Questa pagina descrive come creare un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer.
I gateway VPN ad alta disponibilità utilizzano l'API VPN ad alta disponibilità e forniscono uno SLA del 99,99%. Questa configurazione utilizza una coppia di tunnel, con un tunnel su ogni interfaccia gateway VPN ad alta disponibilità. Per ricevere uno SLA del 99,99%, devi configurare i tunnel VPN su entrambe le interfacce del gateway VPN ad alta disponibilità.
Devi configurare due componenti gateway per la VPN ad alta disponibilità:
- Un gateway VPN ad alta disponibilità in Google Cloud.
Gateway o gateway VPN peer: uno o più gateway VPN fisici o applicazioni software nella rete peer a cui si connette il gateway VPN ad alta disponibilità. Il gateway peer può essere un gateway VPN on-premise o ospitato da un altro cloud provider.
Crea una risorsa gateway VPN esterno in Google Cloud per ogni dispositivo o servizio gateway peer. Tutti gli scenari di gateway peer sono rappresentati in Google Cloud da un'unica risorsa VPN peer esterna.
Per maggiori informazioni su Cloud VPN, consulta le seguenti risorse:
Per i diagrammi di questa topologia, consulta Gateway VPN peer ad alta disponibilità.
Per le best practice da prendere in considerazione prima di configurare Cloud VPN, consulta le best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica su Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.
Se vuoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect.
Requisiti
Tipi di ridondanza
L'API VPN ad alta disponibilità contiene un'opzione per REDUNDANCY_TYPE
, che rappresenta il numero di interfacce configurate per la risorsa gateway VPN esterno.
Quando configuri una risorsa gateway VPN esterno, i comandi gcloud
deduceno automaticamente i seguenti valori di REDUNDANCY_TYPE
dal numero di interfacce fornite nell'ID interfaccia:
- Un'interfaccia VPN esterna è
SINGLE_IP_INTERNALLY_REDUNDANT
. - Due interfacce VPN esterne sono
TWO_IPS_REDUNDANCY
. FOUR_IPS_REDUNDANCY
interfacce VPN esterne.
Quando configuri gateway VPN esterni, utilizza i seguenti numeri di identificazione dell'interfaccia per il numero indicato di interfacce VPN esterne:
- Per un'interfaccia VPN esterna, utilizza il valore
0
. - Per due interfacce VPN esterne, utilizza i valori
0
e1
. - Per quattro interfacce VPN esterne, utilizza i valori
0
,1
,2
e3
.
Creazione di router Cloud
Quando configuri un nuovo gateway VPN ad alta disponibilità, puoi creare un nuovo router Cloud oppure puoi utilizzare un router Cloud esistente con tunnel Cloud VPN o collegamenti VLAN esistenti. Tuttavia, il router Cloud che utilizzi non deve gestire già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect a causa dei requisiti ASN specifici del collegamento.
Prima di iniziare
Esamina le informazioni sul funzionamento del routing dinamico in Google Cloud.
Assicurati che il tuo gateway VPN peer supporti il protocollo BGP (Border Gateway Protocol).
Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Se utilizzi Google Cloud CLI, imposta l'ID progetto con il comando seguente. Le istruzioni
gcloud
in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di inviare comandi.gcloud config set project PROJECT_ID
-
Puoi anche visualizzare un ID progetto che è già stato impostato eseguendo questo comando:
gcloud config list --format='text(core.project)'
Crea una rete VPC e una subnet personalizzate
Prima di creare un gateway VPN ad alta disponibilità e una coppia di tunnel, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella regione in cui si trova il gateway VPN ad alta disponibilità:
- Per creare una rete VPC in modalità personalizzata (consigliato), consulta Creazione di una rete VPC in modalità personalizzata.
- Per creare le subnet, vedi Utilizzo delle subnet.
Per abilitare IPv6 per i gateway VPN ad alta disponibilità, devi abilitare l'allocazione degli indirizzi interni IPv6 quando crei il VPC. Inoltre, devi configurare le subnet in modo che utilizzino gli indirizzi interni IPv6.
Devi anche configurare IPv6 sulle VM nella subnet.
- Per creare una rete VPC in modalità personalizzata con indirizzi IPv6 interni, consulta Creare una rete VPC in modalità personalizzata con almeno una subnet a doppio stack.
- Per creare una subnet con IPv6 abilitato, consulta Aggiungere una subnet a doppio stack.
- Per abilitare IPv6 in una subnet esistente, consulta l'articolo Convertire una subnet IPv4 in una subnet a doppio stack.
- Per creare VM con IPv6 abilitato, consulta Configurazione di IPv6 per istanze e modelli di istanza.
La subnet VPC deve essere configurata in modo da utilizzare indirizzi IPv6 interni. Quando utilizzi gcloud CLI, configuri la subnet con il flag --ipv6-access-type=INTERNAL
.
Il router Cloud non annuncia dinamicamente route per subnet configurate per l'utilizzo di indirizzi IPv6 esterni (--ipv6-access-type=EXTERNAL
).
Per informazioni sull'utilizzo degli intervalli IPv6 interni nella rete VPC e nelle subnet, consulta le specifiche IPv6 interne.
Gli esempi in questo documento utilizzano anche la modalità di routing dinamico globale VPC, che si comporta nel seguente modo:
- Tutte le istanze del router Cloud applicano le route
to on-premises
che apprendono a tutte le subnet della rete VPC. - Le route a tutte le subnet nella rete VPC sono condivise con i router on-premise.
