Como criar uma VPN de alta disponibilidade entre as redes do Google Cloud

Nesta página, descrevemos como conectar duas redes de nuvem privada virtual (VPC, na sigla em inglês) usando uma configuração de gateway de VPN de alta disponibilidade. É possível conectar duas redes VPC existentes, desde que os intervalos de endereço IP de sub-rede principal e secundária em cada rede não se sobreponham.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Requisitos

Diretrizes gerais

Para garantir que você receba um SLA de 99,99%, verifique se atende aos seguintes requisitos ao criar esta configuração:

  • Coloque um gateway de VPN de alta disponibilidade em cada rede VPC.
  • Coloque os dois gateways de VPN de alta disponibilidade na mesma região do Google Cloud.
  • Configure um túnel em cada interface de cada gateway.
  • Corresponda as interfaces de gateway conforme descrito na nota a seguir.

Embora seja possível conectar duas redes VPC usando um único túnel entre gateways de VPN de alta disponibilidade ou gateways de VPN clássica, esse tipo de configuração não é considerado de alta disponibilidade e não atende ao SLA de alta disponibilidade com 99,99% de disponibilidade.

Como criar Cloud Routers

Ao configurar um novo gateway de VPN de alta disponibilidade, você pode criar um novo Cloud Router ou usar um Cloud Router com túneis ou anexos de VLAN existentes do Cloud VPN. No entanto, o Cloud Router que você usa não pode gerenciar uma sessão do BGP para um anexo da VLAN associado a uma conexão de Interconexão por parceiro devido aos requisitos específicos do ASN do anexo.

Gerenciar permissões

Como os gateways de VPN de alta disponibilidade nem sempre pertencem a você ou à organização do Google Cloud, considere os seguintes requisitos de permissões ao criar um gateway de VPN de alta disponibilidade ou conectar-se a um pertencente a outra pessoa:

  • Se você for proprietário do projeto em que você cria um gateway de VPN de alta disponibilidade, configure as permissões recomendadas nele.
  • Se você quiser se conectar a um gateway de VPN de alta disponibilidade que reside em uma organização ou projeto do Google Cloud que não é seu, solicite a permissão compute.vpnGateways.use ao proprietário.

Antes de começar

Revise informações sobre como o roteamento dinâmico funciona no Google Cloud.

Verifique se o gateway de VPN de peering é compatível com o protocolo de gateway de borda (BGP, na sigla em inglês).

Configure os seguintes itens no Google Cloud para facilitar a configuração do Cloud VPN:

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
  2. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  4. Instale e inicialize o SDK do Cloud..
  1. Se você estiver usando a ferramenta de linha de comando gcloud, defina o ID do projeto com o comando a seguir. As instruções da gcloud nesta página presumem que você tenha definido o ID do projeto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. É possível também visualizar um ID do projeto que já foi definido executando o seguinte comando:

        gcloud config list --format='text(core.project)'
        

Como criar uma rede e uma sub-rede VPC personalizadas

Antes de criar um par de túnel e gateway de VPN de alta disponibilidade, crie uma rede VPC e pelo menos uma sub-rede na região onde o gateway de VPN alta disponibilidade reside:

Os exemplos neste documento também usam modo de roteamento dinâmico global da VPC, que se comporta da seguinte maneira:

  • Todas as instâncias do Cloud Router aplicam as rotas to on-premises que aprendem a todas as sub-redes da rede VPC.
  • Rotas para todas as sub-redes na rede VPC são compartilhadas com roteadores locais.

Para referência, este documento cria um gateway de VPN de alta disponibilidade em cada uma das duas redes VPC diferentes:

NETWORK_1 contém as seguintes sub-redes:

  • Uma sub-rede chamada SUBNET_NAME_1 na REGION_1 que usa o intervalo de IP RANGE_1
  • Uma sub-rede chamada SUBNET_NAME_2 na REGION_2 que usa o intervalo de IP RANGE_2.

NETWORK_2 contém as seguintes sub-redes:

  • Uma sub-rede chamada SUBNET_NAME_3 na REGION_1 que usa o intervalo de IP RANGE_3
  • Uma sub-rede chamada SUBNET_NAME_4 na REGION_3 que usa o intervalo de IP RANGE_4.

