Crea puertas de enlace de VPN con alta disponibilidad de Google Cloud a Google Cloud

En esta página se describe cómo conectar dos redes de nube privada virtual mediante una configuración de puerta de enlace de VPN con alta disponibilidad. Puedes conectar dos redes de VPC existentes siempre que los rangos de direcciones IP de la subred principal y secundaria de cada red no se superpongan.

Para ver un diagrama de esta topología, consulta la página Topologías.

Para obtener más información sobre cómo elegir un tipo de VPN, consulta Elige un producto de conectividad de red.

Si deseas obtener prácticas recomendadas antes de configurar Cloud VPN, consulta Prácticas recomendadas para Cloud VPN.

Requisitos

Requisitos y lineamientos generales

Cuando crees esta configuración, asegúrate de cumplir con los siguientes requisitos para que se cumpla un ANS del 99.99%:

  • Coloca una puerta de enlace de VPN con alta disponibilidad en cada red de VPC.
  • Coloca ambas puertas de enlace de VPN con alta disponibilidad en la misma región de Google Cloud.
  • Configura un túnel en cada interfaz de cada puerta de enlace.
  • Haz coincidir las interfaces de puerta de enlace como se describe en la siguiente declaración.

Aunque también es posible conectar dos redes de VPC mediante un solo túnel entre puertas de enlace de VPN con alta disponibilidad o mediante puertas de enlace de VPN clásica, este tipo de configuración no se considera de alta disponibilidad y no cumple con el ANS de alta disponibilidad (99.99% de disponibilidad).

Crea routers de Cloud Router

Cuando configuras una nueva puerta de enlace de VPN con alta disponibilidad, puedes crear un nuevo Cloud Router o usar un Cloud Router que ya utilices con túneles de Cloud VPN o adjuntos de interconexión (VLAN) existentes. Sin embargo, el Cloud Router que usas no debe administrar una sesión de BGP para un adjunto de interconexión (VLAN) asociado con una interconexión de socio, debido a los requisitos específicos del ASN.

Administra permisos

Como las puertas de enlace de VPN con alta disponibilidad no siempre te pertenecen a ti o a la organización de Google Cloud, ten en cuenta los siguientes requisitos de permisos cuando crees una puerta de enlace de VPN con alta disponibilidad o te conectes a una que sea propiedad de otra persona:

  • Si eres el propietario del proyecto en el que creas una puerta de enlace de VPN con alta disponibilidad, configura los permisos recomendados en ella.
  • Si deseas conectarte a una puerta de enlace de VPN con alta disponibilidad que resida en una organización o proyecto de Google Cloud que no te pertenece, debes solicitar el permiso compute.vpnGateways.use al propietario.

Antes de comenzar

Configurar los siguientes elementos en Google Cloud facilita la configuración de Cloud VPN:

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. En la página de selección de proyectos de Cloud Console, selecciona o crea un proyecto de Cloud.

    Ir a la página Selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén información sobre cómo confirmar que tienes habilitada la facturación para tu proyecto.

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas comandos de gcloud, configura tu ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.
  gcloud config set project project-id

También puedes ver un ID del proyecto que ya se configuró:

  gcloud config list --format='text(core.project)'

Crea una red y una subred de nube privada virtual personalizada

Antes de crear una puerta de enlace de VPN con alta disponibilidad y un par de túneles, debes crear una red de nube privada virtual y al menos una subred en la región donde residirá la puerta de enlace de VPN con alta disponibilidad.

En los ejemplos de este documento, también se usa el modo de enrutamiento dinámico global de VPC, que se comporta de la siguiente manera:

  • Todas las instancias de Cloud Router aplican las rutas “a ubicaciones locales” que conocen a todas las subredes de la red de VPC.
  • Las rutas a todas las subredes en la red de VPC se comparten con los routers locales.

Como referencia, en este documento se crea una puerta de enlace de VPN con alta disponibilidad en cada una de dos redes de VPC diferentes:

network-1 contiene las siguientes subredes:

  • Una subred llamada subnet-name-1 en region-1 que usa el rango de IP range-1
  • Una subred llamada subnet-name-2 en region-2 que usa el rango de IP range-2

network-2 contiene las siguientes subredes:

  • Una subred llamada subnet-name-3 en region-1 que usa el rango de IP range-3
  • Una subred llamada subnet-name-4 en region-3 que usa el rango de IP range-4

Crea dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí

Sigue las instrucciones de esta sección para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Console

En el Asistente de configuración de VPN, se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Crea una puerta de enlace de Cloud VPN

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
    1. Si creas una puerta de enlace por primera vez, selecciona el botón Crear conexión de VPN.
    2. Selecciona el Asistente de configuración de VPN.
  2. Selecciona el botón de selección de una puerta de enlace de VPN con alta disponibilidad.
  3. Haz clic en Continuar.
  4. Especifica un Nombre de puerta de enlace de VPN.
  5. En Red de VPC, selecciona una red existente o la red predeterminada.
  6. Selecciona una Región.
  7. Haz clic en Crear y continuar.
  8. La pantalla de la consola se actualiza y muestra la información de la puerta de enlace. Se asignan dos direcciones IP externas de forma automática para cada una de las interfaces de la puerta de enlace. Para los próximos pasos de configuración, toma nota de los detalles de la configuración de la puerta de enlace.

