Crie um gateway de VPN de alta disponibilidade para um gateway de VPN de intercâmbio

Esta página descreve como criar um gateway de VPN de alta disponibilidade que se liga a um gateway de VPN de intercâmbio.

Os gateways de VPN de alta disponibilidade usam a API HA VPN e oferecem um SLA de 99,99%. Esta configuração usa um par de túneis, com um túnel em cada interface do gateway de VPN de alta disponibilidade. Para receber um SLA de 99,99%, tem de configurar túneis de VPN em ambas as interfaces do gateway de VPN de HA.

Existem dois componentes de gateway a configurar para a VPN de HA:

• Um gateway de HA VPN em Google Cloud.

• O seu gateway ou gateways de VPN de intercâmbio.

  Um ou mais dispositivos de gateway de VPN físicos ou aplicações de software na rede de pares à qual o gateway de VPN de HA se liga. O gateway de pares pode ser um gateway de VPN nas instalações ou um alojado por outro fornecedor de nuvem.

  Crie um recurso de gateway de VPN externo em Google Cloud para cada dispositivo ou serviço de gateway par. Todos os cenários de gateway de pares são representados em Google Cloud por um único recurso de VPN de pares externos.

Para mais informações sobre a Cloud VPN, consulte os seguintes recursos:

• Para ver diagramas desta topologia, consulte o artigo Estabeleça ligação Google Cloud ao gateway de VPN de pares.

• Para ver as práticas recomendadas a considerar antes de configurar o Cloud VPN, consulte o artigo Práticas recomendadas para o Cloud VPN.

• Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.

• Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Se quiser implementar a VPN de alta disponibilidade através do Cloud Interconnect, consulte a vista geral da VPN de alta disponibilidade através do Cloud Interconnect.

Tipos de redundância

A API HA VPN contém uma opção para REDUNDANCY_TYPE, que representa o número de interfaces que configura para o recurso de gateway de VPN externo.

Quando configura um recurso de gateway de VPN externo, os comandos da CLI gcloud inferem automaticamente os seguintes valores de REDUNDANCY_TYPE a partir do número de interfaces que fornece no ID da interface:

• Uma interface de VPN externa é SINGLE_IP_INTERNALLY_REDUNDANT.
• Duas interfaces de VPN externas são TWO_IPS_REDUNDANCY.
• Quatro interfaces de VPN externas estão FOUR_IPS_REDUNDANCY.

Ao configurar gateways de VPN externos, use os seguintes números de identificação da interface para o número indicado de interfaces de VPN externas:

• Para uma interface de VPN externa, use um valor de 0.
• Para duas interfaces de VPN externas, use os valores 0 e 1.
• Para quatro interfaces de VPN externas, use os valores 0, 1, 2 e 3.

Crie Cloud Routers

Quando configura um novo gateway de VPN de alta disponibilidade, pode criar um novo Cloud Router ou usar um Cloud Router existente com túneis de VPN do Google Cloud ou anexos de VLAN existentes. No entanto, o Cloud Router que usa não pode gerir já uma sessão BGP para uma associação de VLAN associada a uma ligação do Partner Interconnect devido aos requisitos de ASN específicos da associação.

Antes de começar

Reveja as informações sobre como o encaminhamento dinâmico funciona no Google Cloud.

Certifique-se de que o gateway de VPN de pares suporta o Border Gateway Protocol (BGP).

Configure os seguintes itens Google Cloud para facilitar a configuração da VPN na nuvem:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

4. Se estiver a usar a CLI do Google Cloud, defina o ID do projeto com o seguinte comando: As instruções gcloudnesta página pressupõem que definiu o ID do projeto antes de emitir comandos.

       gcloud config set project PROJECT_ID
     

5. Também pode ver um ID do projeto que já foi definido executando o seguinte comando:

       gcloud config list --format='text(core.project)'
     

Crie uma rede VPC e uma sub-rede personalizadas

Antes de criar um par de túneis e gateways de VPN de HA, crie uma rede de nuvem virtual privada (VPC) e, pelo menos, uma sub-rede na região onde o gateway de VPN de HA está localizado:

• Para criar uma rede VPC no modo personalizado (recomendado), consulte o artigo Crie uma rede VPC no modo personalizado com sub-redes apenas IPv4.
• Para criar sub-redes, consulte o artigo Trabalhe com sub-redes.

Para ativar o IPv6 para gateways de VPN de alta disponibilidade, tem de ativar a atribuição de endereços internos IPv6 quando cria a VPC. Além disso, tem de configurar as sub-redes para usar endereços internos IPv6.

Também tem de configurar o IPv6 nas VMs na sub-rede.

• Para criar uma rede VPC no modo personalizado que tenha, pelo menos, uma sub-rede de pilha dupla ou uma sub-rede apenas IPv6 com endereços IPv6 internos, consulte o artigo Criar e gerir redes VPC.
• Para criar uma sub-rede de pilha dupla com o IPv6 ativado, consulte o artigo Adicione uma sub-rede de pilha dupla.
• Para criar uma sub-rede apenas IPv6, consulte o artigo Adicione uma sub-rede apenas IPv6.
• Para ativar o IPv6 numa sub-rede apenas IPv4 existente, consulte o artigo Converta uma sub-rede IPv4 numa sub-rede de pilha dupla.
• Para criar VMs com o IPv6 ativado, consulte o artigo Configurar o IPv6 para instâncias e modelos de instâncias.

A sub-rede da VPC tem de estar configurada para usar endereços IPv6 internos. Quando usa a CLI gcloud, configura a sub-rede com a flag --ipv6-access-type=INTERNAL. O Cloud Router não anuncia dinamicamente rotas para sub-redes configuradas para usar endereços IPv6 externos (--ipv6-access-type=EXTERNAL).

Para ver informações sobre a utilização de intervalos de endereços IPv6 internos na sua rede VPC e sub-redes, consulte as especificações IPv6 internas.

Os exemplos neste documento também usam o modo de encaminhamento dinâmico global da VPC, que se comporta da seguinte forma:

• Todas as instâncias do Cloud Router aplicam as rotas to on-premises que aprendem a todas as sub-redes da rede VPC.
• As rotas para todas as sub-redes na rede VPC são partilhadas com os routers no local.

Crie um par de túneis e gateways de VPN de alta disponibilidade para uma VPN de intercâmbio

Siga as instruções nesta secção para criar um gateway de VPN de HA, um recurso de gateway de VPN de pares, um par de túneis e sessões BGP.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Funções

• roles/compute.networkAdmin

Crie um gateway de VPN de alta disponibilidade

Consola

O assistente de configuração da VPN inclui todos os passos de configuração necessários para criar um gateway de VPN de HA, um recurso de gateway de VPN paritário, túneis e sessões de BGP.

Para criar um gateway de VPN de HA, siga estes passos:

1. Na Google Cloud consola, aceda à página VPN.

   Aceda à VPN

2. Se estiver a criar um gateway pela primeira vez, clique em Criar ligação VPN.

3. Selecione o assistente de configuração da VPN.

4. Em Nome do gateway de VPN, introduza um nome para o gateway de VPN de HA.

5. Para rede de VPC, selecione uma rede existente ou a rede predefinida.

6. Para Região, selecione uma região para o gateway de VPN de HA.

7. Para a versão do IP do gateway de VPN, selecione uma versão do IP do gateway de VPN HA.

   A versão IP do gateway de VPN de alta disponibilidade e do gateway de VPN de pares tem de ser a mesma.

8. Para Tipo de pilha de IP do gateway de VPN, selecione um tipo de pilha para o gateway de VPN.

9. Clique em Criar e continuar.

   A página da consola é atualizada e apresenta as informações da sua gateway. São automaticamente atribuídos dois endereços IP externos a cada uma das suas interfaces de gateway. Para os passos de configuração futuros, tome nota dos detalhes da configuração do gateway.

gcloud

Para criar um gateway de VPN de HA, execute os seguintes comandos. Quando o gateway é criado, são automaticamente atribuídos dois endereços IP externos, um para cada interface do gateway.

• Para suportar apenas cargas de trabalho IPv4, pode criar um gateway de VPN de alta disponibilidade com o tipo de pilha IPV4_ONLY.
• Para suportar cargas de trabalho IPv4 e IPv6, pode criar um gateway de VPN de alta disponibilidade com o IPV4_IPV6 tipo de pilha.
• Para suportar apenas cargas de trabalho IPv6, pode criar um gateway de VPN de alta disponibilidade com o IPV6_ONLY tipo de pilha.

Para criar um gateway de VPN de HA com interfaces IPv4, execute o seguinte comando. Quando o gateway é criado, são automaticamente atribuídos dois endereços IPv4 externos, um para cada interface do gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
   [--stack-type=IP_STACK]

Substitua o seguinte:

• GW_NAME: o nome do gateway
• NETWORK: o nome da sua Google Cloud rede
• REGION: a Google Cloudregião onde cria o gateway e o túnel
• IP_STACK: a pilha de IP a usar. Especifique IPV4_ONLY ou IPV4_IPV6. Se não especificar esta flag, o tipo de pilha é IPV4_ONLY para o gateway de VPN de HA. A flag --stack-type é opcional.

Também pode especificar --gateway-ip-version=IPV4. No entanto, esta flag não é obrigatória. Se não especificar esta flag, o gateway de VPN de HA usa por predefinição endereços IPv4 externos.

Para criar um gateway de VPN de alta disponibilidade com interfaces IPv6, execute o seguinte comando. Quando o gateway é criado, são automaticamente atribuídos dois endereços IPv6 externos, um para cada interface do gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

Substitua o seguinte:

• GW_NAME: o nome do gateway
• NETWORK: o nome da sua Google Cloud rede
• REGION: a Google Cloudregião onde cria o gateway e o túnel
• IP_STACK: a pilha de IP a usar. Especifique IPV4_IPV6 ou IPV6_ONLY. Se não especificar esta flag, o tipo de pilha é IPV4_IPV6 para o gateway de VPN de HA. A flag --stack-type é opcional.