Criação de dois gateways de VPN de alta disponibilidade que se conectam entre si

Siga as instruções nesta seção para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Criar os gateways de VPN de alta disponibilidade

Console

O assistente de configuração de VPN inclui todas as etapas de configuração necessárias para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Para criar um gateway de VPN de alta disponibilidade, siga estas etapas:

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Se você estiver criando um gateway pela primeira vez, clique em Criar conexão VPN.

  3. Selecione o assistente de configuração de VPN.

  4. Se você tiver um gateway de VPN de alta disponibilidade existente, selecione o botão de opção para esse gateway.

  5. Clique em Continuar.

  6. Especifique um nome de gateway de VPN.

  7. Em rede VPC, selecione uma rede existente ou a rede padrão.

  8. Selecione uma Região.

  9. Clique em Criar e continuar.

  10. A tela do console é atualizada e exibe as informações de gateway. Dois endereços IP externos são alocados automaticamente para cada uma das suas interfaces de gateway. Para etapas futuras de configuração, anote os detalhes da configuração do gateway.

gcloud

Para criar dois gateways da VPN de alta disponibilidade, complete a sequência de comandos a seguir:

  • Criar um gateway de VPN de alta disponibilidade em cada rede na REGION_1.

    Quando cada gateway é criado, dois endereços IP externos são alocados automaticamente, um para cada interface de gateway. Anote esses endereços IP para usar mais tarde nas etapas de configuração.

    Nos comandos a seguir, substitua:

    • GW_NAME_1 e GW_NAME_2: o nome de cada gateway
    • NETWORK: o nome da sua rede do Google Cloud.
    • REGION: a região do Google Cloud em que você precisa criar o gateway e o túnel

    Criar o primeiro gateway

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION_1
    

    O gateway criado precisa ser semelhante ao exemplo de saída a seguir. Um endereço IP externo foi atribuído automaticamente a cada interface de gateway:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Criar o segundo gateway

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION_1
    

    O gateway criado precisa ser semelhante ao exemplo de saída a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-central1
    

API

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos de API nas seções a seguir. Todos os valores de campo usados nestas seções são valores de exemplo.

Para criar um gateway de VPN de alta disponibilidade, faça uma solicitação POST ao método vpnGateways.insert. Repita esse comando para criar o outro gateway de VPN de alta disponibilidade, usando name, network e region para o outro gateway.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Criar um recurso de gateway de VPN de peering

Console

O recurso de gateway de VPN de peering representa o gateway que não é do Google Cloud no Google Cloud.

Para criar um recurso de gateway de VPN de peering, siga estas etapas:

  1. Na página Criar uma VPN, em Gateway de VPN de peering, selecione Google Cloud.
  2. Em Projeto, selecione um projeto do Google Cloud que contenha o novo gateway.
  3. Em Nome do gateway da VPN, escolha a outra VPN de alta disponibilidade que você está configurando ao mesmo tempo.
  4. Prossiga com Criar túneis de VPN.

gcloud

Para criar o recurso de gateway de VPN de peering, consulte as etapas do gcloud em Como criar os gateways de VPN de alta disponibilidade.

API

Para criar o recurso de gateway de VPN de peering, consulte as etapas da API em Como criar os gateways de VPN de alta disponibilidade.

Criar Cloud Routers

Console

Em Cloud Router, se você ainda não tiver feito isso, crie um Cloud Router especificando as opções a seguir. É possível usar um Cloud Router existente se o roteador ainda não gerenciar uma sessão do BGP para um anexo da VLAN associado a uma conexão do Partner Interconnect.

  1. Para criar um novo Cloud Router, especifique:

    • Um Nome
    • Uma Descrição opcional
    • Um ASN do Google para o novo roteador

    É possível usar qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que não estiver usando em outro lugar da rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterar o ASN posteriormente.

  2. Para criar o novo roteador, clique em Criar.

gcloud

As instruções a seguir pressupõem que você ainda não criou Cloud Routers para usar no gerenciamento de sessões do BGP para seus túneis de VPN de alta disponibilidade. É possível usar um Cloud Router atual em cada rede VPC, a menos que esses roteadores já gerenciem uma sessão do BGP para um anexo da VLAN associado a uma conexão do Partner Interconnect.