Crea una coppia di gateway VPN ad alta disponibilità e tunnel a una VPN peer
Segui le istruzioni in questa sezione per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, una coppia di tunnel e sessioni BGP.
Crea un gateway VPN ad alta disponibilità
Console
La configurazione guidata della VPN include tutti i passaggi di configurazione necessari per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, tunnel e sessioni BGP.
Per creare un gateway VPN ad alta disponibilità:
Nella console Google Cloud, vai alla pagina VPN.
Se è la prima volta che crei un gateway, fai clic su Crea connessione VPN.
Seleziona la configurazione guidata della VPN.
Se disponi già di un gateway VPN ad alta disponibilità, seleziona il pulsante di opzione per quel gateway.
Fai clic su Continua.
Specifica un nome gateway VPN.
In Rete VPC, seleziona una rete esistente o la rete predefinita.
Seleziona una Regione.
Seleziona un tipo di stack per il gateway VPN: IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).
Fai clic su Crea e continua.
La pagina della console si aggiorna e mostra le informazioni del gateway. A ciascuna interfaccia del gateway vengono automaticamente assegnati due indirizzi IP esterni. Per i passaggi di configurazione futuri, prendi nota dei dettagli della configurazione del gateway.
gcloud
Per creare un gateway VPN ad alta disponibilità, esegui i comandi riportati di seguito. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IP esterni, uno per ogni interfaccia del gateway.
- Per supportare solo i carichi di lavoro IPv4, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_ONLY
. - Per supportare i carichi di lavoro IPv4 e IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6
. - Per supportare solo i carichi di lavoro IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack
IPV6_ONLY
, disponibile per l'anteprima solo utilizzando l'API o l'interfaccia a riga di comando Google Cloud.
Per creare un gateway VPN ad alta disponibilità con interfacce IPv4, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv4 esterni, uno per ogni interfaccia del gateway.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --stack-type=IP_STACK
Puoi anche specificare --gateway-ip-version=IPV4
. Tuttavia, questo flag non è obbligatorio. Se non specifichi questo flag, per impostazione predefinita il gateway VPN ad alta disponibilità utilizza indirizzi IPv4 esterni.
Per creare un gateway VPN ad alta disponibilità con interfacce IPv6, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv6 esterni, uno per ogni interfaccia del gateway.
gcloud beta compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Sostituisci quanto segue:
GW_NAME
: il nome del gatewayNETWORK
: il nome della tua rete Google CloudREGION
: la regione Google Cloud in cui crei il gateway e il tunnelIP_STACK
: facoltativo: lo stack IP da utilizzare. SpecificaIPV4_ONLY
,IPV4_IPV6
oIPV6_ONLY
(anteprima). Se non specifichi questo flag, il tipo di stack predefinito èIPV4_ONLY
per i gateway VPN ad alta disponibilità con interfacce IPv4 eIPV4_IPV6
per i gateway con interfacce IPv6.
Il gateway che crei è simile all'output dell'esempio seguente. Se specifichi "--gateway-ip-version=IPV6", vengono assegnate le interfacce IPv6. Altrimenti, a ciascuna interfaccia gateway viene assegnato automaticamente un indirizzo IPv4 esterno:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.16 203.0.113.23 network-a us-central1
API
Per creare la configurazione completa per un gateway VPN ad alta disponibilità, utilizza i comandi API riportati nelle sezioni seguenti. Tutti i valori dei campi utilizzati in queste sezioni sono valori di esempio.
Per creare un gateway VPN ad alta disponibilità, effettua una richiesta POST
utilizzando il metodo vpnGateways.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6", "gatewayIpVersion": "IPV4" }
POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Quando crei un gateway VPN ad alta disponibilità con interfacce IPv4, i campi
gatewayIpVersion
estackType
sono facoltativi.Se non specifichi
gatewayIpVersion
, il valore predefinito èIPV4
.Gli unici valori
stackType
validi per un gateway congatewayIpVersion
diIPV4
sonoIPV4_IPV6
oIPV4_ONLY
.
Se non specifichi
stackType
, il valore predefinito èIPV4_ONLY
.Quando assegni indirizzi IPv6 esterni al gateway VPN ad alta disponibilità, devi specificare
IPV6
come valoregatewayIpVersion
. Il campostackType
è facoltativo.Se non specifichi
stackType
, il valore predefinito èIPV4_IPV6
.Gli unici valori
stackType
validi per un gateway congatewayIpVersion
pari aIPV6
sonoIPV4_IPV6
oIPV6_ONLY
(Anteprima).
Crea una risorsa gateway VPN peer
Console
La risorsa gateway VPN peer rappresenta il tuo gateway non Google Cloud in Google Cloud.
Per creare una risorsa gateway VPN peer, segui questi passaggi:
- Nella pagina Crea una VPN, in Gateway VPN peer, seleziona On-prem o non Google Cloud.
In Nome gateway VPN peer, scegli un gateway peer esistente o fai clic su Crea un nuovo gateway VPN peer.
Se scegli un gateway esistente, la console Google Cloud seleziona il numero di tunnel da configurare in base al numero di interfacce peer che hai configurato sul gateway peer esistente.
Per creare un nuovo gateway peer:
- Specifica un nome per il gateway VPN peer.
- In Interfacce gateway VPN peer, seleziona le interfacce
one
,two
ofour
, a seconda del tipo di interfaccia del gateway peer. Per esempi di ciascun tipo, consulta la pagina Topologie. - Nel campo di ogni interfaccia VPN peer, specifica l'indirizzo IP esterno utilizzato per l'interfaccia. Per maggiori informazioni, consulta Configurare il gateway VPN peer.