O gateway que criar tem um aspeto semelhante ao seguinte exemplo de saída. Se especificar --gateway-ip-version=IPV6, são atribuídas interfaces IPv6.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0                 INTERFACE1                NETWORK     REGION
ha-vpn-gw-a   2600:1900:4f00:2:a:49b::   2600:1900:4f10:2:a:6a8::  network-a   us-central1

API

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos da API nas secções seguintes. Todos os valores dos campos usados nestas secções são valores de exemplo.

Para criar um gateway de VPN de HA, faça um pedido POST usando o método:vpnGateways.insert

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }

   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }

• Quando cria um gateway de VPN de alta disponibilidade com interfaces IPv4, os campos gatewayIpVersion e stackType são opcionais.

  • Se não especificar stackType, o valor predefinido é IPV4_ONLY.

  • Se não especificar gatewayIpVersion, o valor predefinido é IPV4.

  • Os únicos valores stackType válidos para um gateway com um gatewayIpVersion de IPV4 são IPV4_IPV6 ou IPV4_ONLY.

• Quando cria um gateway de VPN de alta disponibilidade com interfaces IPv6, especifique IPV6 como o valor de gatewayIpVersion. O campo stackType é opcional.

  • Se não especificar stackType, o valor predefinido é IPV4_IPV6.

  • Os únicos valores stackType válidos para um gateway com um gatewayIpVersion de IPV6 são IPV4_IPV6 ou IPV6_ONLY.

Crie um recurso de gateway de VPN de intercâmbio

Consola

O recurso de gateway de VPN de intercâmbio representa o seu gateway não pertencente aoGoogle Cloud em Google Cloud.

Para criar um recurso de gateway de VPN de pares, siga estes passos:

1. Na página Criar uma VPN, em Gateway de VPN de intercâmbio, selecione No local ou na nuvem não Google.

2. Em Nome do gateway de VPN de intercâmbio, escolha um gateway de intercâmbio existente ou clique em Criar um novo gateway de VPN de intercâmbio.

   Se escolher um gateway existente, a consola seleciona o número de túneis a configurar com base no número de interfaces de pares que configurou no gateway de pares existente. Google Cloud

   Para criar um novo gateway de pares, conclua os seguintes passos:

   1. Especifique um Nome para o gateway de VPN de intercâmbio.
   2. Em Interfaces do gateway de VPN de intercâmbio, selecione one, two ou four interfaces, consoante o tipo de interfaces que o gateway de intercâmbio tem. Para ver exemplos de cada tipo, consulte a página Topologias.
   3. No campo de cada interface de VPN de pares, especifique o endereço IP externo usado para essa interface. Para mais informações, consulte o artigo Configure o gateway de VPN de pares.
   4. Clique em Criar.

gcloud

Crie um recurso de gateway de VPN externo que forneça informações a Google Cloud acerca do seu gateway ou gateways de VPN de intercâmbio. Consoante as recomendações de alta disponibilidade para o seu gateway de VPN de pares, pode criar recursos de gateway de VPN externo para os seguintes tipos diferentes de gateways de VPN no local:

• Dois dispositivos de gateway de VPN ponto a ponto separados em que os dois dispositivos são redundantes entre si e cada dispositivo tem o seu próprio endereço IP externo.
• Um único gateway de VPN de pares que usa duas interfaces separadas, cada uma com o seu próprio endereço IP externo. Para este tipo de gateway de intercâmbio, pode criar um único gateway de VPN externo com duas interfaces.
• Um único gateway de VPN de pares com um único endereço IP externo.

Opção 1: crie um recurso de gateway de VPN externo para dois dispositivos de gateway de VPN de intercâmbio separados

• Para este tipo de gateway de pares, cada interface do gateway de VPN externo tem um endereço IP externo e cada endereço é de um dos dispositivos de gateway de VPN de pares:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
  

  Substitua o seguinte:

  • PEER_GW_NAME: um nome que representa o gateway de pares
  • PEER_GW_IP_0: o endereço IP externo de um gateway de pares
  • PEER_GW_IP_1: o endereço IP externo de outro gateway de pares

  O recurso de gateway de VPN externo que criou tem o seguinte aspeto: no exemplo abaixo, PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos reais das interfaces do gateway de pares:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME      INTERFACE0    INTERFACE1
  peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
  

Opção 2: crie um recurso de gateway de VPN externo para um único gateway de VPN de intercâmbio com duas interfaces separadas

• Para este tipo de gateway de intercâmbio, crie um único gateway de VPN externo com duas interfaces:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
  

  Substitua o seguinte:

  • PEER_GW_NAME: um nome que representa o gateway de pares
  • PEER_GW_IP_0: o endereço IP externo de uma interface do gateway de pares
  • PEER_GW_IP_1: o endereço IP externo para outra interface do gateway de pares

  O recurso de gateway de VPN externo que criou tem o seguinte aspeto: no exemplo abaixo, PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos reais das interfaces do gateway de pares:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME     INTERFACE0    INTERFACE1
  peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
  

Opção 3: crie um recurso de gateway de VPN externo para um único gateway de VPN de intercâmbio com um único endereço IP externo

• Para este tipo de gateway de intercâmbio, crie um gateway de VPN externo com uma interface:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0
  

  Substitua o seguinte:

  • PEER_GW_NAME: um nome que representa o gateway de pares
  • PEER_GW_IP_0: o endereço IP externo da interface do gateway de pares

  O recurso de gateway de VPN externo que criou tem o seguinte aspeto: no exemplo abaixo, PEER_GW_IP_0 mostra os endereços IP externos reais da interface do gateway de pares:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME       INTERFACE0
  peer-gw    PEER_GW_IP_0
  

API

Para criar um recurso de gateway de VPN externo, faça um pedido POST através do método externalVpnGateways.insert.

• Para um gateway de VPN externo (par) que tenha uma interface, use o exemplo seguinte, mas especifique apenas um ID da interface e um ipAddress, com um redundancyType de SINGLE_IP_INTERNALLY_REDUNDANT.
• Para um gateway de VPN externo com duas interfaces ou dois gateways de VPN externos com uma interface cada, use o exemplo TWO_IPS_REDUNDANCY.

• Para um ou mais gateways de VPN externos com quatro interfaces de VPN externas, por exemplo, Amazon Web Services (AWS), use o exemplo seguinte, mas especifique quatro instâncias do ID da interface e ipAddress e use um redundancyType de FOUR_IPS_REDUNDANCY.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
   {
     "name": "my-peer-gateway",
     "interfaces": [
       {
         "id": 0,
         "ipAddress": "192.0.2.1"
       },
       {
         "id": 1,
         "ipAddress": "192.0.2.2"
       }
     ],
     "redundancyType": "TWO_IPS_REDUNDANCY"
   }
  

Crie um Cloud Router

Consola

Em Cloud Router, se ainda não o fez, crie um Cloud Router especificando as seguintes opções. Pode usar um Cloud Router existente, desde que não esteja a ser usado para o Cloud NAT.

1. Para criar um novo Cloud Router, especifique o seguinte:

   • Um nome
   • Uma descrição opcional
   • Um ASN da Google para o novo router

   Pode usar qualquer ASN privado (64512 a 65534, 4200000000 a 4294967294) que não esteja a usar noutro local na sua rede. O ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode alterar o ASN posteriormente.

2. Para criar o novo router, clique em Criar.

gcloud

Pode usar um Cloud Router existente, desde que não esteja a ser usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.

Para criar um Cloud Router, execute o seguinte comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Substitua o seguinte:

• ROUTER_NAME: o nome do Cloud Router na mesma região que o gateway da Cloud VPN
• REGION: a Google Cloudregião onde cria o gateway e o túnel
• NETWORK: o nome da sua rede VPC
• GOOGLE_ASN: qualquer ASN privado (64512 a 65534, 4200000000 a 4294967294) que ainda não esteja a usar na rede de pares; o ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode ser alterado posteriormente

O router que criar tem um aspeto semelhante ao seguinte exemplo de resultado:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Pode usar um Cloud Router existente, desde que não esteja a ser usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.

Para criar um Cloud Router, faça um pedido POST através do método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Crie túneis de VPN

Consola

Se configurou o recurso de gateway de VPN de pares com uma interface, na página Criar VPN, configure o túnel único na caixa de diálogo de túnel de VPN único. Para um SLA de 99,99%, tem de criar um segundo túnel.

Se configurou o recurso de gateway de VPN de pares com duas ou quatro interfaces, configure as caixas de diálogo associadas que aparecem na parte inferior da página Criar VPN.

Para criar túneis de VPN, siga estes passos:

1. Se aplicável, em Interface do gateway de VPN na nuvem associada, selecione a combinação de interface e endereço IP da VPN de alta disponibilidade que quer associar à interface do gateway de VPN na nuvem do seu par para este túnel.
2. Em Interface do gateway de VPN de pares associada, selecione a combinação de interface do gateway de VPN de pares e endereço IP que quer associar a este túnel e à interface de VPN de alta disponibilidade. Esta interface tem de corresponder à interface no seu router de pares real.
   1. Especifique um Nome para o túnel.
   2. Especifique uma descrição opcional.
   3. Especifique a versão do IKE. Recomendamos o IKE v2, a predefinição, se o seu router de pares o suportar. Para permitir o tráfego IPv6, tem de selecionar IKEv2.
   4. Especifique uma chave pré-partilhada IKE através da sua chave pré-partilhada (segredo partilhado), que tem de corresponder à chave pré-partilhada do túnel de parceiro que cria no seu gateway de pares. Se não tiver configurado uma chave pré-partilhada no seu gateway de VPN de intercâmbio e quiser gerar uma, clique em Gerar e copiar. Certifique-se de que regista a chave pré-partilhada num local seguro, uma vez que não pode ser obtida depois de criar os túneis de VPN.
   5. Clique em Concluído.
   6. Na página Criar VPN, repita os passos de criação do túnel para todas as caixas de diálogo de túnel restantes.
3. Quando tiver configurado todos os túneis, clique em Criar e continuar.

gcloud

Crie dois túneis de VPN, um para cada interface no gateway de VPN de HA. Ao criar túneis de VPN, especifique o lado de intercâmbio dos túneis de VPN como o gateway de VPN externo que criou anteriormente. Consoante o tipo de redundância do gateway de VPN externo, configure os túneis através de uma das duas opções seguintes.

