Como criar gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud

Esta página descreve como conectar duas redes de nuvem privada virtual usando uma configuração de gateway de VPN de alta disponibilidade. É possível conectar duas redes VPC existentes, desde que os intervalos de endereço IP de sub-rede principal e secundária em cada rede não se sobreponham.

Para um diagrama dessa topologia, consulte a página Topologias.

Para mais informações sobre como escolher um tipo de VPN, consulte Como escolher um produto de conexão de rede.

Antes de configurar o Cloud VPN, consulte Práticas recomendadas para o Cloud VPN.

Requisitos

Requisitos e diretrizes gerais

Certifique-se de atender aos requisitos a seguir ao criar essa configuração para garantir que você receba um SLA de 99,99%:

  • Coloque um gateway de VPN de alta disponibilidade em cada rede VPC.
  • Coloque os dois gateways de VPN de alta disponibilidade na mesma região do Google Cloud.
  • Configure um túnel em cada interface de cada gateway.
  • Corresponda as interfaces de gateway conforme descrito na instrução abaixo.

Embora também seja possível conectar duas redes VPC usando um único túnel entre gateways de VPN de alta disponibilidade ou gateways de VPN clássicos, esse tipo de configuração não é considerada altamente disponível e não atende ao SLA de alta disponibilidade com 99,99% de disponibilidade.

Como criar Cloud Routers

Ao configurar um novo gateway de VPN de alta disponibilidade, é possível criar um novo Cloud Router ou usar um Cloud Router já em utilização com túneis atuais do Cloud VPN ou anexos de interconexão (VLANs, na sigla em inglês). No entanto, o Cloud Router que você usa não precisa gerenciar uma sessão do BGP para um anexo de interconexão (VLAN) associado a uma conexão do Partner Interconnect devido aos requisitos específicos do ASN.

Gerenciar permissões

Como os gateways de VPN de alta disponibilidade nem sempre pertencem a você ou à organização do Google Cloud, considere os seguintes requisitos de permissões ao criar um gateway de alta disponibilidade:

  • Se você for proprietário do projeto em que você cria um gateway de VPN de alta disponibilidade, configure as permissões recomendadas nele.
  • Se você quiser se conectar a um gateway de VPN de alta disponibilidade que reside em uma organização ou projeto do Google Cloud que não é seu, solicite a permissão compute.vpnGateways.use ao proprietário.

Antes de começar

  • Revise informações sobre como o roteamento dinâmico funciona no Google Cloud.
  • Certifique-se de que o gateway de VPN de peering seja compatível com o BGP.

A configuração dos seguintes itens no Google Cloud facilita a configuração do Cloud VPN:

  1. Faça login na sua conta do Google.

    Se você ainda não tiver uma, inscreva-se.

  2. No Console do Cloud, na página do seletor de projetos, selecione ou crie um projeto do Cloud.

    Acessar a página do seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como confirmar se a cobrança está ativada para o seu projeto.

  4. Instale e inicialize o SDK do Cloud..
  1. Se você estiver usando comandos gcloud, defina o ID do projeto com o comando a seguir. As instruções do gcloud nesta página presumem que você tenha definido o ID do projeto antes de emitir comandos.
  gcloud config set project PROJECT_ID

É possível também ver um ID do projeto que já foi definido:

  gcloud config list --format='text(core.project)'

Como criar rede e sub-rede de nuvem privada virtual personalizadas

Antes de criar um par de túnel e gateway de VPN de alta disponibilidade, você precisa criar uma rede de nuvem privada virtual e pelo menos uma sub-rede na região onde o gateway de alta disponibilidade vai residir.

Os exemplos neste documento também usam modo de roteamento dinâmico global da VPC, que se comporta da seguinte maneira:

  • Todas as instâncias do Cloud Router aplicam as rotas “para locais” que aprendem a todas as sub-redes da rede VPC.
  • Rotas para todas as sub-redes na rede VPC são compartilhadas com roteadores locais.

Para referência, este documento cria um gateway de VPN de alta disponibilidade em cada uma das duas redes VPC diferentes:

NETWORK_1 contém as seguintes sub-redes:

  • Uma sub-rede chamada SUBNET_NAME_1 em REGION_1 que usa o intervalo de IP RANGE_1
  • Uma sub-rede chamada SUBNET_NAME_2 em REGION_2 que usa o intervalo de IP RANGE_2

NETWORK_2 contém as seguintes sub-redes:

  • Uma sub-rede chamada SUBNET_NAME_3 em REGION_1 que usa o intervalo de IP RANGE_3
  • Uma sub-rede chamada SUBNET_NAME_4 em REGION_3 que usa o intervalo de IP RANGE_4.

