Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC

Cette page explique comment connecter deux réseaux cloud privé virtuel (VPC) dans Google Cloud à l'aide de deux passerelles VPN haute disponibilité. Vous pouvez connecter deux réseaux VPC tant que les plages d'adresses IPv4 ou IPv6 du sous-réseau principal et secondaire de chaque réseau ne se chevauchent pas.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

Conditions requises

Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, assurez-vous de remplir les conditions suivantes lors de la création de cette configuration :

  • Placez une passerelle VPN haute disponibilité dans chaque réseau VPC.
  • Placez les deux passerelles VPN haute disponibilité dans la même région Google Cloud.
  • Configurez un tunnel sur chaque interface de chaque passerelle.
  • Faites correspondre les interfaces de passerelle comme suit :
    • Le tunnel sur l'interface 0 de la première passerelle doit être connecté à l'interface 0 de la deuxième passerelle.
    • Le tunnel sur l'interface 1 de la première passerelle doit être connecté à l'interface 1 de la deuxième passerelle.

Bien qu'il soit possible de connecter deux réseaux VPC à l'aide d'un seul tunnel entre des passerelles VPN haute disponibilité ou des passerelles VPN classiques, ce type de configuration n'est pas considéré comme hautement disponible et ne remplit pas les conditions du contrat de niveau de service garantissant une disponibilité de 99,99 %.

Cloud Router recommendations

Lors de la configuration d'une nouvelle passerelle VPN haute disponibilité, vous pouvez créer un routeur Cloud Router ou utiliser un routeur Cloud Router existant avec des tunnels Cloud VPN ou des rattachements de VLAN existants. Cependant, le routeur Cloud Router que vous utilisez ne doit pas déjà gérer une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire, en raison des exigences spécifiques du numéro ASN du rattachement.

Gérer les autorisations

Les passerelles VPN haute disponibilité ne vous appartiennent pas toujours, à vous ou à votre organisation Google Cloud. Lorsque vous créez une passerelle VPN haute disponibilité ou que vous vous connectez à une passerelle appartenant à un tiers, tenez compte des exigences suivantes :

  • Si vous êtes le propriétaire du projet pour lequel vous créez une passerelle VPN haute disponibilité, configurez les autorisations recommandées sur celle-ci.
  • Si vous souhaitez vous connecter à une passerelle VPN haute disponibilité hébergée dans une organisation ou un projet Google Cloud dont vous n'êtes pas le propriétaire, demandez l'autorisation compute.vpnGateways.use au propriétaire.

Avant de commencer

Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.

Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP (Border Gateway Protocol).

Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions gcloud présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.

        gcloud config set project PROJECT_ID
        
  1. Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :

        gcloud config list --format='text(core.project)'
        

Créer des réseaux et des sous-réseaux VPC personnalisés

Les procédures décrites dans ce document utilisent deux réseaux VPC différents. Chaque réseau VPC comporte au moins deux sous-réseaux, situés dans des régions différentes.

Avant de créer vos passerelles VPN haute disponibilité et vos tunnels VPN haute disponibilité, vous devez créer deux réseaux VPC.

Chacun de ces réseaux VPC doit comporter au moins un sous-réseau dans la région où vous créez la passerelle VPN haute disponibilité.

Pour activer le trafic IPv6 dans vos tunnels VPN haute disponibilité, vous devez activer l'allocation d'adresses internes IPv6 lors de la création des réseaux VPC.

De plus, configurez le sous-réseau pour qu'il utilise des adresses IPv6 internes.

Vous devez également configurer le protocole IPv6 sur les VM du sous-réseau :

Les sous-réseaux VPC doivent être configurés pour utiliser des adresses IPv6 internes. Lorsque vous utilisez la CLI gcloud, configurez les sous-réseaux avec l'option --ipv6-access-type=INTERNAL. Cloud Router n'annonce pas dynamiquement les routes pour les sous-réseaux configurés pour utiliser des adresses IPv6 externes (--ipv6-access-type=EXTERNAL).

Pour en savoir plus sur l'utilisation de plages IPv6 internes dans vos réseaux et sous-réseaux VPC, consultez la section Spécifications IPv6 internes.

Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, qui se comporte comme suit :

  • Toutes les instances de Cloud Router appliquent les routes to on-premises apprises à tous les sous-réseaux du réseau VPC.
  • Les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.

Créer deux passerelles VPN haute disponibilité entièrement configurées qui s'interconnectent

Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Créer des passerelles VPN haute disponibilité

Console

L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Pour créer la première passerelle VPN haute disponibilité, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.

  3. Sélectionnez l'assistant de configuration VPN.

  4. Si vous disposez déjà d'une passerelle VPN haute disponibilité, sélectionnez son bouton d'options.

  5. Cliquez sur Continuer.

  6. Spécifiez un nom de passerelle VPN.

  7. Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.

  8. Sélectionnez une Région.

  9. Sélectionnez un type de pile pour la passerelle, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile).

  10. Cliquez sur Créer et continuer.

  11. L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IPv4 externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.

Pour créer la deuxième passerelle VPN haute disponibilité, répétez les étapes précédentes dans un nouvel onglet du navigateur. Veillez à spécifier le même type de pile de tunnel VPN haute disponibilité que la première passerelle VPN haute disponibilité.

gcloud

En fonction des charges de travail que vous prévoyez de prendre en charge avec vos tunnels, vous pouvez choisir le type de pile comme suit lors de la création des passerelles :

  • Pour n'accepter que les charges de travail IPv4, créez une passerelle VPN haute disponibilité avec le type de pile IPV4_ONLY.
  • Pour accepter les charges de travail IPv4 et IPv6, créez une passerelle VPN haute disponibilité avec le type de pile IPV4_IPV6.
  • Pour n'accepter que les charges de travail IPv4, créez une passerelle VPN haute disponibilité avec le type de pile IPV6_ONLY.

Pour créer deux passerelles VPN haute disponibilité, exécutez les commandes suivantes :

  • Créez une passerelle VPN haute disponibilité sur chaque réseau de la région REGION.

    Lorsque les passerelles sont créées, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle. Notez ces adresses IP que vous utiliserez ultérieurement dans les étapes de configuration.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • GW_NAME_1 et GW_NAME_2 : nom de chaque passerelle
    • NETWORK : nom de votre réseau Google Cloud
    • REGION : région Google Cloud dans laquelle vous devez créer la passerelle et le tunnel.
    • IP_STACK : option facultative à utiliser pour la pile IP. IPV4_ONLY – Spécifiez IPV4_IPV6 ou IPV6_ONLY. Si vous ne spécifiez pas cette option, le type de pile est défini par défaut sur IPV4_IPV6.

    Créer la première passerelle

    Pour une passerelle avec des interfaces IPv4 :

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION \
       --stack-type=IP_STACK
    

    La passerelle que vous créez est semblable à l'exemple de résultat suivant. Une adresse IPv4 externe a été attribuée automatiquement à chaque interface de passerelle :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Créer la deuxième passerelle

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION \
       --stack-type=IP_STACK
    

    Si vous avez spécifié un type de pile pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle.

    La passerelle que vous créez ressemble à l'exemple de résultat suivant:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-east1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-east1
    

    Pour une passerelle avec des interfaces IPv6 :

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION \
       --gateway-ip-version=IPV6 \
       --stack-type=IP_STACK
    

    Une adresse IPv6 externe est automatiquement attribuée à chaque interface de passerelle :

API

Pour créer des sessions BGP, procédez comme suit :

Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.

Pour une passerelle avec des interfaces IPv4 :

  1. Créez la première passerelle VPN haute disponibilité en envoyant une requête POST à la méthode vpnGateways.insert.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
    {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
    }
    

    Le champ stackType est facultatif. Les seules valeurs valides sont IPV4_IPV6 et IPV4_ONLY. Si vous ne spécifiez pas de stackType, la valeur par défaut est IPV4_ONLY.