Opção 1: se o gateway de VPN externo for dois dispositivos de gateway de VPN de intercâmbio separados ou um único dispositivo com dois endereços IP

• Neste caso, um túnel de VPN tem de se ligar a interface 0 do gateway de VPN externo e o outro túnel de VPN tem de se ligar a interface 1 do gateway de VPN externo.

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
  

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
  

  Substitua o seguinte:

  • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: um nome para o túnel; dar nomes aos túneis incluindo o nome da interface do gateway pode ajudar a identificar os túneis mais tarde
  • PEER_GW_NAME: um nome do gateway de pares externo criado anteriormente
  • PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: o número da interface configurado anteriormente no gateway de pares externo
  • IKE_VERS: 1 para IKEv1 ou 2 para IKEv2; se possível, use IKEv2 para a versão IKE. Se o seu gateway de pares exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, tem de especificar o IKEv2.
  • SHARED_SECRET: a sua chave pré-partilhada (segredo partilhado), que tem de corresponder à chave pré-partilhada do túnel de parceiros que cria no seu gateway de pares; para recomendações, consulte Gere uma chave pré-partilhada forte
  • GW_NAME: o nome do gateway de HA VPN
  • INT_NUM_0: o número 0 para a primeira interface no gateway de HA VPN que criou anteriormente
  • INT_NUM_1: o número 1 para a segunda interface no gateway de HA VPN que criou anteriormente
  • VPN_GATEWAY_REGION: a região em que o gateway de HA VPN vai operar. O valor deve ser igual a --region. Se não for especificado, esta opção é definida automaticamente. Esta opção substitui o valor da propriedade da região predefinida para esta invocação de comando. A flag --vpn-gateway-region é opcional.

  O resultado é semelhante ao seguinte:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  

Opção 2: se o gateway de VPN externo for um único gateway de VPN de intercâmbio com um único endereço IP externo

• Neste caso, ambos os túneis de VPN têm de estabelecer ligação a interface 0 do gateway de VPN externo.

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
  

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
  

  Substitua o seguinte:

  • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: um nome para o túnel; dar nomes aos túneis incluindo o nome da interface do gateway pode ajudar a identificar os túneis mais tarde
  • PEER_GW_NAME: o nome do gateway de pares externo criado anteriormente
  • PEER_EXT_GW_IF0: o número da interface configurado anteriormente no gateway de pares externo
  • IKE_VERS: 1 para IKEv1 ou 2 para IKEv2. Se possível, use o IKEv2 para a versão IKE. Se o seu gateway de pares exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, tem de especificar o IKEv2.
  • SHARED_SECRET: a sua chave pré-partilhada (segredo partilhado), que tem de corresponder à chave pré-partilhada do túnel de parceiros que cria no seu gateway de pares; para recomendações, consulte Gere uma chave pré-partilhada forte
  • INT_NUM_0: o número 0 para a primeira interface no gateway de HA VPN que criou anteriormente
  • INT_NUM_1: o número 1 para a segunda interface no gateway de HA VPN que criou anteriormente
  • VPN_GATEWAY_REGION: a região em que o gateway de HA VPN vai operar. O valor deve ser igual a --region. Se não for especificado, esta opção é definida automaticamente. Esta opção substitui o valor da propriedade da região predefinida para esta invocação de comando. A flag --vpn-gateway-region é opcional.

  O resultado é semelhante ao seguinte:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
  

Para ambas as opções anteriores, também pode configurar algoritmos de cifragem (pré-visualização) quando cria túneis de VPN na nuvem. Por exemplo, para configurar algoritmos de cifragem para o túnel do Cloud VPN que se liga a interface 0 do gateway de Cloud VPN externo, execute o seguinte comando:

 gcloud beta compute vpn-tunnels create TUNNEL_NAME_IF0 \
     --peer-external-gateway=PEER_GW_NAME \
     --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
     --region=REGION \
     --ike-version=IKE_VERS \
     --shared-secret=SHARED_SECRET \
     --router=ROUTER_NAME \
     --vpn-gateway=GW_NAME \
     [--vpn-gateway-region=VPN_GATEWAY_REGION] \
     --interface=INT_NUM_0 \
     --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
     --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
     --phase1-prf=PH1_PRF_ALGRTHS \
     --phase1-dh=PH1_DH_GROUP \
     --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
     --phase2-integrity= PH2_INTEGRITY_ALGRTHS \
     --phase2-pfs =PH2_PFS_ALGRTHS

Substitua o seguinte:

• PH1_ENCRYPT_ALGRTHS: uma lista separada por vírgulas de algoritmos de encriptação suportados para negociações de associação de segurança (SA) IKE de fase 1. Pode listar os algoritmos por ordem de preferência.
• PH1_INTEGRITY_ALGRTHS: uma lista separada por vírgulas de algoritmos de integridade suportados para negociações de SA IKE da fase 1. Pode listar os algoritmos por ordem de preferência.
• PH1_PRF_ALGRTHS: uma lista separada por vírgulas de algoritmos de função pseudorrandómica (PRF) suportados para negociações de SA IKE de fase 1. Pode listar os algoritmos por ordem de preferência.
• PH1_DH_GROUP: uma lista separada por vírgulas de algoritmos de Diffie-Hellman (DH) suportados para negociações de SA IKE da fase 1. Pode listar os algoritmos por ordem de preferência.
• PH2_ENCRYPT_ALGRTHS: uma lista separada por vírgulas de algoritmos de encriptação suportados para negociações de SA IKE de fase 2. Pode listar os algoritmos por ordem de preferência.
• PH2_INTEGRITY_ALGRTHS: uma lista separada por vírgulas de algoritmos de integridade suportados para negociações de SA IKE da fase 2. Pode listar os algoritmos por ordem de preferência.
• PH2_PFS_ALGRTHS: uma lista separada por vírgulas de algoritmos PFS suportados para negociações de SA IKE de fase 2. Pode listar os algoritmos por ordem de preferência. Para saber mais sobre os algoritmos de cifragem suportados pela VPN na nuvem, consulte o artigo Cifragem IKE suportada.

API

Para criar dois túneis de VPN, um para cada interface no gateway de VPN de HA, faça um pedido POST através do método vpnTunnels.insert. Para ter um SLA de tempo de atividade de 99,99%, tem de criar um túnel em cada interface da sua gateway de VPN de HA.

1. Para criar o primeiro túnel, execute o seguinte comando:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Se planeia ativar o IPv6 na sessão BGP associada a este túnel, tem de especificar 2 para o ikeVersion.

2. Para criar o segundo túnel, repita este comando, mas altere os seguintes parâmetros:

   • name
   • peerExternalGatewayInterface
   • sharedSecret ou sharedSecretHash(se necessário)
   • vpnGatewayInterface: altere para o valor da outra interface do gateway de VPN de alta disponibilidade. Neste exemplo, altere este valor para 1

Crie sessões de BGP

Para cada túnel de VPN de alta disponibilidade, pode criar uma sessão BGP IPv4, uma sessão BGP IPv6 ou ambas.

A tabela seguinte lista o tipo de sessão BGP para a pilha de VPN de alta disponibilidade e o tráfego da rede de VPC. Para ver instruções específicas, selecione qualquer tipo de sessão BGP.

Tipo de sessão de BGP	Gateway de HA VPN	Tipo de rede da VPC	O BGP multiprotocolo (MP-BGP) é permitido?
Sessões de BGP IPv4	Apenas IPv4 ou pilha dupla	Apenas IPv4 ou pilha dupla	sim
Sessões de BGP IPv6	pilha dupla	pilha dupla	sim
Sessões de BGP IPv4 e IPv6	pilha dupla	pilha dupla	não

Para configurar uma sessão BGP IPv4 e IPv6 no mesmo túnel ou para ativar o MP-BGP na sessão BGP de um túnel de VPN de alta disponibilidade, use um gateway de VPN de alta disponibilidade de pilha dupla. No entanto, se configurar uma sessão de BGP IPv4 e uma sessão de BGP IPv6 no mesmo túnel de VPN de HA, não pode ativar o MP-BGP em nenhuma das sessões.

Sessões de BGP IPv4

Consola

Para criar sessões BGP, siga estes passos:

1. Clique em Configurar sessão de BGP.
2. Na página Criar sessão de BGP, conclua os seguintes passos:
   1. Para o tipo de sessão de BGP, selecione Sessão de BGP IPv4.
   2. Em Nome, introduza um nome para a sessão BGP.
   3. Para ASN de intercâmbio, introduza o ASN de intercâmbio configurado para o gateway de VPN de intercâmbio.
   4. Opcional: para Prioridade da rota anunciada (MED), introduza a prioridade das rotas anunciadas a este par BGP.
   5. Opcional: para ativar a troca de rotas IPv6, clique no botão Ativar tráfego IPv6.

3. Para Atribuir endereço IPv4 BGP, selecione Automaticamente ou Manualmente. Se selecionar Manualmente, faça o seguinte:

   1. Para o endereço IPv4 do BGP do Cloud Router, introduza o endereço IPv4 do BGP do Cloud Router.

   2. Para Endereço IPv4 do par BGP, introduza o endereço IPv4 do par BGP. O endereço IPv4 tem de cumprir os seguintes requisitos:

      • Cada endereço IPv4 tem de pertencer à mesma sub-rede /30 que se enquadra no intervalo de endereços 169.254.0.0/16.
      • Cada endereço IPv4 é o primeiro ou o segundo anfitrião da sub-rede./30 O primeiro e o último endereços IP da sub-rede estão reservados para endereços de rede e de transmissão.
      • Cada intervalo de endereços IPv4 para uma sessão BGP tem de ser único entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se selecionar Automaticamente, Google Cloud seleciona automaticamente os endereços IPv4 para a sua sessão BGP.