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

El recurso de puerta de enlace de VPN de intercambio de tráfico representa la puerta de enlace que no es de Google Cloud en Google Cloud.

  1. En la pantalla Crear una VPN, en Puerta de enlace de VPN de intercambio de tráfico, selecciona Google Cloud.
  2. En Proyecto, selecciona un proyecto de Google Cloud que contendrá la puerta de enlace nueva.
  3. En Nombre de puerta de enlace de VPN, elige la otra VPN con alta disponibilidad que estás configurando al mismo tiempo.
  4. Continúa con la sección Crea túneles VPN.

Crea túneles VPN

  • Si seleccionas Crear un solo túnel VPN, configurarás un solo túnel en el resto de la pantalla Crear una VPN. Sin embargo, debes crear un segundo túnel más adelante a fin de cumplir con un ANS del 99.99% para la otra puerta de enlace de VPN con alta disponibilidad.
  • Si seleccionas Crear un par de túneles VPN (recomendado), debes configurar los dos cuadros de diálogo de túnel que aparecen en la parte inferior de la pantalla Crear una VPN.
  1. En Alta disponibilidad puedes seleccionar un par de túneles para la otra puerta de enlace de VPN con alta disponibilidad o un túnel. Puedes agregar un segundo túnel más tarde, como se describe al final de este procedimiento.
  2. En Cloud Router, si aún no lo hiciste, crea un Cloud Router que especifique las opciones que se indican a continuación. Puedes usar un Cloud Router existente, siempre y cuando el router no administre una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio.
    1. A fin de crear un Cloud Router, especifica un Nombre, una Descripción opcional y un ASN de Google para el router nuevo. Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.
    2. Haz clic en Crear para crear el router.
  3. Completa los siguientes pasos en la misma pantalla o en el cuadro de diálogo de cada túnel en la parte inferior de la pantalla.
  4. Si configuras un túnel en Interfaz de puerta de enlace de Cloud VPN asociada, selecciona la combinación de interfaz de VPN con alta disponibilidad y dirección IP para esta puerta de enlace a fin de asociarla a la interfaz de puerta de enlace en la otra puerta de enlace de VPN con alta disponibilidad. En configuraciones de dos túneles, esta opción y la opción Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada no están disponibles porque las combinaciones de interfaz correctas ya están configuradas.
    1. Especifica un Nombre para el túnel.
    2. Especifica una Descripción opcional.
    3. Especifica la versión de IKE. Se recomienda IKE v2, la configuración predeterminada, si el router de intercambio de tráfico lo admite.
    4. Especifica una Clave IKE compartida previamente mediante el secreto compartido, que se debe corresponder con el secreto compartido del túnel del socio que creaste en la puerta de enlace de intercambio de tráfico. Si no configuraste un secreto compartido en la puerta de enlace de VPN de intercambio de tráfico y quieres generar uno, haz clic en el botón Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
    5. Haz clic en Listo.
    6. Repite los pasos de creación del túnel para cualquier cuadro de diálogo de túnel restante en la pantalla Crear una VPN.
  5. Cuando hayas configurado todos los túneles, haz clic en Crear y continuar.

Crea sesiones de BGP

Configura la prioridad de la ruta anunciada (opcional)

En el siguiente ejemplo, se crean sesiones de BGP en instancias de Cloud Router que anuncian las rutas a las redes de intercambio de tráfico respectivas del router mediante prioridades base sin modificar.

Usa esto para la configuración activa/activa, en la que deben coincidir las prioridades de los dos túneles en ambos lados. Omitir la prioridad base anunciada da como resultado las mismas prioridades anunciadas para ambos pares de BGP.
Para la configuración activa/pasiva, puedes controlar la prioridad base anunciada “a Google Cloud” que Cloud Router comparte con la puerta de enlace de VPN de intercambio de tráfico si configuras la prioridad de ruta anunciada.
A fin de crear una configuración activa/pasiva, establece una prioridad de ruta anunciada más alta para una sesión de BGP y su túnel VPN correspondiente que para la otra sesión de BGP y el túnel VPN.

Para obtener más información sobre la prioridad base anunciada, consulta Métricas de ruta.

También puedes definir mejor las rutas que se anuncian mediante anuncios personalizados. Para ello, agrega la marca --advertisement-mode=CUSTOM y especifica los rangos de direcciones IP con --set-advertisement-ranges.

