Cette page explique comment connecter deux réseaux cloud privé virtuel (VPC) dans Google Cloud à l'aide de deux passerelles VPN haute disponibilité. Vous pouvez connecter deux réseaux VPC tant que les plages d'adresses IPv4 ou IPv6 du sous-réseau principal et secondaire de chaque réseau ne se chevauchent pas.
Cette configuration VPN haute disponibilité nécessite que les deux passerelles VPN haute disponibilité se trouvent dans la même région. Cette exigence régionale ne limite cependant pas le champ d'application du trafic VPN haute disponibilité. Le routage global, configuré comme mode de routage dynamique de vos réseaux VPC, permet au trafic VPN haute disponibilité d'atteindre tous les sous-réseaux, quelle que soit la région qui leur a été attribuée.
Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :
Pour obtenir des schémas de cette topologie, consultez la documentation VPN haute disponibilité entre les réseaux Google Cloud.
Pour automatiser cette configuration, consultez l'exemple Terraform d'une passerelle VPN haute disponibilité.
Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.
Conditions requises
Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, assurez-vous de remplir les conditions suivantes lors de la création de cette configuration :
- Placez une passerelle VPN haute disponibilité dans chaque réseau VPC.
- Placez les deux passerelles VPN haute disponibilité dans la même région Google Cloud.
- Configurez un tunnel sur chaque interface de chaque passerelle.
- Faites correspondre les interfaces de passerelle comme suit :
- Le tunnel sur l'
interface 0
de la première passerelle doit être connecté à l'interface 0
de la deuxième passerelle. - Le tunnel sur l'
interface 1
de la première passerelle doit être connecté à l'interface 1
de la deuxième passerelle.
- Le tunnel sur l'
Bien qu'il soit possible de connecter deux réseaux VPC à l'aide d'un seul tunnel entre des passerelles VPN haute disponibilité ou des passerelles VPN classiques, ce type de configuration n'est pas considéré comme hautement disponible et ne remplit pas les conditions du contrat de niveau de service garantissant une disponibilité de 99,99 %.
Recommandations pour Cloud Router
Lors de la configuration d'une nouvelle passerelle VPN haute disponibilité, vous pouvez créer un routeur Cloud Router ou utiliser un routeur Cloud Router existant avec des tunnels Cloud VPN ou des rattachements de VLAN existants. Cependant, le routeur Cloud Router que vous utilisez ne doit pas déjà gérer une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire, en raison des exigences spécifiques du numéro ASN du rattachement.
Gérer les autorisations
Les passerelles VPN haute disponibilité ne vous appartiennent pas toujours, à vous ou à votre organisation Google Cloud. Lorsque vous créez une passerelle VPN haute disponibilité ou que vous vous connectez à une passerelle appartenant à un tiers, tenez compte des exigences suivantes :
- Si vous êtes le propriétaire du projet pour lequel vous créez une passerelle VPN haute disponibilité, configurez les autorisations recommandées sur celle-ci.
- Si vous souhaitez vous connecter à une passerelle VPN haute disponibilité hébergée dans une organisation ou un projet Google Cloud dont vous n'êtes pas le propriétaire, demandez l'autorisation
compute.vpnGateways.use
au propriétaire.
Avant de commencer
Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.
Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP (Border Gateway Protocol).
Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions
gcloud
présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.gcloud config set project PROJECT_ID
-
Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :
gcloud config list --format='text(core.project)'
Créer des réseaux et des sous-réseaux VPC personnalisés
Les procédures décrites dans ce document utilisent deux réseaux VPC différents. Chaque réseau VPC comporte au moins deux sous-réseaux, situés dans des régions différentes.
Avant de créer vos passerelles VPN haute disponibilité et vos tunnels VPN haute disponibilité, vous devez créer deux réseaux VPC.
Chacun de ces réseaux VPC doit comporter au moins un sous-réseau dans la région où vous créez la passerelle VPN haute disponibilité.
- Pour créer un réseau VPC personnalisé (recommandé), consultez la section Créer un réseau VPC en mode personnalisé.
- Pour créer un sous-réseau, consultez la section Travailler avec des sous-réseaux.
Pour activer le trafic IPv6 dans vos tunnels VPN haute disponibilité, vous devez activer l'allocation d'adresses internes IPv6 lors de la création des réseaux VPC.
De plus, configurez le sous-réseau pour qu'il utilise des adresses IPv6 internes.
Vous devez également configurer le protocole IPv6 sur les VM du sous-réseau :
- Pour créer un réseau VPC en mode personnalisé avec des adresses IPv6 internes, consultez la section Créer un réseau VPC en mode personnalisé avec au moins un sous-réseau à deux piles.
- Pour créer un sous-réseau avec IPv6 activé, consultez la page Ajouter un sous-réseau à deux piles.
Pour activer IPv6 dans un sous-réseau existant, consultez la section Convertir un sous-réseau IPv4 en sous-réseau à deux piles.
Pour créer des VM avec IPv6 activé, consultez la page Configurer IPv6 pour les instances et les modèles d'instance.
Les sous-réseaux VPC doivent être configurés pour utiliser des adresses IPv6 internes. Lorsque vous utilisez la CLI gcloud, configurez les sous-réseaux avec l'option --ipv6-access-type=INTERNAL
. Cloud Router n'annonce pas dynamiquement les routes pour les sous-réseaux configurés pour utiliser des adresses IPv6 externes (--ipv6-access-type=EXTERNAL
).
Pour en savoir plus sur l'utilisation de plages IPv6 internes dans vos réseaux et sous-réseaux VPC, consultez la section Spécifications IPv6 internes.
Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, qui se comporte comme suit :
- Toutes les instances de Cloud Router appliquent les routes
to on-premises
apprises à tous les sous-réseaux du réseau VPC. - Les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.
Créer deux passerelles VPN haute disponibilité entièrement configurées qui s'interconnectent
Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.
Créer des passerelles VPN haute disponibilité
Console
L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.
Pour créer la première passerelle VPN haute disponibilité, procédez comme suit :
Dans Google Cloud Console, accédez à la page VPN.
Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.
Sélectionnez l'assistant de configuration VPN.
Si vous disposez déjà d'une passerelle VPN haute disponibilité, sélectionnez son bouton d'options.
Cliquez sur Continuer.
Spécifiez un nom de passerelle VPN.
Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.
Sélectionnez une Région.
Sélectionnez un type de pile pour la passerelle, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile).
Cliquez sur Créer et continuer.
L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IPv4 externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.
Pour créer la deuxième passerelle VPN haute disponibilité, répétez les étapes précédentes, et tenez compte des points suivants :
- Si nécessaire, utilisez un navigateur distinct pour créer la deuxième passerelle VPN haute disponibilité. If you want to connect two HA VPNs, select the project that hosts the network you want to connect.
- Spécifiez la même région que celle que vous avez configurée pour la première passerelle VPN haute disponibilité.
- Veillez à spécifier le même type de pile que la première passerelle : IPv4 (pile unique) ou IPv4 et IPv6 (double pile).
gcloud
En fonction des charges de travail que vous prévoyez de prendre en charge avec vos tunnels, vous pouvez choisir le type de pile comme suit lors de la création des passerelles :
- Pour n'accepter que les charges de travail IPv4, créez une passerelle VPN haute disponibilité avec le type de pile
IPV4_ONLY
. - Pour accepter les charges de travail IPv4 et IPv6, créez une passerelle VPN haute disponibilité avec le type de pile
IPV4_IPV6
. - Pour n'accepter que les charges de travail IPv4, créez une passerelle VPN haute disponibilité avec le type de pile
IPV6_ONLY
.
Pour créer deux passerelles VPN haute disponibilité, exécutez les commandes suivantes :
Créez une passerelle VPN haute disponibilité sur chaque réseau de la région
REGION
.Lorsque les passerelles sont créées, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle. Notez ces adresses IP que vous utiliserez ultérieurement dans les étapes de configuration.
Dans les commandes suivantes, remplacez les éléments suivants :
GW_NAME_1
etGW_NAME_2
: nom de chaque passerelleNETWORK
: nom de votre réseau Google CloudREGION
: région Google Cloud dans laquelle vous devez créer la passerelle et le tunnel.IP_STACK
: option facultative à utiliser pour la pile IP.IPV4_ONLY
– SpécifiezIPV4_IPV6
ouIPV6_ONLY
. Si vous ne spécifiez pas cette option, le type de pile est défini par défaut surIPV4_IPV6
.
Créer la première passerelle
Pour une passerelle avec des interfaces IPv4 :
gcloud compute vpn-gateways create GW_NAME_1 \ --network=NETWORK_1 \ --region=REGION \ --stack-type=IP_STACK
La passerelle que vous créez est semblable à l'exemple de résultat suivant. Une adresse IPv4 externe a été attribuée automatiquement à chaque interface de passerelle :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.16 203.0.113.23 network-a us-central1
Créer la deuxième passerelle
gcloud compute vpn-gateways create GW_NAME_2 \ --network=NETWORK_2 \ --region=REGION \ --stack-type=IP_STACK
Si vous avez spécifié un type de pile pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle.
Pour
REGION
, utilisez la région que vous avez spécifiée lors de la création de la première passerelle VPN haute disponibilité.La passerelle que vous créez ressemble à l'exemple de résultat suivant:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-east1/vpnGateways/ha-vpn-gw-b]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-b 203.0.114.18 203.0.114.25 network-b us-east1
Pour une passerelle avec des interfaces IPv6 :
gcloud compute vpn-gateways create GW_NAME_1 \ --network=NETWORK_1 \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Une adresse IPv6 externe est automatiquement attribuée à chaque interface de passerelle :
API
Pour créer des sessions BGP, procédez comme suit :
Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.
Pour une passerelle avec des interfaces IPv4 :
Créez la première passerelle VPN haute disponibilité en envoyant une requête
POST
à la méthodevpnGateways.insert
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6" }
Le champ
stackType
est facultatif. Les seules valeurs valides sontIPV4_IPV6
etIPV4_ONLY
. Si vous ne spécifiez pas destackType
, la valeur par défaut estIPV4_ONLY
.Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres
project
,name
,network
etregion
appropriés.Si vous avez spécifié
stackType
pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle (IPV4_ONLY
ouIPV4_IPV6
).