- Fai clic su Crea.
gcloud
Crea una risorsa gateway VPN esterno che fornisca a Google Cloud informazioni sui gateway o sui gateway VPN peer. A seconda dei suggerimenti per l'alta disponibilità per il tuo gateway VPN peer, puoi creare risorse gateway VPN esterne per i seguenti tipi diversi di gateway VPN on-premise:
- Due dispositivi gateway VPN peer separati in cui i due dispositivi sono ridondanti tra loro e ogni dispositivo ha un proprio indirizzo IP esterno.
- Un singolo gateway VPN peer che utilizza due interfacce separate, ciascuna con il proprio indirizzo IP esterno. Per questo tipo di gateway peer, puoi creare un singolo gateway VPN esterno con due interfacce.
- Un singolo gateway VPN peer con un singolo indirizzo IP esterno.
Opzione 1: crea una risorsa gateway VPN esterno per due dispositivi gateway VPN peer separati
Per questo tipo di gateway peer, ogni interfaccia del gateway VPN esterno ha un indirizzo IP esterno e ogni indirizzo proviene da uno dei dispositivi gateway VPN peer:
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Sostituisci quanto segue:
PEER_GW_NAME
: un nome che rappresenta il gateway peerPEER_GW_IP_0
: l'indirizzo IP esterno di un gateway peerPEER_GW_IP_1
: l'indirizzo IP esterno di un altro gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui
PEER_GW_IP_0
ePEER_GW_IP_1
mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Opzione 2: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con due interfacce separate
Per questo tipo di gateway peer, crea un singolo gateway VPN esterno con due interfacce:
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Sostituisci quanto segue:
PEER_GW_NAME
: un nome che rappresenta il gateway peerPEER_GW_IP_0
: l'indirizzo IP esterno di un'interfaccia dal gateway peerPEER_GW_IP_1
: l'indirizzo IP esterno di un'altra interfaccia del gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui
PEER_GW_IP_0
ePEER_GW_IP_1
mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Opzione 3: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con un singolo indirizzo IP esterno
Per questo tipo di gateway peer, crea un gateway VPN esterno con una interfaccia:
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0
Sostituisci quanto segue:
PEER_GW_NAME
: un nome che rappresenta il gateway peerPEER_GW_IP_0
: l'indirizzo IP esterno per l'interfaccia del gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui
PEER_GW_IP_0
mostra gli effettivi indirizzi IP esterni dell'interfaccia del gateway peer:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 peer-gw PEER_GW_IP_0
API
Per creare una risorsa gateway VPN esterno, effettua una richiesta POST
utilizzando il metodo externalVpnGateways.insert
.
- Per un gateway VPN esterno (peer) con un'interfaccia, utilizza l'esempio seguente, ma specifica solo un ID interfaccia e un
ipAddress
, conredundancyType
pari aSINGLE_IP_INTERNALLY_REDUNDANT
. - Per un gateway VPN esterno con due interfacce o due gateway VPN esterni con un'interfaccia ciascuno, utilizza l'esempio
TWO_IPS_REDUNDANCY
. Per uno o più gateway VPN esterni con quattro interfacce VPN esterne, ad esempio Amazon Web Services (AWS), utilizza l'esempio seguente, ma specifica quattro istanze dell'ID interfaccia e
ipAddress
, quindi utilizza un valoreredundancyType
pari aFOUR_IPS_REDUNDANCY
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways { "name": "my-peer-gateway", "interfaces": [ { "id": 0, "ipAddress": "192.0.2.1" }, { "id": 1, "ipAddress": "192.0.2.2" } ], "redundancyType": "TWO_IPS_REDUNDANCY" }
Crea un router Cloud
Console
In Router Cloud, se non l'hai già fatto, crea un router Cloud specificando le opzioni seguenti. Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT.
Per creare un nuovo router Cloud, specifica quanto segue:
- Un nome
- Una descrizione facoltativa
- Un ASN Google per il nuovo router.
Puoi utilizzare qualsiasi ASN privato (da
64512
a65534
, da4200000000
a4294967294
) che non usi altrove nella tua rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non puoi modificarlo in un secondo momento.Per creare il nuovo router, fai clic su Crea.
gcloud
Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.
Per creare un router Cloud, esegui questo comando:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Sostituisci quanto segue:
ROUTER_NAME
: il nome del router Cloud nella stessa regione del gateway Cloud VPNREGION
: la regione Google Cloud in cui crei il gateway e il tunnelNETWORK
: il nome della tua rete VPCGOOGLE_ASN
: qualsiasi ASN privato (da64512
a65534
,4200000000
a4294967294
) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento
Il router creato è simile al seguente output di esempio:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
API
Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.
Per creare un router Cloud, effettua una richiesta POST
utilizzando il metodo
routers.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
Crea tunnel VPN
Console
Se hai configurato la risorsa gateway VPN peer con un'unica interfaccia, nella pagina Crea VPN configura il tuo tunnel singolo nella finestra di dialogo Tunnel VPN singolo. Per uno SLA del 99,99%, devi creare un secondo tunnel.
Se hai configurato la risorsa gateway VPN peer con due o quattro interfacce, configura le finestre di dialogo associate che vengono visualizzate nella parte inferiore della pagina Crea VPN.
Per creare tunnel VPN, segui questi passaggi:
- Se applicabile, in Interfaccia gateway VPN Cloud associata, seleziona la combinazione di interfaccia VPN ad alta disponibilità e indirizzo IP da associare all'interfaccia gateway VPN peer per questo tunnel.