  2. Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres project, name, network et region appropriés.

    Si vous avez spécifié stackType pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle (IPV4_ONLY ou IPV4_IPV6).

Pour une passerelle avec des interfaces IPv6 :

  1. Créez la première passerelle VPN haute disponibilité en envoyant une requête POST à la méthode vpnGateways.insert.

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
    {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
    }
    

    Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier IPV6 comme valeur gatewayIpVersion. Le champ stackType est facultatif.

    • Si vous ne spécifiez pas stackType, la valeur par défaut est IPV4_IPV6.

    • Les seules valeurs stackType valides pour une passerelle dont le paramètre gatewayIpVersion est défini sur IPV6 sont IPV4_IPV6 ou IPV6_ONLY.

  2. Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres project, name, network et region appropriés.

    Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier IPV6 comme valeur gatewayIpVersion. Le champ stackType est facultatif.

    Si vous avez spécifié stackType pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle (IPV6_ONLY ou IPV4_IPV6).

Spécifier la ressource de passerelle VPN de pairs

Dans cette configuration, la ressource de passerelle VPN de pairs est le deuxième VPN haute disponibilité, qui est le point de terminaison des nouvelles connexions du tunnel VPN.

Si vous connectez deux réseaux VPC, le second réseau VPC peut exister dans le même projet Google Cloud ou dans un projet Google Cloud distinct.

Console

Pour spécifier la ressource de passerelle VPN de pairs pair, procédez comme suit :

  1. Sur la page Créer un VPN, de la section Passerelle VPN de pairs, sélectionnez Passerelle Google Cloud VPN.
  2. Pour Projet, sélectionnez le projet Google Cloud contenant la nouvelle passerelle.
  3. Pour Nom de la passerelle VPN, sélectionnez le deuxième VPN haute disponibilité que vous avez créé à la section Créer les passerelles VPN haute disponibilité.
  4. Continue to create VPN tunnels.

gcloud

Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.

Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.

API

Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.

Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.

Créer des routeurs cloud

Console

Sous Cloud Router, si ce n'est pas déjà fait, créez un routeur en spécifiant les options suivantes. Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

  1. Pour créer un routeur Cloud Router, spécifiez les éléments suivants :

    • Un nom
    • Une description facultative
    • Un numéro ASN Google pour le nouveau routeur

    Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.

  2. Pour créer le routeur, cliquez sur Créer.

gcloud

Les instructions suivantes supposent que vous n'avez pas encore créé de routeurs Cloud à utiliser pour la gestion des sessions BGP de vos tunnels VPN haute disponibilité. Vous pouvez utiliser un routeur Cloud Router existant dans chaque réseau VPC, sauf si ces routeurs gèrent déjà une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

Pour créer deux routeurs Cloud Router, exécutez les commandes suivantes :

  • Créez un routeur Cloud Router dans chaque réseau de REGION.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • PEER_ASN_1 et PEER_ASN_2 : tout numéro ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas déjà. Cet exemple utilise le numéro ASN 65001 pour les deux interfaces du routeur ROUTER_NAME_1 et ASN 65002 pour les deux interfaces du routeur ROUTER_NAME_2.
    • Remplacez toutes les autres options par les valeurs que vous avez utilisées précédemment.

    Créer le premier routeur

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    Le routeur que vous créez est semblable à l'exemple de résultat suivant:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Créer le deuxième routeur

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    Le routeur que vous créez est semblable à l'exemple de résultat suivant:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Si vous avez déjà créé un routeur Cloud Router dans chacun des réseaux VPC hébergeant chacune de vos passerelles VPN haute disponibilité, vous pouvez utiliser ces routeurs au lieu d'en créer. Toutefois, si un routeur Cloud Router gère une session BGP pour un rattachement de VLAN associé à une connexion par interconnexion partenaire, créez un routeur.

Pour créer un routeur Cloud Router, envoyez une requête POST à la méthode routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Créer des tunnels VPN

Console

Pour créer des tunnels VPN, procédez comme suit :

  1. Sous Haute disponibilité, sélectionnez une paire de tunnels ou un tunnel vers l'autre passerelle VPN haute disponibilité :

    • Si vous sélectionnez Créer une paire de tunnels VPN (recommandé), configurez les deux boîtes de dialogue qui s'affichent en bas de la page Créer un VPN.

    • En sélectionnant Créer un tunnel VPN unique, vous configurez un seul tunnel sur le reste de la page Créer un VPN. Toutefois, pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 % avec l'autre passerelle VPN haute disponibilité, vous devez créer un deuxième tunnel. Vous pouvez ajouter un deuxième tunnel ultérieurement, comme décrit à la fin de cette procédure.

  2. Effectuez les étapes suivantes, sur la même page ou dans la boîte de dialogue de chaque tunnel en bas de la page.

  3. Si vous configurez un tunnel sous Interface passerelle Cloud VPN associée, sélectionnez la combinaison interface VPN haute disponibilité et adresse IP de cette passerelle pour l'associer à l'interface passerelle de l'autre passerelle VPN haute disponibilité. Pour les configurations à deux tunnels, cette option et l'option Interface passerelle VPN de pairs associée ne sont pas disponibles, car les combinaisons d'interface appropriées sont configurées pour vous.

    1. Spécifiez un nom pour le tunnel.
    2. Spécifiez une Description facultative.
    3. Spécifiez la version IKE. Nous vous recommandons d'utiliser IKEv2, le paramètre par défaut. Pour autoriser le trafic IPv6, vous devez sélectionner IKEv2.
    4. Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
    5. Cliquez sur OK.
    6. Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.
  4. Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.

gcloud

Pour créer deux tunnels VPN sur chaque passerelle VPN haute disponibilité, exécutez les commandes suivantes :

  • Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_2 dans NETWORK_2.
  • Le tunnel de l'interface 1 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_2.
  • Lorsque vous créez des tunnels VPN sur GW_NAME_1 dans le réseau NETWORK_1, spécifiez les informations concernant GW_NAME_2 dans le réseau NETWORK_2. Google connecte automatiquement le tunnel de l'interface 0 dans le réseau GW_NAME_1 à l'interface 0 du réseau GW_NAME_2, et l'interface 1 de GW_NAME_1 à l'interface 1 du réseau GW_NAME_2.

    Créer deux tunnels sur la passerelle GW_NAME_1

    • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_1 dans le réseau NETWORK_1.

      Dans les commandes suivantes, remplacez les éléments suivants :

      • TUNNEL_NAME_GW1_IF0 et TUNNEL_NAME_GW1_IF1 : nom de chaque tunnel provenant de GW_NAME_1 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
      • GW_NAME_2 : valeur de --peer-gcp-gateway.
      • REGION : région où GW_NAME_1 se trouve.
      • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande.
      • IKE_VERS : 2 pour IKEv2, comme ces deux tunnels se connectent à une autre passerelle VPN haute disponibilité, Google recommande d'utiliser IKEv2. Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.
      • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit être la même clé que vous utilisez pour le tunnel correspondant créé à partir de GW_NAME_2 sur l'interface 0 et l'interface 1. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
      • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_1.
      • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_1
      • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        

      Créer le premier tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Créer le deuxième tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      Le résultat de la commande ressemble à ceci :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Créer deux tunnels sur la passerelle GW_NAME_2

    • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_2 dans le réseau NETWORK_2.

      • Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_1 dans NETWORK_1.
      • Le tunnel de l'interface 1 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_1.

