Crear una VPN con alta disponibilidad entre las redes de Google Cloud

En esta página, se describe cómo conectar dos redes de nube privada virtual (VPC) juntas mediante una configuración de puerta de enlace de VPN con alta disponibilidad. Puedes conectar dos redes de VPC existentes siempre que los rangos de direcciones IP de la subred principal y secundaria de cada red no se superpongan.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Requisitos

Lineamientos generales

Para asegurarte de recibir un ANS del 99.99%, asegúrate de cumplir con los siguientes requisitos cuando crees esta configuración:

  • Coloca una puerta de enlace de VPN con alta disponibilidad en cada red de VPC.
  • Coloca ambas puertas de enlace de VPN con alta disponibilidad en la misma región de Google Cloud.
  • Configura un túnel en cada interfaz de cada puerta de enlace.
  • Haz coincidir las interfaces de puerta de enlace como se describe en la siguiente nota.

Aunque es posible conectar dos redes de VPC juntas con un solo túnel entre puertas de enlace de VPN con alta disponibilidad o mediante puertas de enlace de VPN clásica, este tipo de configuración no se considera de alta disponibilidad y no se cumple la alta disponibilidad (ANS) del 99.99%.

Crea Cloud Routers

Cuando configuras una puerta de enlace de VPN con alta disponibilidad nueva, puedes crear un Cloud Router nuevo o puedes usar un Cloud Router existente con túneles de Cloud VPN existentes o adjuntos de VLAN. Sin embargo, el Cloud Router que usas no debe administrar una sesión de BGP para un adjunto de VLAN asociado con una conexión de interconexión de socio, debido a los requisitos específicos del ASN.

Administra permisos

Debido a que las puertas de enlace de VPN con alta disponibilidad no siempre te pertenecen a ti o a tu organización de Google Cloud, ten en cuenta los siguientes requisitos de permisos cuando crees una puerta de enlace de VPN con alta disponibilidad o te conectes a una que sea propiedad de otra persona:

  • Si eres el propietario del proyecto en el que creas una puerta de enlace de VPN con alta disponibilidad, configura los permisos recomendados en ella.
  • Si deseas conectarte a una puerta de enlace de VPN con alta disponibilidad que reside en una organización o proyecto de Google Cloud que no es propietario, solicita el permiso compute.vpnGateways.use al propietario.

Antes de comenzar

Revisa la información sobre cómo funciona el enrutamiento dinámico en Google Cloud.

Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico sea compatible con el protocolo de puerta de enlace fronteriza (BGP).

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas la herramienta de línea de comandos de gcloud, configura tu ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:

        gcloud config list --format='text(core.project)'
        

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN con alta disponibilidad y un par de túneles, crea una red de VPC y al menos una subred en la región donde reside la puerta de enlace de VPN con alta disponibilidad:

En los ejemplos de este documento, también se usa el modo de enrutamiento dinámico global de VPC, que se comporta de la siguiente manera:

  • Todas las instancias de Cloud Router aplican las rutas to on-premises que aprenden a todas las subredes de la red de VPC.
  • Las rutas a todas las subredes en la red de VPC se comparten con los routers locales.

Como referencia, en este documento se crea una puerta de enlace de VPN con alta disponibilidad en cada una de dos redes de VPC diferentes:

NETWORK_1 contiene las siguientes subredes:

  • Una subred llamada SUBNET_NAME_1 en REGION_1 que usa el rango de IP RANGE_1
  • Una subred llamada SUBNET_NAME_2 en REGION_2 que usa el rango de IP RANGE_2

NETWORK_2 contiene las siguientes subredes:

  • Una subred llamada SUBNET_NAME_3 en REGION_1 que usa el rango de IP RANGE_3
  • Una subred llamada SUBNET_NAME_4 en REGION_3 que usa el rango de IP RANGE_4

Crea dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí

Sigue las instrucciones de esta sección para crear una puerta de enlace de VPN con alta disponibilidad, un recurso de puerta de enlace de VPN de par, túneles y sesiones de BGP.

Crea las puertas de enlace de VPN con alta disponibilidad

Console

En el Asistente de configuración de VPN, se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Para crear una puerta de enlace de VPN con alta disponibilidad, sigue estos pasos:

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.