Criação de dois gateways de VPN de alta disponibilidade que se conectam entre si

Siga as instruções nesta seção para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Console

O assistente de configuração de VPN inclui todas as etapas de configuração necessárias para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Criar um gateway do Cloud VPN

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página VPN
    1. Se você estiver criando um gateway pela primeira vez, selecione o botão Criar conexão VPN.
    2. Selecione o assistente de configuração de VPN.
  2. Selecione o botão de opção para um gateway de VPN de alta disponibilidade.
  3. Clique em Continuar.
  4. Especifique um nome de gateway de VPN.
  5. Em rede VPC, selecione uma rede existente ou a rede padrão.
  6. Selecione uma Região.
  7. Clique em Criar e continuar.
  8. A tela do console é atualizada e exibe as informações de gateway. Dois endereços IP externos são alocados automaticamente para cada uma das suas interfaces de gateway. Para etapas futuras de configuração, anote os detalhes da configuração do gateway.

Criar um recurso de gateway de VPN de peering

O recurso de gateway de VPN de peering representa o gateway que não é do Google Cloud no Google Cloud.

  1. Na tela Criar uma VPN, em Gateway de VPN de peering, selecione Google Cloud.
  2. Em Projeto, selecione um projeto do Google Cloud que contenha o novo gateway.
  3. Em Nome de gateway de VPN, escolha a outra VPN de alta disponibilidade que você está configurando ao mesmo tempo.
  4. Prossiga para Criar túneis de VPN

Criar túneis de VPN

  • Se você selecionar Criar um único túnel de VPN, configure seu único túnel no restante da tela Criar VPN. No entanto, você precisa criar um segundo túnel mais tarde para um SLA de 99,99% para o outro gateway de VPN de alta disponibilidade.
  • Se você selecionar, Crie um par de túneis de VPN (recomendado), configure as duas caixas de diálogo do túnel que aparecem na parte inferior da tela Criar VPN.
  1. Em Alta disponibilidade, é possível selecionar um par de túneis para o outro gateway de VPN de alta disponibilidade ou um túnel. É possível adicionar um segundo túnel posteriormente, conforme descrito no final de todo o procedimento.
  2. Em Cloud Router, se ainda não o fez, crie um Cloud Router especificando as opções conforme indicado abaixo. É possível usar um Cloud Router existente, desde que o roteador ainda não gerencie uma sessão do BGP para um anexo de interconexão associado a uma interconexão por parceiro.
    1. Para criar um Cloud Router, especifique um Nome, uma Descrição e um ASN do Google opcionais para o novo roteador. É possível usar qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que não estiver usando em outro lugar em sua rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterá-lo depois.
    2. Clique em Criar para criar o roteador.
  3. Conclua as seguintes etapas na mesma tela ou na caixa de diálogo de cada túnel na parte inferior da tela.
  4. Se você estiver configurando um túnel, sob a interface do gateway de VPN da nuvem associada, selecione a combinação da interface de VPN de alta disponibilidade/endereço IP para este gateway para associá-la à interface de gateway no outro gateway de VPN de alta disponibilidade. Para configurações de dois túneis, esta opção e a interface de gateway de VPN de peering associada estão indisponíveis porque as combinações de interface corretas estão configuradas para você.
    1. Especifique um nome para o túnel.
    2. Especifique uma descrição opcional.
    3. Especifique a versão do IKE. O IKE v2, a configuração padrão, é recomendado se o roteador de peering for compatível.
    4. Especifique uma chave IKE pré-compartilhada usando seu segredo compartilhado, que precisa corresponder ao segredo compartilhado do túnel de parceiro que você criar no gateway de peering. Se você não tiver configurado uma senha secreta no gateway de VPN de peering e quiser gerar uma, clique no botão Gerar e copiar. Certifique-se de gravar a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
    5. Clique em Done.
    6. Repita as etapas de criação do túnel para todas as caixas de diálogo do túnel restantes na tela Criar VPN.
  5. Quando você tiver configurado todos os túneis, clique em Criar e continuar.

Criar sessões do BGP

Definição da prioridade da rota anunciada (opcional)

O exemplo a seguir cria sessões do BGP em instâncias do Cloud Router anunciando as rotas para as respectivas redes de peering do roteador usando prioridades de base não modificadas.

Use esta configuração para configurações ativas/ativas em que as prioridades dos dois túneis em ambos os lados precisam corresponder. Omitir a prioridade de base anunciada resulta nas mesmas prioridades anunciadas para os dois peerings do BGP.
Para configurações ativas/passivas, é possível controlar a prioridade anunciada de base das rotas "para o Google Cloud" compartilhada pelo Cloud Router com o gateway de VPN de peering definindo a prioridade de rota anunciada.
Para criar uma configuração ativa/passiva, defina uma prioridade de rota anunciada mais alta para uma sessão do BGP e seu túnel de VPN correspondente do que para a sessão do BGP e o túnel de VPN.

Para mais informações sobre a prioridade de base anunciada, consulte Métricas de rotas.

Também é possível refinar as rotas que são anunciadas usando divulgações personalizadas, adicionando a sinalização --advertisement-mode=CUSTOM e especificando intervalos de endereços IP com --set-advertisement-ranges.