      Dans les commandes suivantes, remplacez les éléments suivants :

      • REGION : région où GW_NAME_2 se trouve.
      • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande.
      • TUNNEL_NAME_GW2_IF0 et TUNNEL_NAME_GW2_IF1 : nom de chaque tunnel provenant de GW_NAME_2 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
      • GW_NAME_1 : valeur de --peer-gcp-gateway.
      • IKE_VERS : 2 pour IKEv2, étant donné que ces tunnels se connectent aux deux tunnels créés à l'étape précédente, ils doivent utiliser la même version du protocole IKE (Google recommande l'utilisation d'IKEv2). Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.
      • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée pour le tunnel partenaire que vous avez créé sur chaque interface de GW_NAME_1 ; pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
      • GW_NAME_2 : nom de la deuxième passerelle que vous avez configurée à l'étape de configuration de la passerelle.
      • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_2.
      • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_2
      • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • La région --peer-gcp-gateway-region, qui correspond à la région de la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.

      Créer le premier tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Créer le deuxième tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      Le résultat de la commande ressemble à ceci :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Après cette étape, attendez quelques minutes, puis vérifiez l'état de chaque tunnel VPN.

    L'état d'un tunnel VPN ne passe à Established (Établi) que lorsque le tunnel partenaire correspondant est également disponible et correctement configuré. Un protocole IKE et une association de sécurité enfant doivent également être négociés entre eux.

    Par exemple, le tunnel tunnel-a-to-b-if-0 sur la passerelle ha-vpn-gw-a ne peut être établi que si le tunnel tunnel-b-to-a-if-0 sur la passerelle ha-vpn-gw-b est configuré et disponible.

API

Pour créer deux tunnels VPN, chacun correspondant à une interface sur une passerelle VPN haute disponibilité, envoyez une requête POST à la méthode vpnTunnels.insert.

  1. Pour créer le premier tunnel, exécutez la commande suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SECRET_1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    

    Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

  2. Pour créer le deuxième tunnel, répétez la commande précédente, mais modifiez les paramètres suivants :

    • name : par exemple, ha-vpn-gw-a-tunnel-1
    • sharedSecret ou sharedSecretHash (si nécessaire)
    • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Ensuite, créez deux tunnels pour votre deuxième passerelle VPN haute disponibilité qui se connectent à votre première passerelle VPN haute disponibilité.

  1. Pour créer le premier tunnel sur la deuxième passerelle VPN haute disponibilité, exécutez la commande suivante :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-b-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b",
     "sharedSecret": SECRET_1,
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
     "vpnGatewayInterface": 0
    }
    

    Utilisez le même sharedSecret que celui que vous avez spécifié pour le premier tunnel sur la première passerelle (ha-vpn-gw-a-tunnel-0).

    Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

  2. Pour créer le second tunnel sur la deuxième passerelle VPN haute disponibilité, répétez la commande précédente, mais modifiez les paramètres suivants :

  • name : par exemple, ha-vpn-gw-b-tunnel-1
  • sharedSecret ou sharedSecretHash : spécifiez le paramètre sharedSecret ou sharedSecretHash que vous avez utilisé lors de la création du deuxième tunnel sur la première passerelle
  • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Créer des sessions BGP

Pour chaque tunnel VPN haute disponibilité, vous pouvez créer une session BGP IPv4, une session BGP IPv6 ou les deux.

Pour afficher des instructions spécifiques, sélectionnez le type de session BGP approprié à votre passerelle VPN haute disponibilité et à vos besoins de trafic réseau VPC.

Type de session BGP Passerelle VPN HA Réseau VPC MP-BGP autorisé ?
Sessions IPv4 BGP IPv4 uniquement ou double pile IPv4 uniquement ou double pile oui
Sessions IPv6 BGP double pile double pile oui
Sessions IPv4 et IPv6 BGP double pile double pile 0

Pour utiliser le protocole BGP multiprotocole (MP-BGP) dans les sessions BGP de vos tunnels VPN haute disponibilité, vous devez utiliser des passerelles VPN haute disponibilité à double pile.

Vous devez également utiliser une passerelle VPN haute disponibilité à double pile pour configurer les sessions BGP IPv4 et IPv6 dans le même tunnel VPN haute disponibilité. Toutefois, vous ne pouvez pas activer l'échange de route à double pile (MP-BGP) dans les sessions BGP IPv4 et IPv6 individuelles.

Sessions BGP IPv4

Console

Pour créer des sessions BGP, procédez comme suit :

  1. Cliquez sur Configurer la session BGP.
  2. Sur la page Créer une session BGP, procédez comme suit :
    1. For BGP session type, select IPv4 BGP session.
    2. Dans le champ Name (Nom), saisissez un nom pour la session BGP.
    3. Dans le champ ASN du pair, saisissez l'ASN du pair configuré pour la passerelle VPN de pairs.
    4. Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
    5. Facultatif : Pour activer l'échange de routage IPv6, cliquez sur l'option Activer le trafic IPv6.
  3. For Allocate BGP IPv4 address, select Automatically or Manually. If you select Manually, do the following: 1. For Cloud Router BGP IPv4 address, enter the Cloud Router BGP IPv4 address. 1. For BGP peer IPv4 address, enter the IPv4 address of the BGP peer. The IPv4 address must meet the following requirements: * Each IPv4 address must belong to the same /30 subnet that fits within the 169.254.0.0/16 address range. * Each IPv4 address is the first or second host of the /30 subnet. The first and the last IP addresses of the subnet are reserved for network and broadcast addresses. * Each IPv4 address range for a BGP session must be unique among all Cloud Routers in all regions of a VPC network.

    If you select Automatically, Google Cloud automatically selects the IPv4 addresses for your BGP session.

    1. Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
      1. Pour Cloud Router BGP IPv6 next hop, saisissez une adresse IPv6 dans la plage d'adresses 2600:2d00:0:2::/63. Cette adresse correspond à l'adresse de saut suivant pour les routes IPv6 annoncées par le routeur Cloud Router.
      2. For Peer BGP IPv6 next hop, enter an IPv6 address in the 2600:2d00:0:2::/63 address range. Cette adresse est l'adresse de saut suivant pour les routes IPv6 reçues par le routeur Cloud Router depuis le pair BGP.
      3. Facultatif : développez la section Options avancées.
      4. To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. Pour en savoir plus, consultez Établir des sessions BGP.
      5. To enable MD5 authentication, select Enabled. If enabled, MD5 authentication is used to authenticate BGP sessions For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
      6. Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
  4. Cliquez sur Save and continue (Enregistrer et continuer).

  5. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.

  6. Click Save BGP configuration.

gcloud

Pour créer des sessions BGP, procédez comme suit :

Dans cette section, vous allez configurer les interfaces Cloud Router et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre la plage d'adresses IPv4 et les adresses IPv4 du pair que vous spécifiez pour chaque interface.

Par exemple, la première interface de router-1 est associée à une adresse IPv4 169.254.0.1, ce qui signifie que router-1 est le premier hôte du sous-réseau IPv4 169.254.0.0/30. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à 169.254.0.2, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30. Par conséquent, l'adresse BGP IPv4 du pair de router-1 est 169.254.0.2 et l'adresse BGP IPv4 du pair de router-2 est 169.254.0.1.

Ce tableau montre également un exemple de configuration d'adresse de saut suivant IPv6.

Routeur Nom d'interface Plage d'adresses IPv4 Adresse IPv4 du pair Numéro ASN du pair Adresse du saut suivant
IPv6
Adresse du saut suivant
IPv6
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002 2600:2d00:0:2::1 2600:2d00:0:2::2
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001 2600:2d00:0:2::2 2600:2d00:0:2::1
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002 2600:2d00:0:2:1::1 2600:2d00:0:2:1::2
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001 2600:2d00:0:2:1::2 2600:2d00:0:2:1::1

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

  1. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

    Cette interface connecte TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_0 : nom de l'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
    • IP_ADDRESS_1 : adresse IPv4 BGP de la plage d'adresses IPv4 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16.
    • PEER_NAME_GW1_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • PEER_IP_ADDRESS_1: adresse IPv4 BGP de 169.254.0.0/16 qui n'est pas encore utilisée. Cet exemple utilise 169.254.0.2. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 BGP, IP_ADDRESS_1 précédemment, omettez cette option. Google Cloud attribue automatiquement une adresse IPv4 du pair BGP correspondant. Si vous avez spécifié manuellement IP_ADDRESS_1, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002
    • Facultatif: si vous créez des sessions BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 lorsque vous exécutez la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant manuellement, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_1 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router.
      • PEER_IPV6_NEXTHOP_ADDRESS_1 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP

        The next-hop address must be in the 2600:2d00:0:2::/63 IPv6 address range.

      Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage d'adresses IPv6 2600:2d00:0:2::/63.

    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF0. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

    Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF0

    Pour créer une interface avec une adresse IPv4 sur Cloud Router, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    La commande suivante crée un pair BGP IPv4 sans IPv6 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION \
        --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

    Cette interface permet de connecter TUNNEL_NAME_GW1_IF1 à l'interface 1 de GW_1 à l'interface 1 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié.
    • IP_ADDRESS_2: facultatif: adresse IPv4 BGP de 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16.
    • PEER_NAME_GW1_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • PEER_IP_ADDRESS_2 : adresse IPv4 BGP de la plage d'adresses IPv4 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.2. Si vous n'avez pas spécifiquement attribué d'adresse IP BGP, IP_ADDRESS_2, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv4 de pair BGP correspondante. Si vous avez spécifié manuellement IP_ADDRESS_2, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002
    • Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/63.
      • PEER_IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv6 2600:2d00:0:2::/63.

      Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage d'adresses IPv6 2600:2d00:0:2::/63.

    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

    Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

    Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

    L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    La commande suivante crée un pair BGP IPv4 pour lequel l'échange de routes IPv6 n'est pas activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF1 \
        --interface=ROUTER_1_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_2 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Le résultat de la commande ressemble à ceci :

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

    Cette interface connecte TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_0 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
    • IP_ADDRESS_3: si vous avez configuré PEER_IP_ADDRESS_1 manuellement pour TUNNEL_NAME_GW1_IF0, spécifiez cette valeur pour IP_ADDRESS_3. Si Google Cloud a attribué automatiquement cette adresse IPv4 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF0, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.0.2.
    • MASK_LENGTH : spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16.
    • PEER_NAME_GW2_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • PEER_IP_ADDRESS_3 : adresse IPv4 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP PEER_NAME_GW1_IF0 que vous avez créé pour TUNNEL_NAME_GW1_IF0. Cet exemple utilise 169.254.0.1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif: si vous créez des tunnels VPN avec des sessions BGP IPv4 et MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer le trafic IPv6. Vous devez configurer les adresses de saut suivant IPv6 pour qu'elles correspondent à l'interface et au pair BGP configuré pour la première passerelle. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG PEER_NAME_GW1_IF0 que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:2.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:1.
    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF0

    Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF0

    Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF0

    L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP IPv4 sans l'échange de route IPv6 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF0, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Créez une interface avec une adresse IPv4 et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

    Cette interface connecte TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
    • IP_ADDRESS_4: si vous avez attribué manuellement une adresse IPv4 BGP pour PEER_IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour IP_ADDRESS_4. Si Google Cloud a attribué automatiquement l'adresse IPv4, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF1, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.1.2.
    • MASK_LENGTH: pour une interface avec une adresse IPv4, spécifiez 30, car Cloud Router doit utiliser un masque CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16. Pour une interface avec une adresse IPv6, spécifiez une longueur de masque inférieure ou égale à 126.
    • PEER_NAME_GW2_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • PEER_IP_ADDRESS_4 : adresse IP que vous avez spécifiée comme IP_ADDRESS_2 lors de la configuration de la première passerelle et de la première interface. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP TUNNEL_NAME_GW1_IF1 que vous avez créé pour . Cet exemple utilise 169.254.1.1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV6_NEXTHOP_ADDRESS_4 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_2. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG PEER_NAME_GW1_IF1 que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_2. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG PEER_NAME_GW1_IF1 que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:1:1.
    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF1

    Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF1

    L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP sans échange de route IPv6 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF1 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF1, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    
    Le résultat de la commande ressemble à ceci:
    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Le résultat de la commande ressemble à ceci :

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Pour créer une interface Cloud Router, envoyez l'une des requêtes suivantes :

    The PATCH request updates only the parameters that you include, whereas the UPDATE request updates all the parameters of a Cloud Router.

    Vous devez créer une interface Cloud Router pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

    Les plages d'adresses IPv4 BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. Pour ajouter une configuration de pair BGP à l'interface, effectuez l'une des requêtes suivantes :

    Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf name et peerAsn.

    Pour créer une configuration de session BGP complète pour une passerelle VPN haute disponibilité, utilisez la commande API suivante :

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": 65002,
    
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

    Pour créer la configuration de session BGP complète pour une passerelle VPN haute disponibilité avec le protocole IPv6 activé, utilisez la commande API suivante :

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": 65002,
    
         "advertiseMode": "DEFAULT"
         "enableIpv6": true
         "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1"
         "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2"
       }
     ]
    }
    

    Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "md5AuthenticationKeys": [
      {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
    ],
    }
    {
    "bgpPeers": [
      {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ],
    }
    

Sessions IPv6 BGP

Console

Pour créer des sessions BGP, procédez comme suit :

  1. Cliquez sur Configurer la session BGP.
  2. Sur la page Créer une session BGP, procédez comme suit :

    1. For BGP session type, select IPv6 BGP session.
    2. Dans le champ Name (Nom), saisissez un nom pour la session BGP.
    3. Dans le champ ASN du pair, saisissez l'ASN du pair configuré pour la passerelle VPN de pairs.
    4. Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
    5. Facultatif : pour activer l'échange de route IPv4, cliquez sur l'option Activer le trafic IPv4.
    6. Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :

      1. Dans le champ Adresse IPv6 BGP du routeur Cloud Router, saisissez l'adresse IPv6 BGP du routeur Cloud Router.
      2. For BGP peer IPv6 address, enter the IPv6 address of the BGP peer. L'adresse IPv6 doit répondre aux exigences suivantes :
        • Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses fdff:1::/64 avec une longueur de masque de /64. Exemple : fdff:1::1.
        • Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

      If you select Automatically, Google Cloud automatically selects the IPv6 addresses for your BGP session.

    7. Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :

      1. In the Cloud Router BGP IPv4 next hop field, enter an IPv4 address in the 169.254.0.0/16 address range. This IP address is the next hop address for IPv4 routes that are advertised by the Cloud Router.
      2. In the Peer BGP IPv4 next hop field, enter an IP address in the 169.254.0.0/16 address range. This IP address is the next hop address for IPv4 routes learned by the Cloud Router from the BGP peer.
      3. Facultatif : développez la section Options avancées.
      4. To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. For more information, see Establish BGP sessions.
      5. To add MD5 authentication, select Enabled. If enabled, you can use MD5 authentication to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.
      6. Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.
  3. Cliquez sur Save and continue (Enregistrer et continuer).

  4. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.

  5. Click Save BGP configuration.

gcloud

Pour créer des sessions BGP, procédez comme suit :

Dans cette section, vous allez configurer les interfaces Cloud Router IPv6 et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre les plages IPv6 BGP et les adresses IP de pairs que vous spécifiez pour chaque interface.

Par exemple, la première interface de router-1 est associée à une adresse IPv6 de fdff:1::1, ce qui signifie que router-1 est le premier hôte du sous-réseau IPv6 fdff:1::/126. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à fdff:1::2, qui est le deuxième hôte du sous-réseau IPv6 fdff:1::/126. Par conséquent, l'adresse IPv6 du pair BGP de router-1 est fdff:1::2 et l'adresse de router-2 est fdff:1::2.