  3. Selecciona el Asistente de configuración de VPN.

  4. Si tienes una puerta de enlace de VPN con alta disponibilidad existente, selecciona el botón de opción para esa puerta de enlace.

  5. Haz clic en Continuar.

  6. Especifica un Nombre de puerta de enlace de VPN.

  7. En Red de VPC, selecciona una red existente o la red predeterminada.

  8. Selecciona una Región.

  9. Haz clic en Crear y continuar.

  10. La página de la consola se actualiza y muestra la información de la puerta de enlace. Se asignan dos direcciones IP externas de forma automática para cada una de las interfaces de la puerta de enlace. Para los próximos pasos de configuración, toma nota de los detalles de la configuración de la puerta de enlace.

gcloud

Para crear dos puertas de enlace de VPN con alta disponibilidad, completa la siguiente secuencia de comandos:

  • Crea una puerta de enlace de VPN con alta disponibilidad en cada red en REGION_1.

    Cuando se crea cada puerta de enlace, se asignan de forma automática dos direcciones IP externas, una para cada interfaz de puerta de enlace. Toma nota de estas direcciones IP para usarlas más adelante en los pasos de configuración.

    En los siguientes comandos, reemplaza lo siguiente:

    • GW_NAME_1 y GW_NAME_2: el nombre de cada puerta de enlace
    • NETWORK: el nombre de tu red de Google Cloud
    • REGION: la región de Google Cloud en la que necesitas crear la puerta de enlace y el túnel

    Crea la primera puerta de enlace

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION_1
    

    La puerta de enlace que crees debe ser similar al siguiente resultado de ejemplo. Se asignó de forma automática una dirección IP externa a cada interfaz de puerta de enlace:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Crea la segunda puerta de enlace

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION_1
    

    La puerta de enlace que crees debe ser similar al siguiente resultado de ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-central1
    

API

Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa los comandos de la API en las siguientes secciones. Todos los valores de campo que se usan en estas secciones son valores de ejemplo.

Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST al método vpnGateways.insert. Repite este comando a fin de crear la otra puerta de enlace de VPN con alta disponibilidad con valores de name, network y region para la otra puerta de enlace.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

Console

El recurso de puerta de enlace de VPN de intercambio de tráfico representa la puerta de enlace que no es de Google Cloud en Google Cloud.

Para crear un recurso de puerta de enlace de VPN de intercambio de tráfico, sigue estos pasos:

  1. En la página Crear una VPN, en Puerta de enlace de VPN de intercambio de tráfico, selecciona Google Cloud.
  2. En Proyecto, selecciona un proyecto de Google Cloud que contendrá la puerta de enlace nueva.
  3. En Nombre de puerta de enlace de VPN, elige la otra VPN con alta disponibilidad que configuras al mismo tiempo.
  4. Continúa con la sección Crea túneles VPN.

gcloud

Si quieres crear el recurso de puerta de enlace de VPN de par, consulta los pasos de gcloud a fin de crear las puertas de enlace de VPN con alta disponibilidad.

API

Si quieres crear el recurso de puerta de enlace de VPN de par, consulta los pasos de la API a fin de crear las puertas de enlace de VPN con alta disponibilidad.

Crea Cloud Routers

Console

En Cloud Router, si aún no lo hiciste, crea un Cloud Router y especifica las siguientes opciones. Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio.

  1. Para crear un Cloud Router nuevo, especifica lo siguiente:

    • Un nombre
    • Una descripción opcional
    • Un ASN de Google para el router nuevo

    Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.

  2. Para crear el router nuevo, haz clic en Crear.

gcloud

En las siguientes instrucciones, se da por hecho que aún no creaste routers de Cloud Router a fin de usarlos en la administración de sesiones de BGP para los túneles VPN con alta disponibilidad. Puedes usar un Cloud Router existente en cada red de VPC, a menos que esos routers administren una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio.

Para crear dos Cloud Routers, completa la siguiente secuencia de comandos:

  • Crea un Cloud Router en cada red en REGION_1.