Para criar sessões do BGP:

  1. Se você não quer configurar sessões do BGP agora, clique no botão Configurar sessões do BGP posteriormente, que o leva à tela Resumo e lembrete.
  2. Se você quiser configurar as sessões do BGP agora, clique no botão Configurar para o primeiro túnel de VPN.
  3. Na tela Criar sessão do BGP, execute as seguintes etapas:
    1. Especifique um nome para a sessão do BGP.
    2. Especifique o ASN de peering configurado para o gateway de VPN de peering.
    3. (Opcional) Especifique a Prioridade da rota anunciada.
    4. Especifique o endereço IP do BGP do Cloud Router e o endereço IP de peering do BGP. Certifique-se de que os endereços IP atendam aos seguintes requisitos:
      • Cada endereço IP do BGP precisa pertencer ao mesmo CIDR/30 que encaixa em 169.254.0.0/16.
      • Cada endereço IP do BGP que não pode ser o primeiro (rede) ou o último (transmissão) endereço no CIDR/30.
      • Cada intervalo de endereço IP do BGP para cada sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
    5. (Opcional) Clique no menu suspenso Rotas anunciadas e crie rotas personalizadas.
    6. Clique em Salvar e continuar.
  4. Repita as etapas anteriores para o restante dos túneis configurados no gateway, usando um IP do BGP do Cloud Router endereço e IP de peering do BGP para cada túnel.
  5. Depois de configurar todas as sessões do BGP, clique em Salvar configuração do BGP.

Resumo e lembrete

  1. A seção Resumo desta tela contém informações sobre o gateway de VPN de alta disponibilidade e o perfil de gateway de VPN de peering.
  2. Para cada túnel de VPN, é possível visualizar o status do túnel de VPN, o nome da sessão do BGP, o status da sessão do BGP e o valor MED (prioridade da rota anunciada).
  3. A seção Lembrete desta tela contém as etapas que você precisa concluir para ter uma conexão VPN totalmente operacional entre o Cloud VPN e a VPN de peering.
  4. Clique em Ok depois de analisar as informações nesta tela.

Crie um túnel extra em um gateway de túnel único.

Siga as etapas desta seção para configurar um segundo túnel na segunda interface de um gateway de VPN de alta disponibilidade. Se você configurou um túnel em um gateway de VPN de alta disponibilidade para outro gateway de VPN de alta disponibilidade, mas quer receber um SLA com 99,99% de tempo de atividade, configure um segundo túnel.

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página VPN
    1. Encontre a VPN de alta disponibilidade que você quer adicionar o túnel.
    2. Clique no botão Adicionar túnel de VPN.
    3. Em Gateway de VPN de peering, selecione Google Cloud.
    4. Em Projeto, selecione um projeto do Google Cloud que contenha o novo gateway.
    5. Para o nome do gateway de VPN, escolha o outro gateway de VPN de alta disponibilidade com que o novo túnel se conecta.
    6. Selecione Adicionar o segundo túnel de VPN a um túnel de VPN existente para alta disponibilidade.
    7. Em Selecionar túnel de VPN existente, verifique se o túnel existente está selecionado. É possível clicar em um link para visualizar todos os túneis existentes perto do topo da mesma tela.
    8. Especifique um nome do túnel.
    9. Especifique a mesma versão do IKE em uso pelo túnel no outro gateway.
    10. Especifique uma chave IKE pré-compartilhada usando seu segredo compartilhado, que precisa corresponder ao segredo compartilhado do túnel de parceiro que você criar no gateway de peering. Se você não tiver configurado uma senha secreta no gateway de VPN de peering e quiser gerar uma, clique no botão Gerar e copiar. Certifique-se de gravar a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
    11. Clique em Criar e continuar.
    12. Configure e salve uma sessão do BGP como nas etapas anteriores. Caso contrário, será possível configurar o BGP mais tarde.
    13. Verifique a tela Lembrete de resumo para informações de configuração e clique em OK.

gcloud

Criar os gateways de VPN de alta disponibilidade

Conclua a seguinte sequência de comando para criar dois gateways de VPN de alta disponibilidade:

  1. Crie um gateway de VPN de alta disponibilidade em cada rede em REGION_1. Quando cada gateway é criado, dois endereços IP externos são alocados automaticamente, um para cada interface de gateway. Anote esses endereços IP para usar mais tarde nas etapas de configuração.

    Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua GW_NAME_1 e GW_NAME_2 pelo nome de cada gateway.
    • Substitua todas as outras opções pelos valores usados anteriormente.

    Criar o primeiro gateway

      gcloud compute vpn-gateways create GW_NAME_1 \
        --network NETWORK_1 \
        --region REGION_1
    

    O gateway criado precisa ser semelhante ao exemplo de saída a seguir. Um endereço IP externo foi atribuído automaticamente a cada interface de gateway:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1     NETWORK    REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23   network-a  us-central1
    

    Criar o segundo gateway

      gcloud compute vpn-gateways create GW_NAME_2 \
        --network NETWORK_2 \
        --region REGION_1
    
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
      NAME        INTERFACE0   INTERFACE1    NETWORK    REGION
      ha-vpn-gw-b 203.0.114.18 203.0.114.25  network-b  us-central1
    

Criar cada Cloud Router

As instruções a seguir pressupõem que você ainda não criou Cloud Routers para usar no gerenciamento de sessões do BGP para seus túneis de VPN de alta disponibilidade.