Routeur Nom d'interface Plage d'adresses IPv6 Adresse IPv6 du pair Numéro ASN du pair Adresse du saut suivant
IPv4
Adresse du saut suivant
IPv4 de pair
router-1 if-tunnel-a-to-b-if-0 fdff:1::/64 fdff:1::2 65002 169.254.12.1 169.254.12.2
router-2 if-tunnel-b-to-a-if-0 fdff:1::/64 fdff:1:1:2::1 65001 169.254.12.2 169.254.12.1
router-1 if-tunnel-a-to-b-if-1 fdff:1::/64 fdff:1::2 65002 169.254.13.1 169.254.13.2
router-2 if-tunnel-b-to-a-if-1 fdff:1::/64 fdff:1:1:2::1 65001 169.254.13.2 169.254.13.1

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

  1. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

    Cette interface connecte TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_0 : nom de l'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • IP_VERSION: IPV6; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
    • IP_ADDRESS_1 : adresse IPv6 BGP de la plage d'adresses IPv6 fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise fdff:1::1. Si vous omettez cette option et que vous n'attribuez pas d'adresse IPv6 manuellement, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : spécifiez une longueur de masque de 126.
    • PEER_NAME_GW1_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
    • PEER_IP_ADDRESS_1 : adresse IPv6 BGP de la plage d'adresses IPv6 fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise fdff:1::2. Si vous n'avez pas encore attribué d'adresse IPv6 BGP spécifique, IP_ADDRESS_1, omettez cette option. Google Cloud attribue automatiquement une adresse IPv6 du pair BGP correspondant. Si vous avez spécifié manuellement IP_ADDRESS_1, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002
    • Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud compute routers add-bgp-peer. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.

      Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :

      • IPV4_NEXTHOP_ADDRESS_1: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale 169.254.0.0/16. Pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses de liaison locale 169.254.0.0/16.

      Si vous ne spécifiez pas les adresses de saut suivant IPv4, Google Cloud attribue automatiquement les adresses non utilisées de la plage d'adresses IPv4 169.254.0.0/16.

    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF0. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

    Facultatif: Attribuer une plage d'identifiants BGP

    Lorsque vous ajoutez la première interface à un routeur cloud disposant d'une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

    Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

    Automatique

    Créer une interface pour TUNNEL_NAME_GW1_IF0

    Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV6
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

    Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv4 \
    

    La commande suivante crée un pair BGP sans IPv4 activé et une adresse IPv6 attribuée automatiquement:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    

    Mode manuel

    Créer une interface pour TUNNEL_NAME_GW1_IF0

    Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante.

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0 \
      --ip-address=IP_ADDRESS_1 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

    Pour créer un pair BGP avec l'échange de routes IPv4 activé et les adresses de saut suivant IPv4 spécifiées manuellement, exécutez la commande suivante.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_1 \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_1
    

    La commande suivante crée un pair BGP sans échange de route IPv4 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_IP_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

    Cette interface connecte TUNNEL_NAME_GW1_IF1 sur l'interface 1 de GW_1 à l'interface 1 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • IP_VERSION : IPV6
    • IP_ADDRESS_2 : adresse IPv6 BGP de la plage d'adresses IPv6 fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise fdff:1::1:1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : spécifiez une longueur de masque de 64.
    • PEER_NAME_GW1_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
    • PEER_IP_ADDRESS_2 : adresse IPv6 BGP de la plage d'adresses IPv6 fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise fdff:1::1:2. Si vous n'avez pas spécifiquement attribué d'adresse IPv6, IP_ADDRESS_2, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv6 du pair BGP. Si vous avez spécifié manuellement IP_ADDRESS_2, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002
    • Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud compute routers add-bgp-peer. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.

      Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :

      • IPV4_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale 169.254.0.0/16.
      • PEER_IPV4_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale 169.254.0.0/16.
    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

    Automatique

    Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

    Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION \
       --ip-version=IPV6
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

    Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --enable-ipv4 \
    

    La commande suivante crée un pair BGP sans IPv4 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    

    Mode manuel

    Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

    Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1 \
      --ip-address=IP_ADDRESS_2 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
    

    Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

    Pour créer un pair BGP IPv6 avec l'échange de routes IPv4 activé, exécutez la commande suivante:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1 \
     --interface=ROUTER_1_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_IP_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_2 \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_2
    

    La commande suivante crée un pair BGP sans IPv4 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1 \
     --interface=ROUTER_1_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_IP_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Facultatif : Pour utiliser l'authentification MD5, utilisez l'option --md5-authentication-key afin de fournir votre clé secrète :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Le résultat de la commande ressemble à ceci :

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: fdff:1::1
       ipv4NexthopAddress: 169.254.12.2
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.12.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: fdff:1:1:2::1
       ipv4NexthopAddress: 169.254.13.2
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.13.1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange:  fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange:  fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

  4. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

    Cette interface connecte TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_0 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • IP_VERSION: IPV6; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
    • IP_ADDRESS_3: si vous avez attribué manuellement une adresse IPv6 BGP pour PEER_IP_ADDRESS_1 pour TUNNEL_NAME_GW1_IF0, spécifiez cette valeur pour IP_ADDRESS_3. Si Google Cloud a attribué automatiquement cette adresse IPv6 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF0, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise fdff:1::2.
    • MASK_LENGTH: spécifiez une longueur de masque inférieure ou égale à 126.
    • PEER_NAME_GW2_IF0 : nom décrivant le pair BGP ; utiliser un nom lié à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • PEER_IP_ADDRESS_3 : adresse IPv6 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP fdff:1::1 que vous avez créé pour .
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud compute routers add-bgp-peer pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.

      Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV4_NEXTHOP_ADDRESS_3: the next hop address for IPv4 routes specified previously in PEER_IPV4_NEXTHOP_ADDRESS_1; if you automatically assigned IPv4 next hop addresses when you created the interface and BGP peer for TUNNEL_NAME_GW1_IF0 on ROUTER_NAME_1, then you must find out what address has been allocated by Google Cloud. Run the gcloud compute routers describe ROUTER_NAME_1 command, and check the output for the BPG peer you set up for TUNNEL_NAME_GW1_IF0. Use the value that appears in the peerIpv4NextHopAddress field. This example uses 169.254.13.1.
      • PEER_IPV4_NEXTHOP_ADDRESS_2: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage IPv4 de liaison locale 169.254.0.0/16. Cet exemple utilise 169.254.13.2.
    • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF0

    Facultatif: Attribuer une plage d'identifiants BGP

    Lorsque vous ajoutez la première interface à un routeur cloud avec une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

    Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

    Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF0

    Pour créer une interface avec une adresse IPv6, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION \
        --ip-version=IPV6
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF0

    L'exemple de commande suivant crée un pair BGP compatible avec IPv4 :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION \
        --enable-ipv4 \
        --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
        --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP sans IPv4 activé :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF0, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Le résultat de la commande ressemble à ceci :

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

    Cette interface connecte TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • IP_ADDRESS_4: si vous avez attribué manuellement une adresse IPv6 BGP pour PEER_IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour IP_ADDRESS_4. Si Google Cloud a attribué automatiquement l'adresse IPv6 du pair BGP lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été allouées par Google Cloud. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise fdff:1::1:2.
    • MASK_LENGTH : spécifiez une longueur de masque de 126.
    • PEER_NAME_GW2_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • PEER_IP_ADDRESS_4: si vous avez attribué manuellement une adresse IP BGP pour IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour PEER_IP_ADDRESS_4. Si Google Cloud vous a attribué automatiquement l'adresse IPv6 BGP, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé. Cet exemple utilise fdff:1::1:1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.
    • Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud compute routers add-bgp-peer pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.

      Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

      • IPV4_NEXTHOP_ADDRESS_4: adresse du saut suivant pour les routes IPv4 spécifiées précédemment dans PEER_IPV4_NEXTHOP_ADDRESS_3. Si vous avez attribué automatiquement des adresses de saut suivant IPv4 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez la commande gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv4NextHopAddress. Cet exemple utilise 169.254.13.1.
      • PEER_IPV4_NEXTHOP_ADDRESS_4 : adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv4 de liaison locale 169.254.0.0/16. Cet exemple utilise 169.254.13.2.
    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF1

    Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION \
    

    Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    Créer un pair BGP pour TUNNEL_NAME_GW2_IF1

    L'exemple de commande suivant crée un pair BGP IPv6 avec l'échange de routes IPv4 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv4 \
       --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
       --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    La commande suivante crée un pair BGP IPv6 sans l'échange de routes IPv4 activé:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF1 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF1, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: fdff:1::2
       ipv4NexthopAddress: 169.254.12.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: fdff:1::1
       peerIpv4NexthopAddress: 169.254.12.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: fdff:1::1
       ipv4NexthopAddress: 169.254.13.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.13.2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: fdff:1::2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: fdff:1::1:2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Pour créer une interface Cloud Router avec une adresse IPv6, envoyez une requête PATCH ou UPDATE à la méthode routers.patch ou à la méthode routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router. Créez une interface pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

    L'exemple suivant crée une interface avec une adresse BGP IPv6 configurée manuellement.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::1/126"
        }
      ]
    }
    

    Chaque plage d'adresses IPv6 BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

    Autre exemple : la commande suivante crée une interface avec une adresse IPv6 attribuée automatiquement.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
        }
      ]
    }
    

    Répétez cette étape pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

  2. Ajoutez un pair BGP au routeur Cloud Router pour chaque interface.

    Pour créer un pair BGP, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou routers.update.. Répétez cette commande pour les autres interfaces, en modifiant les valeurs de champ selon vos besoins.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-b-if-0",
         "interfaceName": "if-tunnel-a-to-b-if-0",
         "ipAddress": "fdff:1::2",
         "peerIpAddress": "fdff:1::1",
         "peerAsn": 65002,
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

    Pour créer une session BGP IPv6 avec les adresses de saut suivant MP-BGP et IPv4 configurées, utilisez la commande API suivante:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-b-if-0",
         "interfaceName": "if-tunnel-a-to-b-if-0",
         "ipAddress": "fdff:1::2",
         "peerIpAddress": "fdff:1::1",
         "peerAsn": 65002,
         "advertiseMode": "DEFAULT",
         "enableIpv4": true,
         "ipv4NexthopAddress: "169.254.12.2",
         "peerIpv4NexthopAddress: "169.254.12.1"
       }
     ]
    }
    

    Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "md5AuthenticationKeys": [
      {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
    ],
    }
    {
    "bgpPeers": [
      {
       "interfaceName": "if-tunnel-a-to-b-if-0",
       "ipAddress": "fdff:1::2",
       "name": "bgp-peer-tunnel-a-to-b-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::1",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ],
    }
    

Sessions BGP IPv4 et IPv6

Console

Pour créer des sessions BGP IPv4 et IPv6, procédez comme suit :

  1. Cliquez sur Configurer la session BGP.
  2. Sur la page Créer une session BGP, procédez comme suit :

    1. Pour Type de session BGP, sélectionnez Les deux.

    Session BGP IPv4

    1. Dans le champ Name (Nom), saisissez un nom pour la session BGP.
    2. Dans le champ ASN du pair, saisissez l'ASN du pair configuré pour la passerelle VPN de pairs.
    3. Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
    4. Pour Adresse IPv4 BGP du routeur cloud, saisissez l'adresse IPv4 BGP de Cloud Router.
    5. For BGP peer IPv4 address, enter the IPv4 address of the BGP peer. The IPv4 address must meet the following requirements:

      • Chaque adresse IPv4 doit appartenir au même sous-réseau /30 compris dans la plage d'adresses 169.254.0.0/16.
      • * Chaque adresse IPv4 BGP est le premier ou le deuxième hôte du sous-réseau /30. Les première et dernière adresses IP du sous-réseau sont réservées aux adresses réseau et de diffusion.
      • Each IPv4 address range for a BGP session must be unique among all Cloud Routers in all regions of a VPC network.

      If you select Automatically, Google Cloud automatically selects the IPv4 addresses for your BGP session.

      If you select automatic IPv6 address allotment, Google Cloud automatically selects the IPv6 addresses for your BGP session.

    6. Facultatif : développez la section Options avancées.

    7. To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. For more information, see Establish BGP sessions.

    8. To add MD5 authentication, select Enabled. If enabled, you can use MD5 authentication to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.

    9. Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.

    10. Cliquez sur Save and continue (Enregistrer et continuer).

    Session BGP IPv6

    1. Dans le champ Name (Nom), saisissez un nom pour la session BGP.
    2. Dans le champ ASN du pair, saisissez l'ASN du pair configuré pour la passerelle VPN de pairs.
    3. Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
    4. Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
    5. For Cloud Router BGP IPv6 address, enter the Cloud Router BGP IPv6 address.
    6. For BGP peer IPv6 address, enter the IPv6 address of the BGP peer. The IPv4 address must meet the following requirements:

      • Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses fdff:1::/64 avec une longueur de masque de /64. Exemple :fdff:1::1
      • * Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

      If you select Automatically, Google Cloud automatically selects the IPv6 addresses for your BGP session.

    7. Facultatif : développez la section Options avancées.

    8. To enable BGP peer, select Enabled. If enabled, the peer connection is established with routing information. Pour en savoir plus, consultez Établir des sessions BGP.

    9. To enable MD5 authentication, select Enabled. If enabled, MD5 authentication is used to authenticate BGP sessions between Cloud Router and its peers. For more information, see Use MD5 authentication. You can alternatively choose to enable MD5 authentication later.

    10. Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.

    11. Cliquez sur Save and continue (Enregistrer et continuer).

  3. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.

  4. Click Save BGP configuration.

gcloud

Dans cette section, vous configurez deux interfaces et des pairs BGP pour chaque tunnel VPN haute disponibilité. Le tableau suivant présente ces interfaces et pairs. Il indique la relation entre les plages d'adresses IP et les adresses IP du pair que vous spécifiez pour chaque interface.

Par exemple, une adresse IPv4 de 169.254.0.1 est attribuée à la première interface de router-1. La seconde interface de router-1 se voit attribuer une adresse IPv6 de fdff:1::1. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à 169.254.0.2, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30. La deuxième interface de router-2 est attribuée à fdff:1::2, qui est le deuxième hôte du sous-réseau IPv6 fdff:1::/126. L'adresse IPv4 BGP du pair de router-1 est 169.254.0.2 et son adresse IPv6 du pair BGP est fdff:1::2. L'adresse IPv4 BGP du pair de router-2 est 169.254.0.1 et son adresse IPv6 du pair BGP est fdff:1::1.

Routeur Nom d'interface Adresse IP BGP Adresse IP du pair Numéro ASN du pair
router-1 if-tunnel-a-to-b-if-0_ipv4 169.254.0.1/30 169.254.0.2 65002
router-1 if-tunnel-a-to-b-if-0_ipv6 fdff:1::1/126 fdff:1::2 65002
router-1 if-tunnel-a-to-b-if-1_ipv4 169.254.1.1/30 169.254.1.2 65002
router-1 if-tunnel-a-to-b-if-1_ipv6 fdff:1::1:1/126 fdff:1::1:2 65002
router-2 if-tunnel-b-to-a-if-0_ipv4 169.254.0.2/30 169.254.0.1 65001
router-2 if-tunnel-b-to-a-if-0_ipv6 fdff:1::2/126 fdff:1:1:2::1 65001
router-2 if-tunnel-b-to-a-if-1_ipv4 169.254.1.2/30 169.254.1.1 65001
router-2 if-tunnel-b-to-a-if-1_ipv6 fdff:1::1:2/126 fdff:1::1:1 65001

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

  1. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

    Les deux interfaces connectent TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