    En los siguientes comandos, reemplaza lo siguiente:

    • PEER_ASN_1 y PEER_ASN_2: cualquier ASN privado (de 64512 a 65534, de 42000000004294967294) que no estés usando. En este ejemplo se usa ASN 65001 en ambas interfaces de ROUTER_NAME_1 y ASN 65002 en ambas interfaces de ROUTER_NAME_2.
    • Reemplaza todas las otras opciones por los valores que usaste antes.

    Crea el primer router

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION_1 \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    El router que crees debe ser similar al siguiente resultado de ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Crea el segundo router

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION_1 \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    El router que crees debe ser similar al siguiente resultado de ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Si ya creaste un Cloud Router en cada una de las redes de VPC en las que reside cada una de las puertas de enlace de VPN con alta disponibilidad, puedes usar esos Cloud Routers en lugar de crear nuevos. Sin embargo, si un Cloud Router administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio, crea un Cloud Router nuevo.

Para crear un Cloud Router, realiza una solicitud POST al método routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Crea túneles VPN

Console

Para crear túneles VPN, sigue estos pasos:

  1. En Alta disponibilidad, selecciona un par de túneles o un túnel a la otra puerta de enlace de VPN con alta disponibilidad:

    • Si seleccionas Crear un par de túneles VPN (recomendado), configura los dos diálogos de túnel que aparecen en la parte inferior de la página Crear una VPN.

    • Si seleccionas Crear un solo túnel VPN, configurarás un solo túnel en el resto de la pantalla Crear una VPN. Sin embargo, para obtener un ANS del 99.99% a la otra puerta de enlace de VPN con alta disponibilidad, debes crear un segundo túnel. Puedes agregar un segundo túnel más tarde, como se describe al final de este procedimiento.

  2. Completa los siguientes pasos en la misma página o en el diálogo de cada túnel al final de la página.

  3. Si configuras un túnel, en la Interfaz de puerta de enlace de Cloud VPN asociada, selecciona la combinación de interfaz de VPN con alta disponibilidad y dirección IP para esta puerta de enlace a fin de asociarla a la interfaz de puerta de enlace en la otra puerta de enlace de VPN con alta disponibilidad. En configuraciones de dos túneles, esta opción y la opción Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada no están disponibles porque las combinaciones de interfaz correctas ya están configuradas.

    1. Especifica un Nombre para el túnel.
    2. Especifica una Descripción opcional.
    3. Especifica la versión de IKE. Recomendamos IKE v2, la configuración predeterminada, si tu router de intercambio de tráfico lo admite.
    4. Especifica una Clave precompartida de IKE con tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico. Si no configuraste una clave precompartida en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar una, haz clic en Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
    5. Haz clic en Listo.
    6. En la página Crear VPN, repite los pasos de creación del túnel para cualquier cuadro de diálogo de túnel restante.
  4. Cuando hayas configurado todos los túneles, haz clic en Crear y continuar.

gcloud

Para crear dos túneles VPN en cada puerta de enlace de VPN con alta disponibilidad, completa la secuencia de comandos siguiente.

  • El túnel que crees a partir de interface 0 de GW_NAME_1 debe conectarse a la dirección IP externa asociada con interface 0 de GW_NAME_2 en NETWORK_2.
  • El túnel de interface 1 de GW_NAME_1 debe conectarse a la dirección IP externa asociada con interface 1 de GW_NAME_2.
  • Cuando crees túneles VPN en GW_NAME_1 en NETWORK_1, especifica la información para GW_NAME_2 en NETWORK_2. Google conecta de forma automática el túnel de interface 0 de GW_NAME_1 a interface 0 de GW_NAME_2 y interface 1 de GW_NAME_1 a interface 1 de GW_NAME_2.

    Crea dos túneles en GW_NAME_1

    • Crea dos túneles VPN, uno en cada interfaz, de GW_NAME_1 en NETWORK_1.