É possível usar um Cloud Router existente em cada rede VPC, a menos que esses roteadores já gerenciem uma sessão do BGP para um anexo de interconexão associado a uma interconexão por parceiro.

  1. Conclua a sequência de comandos a seguir para criar um Cloud Router em cada rede. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua ASN_1 e ASN_2 por qualquer ASN privado (64512 - 65534, 4200000000 - 4294967294) que você não esteja usando. Este exemplo usa ASN 65001 para ambas as interfaces de ROUTER_NAME_1 e ASN 65002 para ambas as interfaces de ROUTER_NAME_2.
    • Substitua todas as outras opções pelos valores usados anteriormente.

    Criar o primeiro roteador

      gcloud compute routers create ROUTER_NAME_1 \
        --region REGION_1 \
        --network NETWORK_1 \
        --asn ASN_1
    

    O roteador criado precisa ser semelhante ao exemplo de saída a seguir:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      NAME     REGION      NETWORK
      router-a us-central1 network-a
    

    Criar o segundo roteador

      gcloud compute routers create ROUTER_NAME_2 \
        --region REGION_1 \
        --network NETWORK_2 \
        --asn ASN_2
    

    O roteador criado precisa ser semelhante ao exemplo de saída a seguir:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
      NAME     REGION      NETWORK
      router-b us-central1 network-b
    

Criar túneis de VPN

  1. Conclua a sequência de comandos a seguir para criar dois túneis de VPN em cada gateway de VPN de alta disponibilidade.

    • O túnel criado a partir da interface 0 de GW_NAME_1 precisa se conectar ao endereço IP externo associado à interface 0 de GW_NAME_2 em NETWORK_2.
    • O túnel da interface 1 de GW_NAME_1 precisa se conectar ao endereço IP externo associado à interface 1 de GW_NAME_2.
    • Ao criar túneis VPN em GW_NAME_1 em NETWORK_1, você precisa especificar as informações para GW_NAME_2 em NETWORK_2. O Google conecta automaticamente o túnel da interface 0 de GW_NAME_1 à interface 0 de GW_NAME_2 e da interface 1 de GW_NAME_1 à interface 1 de GW_NAME_2.

    Crie dois túneis em GW_NAME_1

    1. Crie dois túneis de VPN, um em cada interface, de GW_NAME_1 em NETWORK_1. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

      • Substitua TUNNEL_NAME_GW1_IF0 e TUNNEL_NAME_GW1_IF1 por um nome para cada túnel originado de GW_NAME_1. Nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
      • Use GW_NAME_2 para o valor de --peer-gcp-gateway.
      • Substitua REGION pela região em que GW_NAME_1 está localizado.
      • (Opcional) O --vpn-gateway-region é a região do gateway de VPN de alta disponibilidade para operar. O valor dela precisa ser igual a --region. Se não for especificada, esta opção será definida automaticamente. Esta opção substitui o valor padrão da propriedade compute/region para esta invocação de comando.
      • Substitua IKE_VERS por 2 para IKEv2. Como os dois túneis se conectam a outro gateway de VPN de alta disponibilidade, recomenda-se o uso de IKEv2.
      • Substitua SHARED_SECRET pela sua senha secreta, que precisa ser a mesma que você usa para o túnel correspondente criado a partir de GW_NAME_2 na interface 0 e na interface 1. Consulte Como gerar uma chave pré-compartilhada forte para recomendações.
      • Substitua INT_NUM_0 pelo número 0 da primeira interface em GW_NAME_1.
      • Substitua INT_NUM_1 pelo número 1 da segunda interface em GW_NAME_1.
      • Se peer-gcp-gateway estiver em um projeto diferente do túnel de VPN e do gateway de VPN local, para especificar o projeto, use a opção --peer-gcp-gateway como um URI completo ou como um nome relativo. A seguinte opção de amostra é um nome relativo: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • O --peer-gcp-gateway-region, que é a região do gateway de VPN de alta disponibilidade do lado da equipe ao qual o túnel de VPN está conectado, precisa estar na mesma região do túnel de VPN. Se não for especificado, a região será definida automaticamente.

      Crie o primeiro túnel em GW_NAME_1 INT_NUM_0

        gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0\
          --peer-gcp-gateway GW_NAME_2 \
          --region REGION_1 \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME_1 \
          --vpn-gateway GW_NAME_1 \
          --interface INT_NUM_0
      

      Crie o segundo túnel em GW_NAME_1 INT_NUM_1

        gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway GW_NAME_2 \
          --region REGION_1 \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME_1 \
          --vpn-gateway GW_NAME_1 \
          --interface INT_NUM_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:
        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-0 us-central1  ha-vpn-gw-a     0          ha-vpn-gw-b
        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-1 us-central1  ha-vpn-gw-a     1          ha-vpn-gw-b
      

    Crie dois túneis em GW_NAME_2

    1. Crie dois túneis de VPN, um em cada interface, de GW_NAME_2 em NETWORK_2.
      • O túnel criado a partir da interface 0 de GW_NAME_2 precisa se conectar ao endereço IP externo associado à interface 0 de GW_NAME_1 em NETWORK_1.
      • O túnel da interface 1 de GW_NAME_2 precisa se conectar ao endereço IP externo associado à interface 1 de GW_NAME_1.
      • Substitua REGION pela região em que GW_NAME_2 está localizado.
      • (Opcional) A --vpn-gateway-region é a região do gateway de VPN para operar. Seu valor precisa ser igual a --region. Se não for especificada, essa opção será definida automaticamente. Esta opção substitui o valor padrão da propriedade compute/region para esta invocação de comando.