Para criar dois Cloud Routers, conclua a sequência de comandos a seguir:

  • Crie um Cloud Router em cada rede na REGION_1.

    Nos comandos a seguir, substitua:

    • PEER_ASN_1 e PEER_ASN_2: qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que você ainda não esteja usando. Este exemplo usa ASN 65001 para ambas as interfaces do ROUTER_NAME_1 e ASN 65002 para ambas as interfaces do ROUTER_NAME_2.
    • Substitua todas as outras opções pelos valores usados anteriormente.

    Criar o primeiro roteador

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION_1 \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    O roteador criado precisa ser semelhante ao exemplo de saída a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Criar o segundo roteador

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION_1 \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    O roteador criado precisa ser semelhante ao exemplo de saída a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Se você já tiver criado um Cloud Router em cada uma das redes VPC em que cada um de seus gateways de VPN de alta disponibilidade reside, poderá usar esses Cloud Routers em vez de criar novos. No entanto, se um Cloud Router gerenciar uma sessão do BGP para um anexo da VLAN associado a uma conexão do Partner Interconnect, crie um novo Cloud Router.

Para criar um Cloud Router, faça uma solicitação POST ao método routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Criar túneis VPN

Console

Para criar túneis de VPN, siga estas etapas:

  1. Em Alta disponibilidade, selecione um par de túneis ou um túnel para o outro gateway de VPN de alta disponibilidade:

    • Se você selecionar Criar um par de túneis de VPN (recomendado), configure as duas caixas de diálogo do túnel que aparecem na parte inferior da página Criar VPN.

    • Se você selecionar Criar um único túnel de VPN, configure seu único túnel no restante da tela Criar VPN. No entanto, para obter um SLA de 99,99% para o outro gateway de VPN de alta disponibilidade, você precisa criar um segundo túnel. É possível adicionar um segundo túnel posteriormente, conforme descrito no final de todo o procedimento.

  2. Conclua as etapas a seguir na mesma página ou na caixa de diálogo de cada túnel na parte inferior da página.

  3. Se você estiver configurando um túnel, em Interface do gateway de Cloud VPN associado, selecione a combinação da interface de VPN de alta disponibilidade e do endereço IP desse gateway para associá-lo à interface de gateway no outro gateway de VPN de alta disponibilidade. Para configurações de dois túneis, esta opção e a interface de gateway de VPN de peering associada estão indisponíveis porque as combinações de interface corretas estão configuradas para você.

    1. Especifique um nome para o túnel.
    2. Especifique uma descrição opcional.
    3. Especifique a versão IKE. Recomendamos o IKE v2, a configuração padrão, se seu roteador de mesmo nível for compatível com ele.
    4. Especifique uma chave IKE pré-compartilhada usando sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel de parceiro que você criar em gateway de par. Se você não tiver configurado uma chave pré-compartilhada no gateway da VPN de peering e quiser gerar uma, clique em Gerar e copiar. Grave a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
    5. Clique em Concluído.
    6. Na página Criar VPN, repita as etapas de criação do túnel para todas as caixas de diálogo de túnel restantes.
  4. Quando você tiver configurado todos os túneis, clique em Criar e continuar.

gcloud

Para criar dois túneis de VPN em cada gateway da VPN de alta disponibilidade, conclua a sequência de comandos a seguir.

  • O túnel criado na interface 0 do GW_NAME_1 precisa se conectar ao endereço IP externo associado a interface 0 de GW_NAME_2 em NETWORK_2.
  • O túnel na interface 1 do GW_NAME_1 precisa se conectar ao endereço IP externo associado à interface 1 do GW_NAME_2.
  • Ao criar túneis de VPN no GW_NAME_1 na NETWORK_1, especifique as informações do GW_NAME_2 na NETWORK_2. O Google conecta automaticamente o túnel da interface 0 do GW_NAME_1 à interface 0 do GW_NAME_2 e a interface 1 do GW_NAME_1 à interface 1 do GW_NAME_2.

    Crie dois túneis em GW_NAME_1

    • Criar dois túneis de VPN, um em cada interface, do GW_NAME_1 na NETWORK_1.