      En los siguientes comandos, reemplaza lo siguiente:

      • TUNNEL_NAME_GW1_IF0 y TUNNEL_NAME_GW1_IF1: un nombre para cada túnel que se origina en GW_NAME_1; incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
      • GW_NAME_2: Es el valor de --peer-gcp-gateway.
      • REGION: Es la región en la que se encuentra GW_NAME_1.
      • --vpn-gateway-region: Es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
      • IKE_VERS: 2 para IKEv2; porque ambos túneles se conectan a otra puerta de enlace de VPN con alta disponibilidad, Google recomienda usar IKEv2.
      • SHARED_SECRET: Tu clave precompartida (secreto compartido), que debe ser la misma clave precompartida que usas para el túnel correspondiente creado a partir de GW_NAME_2 en interface 0 e interface 1. Si deseas obtener recomendaciones, consulta Genera una clave precompartida y segura.
      • INT_NUM_0: Es el número 0 para la primera interfaz en GW_NAME_1.
      • INT_NUM_1: Es el número 1 para la segunda interfaz en GW_NAME_1.
      • Si peer-gcp-gateway está en un proyecto diferente del túnel VPN y la puerta de enlace de VPN local, usa la opción --peer-gcp-gateway como un URI completo o como un nombre relativo para especificar el proyecto. La siguiente opción de ejemplo es un nombre relativo:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • --peer-gcp-gateway-region, que es la región de la puerta de enlace de VPN con alta disponibilidad del lado del par a la que está conectado el túnel VPN, debe estar en la misma región que el túnel VPN. Si no se especifica, la región se configura de forma automática.

      Crea el primer túnel en GW_NAME_1 INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0\
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Crea el segundo túnel en GW_NAME_1 INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Crea dos túneles en GW_NAME_2

    • Crea dos túneles VPN, uno en cada interfaz, de GW_NAME_2 en NETWORK_2.

      • El túnel que crees a partir de interface 0 de GW_NAME_2 debe conectarse a la dirección IP externa asociada con interface 0 de GW_NAME_1 en NETWORK_1.
      • El túnel de interface 1 de GW_NAME_2 debe conectarse a la dirección IP externa asociada con interface 1 de GW_NAME_1.

      En los siguientes comandos, reemplaza lo siguiente:

      • REGION: Es la región en la que se encuentra GW_NAME_2.
      • --vpn-gateway-region: Es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
      • TUNNEL_NAME_GW2_IF0 y TUNNEL_NAME_GW2_IF1: un nombre para cada túnel que se origina en GW_NAME_2; incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
      • GW_NAME_1: Es el valor de --peer-gcp-gateway; el valor de --peer-gcp-gateway-region debe estar en la misma región que el túnel VPN. Si no se especifica, el valor se establece de forma automática. Para este ejemplo, la región es REGION_1.
      • IKE_VERS: 2 para IKEv2; debido a que estos túneles se conectan a los dos túneles creados en el paso anterior, deben usar la misma versión del IKE (Google recomienda usar IKEv2)
      • SHARED_SECRET: Es tu clave precompartida (secreto compartido), que debe corresponder con la clave precompartida para el túnel del socio que creaste en cada interfaz de GW_NAME_1; a fin de obtener recomendaciones, consulta Genera una clave precompartida segura
      • GW_NAME_2: Es el nombre de la segunda puerta de enlace que configuraste en el paso de configuración de la puerta de enlace
      • INT_NUM_0: Es el número 0 para la primera interfaz en GW_NAME_2.
      • INT_NUM_1: Es el número 1 para la segunda interfaz en GW_NAME_2.
      • Si peer-gcp-gateway está en un proyecto diferente del túnel VPN y la puerta de enlace de VPN local, usa la opción --peer-gcp-gateway como un URI completo o como un nombre relativo para especificar el proyecto. La siguiente opción de ejemplo es un nombre relativo:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • --peer-gcp-gateway-region, que es la región de la puerta de enlace de VPN con alta disponibilidad del lado del par a la que está conectado el túnel VPN, debe estar en la misma región que el túnel VPN. Si no se especifica, la región se configura de forma automática.

      Crea el primer túnel en GW_NAME_2 INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Crea el segundo túnel en GW_NAME_2 INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Después de este paso, espera unos minutos y, luego, verifica el estado de cada túnel VPN.