Para crear sesiones de BGP, sigue estos pasos:

  1. Si no quieres configurar las sesiones de BGP ahora, haz clic en el botón Configurar las sesiones de BGP más tarde, que te llevará a la pantalla Resumen y recordatorio.
  2. Si quieres configurar las sesiones de BGP ahora, haz clic en el botón Configurar para el primer túnel VPN.
  3. En la pantalla Crear una sesión de BGP, realiza los siguientes pasos:
    1. Especifica un Nombre para la sesión de BGP.
    2. Especifica el ASN de par configurado para la puerta de enlace de VPN de intercambio de tráfico.
    3. Especifica la Prioridad de ruta anunciada (opcional).
    4. Especifica la dirección IP de BGP de Cloud Router y la dirección IP de par de BGP. Estas direcciones deben usar una dirección de vínculo local del bloque CIDR 169.254.0.0/16 en la misma subred /30. Asegúrate de que estas direcciones no sean la dirección de red ni de transmisión de la subred.
    5. Haz clic en el menú desplegable Rutas anunciadas y crea rutas personalizadas (opcional).
    6. Haz clic en Guardar y continuar.
  4. Repite los pasos anteriores con el resto de los túneles configurados en la puerta de enlace mediante una dirección IP de BGP de Cloud Router diferente y una dirección IP de par de BGP para cada túnel.
  5. Cuando hayas configurado todas las sesiones de BGP, haz clic en Guardar configuración de BGP.

Resumen y recordatorio

  1. En la sección Resumen de esta pantalla, se muestra información de la puerta de enlace de VPN con alta disponibilidad y del perfil de puerta de enlace de VPN de intercambio de tráfico.
  2. Para cada túnel VPN, puedes ver el Estado del túnel VPN, el Nombre de la sesión de BGP, el Estado de la sesión de BGP y el valor MED (prioridad de ruta anunciada).
  3. En la sección Recordatorio de esta pantalla, se enumeran los pasos que debes completar para tener una conexión de VPN operativa por completo entre Cloud VPN y la VPN de intercambio de tráfico.
  4. Haz clic en Aceptar después de revisar la información en esta pantalla.

Crea un túnel adicional en una puerta de enlace de un solo túnel

Sigue los pasos de esta sección para configurar un segundo túnel en la segunda interfaz de una puerta de enlace de VPN con alta disponibilidad. Si configuraste un túnel en una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, pero deseas cumplir con un ANS de tiempo de actividad del 99.99%, debes configurar un segundo túnel.

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
    1. Busca la VPN con alta disponibilidad a la que deseas agregar el túnel.
    2. Haz clic en el botón Agregar túnel VPN.
    3. En Puerta de enlace de VPN de intercambio de tráfico, selecciona Google Cloud.
    4. En Proyecto, selecciona un proyecto de Google Cloud que contendrá la puerta de enlace nueva.
    5. En el caso del Nombre de la puerta de enlace de VPN, elige la otra puerta de enlace de VPN con alta disponibilidad a la que se conecta el túnel nuevo.
    6. Selecciona Agregar el segundo túnel VPN a un túnel VPN existente para obtener alta disponibilidad.
    7. En Seleccionar túnel VPN existente, asegúrate de que el túnel existente esté seleccionado. Puedes hacer clic en un vínculo para ver todos los túneles existentes cerca de la parte superior de la misma pantalla.
    8. Especifica un Nombre de túnel.
    9. Especifica la misma versión de IKE que usa el túnel en la otra puerta de enlace.
    10. Especifica una Clave IKE compartida previamente mediante el secreto compartido, que se debe corresponder con el secreto compartido del túnel del socio que creaste en la puerta de enlace de intercambio de tráfico. Si no configuraste un secreto compartido en la puerta de enlace de VPN de intercambio de tráfico y quieres generar uno, haz clic en el botón Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
    11. Haz clic en Crear y continuar.
    12. Configura y guarda una sesión de BGP como en los pasos anteriores. De lo contrario, puedes configurar BGP más tarde.
    13. Comprueba la pantalla Recordatorio y resumen para ver información de la configuración y haz clic en Aceptar.

gcloud

Crea las puertas de enlace de VPN con alta disponibilidad

Completa la siguiente secuencia de comandos para crear dos puertas de enlace de VPN con alta disponibilidad:

  1. Crea una puerta de enlace de VPN con alta disponibilidad en cada red en region-1. Cuando se crea cada puerta de enlace, se asignan de forma automática dos direcciones IP externas, una para cada interfaz de puerta de enlace. Toma nota de estas direcciones IP para usarlas más adelante en los pasos de configuración.

    En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza gw-name-1 y gw-name-2 por el nombre de cada puerta de enlace.
    • Reemplaza todas las otras opciones por los valores que usaste antes.

    Crea la primera puerta de enlace

      gcloud compute vpn-gateways create gw-name-1 \
        --network network-1 \
        --region region-1
    

    La puerta de enlace que crees debe ser similar al siguiente resultado de ejemplo. Se asignó de forma automática una dirección IP externa a cada interfaz de puerta de enlace:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1     NETWORK    REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23   network-a  us-central1
    

    Crea la segunda puerta de enlace

      gcloud compute vpn-gateways create gw-name-2 \
        --network network-2 \
        --region region-1
    
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
      NAME        INTERFACE0   INTERFACE1    NETWORK    REGION
      ha-vpn-gw-b 203.0.114.18 203.0.114.25  network-b  us-central1
    

Crea cada Cloud Router

En las siguientes instrucciones, se da por hecho que aún no creaste routers de Cloud Router a fin de usarlos en la administración de sesiones de BGP para los túneles VPN con alta disponibilidad.