Pour une passerelle avec des interfaces IPv6 :
Créez la première passerelle VPN haute disponibilité en envoyant une requête
POST
à la méthodevpnGateways.insert
.POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier
IPV6
comme valeurgatewayIpVersion
. Le champstackType
est facultatif.Si vous ne spécifiez pas
stackType
, la valeur par défaut estIPV4_IPV6
.Les seules valeurs
stackType
valides pour une passerelle dont le paramètregatewayIpVersion
est défini surIPV6
sontIPV4_IPV6
ouIPV6_ONLY
.
Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres
project
,name
,network
etregion
appropriés.Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier
IPV6
comme valeurgatewayIpVersion
. Le champstackType
est facultatif.Si vous avez spécifié
stackType
pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle (IPV6_ONLY
ouIPV4_IPV6
).
Spécifier la ressource de passerelle VPN de pairs
Dans cette configuration, la ressource de passerelle VPN de pairs est le deuxième VPN haute disponibilité, qui est le point de terminaison des nouvelles connexions du tunnel VPN.
Si vous connectez deux réseaux VPC, le second réseau VPC peut exister dans le même projet Google Cloud ou dans un projet Google Cloud distinct.
Console
Pour spécifier la ressource de passerelle VPN de pairs pair, procédez comme suit :
- Sur la page Créer un VPN, de la section Passerelle VPN de pairs, sélectionnez Passerelle Google Cloud VPN.
- Pour Projet, sélectionnez le projet Google Cloud contenant la nouvelle passerelle.
- Pour Nom de la passerelle VPN, sélectionnez le deuxième VPN haute disponibilité que vous avez créé à la section Créer les passerelles VPN haute disponibilité.
- Continue to create VPN tunnels.
gcloud
Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.
Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.
API
Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.
Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.
Créer des routeurs cloud
Console
Sous Cloud Router, si ce n'est pas déjà fait, créez un routeur en spécifiant les options suivantes. Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.
Pour créer un routeur Cloud Router, spécifiez les éléments suivants :
- Un nom
- Une description facultative
- Un numéro ASN Google pour le nouveau routeur
Vous pouvez utiliser n'importe quel ASN privé (
64512
à65534
,4200000000
à4294967294
) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.Pour créer le routeur, cliquez sur Créer.
gcloud
Les instructions suivantes supposent que vous n'avez pas encore créé de routeurs Cloud à utiliser pour la gestion des sessions BGP de vos tunnels VPN haute disponibilité. Vous pouvez utiliser un routeur Cloud Router existant dans chaque réseau VPC, sauf si ces routeurs gèrent déjà une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.
Pour créer deux routeurs Cloud Router, exécutez les commandes suivantes :
Créez un routeur Cloud Router dans chaque réseau de
REGION
.Dans les commandes suivantes, remplacez les éléments suivants :
PEER_ASN_1
etPEER_ASN_2
: tout numéro ASN privé (64512
à65534
,4200000000
à4294967294
) que vous n'utilisez pas déjà. Cet exemple utilise le numéro ASN65001
pour les deux interfaces du routeurROUTER_NAME_1
et ASN65002
pour les deux interfaces du routeurROUTER_NAME_2
.- Remplacez toutes les autres options par les valeurs que vous avez utilisées précédemment.
Créer le premier routeur
gcloud compute routers create ROUTER_NAME_1 \ --region=REGION \ --network=NETWORK_1 \ --asn=PEER_ASN_1
Le routeur que vous créez est semblable à l'exemple de résultat suivant:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
Créer le deuxième routeur
gcloud compute routers create ROUTER_NAME_2 \ --region=REGION \ --network=NETWORK_2 \ --asn=PEER_ASN_2
Le routeur que vous créez est semblable à l'exemple de résultat suivant:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b]. NAME REGION NETWORK router-b us-central1 network-b
API
Si vous avez déjà créé un routeur Cloud Router dans chacun des réseaux VPC hébergeant chacune de vos passerelles VPN haute disponibilité, vous pouvez utiliser ces routeurs au lieu d'en créer. Toutefois, si un routeur Cloud Router gère une session BGP pour un rattachement de VLAN associé à une connexion par interconnexion partenaire, créez un routeur.
Pour créer un routeur Cloud Router, envoyez une requête POST
à la méthode routers.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
Créer des tunnels VPN
Console
Pour créer des tunnels VPN, procédez comme suit :
Sous Haute disponibilité, sélectionnez une paire de tunnels ou un tunnel vers l'autre passerelle VPN haute disponibilité :
Si vous sélectionnez Créer une paire de tunnels VPN (recommandé), configurez les deux boîtes de dialogue qui s'affichent en bas de la page Créer un VPN.
En sélectionnant Créer un tunnel VPN unique, vous configurez un seul tunnel sur le reste de la page Créer un VPN. Toutefois, pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 % avec l'autre passerelle VPN haute disponibilité, vous devez créer un deuxième tunnel. Vous pouvez ajouter un deuxième tunnel ultérieurement, comme décrit à la fin de cette procédure.
Effectuez les étapes suivantes, sur la même page ou dans la boîte de dialogue de chaque tunnel en bas de la page.
Si vous configurez un tunnel sous Interface passerelle Cloud VPN associée, sélectionnez la combinaison interface VPN haute disponibilité et adresse IP de cette passerelle pour l'associer à l'interface passerelle de l'autre passerelle VPN haute disponibilité. Pour les configurations à deux tunnels, cette option et l'option Interface passerelle VPN de pairs associée ne sont pas disponibles, car les combinaisons d'interface appropriées sont configurées pour vous.
- Spécifiez un nom pour le tunnel.
- Spécifiez une Description facultative.
- Spécifiez la version IKE. Nous vous recommandons d'utiliser IKEv2, le paramètre par défaut. Pour autoriser le trafic IPv6, vous devez sélectionner IKEv2.
- Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
- Cliquez sur OK.
- Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.
Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.
gcloud
Pour créer deux tunnels VPN sur chaque passerelle VPN haute disponibilité, exécutez les commandes suivantes :
- Le tunnel que vous créez à partir de l'
interface 0
deGW_NAME_1
doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0
deGW_NAME_2
dansNETWORK_2
. - Le tunnel de l'
interface 1
deGW_NAME_1
doit se connecter à l'adresse IP externe associée à l'interface 1
deGW_NAME_2
. Lorsque vous créez des tunnels VPN sur
GW_NAME_1
dans le réseauNETWORK_1
, spécifiez les informations concernantGW_NAME_2
dans le réseauNETWORK_2
. Google connecte automatiquement le tunnel de l'interface 0
dans le réseauGW_NAME_1
à l'interface 0
du réseauGW_NAME_2
, et l'interface 1
deGW_NAME_1
à l'interface 1
du réseauGW_NAME_2
.Créer deux tunnels sur la passerelle
GW_NAME_1
Créez deux tunnels VPN (un pour chaque interface) de la passerelle
GW_NAME_1
dans le réseauNETWORK_1
.Dans les commandes suivantes, remplacez les éléments suivants :
TUNNEL_NAME_GW1_IF0
etTUNNEL_NAME_GW1_IF1
: nom de chaque tunnel provenant deGW_NAME_1
; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.GW_NAME_2
: valeur de--peer-gcp-gateway
.REGION
: région oùGW_NAME_1
se trouve.- Facultatif :
--vpn-gateway-region
correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de--region
. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande. IKE_VERS
:2
pour IKEv2, comme ces deux tunnels se connectent à une autre passerelle VPN haute disponibilité, Google recommande d'utiliser IKEv2. Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.SHARED_SECRET
: votre clé pré-partagée (secret partagé), qui doit être la même clé que vous utilisez pour le tunnel correspondant créé à partir deGW_NAME_2
sur l'interface 0
et l'interface 1
. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.INT_NUM_0
: numéro0
pour la première interface surGW_NAME_1
.INT_NUM_1
: numéro1
pour la deuxième interface surGW_NAME_1
- Si
peer-gcp-gateway
se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option--peer-gcp-gateway
comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
- La région
--peer-gcp-gateway-region
, qui correspond à la région de la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.
Créer le premier tunnel sur la passerelle
GW_NAME_1
de l'interfaceINT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \ --peer-gcp-gateway=GW_NAME_2 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_1 \ --vpn-gateway=GW_NAME_1 \ --interface=INT_NUM_0
Créer le deuxième tunnel sur la passerelle
GW_NAME_1
de l'interfaceINT_NUM_1
gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \ --peer-gcp-gateway=GW_NAME_2 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_1 \ --vpn-gateway=GW_NAME_1 \ --interface=INT_NUM_1
Le résultat de la commande ressemble à ceci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-a-to-b-if-0 us-central1 ha-vpn-gw-a 0 ha-vpn-gw-b Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-a-to-b-if-1 us-central1 ha-vpn-gw-a 1 ha-vpn-gw-b
Créer deux tunnels sur la passerelle
GW_NAME_2
Créez deux tunnels VPN (un pour chaque interface) de la passerelle
GW_NAME_2
dans le réseauNETWORK_2
.- Le tunnel que vous créez à partir de l'
interface 0
deGW_NAME_2
doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0
deGW_NAME_1
dansNETWORK_1
. - Le tunnel de l'
interface 1
deGW_NAME_2
doit se connecter à l'adresse IP externe associée à l'interface 1
deGW_NAME_1
.