        Nos comandos a seguir, substitua as opções conforme indicado abaixo:
      • Substitua TUNNEL_NAME_GW2_IF0 e TUNNEL_NAME_GW2_IF1 por um nome para cada túnel originado de GW_NAME_2. Nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
      • Use GW_NAME_1 para o valor de --peer-gcp-gateway.
      • O valor do --peer-gcp-gateway-region precisa estar na mesma região do túnel de VPN. Se não for especificado, o valor será definido automaticamente. Neste exemplo, a região é REGION_1.
      • Substitua IKE_VERS por 2 para IKEv2. Como esses túneis se conectam aos dois túneis criados na etapa anterior, eles precisam usar a mesma versão IKE (o IKEv2 é recomendado).
      • Substitua SHARED_SECRET pela senha secreta, que precisa corresponder à senha secreta do túnel do parceiro que você criou em cada interface de GW_NAME_1. Consulte Como gerar uma chave pré-compartilhada forte para recomendações.
      • Substitua GW_NAME_2 pelo nome do segundo gateway configurado na etapa de configuração do gateway.
      • Substitua INT_NUM_0 pelo número 0 da primeira interface em GW_NAME_2.
      • Substitua INT_NUM_1 pelo número 1 da segunda interface em GW_NAME_2.
      • Se peer-gcp-gateway estiver em um projeto diferente do túnel de VPN e do gateway de VPN local, para especificar o projeto, use a opção --peer-gcp-gateway como um URI completo ou como um nome relativo. A seguinte opção de amostra é um nome relativo: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • O --peer-gcp-gateway-region, que é a região do gateway de VPN de alta disponibilidade do lado da equipe ao qual o túnel de VPN está conectado, precisa estar na mesma região do túnel de VPN. Se não for especificado, a região será definida automaticamente.

    Crie o primeiro túnel em GW_NAME_2 INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
       --peer-gcp-gateway GW_NAME_1 \
       --region REGION_1 \
       --ike-version IKE_VERS \
       --shared-secret SHARED_SECRET \
       --router ROUTER_NAME_2 \
       --vpn-gateway GW_NAME_2 \
       --interface INT_NUM_0
    

    Crie o segundo túnel em GW_NAME_2 INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
        --peer-gcp-gateway GW_NAME_1 \
        --region REGION_1 \
        --ike-version IKE_VERS \
        --shared-secret SHARED_SECRET \
        --router ROUTER_NAME_2 \
        --vpn-gateway GW_NAME_2 \
        --interface INT_NUM_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b     0          ha-vpn-gw-a
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b     1          ha-vpn-gw-a
    

    Após essa etapa, aguarde alguns minutos e, em seguida, verifique o status de cada túnel de VPN.

    O estado de um túnel de VPN muda para Established somente quando o túnel do parceiro correspondente também está disponível e configurado corretamente. Uma IKE e uma Child Security Association (SA) válidas também precisam ser negociadas entre elas.

    Por exemplo, tunnel-a-to-b-if-0 em ha-vpn-gw-a só pode ser estabelecido se tunnel-b-to-a-if-0 em ha-vpn-gw-b estiver configurado e disponível.

Crie interfaces do Cloud Router e peerings do BGP

A tabela a seguir fornece uma visão geral das interfaces do Cloud Router e dos peerings do BGP configurados nesta seção. Ele mostra a relação entre os intervalos de IP e os IPs de mesmo nível especificados para cada interface. Por exemplo, a primeira interface de router-1 tem um IP de peering de 169.254.0.2. Isso vem do intervalo de endereços IP da primeira interface de router-2, que é 169.254.0.2/30.

Router Nome da interface do BGP Intervalo de IP IP de peering ASN de peering
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

Para mais detalhes, consulte as instruções nesta seção, que incluem exemplos de saída após a configuração.

Definição da prioridade da rota anunciada (opcional)

Os exemplos a seguir criam sessões do BGP em instâncias do Cloud Router anunciando as rotas para suas respectivas redes de peering usando prioridades de base não modificadas. Use esta configuração para configurações ativas/ativas em que as prioridades dos dois túneis em ambos os lados precisam corresponder. A omissão de --advertised-base-priority, como neste exemplo, resulta nas mesmas prioridades anunciadas para ambos os pares do BGP.

Para configurações ativas/passivas, é possível controlar a prioridade base divulgada de rotas "para Google Cloud" que o Cloud Router compartilha com o gateway de VPN de peering usando a sinalização --advertised-route-priority quando estiver adicionando ou atualizando um peering do BGP.

Para criar uma configuração ativa/passiva, você define uma prioridade de rota anunciada mais alta para uma sessão do BGP, correspondente a um túnel de VPN, do que a prioridade da sessão do BGP para o outro túnel de VPN.