      Nos comandos a seguir, substitua:

      • TUNNEL_NAME_GW1_IF0 e TUNNEL_NAME_GW1_IF1: um nome para cada túnel que se origina do GW_NAME_1; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
      • GW_NAME_2: o valor do --peer-gcp-gateway.
      • REGION: a região onde GW_NAME_1 está localizado.
      • Opcional: A --vpn-gateway-region é a região do gateway de VPN de alta disponibilidade na qual operar. Seu valor precisa ser igual à --region. Se não for especificada, esta opção será definida automaticamente. Ela modifica o valor padrão da propriedade compute/region para esta invocação de comando.
      • IKE_VERS: 2 para IKEv2; porque os dois túneis se conectam a outro gateway de VPN de alta disponibilidade, o Google recomenda o uso de IKEv2
      • SHARED_SECRET: sua chave pré-compartilhada (secret compartilhado), que precisa ser a mesma chave pré-compartilhada usada para o túnel correspondente criado a partir do GW_NAME_2 na interface 0 e interface 1. Para ver recomendações, consulte Como gerar uma chave pré-compartilhada forte
      • INT_NUM_0: o número 0 da primeira interface no GW_NAME_1
      • INT_NUM_1: o número 1 da segunda interface no GW_NAME_1
      • Se o peer-gcp-gateway estiver em um projeto diferente do túnel de VPN e do gateway de VPN local, para especificar o projeto, use a opção --peer-gcp-gateway como um URI completo ou como um nome relativo. A seguinte opção de amostra é um nome relativo:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • O --peer-gcp-gateway-region, que é a região do gateway de VPN de alta disponibilidade de peering ao qual o túnel de VPN está conectado, precisa estar na mesma região do túnel de VPN. Se não for especificado, a região será definida automaticamente.

      Crie o primeiro túnel em GW_NAME_1 INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0\
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Crie o segundo túnel em GW_NAME_1 INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Crie dois túneis em GW_NAME_2

    • Crie dois túneis de VPN, um em cada interface, do GW_NAME_2 na NETWORK_2.

      • O túnel criado na interface 0 do GW_NAME_2 precisa se conectar ao endereço IP externo associado à interface 0 do GW_NAME_1 na NETWORK_1.
      • O túnel da interface 1 do GW_NAME_2 precisa se conectar ao endereço IP externo associado à interface 1 do GW_NAME_1.

      Nos comandos a seguir, substitua:

      • REGION: a região onde GW_NAME_2 está localizado.
      • Opcional: A --vpn-gateway-region é a região do gateway de VPN na qual operar. Seu valor precisa ser igual a --region. Se não for especificada, essa opção será definida automaticamente. Esta opção substitui o valor padrão da propriedade compute/region para esta invocação de comando.
      • TUNNEL_NAME_GW2_IF0 e TUNNEL_NAME_GW2_IF1: um nome para cada túnel que se origina do GW_NAME_2; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
      • GW_NAME_1: o valor do --peer-gcp-gateway. O valor da --peer-gcp-gateway-region precisa estar na mesma região que o túnel da VPN. Se não for especificado, o valor será definido automaticamente. Neste exemplo, a região é REGION_1.
      • IKE_VERS: 2 para IKEv2; como esses túneis se conectam aos dois túneis criados na etapa anterior, eles precisam usar a mesma versão IKE (o Google recomenda usar IKEv2)
      • SHARED_SECRET: sua chave pré-compartilhada (secret compartilhado), que precisa corresponder à chave pré-compartilhada do túnel do parceiro criado em cada interface do GW_NAME_1; para recomendações, consulte Como gerar uma chave pré-compartilhada forte
      • GW_NAME_2: o nome do segundo gateway que você configurou na etapa de configuração do gateway
      • INT_NUM_0: o número 0 da primeira interface no GW_NAME_2
      • INT_NUM_1: o número 1 da segunda interface no GW_NAME_2
      • Se o peer-gcp-gateway estiver em um projeto diferente do túnel de VPN e do gateway de VPN local, para especificar o projeto, use a opção --peer-gcp-gateway como um URI completo ou como um nome relativo. A seguinte opção de amostra é um nome relativo:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • O --peer-gcp-gateway-region, que é a região do gateway de VPN de alta disponibilidade de peering ao qual o túnel de VPN está conectado, precisa estar na mesma região do túnel de VPN. Se não for especificado, a região será definida automaticamente.