Dans les commandes suivantes, remplacez les éléments suivants :
REGION
: région oùGW_NAME_2
se trouve.- Facultatif :
--vpn-gateway-region
correspond à la région de la passerelle VPN à utiliser. Sa valeur doit être identique à celle de--region
. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande. TUNNEL_NAME_GW2_IF0
etTUNNEL_NAME_GW2_IF1
: nom de chaque tunnel provenant deGW_NAME_2
; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.GW_NAME_1
: valeur de--peer-gcp-gateway
; la valeur de--peer-gcp-gateway-region
doit se trouver dans la même région que celle du tunnel VPN. Si elle n'est pas spécifiée, la valeur est définie automatiquement. Dans cet exemple, la région estREGION
.IKE_VERS
:2
pour IKEv2, étant donné que ces tunnels se connectent aux deux tunnels créés à l'étape précédente, ils doivent utiliser la même version du protocole IKE (Google recommande l'utilisation d'IKEv2). Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.SHARED_SECRET
: votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée pour le tunnel partenaire que vous avez créé sur chaque interface deGW_NAME_1
; pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.GW_NAME_2
: nom de la deuxième passerelle que vous avez configurée à l'étape de configuration de la passerelle.INT_NUM_0
: numéro0
pour la première interface surGW_NAME_2
.INT_NUM_1
: numéro1
pour la deuxième interface surGW_NAME_2
- Si
peer-gcp-gateway
se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option--peer-gcp-gateway
comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
- La région
--peer-gcp-gateway-region
, qui correspond à la région de la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.
Créer le premier tunnel sur la passerelle
GW_NAME_2
de l'interfaceINT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \ --peer-gcp-gateway=GW_NAME_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_2 \ --vpn-gateway=GW_NAME_2 \ --interface=INT_NUM_0
Créer le deuxième tunnel sur la passerelle
GW_NAME_2
de l'interfaceINT_NUM_1
gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \ --peer-gcp-gateway=GW_NAME_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_2 \ --vpn-gateway=GW_NAME_2 \ --interface=INT_NUM_1
Le résultat de la commande ressemble à ceci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-b-to-a-if-0 us-central1 ha-vpn-gw-b 0 ha-vpn-gw-a Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-b-to-a-if-1 us-central1 ha-vpn-gw-b 1 ha-vpn-gw-a
- Le tunnel que vous créez à partir de l'
Après cette étape, attendez quelques minutes, puis vérifiez l'état de chaque tunnel VPN.
L'état d'un tunnel VPN ne passe à
Established
(Établi) que lorsque le tunnel partenaire correspondant est également disponible et correctement configuré. Un protocole IKE et une association de sécurité enfant doivent également être négociés entre eux.Par exemple, le tunnel
tunnel-a-to-b-if-0
sur la passerelleha-vpn-gw-a
ne peut être établi que si le tunneltunnel-b-to-a-if-0
sur la passerelleha-vpn-gw-b
est configuré et disponible.
API
Pour créer deux tunnels VPN, chacun correspondant à une interface sur une passerelle VPN haute disponibilité, envoyez une requête POST
à la méthode vpnTunnels.insert
.
Pour créer le premier tunnel, exécutez la commande suivante :
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b", "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SECRET_1", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier
2
pourikeVersion
.Pour créer le deuxième tunnel, répétez la commande précédente, mais modifiez les paramètres suivants :
name
: par exemple,ha-vpn-gw-a-tunnel-1
sharedSecret
ousharedSecretHash
(si nécessaire)vpnGatewayInterface
: remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par1
)
Ensuite, créez deux tunnels pour votre deuxième passerelle VPN haute disponibilité qui se connectent à votre première passerelle VPN haute disponibilité.
Pour créer le premier tunnel sur la deuxième passerelle VPN haute disponibilité, exécutez la commande suivante :
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-b-tunnel-0", "ikeVersion": 2, "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b", "sharedSecret": SECRET_1, "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b", "vpnGatewayInterface": 0 }
Utilisez le même
sharedSecret
que celui que vous avez spécifié pour le premier tunnel sur la première passerelle (ha-vpn-gw-a-tunnel-0
).Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier
2
pourikeVersion
.Pour créer le second tunnel sur la deuxième passerelle VPN haute disponibilité, répétez la commande précédente, mais modifiez les paramètres suivants :
name
: par exemple,ha-vpn-gw-b-tunnel-1
sharedSecret
ousharedSecretHash
: spécifiez le paramètresharedSecret
ousharedSecretHash
que vous avez utilisé lors de la création du deuxième tunnel sur la première passerellevpnGatewayInterface
: remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par1
)
Créer des sessions BGP
Pour chaque tunnel VPN haute disponibilité, vous pouvez créer une session BGP IPv4, une session BGP IPv6 ou les deux.
Pour afficher des instructions spécifiques, sélectionnez le type de session BGP approprié à votre passerelle VPN haute disponibilité et à vos besoins de trafic réseau VPC.
Type de session BGP | Passerelle VPN HA | Réseau VPC | MP-BGP autorisé ? |
---|---|---|---|
Sessions IPv4 BGP | IPv4 uniquement ou double pile | IPv4 uniquement ou double pile | oui |
Sessions IPv6 BGP | double pile | double pile | oui |
Sessions IPv4 et IPv6 BGP | double pile | double pile | 0 |
Pour utiliser le protocole BGP multiprotocole (MP-BGP) dans les sessions BGP de vos tunnels VPN haute disponibilité, vous devez utiliser des passerelles VPN haute disponibilité à double pile.
Vous devez également utiliser une passerelle VPN haute disponibilité à double pile pour configurer les sessions BGP IPv4 et IPv6 dans le même tunnel VPN haute disponibilité. Toutefois, vous ne pouvez pas activer l'échange de route à double pile (MP-BGP) dans les sessions BGP IPv4 et IPv6 individuelles.
Sessions IPv4 BGP
Console
Pour créer des sessions BGP, procédez comme suit :
- Cliquez sur Configurer la session BGP.
- Sur la page Créer une session BGP, procédez comme suit :
- Dans le champ Type de session BGP, sélectionnez Session BGP IPv4.
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Dans le champ ASN pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pair.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Facultatif : Pour activer l'échange de routage IPv6, cliquez sur l'option Activer le trafic IPv6.
For Allocate BGP IPv4 address, select Automatically or Manually. If you select Manually, do the following: 1. For Cloud Router BGP IPv4 address, enter the Cloud Router BGP IPv4 address. 1. For BGP peer IPv4 address, enter the IPv4 address of the BGP peer. The IPv4 address must meet the following requirements: * Each IPv4 address must belong to the same
/30
subnet that fits within the169.254.0.0/16
address range. * Each IPv4 address is the first or second host of the/30
subnet. The first and the last IP addresses of the subnet are reserved for network and broadcast addresses. * Each IPv4 address range for a BGP session must be unique among all Cloud Routers in all regions of a VPC network.If you select Automatically, Google Cloud automatically selects the IPv4 addresses for your BGP session.
- Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Pour le saut suivant IPv6 BGP de Cloud Router, saisissez une adresse IPv6 dans la plage d'adresses
2600:2d00:0:2::/63
. Cette adresse correspond à l'adresse de saut suivant pour les routes IPv6 annoncées par le routeur Cloud Router. - Pour le saut suivant IPv6 BGP du pair, saisissez une adresse IPv6 dans la plage d'adresses
2600:2d00:0:2::/63
. Cette adresse est l'adresse de saut suivant pour les routes IPv6 reçues par le routeur Cloud Router depuis le pair BGP. - Facultatif : développez la section Options avancées.
- To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. For more information, see Establish BGP sessions.
- To enable MD5 authentication, select Enabled. If enabled, MD5 authentication is used to authenticate BGP sessions For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
- Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
- Pour le saut suivant IPv6 BGP de Cloud Router, saisissez une adresse IPv6 dans la plage d'adresses
- Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
Cliquez sur Save and continue (Enregistrer et continuer).
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Pour créer des sessions BGP, procédez comme suit :
Dans cette section, vous allez configurer les interfaces Cloud Router et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre la plage d'adresses IPv4 et les adresses IPv4 du pair que vous spécifiez pour chaque interface.
Par exemple, la première interface de router-1
est associée à une adresse IPv4 169.254.0.1
, ce qui signifie que router-1
est le premier hôte du sous-réseau IPv4 169.254.0.0/30
. L'autre routeur cloud, router-2
, est le pair BGP de router-1
. La première interface de router-2
est attribuée à 169.254.0.2
, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30
.
Par conséquent, l'adresse BGP IPv4 du pair de router-1
est 169.254.0.2
et l'adresse BGP IPv4 du pair de router-2
est 169.254.0.1
.
Ce tableau montre également un exemple de configuration d'adresse de saut suivant IPv6.
Routeur | Nom d'interface | Plage d'adresses IPv4 | Adresse IPv4 du pair | Numéro ASN du pair | Adresse du saut suivant IPv6 |
Adresse du saut suivant IPv6 |
---|---|---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0 | 169.254.0.1/30 | 169.254.0.2 | 65002 | 2600:2d00:0:2::1 | 2600:2d00:0:2::2 |
router-2 | if-tunnel-b-to-a-if-0 | 169.254.0.2/30 | 169.254.0.1 | 65001 | 2600:2d00:0:2::2 | 2600:2d00:0:2::1 |
router-1 | if-tunnel-a-to-b-if-1 | 169.254.1.1/30 | 169.254.1.2 | 65002 | 2600:2d00:0:2:1::1 | 2600:2d00:0:2:1::2 |
router-2 | if-tunnel-b-to-a-if-1 | 169.254.1.2/30 | 169.254.1.1 | 65001 | 2600:2d00:0:2:1::2 | 2600:2d00:0:2:1::1 |
Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF0
.Cette interface connecte
TUNNEL_NAME_GW1_IF0
sur l'interface 0
deGW_1
à l'interface 0
deGW_2
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_0
: nom de l'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW1_IF0
s'avère utile.IP_VERSION
: spécifiezIPV4
ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut estIPV4
.IP_ADDRESS_1
: adresse IPv4 BGP de la plage d'adresses IPv4169.254.0.0/16
qui n'est pas encore utilisée ; cet exemple utilise169.254.0.1
. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: spécifiez30
, car le routeur Cloud Router doit utiliser un CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
.PEER_NAME_GW1_IF0
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW1_IF0
s'avère utile.PEER_IP_ADDRESS_1
: adresse IPv4 BGP de169.254.0.0/16
qui n'est pas encore utilisée. Cet exemple utilise169.254.0.2
. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 BGP,IP_ADDRESS_1
précédemment, omettez cette option. Google Cloud attribue automatiquement une adresse IPv4 du pair BGP correspondant. Si vous avez spécifié manuellementIP_ADDRESS_1
, vous devez également configurer manuellement cette option.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud RouterROUTER_NAME_2
. cet exemple utilise le numéro ASN65002
Facultatif: si vous créez des sessions BGP IPv4 avec MP-BGP, spécifiez
--enable-ipv6
lorsque vous exécutez la commandeadd-bgp-peer
pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant manuellement, remplacez les deux éléments suivants :IPV6_NEXTHOP_ADDRESS_1
: adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router.PEER_IPV6_NEXTHOP_ADDRESS_1
: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGPThe next-hop address must be in the
2600:2d00:0:2::/63
IPv6 address range.
Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage d'adresses IPv6
2600:2d00:0:2::/63
.AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW1_IF0
. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Créer une interface Cloud Router pour
TUNNEL_NAME_GW1_IF0
Pour créer une interface avec une adresse IPv4 sur Cloud Router, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF0
L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
La commande suivante crée un pair BGP IPv4 sans IPv6 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF1
.Cette interface permet de connecter
TUNNEL_NAME_GW1_IF1
à l'interface 1
deGW_1
à l'interface 1
deGW_2
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_1
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW1_IF1
s'avère utile.IP_VERSION
: spécifiezIPV4
ou laissez-la sur non spécifié.IP_ADDRESS_2
: facultatif: adresse IPv4 BGP de169.254.0.0/16
qui n'est pas encore utilisée ; cet exemple utilise169.254.1.1
. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: spécifiez30
, car le routeur Cloud Router doit utiliser un CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
.PEER_NAME_GW1_IF1
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW1_IF1
s'avère utile.PEER_IP_ADDRESS_2
: adresse IPv4 BGP de la plage d'adresses IPv4169.254.0.0/16
qui n'est pas encore utilisée ; cet exemple utilise169.254.1.2
. Si vous n'avez pas spécifiquement attribué d'adresse IP BGP,IP_ADDRESS_2
, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv4 de pair BGP correspondante. Si vous avez spécifié manuellementIP_ADDRESS_2
, vous devez également configurer manuellement cette option.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud RouterROUTER_NAME_2
; cet exemple utilise le numéro ASN65002
Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez
--enable-ipv6
dans la commandeadd-bgp-peer
pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :IPV6_NEXTHOP_ADDRESS_2
: adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage2600:2d00:0:2::/63
.PEER_IPV6_NEXTHOP_ADDRESS_2
: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv62600:2d00:0:2::/63
.
Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage d'adresses IPv6
2600:2d00:0:2::/63
.AUTHENTICATION_KEY_2
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW1_IF1
. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Créer une interface Cloud Router pour
TUNNEL_NAME_GW1_IF1
Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF1
L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
La commande suivante crée un pair BGP IPv4 pour lequel l'échange de routes IPv6 n'est pas activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Vérifier les paramètres du routeur
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Le résultat de la commande ressemble à ceci :
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-a-to-b-if-0 ipAddress: 169.254.0.1 ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1 name: bgp-peer-tunnel-a-to-b-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-a-to-b-if-1 ipAddress: 169.254.1.1 ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1 name: bgp-peer-tunnel-a-to-b-if-1 peerAsn: 65002 peerIpAddress: 169.254.1.2 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF0
.Cette interface connecte
TUNNEL_NAME_GW2_IF0
sur l'interface 0
deGW_2
à l'interface 0
deGW_1
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_0
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW2_IF0
s'avère utile.IP_VERSION
: spécifiezIPV4
ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut estIPV4
.IP_ADDRESS_3
: si vous avez configuréPEER_IP_ADDRESS_1
manuellement pourTUNNEL_NAME_GW1_IF0
, spécifiez cette valeur pourIP_ADDRESS_3
. Si Google Cloud a attribué automatiquement cette adresse IPv4 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
. Dans la sortie du pair BGPPEER_NAME_GW1_IF0
, utilisez la valeur qui apparaît dans le champpeerIpAddress
. Cet exemple utilise169.254.0.2
.MASK_LENGTH
: spécifiez30
, car le routeur Cloud Router doit utiliser un CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
.PEER_NAME_GW2_IF0
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW2_IF0
s'avère utile.PEER_IP_ADDRESS_3
: adresse IPv4 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et utilisez la valeur qui apparaît dans le champipAddress
pour le pair BGPPEER_NAME_GW1_IF0
que vous avez créé pourTUNNEL_NAME_GW1_IF0
. Cet exemple utilise169.254.0.1
.PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.Facultatif: si vous créez des tunnels VPN avec des sessions BGP IPv4 et MP-BGP, spécifiez
--enable-ipv6
dans la commandeadd-bgp-peer
pour activer le trafic IPv6. Vous devez configurer les adresses de saut suivant IPv6 pour qu'elles correspondent à l'interface et au pair BGP configuré pour la première passerelle. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :IPV6_NEXTHOP_ADDRESS_3
: adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dansPEER_IPV6_NEXTHOP_ADDRESS_1
. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pourTUNNEL_NAME_GW1_IF0
surROUTER_NAME_1
, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutezgcloud compute routers describe ROUTER_NAME_1
et vérifiez le résultat du pair BPGPEER_NAME_GW1_IF0
que vous avez configuré pourTUNNEL_NAME_GW1_IF0
. Utilisez la valeur qui apparaît dans le champpeerIpv6NextHopAddress
. Cet exemple utilise2600:2d00:0:2:0:0:0:2
.PEER_IPV6_NEXTHOP_ADDRESS_3
: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dansIPV6_NEXTHOP_ADDRESS_1
. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et vérifiez le résultat pour le pair BPG que vous avez configuré pourTUNNEL_NAME_GW1_IF0
. Utilisez la valeur qui apparaît dans le champIpv6NextHopAddress
. Cet exemple utilise2600:2d00:0:2:0:0:0:1
.
AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW2_IF0
Créer une interface Cloud Router pour
TUNNEL_NAME_GW2_IF0
Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION
Créer un pair BGP pour
TUNNEL_NAME_GW2_IF0
L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
La commande suivante crée un pair BGP IPv4 sans l'échange de route IPv6 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Si vous avez configuré
ROUTER_NAME_1
pour utiliser l'authentification MD5 pourPEER_NAME_GW1_IF0
, configurezROUTER_NAME_2
de manière à utiliser l'authentification MD5, comme suit :gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Créez une interface avec une adresse IPv4 et un pair BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF1
.Cette interface connecte
TUNNEL_NAME_GW2_IF1
sur l'interface 1
deGW_2
à l'interface 1
deGW_1
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_1
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW2_IF1
s'avère utile.IP_VERSION
: spécifiezIPV4
ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut estIPV4
.IP_ADDRESS_4
: si vous avez attribué manuellement une adresse IPv4 BGP pourPEER_IP_ADDRESS_2
pourTUNNEL_NAME_GW1_IF1
, spécifiez cette valeur pourIP_ADDRESS_4
. Si Google Cloud a attribué automatiquement l'adresse IPv4, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
. Dans la sortie du pair BGPPEER_NAME_GW1_IF1
, utilisez la valeur qui apparaît dans le champpeerIpAddress
. Cet exemple utilise169.254.1.2
.MASK_LENGTH
: pour une interface avec une adresse IPv4, spécifiez30
, car Cloud Router doit utiliser un masque CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
. Pour une interface avec une adresse IPv6, spécifiez une longueur de masque inférieure ou égale à126
.PEER_NAME_GW2_IF1
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW2_IF1
s'avère utile.PEER_IP_ADDRESS_4
: adresse IP que vous avez spécifiée commeIP_ADDRESS_2
lors de la configuration de la première passerelle et de la première interface. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et utilisez la valeur qui apparaît dans le champipAddress
pour le pair BGPTUNNEL_NAME_GW1_IF1
que vous avez créé pour . Cet exemple utilise169.254.1.1
.PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez
--enable-ipv6
dans la commandeadd-bgp-peer
pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :IPV6_NEXTHOP_ADDRESS_4
: adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dansPEER_IPV6_NEXTHOP_ADDRESS_2
. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pourTUNNEL_NAME_GW1_IF1
surROUTER_NAME_1
, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et vérifiez le résultat du pair BPGPEER_NAME_GW1_IF1
que vous avez configuré pourTUNNEL_NAME_GW1_IF1
. Utilisez la valeur qui apparaît dans le champpeerIpv6NextHopAddress
.PEER_IPV6_NEXTHOP_ADDRESS_3
: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dansIPV6_NEXTHOP_ADDRESS_2
. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et vérifiez le résultat pour le pair BPGPEER_NAME_GW1_IF1
que vous avez configuré pourTUNNEL_NAME_GW1_IF1
. Utilisez la valeur qui apparaît dans le champIpv6NextHopAddress
. Cet exemple utilise2600:2d00:0:2:0:0:1:1
.
AUTHENTICATION_KEY_2
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW2_IF1
Créer une interface Cloud Router pour
TUNNEL_NAME_GW2_IF1
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Créer un pair BGP pour
TUNNEL_NAME_GW2_IF1
L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
La commande suivante crée un pair BGP sans échange de route IPv6 activé :
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Si vous avez configuré
ROUTER_NAME_1
pour utiliser l'authentification MD5 pourPEER_NAME_GW1_IF1
, configurezROUTER_NAME_2
de manière à utiliser l'authentification MD5, comme suit :gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Le résultat de la commande ressemble à ceci :Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Vérifier les paramètres du routeur
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Le résultat de la commande ressemble à ceci :
bgp: advertiseMode: DEFAULT asn: 65002 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-b-to-a-if-0 ipAddress: 169.254.0.2 ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2 name: bgp-peer-tunnel-b-to-a-if-0 peerAsn: 65001 peerIpAddress: 169.254.0.1 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-b-to-a-if-1 ipAddress: 169.254.1.2 ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2 name: bgp-peer-tunnel-b-to-a-if-1 peerAsn: 65001 peerIpAddress: 169.254.1.1 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Pour créer une interface Cloud Router, envoyez l'une des requêtes suivantes :
PATCH
: Utilisez la méthoderouters.patch
UPDATE
: Utilisez la méthoderouters.update
The
PATCH
request updates only the parameters that you include, whereas theUPDATE
request updates all the parameters of a Cloud Router.Vous devez créer une interface Cloud Router pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.