Puedes usar un Cloud Router existente en cada red de VPC, a menos que esos routers ya administren una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio.

  1. Completa la siguiente secuencia de comandos para crear un Cloud Router en cada red. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza asn-1 y asn-2 por cualquier ASN privado (64512 - 65534, 4200000000 - 4294967294) que no estés usando. En este ejemplo se usa ASN 65001 en ambas interfaces de router-name-1 y ASN 65002 en ambas interfaces de router-name-2.
    • Reemplaza todas las otras opciones por los valores que usaste antes.

    Crea el primer router

      gcloud compute routers create router-name-1 \
        --region region-1 \
        --network network-1 \
        --asn asn-1
    

    El router que crees debe ser similar al siguiente resultado de ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      NAME     REGION      NETWORK
      router-a us-central1 network-a
    

    Crea el segundo router

      gcloud compute routers create router-name-2 \
        --region region-1 \
        --network network-2 \
        --asn asn-2
    

    El router que crees debe ser similar al siguiente resultado de ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b].
      NAME     REGION      NETWORK
      router-b us-central1 network-b
    

Crea túneles VPN

  1. Completa la siguiente secuencia de comandos para crear dos túneles VPN en cada puerta de enlace de VPN con alta disponibilidad.

    • El túnel que creas desde la interfaz 0 de gw-name-1 debe conectarse a la dirección IP externa asociada con la interfaz 0 de gw-name-2 en network-2.
    • El túnel de la interfaz 1 de gw-name-1 debe conectarse a la dirección IP externa asociada con la interfaz 1 de gw-name-2.
    • Cuando creas túneles VPN en gw-name-1 en network-1, debes especificar la información para gw-name-2 en network-2. Google conecta de forma automática el túnel de la interfaz 0 de gw-name-1 a la interfaz 0 de gw-name-2 y la interfaz 1 de gw-name-1 a la interfaz 1 de gw-name-2.

    Crea dos túneles en gw-name-1

    1. Crea dos túneles VPN, uno en cada interfaz, de gw-name-1 en network-1. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

      • Reemplaza tunnel-name-gw1-if0 y tunnel-name-gw1-if1 por un nombre para cada túnel que se origine en gw-name-1. Incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
      • Usa gw-name-2 para el valor de --peer-gcp-gateway.
      • Reemplaza region por la región en la que se encuentra gw-name-1.
      • --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
      • Reemplaza ike-vers por 2 para IKEv2. Debido a que ambos túneles se conectan a otra puerta de enlace de VPN con alta disponibilidad, se recomienda usar IKEv2.
      • Reemplaza shared-secret por tu secreto compartido, que debe ser el mismo secreto compartido que usas para el túnel correspondiente creado desde gw-name-2 en la interfaz 0 y la interfaz 1. Consulta Genera una clave precompartida segura para obtener recomendaciones.
      • Reemplaza int-num-0 por el número 0 para la primera interfaz en gw-name-1.
      • Reemplaza int-num-1 por el número 1 para la segunda interfaz en gw-name-1.
      • Si peer-gcp-gateway está en un proyecto diferente del túnel VPN y la puerta de enlace de VPN local, usa la opción --peer-gcp-gateway como un URI completo o como un nombre relativo para especificar el proyecto. La siguiente opción de ejemplo es un nombre relativo: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • --peer-gcp-gateway-region, que es la región de la puerta de enlace de VPN con alta disponibilidad del lado del par a la que está conectado el túnel VPN, debe estar en la misma región que el túnel VPN. Si no se especifica, la región se configura de forma automática.

      Crea el primer túnel en gw-name-1 int-num-0

        gcloud compute vpn-tunnels create tunnel-name-gw1-if0\
          --peer-gcp-gateway gw-name-2 \
          --region region-1 \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name-1 \
          --vpn-gateway gw-name-1 \
          --interface int-num-0
      

      Crea el segundo túnel en gw-name-1 int-num-1

        gcloud compute vpn-tunnels create tunnel-name-gw1-if1 \
          --peer-gcp-gateway gw-name-2 \
          --region region-1 \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name-1 \
          --vpn-gateway gw-name-1 \
          --interface int-num-1
      

      El resultado del comando debe ser similar al siguiente ejemplo:
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-0 us-central1  ha-vpn-gw-a     0          ha-vpn-gw-b
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-1 us-central1  ha-vpn-gw-a     1          ha-vpn-gw-b
      

    Crea dos túneles en gw-name-2

    1. Crea dos túneles VPN, uno en cada interfaz, de gw-name-2 en network-2.
      • El túnel que creas desde la interfaz 0 de gw-name-2 debe conectarse a la dirección IP externa asociada con la interfaz 0 de gw-name-1 en network-1.
      • El túnel de la interfaz 1 de gw-name-2 debe conectarse a la dirección IP externa asociada con la interfaz 1 de gw-name-1.
      • Reemplaza region por la región en la que se encuentra gw-name-2.
      • --vpn-gateway-region es la región de la puerta de enlace de VPN en la que se debe operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.