- In Interfaccia gateway VPN peer associata, seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare al tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere all'interfaccia del router peer effettivo.
- Specifica un nome per il tunnel.
- Specifica una descrizione facoltativa.
- Specifica la versione IKE. Ti consigliamo IKE v2, l'impostazione predefinita, se il tuo router peer la supporta. Per consentire il traffico IPv6, devi selezionare IKEv2.
- Specifica una chiave precondivisa IKE utilizzando la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in una posizione sicura perché non può essere recuperata dopo aver creato i tunnel VPN.
- Fai clic su Fine.
- Nella pagina Crea VPN, ripeti i passaggi di creazione del tunnel per tutte le finestre di dialogo del tunnel rimanenti.
- Dopo aver configurato tutti i tunnel, fai clic su Crea e continua.
gcloud
Creare due tunnel VPN, uno per ogni interfaccia sul gateway VPN ad alta disponibilità. Quando crei tunnel VPN, specifica il lato peer dei tunnel VPN come gateway VPN esterno creato in precedenza. A seconda del tipo di ridondanza del gateway VPN esterno, configura i tunnel utilizzando una delle due opzioni seguenti.
Opzione 1: se il gateway VPN esterno è costituito da due dispositivi gateway VPN peer separati o da un singolo dispositivo con due indirizzi IP
In questo caso, un tunnel VPN deve connettersi alla rete
interface 0
del gateway VPN esterno, mentre l'altro tunnel VPN deve connettersi ainterface 1
del gateway VPN esterno.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_1
Sostituisci quanto segue:
TUNNEL_NAME_IF0
eTUNNEL_NAME_IF1
: un nome per il tunnel; la denominazione dei tunnel includendo il nome dell'interfaccia del gateway può essere utile per identificare i tunnel in un secondo momentoPEER_GW_NAME
: un nome del gateway peer esterno creato in precedenzaPEER_EXT_GW_IF0
ePEER_EXT_GW_IF1
: il numero di interfaccia configurato in precedenza sul gateway peer esternoIKE_VERS
:1
per IKEv1 o2
per IKEv2; se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci--ike-version 2
con--ike-version 1
. Per consentire il traffico IPv6, devi specificare IKEv2.SHARED_SECRET
: la chiave precondivisa (secret condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che hai creato sul gateway peer. Per i suggerimenti, consulta Generare una chiave precondivisa efficaceGW_NAME
: nome del gateway VPN ad alta disponibilitàINT_NUM_0
: il numero0
per la prima interfaccia sul gateway VPN ad alta disponibilità creato in precedenzaINT_NUM_1
: il numero1
per la seconda interfaccia sul gateway VPN ad alta disponibilità creato in precedenza- Facoltativo:
--vpn-gateway-region
è la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a--region
. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata del comando.
L'output comando è simile al seguente esempio:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 1
Opzione 2: se il gateway VPN esterno è un singolo gateway VPN peer con un singolo indirizzo IP esterno
In questo caso, entrambi i tunnel VPN devono connettersi a
interface 0
del gateway VPN esterno.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_1
Sostituisci quanto segue:
TUNNEL_NAME_IF0
eTUNNEL_NAME_IF1
: un nome per il tunnel; la denominazione dei tunnel includendo il nome dell'interfaccia del gateway può essere utile per identificare i tunnel in un secondo momentoPEER_GW_NAME
: il nome del gateway peer esterno creato in precedenzaPEER_EXT_GW_IF0
: il numero di interfaccia configurato in precedenza sul gateway peer esterno- Facoltativo:
--vpn-gateway-region
è la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a--region
. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata del comando. IKE_VERS
:1
per IKEv1 o2
per IKEv2. Se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci--ike-version 2
con--ike-version 1
. Per consentire il traffico IPv6, devi specificare IKEv2.SHARED_SECRET
: la chiave precondivisa (secret condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che hai creato sul gateway peer. Per i suggerimenti, consulta Generare una chiave precondivisa efficaceINT_NUM_0
: il numero0
per la prima interfaccia sul gateway VPN ad alta disponibilità creato in precedenzaINT_NUM_1
: il numero1
per la seconda interfaccia sul gateway VPN ad alta disponibilità creato in precedenza
L'output comando è simile al seguente esempio:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 0
API
Per creare due tunnel VPN, uno per ogni interfaccia sul gateway VPN ad alta disponibilità, effettua una richiesta POST
utilizzando il metodo
vpnTunnels.insert
. Per ottenere uno SLA con uptime del 99,99%, devi creare un tunnel su ciascuna interfaccia del gateway VPN ad alta disponibilità.
Per creare il primo tunnel, esegui questo comando:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway", "peerExternalGatewayInterface": 0, "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SHARED_SECRET", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Se prevedi di abilitare IPv6 nella sessione BGP associata a questo tunnel, devi specificare
2
perikeVersion
.Per creare il secondo tunnel, ripeti questo comando, ma modifica i seguenti parametri:
name
peerExternalGatewayInterface
sharedSecret
osharedSecretHash
(se necessario)vpnGatewayInterface
: modifica il valore dell'altra interfaccia del gateway VPN ad alta disponibilità. In questo esempio, modifica questo valore in1
Crea sessioni BGP
Per ogni tunnel VPN ad alta disponibilità, puoi creare una sessione BGP IPv4, una sessione BGP IPv6 (anteprima) oppure entrambe.