Les plages d'adresses IPv4 BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Pour ajouter une configuration de pair BGP à l'interface, effectuez l'une des requêtes suivantes :
PATCH
: Utilisez la méthoderouters.patch
UPDATE
: Utilisez la méthoderouters.update
Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf
name
etpeerAsn
.Pour créer une configuration de session BGP complète pour une passerelle VPN haute disponibilité, utilisez la commande API suivante :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "peerIpAddress": "169.254.0.2", "peerAsn": 65002, "advertiseMode": "DEFAULT" } ] }
Pour créer la configuration de session BGP complète pour une passerelle VPN haute disponibilité avec le protocole IPv6 activé, utilisez la commande API suivante :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "peerIpAddress": "169.254.0.2", "peerAsn": 65002, "advertiseMode": "DEFAULT" "enableIpv6": true "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1" "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2" } ] }
Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ], }
Sessions IPv6 BGP
Console
Pour créer des sessions BGP, procédez comme suit :
- Cliquez sur Configurer la session BGP.
Sur la page Créer une session BGP, procédez comme suit :
- For BGP session type, select IPv6 BGP session.
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Dans le champ ASN pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pair.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Facultatif : pour activer l'échange de route IPv4, cliquez sur l'option Activer le trafic IPv4.
Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Dans le champ Adresse IPv6 BGP Cloud Router, saisissez l'adresse IPv6 BGP Cloud Router.
- Pour Adresse IPv6 du pair BGP, saisissez l'adresse IPv6 du pair BGP. L'adresse IPv6 doit répondre aux exigences suivantes :
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
fdff:1::/64
avec une longueur de masque de/64
. Exemple :fdff:1::1
. - Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv6 pour votre session BGP.
Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- In the Cloud Router BGP IPv4 next hop field, enter an IPv4 address in
the
169.254.0.0/16
address range. This IP address is the next hop address for IPv4 routes that are advertised by the Cloud Router. - In the Peer BGP IPv4 next hop field, enter an IP address in the
169.254.0.0/16
address range. This IP address is the next hop address for IPv4 routes learned by the Cloud Router from the BGP peer. - Facultatif : développez la section Options avancées.
- To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. For more information, see Establish BGP sessions.
- To add MD5 authentication, select Enabled. If enabled, you can use MD5 authentication to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
- Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
- In the Cloud Router BGP IPv4 next hop field, enter an IPv4 address in
the
Cliquez sur Save and continue (Enregistrer et continuer).
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Pour créer des sessions BGP, procédez comme suit :
Dans cette section, vous allez configurer les interfaces Cloud Router IPv6 et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre les plages IPv6 BGP et les adresses IP de pairs que vous spécifiez pour chaque interface.
Par exemple, la première interface de router-1
est associée à une adresse IPv6 de fdff:1::1
, ce qui signifie que router-1
est le premier hôte du sous-réseau IPv6 fdff:1::/126
. L'autre routeur cloud, router-2
, est le pair BGP de router-1
. La première interface de router-2
est attribuée à fdff:1::2
, qui est le deuxième hôte du sous-réseau IPv6 fdff:1::/126
.
Par conséquent, l'adresse IPv6 BGP du pair de router-1
est fdff:1::2
et l'adresse de router-2
est fdff:1::2
.
Routeur | Nom d'interface | Plage d'adresses IPv6 | Adresse IPv6 du pair | Numéro ASN du pair | Adresse du saut suivant IPv4 |
Adresse du saut suivant IPv4 de pair |
---|---|---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0 | fdff:1::/64 | fdff:1::2 | 65002 | 169.254.12.1 | 169.254.12.2 |
router-2 | if-tunnel-b-to-a-if-0 | fdff:1::/64 | fdff:1:1:2::1 | 65001 | 169.254.12.2 | 169.254.12.1 |
router-1 | if-tunnel-a-to-b-if-1 | fdff:1::/64 | fdff:1::2 | 65002 | 169.254.13.1 | 169.254.13.2 |
router-2 | if-tunnel-b-to-a-if-1 | fdff:1::/64 | fdff:1:1:2::1 | 65001 | 169.254.13.2 | 169.254.13.1 |
Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF0
.Cette interface connecte
TUNNEL_NAME_GW1_IF0
sur l'interface 0
deGW_1
à l'interface 0
deGW_2
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_0
: nom de l'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW1_IF0
s'avère utile.IP_VERSION
:IPV6
; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.IP_ADDRESS_1
: adresse IPv6 BGP de la plage d'adresses IPv6fdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilisefdff:1::1
. Si vous omettez cette option et que vous n'attribuez pas d'adresse IPv6 manuellement, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: spécifiez une longueur de masque de126
.PEER_NAME_GW1_IF0
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW1_IF0
s'avère utile.PEER_IP_ADDRESS_1
: adresse IPv6 BGP de la plage d'adresses IPv6fdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilisefdff:1::2
. Si vous n'avez pas encore attribué d'adresse IPv6 BGP spécifique,IP_ADDRESS_1
, omettez cette option. Google Cloud attribue automatiquement une adresse IPv6 du pair BGP correspondant. Si vous avez spécifié manuellementIP_ADDRESS_1
, vous devez également configurer manuellement cette option.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud RouterROUTER_NAME_2
. cet exemple utilise le numéro ASN65002
Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez
--enable-ipv4
lorsque vous exécutez la commandegcloud compute routers add-bgp-peer
. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :
IPV4_NEXTHOP_ADDRESS_1
: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale169.254.0.0/16
. Pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses de liaison locale169.254.0.0/16
.
Si vous ne spécifiez pas les adresses de saut suivant IPv4, Google Cloud attribue automatiquement les adresses non utilisées de la plage d'adresses IPv4
169.254.0.0/16
.AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW1_IF0
. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Facultatif: Attribuer une plage d'identifiants BGP
Lorsque vous ajoutez la première interface à un routeur cloud disposant d'une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.
Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.
Automatique
Créer une interface pour
TUNNEL_NAME_GW1_IF0
Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV6
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF0
Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \
La commande suivante crée un pair BGP sans IPv4 activé et une adresse IPv6 attribuée automatiquement:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Mode manuel
Créer une interface pour
TUNNEL_NAME_GW1_IF0
Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF0
Pour créer un pair BGP avec l'échange de routes IPv4 activé et les adresses de saut suivant IPv4 spécifiées manuellement, exécutez la commande suivante.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_1 \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_1
La commande suivante crée un pair BGP sans échange de route IPv4 activé :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF1
.Cette interface connecte
TUNNEL_NAME_GW1_IF1
sur l'interface 1
deGW_1
à l'interface 1
deGW_2
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_1
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW1_IF1
s'avère utile.IP_VERSION
:IPV6
IP_ADDRESS_2
: adresse IPv6 BGP de la plage d'adresses IPv6fdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilisefdff:1::1:1
. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: spécifiez une longueur de masque de64
.PEER_NAME_GW1_IF1
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW1_IF1
s'avère utile.PEER_IP_ADDRESS_2
: adresse IPv6 BGP de la plage d'adresses IPv6fdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilisefdff:1::1:2
. Si vous n'avez pas spécifiquement attribué d'adresse IPv6,IP_ADDRESS_2
, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv6 du pair BGP. Si vous avez spécifié manuellementIP_ADDRESS_2
, vous devez également configurer manuellement cette option.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud RouterROUTER_NAME_2
; cet exemple utilise le numéro ASN65002
Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez
--enable-ipv4
lorsque vous exécutez la commandegcloud compute routers add-bgp-peer
. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :
IPV4_NEXTHOP_ADDRESS_2
: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale169.254.0.0/16
.PEER_IPV4_NEXTHOP_ADDRESS_2
: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale169.254.0.0/16
.
AUTHENTICATION_KEY_2
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW1_IF1
. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Automatique
Créer une interface Cloud Router pour
TUNNEL_NAME_GW1_IF1
Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV6
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF1
Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \
La commande suivante crée un pair BGP sans IPv4 activé :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Mode manuel
Créer une interface Cloud Router pour
TUNNEL_NAME_GW1_IF1
Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \
Créer un pair BGP pour
TUNNEL_NAME_GW1_IF1
Pour créer un pair BGP IPv6 avec l'échange de routes IPv4 activé, exécutez la commande suivante:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_2 \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_2
La commande suivante crée un pair BGP sans IPv4 activé :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Facultatif : Pour utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Vérifier les paramètres du routeur
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Le résultat de la commande ressemble à ceci :
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-a-to-b-if-0 ipAddress: fdff:1::1 ipv4NexthopAddress: 169.254.12.2 name: bgp-peer-tunnel-a-to-b-if-0 peerAsn: 65002 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.12.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-a-to-b-if-1 ipAddress: fdff:1:1:2::1 ipv4NexthopAddress: 169.254.13.2 name: bgp-peer-tunnel-a-to-b-if-1 peerAsn: 65002 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.13.1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF0
.Cette interface connecte
TUNNEL_NAME_GW2_IF0
sur l'interface 0
deGW_2
à l'interface 0
deGW_1
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_0
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW2_IF0
s'avère utile.IP_VERSION
:IPV6
; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.IP_ADDRESS_3
: si vous avez attribué manuellement une adresse IPv6 BGP pourPEER_IP_ADDRESS_1
pourTUNNEL_NAME_GW1_IF0
, spécifiez cette valeur pourIP_ADDRESS_3
. Si Google Cloud a attribué automatiquement cette adresse IPv6 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
. Dans la sortie du pair BGPPEER_NAME_GW1_IF0
, utilisez la valeur qui apparaît dans le champpeerIpAddress
. Cet exemple utilisefdff:1::2
.MASK_LENGTH
: spécifiez une longueur de masque inférieure ou égale à126
.PEER_NAME_GW2_IF0
: nom décrivant le pair BGP ; utiliser un nom lié àTUNNEL_NAME_GW2_IF0
s'avère utile.PEER_IP_ADDRESS_3
: adresse IPv6 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et utilisez la valeur qui apparaît dans le champipAddress
pour le pair BGPfdff:1::1
que vous avez créé pour .PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez
--enable-ipv4
lorsque vous exécutez la commandegcloud compute routers add-bgp-peer
pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :
IPV4_NEXTHOP_ADDRESS_3
: the next hop address for IPv4 routes specified previously inPEER_IPV4_NEXTHOP_ADDRESS_1
; if you automatically assigned IPv4 next hop addresses when you created the interface and BGP peer forTUNNEL_NAME_GW1_IF0
onROUTER_NAME_1
, then you must find out what address has been allocated by Google Cloud. Run thegcloud compute routers describe ROUTER_NAME_1
command, and check the output for the BPG peer you set up forTUNNEL_NAME_GW1_IF0
. Use the value that appears in thepeerIpv4NextHopAddress
field. This example uses169.254.13.1
.PEER_IPV4_NEXTHOP_ADDRESS_2
: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage IPv4 de liaison locale169.254.0.0/16
. Cet exemple utilise169.254.13.2
.
AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW2_IF0
Facultatif: Attribuer une plage d'identifiants BGP
Lorsque vous ajoutez la première interface à un routeur cloud avec une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.
Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.
Créer une interface Cloud Router pour
TUNNEL_NAME_GW2_IF0
Pour créer une interface avec une adresse IPv6, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION \ --ip-version=IPV6
Créer un pair BGP pour
TUNNEL_NAME_GW2_IF0
L'exemple de commande suivant crée un pair BGP compatible avec IPv4 :
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
La commande suivante crée un pair BGP sans IPv4 activé :
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Si vous avez configuré
ROUTER_NAME_1
pour utiliser l'authentification MD5 pourPEER_NAME_GW1_IF0
, configurezROUTER_NAME_2
de manière à utiliser l'authentification MD5, comme suit :gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Créez une interface et un pair BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF1
.Cette interface connecte
TUNNEL_NAME_GW2_IF1
sur l'interface 1
deGW_2
à l'interface 1
deGW_1
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_1
: nom d'interface Cloud Router ; utiliser un nom associé àTUNNEL_NAME_GW2_IF1
s'avère utile.IP_ADDRESS_4
: si vous avez attribué manuellement une adresse IPv6 BGP pourPEER_IP_ADDRESS_2
pourTUNNEL_NAME_GW1_IF1
, spécifiez cette valeur pourIP_ADDRESS_4
. Si Google Cloud a attribué automatiquement l'adresse IPv6 du pair BGP lors de la création de l'interface et du pair BGP pourTUNNEL_NAME_GW1_IF1
surROUTER_NAME_1
, vous devez savoir quelle adresse a été allouées par Google Cloud. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
. Dans la sortie du pair BGP, utilisez la valeur qui apparaît dans le champpeerIpAddress
. Cet exemple utilisefdff:1::1:2
.MASK_LENGTH
: spécifiez une longueur de masque de126
.PEER_NAME_GW2_IF1
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW2_IF1
s'avère utile.PEER_IP_ADDRESS_4
: si vous avez attribué manuellement une adresse IP BGP pourIP_ADDRESS_2
pourTUNNEL_NAME_GW1_IF1
, spécifiez cette valeur pourPEER_IP_ADDRESS_4
. Si Google Cloud vous a attribué automatiquement l'adresse IPv6 BGP, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutezgcloud compute routers describe ROUTER_NAME_1
et utilisez la valeur qui apparaît dans le champipAddress
pour le pair BGP que vous avez créé. Cet exemple utilisefdff:1::1:1
.PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez
--enable-ipv4
lorsque vous exécutez la commandegcloud compute routers add-bgp-peer
pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :
IPV4_NEXTHOP_ADDRESS_4
: adresse du saut suivant pour les routes IPv4 spécifiées précédemment dansPEER_IPV4_NEXTHOP_ADDRESS_3
. Si vous avez attribué automatiquement des adresses de saut suivant IPv4 lors de la création de l'interface et du pair BGP pourTUNNEL_NAME_GW1_IF0
surROUTER_NAME_1
, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commandegcloud compute routers describe ROUTER_NAME_1
et vérifiez le résultat du pair BPG que vous avez configuré pourTUNNEL_NAME_GW1_IF0
. Utilisez la valeur qui apparaît dans le champpeerIpv4NextHopAddress
. Cet exemple utilise169.254.13.1
.PEER_IPV4_NEXTHOP_ADDRESS_4
: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale169.254.0.0/16
. Cet exemple utilise169.254.13.2
.
AUTHENTICATION_KEY_2
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW2_IF1
Créer une interface Cloud Router pour
TUNNEL_NAME_GW2_IF1
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION \
Le résultat de la commande ressemble à celui de l'exemple ci-dessous.
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Créer un pair BGP pour
TUNNEL_NAME_GW2_IF1
L'exemple de commande suivant crée un pair BGP IPv6 avec l'échange de routes IPv4 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
La commande suivante crée un pair BGP IPv6 sans l'échange de routes IPv4 activé:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Si vous avez configuré
ROUTER_NAME_1
pour utiliser l'authentification MD5 pourPEER_NAME_GW1_IF1
, configurezROUTER_NAME_2
de manière à utiliser l'authentification MD5, comme suit :gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Le résultat de la commande ressemble à celui de l'exemple ci-dessous.
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Vérifier les paramètres du routeur
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Le résultat de la commande ressemble à celui de l'exemple ci-dessous.
bgp: advertiseMode: DEFAULT asn: 65002 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-b-to-a-if-0 ipAddress: fdff:1::2 ipv4NexthopAddress: 169.254.12.2 name: bgp-peer-tunnel-b-to-a-if-0 peerAsn: 65001 peerIpAddress: fdff:1::1 peerIpv4NexthopAddress: 169.254.12.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-b-to-a-if-1 ipAddress: fdff:1::1 ipv4NexthopAddress: 169.254.13.2 name: bgp-peer-tunnel-b-to-a-if-1 peerAsn: 65001 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.13.2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: fdff:1::2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: fdff:1::1:2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Pour créer une interface Cloud Router avec une adresse IPv6, envoyez une requête
PATCH
ouUPDATE
à la méthoderouters.patch
ou à la méthoderouters.update
.PATCH
met uniquement à jour les paramètres que vous incluez. La requêteUPDATE
met à jour tous les paramètres du routeur Cloud Router. Créez une interface pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.L'exemple suivant crée une interface avec une adresse BGP IPv6 configurée manuellement.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::1/126" } ] }
Chaque plage d'adresses IPv6 BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Autre exemple : la commande suivante crée une interface avec une adresse IPv6 attribuée automatiquement.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Répétez cette étape pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.
Ajoutez un pair BGP au routeur Cloud Router pour chaque interface.
Pour créer un pair BGP, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ourouters.update
.. Répétez cette commande pour les autres interfaces, en modifiant les valeurs de champ selon vos besoins.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-b-if-0", "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "peerIpAddress": "fdff:1::1", "peerAsn": 65002, "advertiseMode": "DEFAULT" } ] }
Pour créer une session BGP IPv6 avec les adresses de saut suivant MP-BGP et IPv4 configurées, utilisez la commande API suivante:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-b-if-0", "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "peerIpAddress": "fdff:1::1", "peerAsn": 65002, "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.12.2", "peerIpv4NexthopAddress: "169.254.12.1" } ] }
Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "name": "bgp-peer-tunnel-a-to-b-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::1", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ], }
Sessions BGP IPv4 et IPv6
Console
Pour créer des sessions BGP IPv4 et IPv6, procédez comme suit :
- Cliquez sur Configurer la session BGP.
Sur la page Créer une session BGP, procédez comme suit :
- Dans le champ Type de session BGP, sélectionnez Les deux.
Session BGP IPv4
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Dans le champ ASN pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pair.
- Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Dans le champ Adresse IPv4 BGP du routeur cloud, saisissez l'adresse IPv4 BGP du routeur cloud.
For BGP peer IPv4 address, enter the IPv4 address of the BGP peer. The IPv4 address must meet the following requirements:
- Chaque adresse IPv4 doit appartenir au même sous-réseau
/30
compris dans la plage d'adresses169.254.0.0/16
. - * Chaque adresse IPv4 BGP est le premier ou le deuxième hôte du sous-réseau
/30
. Les première et dernière adresses IP du sous-réseau sont réservées aux adresses réseau et de diffusion. - Each IPv4 address range for a BGP session must be unique among all Cloud Routers in all regions of a VPC network.
If you select Automatically, Google Cloud automatically selects the IPv4 addresses for your BGP session.
If you select automatic IPv6 address allotment, Google Cloud automatically selects the IPv6 addresses for your BGP session.
- Chaque adresse IPv4 doit appartenir au même sous-réseau
Facultatif : développez la section Options avancées.
Pour activer Pair BGP, sélectionnez Activé. Si cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez Établir des sessions BGP.
To add MD5 authentication, select Enabled. If enabled, you can use MD5 authentication to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
Cliquez sur Save and continue (Enregistrer et continuer).
Session BGP IPv6
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Dans le champ ASN pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pair.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- For Cloud Router BGP IPv6 address, enter the Cloud Router BGP IPv6 address.
For BGP peer IPv6 address, enter the IPv6 address of the BGP peer. The IPv4 address must meet the following requirements:
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
fdff:1::/64
avec une longueur de masque de/64
. Exemple :fdff:1::1
- * Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv6 pour votre session BGP.
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
Facultatif : développez la section Options avancées.
Pour activer Pair BGP, sélectionnez Activé. Si cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez Établir des sessions BGP.
To enable MD5 authentication, select Enabled. If enabled, MD5 authentication is used to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
Cliquez sur Save and continue (Enregistrer et continuer).
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Dans cette section, vous configurez deux interfaces et des pairs BGP pour chaque tunnel VPN haute disponibilité. Le tableau suivant présente ces interfaces et pairs. Il indique la relation entre les plages d'adresses IP et les adresses IP du pair que vous spécifiez pour chaque interface.