    Dans les commandes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_0_ipv4 et ROUTER_1_INTERFACE_NAME_0_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF0
    • IP_VERSION: version IPv6 de l'interface, IPV6 ou IPV4. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
    • IPV4_ADDRESS_1 et IPV6_ADDRESS_1 : adresse IP BGP de la plage d'adresses 169.254.0.0/16 ou fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.1 et fdff:1::1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IP BGP, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : lorsque vous spécifiez une adresse IPv6 BGP pour une interface, spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque de 126.
    • PEER_NAME_GW1_IF0_ipv4 et PEER_NAME_GW1_IF0_ipv6: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF0.
    • PEER_IPV4_ADDRESS_1 et PEER_IPV6_ADDRESS_1 : adresse BGP de la plage d'adresses IPv6 169.254.0.0/16 ou fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.2 et fdff:1::2. Si vous n'avez pas encore attribué d'adresses BGP spécifiques pour IPV4_ADDRESS_1 et IPV6_ADDRESS_1, omettez ces options. Google Cloud attribue automatiquement une adresse IP de pair BGP correspondante. Si vous avez spécifié manuellement IPV4_ADDRESS_1 et IPV6_ADDRESS_1, vous devez également configurer manuellement ces options.
    • PEER_ASN_2: numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002

    Facultatif: Attribuer une plage d'identifiants BGP

    Lorsque vous ajoutez la première interface avec une adresse IPv6 à un routeur Cloud Router, une plage d'identifiants BGP est automatiquement attribuée au routeur Cloud Router. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

    Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

    Automatique

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF0

    Pour créer une interface avec une adresse IPv4 BGP configurée automatiquement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV4
    

    Pour créer une interface avec une adresse IPv6 BGP configurée automatiquement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV6
    

    Créer des pairs BGP pour TUNNEL_NAME_GW1_IF0

    L'exemple de commande suivant crée le pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
    

    L'exemple de commande suivant crée le pair BGP IPv6:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

    Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

    Mode manuel

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF0

    Pour créer une interface avec une adresse IPv4 BGP configurée manuellement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --ip-address=IPV4_ADDRESS_1 \
      --mask-length=30 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION
    

    Pour créer une interface avec une adresse IPv6 BGP configurée manuellement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --ip-address=IPV6_ADDRESS_1 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
    

    Créer des pairs BGP pour TUNNEL_NAME_GW1_IF0

    L'exemple de commande suivant crée le pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
    

    La commande suivante crée le pair BGP IPv6:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

    Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

  2. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

    Les deux interfaces connectent TUNNEL_NAME_GW1_IF1 sur l'interface 1 de GW_1 à l'interface 1 de GW_2.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_1_INTERFACE_NAME_1_ipv4 et ROUTER_1_INTERFACE_NAME_1_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF1
    • IP_VERSION: version de l'interface, IPV6 ou IPV4 Si non spécifié, la valeur par défaut est IPV4. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement une adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv4 ou IPv6 à cette interface, vous pouvez omettre cette option.
    • IPV4_ADDRESS_2 ou IPV6_ADDRESS_2: adresse IPv4 ou IPv6 BGP de la plage d'adresses IPv6 169.254.0.0/16 ou fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.1. et fdff:1::1:1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 ou IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.
    • MASK_LENGTH : lorsque vous spécifiez une adresse IPv4 pour une interface, spécifiez 30, car le routeur Cloud Router doit utiliser un masque CIDR /30 unique de la même plage d'adresses IPv4 169.254.0.0/16. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque de 64.
    • PEER_NAME_GW1_IF1_ipv4 et PEER_NAME_GW1_IF0_ipv6: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF1.
    • PEER_IPV4_ADDRESS_2 ou PEER_IPV6_ADDRESS_2 : adresse IPv4 ou IPv6 BGP de la plage d'adresses IPv6 169.254.0.0/16 ou fdff:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.2 et fdff:1::1:2. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 ou IPv6, IPV4_ADDRESS_2 ou IPV6_ADDRESS_2, omettez cette option et Google Cloud attribue automatiquement une adresse IPv4 ou IPv6 du pair BGP correspondant. Si vous avez spécifié manuellement IPV4_ADDRESS_2 ou IPV6_ADDRESS_2, vous devez également configurer manuellement cette option.
    • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002
    • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

    Automatique

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF1

    Pour créer une interface avec une adresse IPv4 configurée automatiquement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
      --ip-version=IPV4
    

    Pour créer une interface avec une adresse IPv6 configurée automatiquement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
      --ip-version=IPV6
    

    Créer des pairs BGP pour TUNNEL_NAME_GW1_IF1

    L'exemple de commande suivant crée un pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    L'exemple de commande suivant crée un pair BGP IPv6 :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

    Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

    Mode manuel

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF1

    Pour créer une interface avec une adresse IPv4 configurée manuellement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --ip-address=IPV4_ADDRESS_2 \
      --mask-length=30 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION
    

    Pour créer une interface avec une adresse IPv6 configurée manuellement, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --ip-address=IPV6_ADDRESS_2 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION
    

    Créer des pairs BGP pour TUNNEL_NAME_GW1_IF1

    L'exemple de commande suivant crée un pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    L'exemple de commande suivant crée un pair BGP IPv6 :

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1_ipv6 \
     --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
     --peer-ip-address=PEER_IPV6_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

    Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

  3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-0_ipv4
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-1_ipv4
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-0_ipv6
       ipAddress: fdff:1::1
       name: bgp-peer-tunnel-a-to-b-if-0_ipv6
       peerAsn: 65002
       peerIpAddress: fdff:1::2
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-1_ipv6
       ipAddress: fdff:1::1
       name: bgp-peer-tunnel-a-to-b-if-1_ipv6
       peerAsn: 65002
       peerIpAddress: fdff:1::2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     — ipRange: fdff:1::1:1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

    Les deux interfaces connectent TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

    Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud, ROUTER_NAME_1.

    Dans les commandes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_0_ipv4 et ROUTER_2_INTERFACE_NAME_0<_ipv6: noms d'interface Cloud Router. Utiliser des noms associés à TUNNEL_NAME_GW2_IF0 est utile
    • IPV4_ADDRESS_3 and IPV6_ADDRESS_3: the BGP IPv4 and IPv6 addresses used previously for this gateway and interface. If you automatically assigned the peer IPv4 and IPv6 addresses when you created the interfaces and BGP peers for TUNNEL_NAME_GW1_IF0 on ROUTER_NAME_1, then you must specify the allocated addresses as IPV4_ADDRESS_3 and IPV6_ADDRESS_3. To find out which addresses have been allocated by Google Cloud, run the gcloud compute routers describe ROUTER_NAME_1 command. In the output for the BGP peers, use the values that appear in the peerIpAddress field. This example uses 169.254.0.2 and fdff:1::2.
    • MASK_LENGTH: for an interface with an IPv4 address, specify 30 because the Cloud Router must use a unique /30 CIDR from the same 169.254.0.0/16 IPv4 address range. For an interface with an IPv6 address, specify a mask length of 64.
    • PEER_NAME_GW2_IF0_ipv4 et PEER_NAME_GW2_IF0_ipv6 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
    • PEER_IPV4_ADDRESS_3 et PEER_IPV6_ADDRESS_3: adresses IPv4 ou IPv6 BGP utilisées précédemment lorsque vous avez configuré la première passerelle et la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez les valeurs qui apparaissent dans le champ ipAddress pour les pairs BGP que vous avez créés pour TUNNEL_NAME_GW1_IF0. Cet exemple utilise 169.254.0.1 et fdff:1::1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW2_IF0

    Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IPV4_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION
    

    Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IPV6_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION \
    

    Créer des pairs BGP pour TUNNEL_NAME_GW2_IF0

    L'exemple de commande suivant crée le pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0_ipv4 \
        --interface=ROUTER_2_INTERFACE_NAME_0_ipv4 \
        --peer-ip-address=PEER_IPV4_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    L'exemple de commande suivant crée le pair BGP IPv6:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0_ipv6 \
       --interface=ROUTER_2_INTERFACE_NAME_0_ipv6 \
       --peer-ip-address=PEER_IPV6_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    

    En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

    Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

  5. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

    Les deux interfaces connectent TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

    Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud, ROUTER_NAME_1.