Para mais informações sobre a prioridade de base anunciada, consulte Métricas de rotas.

Também é possível refinar as rotas que são anunciadas usando divulgações personalizadas, adicionando a sinalização --advertisement-mode=CUSTOM e especificando intervalos de endereços IP com --set-advertisement-ranges.

Para criar interfaces do Cloud Router e pares do BGP:

  1. Crie uma interface e um peering de BGP em ROUTER_NAME_1 para o túnel TUNNEL_NAME_GW1_IF0. Essa interface do BGP conecta TUNNEL_NAME_GW1_IF0 na interface 0 de GW_1 à interface 0 de GW_2 usando dois endereços IP do BGP. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua ROUTER_1_INTERFACE_NAME_0 por um nome para a interface BGP do Cloud Router. Usar um nome relacionado a TUNNEL_NAME_GW1_IF0 pode ser útil.
    • Substitua IP_ADDRESS por um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não esteja em uso. O exemplo usa 169.254.0.1.
    • Use um MASK_LENGTH de 30.
      .
    • Substitua PEER_NAME por um nome que descreva o peering do BGP. Usar um nome relacionado a TUNNEL_NAME_GW1_IF0 pode ser útil.
    • Substitua PEER_IP_ADDRESS por um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não esteja em uso. O exemplo usa 169.254.0.2.
    • Substitua PEER_ASN pelo número do ASN usado para todas as interfaces no outro Cloud Router, ROUTER_NAME_2. Este exemplo usa o número ASN 65002.

      1. Para criar uma interface do BGP para TUNNEL_NAME_GW1_IF0, digite o seguinte comando:

        gcloud compute routers add-interface ROUTER_NAME_1 \
           --interface-name ROUTER_1_INTERFACE_NAME_0 \
           --ip-address IP_ADDRESS \
           --mask-length MASK_LENGTH \
           --vpn-tunnel TUNNEL_NAME_GW1_IF0 \
           --region REGION_1
        
      2. Para criar um peering de BGP para TUNNEL_NAME_GW1_IF0, digite o seguinte comando:

        gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
           --peer-name PEER_NAME \
           --interface ROUTER_1_INTERFACE_NAME_0 \
           --peer-ip-address PEER_IP_ADDRESS \
           --peer-asn PEER_ASN \
           --region REGION_1
        

        A resposta ao comando precisa ser semelhante ao exemplo a seguir:

         Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
        
  2. Crie uma interface e um peering de BGP em ROUTER_NAME_1 para o túnel TUNNEL_NAME_GW1_IF1. Essa interface do BGP conecta TUNNEL_NAME_GW1_IF1 na interface 1 de GW_1 à interface 1 de GW_2 usando dois endereços IP do BGP. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua ROUTER_1_INTERFACE_NAME_1 por um nome da interface do BGP do Cloud Router. Usar um nome relacionado a TUNNEL_NAME_GW1_IF1 pode ser útil.
    • Substitua IP_ADDRESS por um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não esteja em uso. O exemplo usa 169.254.1.1.
    • Use um MASK_LENGTH de 30.
    • Substitua PEER_NAME por um nome que descreva o peering do BGP. Usar um nome relacionado a TUNNEL_NAME_GW1_IF1 pode ser útil.
    • Substitua PEER_IP_ADDRESS por um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não esteja em uso. O exemplo usa 169.254.1.2.
    • Substitua PEER_ASN pelo número do ASN usado para todas as interfaces no outro Cloud Router, ROUTER_NAME_2. Este exemplo usa o número ASN 65002.

      1. Para criar uma interface do BGP para TUNNEL_NAME_GW1_IF1, digite o seguinte comando:

        gcloud compute routers add-interface ROUTER_NAME_1 \
           --interface-name ROUTER_1_INTERFACE_NAME_1 \
           --ip-address IP_ADDRESS \
           --mask-length MASK_LENGTH \
           --vpn-tunnel TUNNEL_NAME_GW1_IF1 \
           --region REGION_1
        
      2. Para criar um peering de BGP para TUNNEL_NAME_GW1_IF1, digite o seguinte comando:

        gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
           --peer-name PEER_NAME \
           --interface ROUTER1_INTERFACE_NAME_1 \
           --peer-ip-address PEER_IP_ADDRESS \
           --peer-asn PEER_ASN \
           --region REGION_1
        

        A resposta ao comando precisa ser semelhante ao exemplo a seguir:

         Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a ].
        