Per visualizzare istruzioni specifiche, seleziona il tipo di sessione BGP appropriato per il traffico di rete VPC e VPN ad alta disponibilità.
Tipo di sessione BGP | Gateway VPN ad alta disponibilità | Rete VPC | MP-BGP consentito? |
---|---|---|---|
Sessioni BGP IPv4 | Solo IPv4 o a doppio stack | Solo IPv4 o a doppio stack | sì |
Sessioni BGP IPv6 | doppio stack | doppio stack | sì |
Sessioni BGP sia IPv4 che IPv6 | doppio stack | doppio stack | no |
Per utilizzare MP-BGP nelle sessioni BGP dei tunnel VPN ad alta disponibilità, devi utilizzare gateway VPN ad alta disponibilità a doppio stack.
Devi inoltre utilizzare un gateway VPN ad alta disponibilità a doppio stack per configurare le sessioni BGP IPv4 e IPv6 nello stesso tunnel VPN ad alta disponibilità. Tuttavia, non puoi abilitare MP-BGP nelle singole sessioni BGP IPv4 e IPv6.
Sessioni BGP IPv4
Console
Per creare sessioni BGP, segui questi passaggi:
- Se non vuoi configurare le sessioni BGP ora, fai clic su Configura le sessioni BGP in seguito per aprire la pagina Riepilogo e promemoria.
- Se vuoi configurare ora le sessioni BGP, fai clic su Configura sul primo tunnel VPN.
- Nella pagina Crea sessione BGP, completa i seguenti passaggi:
- Specifica un nome per la sessione BGP.
- Specifica l'ASN peer configurato per il gateway VPN peer.
- (Facoltativo) Specifica la Priorità delle route annunciate.
- (Facoltativo) Seleziona la casella di controllo Abilita IPv6 per consentire lo scambio di prefissi di indirizzi IPv6 sulla sessione BGP.
- Specifica l'indirizzo IP BGP del router Cloud e l'indirizzo IP del peer BGP. Assicurati che gli indirizzi IPv4 soddisfino i seguenti requisiti:
- Ogni indirizzo IPv4 BGP deve appartenere alla stessa subnet
/30
che rientra nell'intervallo169.254.0.0/16
. - Ogni indirizzo IPv4 BGP è il primo o il secondo host della subnet
/30
. Il primo e l'ultimo indirizzo IP della subnet sono riservati agli indirizzi di rete e di trasmissione. - Ogni intervallo di indirizzi BGP per ogni sessione BGP deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.
- Ogni indirizzo IPv4 BGP deve appartenere alla stessa subnet
- (Facoltativo) Se hai abilitato IPv6, puoi allocare gli indirizzi dell'hop successivo IPv6 automaticamente o manualmente.
Per assegnare gli indirizzi manualmente:
- Seleziona Manualmente.
- Inserisci l'indirizzo IPv6 per l'hop successivo IPv6 del router Cloud.
Questo indirizzo è l'indirizzo di hop successivo per le route IPv6 pubblicizzate dal router Cloud.
L'indirizzo deve essere compreso nell'intervallo
2600:2d00:0:2::/63
. - Inserisci l'indirizzo IPv6 per l'hop successivo IPv6 peer.
Questo indirizzo è l'indirizzo dell'hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP.
L'indirizzo deve essere compreso nell'intervallo
2600:2d00:0:2::/63
.
- (Facoltativo) Per Autenticazione MD5, seleziona Attivata. Ciò consente di autenticare le sessioni BGP tra un router Cloud e i suoi peer. Per istruzioni su come configurare l'autenticazione MD5, vedi Utilizzare l'autenticazione MD5. Puoi anche scegliere di attivare l'autenticazione MD5 in un secondo momento.
- (Facoltativo) Fai clic sull'elenco Route annunciate e crea route personalizzate.
- Fai clic su Salva e continua.
- Ripeti i passaggi precedenti per gli altri tunnel configurati nel gateway. Per ogni tunnel, utilizza un indirizzo IP BGP del router Cloud e un indirizzo IP peer BGP diversi.
- Dopo aver configurato tutte le sessioni BGP, fai clic su Salva configurazione BGP.
gcloud
Per creare un'interfaccia del router Cloud e un peer BGP per ogni tunnel che hai configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.
Nei comandi, sostituisci quanto segue:
ROUTER_INTERFACE_NAME_0
eROUTER_INTERFACE_NAME_1
: un nome per l'interfaccia del router Cloud; può essere utile utilizzare nomi relativi ai nomi dei tunnel configurati in precedenzaTUNNEL_NAME_0
eTUNNEL_NAME_1
: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configuratoIP_VERSION
: specificaIPV4
o non specificare. Se non specificato, il valore predefinito èIPV4
.IP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzateAUTHENTICATION_KEY
: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.
Assegna indirizzi IPv4 per una sessione BGP
Scegli il metodo di configurazione automatica o manuale per configurare gli indirizzi per BGP. Questi comandi non abilitano IPv6 per BGP.
Se vuoi abilitare IPv6, esegui i comandi elencati in Assegna indirizzi IPv6 all'hop successivo.
Automatica
Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv4 BGP locali rispetto al collegamento, completa i passaggi seguenti.
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Per impostazione predefinita, se non specifichi una versione IP, il comando assegna un indirizzo IPv4 all'interfaccia.