   3. Opcional: se ativou a troca de rotas IPv6 no passo anterior, para Atribuir o próximo salto IPv6 do BGP, selecione Automaticamente ou Manualmente. Se selecionar Manualmente, faça o seguinte:

      1. Para Próximo salto IPv6 BGP do Cloud Router, introduza um endereço IPv6 no intervalo de endereços 2600:2d00:0:2::/63. Este endereço IP é o endereço do salto seguinte para rotas IPv6 anunciadas pelo Cloud Router.
      2. Para Próximo salto IPv6 BGP de pares, introduza um endereço IPv6 no intervalo de endereços 2600:2d00:0:2::/63. Este endereço IP é o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router a partir do par BGP.
      3. Opcional: expanda a secção Opções avançadas.
      4. Para ativar o par BGP, selecione Ativado. Se estiver ativada, a ligação ponto a ponto é estabelecida com informações de encaminhamento. Para mais informações, consulte o artigo Estabeleça sessões BGP.
      5. Para ativar a autenticação MD5, selecione Ativada. Se estiver ativada, a autenticação MD5 é usada para autenticar sessões BGP. Para mais informações, consulte o artigo Use a autenticação MD5. Em alternativa, pode optar por ativar a autenticação MD5 mais tarde.
      6. Para adicionar rotas de saída à sessão de BGP, para a Prioridade de todas as rotas aprendidas personalizadas, introduza uma prioridade de rota aprendida. Para mais informações, consulte o artigo Rotas aprendidas.

4. Clique em Guardar e continuar.

5. Repita os passos anteriores para os restantes túneis configurados no gateway. Para cada túnel, use um endereço IP BGP do Cloud Router e um endereço IP BGP do par diferentes.

6. Clique em Guardar configuração de BGP.

gcloud

Para criar sessões BGP, siga estes passos:

Nos comandos, substitua o seguinte:

• ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: um nome para a interface do Cloud Router. Pode ser útil usar nomes relacionados com os nomes dos túneis configurados anteriormente
• TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface do gateway de VPN de alta disponibilidade que configurou
• IP_VERSION: especifique IPV4 ou deixe não especificado. Se não for especificado, o valor predefinido é IPV4.
• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que lhe permitem especificar manualmente rotas aprendidas para uma sessão BGP; para mais informações acerca desta funcionalidade, consulte Rotas aprendidas.
• AUTHENTICATION_KEY: a chave secreta a usar para a autenticação MD5. Para mais informações sobre esta funcionalidade opcional, consulte o artigo Usar a autenticação MD5.

Atribua endereços IPv4 para uma sessão de BGP

Escolha o método de configuração automático ou manual de configuração de endereços para o BGP. Estes comandos não ativam o IPv6 para o BGP.

Se quiser ativar o IPv6, execute os comandos indicados em Atribua endereços de próximo salto IPv6.

Automático

Para permitir que o sistema Google Cloud escolha automaticamente os endereços IPv4 BGP locais de ligação, conclua os passos seguintes.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   Por predefinição, se não especificar uma versão do IP, o comando atribui um endereço IPv4 à interface.

   O resultado do comando tem um aspeto semelhante ao do exemplo seguinte:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione a configuração do par BGP à interface do primeiro túnel; substitua PEER_NAME_0 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN do par BGP:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION
   

   Se quiser especificar rotas aprendidas para o par, adicione a flag --set-custom-learned-route-ranges. Opcionalmente, também pode usar a flag --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que configurou para a sessão. Para mais informações acerca desta funcionalidade, consulte Trajetos aprendidos.

   Por exemplo, para adicionar rotas aprendidas e definir uma prioridade para as rotas, execute o seguinte comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se quiser usar a autenticação MD5, adicione a flag --md5-authentication-key. Use este campo para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

2. Adicione uma configuração de par BGP à interface para o segundo túnel; substitua PEER_NAME_1 por um nome para a interface da VPN par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION
   

   Se configurou rotas aprendidas no primeiro túnel, é recomendável configurar as mesmas rotas no segundo túnel. Por exemplo, pode configurar o segundo túnel para funcionar como uma cópia de segurança para as rotas. Neste caso, atribua às rotas uma prioridade menos preferencial (um número mais elevado). Se quiser usar ambos os túneis em conjunto como parte de um trajeto de vários caminhos de custo igual (ECMP), atribua aos trajetos a mesma prioridade que tinham no primeiro túnel. Em qualquer dos casos, use um comando como o seguinte:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se quiser usar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Manual

Para atribuir manualmente os endereços IPv4 BGP associados à interface do Cloud Router e ao par BGP, conclua os seguintes passos.

Para cada túnel VPN, decida um par de endereços IPv4 locais de ligação num bloco /30 do intervalo de endereços 169.254.0.0/16 (um total de quatro sub-redes /30, uma por gateway de VPN de HA). As sub-redes IPv4 que especificar têm de ser exclusivas entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua um destes endereços IPv4 BGP ao Cloud Router e o outro endereço IPv4 BGP ao seu gateway de VPN de pares. Configure o dispositivo VPN de pares para usar o endereço IPv4 BGP de pares.

Nos seguintes comandos, substitua o seguinte:

• GOOGLE_BGP_IP_0: o endereço IPv4 BGP da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 0; PEER_BGP_IP_0 representa o endereço IPv4 BGP do respetivo par
• GOOGLE_BGP_IP_1: o endereço IPv4 BGP da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 1; PEER_BGP_IP_1 representa o endereço IPv4 BGP do respetivo par
• MASK_LENGTH: 30; o router na nuvem tem de usar uma sub-rede /30 exclusiva do intervalo de 169.254.0.0/16 endereços IPv4

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router; substitua ROUTER_INTERFACE_NAME_0 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IP_0 \
     --mask-length 30 \
     --region=REGION
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface; substitua PEER_NAME_0 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IP_0 \
    --region=REGION
   

   Se quiser especificar rotas aprendidas para o par, adicione a flag --set-custom-learned-route-ranges. Opcionalmente, também pode usar a flag --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que configurou para a sessão. Para mais informações acerca desta funcionalidade, consulte Trajetos aprendidos.

   Por exemplo, para adicionar rotas aprendidas e definir uma prioridade para as rotas, execute o seguinte comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se quiser usar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma interface ao Cloud Router; substitua ROUTER_INTERFACE_NAME_1 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IP_1 \
    --mask-length 30 \
    --region=REGION
   

2. Adicione uma configuração de par BGP à interface; substitua PEER_NAME_1 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IP_1 \
    --region=REGION
   

   Se configurou rotas aprendidas no primeiro túnel, é recomendável especificar as mesmas rotas no segundo túnel. Por exemplo, pode configurar o segundo túnel para funcionar como uma cópia de segurança para as rotas. Neste caso, atribua às rotas uma prioridade menos preferencial (um número mais elevado). Se quiser usar ambos os túneis em conjunto como parte de um trajeto de vários caminhos de custo igual (ECMP), atribua aos trajetos a mesma prioridade que tinham no primeiro túnel. Em qualquer dos casos, use um comando como o seguinte:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=PRIORITY
   

   Opcional: para ativar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
   

Atribua endereços de próximo salto IPv6

Use os comandos nesta secção apenas se quiser túneis VPN que usem MP-BGP e troquem tráfego IPv4 e IPv6. Se não quiser encaminhar o tráfego IPv6 através deste túnel ou se planear adicionar uma única sessão BGP IPv6 a este túnel mais tarde, pode usar os comandos indicados em Atribua endereços BGP IPv4.

Automático

Se criar uma sessão BGP IPv4 que use MP-BGP, Google Cloud pode atribuir automaticamente endereços de próximo salto IPv6 para si. Google Cloud atribui endereços não usados do 2600:2d00:0:2::/63 intervalo de endereços IPv6.

Esta configuração não tem relação com a escolha da configuração automática ou manual para os endereços IPv4 do router na nuvem e do par BGP. Os seguintes comandos usam a configuração automática. No entanto, também pode atribuir endereços IPv4 BGP e IPv4 BGP de pares através das flags --ip-address e --peer-ip-address descritas em Atribua endereços IPv4 BGP.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface para o primeiro túnel; substitua PEER_NAME_0 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv6
   

   Ao especificar a flag --enable-ipv6, ativa a troca de rotas IPv6 nesta sessão BGP IPv4, que é necessária para atribuir endereços de salto seguinte IPv6. Pode desativar a troca de rotas IPv6 mais tarde. Para mais informações, consulte o artigo Configure o BGP multiprotocolo para sessões IPv4 ou IPv6.

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma segunda interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

2. Adicione uma configuração de par BGP à interface para o segundo túnel; substitua PEER_NAME_1 por um nome para a interface da VPN par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --enable-ipv6
   

Manual

Quando cria uma sessão BGP IPv4 que usa MP-BGP, pode configurar manualmente endereços de próximo salto IPv6 para o Cloud Router e o par BGP.

Esta configuração não tem relação com a escolha da configuração automática ou manual dos endereços IPv4 do Cloud Router e do par BGP. Para ver exemplos de como configurar esses endereços manualmente, consulte o artigo Atribua endereços BGP IPv4.

Para cada túnel VPN, decida um par de endereços de salto seguinte IPv6. Os endereços de próximo salto IPv6 que especificar têm de ser únicos entre todos os Cloud Routers em todas as regiões de uma rede VPC e selecionados nos intervalos de endereços IPv6 internos que foram pré-atribuídos pela Google: 2600:2d00:0:2::/63.