    El estado de un túnel VPN cambia a Established solo cuando el túnel del socio correspondiente también está disponible y configurado de forma correcta. También se debe negociar entre estos un IKE y una asociación de seguridad (SA) secundaria válidos.

    Por ejemplo, tunnel-a-to-b-if-0 en ha-vpn-gw-a solo se puede establecer si tunnel-b-to-a-if-0 en ha-vpn-gw-b está configurado y disponible.

API

Si deseas crear dos túneles VPN, uno para cada interfaz en una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST al método vpnTunnels.insert.

  1. Para crear el primer túnel, ejecuta el siguiente comando:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerIp": "192.0.2.1",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "974;va'oi3-1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    
  2. Para crear el segundo túnel, repite el comando anterior, pero cambia los siguientes parámetros:

    • name
    • peerIp
    • sharedSecret o sharedSecretHash (si es necesario)
    • vpnGatewayInterface: cambia al valor de la otra interfaz de puerta de enlace de VPN con alta disponibilidad. En este ejemplo, cambia este valor a 1.

    Repite todo este paso a fin de crear dos túneles para la segunda puerta de enlace de VPN con alta disponibilidad que se conecten a la primera puerta de enlace de VPN con alta disponibilidad, pero cambia los parámetros con los ejemplos del comando de gcloud como referencia.

Crea sesiones de BGP

Console

Para crear sesiones de BGP, sigue estos pasos:

  1. Si no quieres configurar las sesiones de BGP ahora, haz clic en Configurar sesiones de BGP más tarde, que abre la página Resumen y recordatorio.
  2. Si quieres configurar las sesiones de BGP ahora, haz clic en Configurar en el primer túnel VPN.
  3. En la página Crear una sesión de BGP, completa los siguientes pasos:
    1. Especifica un Nombre para la sesión de BGP.
    2. Especifica el ASN de intercambio de tráfico configurado para la puerta de enlace de VPN de intercambio de tráfico.
    3. Especifica la Prioridad de ruta anunciada (opcional).
    4. Especifica la dirección IP de BGP de Cloud Router y la dirección IP de par BGP. Asegúrate de que las direcciones IP cumplan con estos requisitos:
      • Cada dirección IP de BGP debe pertenecer al mismo CIDR /30 que se ajusta a 169.254.0.0/16.
      • Cada dirección IP de BGP no puede ser la primera dirección (red) o la última (transmisión) en el CIDR /30.
      • Cada rango de direcciones IP de BGP para cada sesión de BGP debe ser único entre todos los Cloud Routers en todas las regiones de una red de VPC.
    5. Haz clic en la lista Rutas anunciadas y crea rutas personalizadas (opcional).
    6. Haga clic en Guardar y continuar.
  4. Repite los pasos anteriores para el resto de los túneles configurados en la puerta de enlace. Para cada túnel, usa una dirección IP de BGP de Cloud Router diferente y una dirección IP de par de BGP.
  5. Cuando hayas configurado todas las sesiones de BGP, haz clic en Guardar configuración de BGP.

gcloud

En esta sección, configurarás interfaces y pares de BGP de Cloud Router. En la siguiente tabla, se proporciona una descripción general de estas interfaces y apps similares. Muestra la relación entre los rangos de IP y las direcciones IP de intercambio de tráfico que especifiques para cada interfaz. Por ejemplo, la primera interfaz de router-1 tiene una dirección IP de par de 169.254.0.2. Esta proviene del rango de direcciones IP de la primera interfaz de router-2, que es 169.254.0.2/30.

Router Nombre de la interfaz de BGP Rango de IP Dirección IP de par ASN del par
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

Para obtener más detalles, consulta las instrucciones en esta sección, que incluyen resultados de muestra después de la configuración.

Para crear interfaces de Cloud Router y pares BGP, completa la siguiente secuencia de comandos.

  1. Crea una interfaz de BGP y un par de BGP en ROUTER_NAME_1 para el túnel TUNNEL_NAME_GW1_IF0.

    Esta interfaz de BGP usa dos direcciones IP de BGP para conectar TUNNEL_NAME_GW1_IF0 en interface 0 de GW_1 a interface 0 de GW_2.