Par exemple, une adresse IPv4 de 169.254.0.1
est attribuée à la première interface de router-1
. La seconde interface de router-1
se voit attribuer une adresse IPv6 de fdff:1::1
.
L'autre routeur cloud, router-2
, est le pair BGP de router-1
. La première interface de router-2
est attribuée à 169.254.0.2
, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30
.
La deuxième interface de router-2
est attribuée à fdff:1::2
, qui est le deuxième hôte du sous-réseau IPv6 fdff:1::/126
.
L'adresse IPv4 BGP du pair de router-1
est 169.254.0.2
et son adresse IPv6 du pair BGP est fdff:1::2
.
L'adresse IPv4 BGP du pair de router-2
est 169.254.0.1
et son adresse IPv6 du pair BGP est fdff:1::1
.
Routeur | Nom d'interface | Adresse IP BGP | Adresse IP du pair | Numéro ASN du pair |
---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0_ipv4 | 169.254.0.1/30 | 169.254.0.2 | 65002 |
router-1 | if-tunnel-a-to-b-if-0_ipv6 | fdff:1::1/126 | fdff:1::2 | 65002 |
router-1 | if-tunnel-a-to-b-if-1_ipv4 | 169.254.1.1/30 | 169.254.1.2 | 65002 |
router-1 | if-tunnel-a-to-b-if-1_ipv6 | fdff:1::1:1/126 | fdff:1::1:2 | 65002 |
router-2 | if-tunnel-b-to-a-if-0_ipv4 | 169.254.0.2/30 | 169.254.0.1 | 65001 |
router-2 | if-tunnel-b-to-a-if-0_ipv6 | fdff:1::2/126 | fdff:1:1:2::1 | 65001 |
router-2 | if-tunnel-b-to-a-if-1_ipv4 | 169.254.1.2/30 | 169.254.1.1 | 65001 |
router-2 | if-tunnel-b-to-a-if-1_ipv6 | fdff:1::1:2/126 | fdff:1::1:1 | 65001 |
Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.
Créez des interfaces et des pairs BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF0
.Les deux interfaces connectent
TUNNEL_NAME_GW1_IF0
sur l'interface 0
deGW_1
à l'interface 0
deGW_2
.Dans les commandes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_0_ipv4
etROUTER_1_INTERFACE_NAME_0_ipv6
: noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés àTUNNEL_NAME_GW1_IF0
IP_VERSION
: version IPv6 de l'interface,IPV6
ouIPV4
. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.IPV4_ADDRESS_1
etIPV6_ADDRESS_1
: adresse IP BGP de la plage d'adresses169.254.0.0/16
oufdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilise169.254.0.1
etfdff:1::1
. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IP BGP, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: lorsque vous spécifiez une adresse IPv6 BGP pour une interface, spécifiez30
, car le routeur Cloud Router doit utiliser un CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque de126
.PEER_NAME_GW1_IF0_ipv4
etPEER_NAME_GW1_IF0_ipv6
: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés àTUNNEL_NAME_GW1_IF0
.PEER_IPV4_ADDRESS_1
etPEER_IPV6_ADDRESS_1
: adresse BGP de la plage d'adresses IPv6169.254.0.0/16
oufdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilise169.254.0.2
etfdff:1::2
. Si vous n'avez pas encore attribué d'adresses BGP spécifiques pourIPV4_ADDRESS_1
etIPV6_ADDRESS_1
, omettez ces options. Google Cloud attribue automatiquement une adresse IP de pair BGP correspondante. Si vous avez spécifié manuellementIPV4_ADDRESS_1
etIPV6_ADDRESS_1
, vous devez également configurer manuellement ces options.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_2
. cet exemple utilise le numéro ASN65002
Facultatif: Attribuer une plage d'identifiants BGP
Lorsque vous ajoutez la première interface avec une adresse IPv6 à un routeur Cloud Router, une plage d'identifiants BGP est automatiquement attribuée au routeur Cloud Router. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.
Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.
Automatique
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW1_IF0
Pour créer une interface avec une adresse IPv4 BGP configurée automatiquement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV4
Pour créer une interface avec une adresse IPv6 BGP configurée automatiquement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV6
Créer des pairs BGP pour
TUNNEL_NAME_GW1_IF0
L'exemple de commande suivant crée le pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --peer-asn=PEER_ASN_2 \ --region=REGION \
L'exemple de commande suivant crée le pair BGP IPv6:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --peer-asn=PEER_ASN_2 \ --region=REGION
En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.
Vous ne pouvez pas utiliser MP-BGP dans cette configuration.
Mode manuel
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW1_IF0
Pour créer une interface avec une adresse IPv4 BGP configurée manuellement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --ip-address=IPV4_ADDRESS_1 \ --mask-length=30 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION
Pour créer une interface avec une adresse IPv6 BGP configurée manuellement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --ip-address=IPV6_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \
Créer des pairs BGP pour
TUNNEL_NAME_GW1_IF0
L'exemple de commande suivant crée le pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \
La commande suivante crée le pair BGP IPv6:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.
Vous ne pouvez pas utiliser MP-BGP dans cette configuration.
Créez des interfaces et des pairs BGP sur le routeur
ROUTER_NAME_1
pour le tunnelTUNNEL_NAME_GW1_IF1
.Les deux interfaces connectent
TUNNEL_NAME_GW1_IF1
sur l'interface 1
deGW_1
à l'interface 1
deGW_2
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_1_INTERFACE_NAME_1_ipv4
etROUTER_1_INTERFACE_NAME_1_ipv6
: noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés àTUNNEL_NAME_GW1_IF1
IP_VERSION
: version de l'interface,IPV6
ouIPV4
Si non spécifié, la valeur par défaut estIPV4
. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement une adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv4 ou IPv6 à cette interface, vous pouvez omettre cette option.IPV4_ADDRESS_2
ouIPV6_ADDRESS_2
: adresse IPv4 ou IPv6 BGP de la plage d'adresses IPv6169.254.0.0/16
oufdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilise169.254.1.1
. etfdff:1::1:1
. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 ou IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.MASK_LENGTH
: lorsque vous spécifiez une adresse IPv4 pour une interface, spécifiez30
, car le routeur Cloud Router doit utiliser un masque CIDR/30
unique de la même plage d'adresses IPv4169.254.0.0/16
. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque de64
.PEER_NAME_GW1_IF1_ipv4
etPEER_NAME_GW1_IF0_ipv6
: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés àTUNNEL_NAME_GW1_IF1
.PEER_IPV4_ADDRESS_2
ouPEER_IPV6_ADDRESS_2
: adresse IPv4 ou IPv6 BGP de la plage d'adresses IPv6169.254.0.0/16
oufdff:1::/64
qui n'est pas encore utilisée ; cet exemple utilise169.254.1.2
etfdff:1::1:2
. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 ou IPv6,IPV4_ADDRESS_2
ouIPV6_ADDRESS_2
, omettez cette option et Google Cloud attribue automatiquement une adresse IPv4 ou IPv6 du pair BGP correspondant. Si vous avez spécifié manuellementIPV4_ADDRESS_2
ouIPV6_ADDRESS_2
, vous devez également configurer manuellement cette option.PEER_ASN_2
: numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud RouterROUTER_NAME_2
; cet exemple utilise le numéro ASN65002
AUTHENTICATION_KEY_2
: clé secrète à utiliser pour l'authentification MD5 surPEER_NAME_GW1_IF1
. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Automatique
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW1_IF1
Pour créer une interface avec une adresse IPv4 configurée automatiquement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV4
Pour créer une interface avec une adresse IPv6 configurée automatiquement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV6
Créer des pairs BGP pour
TUNNEL_NAME_GW1_IF1
L'exemple de commande suivant crée un pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
L'exemple de commande suivant crée un pair BGP IPv6 :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.
Vous ne pouvez pas utiliser MP-BGP dans cette configuration.
Mode manuel
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW1_IF1
Pour créer une interface avec une adresse IPv4 configurée manuellement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --ip-address=IPV4_ADDRESS_2 \ --mask-length=30 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
Pour créer une interface avec une adresse IPv6 configurée manuellement, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --ip-address=IPV6_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
Créer des pairs BGP pour
TUNNEL_NAME_GW1_IF1
L'exemple de commande suivant crée un pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
L'exemple de commande suivant crée un pair BGP IPv6 :
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.
Vous ne pouvez pas utiliser MP-BGP dans cette configuration.
Vérifier les paramètres du routeur
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Le résultat de la commande ressemble à celui de l'exemple ci-dessous.
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-0_ipv4 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-b-if-0_ipv4 peerAsn: 65002 peerIpAddress: 169.254.0.2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-1_ipv4 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-b-if-1_ipv4 peerAsn: 65002 peerIpAddress: 169.254.1.2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-0_ipv6 ipAddress: fdff:1::1 name: bgp-peer-tunnel-a-to-b-if-0_ipv6 peerAsn: 65002 peerIpAddress: fdff:1::2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-1_ipv6 ipAddress: fdff:1::1 name: bgp-peer-tunnel-a-to-b-if-1_ipv6 peerAsn: 65002 peerIpAddress: fdff:1::2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 — ipRange: fdff:1::1:1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Créez des interfaces et des pairs BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF0
.Les deux interfaces connectent
TUNNEL_NAME_GW2_IF0
sur l'interface 0
deGW_2
à l'interface 0
deGW_1
.Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud,
ROUTER_NAME_1
.Dans les commandes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_0_ipv4
etROUTER_2_INTERFACE_NAME_0<_ipv6
: noms d'interface Cloud Router. Utiliser des noms associés àTUNNEL_NAME_GW2_IF0
est utileIPV4_ADDRESS_3
andIPV6_ADDRESS_3
: the BGP IPv4 and IPv6 addresses used previously for this gateway and interface. If you automatically assigned the peer IPv4 and IPv6 addresses when you created the interfaces and BGP peers forTUNNEL_NAME_GW1_IF0
onROUTER_NAME_1
, then you must specify the allocated addresses asIPV4_ADDRESS_3
andIPV6_ADDRESS_3
. To find out which addresses have been allocated by Google Cloud, run thegcloud compute routers describe ROUTER_NAME_1
command. In the output for the BGP peers, use the values that appear in thepeerIpAddress
field. This example uses169.254.0.2
andfdff:1::2
.MASK_LENGTH
: for an interface with an IPv4 address, specify30
because the Cloud Router must use a unique/30
CIDR from the same169.254.0.0/16
IPv4 address range. For an interface with an IPv6 address, specify a mask length of64
.PEER_NAME_GW2_IF0_ipv4
etPEER_NAME_GW2_IF0_ipv6
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW2_IF0
s'avère utile.PEER_IPV4_ADDRESS_3
etPEER_IPV6_ADDRESS_3
: adresses IPv4 ou IPv6 BGP utilisées précédemment lorsque vous avez configuré la première passerelle et la première interface. Exécutezgcloud compute routers describe ROUTER_NAME_1
et utilisez les valeurs qui apparaissent dans le champipAddress
pour les pairs BGP que vous avez créés pourTUNNEL_NAME_GW1_IF0
. Cet exemple utilise169.254.0.1
etfdff:1::1
.PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW2_IF0
Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IPV4_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION
Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IPV6_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION \
Créer des pairs BGP pour
TUNNEL_NAME_GW2_IF0
L'exemple de commande suivant crée le pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0_ipv4 \ --interface=ROUTER_2_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
L'exemple de commande suivant crée le pair BGP IPv6:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0_ipv6 \ --interface=ROUTER_2_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.