Para atribuir manualmente os endereços de próximo salto IPv6 do BGP, conclua os passos seguintes.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface para o primeiro túnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --enable-ipv6 \
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   Nos comandos, substitua o seguinte:

   • PEER_NAME_0 com um nome para a interface de VPN de pares
   • PEER_ASN com o ASN configurado para o gateway de VPN de intercâmbio
   • IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 anunciadas pelo Cloud Router; o endereço tem de estar no intervalo de endereços 2600:2d00:0:2::/63IPv6
   • PEER_IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router a partir do par BGP; o endereço tem de estar no intervalo de endereços 2600:2d00:0:2::/63IPv6

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

   Para o segundo túnel de VPN

3. Adicione uma segunda interface ao router na nuvem.

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

4. Adicione uma configuração de par BGP à segunda interface para o segundo túnel.

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv6 \
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   Nos comandos, substitua o seguinte:

   • PEER_NAME_1 com um nome para a interface de VPN de pares
   • PEER_ASN com o ASN configurado para o gateway de VPN de intercâmbio
   • IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 anunciadas pelo Cloud Router
   • PEER_IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router a partir do par BGP

API

Para criar sessões BGP, siga estes passos:

1. Para criar uma interface do Cloud Router, faça um dos seguintes pedidos:

   • PATCH: use o routers.patch método
   • UPDATE: use o routers.update método

   O pedido PATCH atualiza apenas os parâmetros que inclui, enquanto o pedido UPDATE atualiza todos os parâmetros de um Cloud Router.

   Cada intervalo de endereços BGP para cada sessão BGP IPv4 tem de ser único entre todos os Cloud Routers em todas as regiões de uma rede VPC.

   Repita este passo e comando para cada túnel VPN no segundo gateway de VPN de alta disponibilidade.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
         }
       ]
   }
   

2. Para adicionar uma configuração de par BGP à interface, faça um dos seguintes pedidos:

   • PATCH: use o routers.patch método
   • UPDATE: use o routers.update método

   Repita este comando para o outro túnel VPN, alterando todas as opções, exceto name e peerAsn.

   Por exemplo:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
       }
     ]
   }
   

   O exemplo seguinte inclui um comando para adicionar um par BGP com a troca de rotas IPv6 ativada e endereços de próximo salto IPv6 configurados manualmente. Se omitir ipv6NexthopAddress e peerIpv6NexthopAddress, os endereços de salto seguinte IPv6 são atribuídos automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "enableIpv6": true,
       "ipv6NexthopAddress: "2600:2d00:0:2::1"
       "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
       }
     ]
   }
   

   Se quiser especificar trajetos aprendidos para o par, defina os prefixos IP para os trajetos. Também pode definir, opcionalmente, um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que configurou para a sessão. Para mais informações sobre esta funcionalidade, consulte o artigo Trajetos aprendidos.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "enableIpv6": true,
       "ipv6NexthopAddress": "2600:2d00:0:2::1",
       "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
       "customLearnedRoutePriority": 200,
       "customLearnedIpRanges": [
           {
             "range": "1.2.3.4"
           },
           {
             "range": "6.7.0.0/16"
           },
           {
             "range": "2001:db8:abcd:12::/64"
           }
         ]
         }
       ]
     }
   

   Para configurar a sessão para a autenticação MD5, inclua uma chave de autenticação no seu pedido adicionando a chave e o nome da chave. Em seguida, quando criar a sessão de peering BGP, faça referência a esta chave pelo respetivo nome.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "md5AuthenticationKeys": [
       {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
       ],
   }
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ]
   }
   

Sessões de BGP IPv6

Consola

Para criar sessões BGP, siga estes passos:

1. Clique em Configurar sessão de BGP.

2. Na página Criar sessão de BGP, conclua os seguintes passos:

   1. Para Tipo de sessão de BGP, selecione Sessão de BGP IPv6.
   2. Em Nome, introduza um nome para a sessão BGP.
   3. Para ASN de intercâmbio, introduza o ASN de intercâmbio configurado para o gateway de VPN de intercâmbio.
   4. Opcional: para Prioridade da rota anunciada (MED), introduza a prioridade das rotas anunciadas a este par BGP.
   5. Opcional: para ativar a troca de rotas IPv4, clique no botão Ativar tráfego IPv4.

   6. Para Atribuir endereço IPv6 BGP, selecione Automaticamente ou Manualmente. Se selecionar Manualmente, faça o seguinte:

      1. Para o endereço IPv6 BGP do Cloud Router, introduza o endereço IPv6 BGP do Cloud Router.
      2. Para Endereço IPv6 do par BGP, introduza o endereço IPv6 do par BGP. O endereço IPv6 tem de cumprir os seguintes requisitos:
         • Cada endereço tem de ser um endereço local exclusivo (ULA) do intervalo de endereços fdff:1::/64 com um comprimento da máscara de /64. Por exemplo, fdff:1::1.
         • Cada endereço tem de ser único entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se selecionar Automaticamente, Google Cloud seleciona automaticamente os endereços IPv6 para a sua sessão BGP.

   7. Opcional: se ativou a troca de rotas IPv4 no passo anterior, para Allocate BGP IPv4 next hop, selecione Automatically ou Manually. Se selecionar Manualmente, faça o seguinte:

      1. No campo Próximo salto IPv4 do BGP do Cloud Router, introduza um endereço IPv4 no intervalo de endereços 169.254.0.0/16. Este endereço IP é o endereço do salto seguinte para rotas IPv4 anunciadas pelo Cloud Router.
      2. No campo Salto seguinte IPv4 BGP do par, introduza um endereço IP no intervalo de endereços 169.254.0.0/16. Este endereço IP é o endereço do próximo salto para as rotas IPv4 aprendidas pelo Cloud Router a partir do par BGP.
      3. Opcional: expanda a secção Opções avançadas.
      4. Para ativar o par BGP, selecione Ativado. Se estiver ativada, a ligação ponto a ponto é estabelecida com informações de encaminhamento. Para mais informações, consulte o artigo Estabeleça sessões BGP.
      5. Para adicionar a autenticação MD5, selecione Ativada. Se estiver ativada, pode usar a autenticação MD5 para autenticar sessões BGP entre o Cloud Router e os respetivos pares. Para mais informações, consulte o artigo Use a autenticação MD5. Em alternativa, pode optar por ativar a autenticação MD5 mais tarde.
      6. Para adicionar rotas de saída à sessão de BGP, para a Prioridade de todas as rotas aprendidas personalizadas, introduza uma prioridade de rota aprendida. Para mais informações, consulte o artigo Rotas aprendidas.

3. Clique em Guardar e continuar.

4. Repita os passos anteriores para os restantes túneis configurados no gateway. Para cada túnel, use um endereço IP BGP do Cloud Router e um endereço IP BGP do par diferentes.

5. Clique em Guardar configuração de BGP.

gcloud

Para criar sessões BGP, siga estes passos:

Nos comandos, substitua o seguinte:

• ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: um nome para a interface do Cloud Router. Pode ser útil usar nomes relacionados com os nomes dos túneis configurados anteriormente
• TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface do gateway de VPN de alta disponibilidade que configurou

• IP_VERSION: IPV6. Este parâmetro só é necessário se quiser atribuir o endereço IPv6 automaticamente a esta interface. Google Cloud Se estiver a atribuir manualmente um endereço IPv6 a esta interface, pode omitir esta flag.

• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que lhe permitem especificar manualmente rotas aprendidas para uma sessão BGP; para mais informações acerca desta funcionalidade, consulte Rotas aprendidas.

• AUTHENTICATION_KEY: a chave secreta a usar para a autenticação MD5. Para mais informações sobre esta funcionalidade opcional, consulte o artigo Usar a autenticação MD5.

Opcional: atribua um intervalo de identificadores BGP

Quando adiciona a primeira interface a um Cloud Router, é atribuído automaticamente um intervalo de identificadores BGP ao Cloud Router. Se preferir definir o seu próprio intervalo de identificadores BGP para um Cloud Router, pode criar o seu próprio intervalo. Também pode modificar este intervalo mais tarde. Para mais informações, consulte o artigo Configure o intervalo de identificadores BGP para um Cloud Router.

Atribua endereços BGP IPv6

Os procedimentos seguintes criam sessões BGP IPv6 com endereços IPv6 BGP e IPv6 de pares BGP configurados automaticamente ou manualmente.

Se quiser usar o BGP IPv6 com o MP-BGP, execute os comandos indicados em Atribua endereços de próximo salto IPv4.

Automático

Para permitir que o sistema Google Cloud escolha automaticamente os endereços IPv6 para a sessão BGP, conclua os passos seguintes.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface para o primeiro túnel; substitua PEER_NAME_0 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION
   

   Se quiser especificar rotas aprendidas para o par, adicione a flag --set-custom-learned-route-ranges. Opcionalmente, também pode usar a flag --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que configurou para a sessão. Para mais informações acerca desta funcionalidade, consulte Trajetos aprendidos.

   Por exemplo, para adicionar rotas aprendidas e definir uma prioridade para as rotas, execute o seguinte comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Opcional: se quiser ativar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma segunda interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

2. Adicione uma configuração de par BGP à interface para o segundo túnel; substitua PEER_NAME_1 por um nome para a interface da VPN par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION
   

   Se configurou rotas aprendidas no primeiro túnel, é recomendável configurar as mesmas rotas no segundo túnel. Por exemplo, pode configurar o segundo túnel para funcionar como uma cópia de segurança para as rotas. Neste caso, atribua às rotas uma prioridade menos preferencial (um número mais elevado). Se quiser usar ambos os túneis em conjunto como parte de um trajeto de vários caminhos de custo igual (ECMP), atribua aos trajetos a mesma prioridade que tinham no primeiro túnel. Em qualquer dos casos, use um comando como o seguinte:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_PREFIXES \
    --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Opcional: se quiser ativar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Manual

Para atribuir manualmente endereços IPv6 à sessão de BGP associada à interface do Cloud Router e ao par de BGP, conclua os seguintes passos.

