Créer une passerelle VPN haute disponibilité entre les réseaux Google Cloud

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page explique comment connecter deux réseaux cloud privés virtuels (VPC) à l'aide d'une configuration de passerelle VPN haute disponibilité. Vous pouvez connecter deux réseaux VPC existants à condition que les plages d'adresses IP de sous-réseau principales et secondaires de chaque réseau ne se chevauchent pas.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

Exigences

Consignes générales

Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, assurez-vous de remplir les conditions suivantes lors de la création de cette configuration :

  • Placez une passerelle VPN haute disponibilité dans chaque réseau VPC.
  • Placez les deux passerelles VPN haute disponibilité dans la même région Google Cloud.
  • Configurez un tunnel sur chaque interface de chaque passerelle.
  • Faites correspondre les interfaces de passerelle comme décrit dans la remarque suivante.

Bien qu'il soit possible de connecter deux réseaux VPC à l'aide d'un seul tunnel entre des passerelles VPN haute disponibilité ou des passerelles VPN classiques, ce type de configuration n'est pas considéré comme hautement disponible et ne remplit pas les conditions du contrat de niveau de service garantissant une disponibilité de 99,99 %.

Créer des routeurs cloud

Lors de la configuration d'une nouvelle passerelle VPN haute disponibilité, vous pouvez créer un routeur Cloud Router ou utiliser un routeur Cloud Router existant avec des tunnels Cloud VPN ou des rattachements de VLAN existants. Cependant, le routeur Cloud Router que vous utilisez ne doit pas déjà gérer une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire, en raison des exigences spécifiques du numéro ASN du rattachement.

Gérer les autorisations

Étant donné que les passerelles VPN haute disponibilité ne vous appartiennent pas toujours ou à votre organisation Google Cloud, tenez compte des exigences d'autorisation suivantes lorsque vous créez une passerelle VPN haute disponibilité ou que vous vous connectez à une passerelle appartenant à un tiers :

  • Si vous êtes le propriétaire du projet pour lequel vous créez une passerelle VPN haute disponibilité, configurez les autorisations recommandées sur celle-ci.
  • Si vous souhaitez vous connecter à une passerelle VPN haute disponibilité hébergée dans une organisation ou un projet Google Cloud dont vous n'êtes pas le propriétaire, demandez l'autorisation compute.vpnGateways.use au propriétaire.

Avant de commencer

Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.

Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP (Border Gateway Protocol).

Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  4. Installez et initialisez Google Cloud CLI.
  5. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  6. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  7. Installez et initialisez Google Cloud CLI.
  1. Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions gcloud présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.

        gcloud config set project PROJECT_ID
        
  1. Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :

        gcloud config list --format='text(core.project)'
        

Créer un réseau VPC et un sous-réseau personnalisés

Avant de créer une passerelle VPN haute disponibilité et une paire de tunnels, créez un réseau VPC et au moins un sous-réseau dans la région où se trouve la passerelle VPN haute disponibilité :

Pour activer IPv6 dans vos passerelles VPN haute disponibilité (Version bêta), vous devez activer l'allocation d'adresses internes IPv6 lors de la création des réseaux VPC. De plus, les sous-réseaux doivent être configurés pour utiliser des adresses internes IPv6.

Vous devez également configurer le protocole IPv6 sur les VM résidant dans le sous-réseau.

Les sous-réseaux VPC doivent être configurés pour utiliser des adresses IPv6 internes. Lorsque vous utilisez la CLI gcloud, configurez les sous-réseaux avec l'option --ipv6-access-type=INTERNAL. Cloud Router n'annonce pas dynamiquement les routes pour les sous-réseaux configurés pour utiliser des adresses IPv6 externes (--ipv6-access-type=EXTERNAL).

Pour en savoir plus sur l'utilisation de plages IPv6 internes dans vos réseaux et sous-réseaux VPC, consultez la section Spécifications IPv6 internes.

Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, qui se comporte comme suit :

  • Toutes les instances de Cloud Router appliquent les routes to on-premises apprises à tous les sous-réseaux du réseau VPC.
  • Les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.