      Crie o primeiro túnel em GW_NAME_2 INT_NUM_0

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Crie o segundo túnel em GW_NAME_2 INT_NUM_1

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      A resposta ao comando precisa ser semelhante ao exemplo a seguir:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Após essa etapa, aguarde alguns minutos e, em seguida, verifique o status de cada túnel de VPN.

    O estado de um túnel de VPN muda para Established somente quando o túnel do parceiro correspondente também está disponível e configurado corretamente. Uma IKE e uma Child Security Association (SA) válidas também precisam ser negociadas entre elas.

    Por exemplo, tunnel-a-to-b-if-0 em ha-vpn-gw-a só pode ser estabelecido se tunnel-b-to-a-if-0 em ha-vpn-gw-b estiver configurado e disponível.

API

Para criar dois túneis de VPN, um para cada interface em um gateway de VPN de alta disponibilidade, faça uma solicitação POST ao método vpnTunnels.insert.

  1. Para criar o primeiro túnel, execute o seguinte comando:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerIp": "192.0.2.1",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "974;va'oi3-1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    
  2. Para criar o segundo túnel, repita o comando anterior, mas altere os seguintes parâmetros:

    • name
    • peerIp
    • sharedSecret ou sharedSecretHash (se necessário)
    • vpnGatewayInterface: altere para o valor da outra interface de gateway de VPN de alta disponibilidade. Neste exemplo, altere esse valor para 1.

    Repita essa etapa inteira para criar dois túneis para seu segundo gateway de VPN de alta disponibilidade que se conectam ao primeiro gateway de VPN de alta disponibilidade, mas altere os parâmetros, usando os exemplos de comando do gcloud como referência.

Criar sessões do BGP

Console

Para criar sessões do BGP, siga estas etapas:

  1. Se você não quer configurar sessões do BGP agora, clique em Configurar sessões do BGP posteriormente, que abre a página Resumo e lembrete.
  2. Se você quiser configurar as sessões do BGP agora, no primeiro túnel de VPN, clique em Configurar.
  3. Na página Criar sessão do BGP, conclua as seguintes etapas:
    1. Especifique um nome para a sessão do BGP.
    2. Especifique o ASN de peering configurado para o gateway de VPN de peering.
    3. Opcional: Especifique a Prioridade da rota anunciada.
    4. Especifique o endereço IP do BGP do Cloud Router e o endereço IP de peering do BGP. Certifique-se de que os endereços IP atendam aos seguintes requisitos:
      • Cada endereço IP do BGP precisa pertencer ao mesmo CIDR/30 que encaixa em 169.254.0.0/16.
      • Cada endereço IP do BGP que não pode ser o primeiro (rede) ou o último (transmissão) endereço no CIDR/30.
      • Cada intervalo de endereço IP do BGP para cada sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
    5. Opcional: clique na lista Rotas anunciadas e crie rotas personalizadas.
    6. Clique em Salvar e continuar.
  4. Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e endereço IP de peering do BGP diferentes.
  5. Depois de configurar todas as sessões do BGP, clique em Salvar configuração do BGP.

gcloud

Nesta seção, você configura as interfaces do Cloud Router e os peerings do BGP. Veja na tabela a seguir uma visão geral dessas interfaces e peerings. Ela mostra a relação entre os intervalos de IP e os endereços IP de peering especificados para cada interface. Por exemplo, a primeira interface do router-1 tem um IP de peering de 169.254.0.2. Isso vem do intervalo de endereços IP da primeira interface do router-2, que é 169.254.0.2/30.

Roteador Nome da interface do BGP Intervalo de IP Endereço IP do terminal Par ASN
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

Para mais detalhes, consulte as instruções nesta seção, que incluem exemplos de saída após a configuração.

Para criar interfaces do Cloud Router e pares do BGP, conclua a sequência de comandos a seguir.