Para cada túnel VPN, decida um par de endereços IPv6 adequados para a sessão BGP com base no tipo de sessão BGP que está a configurar.

Cada endereço IPv6 tem de ser um endereço local exclusivo (ULA) do fdff:1::/64 intervalo de endereços IPv6 com um comprimento da máscara de /126 ou inferior. Por exemplo, fdff:1::1.

Cada endereço IPv6 tem de ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua um destes endereços IPv6 ao Cloud Router e o outro endereço IPv6 ao seu gateway de VPN de pares. Configure o seu dispositivo VPN de pares para usar o endereço IPv6 de pares da sessão BGP.

Nos seguintes comandos, substitua o seguinte:

• GOOGLE_BGP_IPV6_0: o endereço IPv6 da interface do router na nuvem para o túnel no gateway de VPN na nuvem interface 0; PEER_BGP_IPV6_0 representa o endereço IPv6 do respetivo par BGP e tem de corresponder à versão IP de GOOGLE_BGP_IPV6_0
• GOOGLE_BGP_IPV6_1: o endereço IPv6 da interface do router na nuvem para o túnel no gateway de VPN na nuvem interface 1; PEER_BGP_IPV6_1 representa o endereço IPv6 do respetivo par BGP e tem de corresponder à versão IP de GOOGLE_BGP_IPV6_1

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router; substitua ROUTER_INTERFACE_NAME_0 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_0 \
    --vpn-tunnel=TUNNEL_NAME_0 \
    --ip-address=GOOGLE_BGP_IPV6_0 \
    --mask-length=MASK_LENGTH  \
    --region=REGION \
   

   Substitua MASK_LENGTH por um valor de 126 ou inferior.

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface; substitua PEER_NAME_0with a name for the peer, and replacePEER_ASN` pelo ASN configurado para o gateway de VPN de pares:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IPV6_0 \
    --region=REGION
   

   Se quiser especificar rotas aprendidas para o par, adicione a flag --set-custom-learned-route-ranges. Também pode usar opcionalmente a flag --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que configurou para a sessão. Para mais informações acerca desta funcionalidade, consulte Trajetos aprendidos.

   Por exemplo, para adicionar rotas aprendidas e definir uma prioridade para as rotas, execute o seguinte comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IPV6_PREFIXES \
    --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Opcional: se quiser ativar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IPV6_0 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma segunda interface ao Cloud Router; substitua ROUTER_INTERFACE_NAME_1 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV6_1 \
    --mask-length=MASK_LENGTH \
    --region=REGION \
   

   Substitua MASK_LENGTH por um valor de 64 ou inferior.

2. Adicione uma configuração de par BGP à interface; substitua PEER_NAME_1 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IPV6_1 \
    --region=REGION
   

   Se configurou rotas aprendidas no primeiro túnel, é recomendável especificar as mesmas rotas no segundo túnel. Por exemplo, pode configurar o segundo túnel para funcionar como uma cópia de segurança para as rotas. Neste caso, atribua às rotas uma prioridade menos preferencial (um número mais elevado). Se quiser usar ambos os túneis em conjunto como parte de um trajeto de vários caminhos de custo igual (ECMP), atribua aos trajetos a mesma prioridade que tinham no primeiro túnel. Em qualquer dos casos, use um comando como o seguinte:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --set-custom-learned-route-ranges=IPV6_PREFIXES \
    --custom-learned-route-priority=PRIORITY
   

   Opcional: se quiser ativar a autenticação MD5, use a flag --md5-authentication-key para fornecer a sua chave secreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IPV6_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Atribua endereços de próximo salto IPv4

Use os comandos nesta secção apenas se quiser túneis VPN que usem MP-BGP. Com o MP-BGP, pode trocar rotas IPv4 através de sessões BGP IPv6.

Se não planeia usar o MP-BGP na sessão BGP para o túnel, use os comandos indicados em Atribua endereços BGP IPv6.

Pode optar por configurar automaticamente ou manualmente os endereços IPv4 ou IPv6 do próximo salto do par BGP.

Automático

Se criar uma sessão BGP IPv6 que use MP-BGP, oGoogle Cloud pode atribuir automaticamente endereços de próximo salto IPv4. OGoogle Cloud atribui endereços não usados do intervalo de endereços 169.254.0.0/16.

Esta configuração não está relacionada com a escolha da configuração automática ou manual para os endereços IPv6 do Cloud Router e do par BGP. Os seguintes comandos usam a configuração automática. No entanto, também pode atribuir os endereços IPv6 às interfaces do Cloud Router e aos pares BGP através das flags --ip-address e --peer-ip-address descritas no artigo Atribua endereços IP BGP IPv6.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --region=REGION \
     --ip-version=IPV6
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface para o primeiro túnel; substitua PEER_NAME_0 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv4
   

   O resultado do comando tem um aspeto semelhante ao do exemplo seguinte:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Para o segundo túnel de VPN

1. Adicione uma segunda interface ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

2. Adicione uma configuração de par BGP à segunda interface para o segundo túnel; substitua PEER_NAME_1 por um nome para a interface de VPN par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv4
   

Manual

Quando cria sessões BGP IPv6 que usam MP-BGP, pode configurar manualmente endereços de próximo salto IPv4 para o Cloud Router e o par BGP.

Esta configuração não está relacionada com a escolha da configuração automática ou manual do Cloud Router e dos endereços IPv6 para sessões BGP. Para ver exemplos de como configurar esses endereços manualmente, consulte o artigo Atribua endereços BGP IPv6.

Para cada túnel de VPN, selecione um par de endereços de próximo salto IPv4 do intervalo de endereços IPv4 locais do link 169.254.0.0/16. Estes endereços IPv4 têm de ser exclusivos em todos os Cloud Routers na sua rede VPC.

Para atribuir manualmente os endereços de próximo salto IPv4 do BGP, conclua os passos seguintes.

Para o primeiro túnel de VPN

1. Adicione uma interface ao Cloud Router.

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --region=REGION \
     --ip-version=IPV6
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma configuração de par BGP à interface para o primeiro túnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   Nos comandos, substitua o seguinte:

   • PEER_NAME_0 com um nome para a interface de VPN de pares
   • PEER_ASN com o ASN configurado para o gateway de VPN de intercâmbio
   • IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router; o endereço tem de estar no intervalo de endereços IPv4 169.254.0.0/16
   • PEER_IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router a partir do par BGP; o endereço tem de estar no intervalo de endereços IPv4 169.254.0.0/16

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

   Para o segundo túnel de VPN

3. Adicione uma segunda interface ao router na nuvem.

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

4. Adicione uma configuração de par BGP à interface para o segundo túnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   Nos seguintes comandos, substitua o seguinte:

   • PEER_NAME_1 com um nome para a interface de VPN de pares
   • PEER_ASN com o ASN configurado para o gateway de VPN de intercâmbio
   • IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router; o endereço tem de estar no intervalo de endereços IPv4 169.254.0.0/16
   • PEER_IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router a partir do par BGP; o endereço tem de estar no intervalo de endereços IPv4169.254.0.0/16

API

Para criar sessões BGP, siga estes passos:

1. Para criar uma interface do Cloud Router e atribuir-lhe um endereço IPv6, faça um pedido PATCH ou UPDATE através do método routers.patch ou do método routers.update. PATCH atualiza apenas os parâmetros que inclui. UPDATE atualiza todos os parâmetros do Cloud Router.

   O exemplo seguinte cria uma interface com um endereço IPv6 configurado manualmente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::/112"
         }
       ]
   }
   

   Cada intervalo de endereços BGP para cada sessão BGP IPv6 tem de ser único entre todos os Cloud Routers em todas as regiões de uma rede VPC.

   Como outro exemplo, o comando seguinte cria uma interface com um endereço IPv6 atribuído automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
         }
       ]
   }
   

   Repita este passo para cada túnel de VPN no gateway de VPN de HA.

2. Adicione uma configuração de par BGP a um Cloud Router para um túnel de VPN, faça um pedido PATCH ou UPDATE através do método routers.patch ou do método routers.update. Repita este comando para o outro túnel VPN, alterando todas as opções, exceto name e peerAsn.

   Por exemplo:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT"
       }
     ]
   }
   

   O exemplo seguinte inclui um comando para adicionar um par BGP para a interface BGP IPv6 com a troca de rotas IPv4 ativada e os endereços de próximo salto IPv4 configurados manualmente. Se omitir ipv4NexthopAddress e peerIpv4NexthopAddress, os endereços de próximo salto IPv4 são atribuídos automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "enableIpv4": true,
       "ipv4NexthopAddress: "169.254.0.1",
       "peerIpv4NexthopAddress: "169.254.0.2"
       }
     ]
   }
   

   Se quiser especificar trajetos aprendidos para o par, defina os prefixos IP para os trajetos. Também pode definir, opcionalmente, um valor de prioridade entre 0 e 65535 (inclusive) para as rotas. Cada sessão BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que configurou para a sessão. Para mais informações, consulte Trajetos aprendidos.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "enableIpv4": true,
       "ipv4NexthopAddress: "169.254.0.1",
       "peerIpv4NexthopAddress: "169.254.0.2"
       "customLearnedRoutePriority": 200,
       "customLearnedIpRanges": [
           {
             "range": "1.2.3.4"
           },
           {
             "range": "6.7.0.0/16"
           },
           {
             "range": "2001:db8:abcd:12::/64"
           }
         ]
         }
       ]
   }
   

   Se quiser configurar a sessão para usar a autenticação MD5, o seu pedido tem de incluir uma chave de autenticação, o que significa que tem de fornecer a chave e um nome para a chave. Também tem de fazer referência à chave pelo nome quando criar a sessão de peering BGP. Por exemplo:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "md5AuthenticationKeys": [
       {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
       ],
   }
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ]
   }
   

Sessões de BGP IPv4 e IPv6

Use os passos seguintes para criar uma sessão BGP IPv4 e uma sessão BGP IPv6 que são executadas em paralelo no mesmo túnel de VPN de alta disponibilidade.