À titre de référence, ce document crée une passerelle VPN haute disponibilité dans chacun des deux réseaux VPC :

NETWORK_1 contient les sous-réseaux suivants :

  • Un sous-réseau nommé SUBNET_NAME_1 dans la région REGION_1 utilisant la plage d'adresses IP RANGE_1.
  • Un sous-réseau nommé SUBNET_NAME_2 dans la région REGION_2 utilisant la plage d'adresses IP RANGE_2.

NETWORK_2 contient les sous-réseaux suivants :

  • Un sous-réseau nommé SUBNET_NAME_3 dans la région REGION_1 utilisant la plage d'adresses IP RANGE_3.
  • Un sous-réseau nommé SUBNET_NAME_4 dans la région REGION_3 utilisant la plage d'adresses IP RANGE_4.

Créer deux passerelles VPN haute disponibilité entièrement configurées qui s'interconnectent

Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Créer des passerelles VPN haute disponibilité

Console

L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Pour créer la première passerelle VPN haute disponibilité, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.

  3. Sélectionnez l'assistant de configuration VPN.

  4. Si vous disposez déjà d'une passerelle VPN haute disponibilité, sélectionnez son bouton d'options.

  5. Cliquez sur Continuer.

  6. Spécifiez un nom de passerelle VPN.

  7. Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.

  8. Sélectionnez une Région.

  9. Sélectionnez un type de pile pour la passerelle, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile) (Version bêta).

  10. Cliquez sur Créer et continuer.

  11. L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IPv4 externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.

Pour créer la deuxième passerelle VPN haute disponibilité, répétez les étapes précédentes, et tenez compte des points suivants :

  • Si nécessaire, utilisez un navigateur distinct pour créer la deuxième passerelle VPN haute disponibilité. Si vous connectez deux VPN haute disponibilité, vous devrez peut-être vous connecter au projet qui héberge le réseau auquel vous souhaitez vous connecter.
  • Spécifiez la même région que celle que vous avez configurée pour la première passerelle VPN haute disponibilité.
  • Veillez à spécifier le même type de pile que la première passerelle : IPv4 (pile unique) ou IPv4 et IPv6 (double pile) (Version bêta).

gcloud

Pour créer deux passerelles VPN haute disponibilité, exécutez les commandes suivantes :

  • Créez une passerelle VPN haute disponibilité sur chaque réseau de la région REGION_1.

    Lorsque les passerelles sont créées, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle. Notez ces adresses IP que vous utiliserez ultérieurement dans les étapes de configuration.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • GW_NAME_1 et GW_NAME_2 : nom de chaque passerelle
    • NETWORK : nom de votre réseau Google Cloud
    • REGION : région Google Cloud dans laquelle vous devez créer la passerelle et le tunnel.
    • IP_STACK : option facultative à utiliser pour la pile IP. Indiquez IPV4_ONLY ou IPV4_IPV6 (version bêta). La valeur par défaut est IPV4_ONLY.

    Créer la première passerelle

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION_1 \
       --stack-type=IP_STACK
    

    La passerelle que vous créez doit ressembler à l'exemple de résultat suivant. Une adresse IPv4 externe a été attribuée automatiquement à chaque interface de passerelle :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Créer la deuxième passerelle

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION_1 \
       --stack-type=IP_STACK
    

    Si vous avez spécifié un type de pile pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle.

    La passerelle que vous créez doit ressembler à l'exemple de résultat suivant :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-central1
    

API

Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.

  1. Créez la première passerelle VPN haute disponibilité en envoyant une requête POST à la méthode vpnGateways.insert.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
    {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
    }
    

    Le champ stackType est facultatif. Les seules valeurs valides sont IPV4_IPV6 (Version bêta) ou IPV4_ONLY. Si vous ne spécifiez pas de stackType, la valeur par défaut est IPV4_ONLY.

  2. Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres project, name, network et region appropriés.

    Si vous avez spécifié stackType pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle : IPV4_ONLY ou IPV4_IPV6 (Version bêta).

Spécifier la ressource de passerelle VPN de pairs

Dans cette configuration, la ressource de passerelle VPN de pairs est l'autre passerelle VPN haute disponibilité avec laquelle vous créez un tunnel VPN.

Si vous connectez deux réseaux VPC, le second réseau VPC peut exister dans le même projet Google Cloud ou dans un projet Google Cloud distinct.