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi la configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci
PEER_NAME_0
con un nome per l'interfaccia VPN del peer e sostituisciPEER_ASN
con l'ASN del peer BGP:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Facoltativamente, puoi utilizzare il flag--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag
--md5-authentication-key
. Utilizza questo campo per fornire la tua chiave segreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1
con un nome per l'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler configurare le stesse route nel secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuale
Per assegnare manualmente gli indirizzi BGP IPv4 associati all'interfaccia del router Cloud e al peer BGP, completa i seguenti passaggi.
Per ogni tunnel VPN, decidi una coppia di indirizzi IPv4 locali rispetto al collegamento
in un blocco /30
dall'intervallo 169.254.0.0/16
(per un totale di quattro subnet
/30
, una per ogni VPN ad alta disponibilità).
Le subnet IPv4 specificate devono essere univoche tra tutti i router Cloud in tutte le regioni di una rete VPC.
Per ogni tunnel, assegna uno di questi indirizzi IPv4 BGP al router Cloud e l'altro indirizzo IPv4 BGP al tuo gateway VPN peer. Configura il dispositivo VPN peer in modo da utilizzare l'indirizzo IPv4 BGP del peer.
Sostituisci quanto segue nei comandi seguenti:
GOOGLE_BGP_IP_0
: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 0
;PEER_BGP_IP_0
rappresenta l'indirizzo IPv4 BGP del suo peerGOOGLE_BGP_IP_1
: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 1
;PEER_BGP_IP_1
rappresenta l'indirizzo IPv4 BGP del suo peerMASK_LENGTH
:30
; il router Cloud deve utilizzare una subnet/30
univoca nell'intervallo169.254.0.0/16
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_0
con un nome per l'interfaccia:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IP_0 \ --mask-length 30 \ --region=REGION
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci
PEER_NAME_0
con un nome per il peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Facoltativamente, puoi utilizzare il flag--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi un'interfaccia al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_1
con un nome per l'interfaccia:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IP_1 \ --mask-length 30 \ --region=REGION
Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci
PEER_NAME_1
con un nome per il peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IP_1 \ --region=REGION
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler specificare le stesse route per il secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Assegna indirizzi IPv6 all'hop successivo
Utilizza i comandi in questa sezione solo se vuoi che i tunnel VPN utilizzino MP-BGP e scambino traffico sia IPv4 sia IPv6. Se non vuoi instradare il traffico IPv6 su questo tunnel o se prevedi di aggiungere una singola sessione BGP IPv6 a questo tunnel in un secondo momento, puoi utilizzare i comandi elencati in Assegna indirizzi BGP IPv4.
Automatica
Se crei una sessione BGP IPv4 che utilizza MP-BGP, Google Cloud può assegnare automaticamente indirizzi all'hop successivo IPv6.
Google Cloud assegna indirizzi inutilizzati dall'intervallo 2600:2d00:0:2::/63
.
Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale per gli indirizzi IPv4 del router Cloud e del peer BGP. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare indirizzi IPv4 IPv4 e BGP del peer utilizzando i flag --ip-address
e --peer-ip-address
descritti in Assegnare indirizzi BGP IPv4.
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci
PEER_NAME_0
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6
Se specifichi il flag
--enable-ipv6
, abiliti lo scambio di route IPv6 in questa sessione BGP IPv4, necessaria per assegnare gli indirizzi dell'hop successivo IPv6. Puoi disabilitare lo scambio di route IPv6 in un secondo momento. Per ulteriori informazioni, consulta Configurare il BGP multiprotocollo nelle sessioni IPv4 o IPv6.L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi una seconda interfaccia al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1
con un nome per l'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6
Manuale
Quando crei una sessione BGP IPv4 che utilizza MP-BGP, puoi configurare manualmente gli indirizzi dell'hop successivo IPv6 sia per il router Cloud che per il peer BGP.
Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale degli indirizzi IPv4 del router Cloud e del peer BGP. Per esempi su come configurare manualmente questi indirizzi, consulta Assegnare indirizzi BGP IPv4.
Per ogni tunnel VPN, decidi una coppia di indirizzi dell'hop successivo IPv6.
Gli indirizzi dell'hop successivo IPv6 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC e devono essere selezionati dagli intervalli IPv6 interni preallocati da Google: 2600:2d00:0:2::/63
.
Per assegnare manualmente gli indirizzi dell'hop successivo IPv6 BGP, completa i passaggi seguenti.
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Nei comandi, sostituisci quanto segue:
PEER_NAME_0
con un nome per l'interfaccia VPN peerPEER_ASN
con l'ASN configurato per il gateway VPN peerIPV6_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv6 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo2600:2d00:0:2::/64
o2600:2d00:0:3::/64
PEER_IPV6_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv6 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo2600:2d00:0:2::/64
o2600:2d00:0:3::/64
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungere una seconda interfaccia al router Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel.
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Nei comandi, sostituisci quanto segue:
PEER_NAME_1
con un nome per l'interfaccia VPN peerPEER_ASN
con l'ASN configurato per il gateway VPN peerIPV6_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv6 pubblicizzate dal router CloudPEER_IPV6_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP
API
Per creare un'interfaccia del router Cloud, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
orouters.update
.PATCH
aggiorna solo i parametri che includi.UPDATE
aggiorna tutti i parametri per il router Cloud.Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv4 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.