    En los siguientes comandos, reemplaza lo siguiente:

    • ROUTER_1_INTERFACE_NAME_0: Es un nombre para la interfaz de BGP de Cloud Router usar un nombre relacionado con TUNNEL_NAME_GW1_IF0 es útil.
    • IP_ADDRESS_1: Es una dirección IP de BGP del bloque 169.254.0.0/16 que no está en uso; en este ejemplo se usa 169.254.0.1.
    • MASK_LENGTH: 30, cada sesión de BGP en el mismo Cloud Router debe usar un CIDR único /30 del bloque 169.254.0.0/16.
    • PEER_NAME_GW1_IF0: Es un nombre que describe el par de BGP, es útil usar un nombre relacionado con TUNNEL_NAME_GW1_IF0.
    • PEER_IP_ADDRESS_1: Es una dirección IP de BGP del bloque 169.254.0.0/16 que no está en uso; en este ejemplo se usa 169.254.0.2.
    • PEER_ASN_2: Es el número ASN que se usa para todas las interfaces en el otro Cloud Router ROUTER_NAME_2; en este ejemplo, se usa el número ASN 65002.

    Crea una interfaz de BGP para TUNNEL_NAME_GW1_IF0

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION_1
    

    Crea un par BGP para TUNNEL_NAME_GW1_IF0

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Crea una interfaz de BGP y un par de BGP en ROUTER_NAME_1 para el túnel TUNNEL_NAME_GW1_IF1.

    Esta interfaz de BGP usa dos direcciones IP de BGP para conectar TUNNEL_NAME_GW1_IF1 en interface 1 de GW_1 a interface 1 de GW_2.

    En los siguientes comandos, reemplaza lo siguiente:

    • ROUTER_1_INTERFACE_NAME_1: Es un nombre de interfaz de BGP de Cloud Router; es útil usar un nombre relacionado con TUNNEL_NAME_GW1_IF1.
    • IP_ADDRESS_2: Es una dirección IP de BGP del bloque 169.254.0.0/16 que no está en uso; en este ejemplo se usa 169.254.1.1.
    • MASK_LENGTH: 30, cada sesión de BGP en el mismo Cloud Router debe usar un CIDR único /30 del bloque 169.254.0.0/16.
    • PEER_NAME_GW1_IF1: Es un nombre que describe el par de BGP, es útil usar un nombre relacionado con TUNNEL_NAME_GW1_IF1.
    • PEER_IP_ADDRESS_2: Es una dirección IP de BGP del bloque 169.254.0.0/16 que no está en uso; en este ejemplo se usa 169.254.1.2.
    • PEER_ASN_2: Es el número ASN que se usa para todas las interfaces en el otro Cloud Router ROUTER_NAME_2; en este ejemplo, se usa el número ASN 65002.

    Crea una interfaz de BGP para TUNNEL_NAME_GW1_IF1

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION_1
    

    Crea un par BGP para TUNNEL_NAME_GW1_IF1

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Verifica la configuración de ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1  \
        --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Crea una interfaz de BGP y un par de BGP en ROUTER_NAME_2 para el túnel TUNNEL_NAME_GW2_IF0.

    Esta interfaz de BGP usa dos direcciones IP de BGP para conectar TUNNEL_NAME_GW2_IF0 en interface 0 de GW_2 a interface 0 de GW_1.

    En los siguientes comandos, reemplaza lo siguiente:

    • ROUTER_2_INTERFACE_NAME_0: Es un nombre de interfaz de BGP de Cloud Router; es útil usar un nombre relacionado con TUNNEL_NAME_GW2_IF0.
    • IP_ADDRESS_3: Es la dirección IP de BGP que se usó antes para esta interfaz y puerta de enlace; en este ejemplo, se usa 169.254.0.2
    • MASK_LENGTH: 30, cada sesión de BGP en el mismo Cloud Router debe usar un CIDR único /30 del bloque 169.254.0.0/16.
    • PEER_NAME_GW2_IF0: Es un nombre que describe el par de BGP, es útil usar un nombre relacionado con TUNNEL_NAME_GW2_IF0.
    • PEER_IP_ADDRESS_3: Es la dirección IP usada antes para la interfaz y la puerta de enlace de intercambio de tráfico; en este ejemplo, se usa 169.254.0.1
    • PEER_ASN_1: Es el número ASN que se usa para todas las interfaces en ROUTER_NAME_1 y que se estableció antes; en este ejemplo, se usa el número ASN 65001.