Console

Pour spécifier la ressource de passerelle VPN de pairs pair, procédez comme suit :

  1. Sur la page Créer un VPN, sous Passerelle VPN de pairs, sélectionnez Google Cloud.
  2. Sous Projet, sélectionnez le projet Google Cloud contenant la nouvelle passerelle.
  3. Sous Nom de la passerelle VPN, sélectionnez le deuxième VPN haute disponibilité que vous avez créé à la section Créer les passerelles VPN haute disponibilité.
  4. Passez à l'étape suivante : Créer des tunnels VPN.

gcloud

Pour créer la ressource de passerelle VPN de pairs, consultez les étapes gcloud pour Créer les passerelles VPN haute disponibilité.

Vous spécifiez la ressource de passerelle VPN de pairs lorsque vous créez les tunnels VPN haute disponibilité.

API

Pour créer la ressource de passerelle VPN de pairs, consultez la procédure API associée à la documentation Créer des passerelles VPN haute disponibilité.

Vous spécifiez la ressource de passerelle VPN de pairs lorsque vous créez les tunnels VPN haute disponibilité.

Créer des routeurs cloud

Console

Sous Cloud Router, si ce n'est pas déjà fait, créez un routeur en spécifiant les options suivantes. Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

  1. Pour créer un routeur Cloud Router, spécifiez les éléments suivants :

    • Un nom
    • Une description facultative
    • Un numéro ASN Google pour le nouveau routeur

    Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.

  2. Pour créer le routeur, cliquez sur Créer.

gcloud

Les instructions suivantes supposent que vous n'avez pas encore créé de routeurs Cloud à utiliser pour la gestion des sessions BGP de vos tunnels VPN haute disponibilité. Vous pouvez utiliser un routeur Cloud Router existant dans chaque réseau VPC, sauf si ces routeurs gèrent déjà une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

Pour créer deux routeurs Cloud Router, exécutez les commandes suivantes :

  • Créez un routeur Cloud Router dans chaque réseau de REGION_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • PEER_ASN_1 et PEER_ASN_2 : tout numéro ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas déjà. Cet exemple utilise le numéro ASN 65001 pour les deux interfaces du routeur ROUTER_NAME_1 et ASN 65002 pour les deux interfaces du routeur ROUTER_NAME_2.
    • Remplacez toutes les autres options par les valeurs que vous avez utilisées précédemment.

    Créer le premier routeur

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION_1 \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    Le routeur que vous créez doit ressembler à l'exemple de résultat suivant :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Créer le deuxième routeur

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION_1 \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    Le routeur que vous créez doit ressembler à l'exemple de résultat suivant :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Si vous avez déjà créé un routeur Cloud Router dans chacun des réseaux VPC hébergeant chacune de vos passerelles VPN haute disponibilité, vous pouvez utiliser ces routeurs au lieu d'en créer. Toutefois, si un routeur Cloud Router gère une session BGP pour un rattachement de VLAN associé à une connexion par interconnexion partenaire, créez un routeur.

Pour créer un routeur Cloud Router, envoyez une requête POST à la méthode routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Créer des tunnels VPN

Console

Pour créer des tunnels VPN, procédez comme suit :

  1. Sous Haute disponibilité, sélectionnez une paire de tunnels ou un tunnel vers l'autre passerelle VPN haute disponibilité :

    • Si vous sélectionnez Créer une paire de tunnels VPN (recommandé), configurez les deux boîtes de dialogue qui s'affichent en bas de la page Créer un VPN.

    • En sélectionnant Créer un tunnel VPN unique, vous configurez un seul tunnel sur le reste de la page Créer un VPN. Toutefois, pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 % avec l'autre passerelle VPN haute disponibilité, vous devez créer un deuxième tunnel. Vous pouvez ajouter un deuxième tunnel ultérieurement, comme décrit à la fin de cette procédure.

  2. Effectuez les étapes suivantes, sur la même page ou dans la boîte de dialogue de chaque tunnel en bas de la page.

  3. Si vous configurez un tunnel sous Interface passerelle Cloud VPN associée, sélectionnez la combinaison interface VPN haute disponibilité et adresse IP de cette passerelle pour l'associer à l'interface passerelle de l'autre passerelle VPN haute disponibilité. Pour les configurations à deux tunnels, cette option et l'option Interface passerelle VPN de pairs associée ne sont pas disponibles, car les combinaisons d'interface appropriées sont configurées pour vous.