  1. Criar uma interface e um peering do BGP no ROUTER_NAME_1 para o túnel TUNNEL_NAME_GW1_IF0.

    Esta interface do BGP usa dois endereços IP do BGP para conectar o TUNNEL_NAME_GW1_IF0 na interface 0 do GW_1 à interface 0 do GW_2.

    Nos comandos a seguir, substitua:

    • ROUTER_1_INTERFACE_NAME_0: um nome para a interface do BGP do Cloud Router; usar um nome relacionado ao TUNNEL_NAME_GW1_IF0 é útil
    • IP_ADDRESS_1: um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não está em uso; este exemplo usa 169.254.0.1
    • MASK_LENGTH: 30; cada sessão do BGP no mesmo Cloud Router precisa usar um CIDR /30 exclusivo do bloco 169.254.0.0/16
    • PEER_NAME_GW1_IF0: um nome que descreve o peering do BGP; usar um nome relacionado ao TUNNEL_NAME_GW1_IF0 é útil
    • PEER_IP_ADDRESS_1: um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não está em uso; este exemplo usa 169.254.0.2
    • PEER_ASN_2: o número ASN usado para todas as interfaces no outro Cloud Router ROUTER_NAME_2; este exemplo usa o número ASN 65002

    Criar uma interface do BGP para TUNNEL_NAME_GW1_IF0

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION_1
    

    Criar um peering do BGP para TUNNEL_NAME_GW1_IF0

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Criar uma interface e um peering do BGP em ROUTER_NAME_1 para o túnel TUNNEL_NAME_GW1_IF1.

    Esta interface do BGP usa dois endereços IP do BGP para conectar o TUNNEL_NAME_GW1_IF1 na interface 1 do GW_1 à interface 1 do GW_2.

    Nos comandos a seguir, substitua:

    • ROUTER_1_INTERFACE_NAME_1: um nome de interface do BGP do Cloud Router; usar um nome relacionado ao TUNNEL_NAME_GW1_IF1 é útil
    • IP_ADDRESS_2: um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não está em uso; este exemplo usa 169.254.1.1
    • MASK_LENGTH: 30; cada sessão do BGP no mesmo Cloud Router precisa usar um CIDR /30 exclusivo do bloco 169.254.0.0/16
    • PEER_NAME_GW1_IF1: um nome que descreve o par do BGP. Usar um nome relacionado a TUNNEL_NAME_GW1_IF1 é útil
    • PEER_IP_ADDRESS_2: um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não está em uso; este exemplo usa 169.254.1.2
    • PEER_ASN_2: o número ASN usado para todas as interfaces no outro Cloud Router ROUTER_NAME_2; este exemplo usa o número ASN 65002

    Criar uma interface do BGP para TUNNEL_NAME_GW1_IF1

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION_1
    

    Criar um peering do BGP para TUNNEL_NAME_GW1_IF1

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Verificar as configurações de ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1  \
        --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Criar uma interface e um peering de BGP no ROUTER_NAME_2 para o túnel TUNNEL_NAME_GW2_IF0.

    Esta interface do BGP usa dois endereços IP do BGP para conectar o TUNNEL_NAME_GW2_IF0 na interface 0 do GW_2 à interface 0 do GW_1.

    Nos comandos a seguir, substitua:

    • ROUTER_2_INTERFACE_NAME_0: um nome de interface do BGP do Cloud Router; usar um nome relacionado ao TUNNEL_NAME_GW2_IF0 é útil
    • IP_ADDRESS_3: o endereço IP do BGP usado anteriormente para este gateway e interface; este exemplo usa 169.254.0.2
    • MASK_LENGTH: 30; cada sessão do BGP no mesmo Cloud Router precisa usar um CIDR /30 exclusivo do bloco 169.254.0.0/16
    • PEER_NAME_GW2_IF0: um nome que descreve o peering do BGP; usar um nome relacionado ao TUNNEL_NAME_GW2_IF0 é útil
    • PEER_IP_ADDRESS_3: o endereço IP usado anteriormente para a interface e o gateway de peering; este exemplo usa 169.254.0.1
    • PEER_ASN_1: o número ASN usado para todas as interfaces no ROUTER_NAME_1 e que foi definido anteriormente; este exemplo usa o número ASN 65001

    Criar uma interface do BGP para TUNNEL_NAME_GW2_IF0

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION_1
    

    Criar um peering do BGP para TUNNEL_NAME_GW2_IF0

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Criar uma interface e um peering de BGP no ROUTER_NAME_2 para o túnel TUNNEL_NAME_GW2_IF1.

