_NAME_1 und GW_NAME_2: der Name jedes Gateways
    • NETWORK: der Name Ihres Google Cloud-Netzwerks
    • REGION durch die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen müssen.

    Erstes Gateway erstellen

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION_1
    

    Das von Ihnen erstellte Gateway sollte in etwa der folgenden Beispielausgabe entsprechen. Jeder Gateway-Schnittstelle wurde automatisch eine externe IP-Adresse zugewiesen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Zweites Gateway erstellen

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION_1
    

    Das von Ihnen erstellte Gateway sollte in etwa der folgenden Beispielausgabe entsprechen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-central1
    

API

Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Senden Sie zum Erstellen eines HA VPN-Gateways eine POST-Anfrage an die Methode vpnGateways.insert. Wiederholen Sie diesen Befehl, um das andere HA VPN-Gateway mit name, network, und region zu erstellen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Peer-VPN-Gateway-Ressource erstellen

Console

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

So erstellen Sie eine Peer-VPN-Gateway-Ressource:

  1. Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Google Cloud aus.
  2. Wählen Sie unter Projekt ein Google Cloud-Projekt aus, das das neue Gateway enthalten soll.
  3. Wählen Sie unter VPN-Gateway-Name das andere HA VPN aus, das Sie gleichzeitig konfigurieren.
  4. Weiter zu VPN-Tunnel erstellen

gcloud

Informationen zum Erstellen der Peer-VPN-Gateway-Ressource finden Sie unter gcloud Schritte zum Erstellen der HA VPN-Gateways.

API

Informationen zum Erstellen der Peer-VPN-Gateway-Ressource finden Sie in den API-Schritten unter HA VPN-Gateways erstellen.

Cloud Router erstellen

Console

Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

  1. Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:

    • einen Namen
    • eine optionale Beschreibung
    • eine Google-ASN für den neuen Router

    Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird, 64512 bis 65534, 4200000000 bis 4294967294. Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.

  2. Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

gcloud

Bei der folgenden Anleitung wird davon ausgegangen, dass Sie nicht bereits Cloud Router für die Verwaltung von BGP-Sitzungen für Ihre HA VPN-Tunnel erstellt haben. Sie können einen vorhandenen Cloud Router in jedem VPC-Netzwerk verwenden, solange der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Führen Sie die folgende Befehlssequenz aus, um zwei Cloud Router zu erstellen:

  • Erstellen Sie in jedem Netzwerk in REGION_1 einen Cloud Router.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • PEER_ASN_1 und PEER_ASN_2: jede private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie noch nicht verwenden. In diesem Beispiel wird ASN 65001 für beide Schnittstellen von ROUTER_NAME_1 und ASN 65002 für beide Schnittstellen von ROUTER_NAME_2 verwendet.
    • Ersetzen Sie alle anderen Optionen durch die Werte, die Sie zuvor verwendet haben.

    Ersten Router erstellen

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION_1 \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Zweiten Router erstellen

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION_1 \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Wenn Sie in den verschiedenen VPC-Netzwerken, in denen sich Ihre HA VPN-Gateways befinden, bereits Cloud Router erstellt haben, können Sie diese Cloud Router verwenden, anstatt neue zu erstellen. Wenn ein Cloud Router jedoch eine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist, erstellen Sie einen neuen Cloud Router.

Senden Sie zum Erstellen eines Cloud Routers eine POST-Anfrage an die Methode routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

VPN-Tunnel erstellen

Console

So erstellen Sie VPN-Tunnel:

  1. Wählen Sie unter Hochverfügbarkeit entweder ein Tunnelpaar oder einen Tunnel zum anderen HA VPN-Gateway aus:

    • Wenn Sie ein VPN-Tunnelpaar erstellen (empfohlen) auswählen, konfigurieren Sie die beiden Tunnel-Dialogfelde, die unten auf der Seite VPN erstellen angezeigt werden.

    • Wenn Sie Einzelnen VPN-Tunnel erstellen auswählen, konfigurieren Sie Ihren einzelnen Tunnel im weiteren Verlauf der Seite VPN erstellen. Sie müssen jedoch einen zweiten Tunnel erstellen, um ein SLA von 99,99 % für das andere HA VPN-Gateway zu erhalten. Sie können später einen zweiten Tunnel hinzufügen, wie am Ende dieses Vorgangs beschrieben.

  2. Führen Sie die folgenden Schritte entweder auf derselben Seite oder im Dialogfeld jedes Tunnels unten auf der Seite aus.