    1. Spécifiez un nom pour le tunnel.
    2. Spécifiez une Description facultative.
    3. Spécifiez la version IKE. Nous vous recommandons d'utiliser IKEv2, le paramètre par défaut. Pour autoriser le trafic IPv6 (Version bêta), vous devez sélectionner IKEv2.
    4. Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
    5. Cliquez sur OK.
    6. Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.
  4. Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.

gcloud

Pour créer deux tunnels VPN sur chaque passerelle VPN haute disponibilité, exécutez les commandes suivantes :

  • Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_2 dans NETWORK_2.
  • Le tunnel de l'interface 1 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_2.
  • Lorsque vous créez des tunnels VPN sur GW_NAME_1 dans le réseau NETWORK_1, spécifiez les informations concernant GW_NAME_2 dans le réseau NETWORK_2. Google connecte automatiquement le tunnel de l'interface 0 dans le réseau GW_NAME_1 à l'interface 0 du réseau GW_NAME_2, et l'interface 1 de GW_NAME_1 à l'interface 1 du réseau GW_NAME_2.

    Créer deux tunnels sur la passerelle GW_NAME_1

    • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_1 dans le réseau NETWORK_1.

      Dans les commandes suivantes, remplacez les éléments suivants :

      • TUNNEL_NAME_GW1_IF0 et TUNNEL_NAME_GW1_IF1 : nom de chaque tunnel provenant de GW_NAME_1 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
      • GW_NAME_2 : valeur de --peer-gcp-gateway.
      • REGION : région où GW_NAME_1 se trouve.
      • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.
      • IKE_VERS : 2 pour IKEv2, comme ces deux tunnels se connectent à une autre passerelle VPN haute disponibilité, Google recommande d'utiliser IKEv2. Pour autoriser le trafic IPv6 (Version bêta), vous devez utiliser IKEv2.
      • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit être la même clé que vous utilisez pour le tunnel correspondant créé à partir de GW_NAME_2 sur l'interface 0 et l'interface 1. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
      • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_1.
      • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_1
      • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • La région --peer-gcp-gateway-region, qui correspond à la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.

      Créer le premier tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Créer le deuxième tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Créer deux tunnels sur la passerelle GW_NAME_2

    • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_2 dans le réseau NETWORK_2.

      • Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_1 dans NETWORK_1.
      • Le tunnel de l'interface 1 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_1.

      Dans les commandes suivantes, remplacez les éléments suivants :

      • REGION : région où GW_NAME_2 se trouve.
      • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.
      • TUNNEL_NAME_GW2_IF0 et TUNNEL_NAME_GW2_IF1 : nom de chaque tunnel provenant de GW_NAME_2 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
      • GW_NAME_1 : valeur de --peer-gcp-gateway ; la valeur de --peer-gcp-gateway-region doit se trouver dans la même région que celle du tunnel VPN. Si elle n'est pas spécifiée, la valeur est définie automatiquement. Dans cet exemple, la région est REGION_1.
      • IKE_VERS : 2 pour IKEv2, étant donné que ces tunnels se connectent aux deux tunnels créés à l'étape précédente, ils doivent utiliser la même version du protocole IKE (Google recommande l'utilisation d'IKEv2). Pour autoriser le trafic IPv6 (Version bêta), vous devez utiliser IKEv2.
      • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée pour le tunnel partenaire que vous avez créé sur chaque interface de GW_NAME_1 ; pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
      • GW_NAME_2 : nom de la deuxième passerelle que vous avez configurée à l'étape de configuration de la passerelle.
      • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_2.
      • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_2
      • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • La région --peer-gcp-gateway-region, qui correspond à la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.

      Créer le premier tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Créer le deuxième tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Après cette étape, attendez quelques minutes, puis vérifiez l'état de chaque tunnel VPN.

    L'état d'un tunnel VPN ne passe à Established (Établi) que lorsque le tunnel partenaire correspondant est également disponible et correctement configuré. Un protocole IKE et une association de sécurité enfant doivent également être négociés entre eux.

    Par exemple, le tunnel tunnel-a-to-b-if-0 sur la passerelle ha-vpn-gw-a ne peut être établi que si le tunnel tunnel-b-to-a-if-0 sur la passerelle ha-vpn-gw-b est configuré et disponible.