        En los siguientes comandos, reemplaza las opciones como se indica a continuación:
      • Reemplaza tunnel-name-gw2-if0 y tunnel-name-gw2-if1 por un nombre para cada túnel que se origine en gw-name-2. Incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
      • Usa gw-name-1 para el valor de --peer-gcp-gateway.
      • El valor de --peer-gcp-gateway-region debe estar en la misma región que el túnel VPN. Si no se especifica, el valor se establece de forma automática. Para este ejemplo, la región es region-1.
      • Reemplaza ike-vers por 2 para IKEv2. Debido a que estos túneles se conectan a los dos túneles creados en el paso anterior, deben usar la misma versión de IKE (se recomienda IKEv2).
      • Reemplaza shared-secret por tu secreto compartido, que debe coincidir con el secreto compartido para el túnel socio que creaste en cada interfaz de gw-name-1. Consulta Genera una clave precompartida segura para obtener recomendaciones.
      • Reemplaza gw-name-2 por el nombre de la segunda puerta de enlace que configuraste en el paso de configuración de la puerta de enlace.
      • Reemplaza int-num-0 por el número 0 para la primera interfaz en gw-name-2.
      • Reemplaza int-num-1 por el número 1 para la segunda interfaz en gw-name-2.
      • Si peer-gcp-gateway está en un proyecto diferente del túnel VPN y la puerta de enlace de VPN local, usa la opción --peer-gcp-gateway como un URI completo o como un nombre relativo para especificar el proyecto. La siguiente opción de ejemplo es un nombre relativo: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • --peer-gcp-gateway-region, que es la región de la puerta de enlace de VPN con alta disponibilidad del lado del par a la que está conectado el túnel VPN, debe estar en la misma región que el túnel VPN. Si no se especifica, la región se configura de forma automática.

    Crea el primer túnel en gw-name-2 int-num-0

      gcloud compute vpn-tunnels create tunnel-name-gw2-if0 \
       --peer-gcp-gateway gw-name-1 \
       --region region-1 \
       --ike-version ike-vers \
       --shared-secret shared-secret \
       --router router-name-2 \
       --vpn-gateway gw-name-2 \
       --interface int-num-0
    

    Crea el segundo túnel en gw-name-2 int-num-1

      gcloud compute vpn-tunnels create tunnel-name-gw2-if1 \
        --peer-gcp-gateway gw-name-1 \
        --region region-1 \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name-2 \
        --vpn-gateway gw-name-2 \
        --interface int-num-1
    

    El resultado del comando debe ser similar al siguiente ejemplo:
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b     0          ha-vpn-gw-a
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b     1          ha-vpn-gw-a
    

    Después de este paso, espera unos minutos y, luego, verifica el estado de cada túnel VPN.

    El estado de un túnel VPN cambia a Established solo cuando el túnel del socio correspondiente también está disponible y configurado de forma correcta. También se debe negociar entre estos un IKE y una asociación de seguridad (SA) secundaria válidos.

    Por ejemplo, tunnel-a-to-b-if-0 en ha-vpn-gw-a solo se puede establecer si tunnel-b-to-a-if-0 en ha-vpn-gw-b está configurado y disponible.

Crea interfaces de Cloud Router y pares de BGP

En la siguiente tabla, se proporciona una descripción general de las interfaces de Cloud Router y los pares de BGP que configuras en esta sección. Muestra la relación entre los rangos de IP y las IP de pares que especificas para cada interfaz. Por ejemplo, la primera interfaz de router-1 tiene una IP de par de 169.254.0.2. Esta proviene del rango de direcciones IP de la primera interfaz de router-2, que es 169.254.0.2/30.

Router Nombre de la interfaz de BGP Rango de IP IP de par ASN de par
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

Para obtener más detalles, consulta las instrucciones en esta sección, que incluyen resultados de muestra después de la configuración.

Configura la prioridad de la ruta anunciada (opcional)

En los siguientes ejemplos, se crean sesiones de BGP en instancias de Cloud Router que anuncian las rutas a sus respectivas redes de intercambio de tráfico mediante prioridades base sin modificar. Usa esto para la configuración activa/activa, en la que deben coincidir las prioridades de los dos túneles en ambos lados. Omitir --advertised-base-priority, como en este ejemplo, da como resultado las mismas prioridades anunciadas para ambos pares de BGP.

Para la configuración activa/pasiva, puedes controlar la prioridad base “a Google Cloud” que Cloud Router comparte con la puerta de enlace de VPN de intercambio de tráfico si usas la marca --advertised-route-priority cuando agregas o actualizas un par de BGP.