Ripeti questo passaggio e il comando per ogni tunnel VPN sul secondo gateway VPN ad alta disponibilità.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Per aggiungere una configurazione peer BGP all'interfaccia di un router Cloud per un tunnel VPN, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
o il metodorouters.update
. Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni trannename
epeerAsn
.Ad esempio:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" } ] }
Il seguente comando fornisce un esempio di aggiunta di un peer BGP IPv4 con scambio di route IPv6 abilitato e indirizzi dell'hop successivo IPv6 configurati manualmente. Se ometti
ipv6NexthopAddress
epeerIpv6NexthopAddress
, gli indirizzi dell'hop successivo IPv6 vengono assegnati automaticamente.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress: "2600:2d00:0:2::1" "peerIpv6NexthopAddress: "2600:2d00:0:2::2" } ] }
Se vuoi specificare route apprese personalizzate per il peer, definisci i prefissi IP per le route. Facoltativamente, puoi impostare un valore di priorità compreso tra
0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress": "2600:2d00:0:2::1", "peerIpv6NexthopAddress": "2600:2d00:0:2::2", "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Se vuoi configurare la sessione in modo che utilizzi l'autenticazione MD5, la richiesta deve includere una chiave di autenticazione, il che significa che deve fornire sia la chiave sia un nome per la chiave. Deve anche fare riferimento alla chiave per nome durante la creazione della sessione di peering BGP. Ad esempio:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessioni BGP IPv6
gcloud
Per creare un'interfaccia del router Cloud IPv6 e un peer BGP per ogni tunnel che hai configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.
Nei comandi, sostituisci quanto segue:
ROUTER_INTERFACE_NAME_0
eROUTER_INTERFACE_NAME_1
: un nome per l'interfaccia del router Cloud; può essere utile utilizzare nomi relativi ai nomi dei tunnel configurati in precedenzaTUNNEL_NAME_0
eTUNNEL_NAME_1
: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configuratoIP_VERSION
:IPV6
. Questo parametro è obbligatorio solo se vuoi che Google Cloud assegni automaticamente l'indirizzo IPv6 per questa interfaccia. Se assegni manualmente un indirizzo IPv6 a questa interfaccia, puoi omettere questo flag.IP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzateAUTHENTICATION_KEY
: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.
(Facoltativo) Assegna un intervallo di identificatori BGP
Quando aggiungi la prima interfaccia a un router Cloud, al router Cloud viene assegnato automaticamente un intervallo di identificatori BGP. Se preferisci definire un intervallo di identificatori BGP per un router Cloud, puoi crearne uno personalizzato. Puoi anche modificare questo intervallo in un secondo momento. Per maggiori informazioni, consulta Configurare l'intervallo di identificatori BGP per un router Cloud.
Assegna indirizzi BGP IPv6
Le seguenti procedure creano sessioni BGP IPv6 con indirizzi IPv6 BGP IPv6 e BGP configurati automaticamente o configurati manualmente.
Se vuoi utilizzare BGP IPv6 con MP-BGP, esegui i comandi elencati in Assegna indirizzi IPv4 all'hop successivo.
Automatica
Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv6 per la sessione BGP, completa i passaggi seguenti.
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci
PEER_NAME_0
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Facoltativamente, puoi utilizzare il flag--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag
--md5-authentication-key
. Utilizza questo campo per fornire la tua chiave segreta:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi una seconda interfaccia al router Cloud:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1
con un nome per l'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler configurare le stesse route nel secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuale
Per assegnare manualmente indirizzi IPv6 alla sessione BGP associata all'interfaccia del router Cloud e al peer BGP, completa i seguenti passaggi.
Per ogni tunnel VPN, decidi una coppia di indirizzi IPv6 appropriati per la sessione BGP in base al tipo di sessione BGP che stai configurando.
Gli indirizzi IPv6 devono essere indirizzi locali univoci (ULA) dall'intervallo fdff:1::/64
con una lunghezza della maschera pari o inferiore a /126
.
Ad esempio: fdff:1:1:1::/112
.
Gli indirizzi IPv6 della sessione BGP specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.
Per ogni tunnel, assegna uno di questi indirizzi IPv6 al router Cloud e l'altro indirizzo IPv6 al gateway VPN peer. Configura il dispositivo VPN peer in modo da utilizzare l'indirizzo IPv6 peer della sessione BGP.
Sostituisci quanto segue nei comandi seguenti:
GOOGLE_BGP_IPV6_0
: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 0
;PEER_BGP_IPV6_0
rappresenta l'indirizzo IPv6 del suo peer BGP e deve corrispondere alla versione IP diGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV6_1
: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 1
;PEER_BGP_IPV6_1
rappresenta l'indirizzo IPv6 del suo peer BGP e deve corrispondere alla versione IP diGOOGLE_BGP_IPV6_1
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_0
con un nome per l'interfaccia:gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Sostituisci
MASK_LENGTH
con un valore pari o inferiore a126
.L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia; sostituisci PEER_NAME_0
with a name for the peer, and replace
PEER_ASN" con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Facoltativamente, puoi utilizzare il flag--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi una seconda interfaccia al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_1
con un nome per l'interfaccia:gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Sostituisci
MASK_LENGTH
con un valore pari o inferiore a126
.Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci
PEER_NAME_1
con un nome per il peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler specificare le stesse route per il secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=PRIORITY
Se vuoi utilizzare l'autenticazione MD5, usa il flag
--md5-authentication-key
per fornire la chiave segreta:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Assegna indirizzi IPv4 all'hop successivo
Utilizza i comandi in questa sezione solo se vuoi tunnel VPN che utilizzano MP-BGP. Con MP-BGP, puoi scambiare route IPv4 su sessioni BGP IPv6.
Se non prevedi di utilizzare MP-BGP nella sessione BGP per il tunnel, utilizza i comandi elencati in Assegna indirizzi BGP IPv6.
Puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 o IPv6 del peer BGP dell'hop successivo.