Vous ne pouvez pas utiliser MP-BGP dans cette configuration.
Créez des interfaces et des pairs BGP sur le routeur
ROUTER_NAME_2
pour le tunnelTUNNEL_NAME_GW2_IF1
.Les deux interfaces connectent
TUNNEL_NAME_GW2_IF0
sur l'interface 0
deGW_2
à l'interface 0
deGW_1
.Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud,
ROUTER_NAME_1
.Les deux interfaces connectent
TUNNEL_NAME_GW2_IF1
sur l'interface 1
deGW_2
à l'interface 1
deGW_1
.Dans les commandes suivantes, remplacez les éléments suivants :
ROUTER_2_INTERFACE_NAME_1_ipv4
etROUTER_2_INTERFACE_NAME_1_ipv6
: noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés àTUNNEL_NAME_GW2_IF1
IPV4_ADDRESS_4
etIPV6_ADDRESS_4
: adresses IPv4 et IPv6 BGP utilisées précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement l'adresse IP du pair BGP lors de la création de l'interface et du pair BGP pourTUNNEL_NAME_GW1_IF1
surROUTER_NAME_1
, vous devez spécifier manuellement ces adresses allouées comme suit :IPV4_ADDRESS_4
etIPV6_ADDRESS_4
. Pour savoir quelles adresses ont été allouées par Google Cloud, exécutez la commandegcloud compute routers describe ROUTER_NAME_1
. Dans la sortie du pair BGP, utilisez les valeurs qui apparaissent dans le champpeerIpAddress
. Cet exemple utilise169.254.1.2
etfdff:1::1:2
.MASK_LENGTH
: for an interface with an IPv4 address, specify30
because the Cloud Router must use a unique/30
CIDR from the same169.254.0.0/16
IPv4 address range. For an interface with an IPv6 address, specify a mask length of64
.PEER_NAME_GW2_IF1_ipv4
etPEER_NAME_GW2_IF1_ipv6
: nom décrivant le pair BGP ; utiliser un nom associé àTUNNEL_NAME_GW2_IF1
s'avère utile.PEER_IPV4_ADDRESS_4
etPEER_IPV6_ADDRESS_4
: adresse IP que vous avez spécifiée commeIPV4_ADDRESS_2
etIPV6_ADDRESS_2
, et lorsque vous avez configuré la première passerelle et la première interface. Exécutezgcloud compute routers describe ROUTER_NAME_1
et utilisez les valeurs qui apparaissent dans le champipAddress
pour le pair BGP que vous avez créé pourTUNNEL_NAME_GW2_IF1
. Cet exemple utilise169.254.1.1
etfdff:1::1:1
.PEER_ASN_1
: numéro ASN utilisé pour toutes les interfaces surROUTER_NAME_1
et qui a été défini précédemment ; cet exemple utilise le numéro ASN65001
.
Créer des interfaces Cloud Router pour
TUNNEL_NAME_GW2_IF1
Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IPV4_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IPV6_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
Créer des pairs BGP pour
TUNNEL_NAME_GW2_IF1
L'exemple de commande suivant crée le pair BGP IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1_ipv4 \ --interface=ROUTER_2_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
L'exemple de commande suivant crée le pair BGP IPv6:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1_ipv6 \ --interface=ROUTER_2_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Vérifier les paramètres du routeur
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Le résultat de la commande ressemble à ceci :
bgp: advertisemode: DEFAULT asn: 65002 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-0_ipv4 ipAddress: 169.254.0.2 name: bgp-peer-tunnel-b-to-a-if-0_ipv4 peerAsn: 65002 peerIpAddress: 169.254.0.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-1_ipv4 ipAddress: 169.254.1.2 name: bgp-peer-tunnel-b-to-a-if-1_ipv4 peerAsn: 65001 peerIpAddress: 169.254.1.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-0_ipv6 ipAddress: fdff:1::2 name: bgp-peer-tunnel-b-to-a-if-0_ipv6 peerAsn: 65001 peerIpAddress: fdff:1::1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-1_ipv6 ipAddress: fdff:1::2 name: bgp-peer-tunnel-b-to-a-if-1_ipv6 peerAsn: 65001 peerIpAddress: fdff:1::1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: 169.254.1.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: fdff:1::2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 — ipRange: fdff:1::1:2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Pour créer plusieurs interfaces Cloud Router, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou derouters.update
.PATCH
met uniquement à jour les paramètres que vous incluez. La requêteUPDATE
met à jour tous les paramètres du routeur Cloud Router.Les plages d'adresses BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Répétez cette étape et cette commande pour chaque tunnel VPN défini sur chaque passerelle VPN haute disponibilité. Pour une passerelle VPN haute disponibilité vers un déploiement VPN haute disponibilité, cela signifie quatre configurations de tunnel VPN haute disponibilité.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-b-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::1/126" } ] }
L'exemple suivant ajoute une interface avec une adresse IPv4 et une interface avec une adresse IPv6 au même
linkedVpnTunnel
. La commande attribue automatiquement les adresses IPv4 et IPv6 aux interfaces:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-b-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Pour ajouter des pairs BGP au routeur Cloud Router pour chaque tunnel VPN, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou de la méthoderouters.update
. Répétez cette commande pour chaque tunnel VPN, en modifiant toutes les options si nécessaire.Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-b-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-b-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-b-if-0_ipv6", "ipAddress": fdff:1::1", "name": "bgp-peer-tunnel-a-to-b-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Vérifier la configuration
Console
Pour vérifier la configuration, accédez à la page Résumé et rappel :
- La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
- La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs. Après la consultation des informations contenues sur cette page, cliquez sur OK.
gcloud
Pour vérifier les configurations des routeurs Cloud Router, consultez les étapes de vérification dans l'onglet gcloud
de la section Créer des sessions BGP.
API
Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET
à l'aide de la méthode routers.getRouterStatus
et utilisez un corps de requête vide :
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Créer un tunnel supplémentaire sur une passerelle à tunnel unique
Console
Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, configurez un tunnel sur chaque interface VPN haute disponibilité, de chaque côté d'une passerelle VPN haute disponibilité vers VPN haute disponibilité.
Si vous avez configuré un tunnel sur une passerelle VPN haute disponibilité vers une autre passerelle VPN haute disponibilité, mais que vous souhaitez recevoir un contrat de niveau de service assurant une disponibilité de 99,99 %, vous devez configurer un second tunnel.
Pour configurer un deuxième tunnel, suivez la procédure décrite dans la section Ajouter un tunnel entre une passerelle VPN haute disponibilité et une autre passerelle VPN haute disponibilité.
Définir la priorité de base des routes annoncées (facultatif)
Les sessions BGP que vous créez autorisent chaque routeur Cloud Router à annoncer des routes aux réseaux de pairs. Les annonces utilisent des priorités de base non modifiées.
Utilisez la configuration décrite à la section Créer deux passerelles VPN haute disponibilité entièrement configurées qui s'interconnectent pour obtenir des configurations de routage en mode actif/actif où les priorités des routes annoncées des deux tunnels sont identiques de chaque côté. Si vous omettez la priorité de route (--advertised-route-priority
), la priorité des routes annoncées est identique aux deux pairs BGP.
Pour des configurations de routage en mode actif/passif, vous pouvez contrôler
la priorité des routes annoncées to Google Cloud
de routes partagées par Cloud Router avec votre passerelle VPN de pairs en définissant la priorité des routes annoncées (--advertised-route-priority
) lors de l'ajout ou de la mise à jour d'un pair BGP. Pour créer une configuration en mode actif/passif, définissez une priorité de route annoncée plus élevée pour une session BGP et le tunnel VPN correspondant que pour l'autre session BGP et son tunnel VPN.
Pour en savoir plus sur la priorité de base des routes annoncées, consultez la section Préfixes et priorités annoncés.
Vous pouvez également affiner les routes annoncées à l'aide d'annonces personnalisées :
- Ajoutez l'option
--advertisement-mode=CUSTOM
(gcloud
) ou l'optionadvertiseMode: custom
(API). - Spécifiez les plages d'adresses IP avec l'option
--set-advertisement-ranges
(gcloud
) ou l'optionadvertisedIpRanges
(API).
Terminer la configuration
Pour pouvoir utiliser une nouvelle passerelle Cloud VPN et ses tunnels VPN associés, procédez comme suit :
- Configurez des règles de pare-feu dans Google Cloud pour vos réseaux VPC.
- Vérifiez l'état de vos tunnels VPNLINK. Remarque : Cette étape inclut la vérification de la configuration de haute disponibilité de votre passerelle VPN haute disponibilité.
Étapes suivantes
- Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.