API

Pour créer deux tunnels VPN, chacun correspondant à une interface sur une passerelle VPN haute disponibilité, envoyez une requête POST à la méthode vpnTunnels.insert.

  1. Pour créer le premier tunnel, exécutez la commande suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-b",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SECRET_1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    

    Si vous envisagez d'activer IPv6 (Version bêta) dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

  2. Pour créer le deuxième tunnel, répétez la commande précédente, mais modifiez les paramètres suivants :

    • name : par exemple, ha-vpn-gw-a-tunnel-1
    • sharedSecret ou sharedSecretHash (si nécessaire)
    • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Ensuite, créez deux tunnels pour votre deuxième passerelle VPN haute disponibilité qui se connectent à votre première passerelle VPN haute disponibilité.

  1. Pour créer le premier tunnel sur la deuxième passerelle VPN haute disponibilité, exécutez la commande suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-b-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b",
     "sharedSecret": SECRET_1,
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-b",
     "vpnGatewayInterface": 0
    }
    

    Utilisez le même sharedSecret que celui que vous avez spécifié pour le premier tunnel sur la première passerelle (ha-vpn-gw-a-tunnel-0).

    Si vous envisagez d'activer IPv6 (Version bêta) dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

  2. Pour créer le second tunnel sur la deuxième passerelle VPN haute disponibilité, répétez la commande précédente, mais modifiez les paramètres suivants :

    • name : par exemple, ha-vpn-gw-b-tunnel-1
    • sharedSecret ou sharedSecretHash : spécifiez le paramètre sharedSecret ou sharedSecretHash que vous avez utilisé lors de la création du deuxième tunnel sur la première passerelle
    • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Créer des sessions BGP

Console

Pour créer des sessions BGP, procédez comme suit :

  1. Si vous ne souhaitez pas configurer de sessions BGP maintenant, cliquez sur Configurer les sessions BGP ultérieurement, ce qui entraîne l'ouverture de la page Résumé et rappel.
  2. Si vous souhaitez configurer des sessions BGP maintenant, sur le premier tunnel VPN, cliquez sur Configurer.
  3. Sur la page Créer une session BGP, procédez comme suit :
    1. Spécifiez un nom pour la session BGP.
    2. Spécifiez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
    3. Facultatif : spécifiez la priorité des routages annoncés.
    4. Facultatif : sélectionnez Activer IPv6 pour autoriser l'échange de préfixes d'adresses IPv6 sur la session BGP (Version bêta).
    5. Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, vous pouvez spécifier l'adresse IP BGP du routeur Cloud Router et l'adresse IP du pair BGP. Assurez-vous que les adresses IPv4 répondent aux exigences suivantes :
      • Chaque adresse IP BGP doit appartenir au même masque CIDR /30 au sein du bloc 169.254.0.0/16.
      • Les adresses IP BGP ne peuvent pas correspondre à la première adresse (adresse réseau) ou à la dernière adresse (adresse de diffusion) du masque CIDR /30.
      • Chaque plage d'adresses IP BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
    6. Facultatif : si vous avez activé IPv6, vous pouvez allouer les adresses de saut suivant IPv6 automatiquement ou manuellement (Version bêta). Pour allouer les adresses manuellement, procédez comme suit :
      1. Sous Allouer le saut suivant IPv6, sélectionnez Manuellement.
      2. Saisissez l'adresse IPv6 du saut suivant IPv6 de Cloud Router. Cette adresse correspond à l'adresse de saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
      3. Saisissez l'adresse IPv6 du saut suivant IPv6 du pair. Cette adresse est l'adresse de saut suivant pour les routes IPv6 reçues par le routeur Cloud Router depuis le pair BGP. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
    7. Facultatif : cliquez sur la liste Routes annoncées et créez des routes personnalisées.
    8. Cliquez sur Enregistrer et continuer.
  4. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
  5. Lorsque vous avez configuré toutes les sessions BGP, cliquez sur Enregistrer la configuration BGP.

gcloud

Dans cette section, vous allez configurer les interfaces Cloud Router et les pairs BGP. Le tableau suivant présente les interfaces et les pairs : Il indique la relation entre les plages d'adresses IP et les adresses IP du pair que vous spécifiez pour chaque interface.