    Esta interface do BGP usa dois endereços IP do BGP para conectar o TUNNEL_NAME_GW2_IF1 na interface 1 do GW_2 à interface 1 do GW_1.

    Nos comandos a seguir, substitua:

    • ROUTER_2_INTERFACE_NAME_1: um nome de interface do BGP do Cloud Router; usar um nome relacionado ao TUNNEL_NAME_GW2_IF1 é útil
    • IP_ADDRESS_4: o endereço IP do BGP usado anteriormente para este gateway e interface; este exemplo usa 169.254.1.2
    • MASK_LENGTH: 30; cada sessão do BGP no mesmo Cloud Router precisa usar um CIDR /30 exclusivo do bloco 169.254.0.0/16
    • PEER_NAME_GW2_IF1: um nome que descreve o peering do BGP; usar um nome relacionado ao TUNNEL_NAME_GW2_IF1 é útil
    • PEER_IP_ADDRESS_4: um endereço IP do BGP do bloco 169.254.0.0/16 que ainda não está em uso; este exemplo usa 169.254.1.1
    • PEER_ASN_1: o número ASN usado para todas as interfaces no ROUTER_NAME_1 e definido anteriormente; este exemplo usa o número ASN 65001

    Criar uma interface do BGP para TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    Criar um par do BGP para TUNNEL_NAME_GW2_IF1

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Verificar as configurações de ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION_1
    

    A resposta ao comando precisa ser semelhante ao exemplo a seguir:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Para criar uma interface do Cloud Router do BGP, faça uma solicitação PATCH ou UPDATE ao método routers.patch ou ao método routers.update. PATCH atualiza apenas os parâmetros incluídos. UPDATE atualiza todos os parâmetros do Cloud Router. Crie uma interface do BGP para cada túnel de VPN no gateway de VPN de alta disponibilidade.

    Os intervalos de endereço IP do BGP especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. Para adicionar um peering do BGP a um Cloud Router para cada túnel de VPN, faça uma solicitação POST ao método routers.insert. Repita esse comando para o outro túnel de VPN, alterando todas as opções, exceto name e peerAsn.

    Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use o seguinte comando da API.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "peerAsn": "65002",
         "peerIpAddress": "169.254.0.2",
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

Verificar a configuração

Console

Para verificar a configuração, acesse a página Resumo e lembrete:

  1. A seção Resumo desta tela contém informações sobre o gateway de VPN de alta disponibilidade e o perfil de gateway de VPN de peering. Para cada túnel de VPN, é possível visualizar o status do túnel de VPN, o nome da sessão do BGP, o status da sessão do BGP e o valor MED (prioridade da rota divulgada).
  2. A seção Lembrete desta tela contém as etapas que você precisa concluir para ter uma conexão VPN totalmente operacional entre o Cloud VPN e a VPN de peering. Depois de analisar as informações desta página, clique em OK.

gcloud

Para verificar as configurações do Cloud Router, consulte as etapas de verificação na guia gcloud em Criar sessões do BGP.

API

Para verificar a configuração do Cloud Router, crie uma solicitação GET usando o método routers.getRouterStatus e use um corpo de solicitação vazio:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Criar outro túnel em um gateway de túnel único.

Console

Para obter um SLA com 99,99% de tempo de atividade, configure um túnel em cada interface de VPN de alta disponibilidade em cada lado de uma configuração de gateway de VPN de alta disponibilidade para VPN de alta disponibilidade.

Se você configurou um túnel em um gateway de VPN de alta disponibilidade a outro gateway de VPN de alta disponibilidade, mas quer receber um SLA com 99,99% de tempo de atividade, configure um segundo túnel.

Para configurar um segundo túnel, siga as etapas descritas em Como adicionar um túnel a partir de um gateway de VPN de alta disponibilidade a outro gateway de VPN de alta disponibilidade.