  3. Verifique as configurações de ROUTER_1 digitando o seguinte comando:

    gcloud compute routers describe ROUTER_1  \
        --region REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Crie uma interface e um peering de BGP em ROUTER_NAME_2 para o túnel TUNNEL_NAME_GW2_IF0. Essa interface do BGP conecta TUNNEL_NAME_GW2_IF0 na interface 0 de GW_2 à interface 0 de GW_1 usando dois endereços IP do BGP. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua ROUTER_2_INTERFACE_NAME_0 por um nome da interface do BGP do Cloud Router. Usar um nome relacionado a TUNNEL_NAME_GW2_IF0 pode ser útil.
    • Substitua IP_ADDRESS pelo endereço IP do BGP usado anteriormente para esse gateway e interface. Neste exemplo, usamos 169.254.0.2.
    • Use um MASK_LENGTH de 30.
    • Substitua PEER_NAME por um nome que descreva o peering do BGP. Usar um nome relacionado a TUNNEL_NAME_GW2_IF0 pode ser útil.
    • Substitua PEER_IP_ADDRESS pelo endereço IP usado anteriormente para o gateway e a interface de peering. O exemplo usa 169.254.0.1.
    • Substitua o PEER_ASN pelo número de ASN usado para todas as interfaces em ROUTER_NAME_1 e que foi definido anteriormente. Este exemplo usa o número ASN 65001.
    1. Para criar uma interface do BGP para TUNNEL_NAME_GW2_IF0, insira o comando a seguir.

      gcloud compute routers add-interface ROUTER_NAME_2 \
         --interface-name ROUTER_2_INTERFACE_NAME_0 \
         --ip-address IP_ADDRESS \
         --mask-length MASK_LENGTH \
         --vpn-tunnel TUNNEL_NAME_GW2_IF0 \
         --region REGION_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    2. Para criar um peering de BGP para TUNNEL_NAME_GW2_IF0, digite o seguinte comando:

       gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
         --peer-name PEER_NAME \
         --interface ROUTER_2_INTERFACE_NAME_0 \
         --peer-ip-address PEER_IP_ADDRESS \
         --peer-asn PEER_ASN \
         --region REGION_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

       Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b ].
      
  5. Crie uma interface e um peering de BGP em ROUTER_NAME_2 para o túnel TUNNEL_NAME_GW2_IF1. Essa interface do BGP conecta TUNNEL_NAME_GW2_IF1 na interface 1 de GW_2 à interface 1 de GW_1 usando dois endereços IP do BGP. Nos comandos a seguir, substitua as opções conforme indicado abaixo:

    • Substitua ROUTER_2_INTERFACE_NAME_1 por um nome da interface do BGP do Cloud Router. Usar um nome relacionado a TUNNEL_NAME_GW2_IF1 pode ser útil.
    • Substitua IP_ADDRESS pelo endereço IP do BGP usado anteriormente para esse gateway e interface. O exemplo usa 169.254.1.2.
    • Use um MASK_LENGTH de 30.
    • Substitua PEER_NAME por um nome que descreva o peering do BGP. Usar um nome relacionado a TUNNEL_NAME_GW2_IF1 pode ser útil.
    • Substitua PEER_IP_ADDRESS por um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não esteja em uso. O exemplo usa 169.254.1.1.
    • Substitua o PEER_ASN pelo número de ASN usado para todas as interfaces em ROUTER_NAME_1 e que foi definido anteriormente. Este exemplo usa o número ASN 65001.
    1. Para criar uma interface do BGP para TUNNEL_NAME_GW2_IF1, digite o seguinte comando:

      gcloud compute routers add-interface ROUTER_NAME_2 \
         --interface-name ROUTER_2_INTERFACE_NAME_1 \
         --ip-address IP_ADDRESS \
         --mask-length MASK_LENGTH \
         --vpn-tunnel TUNNEL_NAME_GW2_IF1 \
         --region REGION_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

      Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b ].
      
    2. Para criar um peering de BGP para TUNNEL_NAME_GW2_IF1, digite o seguinte comando:

      gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
         --peer-name PEER_NAME \
         --interface ROUTER_2_INTERFACE_NAME_1 \
         --peer-ip-address PEER_IP_ADDRESS \
         --peer-asn PEER_ASN \
         --region REGION_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

       Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b ].
      
  6. Verifique as configurações de ROUTER_2 digitando o seguinte comando:

    gcloud compute routers describe ROUTER_2  \
       --region REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

Continue para concluir a configuração

API

ETAPA UM: para criar um gateway de alta disponibilidade, faça uma solicitação POST para o método vpnGateways.insert. Repita esse comando para criar o outro gateway de VPN de alta disponibilidade, usando name, network e region para o outro gateway.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

ETAPA DOIS:

Se você já tiver criado um Cloud Router em cada uma das redes VPC em que cada um de seus gateways de VPN de alta disponibilidade reside, será possível usar esses Cloud Routers em vez de criar novos. No entanto, se um Cloud Router gerenciar uma sessão do BGP para um anexo de interconexão associado a uma interconexão por parceiro, você precisa criar um novo Cloud Router.

Para criar o Cloud Router, faça uma solicitação POST para o método routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

ETAPA TRÊS: para criar dois túneis de VPN, um para cada interface em um gateway de VPN de alta disponibilidade, faça uma solicitação POST para o método vpnTunnels.insert.

Digite o seguinte comando para criar o primeiro túnel:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
   "sharedSecret": "974;va'oi3-1",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

Para criar o segundo túnel, repita o comando anterior, mas altere os seguintes parâmetros:

  • name
  • peerIp
  • sharedSecret ou sharedSecretHash (se necessário)

Para o segundo túnel, altere o parâmetro vpnGatewayInterface para o valor da outra interface de gateway de VPN de alta disponibilidade. Neste exemplo, você alteraria esse valor para 1.