Par exemple, la première interface de router-1 est associée à une adresse IP de pairs 169.254.0.2. Elle provient de la plage d'adresses IP de la première interface de router-2, c'est-à-dire 169.254.0.2/30. En outre, ce tableau illustre également un exemple de configuration d'adresse de saut suivant IPv6 (Version bêta).

Routeur Nom de l'interface BGP Plage d'adresses IP Adresse IP du pair Numéro ASN du pair Adresse du saut suivant
IPv6
(bêta)
Adresse du saut suivant IPv6
du pair
(bêta)
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002 2600:2d00:0:2::1 2600:2d00:0:2::2
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001 2600:2d00:0:2::2 2600:2d00:0:2::1
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002 2600:2d00:0:2::1:1 2600:2d00:0:2::1:2
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001 2600:2d00:0:2::1:2 2600:2d00:0:2::1:1

Pour plus de précisions, consultez les instructions de cette section, qui incluent un exemple du résultat obtenu après la configuration.

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

  1. Créez une interface BGP et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

    Cette interface BGP utilise deux adresses IP BGP pour connecter l'TUNNEL_NAME_GW1_IF0 sur interface 0 de GW_1 à l'interface 0 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_0 : nom de l'interface BGP Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • IP_ADDRESS_1 : facultatif : adresse IP BGP du bloc 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IP BGP, Google Cloud en attribue une automatiquement à partir du bloc 169.254.0.0/16 pour vous.
    • MASK_LENGTH : 30 ; chaque session BGP sur le même routeur Cloud Router doit utiliser un masque CIDR /30 unique du bloc 169.254.0.0/16
    • PEER_NAME_GW1_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • PEER_IP_ADDRESS_1 : facultatif : adresse IP BGP du bloc 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.2. Si vous n'avez pas spécifiquement attribué d'adresse IP BGP, IP_ADDRESS_1 ci-dessus, omettez cette option. Google Cloud attribue automatiquement une adresse IP de pair BGP correspondante. Si vous avez spécifié manuellement IP_ADDRESS_1, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002
    • Facultatif : si vous créez des tunnels VPN autorisant le trafic IPv6 (Version bêta), spécifiez --enable-ipv6 lorsque vous exécutez la commande add-bgp-peer. Lorsque vous activez le trafic IPv6, vous avez la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant manuellement, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_1 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
      • PEER_IPV6_NEXTHOP_ADDRESS_1 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

      Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF0. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5 (bêta).

    Créer une interface BGP pour TUNNEL_NAME_GW1_IF0

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION_1
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 (bêta) :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1 \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    La commande suivante crée un pair BGP sans IPv6 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    Si vous souhaitez utiliser l'authentification MD5, exécutez la commande gcloud beta et l'option --md5-authentication-key. Utilisez ce champ pour identifier votre clé secrète :

    gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
        --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande doit ressembler à l'exemple suivant :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Créer une interface BGP et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

    Cette interface BGP utilise deux adresses IP BGP pour connecter TUNNEL_NAME_GW1_IF1 à l'interface 1 de GW_1 à l'interface 1 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_1 : nom d'interface BGP Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • IP_ADDRESS_2 : facultatif : adresse IP BGP du bloc 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IP BGP, Google Cloud en attribue une automatiquement à partir du bloc 169.254.0.0/16 pour vous.
    • MASK_LENGTH : 30 ; chaque session BGP sur le même routeur Cloud Router doit utiliser un masque CIDR /30 unique du bloc 169.254.0.0/16.
    • PEER_NAME_GW1_IF1 : nom décrivant le pair BGP ; utiliser un nom lié à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • PEER_IP_ADDRESS_2 : adresse IP BGP du bloc 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.2. Si vous n'avez pas spécifiquement attribué d'adresse IP BGP, IP_ADDRESS_2, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IP de pair BGP correspondante. Si vous avez spécifié manuellement IP_ADDRESS_2, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002
    • Facultatif : si vous créez des tunnels VPN autorisant le trafic IPv6 (bêta), spécifiez --enable-ipv6 dans la commande add-bgp-peer. Lorsque vous activez le trafic IPv6, vous avez la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
      • PEER_IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

      Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5 (bêta).