    Les deux interfaces connectent TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • ROUTER_2_INTERFACE_NAME_1_ipv4 et ROUTER_2_INTERFACE_NAME_1_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW2_IF1
    • IPV4_ADDRESS_4 et IPV6_ADDRESS_4 : adresses IPv4 et IPv6 BGP utilisées précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement l'adresse IP du pair BGP lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez spécifier manuellement ces adresses allouées comme suit :IPV4_ADDRESS_4 et IPV6_ADDRESS_4. To find out which addresses have been allocated by Google Cloud, run the gcloud compute routers describe ROUTER_NAME_1 command. Dans la sortie du pair BGP, utilisez les valeurs qui apparaissent dans le champ peerIpAddress. Cet exemple utilise 169.254.1.2 et fdff:1::1:2.
    • MASK_LENGTH: for an interface with an IPv4 address, specify 30 because the Cloud Router must use a unique /30 CIDR from the same 169.254.0.0/16 IPv4 address range. For an interface with an IPv6 address, specify a mask length of 64.
    • PEER_NAME_GW2_IF1_ipv4 et PEER_NAME_GW2_IF1_ipv6 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
    • PEER_IPV4_ADDRESS_4 et PEER_IPV6_ADDRESS_4: adresse IP que vous avez spécifiée comme IPV4_ADDRESS_2 et IPV6_ADDRESS_2, et lorsque vous avez configuré la première passerelle et la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez les valeurs qui apparaissent dans le champ ipAddress pour le pair BGP que vous avez créé pour TUNNEL_NAME_GW2_IF1. Cet exemple utilise 169.254.1.1 et fdff:1::1:1.
    • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

    Créer des interfaces Cloud Router pour TUNNEL_NAME_GW2_IF1

    Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IPV4_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION
    

    Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_1 \
        --ip-address=IPV6_ADDRESS_4 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
        --region=REGION
    

    Créer des pairs BGP pour TUNNEL_NAME_GW2_IF1

    L'exemple de commande suivant crée le pair BGP IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1_ipv4 \
       --interface=ROUTER_2_INTERFACE_NAME_1_ipv4 \
       --peer-ip-address=PEER_IPV4_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    

    L'exemple de commande suivant crée le pair BGP IPv6:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF1_ipv6 \
       --interface=ROUTER_2_INTERFACE_NAME_1_ipv6 \
       --peer-ip-address=PEER_IPV6_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    
  6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Le résultat de la commande ressemble à ceci :

     bgp:
       advertisemode: DEFAULT
       asn: 65002
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-0_ipv4
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.0.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-1_ipv4
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1_ipv4
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-0_ipv6
       ipAddress: fdff:1::2
       name: bgp-peer-tunnel-b-to-a-if-0_ipv6
       peerAsn: 65001
       peerIpAddress: fdff:1::1
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-1_ipv6
       ipAddress: fdff:1::2
       name: bgp-peer-tunnel-b-to-a-if-1_ipv6
       peerAsn: 65001
       peerIpAddress: fdff:1::1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.2/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
     — ipRange: 169.254.1.2/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
     — ipRange: fdff:1::2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     — ipRange: fdff:1::1:2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Pour créer plusieurs interfaces Cloud Router, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou de routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router.

    Les plages d'adresses BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

    Répétez cette étape et cette commande pour chaque tunnel VPN défini sur chaque passerelle VPN haute disponibilité. Pour une passerelle VPN haute disponibilité vers un déploiement VPN haute disponibilité, cela signifie quatre configurations de tunnel VPN haute disponibilité.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
        },
        {
         "name": "if-tunnel-a-to-b-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::1/126"
        }
      ]
    }
    

    L'exemple suivant ajoute une interface avec une adresse IPv4 et une interface avec une adresse IPv6 au même linkedVpnTunnel. La commande attribue automatiquement les adresses IPv4 et IPv6 aux interfaces:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV4"
        },
        {
         "name": "if-tunnel-a-to-b-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
        }
     ]
    }
    
  2. Pour ajouter des pairs BGP au routeur Cloud Router pour chaque tunnel VPN, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou de la méthode routers.update. Répétez cette commande pour chaque tunnel VPN, en modifiant toutes les options si nécessaire.

    Exemple :

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-b-if-0_ipv4",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-b-if-0_ipv4",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
      },
      {
       "interfaceName": "if-tunnel-a-to-b-if-0_ipv6",
       "ipAddress": fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-b-if-0_ipv6",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT"
      }
    ]
    }
    

Vérifier la configuration

Console

Pour vérifier la configuration, accédez à la page Résumé et rappel :

  1. La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
  2. La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs. Après la consultation des informations contenues sur cette page, cliquez sur OK.

gcloud

Pour vérifier les configurations des routeurs Cloud Router, consultez les étapes de vérification dans l'onglet gcloud de la section Créer des sessions BGP.

API

Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET à l'aide de la méthode routers.getRouterStatus et utilisez un corps de requête vide :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Créer un tunnel supplémentaire sur une passerelle à tunnel unique

Console

Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, configurez un tunnel sur chaque interface VPN haute disponibilité, de chaque côté d'une passerelle VPN haute disponibilité vers VPN haute disponibilité.

Si vous avez configuré un tunnel sur une passerelle VPN haute disponibilité vers une autre passerelle VPN haute disponibilité, mais que vous souhaitez recevoir un contrat de niveau de service assurant une disponibilité de 99,99 %, vous devez configurer un second tunnel.

Pour configurer un deuxième tunnel, suivez la procédure décrite dans la section Ajouter un tunnel entre une passerelle VPN haute disponibilité et une autre passerelle VPN haute disponibilité.

Définir la priorité de base des routes annoncées (facultatif)

Les sessions BGP que vous créez autorisent chaque routeur Cloud Router à annoncer des routes aux réseaux de pairs. Les annonces utilisent des priorités de base non modifiées.

Utilisez la configuration décrite à la section Créer deux passerelles VPN haute disponibilité entièrement configurées qui s'interconnectent pour obtenir des configurations de routage en mode actif/actif où les priorités des routes annoncées des deux tunnels sont identiques de chaque côté. Si vous omettez la priorité de route (--advertised-route-priority), la priorité des routes annoncées est identique aux deux pairs BGP.

Pour des configurations de routage en mode actif/passif, vous pouvez contrôler la priorité des routes annoncées to Google Cloud de routes partagées par Cloud Router avec votre passerelle VPN de pairs en définissant la priorité des routes annoncées (--advertised-route-priority) lors de l'ajout ou de la mise à jour d'un pair BGP. Pour créer une configuration en mode actif/passif, définissez une priorité de route annoncée plus élevée pour une session BGP et le tunnel VPN correspondant que pour l'autre session BGP et son tunnel VPN.

Pour en savoir plus sur la priorité de base des routes annoncées, consultez la section Préfixes et priorités annoncés.

Vous pouvez également affiner les routes annoncées à l'aide d'annonces personnalisées :

  • Ajoutez l'option --advertisement-mode=CUSTOM (gcloud) ou l'option advertiseMode: custom (API).
  • Spécifiez les plages d'adresses IP avec l'option --set-advertisement-ranges (gcloud) ou l'option advertisedIpRanges (API).

Terminer la configuration

Pour pouvoir utiliser une nouvelle passerelle Cloud VPN et ses tunnels VPN associés, procédez comme suit :

  1. Configurez des règles de pare-feu dans Google Cloud pour vos réseaux VPC.
  2. Vérifiez l'état de vos tunnels VPN​LINK. Remarque : Cette étape inclut la vérification de la configuration de haute disponibilité de votre passerelle VPN haute disponibilité.

Étapes suivantes

  • Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.