    Crea una interfaz de BGP para TUNNEL_NAME_GW2_IF0

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION_1
    

    Crea un par BGP para TUNNEL_NAME_GW2_IF0

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Crea una interfaz de BGP y un par de BGP en ROUTER_NAME_2 para el túnel TUNNEL_NAME_GW2_IF1.

    Esta interfaz de BGP usa dos direcciones IP de BGP para conectar TUNNEL_NAME_GW2_IF1 en interface 1 de GW_2 a interface 1 de GW_1.

    En los siguientes comandos, reemplaza lo siguiente:

    • ROUTER_2_INTERFACE_NAME_1: Es un nombre de interfaz de BGP de Cloud Router; es útil usar un nombre relacionado con TUNNEL_NAME_GW2_IF1.
    • IP_ADDRESS_4: Es la dirección IP de BGP que se usó antes para esta interfaz y puerta de enlace; en este ejemplo, se usa 169.254.1.2
    • MASK_LENGTH: 30, cada sesión de BGP en el mismo Cloud Router debe usar un CIDR único /30 del bloque 169.254.0.0/16.
    • PEER_NAME_GW2_IF1: Es un nombre que describe el par de BGP, es útil usar un nombre relacionado con TUNNEL_NAME_GW2_IF1.
    • PEER_IP_ADDRESS_4: Es una dirección IP de BGP del bloque 169.254.0.0/16 que no está en uso; en este ejemplo se usa 169.254.1.1.
    • PEER_ASN_1: Es el número ASN que se usa para todas las interfaces en ROUTER_NAME_1 y que se estableció antes; en este ejemplo, se usa el número ASN 65001.

    Crea una interfaz de BGP para TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    Crea un par BGP para TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Verifica la configuración de ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Para crear una interfaz de BGP de Cloud Router, realiza una solicitud PATCH o UPDATE al método routers.patch o al routers.update. PATCH actualiza solo los parámetros que incluyes. UPDATE actualiza todos los parámetros de Cloud Router. Crea una interfaz de BGP para cada túnel VPN en la puerta de enlace de VPN con alta disponibilidad.

    Los rangos de direcciones IP de BGP que especifiques deberán ser los únicos de todas las regiones entre todos los Cloud Router de una red de VPC.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. A fin de agregar un par de BGP a un Cloud Router para cada túnel VPN, realiza una solicitud POST al método routers.insert. Repite este comando para el otro túnel VPN y cambia todas las opciones excepto name y peerAsn.

    Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa el siguiente comando de la API:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "peerAsn": "65002",
         "peerIpAddress": "169.254.0.2",
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

Verifica la configuración

Console

Para verificar la configuración, ve a la página Resumen y recordatorio:

  1. En la sección Resumen de esta pantalla, se muestra información de la puerta de enlace de VPN con alta disponibilidad y del perfil de puerta de enlace de VPN de intercambio de tráfico. Para cada túnel VPN, puedes ver el Estado del túnel VPN, el Nombre de la sesión de BGP, el Estado de la sesión de BGP y el valor MED (prioridad de ruta anunciada).
  2. En la sección Recordatorio de esta página, se enumeran los pasos que debes completar para tener una conexión de VPN operativa por completo entre Cloud VPN y la VPN de intercambio de tráfico. Después de revisar la información de esta página, haz clic en Aceptar.

gcloud

Para verificar las opciones de configuración de Cloud Router, consulta los pasos de verificación en la pestaña gcloud en Crea sesiones de BGP.

API

Para verificar la configuración de Cloud Router, realiza una solicitud GET con el método routers.getRouterStatus y usa un cuerpo de solicitud vacío:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crea un túnel adicional en una puerta de enlace de un solo túnel

Console

Para recibir un ANS de tiempo de actividad del 99.99%, configura un túnel en cada interfaz de VPN con alta disponibilidad en cada lado de una configuración de puerta de enlace de VPN con alta disponibilidad a VPN con alta disponibilidad.