    Créer une interface BGP pour TUNNEL_NAME_GW1_IF1

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION_1
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 (bêta) :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION_1 \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    La commande suivante crée un pair BGP sur lequel IPv6 n'est pas activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_2 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    
    Si vous souhaitez utiliser l'authentification MD5, exécutez la commande "gcloud beta" et ajoutez l'option "--md5-authentication-key". Utilisez ce champ pour identifier votre clé secrète :
    gcloud beta compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION_1
       --md5-authentication-key=AUTHENTICATION_KEY_2
    
    Le résultat de la commande doit ressembler à l'exemple suivant :
    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

    gcloud compute routers describe ROUTER_NAME_1  \
        --region=REGION_1
    

    Le résultat de la commande doit ressembler à l'exemple suivant :

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Créer une interface BGP et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0

    Cette interface BGP utilise deux adresses IP BGP pour connecter TUNNEL_NAME_GW2_IF0 à l'interface 0 de GW_2 à l'interface 0 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_0 : nom d'interface BGP Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • IP_ADDRESS_3 : adresse IP BGP utilisée précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement l'adresse IP BGP du pair lors de la création de l'interface BGP et du pair pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez spécifier l'adresse allouée comme IP_ADDRESS_3. Pour savoir quelles adresses ont été allouées par Google Cloud, exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.0.2.
    • MASK_LENGTH : 30 ; chaque session BGP sur le même routeur Cloud Router doit utiliser un masque CIDR /30 unique du bloc 169.254.0.0/16
    • PEER_NAME_GW2_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • PEER_IP_ADDRESS_3 : adresse IP BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé pour TUNNEL_NAME_GW1_IF0. Cet exemple utilise 169.254.0.1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif : si vous créez des tunnels VPN autorisant le trafic IPv6 (bêta), spécifiez --enable-ipv6 dans la commande add-bgp-peer. Vous devez configurer les adresses de saut suivant IPv6 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv6 configurés pour la première passerelle. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :
      • IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_1. Si vous avez automatiquement attribué des adresses IPv6 de saut suivant lors de la création de l'interface BGP et du pair pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:2.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:1.
    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF0

    Créer une interface BGP pour TUNNEL_NAME_GW2_IF0

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION_1
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF0

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 (bêta) :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION_1 \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP sans IPv6 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF0, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud beta compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1
       --md5-authentication-key=AUTHENTICATION_KEY
    
    Le résultat de la commande doit ressembler à l'exemple suivant :
    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Créer une interface BGP et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1

    Cette interface BGP utilise deux adresses IP BGP pour connecter TUNNEL_NAME_GW2_IF1 à l'interface 1 de GW_2 à l'interface 1 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_1 : nom d'interface BGP Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • IP_ADDRESS_4 : adresse IP BGP utilisée précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement l'adresse IP BGP du pair lors de la création de l'interface BGP et du pair pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez spécifier l'adresse allouée comme IP_ADDRESS_4. Pour savoir quelles adresses ont été allouées par Google Cloud, exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.1.2.
    • MASK_LENGTH : 30 ; chaque session BGP sur le même routeur Cloud Router doit utiliser un masque CIDR /30 unique du bloc 169.254.0.0/16
    • PEER_NAME_GW2_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • PEER_IP_ADDRESS_4 : adresse IP que vous avez spécifiée comme IP_ADDRESS_2 lors de la configuration de la première passerelle et de la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé pour TUNNEL_NAME_GW2_IF1. Cet exemple utilise 169.254.1.1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif : si vous avez configuré le pair BGP et les interfaces sur la première passerelle pour autoriser le trafic IPv6 (bêta), spécifiez --enable-ipv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :
      • IPV6_NEXTHOP_ADDRESS_4 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_2. Si vous avez automatiquement attribué des adresses IPv6 de saut suivant lors de la création de l'interface BGP et du pair pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_2. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:1:1.
    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF1

    Créer une interface BGP pour TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION_1
    

    Le résultat de la commande doit ressembler à l'exemple suivant :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF1

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 (bêta) :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1 \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP sans IPv6 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF1, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud beta compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1
       --md5-authentication-key=AUTHENTICATION_KEY_2
    
    Le résultat de la commande doit ressembler à l'exemple suivant :
    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION_1
    

    Le résultat de la commande doit ressembler à l'exemple suivant :

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Pour créer une interface BGP Cloud Router, envoyez une requête PATCH ou UPDATE à la méthode routers.patch ou à la méthode routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router. Créez une interface BGP pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

    Les plages d'adresses IP BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. Pour ajouter un pair BGP à un routeur Cloud Router de chaque tunnel VPN, envoyez une requête POST à la méthode routers.insert. Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf name et peerAsn.