Para criar esta configuração, adicione duas interfaces BGP e dois pares BGP ao seu Cloud Router, associando-os ao mesmo túnel VPN. Não pode usar o MP-BGP em nenhuma das sessões BGP.

Consola

Para criar sessões BGP IPv4 e IPv6, siga estes passos:

1. Clique em Configurar sessão de BGP.

2. Na página Criar sessão de BGP, conclua os seguintes passos:

   1. Para Tipo de sessão BGP, selecione Ambos.

   Sessão BGP IPv4

   1. Em Nome, introduza um nome para a sessão BGP.
   2. Para ASN de intercâmbio, introduza o ASN de intercâmbio configurado para o gateway de VPN de intercâmbio.
   3. Para Atribuir endereço IPv4 BGP, selecione Automaticamente ou Manualmente. Se selecionar Manualmente, faça o seguinte:
   4. Para o endereço IPv4 do BGP do Cloud Router, introduza o endereço IPv4 do BGP do Cloud Router.

   5. Para Endereço IPv4 do par BGP, introduza o endereço IPv4 do par BGP. O endereço IPv4 tem de cumprir os seguintes requisitos:

      • Cada endereço IPv4 tem de pertencer à mesma sub-rede /30 que se enquadra no intervalo de endereços 169.254.0.0/16.
      • Cada endereço IPv4 é o primeiro ou o segundo anfitrião da sub-rede /30. O primeiro e o último endereço IP da sub-rede estão reservados para endereços de rede e de transmissão.
      • Cada intervalo de endereços IPv4 para uma sessão BGP tem de ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se selecionar Automaticamente, Google Cloud seleciona automaticamente os endereços IPv4 para a sua sessão BGP.

      Se selecionar a atribuição automática de endereços IPv6, Google Cloud seleciona automaticamente os endereços IPv6 para a sua sessão BGP.

   6. Opcional: expanda a secção Opções avançadas.

   7. Para ativar o par BGP, selecione Ativado. Se estiver ativada, a ligação ponto a ponto é estabelecida com informações de encaminhamento. Para mais informações, consulte o artigo Estabeleça sessões BGP.

   8. Para adicionar a autenticação MD5, selecione Ativada. Se estiver ativada, pode usar a autenticação MD5 para autenticar sessões BGP entre o Cloud Router e os respetivos pares. Para mais informações, consulte o artigo Use a autenticação MD5. Em alternativa, pode optar por ativar a autenticação MD5 mais tarde.

   9. Para adicionar rotas de saída à sessão de BGP, para a Prioridade de todas as rotas aprendidas personalizadas, introduza uma prioridade de rota aprendida. Para mais informações, consulte o artigo Rotas aprendidas.

   10. Clique em Guardar e continuar.

   Sessão BGP IPv6

   1. Em Nome, introduza um nome para a sessão BGP.
   2. Para ASN de intercâmbio, introduza o ASN de intercâmbio configurado para o gateway de VPN de intercâmbio.
   3. Opcional: para Prioridade da rota anunciada (MED), introduza a prioridade das rotas anunciadas a este par BGP.
   4. Para Atribuir endereço IPv6 BGP, selecione Automaticamente ou Manualmente. Se selecionar Manualmente, faça o seguinte:
   5. Para o endereço IPv6 BGP do Cloud Router, introduza o endereço IPv6 BGP do Cloud Router.

   6. Para Endereço IPv6 do ponto de troca BGP, introduza o endereço IPv6 do ponto de troca BGP. O endereço IPv4 tem de cumprir os seguintes requisitos:

      • Cada endereço tem de ser um endereço local exclusivo (ULA) do intervalo de endereços fdff:1::/64 com um comprimento da máscara de /64. Por exemplo, fdff:1::1.
      • Cada endereço tem de ser único entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se selecionar Automaticamente, Google Cloud seleciona automaticamente os endereços IPv6 para a sua sessão BGP.

   7. Opcional: expanda a secção Opções avançadas.

   8. Para ativar o par BGP, selecione Ativado. Se estiver ativada, a ligação ponto a ponto é estabelecida com informações de encaminhamento. Para mais informações, consulte o artigo Estabeleça sessões BGP.

   9. Para ativar a autenticação MD5, selecione Ativada. Se estiver ativada, a autenticação MD5 é usada para autenticar sessões BGP entre o Cloud Router e os respetivos pares. Para mais informações, consulte o artigo Use a autenticação MD5. Em alternativa, pode optar por ativar a autenticação MD5 mais tarde.

   10. Para adicionar rotas de saída à sessão de BGP, para a prioridade de todas as rotas aprendidas personalizadas, introduza uma prioridade de rota aprendida. Para mais informações, consulte o artigo Rotas aprendidas.

   11. Clique em Guardar e continuar.

3. Repita os passos anteriores para os restantes túneis configurados no gateway. Para cada túnel, use um endereço IP BGP do Cloud Router e um endereço IP BGP do par diferentes.

4. Clique em Guardar configuração de BGP.

gcloud

Para criar sessões BGP, siga estes passos:

Nos comandos, substitua o seguinte:

• ROUTER_INTERFACE_NAME_0_ipv4e ROUTER_INTERFACE_NAME_0_ipv6: nomes para o primeiro par de interfaces BGP do Cloud Router que partilham o mesmo túnel. Pode ser útil usar nomes relacionados com os nomes dos túneis configurados anteriormente
• ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: nomes para o segundo conjunto de interfaces BGP do Cloud Router
• TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface do gateway de VPN de alta disponibilidade que configurou
• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que lhe permitem especificar manualmente rotas aprendidas para uma sessão BGP; para mais informações acerca desta funcionalidade, consulte Rotas aprendidas.

• AUTHENTICATION_KEY: a chave secreta a usar para a autenticação MD5. Para mais informações sobre esta funcionalidade opcional, consulte o artigo Usar a autenticação MD5.

  Além disso, pode optar por configurar automaticamente ou manualmente os endereços IPv4 e IPv6 para as interfaces do Cloud Router e os pares BGP.

  Opcional: atribua um intervalo de identificadores BGP

  Quando adiciona a primeira interface com um endereço IPv6 a um Cloud Router, é automaticamente atribuído um intervalo de identificadores BGP ao Cloud Router. Se preferir definir o seu próprio intervalo de identificadores BGP para um Cloud Router, pode criar o seu próprio intervalo. Também pode modificar este intervalo mais tarde. Para mais informações, consulte o artigo Configure o intervalo de identificadores BGP para um Cloud Router.

Automático

Para permitir que o sistema Google Cloud escolha automaticamente os endereços BGP, conclua os passos seguintes.

Para o primeiro túnel de VPN

1. Adicione uma interface com um endereço IPv4 ao Cloud Router.

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
      --ip-version=IPV4
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma segunda interface com um endereço IPv6 ao mesmo túnel. Execute o seguinte comando:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

3. Adicione uma configuração de par BGP à primeira interface com o endereço IPv4 do primeiro túnel; substitua PEER_NAME_0_ipv4 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv4 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
      --region=REGION
   

4. Adicione uma configuração de par BGP à segunda interface com o endereço IPv6 para o primeiro túnel; substitua PEER_NAME_0_ipv6 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
      --region=REGION
   

   Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente consoante a topologia da sua rede no local.

Para o segundo túnel de VPN

1. Adicione uma interface com um endereço IPv4 ao Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
    --ip-version=IPV4
   

2. Adicione uma interface com um endereço IPv6 ao mesmo túnel. Execute o seguinte comando:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION \
    --ip-version=IPV6
   

3. Adicione uma configuração de par BGP à primeira interface com o endereço IPv4 do segundo túnel; substitua PEER_NAME_1_ipv4 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
    --region=REGION
   

4. Adicione uma configuração de par BGP à segunda interface com o endereço IPv6 para o segundo túnel; substitua PEER_NAME_1_ipv6 por um nome para a interface VPN de pares e substitua PEER_ASN pelo ASN configurado para o gateway VPN de pares:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
      --region=REGION
   

   Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente consoante a topologia da sua rede no local.

Manual

Para atribuir manualmente os endereços IPv4 e IPv6 associados às interfaces do Cloud Router e aos pares BGP, conclua os seguintes passos.

Para cada túnel VPN, decida um par de endereços BGP adequados com base no tipo de sessão BGP que está a configurar. Tem de selecionar um total de quatro endereços IP para cada tipo de sessão.

• Para as suas sessões BGP IPv4, os quatro endereços IPv4 têm de ser endereços IPv4 locais de ligação num bloco /30 do intervalo 169.254.0.0/16. Por exemplo, 169.254.0.1/30.
• Para as suas sessões BGP IPv6, os quatro endereços IPv6 têm de ser endereços locais únicos (ULA) do intervalo fdff:1::/64 com um comprimento de /126 ou menos. Por exemplo, fdff:1:1:1::/112.

Os endereços BGP que especificar têm de ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua os endereços IPv6 BGP ao Cloud Router. Configure o seu dispositivo VPN de pares para usar os endereços IPv6 de pares BGP.