  3. Wenn Sie nur einen Tunnel konfigurieren, wählen Sie unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination für dieses Gateway aus, um sie der Gateway-Schnittstelle auf dem anderen HA-VPN-Gateway zuzuordnen. Bei Konfigurationen mit zwei Tunneln sind diese Option und die Option Zugehörige Peer-VPN-Gateway-Schnittstelle nicht verfügbar, da die richtigen Schnittstellenkombinationen für Sie konfiguriert werden.

    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Wir empfehlen die Verwendung der Standardeinstellung IKE v2, sofern diese von Ihrem Peer-Router unterstützt wird.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
  4. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Führen Sie die folgende Befehlssequenz aus, um zwei VPN-Tunnel auf jedem HA VPN-Gateway zu erstellen.

  • Der Tunnel, den Sie über interface 0 von GW_NAME_1 erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, die dem interface 0 von GW_NAME_2 in NETWORK_2 zugeordnet ist.
  • Der Tunnel über interface 1 von GW_NAME_1 muss eine Verbindung zur externen IP-Adresse herstellen, die mit interface 1 von GW_NAME_2 verknüpft ist.
  • Wenn Sie VPN-Tunnel für GW_NAME_1 in NETWORK_1 erstellen, geben Sie die Informationen für GW_NAME_2 in NETWORK_2 an. Google verbindet den Tunnel über interface 0 von GW_NAME_1 automatisch mit interface 0 von GW_NAME_2 und interface 1 von GW_NAME_1 mit interface 1 von GW_NAME_2.

    Zwei Tunnel auf GW_NAME_1 erstellen

    • Erstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von GW_NAME_1 in NETWORK_1.

      Ersetzen Sie in den aufgeführten Befehlen Folgendes:

      • TUNNEL_NAME_GW1_IF0 und TUNNEL_NAME_GW1_IF1: ein Name für jeden Tunnel, der von GW_NAME_1 stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • GW_NAME_2: der Wert von --peer-gcp-gateway.
      • REGION: die Region, in der sich GW_NAME_1 befindet
      • Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
      • IKE_VERS: 2 für IKEv2. Da beide Tunnel mit einem anderen HA VPN-Gateway verbunden sind, empfiehlt Google die Verwendung von IKEv2.
      • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), das derselbe vorinstallierte Schlüssel sein muss, den Sie für den entsprechenden Tunnel verwenden, der aus GW_NAME_2 am interface 0 und interface 1. Weitere Empfehlungen finden Sie unterStarken vorinstallierten Schlüssel generieren
      • INT_NUM_0: Die Nummer 0 für die erste Schnittstelle auf GW_NAME_1.
      • INT_NUM_1: Die Nummer 1 für die zweite Schnittstelle auf GW_NAME_1.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • --peer-gcp-gateway-region, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.

      Ersten Tunnel in GW_NAME_1 INT_NUM_0 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0\
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Zweiten Tunnel in GW_NAME_1 INT_NUM_1 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Zwei Tunnel auf GW_NAME_2 erstellen

    • Erstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von GW_NAME_2 in NETWORK_2.

      • Der Tunnel, den Sie über interface 0 von GW_NAME_2 erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, die dem interface 0 von GW_NAME_1 in NETWORK_1 zugeordnet ist.
      • Der Tunnel über interface 1 von GW_NAME_2 muss eine Verbindung zu der externen IP-Adresse herstellen, die interface 1 von GW_NAME_1 zugeordnet ist.

      Ersetzen Sie in den aufgeführten Befehlen Folgendes:

      • REGION: die Region, in der sich GW_NAME_2 befindet
      • Optional: --vpn-gateway-region ist die Region des VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
      • TUNNEL_NAME_GW2_IF0 und TUNNEL_NAME_GW2_IF1: ein Name für jeden Tunnel, der von GW_NAME_2 stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • GW_NAME_1: der Wert von --peer-gcp-gateway. Der Wert für --peer-gcp-gateway-region muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn nicht angegeben, wird der Wert automatisch festgelegt. In diesem Beispiel lautet die Region REGION_1.
      • IKE_VERS: 2 für IKEv2; Da diese Tunnel eine Verbindung zu den beiden Tunnel des vorherigen Schritts herstellen, müssen sie dieselbe IKE-Version verwenden (Google empfiehlt die Verwendung von IKEv2).
      • SHARED_SECRET: der vorinstallierte Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel des Partnertunnels entsprechen muss, den Sie in jeder Schnittstelle von GW_NAME_1 erstellt haben. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
      • GW_NAME_2 ist der Name des zweiten Gateways, das Sie im Schritt zur Gateway-Konfiguration konfiguriert haben.
      • INT_NUM_0: Die Nummer 0 für die erste Schnittstelle auf GW_NAME_2.
      • INT_NUM_1: Die Nummer 1 für die zweite Schnittstelle auf GW_NAME_2.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • --peer-gcp-gateway-region, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.