Repita essa etapa inteira para criar dois túneis para seu segundo gateway de VPN de alta disponibilidade que se conectam ao primeiro gateway de VPN de alta disponibilidade, mas altere os parâmetros, usando os exemplos de comando gcloud como referência.

Definição da prioridade de rota anunciada para o BGP (opcional)

Os exemplos a seguir criam sessões do BGP em instâncias do Cloud Router anunciando as rotas para suas respectivas redes de peering usando prioridades de base não modificadas. Use esta configuração para configurações ativas/ativas em que as prioridades dos dois túneis em ambos os lados precisam corresponder. Omitir o parâmetro advertised-route-priority, como neste exemplo, resulta nas mesmas prioridades anunciadas para ambos os peerings do BGP.

Para configurações ativas/passivas, é possível controlar a prioridade base divulgada das rotas "para o Google Cloud" que o Cloud Router compartilha com seu gateway de VPN de peering. Para configurar essa prioridade, use o parâmetro advertised-route-priority ao adicionar ou atualizar um peering do BGP.

Para criar uma configuração ativa/passiva, você define uma prioridade de rota anunciada mais alta para uma sessão do BGP, correspondente a um túnel de VPN, do que a prioridade da sessão do BGP para o outro túnel de VPN.

Para mais informações sobre a prioridade de base anunciada, consulte Métricas de rotas.

É possível também refinar as rotas que são anunciadas usando divulgações personalizadas, adicionando o parâmetro advertiseMode, definindo seu valor como custom e especificando intervalos de endereço IP com o parâmetro advertisedIpRanges.

ETAPA QUATRO: para criar uma interface do Cloud Router do BGP, faça uma solicitação PATCH ou UPDATE para o método routers.patch ou para o routers.update. PATCH atualiza somente os parâmetros que você inclui. UPDATE atualiza todos os parâmetros do Cloud Router. Crie uma interface do BGP para cada túnel de VPN no gateway de VPN de alta disponibilidade.

Os intervalos de endereço IP do BGP especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

 PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
     }
   ]
 }

ETAPA CINCO: para adicionar um peering do BGP ao Cloud Router para cada túnel de VPN, faça uma solicitação POST para o método routers.insert. Repita esse comando para o outro túnel de VPN, alterando todas as opções, exceto name e "peerAsn".

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os seguintes comandos da API.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
     }
   ]
  }
 

ETAPA SEIS: verifique a configuração do Cloud Router com o método routers.getRouterStatus, usando um corpo de solicitação vazio:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Como concluir a configuração

É necessário seguir estas etapas para usar um novo gateway do Cloud VPN e os túneis de VPN associados:

  1. Configure o gateway de VPN de peering e configure o túnel ou os túneis correspondentes. Consulte estas páginas:
  2. Configure regras de firewall no Google Cloud e em sua rede de peering conforme o necessário. Consulte a página de regras de firewall para sugestões.
  3. Verifique o status de seus túneis de VPN e verifique a configuração do seu gateway de VPN de alta disponibilidade.
Como aplicar uma política da organização de VPN

Como aplicar uma restrição de política da organização que restringe os endereços IP dos gateways de VPN de peering

É possível criar uma restrição de política da organização do Google Cloud que defina um conjunto de endereços IP permitidos ou negados para fazer o peering de gateways de VPN por meio da VPN clássica ou de túneis de VPN de alta disponibilidade. Essa restrição contém uma lista de permissões ou uma lista de negações desses endereços IP em peering, que entra em vigor para os túneis do Cloud VPN criados após a aplicação da restrição. Para mais detalhes, consulte a visão geral do Cloud VPN.

Permissões exigidas

Para definir uma restrição de IP de peering no nível da organização ou do projeto, primeiro você precisa receber o papel de Administrador de políticas da organização (orgpolicy.policyAdmin) para sua organização.

Como definir restrições

Para criar uma política da organização e associá-la a uma organização, pasta ou projeto, use os exemplos listados nas próximas seções e siga as etapas em Como usar restrições.

Como restringir a conectividade de endereços IP de peering específicos por meio de um túnel do Cloud VPN

Para permitir apenas endereços IP de peering específicos, execute as seguintes etapas:

  1. Encontre o ID da organização digitando o seguinte comando:
    gcloud organizations list

    A resposta ao comando terá a seguinte aparência:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crie um arquivo JSON que defina sua política. Forneça uma política como um arquivo JSON, como no exemplo a seguir:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Use o comando set-policy do gcloud Resource Manager para definir a política da organização, passando o arquivo JSON e usando o ORGANIZATION_ID que você encontrou na etapa anterior.

Como restringir a conectividade de qualquer IP de peering por meio de um túnel do Cloud VPN

Para proibir a criação de qualquer novo túnel do Cloud VPN, siga as etapas neste exemplo de restrição.

  1. Encontre o ID da organização ou o ID do nó na hierarquia de recursos em que você quer definir uma política.
  2. Crie um arquivo JSON como o exemplo a seguir.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Transmita o arquivo JSON inserindo o mesmo comando que você usaria para restringir endereços IP de peering específicos.