A fin de crear una configuración activa/pasiva, establece una prioridad de ruta anunciada más alta en una sesión de BGP, correspondiente a un túnel VPN, que la prioridad de la sesión de BGP para el otro túnel VPN.

Para obtener más información sobre la prioridad base anunciada, consulta Métricas de ruta.

También puedes definir mejor las rutas que se anuncian mediante anuncios personalizados. Para ello, agrega la marca --advertisement-mode=CUSTOM y especifica los rangos de direcciones IP con --set-advertisement-ranges.

Para crear interfaces de Cloud Router y pares de BGP, haz lo siguiente:

  1. Crea una interfaz de BGP y un par de BGP en router-name-1 para el túnel tunnel-name-gw1-if0. Esta interfaz de BGP conecta tunnel-name-gw1-if0 en la interfaz 0 de gw-1 a la interfaz 0 de gw-2 mediante dos direcciones IP de BGP. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza router-1-interface-name-0 por un nombre para la interfaz de BGP de Cloud Router. Usar un nombre relacionado con tunnel-name-gw1-if0 puede ser útil.
    • Reemplaza ip-address por una dirección IP de BGP del bloque 169.254.0.0/16 que aún no está en uso. En este ejemplo, se usa 169.254.0.1.
    • Usa una mask-length de 30.
      .
    • Reemplaza peer-name por un nombre que describa el par de BGP. Usar un nombre relacionado con tunnel-name-gw1-if0 puede ser útil.
    • Reemplaza peer-ip-address por una dirección IP de BGP del bloque 169.254.0.0/16 que aún no está en uso. En este ejemplo, se usa 169.254.0.2.
    • Reemplaza peer-asn por el número ASN que se usa para todas las interfaces en el otro Cloud Router, router-name-2. En este ejemplo, se usa el número ASN 65002.

      1. Si deseas crear una interfaz de BGP para tunnel-name-gw1-if0, ingresa el siguiente comando:

        gcloud compute routers add-interface router-name-1 \
           --interface-name router-1-interface-name-0 \
           --ip-address ip-address \
           --mask-length mask-length \
           --vpn-tunnel tunnel-name-gw1-if0 \
           --region region-1
        
      2. Si deseas crear un par de BGP para tunnel-name-gw1-if0, ingresa el siguiente comando:

        gcloud compute routers add-bgp-peer router-name-1 \
           --peer-name peer-name \
           --interface router-1-interface-name-0 \
           --peer-ip-address peer-ip-address \
           --peer-asn peer-asn \
           --region region-1
        

        El resultado del comando debe ser similar al siguiente ejemplo:

         Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
        
  2. Crea una interfaz de BGP y un par de BGP en router-name-1 para el túnel tunnel-name-gw1-if1. Esta interfaz de BGP conecta tunnel-name-gw1-if1 en la interfaz 1 de gw-1 a la interfaz 1 de gw-2 mediante dos direcciones IP de BGP. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza router-1-interface-name-1 por un nombre de interfaz de BGP de Cloud Router. Usar un nombre relacionado con tunnel-name-gw1-if1 puede ser útil.
    • Reemplaza ip-address por una dirección IP de BGP del bloque 169.254.0.0/16 que aún no está en uso. En este ejemplo, se usa 169.254.1.1.
    • Usa una mask-length de 30.
      .
    • Reemplaza peer-name por un nombre que describa el par de BGP. Usar un nombre relacionado con tunnel-name-gw1-if1 puede ser útil.
    • Reemplaza peer-ip-address por una dirección IP de BGP del bloque 169.254.0.0/16 que aún no está en uso. En este ejemplo, se usa 169.254.1.2.
    • Reemplaza peer-asn por el número ASN que se usa para todas las interfaces en el otro Cloud Router, router-name-2. En este ejemplo, se usa el número ASN 65002.

      1. Si deseas crear una interfaz de BGP para tunnel-name-gw1-if1, ingresa el siguiente comando:

        gcloud compute routers add-interface router-name-1 \
           --interface-name router-1-interface-name-1 \
           --ip-address ip-address \
           --mask-length mask-length \
           --vpn-tunnel tunnel-name-gw1-if1 \
           --region region-1
        
      2. Si deseas crear un par de BGP para tunnel-name-gw1-if1, ingresa el siguiente comando:

        gcloud compute routers add-bgp-peer router-name-1  \
           --peer-name peer-name \
           --interface router1-interface-name-1 \
           --peer-ip-address peer-ip-address \
           --peer-asn peer-asn \
           --region region-1
        

        El resultado del comando debe ser similar al siguiente ejemplo:

         Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a ].
        