Nos seguintes comandos, substitua o seguinte:

• GOOGLE_BGP_IPV4_0: o endereço IPv4 da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 0; PEER_BGP_IPV4_0 representa o endereço IPv4 do respetivo par BGP, que corresponde a GOOGLE_BGP_IPV4_0
• GOOGLE_BGP_IPV6_0: o endereço IPv6 da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 0; PEER_BGP_IPV6_0 representa o endereço IPv6 do respetivo par BGP, que corresponde a GOOGLE_BGP_IPV6_0
• GOOGLE_BGP_IPV4_1: o endereço IPv4 da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 1; PEER_BGP_IPV4_1 representa o endereço IPv4 do respetivo par BGP, que corresponde a GOOGLE_BGP_IPV4_1
• GOOGLE_BGP_IPV6_1: o endereço IPv6 da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 1; PEER_BGP_IPV6_1 representa o endereço IPv6 do respetivo par BGP, que corresponde a GOOGLE_BGP_IPV6_1

Para o primeiro túnel de VPN

1. Adicione uma interface com um endereço IPv4 ao router na nuvem; substitua ROUTER_INTERFACE_NAME_0_ipv4 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV4_0 \
     --mask-length 30 \
     --region=REGION
   

   O resultado do comando tem um aspeto semelhante ao seguinte exemplo:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Adicione uma interface com um endereço IPv6 ao mesmo túnel; substitua ROUTER_INTERFACE_NAME_0_ipv6 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV6_0 \
     --mask-length=MASK_LENGTH  \
     --region=REGION \
   

   Substitua MASK_LENGTH por um valor de 64 ou inferior.

3. Adicione uma configuração de par BGP à primeira interface para o primeiro túnel; substitua PEER_NAME_0_ipv4 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
    --peer-ip-address=PEER_BGP_IPV4_0 \
    --region=REGION
   

4. Adicione uma configuração de par BGP à segunda interface para o primeiro túnel; substitua PEER_NAME_0_ipv6 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
      --peer-ip-address=PEER_BGP_IPV6_0 \
      --region=REGION
   

   Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente consoante a topologia da sua rede no local.

Para o segundo túnel de VPN

1. Adicione uma interface com um endereço IPv4 ao router na nuvem; substitua ROUTER_INTERFACE_NAME_1_ipv4 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV4_1 \
    --mask-length MASK_LENGTH \
    --region=REGION
   

2. Adicione uma interface com um endereço IPv6 ao mesmo túnel; substitua ROUTER_INTERFACE_NAME_1_ipv6 por um nome para a interface:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV6_1 \
    --mask-length=MASK_LENGTH \
    --region=REGION \
   

   Substitua MASK_LENGTH por um valor de 64 ou inferior.

3. Adicione uma configuração de par BGP à primeira interface para o segundo túnel; substitua PEER_NAME_1_ipv4 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
    --peer-ip-address=PEER_BGP_IPV4_1 \
    --region=REGION
   

4. Adicione uma configuração de par BGP à segunda interface para o segundo túnel; substitua PEER_NAME_1_ipv6 por um nome para a interface VPN do par e substitua PEER_ASN pelo ASN configurado para o gateway VPN do par:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
      --peer-ip-address=PEER_BGP_IPV6_1 \
      --region=REGION
   

   Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente consoante a topologia da sua rede no local.

API

Para criar sessões BGP, siga estes passos:

1. Para criar duas interfaces do Cloud Router, faça um pedido PATCH ou UPDATE através do método routers.patch ou do método routers.update. PATCH atualiza apenas os parâmetros que inclui. UPDATE atualiza todos os parâmetros do Cloud Router.

   Crie duas interfaces do Cloud Router para o primeiro túnel de VPN no gateway de VPN de alta disponibilidade. Cria uma interface com um endereço IPv4 e uma interface com um endereço IPv6. Pode configurar ambas as interfaces e os respetivos pares BGP no mesmo pedido PATCH ou UPDATE. As interfaces estão associadas ao mesmo linkedVpnTunneltúnel, e os pares BGP são, em seguida, associados às interfaces.

   Os intervalos de endereços BGP para cada interface têm de ser únicos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

   Repita este passo e comando para cada túnel VPN no gateway de VPN de HA.

   O exemplo seguinte adiciona uma interface com um endereço IPv4 e uma interface com um endereço IPv6 ao mesmo linkedVpnTunnel. O comando de exemplo especifica manualmente os endereços BGP IPv4 e IPv6:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
         },
         {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::/126"
         }
   
       ]
   }
   

   O exemplo seguinte adiciona uma interface BGP IPv4 e uma interface BGP IPv6 ao mesmo linkedVpnTunnel com endereços BGP IPv4 e IPv6 atribuídos automaticamente:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV4"
         },
         {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
         }
   
       ]
   }
   

   1. Para adicionar os pares BGP ao Cloud Router para cada túnel VPN, faça um pedido PATCH ou UPDATE através do método routers.patch ou do método routers.update. Repita este comando para os outros túneis VPN, alterando todas as opções conforme necessário.

      Por exemplo:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
      {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        },
        {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
        "ipAddress": fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
      }
      

Valide a configuração

Consola

Para validar a configuração, aceda à página Resumo e lembrete:

1. A secção Resumo desta página apresenta informações para o gateway de VPN de HA e o perfil do gateway de VPN de intercâmbio. Para cada túnel de VPN, pode ver o estado do túnel de VPN, o nome da sessão de BGP, o estado da sessão de BGP e o valor MED (prioridade da rota anunciada).
2. A secção Lembrete desta página apresenta os passos que tem de concluir para ter uma ligação VPN totalmente operacional entre a VPN na nuvem e a sua VPN de pares.
3. Se quiser transferir um modelo de configuração para o seu dispositivo VPN de par, clique em Transferir configuração. Para ver instruções sobre como selecionar o modelo e uma lista de fornecedores suportados, consulte o artigo Transfira um modelo de configuração de VPN ponto a ponto. Também pode transferir o modelo de configuração mais tarde acedendo à página Gateways de VPNs de pares.
4. Depois de rever as informações nesta página, clique em OK.

gcloud

Para validar a configuração do Cloud Router, siga estes passos:

• Apresente os endereços IP da sessão BGP escolhidos pelo Cloud Router. Se adicionou uma nova interface a um Cloud Router existente, os endereços IPv4 ou IPv6 do BGP para a nova interface podem ser apresentados com o número de índice mais elevado. Use o endereço IPv4 ou IPv6 BGP peerIpAddress para configurar o gateway de VPN de pares:

   gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  O resultado esperado para um Cloud Router que gere dois túneis da Cloud VPN (índice 0 e índice 1) é semelhante ao seguinte exemplo, em que o seguinte é verdadeiro:

  • GOOGLE_BGP_IP_0 representa o endereço IP BGP da interface do Cloud Router para o túnel no gateway Cloud VPN interface 0; PEER_BGP_IP_0 representa o endereço IP BGP do respetivo par.
  • GOOGLE_BGP_IP_1 representa o endereço IP BGP da interface do Cloud Router para o túnel no gateway de VPN do Google Cloud interface 1; PEER_BGP_IP_1 representa o endereço IP BGP do respetivo par.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• Também pode usar o seguinte comando para obter uma lista completa da configuração do Cloud Router:

   gcloud compute routers describe ROUTER_NAME \
       --region=REGION
  

  A ficha completa tem o seguinte aspeto:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Para validar a configuração do Cloud Router, faça um pedido GET através do método routers.getRouterStatus e use um corpo do pedido vazio:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crie um túnel adicional num gateway de túnel único

Consola

Para receber um SLA de tempo de atividade de 99,99%, configure um túnel em cada interface de VPN de alta disponibilidade de um gateway de VPN de alta disponibilidade.

Configure um segundo túnel nas seguintes circunstâncias:

• Se configurou um gateway de VPN de HA para um gateway de VPN par que tem uma única interface de VPN par.
• Se configurou anteriormente um único túnel num gateway de VPN de alta disponibilidade para um gateway de VPN de pares que contém qualquer número de interfaces, mas agora quer um SLA de tempo de atividade de 99,99% para o seu gateway de VPN de alta disponibilidade.

Para configurar um segundo túnel, siga os passos em Adicione um túnel de um gateway de VPN de HA a um gateway de VPN de pares.

Defina a prioridade do trajeto anunciado base (opcional)

As sessões BGP que criar permitem que cada Cloud Router anuncie rotas para redes de pares. Os anúncios usam prioridades base não modificadas.

Use a configuração documentada no artigo Criar um gateway de VPN de HA e um par de túneis para uma VPN de pares para configurações de encaminhamento ativo-ativo em que as prioridades de rotas anunciadas dos dois túneis de VPN do lado Google Cloud e do lado do par correspondem. Para configurar as mesmas prioridades de rotas anunciadas de Google Cloud para ambos os pares BGP, omita a prioridade de rotas anunciadas no lado Google Cloud.

Para criar uma configuração ativo-passiva, configure prioridades de rotas anunciadas desiguais para os dois túneis de VPN de alta disponibilidade. A prioridade de uma rota anunciada tem de ser superior à da outra. Por exemplo:

• BGP session1/tunnel1, prioridade do trajeto = 10
• BGP session2/tunnel2, route priority = 20

Para mais informações sobre a prioridade da rota anunciada base, consulte o artigo Prefixos e prioridades anunciados.

Também pode especificar as rotas anunciadas através de anúncios personalizados:

• Adicione a flag --advertisement-mode=CUSTOM (gcloud) ou a flag advertiseMode: custom (API).
• Especifique intervalos de endereços IP com a flag --set-advertisement-ranges (gcloud) ou a flag advertisedIpRanges (API).

Conclua a configuração

Antes de poder usar um novo gateway de VPN do Google Cloud e os respetivos túneis de VPN associados, conclua os seguintes passos:

1. Configure o gateway de VPN de intercâmbio e configure o túnel ou os túneis correspondentes. Para ver instruções, consulte o seguinte:
   • Para orientações de configuração específicas para determinados dispositivos VPN ponto a ponto, consulte o artigo Use VPNs de terceiros.
   • Para topologias de pares suportadas, consulte as topologias da Cloud VPN.
   • Para parâmetros de configuração gerais, consulte o artigo Configure o gateway de VPN paritário.
2. Configure regras de firewall no Google Cloud e na sua rede de pares, conforme necessário.
3. Verifique o estado dos seus túneis de VPN. Este passo inclui a verificação da configuração de alta disponibilidade do gateway de VPN de alta disponibilidade.

O que se segue?

• Para controlar que endereços IP são permitidos para gateways de VPNs de pares, consulte o artigo Restrinja os endereços IP para gateways de VPNs de pares.
• Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
• Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.