Como definir a prioridade de rota divulgada básica (opcional)

As sessões do BGP que você cria permitem que cada Cloud Router divulgue rotas para redes de mesmo nível. Os anúncios usam prioridades básicas inalteradas.

Use a configuração documentada em Como criar dois gateways de VPN de alta disponibilidade que se conectam entre si para configurações de roteamento ativas/ativas, em que a rota divulgada é a prioridades dos dois túneis em ambos os lados correspondem. Omitir a prioridade de rota divulgada (--advertised-route-priority) resulta nas mesmas prioridades de rota divulgada para os dois peerings do BGP.

Para configurações de roteamento ativas/passivas, é possível controlar a prioridade da rota divulgada das rotas do to Google Cloud que o Cloud Router compartilha com seu gateway de VPN de peering definindo a prioridade da rota divulgada (--advertised-route-priority ) ao adicionar ou atualizar um peering do BGP. Para criar uma configuração ativa/passiva, defina uma prioridade de rota divulgada mais alta para uma sessão do BGP e seu túnel de VPN correspondente do que para a outra sessão do BGP e túnel de VPN.

Para mais informações sobre a prioridade básica de rota divulgada, consulte Prefixos e prioridades divulgados.

Você também pode refinar as rotas divulgadas usando divulgações personalizadas:

  • Adicione as sinalizações --advertisement-mode=CUSTOM (gcloud) ou advertiseMode: custom (API).
  • Especifique intervalos de endereços IP com a sinalização --set-advertisement-ranges (gcloud) ou a sinalização advertisedIpRanges (API).

Como concluir a configuração

Antes de usar um novo gateway do Cloud VPN e os túneis de VPN associados, conclua as seguintes etapas:

  1. Configure o gateway de VPN de peering e configure o túnel ou os túneis correspondentes. Para ver instruções, consulte os links a seguir:
  2. Configure regras de firewallno Google Cloud e na rede de peering, conforme necessário.
  3. Verifique o status dos túneis de VPN. Observação: esta etapa inclui a verificação da configuração de alta disponibilidade do seu gateway de VPN de alta disponibilidade.

Como aplicar uma restrição da política da organização que restrinja endereços IP do gateway da VPN de peering

É possível criar uma restrição de política da organização do Google Cloud que defina um conjunto de endereços IP permitidos ou negados para fazer o peering de gateways de VPN por meio da VPN clássica ou de túneis de VPN de alta disponibilidade. Essa restrição contém uma lista de permissões ou uma lista de negação desses endereços IP de peering, que entra em vigor para os túneis do Cloud VPN que você criou depois de aplicar a restrição. Para detalhes, consulte Como restringir endereços IP de mesmo nível por meio de um túnel do Cloud VPN.

Para criar uma política da organização e associá-la a uma organização, pasta ou projeto, use os exemplos listados nas próximas seções e siga as etapas em Como usar restrições.

Permissões necessárias

Para definir uma restrição de IP de peering no nível da organização ou do projeto, primeiro você precisa receber o papel de Administrador de políticas da organização ()roles/orgpolicy.policyAdmin para sua organização.

Como restringir a conectividade a partir de endereços IP de peering específicos

Para permitir apenas endereços IP de peering específicos por meio de um túnel do Cloud VPN, execute as seguintes etapas:

  1. Encontre o código da sua organização executando o seguinte comando:
    gcloud organizations list

    A resposta ao comando terá a seguinte aparência:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crie um arquivo JSON que defina sua política, como no exemplo a seguir:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Para definir a política da organização, use o comando gcloud do Resource Manager set-policy, passando o arquivo JSON e usando o ORGANIZATION_ID encontrado na etapa anterior.

Como restringir a conectividade de qualquer endereço IP de peering

Para proibir a criação de qualquer novo túnel do Cloud VPN, siga as etapas neste exemplo de restrição.

  1. Encontre o ID da organização ou o ID do nó na hierarquia de recursos em que você quer definir uma política.
  2. Crie um arquivo JSON como o exemplo a seguir.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Transmita o arquivo JSON inserindo o mesmo comando que você usaria para restringir endereços IP de peering específicos.

A seguir

  • Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
  • Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.