Si configuraste un túnel en una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, pero deseas cumplir con un ANS de tiempo de actividad del 99.99%, debes configurar un segundo túnel.

Para configurar un segundo túnel, sigue los pasos que se indican en Agrega un túnel desde una puerta de enlace de VPN con alta disponibilidad a otra.

Configura la prioridad de ruta anunciada base (opcional)

Las sesiones de BGP que crees permiten que cada Cloud Router anuncie rutas a redes de intercambio de tráfico. Los anuncios usan prioridades base sin modificar.

Usa la configuración documentada en Crea dos puertas de enlace de VPN con alta disponibilidad completamente configuradas que se conecten entre sí para opciones de configuración de enrutamiento activo/activo en las que la ruta anunciada prioridades de los dos túneles en ambos lados coincidan. Omitir la prioridad de ruta anunciada (--advertised-route-priority) da como resultado las mismas prioridades de ruta anunciadas para ambos pares BGP.

Para opciones de configuración de enrutamiento activas/pasiva, puedes controlar la prioridad de ruta anunciada de las rutas to Google Cloud que comparte Cloud Router con tu puerta de enlace de VPN de par mediante la configuración de la prioridad de ruta anunciada (--advertised-route-priority) cuando se agrega o actualiza un par BGP. A fin de crear una configuración activa/pasiva, establece una prioridad de ruta anunciada más alta para una sesión de BGP y su túnel VPN correspondiente que para la otra sesión de BGP y el túnel VPN.

Para obtener más información sobre la prioridad de ruta anunciada base, consulta Prioridades y prefijos publicitados.

También puedes definir mejor las rutas que se anuncian mediante anuncios personalizados:

  • Agrega la marca --advertisement-mode=CUSTOM (gcloud) o la marca advertiseMode: custom (API).
  • Especifica los rangos de direcciones IP con la marca --set-advertisement-ranges (gcloud) o la marca advertisedIpRanges (API).

Completa la configuración

Para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados, completa los siguientes pasos:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel o los túneles correspondientes allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado de los túneles VPN.. En este paso, se verifica la configuración de alta disponibilidad de la puerta de enlace de VPN con alta disponibilidad.

Aplica una restricción de política de la organización que restrinja las direcciones IP de la puerta de enlace de VPN de intercambio de tráfico

Puedes crear una restricción de política de la organización de Google Cloud que defina un conjunto de direcciones IP permitidas o denegadas para el intercambio de tráfico entre puertas de enlace de VPN a través de VPN clásicas o túneles VPN con alta disponibilidad. Esta restricción contiene una lista de permisos o una lista de bloqueo de estas direcciones IP de intercambio de tráfico, que entran en vigor en los túneles de Cloud VPN que creas después de aplicar la restricción. Para obtener más detalles, consulta Restringe las direcciones IP de par a través de un túnel de Cloud VPN.

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Permisos necesarios

Para establecer una restricción de dirección IP de intercambio de tráfico en el nivel de organización o proyecto, primero debes tener la función de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Restringe la conectividad desde direcciones IP de intercambio de tráfico específicas

Para permitir solo direcciones IP de intercambio de tráfico específicas a través de un túnel de Cloud VPN, realiza los siguientes pasos:

  1. Busca el ID de tu organización mediante la ejecución del comando siguiente:
    gcloud organizations list

    El resultado del comando debería verse como el ejemplo siguiente:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un archivo JSON que defina tu política, como en el ejemplo siguiente:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Configura la política de la organización con el comando gcloud de Resource Manager set-policy, pasando el archivo JSON y con el ORGANIZATION_ID que encontraste en el paso anterior.

Restringe la conectividad desde cualquier dirección IP de intercambio de tráfico

Si quieres prohibir la creación de cualquier túnel de Cloud VPN nuevo, sigue los pasos de esta restricción de ejemplo:

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.
  2. Crea un archivo JSON como se muestra en el siguiente ejemplo:

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Ingresa el mismo comando que ejecutarías a fin de restringir direcciones IP específicas de intercambio de tráfico para pasar el archivo JSON.

¿Qué sigue?

  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.