      Ersten Tunnel in GW_NAME_2 INT_NUM_0 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Zweiten Tunnel in GW_NAME_2 INT_NUM_1 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Warten Sie nach diesem Schritt einige Minuten und prüfen Sie dann den Status der einzelnen VPN-Tunnel.

    Der Zustand eines VPN-Tunnels ändert sich nur dann in Established, wenn der entsprechende Partnertunnel ebenfalls verfügbar und ordnungsgemäß konfiguriert ist. Eine gültige IKE-Version und die untergeordnete Sicherheitsverknüpfung (SA) müssen ebenfalls zwischen ihnen ausgehandelt werden.

    Beispiel: tunnel-a-to-b-if-0 in ha-vpn-gw-a kann nur festgelegt werden, wenn tunnel-b-to-a-if-0 in ha-vpn-gw-b konfiguriert und verfügbar ist.

API

Wenn Sie zwei VPN-Tunnel erstellen möchten, einen für jede Schnittstelle auf einem HA VPN-Gateway, senden Sie eine POST-Anfrage an die Methode vpnTunnels.insert.

  1. Führen Sie den folgenden Befehl aus, um den ersten Tunnel zu erstellen:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerIp": "192.0.2.1",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "974;va'oi3-1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    
  2. Wiederholen Sie den vorherigen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

    • name
    • peerIp
    • sharedSecret oder sharedSecretHash (falls erforderlich)
    • vpnGatewayInterface: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in 1.

    Wiederholen Sie diesen Schritt, um zwei Tunnel für Ihr zweites HA VPN-Gateway zu erstellen, die eine Verbindung zu Ihrem ersten HA VPN-Gateway herstellen. Ändern Sie hierbei aber die Parameter: Verwenden Sie die gcloud-Befehlsbeispiele als Referenz.

BGP-Sitzungen erstellen

Console

So erstellen Sie BGP-Sitzungen:

  1. Wenn Sie jetzt keine BGP-Sitzungen konfigurieren möchten, klicken Sie auf BGP-Sitzungen später konfigurieren. Dadurch wird die Seite Zusammenfassung und Erinnerung geöffnet.
  2. Wenn Sie jetzt BGP-Sitzungen konfigurieren möchten, klicken Sie im ersten VPN-Tunnel auf Konfigurieren.
  3. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
    1. Geben Sie einen Namen für die BGP-Sitzung an.
    2. Geben Sie die Peer-ASN an, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Optional: Geben Sie die Priorität der beworbenen Route an.
    4. Geben Sie die BGP-IP-Adresse von Cloud Router und die BGP-Peer-IP-Adresse an. Achten Sie darauf, dass die IP-Adressen die folgenden Anforderungen erfüllen:
      • Jede BGP-IP-Adresse muss zu demselben /30-CIDR-Bereich gehören, der in 169.254.0.0/16 passt.
      • Eine BGP-IP-Adresse darf nicht die erste (Netzwerk-) oder letzte (Broadcast-)Adresse im CIDR-Format /30 sein.
      • Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
    5. Optional: Klicken Sie auf die Liste Beworbene Routen und erstellen Sie benutzerdefinierte Routen.
    6. Klicken Sie auf Speichern und fortfahren.
  4. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und BGP-Peer-IP-Adresse.
  5. Wenn Sie alle BGP-Sitzungen konfiguriert haben, klicken Sie auf BGP-Konfiguration speichern.

gcloud

In diesem Abschnitt konfigurieren Sie Cloud Router-Schnittstellen und BGP-Peers. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen den IP-Bereichen und den Peer-IP-Adressen, die Sie für jede Schnittstelle angeben. Die erste Schnittstelle von router-1 hat beispielsweise die Peer-IP-Adresse 169.254.0.2. Diese stammt aus dem IP-Adressbereich der ersten Schnittstelle von router-2, nämlich 169.254.0.2/30.

Router Name der BGP-Schnittstelle IP-Bereich Peer-IP-Adresse Peer-ASN
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

Weitere Informationen finden Sie in der Anleitung in diesem Abschnitt, die ein Beispiel für die Ausgabe nach der Konfiguration enthält.

Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.

  1. Erstellen Sie auf ROUTER_NAME_1 eine BGP-Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF0.

    Diese BGP-Schnittstelle verwendet zwei BGP-IP-Adressen, um TUNNEL_NAME_GW1_IF0 auf interface 0 von GW_1 nach interface 0 von GW_2 zu verbinden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_0: ein Name für die BGP-Schnittstelle des Cloud Routers. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • IP_ADDRESS_1: Eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.1 verwendet.
    • MASK_LENGTH: 30; Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
    • PEER_NAME_GW1_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_1: Eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.2 verwendet.
    • PEER_ASN_2: Die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.

    BGP-Schnittstelle für TUNNEL_NAME_GW1_IF0 erstellen

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION_1
    

    BGP-Peer für TUNNEL_NAME_GW1_IF0 erstellen

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Erstellen Sie auf ROUTER_NAME_1 eine BGP-Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF1.

    Diese BGP-Schnittstelle verwendet zwei BGP-IP-Adressen, um TUNNEL_NAME_GW1_IF1 auf interface 1 von GW_1 nach interface 1 von GW_2 zu verbinden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, kann hilfreich sein.
    • IP_ADDRESS_2: Eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 verwendet.
    • MASK_LENGTH: 30; Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
    • PEER_NAME_GW1_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_2: Eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.2 verwendet.
    • PEER_ASN_2: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird; In diesem Beispiel wird die ASN-Nummer 65002 verwendet.

    BGP-Schnittstelle für TUNNEL_NAME_GW1_IF1 erstellen

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION_1
    

    BGP-Peer für TUNNEL_NAME_GW1_IF1 erstellen

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Prüfen Sie die Einstellungen für ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1  \
        --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Erstellen Sie auf ROUTER_NAME_2 eine BGP-Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF0.

    Diese BGP-Schnittstelle verwendet zwei BGP-IP-Adressen, um TUNNEL_NAME_GW2_IF0 auf interface 0 von GW_2 nach interface 0 von GW_1 zu verbinden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_0: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, kann hilfreich sein.
    • IP_ADDRESS_3: die BGP-IP-Adresse, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurde. In diesem Beispiel wird 169.254.0.2 verwendet.
    • MASK_LENGTH: 30; Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
    • PEER_NAME_GW2_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_3: Die IP-Adresse, die zuvor für das Peer-Gateway und die -Schnittstelle verwendet wurde. In diesem Beispiel wird 169.254.0.1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.

    BGP-Schnittstelle für TUNNEL_NAME_GW2_IF0 erstellen

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION_1
    

    BGP-Peer für TUNNEL_NAME_GW2_IF0 erstellen

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Erstellen Sie auf ROUTER_NAME_2 eine BGP-Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF1.

    Diese BGP-Schnittstelle verwendet zwei BGP-IP-Adressen, um TUNNEL_NAME_GW2_IF1 auf interface 1 von GW_2 nach interface 1 von GW_1 zu verbinden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, kann hilfreich sein.
    • IP_ADDRESS_4: die BGP-IP-Adresse, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurde. In diesem Beispiel wird 169.254.1.2 verwendet.
    • MASK_LENGTH: 30; Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
    • PEER_NAME_GW2_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_4: Eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.

    BGP-Schnittstelle für TUNNEL_NAME_GW2_IF1 erstellen

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    BGP-Peer für TUNNEL_NAME_GW2_IF1 erstellen

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Prüfen Sie die Einstellungen für ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION_1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Zum Erstellen einer BGP-Schnittstelle von Cloud Router senden Sie entweder eine PATCH- oder UPDATE-Anfrage an die Methode routers.patch oder die routers.update. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router. Erstellen Sie eine BGP-Schnittstelle für jeden VPN-Tunnel auf dem HA VPN-Gateway.

    Die von Ihnen angegebenen BGP-IP-Adressbereiche müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. Führen Sie zum Hinzufügen eines BGP-Peers zu einem Cloud Router für jeden VPN-Tunnel eine POST-Anfrage an die Methode routers.insert aus. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

    Verwenden Sie die folgenden API-Befehle, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "peerAsn": "65002",
         "peerIpAddress": "169.254.0.2",
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

Konfiguration prüfen

Console

Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  2. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen. Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

Informationen zum Prüfen der Cloud Router-Konfigurationen finden Sie in den Bestätigungsschritten auf dem Tab gcloud in BGP-Sitzungen erstellen.