    Pour créer une configuration de session BGP complète pour une passerelle VPN haute disponibilité, utilisez la commande API suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": "65002",
    
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

    Pour créer la configuration de session BGP complète pour une passerelle VPN haute disponibilité avec le protocole IPv6 activé (bêta), utilisez la commande API suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": "65002",
    
         "advertiseMode": "DEFAULT"
         "enableIpv6": "true"
         "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1"
         "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2"
       }
     ]
    }
    

    Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5 (bêta), vous devez utiliser l'API en version bêta et votre requête doit contenir quelques éléments supplémentaires. Elle doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir à la fois la clé et un nom pour la clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :

    PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "md5AuthenticationKeys": [
      {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
    ],
    }
    {
    "bgpPeers": [
      {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ],
    }
    

Vérifier la configuration

Console

Pour vérifier la configuration, accédez à la page Résumé et rappel :

  1. La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
  2. La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs. Après la consultation des informations contenues sur cette page, cliquez sur OK.

gcloud

Pour vérifier les configurations des routeurs Cloud Router, consultez les étapes de vérification dans l'onglet gcloud de la section Créer des sessions BGP.

API

Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET à l'aide de la méthode routers.getRouterStatus et utilisez un corps de requête vide :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Créer un tunnel supplémentaire sur une passerelle à tunnel unique

Console

Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, configurez un tunnel sur chaque interface VPN haute disponibilité, de chaque côté d'une passerelle VPN haute disponibilité vers VPN haute disponibilité.

Si vous avez configuré un tunnel sur une passerelle VPN haute disponibilité vers une autre passerelle VPN haute disponibilité, mais que vous souhaitez recevoir un contrat de niveau de service assurant une disponibilité de 99,99 %, vous devez configurer un second tunnel.

Pour configurer un deuxième tunnel, suivez la procédure décrite dans la section Ajouter un tunnel entre une passerelle VPN haute disponibilité et une autre passerelle VPN haute disponibilité.

Définir la priorité de base des routes annoncées (facultatif)

Les sessions BGP que vous créez autorisent chaque routeur Cloud Router à annoncer des routes aux réseaux de pairs. Les annonces utilisent des priorités de base non modifiées.

Utilisez la configuration décrite à la section Créer deux passerelles VPN haute disponibilité entièrement configurées connectées entre elles pour obtenir des configurations de routage en mode actif/actif où les priorités des routes annoncées des deux tunnels correspondent des deux côtés. Si vous omettez la priorité de route (--advertised-route-priority), la priorité des routes annoncées est identique aux deux pairs BGP.

Pour des configurations de routage en mode actif/passif, vous pouvez contrôler la priorité des routes annoncées to Google Cloud de routes partagées par Cloud Router avec votre passerelle VPN de pairs en définissant la priorité des routes annoncées (--advertised-route-priority) lors de l'ajout ou de la mise à jour d'un pair BGP. Pour créer une configuration en mode actif/passif, définissez une priorité de route annoncée plus élevée pour une session BGP et le tunnel VPN correspondant que pour l'autre session BGP et son tunnel VPN.

Pour en savoir plus sur la priorité de base des routes annoncées, consultez la section Préfixes et priorités annoncés.

Vous pouvez également affiner les routes annoncées à l'aide d'annonces personnalisées :

  • Ajoutez l'option --advertisement-mode=CUSTOM (gcloud) ou l'option advertiseMode: custom (API).
  • Spécifiez les plages d'adresses IP avec l'option --set-advertisement-ranges (gcloud) ou l'option advertisedIpRanges (API).

Terminer la configuration

Pour pouvoir utiliser une nouvelle passerelle Cloud VPN et ses tunnels VPN associés, procédez comme suit : 1. Configurez des règles de pare-feu dans Google Cloud pour vos réseaux VPC. 1. Vérifiez l'état de vos tunnels VPN. Cette étape inclut la vérification de la configuration de haute disponibilité de votre passerelle VPN haute disponibilité.

Étapes suivantes

  • Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la section Limiter les adresses IP pour les passerelles VPN de pairs.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.