  3. Puedes verificar la configuración de router-1 si ingresas el siguiente comando:

    gcloud compute routers describe router-1  \
        --region region-1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
    
  4. Crea una interfaz de BGP y un par de BGP en router-name-2 para el túnel tunnel-name-gw2-if0. Esta interfaz de BGP conecta tunnel-name-gw2-if0 en la interfaz 0 de gw-2 a la interfaz 0 de gw-1 mediante dos direcciones IP de BGP. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza router-2-interface-name-0 por un nombre de interfaz de BGP de Cloud Router. Usar un nombre relacionado con tunnel-name-gw2-if0 puede ser útil.
    • Reemplaza ip-address por la dirección IP de BGP que se usó antes para esta puerta de enlace y esta interfaz. En este ejemplo, se usa 169.254.0.2.
    • Usa una mask-length de 30.
    • Reemplaza peer-name por un nombre que describa el par de BGP. Usar un nombre relacionado con tunnel-name-gw2-if0 puede ser útil.
    • Reemplaza peer-ip-address por la dirección IP que se usó antes para la puerta de enlace y la interfaz de intercambio de tráfico. En este ejemplo, se usa 169.254.0.1.
    • Reemplaza peer-asn por el número ASN que se usó para todas las interfaces en router-name-1 y que se configuró antes. En este ejemplo, se usa el número ASN 65001.
    1. A fin de crear una interfaz de BGP para tunnel-name-gw2-if0, ingresa el siguiente comando.

      gcloud compute routers add-interface router-name-2 \
         --interface-name router-2-interface-name-0 \
         --ip-address ip-address \
         --mask-length mask-length \
         --vpn-tunnel tunnel-name-gw2-if0 \
         --region region-1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

    2. Si deseas crear un par de BGP para tunnel-name-gw2-if0, ingresa el siguiente comando:

       gcloud compute routers add-bgp-peer router-name-2 \
         --peer-name peer-name \
         --interface router-2-interface-name-0 \
         --peer-ip-address peer-ip-address \
         --peer-asn peer-asn \
         --region region-1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

       Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
  5. Crea una interfaz de BGP y un par de BGP en router-name-2 para el túnel tunnel-name-gw2-if1. Esta interfaz de BGP conecta tunnel-name-gw2-if1 en la interfaz 1 de gw-2 a la interfaz 1 de gw-1 mediante dos direcciones IP de BGP. En los siguientes comandos, reemplaza las opciones como se indica a continuación:

    • Reemplaza router-2-interface-name-1 por un nombre de interfaz de BGP de Cloud Router. Usar un nombre relacionado con tunnel-name-gw2-if1 puede ser útil.
    • Reemplaza ip-address por la dirección IP de BGP que se usó antes para esta puerta de enlace y esta interfaz. En este ejemplo, se usa 169.254.1.2.
    • Usa una mask-length de 30.
    • Reemplaza peer-name por un nombre que describa el par de BGP. Usar un nombre relacionado con tunnel-name-gw2-if1 puede ser útil.
    • Reemplaza peer-ip-address por una dirección IP de BGP del bloque 169.254.0.0/16 que aún no está en uso. En este ejemplo, se usa 169.254.1.1.
    • Reemplaza peer-asn por el número ASN que se usó para todas las interfaces en router-name-1 y que se configuró antes. En este ejemplo, se usa el número ASN 65001.
    1. Si deseas crear una interfaz de BGP para tunnel-name-gw2-if1, ingresa el siguiente comando:

      gcloud compute routers add-interface router-name-2 \
         --interface-name router-2-interface-name-1 \
         --ip-address ip-address \
         --mask-length mask-length \
         --vpn-tunnel tunnel-name-gw2-if1 \
         --region region-1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
    2. Si deseas crear un par de BGP para tunnel-name-gw2-if1, ingresa el siguiente comando:

      gcloud compute routers add-bgp-peer router-name-2  \
         --peer-name peer-name \
         --interface router-2-interface-name-1 \
         --peer-ip-address peer-ip-address \
         --peer-asn peer-asn \
         --region region-1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

       Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
  6. Puedes verificar la configuración de router-2 si ingresas el siguiente comando:

    gcloud compute routers describe router-2  \
       --region region-1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b
    

Lee la sección Completa la configuración

API

PASO UNO: Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST al método vpnGateways.insert. Repite este comando a fin de crear la otra puerta de enlace de VPN con alta disponibilidad con valores de name, network y region para la otra puerta de enlace.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

PASO DOS:

Si ya creaste un Cloud Router en cada una de las redes de VPC donde reside cada una de las puertas de enlace de VPN con alta disponibilidad, puedes usar esos routers de Cloud Router en lugar de crear nuevos. Sin embargo, si un Cloud Router administra una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio; debes crear un Cloud Router nuevo.

Para crear Cloud Router, realiza una solicitud POST al método routers.insert.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

PASO TRES: A fin de crear dos túneles VPN, uno para cada interfaz en una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST al método vpnTunnels.insert.

Ingresa el siguiente comando para crear el primer túnel:

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/router-a",
   "sharedSecret": "974;va'oi3-1",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

Para crear el segundo túnel, repite el comando anterior, pero cambia los siguientes parámetros:

  • name
  • peerIp
  • sharedSecret o sharedSecretHash (si es necesario)

Para el segundo túnel, cambia el parámetro vpnGatewayInterface al valor de la otra interfaz de puerta de enlace de VPN con alta disponibilidad. En este ejemplo, cambiarías este valor por 1.