API

Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET mit der Methode routers.getRouterStatus und verwenden Sie einen leeren Anfragetext:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Console

Wenn Sie ein SLA mit 99,99 % Verfügbarkeit erhalten möchten, konfigurieren Sie auf jeder Seite einer HA VPN-zu-HA VPN-Gateway-Konfiguration einen Tunnel auf jeder HA VPN-Schnittstelle.

Wenn Sie einen Tunnel auf einem HA VPN-Gateway zu einem anderen HA VPN-Gateway konfiguriert haben, aber ein SLA mit einer Verfügbarkeit von 99,99 % erhalten möchten, müssen Sie einen zweiten Tunnel konfigurieren.

Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem anderen HA VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.

Priorität der beworbenen Route festlegen (optional)

Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.

Verwenden Sie die Konfiguration dokumentiert unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind für Aktiv/Aktiv-Routingkonfigurationen, bei denen die Routenprioritäten für das Advertising von den beiden Tunneln auf beiden Seiten übereinstimmen. Wenn Sie die Priorität der beworbenen Route (--advertised-route-priority) weglassen, führt dies zu denselben Routenprioritäten für das Advertising für beide BGP-Peers.

FürAktiv/Passiv-Routingkonfigurationen können Sie auch die beworbene Routenpriorität der to Google Cloud-Routen steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt, indem Sie die beworbene Routenpriorität (--advertised-route-priority) festlegen, wenn Sie einen BGP-Peer hinzufügen oder aktualisieren. Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung und den entsprechenden VPN-Tunnel als für die andere BGP-Sitzung und den VPN-Tunnel fest.

Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.

Sie können die beworbenen Routen auch mit benutzerdefiniertem Advertising optimieren:

  • Fügen Sie das Flag --advertisement-mode=CUSTOM (gcloud) oder das Flag advertiseMode: custom (API) hinzu.
  • Geben Sie IP-Adressbereiche mit dem Flag --set-advertisement-ranges (gcloud) oder mit dem Flag advertisedIpRanges (API) an.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Weitere Informationen finden Sie hier:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
  3. Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Eine Organisationsrichtlinieneinschränkung zur Einschränkung der Peer-VPN-Gateway-IP-Adressen anwenden

ppeeSie können eine Google Cloud-Organisationsrichtlinieneinschränkung erstellen, die eine Reihe von IP-Adressen definiert, die für Peer-VPN-Gateways über klassische VPN- oder HA VPN-Tunnel zugelassen oder verweigert werden. Diese Einschränkung enthält eine Liste zugelassener oder gesperrter Peer-IP-Adressen, die für Cloud VPN-Tunnel gilt, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie unter Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken.

Verwenden Sie zum Erstellen einer Organisationsrichtlinie und zum Verknüpfen mit einer Organisation, einem Ordner oder einem Projekt die in den nächsten Abschnitten aufgeführten Beispiele und führen Sie die Schritte unter Einschränkungen verwenden aus.

Erforderliche Berechtigungen

Zum Festlegen einer Peer-IP-Einschränkung auf Organisations- oder Projektebene benötigen Sie die Rolle „Organisationsrichtlinienadministrator“ (roles/orgpolicy.policyAdmin) für Ihre Organisation.

Beschränkt die Verbindung von bestimmten Peer-IP-Adressen

Führen Sie die folgenden Schritte aus, um nur bestimmte Peer-IP-Adressen über einen Cloud VPN-Tunnel zuzulassen:

  1. Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
    gcloud organizations list

    Die Befehlsausgabe sollte folgendermaßen aussehen:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert, wie im folgenden Beispiel gezeigt:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Legen Sie die Organisationsrichtlinie mit dem gcloud-Befehl set-policy des Resource Managers fest. Übergeben Sie die JSON-Datei und verwenden Sie die ORGANIZATION_ID aus dem vorherigen Schritt.

Beschränkt die Verbindung von allen Peering-IP-Adressen

Führen Sie die Schritte in dieser Beispieleinschränkung aus, um die Erstellung eines neuen CloudVPN-Tunnels zu verbieten.

  1. Suchen Sie Ihre Organisations-ID oder die ID für den Knoten in Ihrer Ressourcenhierarchie, für den Sie eine Richtlinie festlegen möchten.
  2. Erstellen Sie eine JSON-Datei wie im folgenden Beispiel.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Übergeben Sie die JSON-Datei mit dem gleichen Befehl, den Sie zum Einschränken von bestimmten Peer-IP-Adressen verwenden würden.

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.