Repite todo este paso a fin de crear dos túneles para la segunda puerta de enlace de VPN con alta disponibilidad que se conecten a la primera puerta de enlace de VPN con alta disponibilidad, pero cambia los parámetros con los ejemplos del comando de gcloud como referencia.

Configura la prioridad de ruta anunciada para BGP (opcional)

En los siguientes ejemplos, se crean sesiones de BGP en instancias de Cloud Router que anuncian las rutas a sus respectivas redes de intercambio de tráfico mediante prioridades base sin modificar. Usa esto para la configuración activa/activa, en la que deben coincidir las prioridades de los dos túneles en ambos lados. Omitir el parámetro advertised-route-priority, como en este ejemplo, da como resultado las mismas prioridades anunciadas para ambos pares de BGP.

Para la configuración activa/pasiva, puedes controlar la prioridad base “a Google Cloud” que Cloud Router comparte con la puerta de enlace de VPN de intercambio de tráfico. Para configurar esta prioridad, usa el parámetro advertised-route-priority cuando agregues o actualices un par de BGP.

A fin de crear una configuración activa/pasiva, establece una prioridad de ruta anunciada más alta en una sesión de BGP, correspondiente a un túnel VPN, que la prioridad de la sesión de BGP para el otro túnel VPN.

Para obtener más información sobre la prioridad base anunciada, consulta Métricas de ruta.

También puedes definir mejor las rutas que se anuncian mediante anuncios personalizados. Para ello, agrega el parámetro advertiseMode, establece su valor en custom y especifica los rangos de direcciones IP con el parámetro advertisedIpRanges.

PASO CUATRO: Para crear una interfaz de BGP de Cloud Router, realiza una solicitud PATCH o UPDATE al método routers.patch o al método routers.update. PATCH solo actualiza los parámetros que incluyes. UPDATE actualiza todos los parámetros de Cloud Router. Crea una interfaz de BGP para cada túnel VPN en la puerta de enlace de VPN con alta disponibilidad.

 PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
     }
   ]
 }

PASO CINCO: A fin de agregar un par de BGP a Cloud Router para cada túnel VPN, realiza una solicitud POST al método routers.insert. Repite este comando para el otro túnel VPN y cambia todas las opciones, excepto name y “peerAsn”.

Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa los siguientes comandos de la API.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
     }
   ]
  }
 

PASO SEIS: Verifica la configuración de Cloud Router con el método routers.getRouterStatus y un cuerpo de solicitud vacío:

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers

Completa la configuración

Debes completar los siguientes pasos para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel o los túneles correspondientes allí. Consulta estas páginas:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario. Consulta la página de reglas de firewall para obtener sugerencias.
  3. Comprueba el estado de los túneles VPN y verifica la configuración de la puerta de enlace de VPN con alta disponibilidad para obtener alta disponibilidad.
Aplica una política de la organización de VPN

Aplica una restricción de política de la organización que restrinja las direcciones IP de las puertas de enlace VPN de intercambio de tráfico

Puedes crear una restricción de política de la organización de Google Cloud que defina un conjunto de direcciones IP permitidas o denegadas para el intercambio de tráfico entre puertas de enlace de VPN a través de VPN clásicas o túneles VPN con alta disponibilidad. Esta restricción contiene una lista de permisos o una lista de denegación de estas direcciones IP de par, que entra en vigor para los túneles de Cloud VPN creados después de aplicar la restricción. Para obtener más información, consulta la Descripción general de Cloud VPN.

Permisos necesarios

Para establecer una restricción de IP de par en el nivel de organización o proyecto, primero debes tener la función de Administrador de políticas de la organización (orgpolicy.policyAdmin).

Cómo establecer restricciones

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Restringe la conectividad de direcciones IP de par específicas a través de un túnel de Cloud VPN

Para permitir solo direcciones IP de par específicas, sigue estos pasos:

  1. Ingresa el siguiente comando para buscar el ID de la organización:
    gcloud organizations list

    El resultado del comando debería verse como el siguiente ejemplo:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un archivo JSON que defina la política. Debes proporcionar una política como un archivo JSON, como en el siguiente ejemplo:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Usa el comando set-policy de Resource Manager de gcloud para configurar la política de la organización, pasar el archivo JSON y usar el organization-id que obtuviste en el paso anterior.

Restringe la conectividad de cualquier IP de par de tráfico a través de un túnel de Cloud VPN

Si quieres prohibir la creación de cualquier túnel de Cloud VPN nuevo, sigue los pasos de esta restricción de ejemplo.

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.
  2. Crea un archivo JSON como se muestra en el siguiente ejemplo.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Ingresa el mismo comando que usarías para restringir direcciones IP de par específicas para pasar el archivo JSON.