Automatica
Se crei una sessione BGP IPv6 che utilizza MP-BGP, Google Cloud può assegnare automaticamente indirizzi IPv4 all'hop successivo.
Google Cloud assegna indirizzi inutilizzati dall'intervallo 169.254.0.0/16
.
Questa configurazione non tiene conto della configurazione automatica o manuale degli indirizzi IPv6 del router Cloud e del peer BGP. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare gli indirizzi IPv6 alle interfacce del router Cloud e ai peer BGP utilizzando i flag --ip-address
e --peer-ip-address
descritti in Assegnare indirizzi IP BGP IPv6.
Per il primo tunnel VPN
Aggiungi un'interfaccia al router Cloud:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci
PEER_NAME_0
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungi una seconda interfaccia al router Cloud:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4
Manuale
Quando crei sessioni BGP IPv6 che utilizzano MP-BGP, puoi configurare manualmente gli indirizzi dell'hop successivo IPv4 sia per il router Cloud che per il peer BGP.
Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale del router Cloud e degli indirizzi IPv6 per le sessioni BGP. Per esempi su come configurare manualmente questi indirizzi, consulta Assegnare indirizzi BGP IPv6.
Per ogni tunnel VPN, decidi una coppia di indirizzi dell'hop successivo IPv4.
Gli indirizzi dell'hop successivo IPv4 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC e devono essere selezionati da intervalli IPv4 locali rispetto al collegamento, 169.254.0.0/16
.
Per assegnare manualmente gli indirizzi dell'hop successivo IPv4 BGP, completa i passaggi seguenti.
Per il primo tunnel VPN
Aggiungere un'interfaccia al router Cloud.
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel.
gcloud beta compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Nei comandi, sostituisci quanto segue:
PEER_NAME_0
con un nome per l'interfaccia VPN peerPEER_ASN
con l'ASN configurato per il gateway VPN peerIPV4_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo169.254.0.0/16
PEER_IPV4_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv4 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo169.254.0.0/16
L'output comando è simile al seguente esempio:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Per il secondo tunnel VPN
Aggiungere una seconda interfaccia al router Cloud.
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel.
gcloud beta compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Sostituisci quanto segue nei comandi seguenti:
PEER_NAME_1
con un nome per l'interfaccia VPN peerPEER_ASN
con l'ASN configurato per il gateway VPN peerIPV4_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo169.254.0.0/16
PEER_IPV4_NEXTHOP_ADDRESS
: l'indirizzo dell'hop successivo per le route IPv4 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo169.254.0.0/16
API
Per creare un'interfaccia del router Cloud e assegnarle un indirizzo IPv6, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
o il metodorouters.update
.PATCH
aggiorna solo i parametri che includi.UPDATE
aggiorna tutti i parametri per il router Cloud.L'esempio seguente crea un'interfaccia con un indirizzo IPv6 configurato manualmente.
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1:1:1::/112" } ] }
Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv6 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.
Come ulteriore esempio, il comando seguente crea un'interfaccia con un indirizzo IPv6 assegnato automaticamente.
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Ripeti questo passaggio per ogni tunnel VPN sul gateway VPN ad alta disponibilità.
Aggiungi una configurazione peer BGP a un router Cloud per un tunnel VPN, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
orouters.update
. Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni trannename
epeerAsn
.Ad esempio:
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1:1:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1:1:1::2", "advertiseMode": "DEFAULT" } ] }
Il seguente comando fornisce un esempio di aggiunta di un peer BGP per l'interfaccia BGP IPv6 con lo scambio di route IPv4 abilitato e gli indirizzi dell'hop successivo IPv4 configurati manualmente. Se ometti
ipv4NexthopAddress
epeerIpv4NexthopAddress
, gli indirizzi IPv4 dell'hop successivo vengono assegnati automaticamente.PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1:1:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1:1:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" } ] }
Se vuoi specificare route apprese personalizzate per il peer, definisci i prefissi IP per le route. Facoltativamente, puoi impostare un valore di priorità compreso tra
0
e65535
(inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1:1:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1:1:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Se vuoi configurare la sessione in modo che utilizzi l'autenticazione MD5, la richiesta deve includere una chiave di autenticazione, il che significa che deve fornire sia la chiave sia un nome per la chiave. Deve anche fare riferimento alla chiave per nome durante la creazione della sessione di peering BGP. Ad esempio:
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1:1:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1:1:1::2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessioni BGP IPv4 e IPv6
Usa i passaggi seguenti per creare una sessione BGP IPv4 e una sessione BGP IPv6 (anteprima) in esecuzione in parallelo nello stesso tunnel VPN ad alta disponibilità.
Per creare questa configurazione, aggiungi due interfacce BGP e due peer BGP sul router Cloud e le colleghi allo stesso tunnel VPN. Devi utilizzare le sessioni BGP a singolo stack con un gateway VPN ad alta disponibilità a doppio stack. Non puoi utilizzare MP-BGP.
gcloud
Per creare due interfacce BGP del router Cloud e due peer BGP per ciascun tunnel configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.
Nei comandi, sostituisci quanto segue:
ROUTER_INTERFACE_NAME_0_ipv4
eROUTER_INTERFACE_NAME_0_ipv6
: nomi per la prima coppia di interfacce BGP del router Cloud che condividono lo stesso tunnel; può essere utile usare nomi relativi ai nomi dei tunnel configurati in precedenzaROUTER_INTERFACE_NAME_1_ipv4
,ROUTER_INTERFACE_NAME_1_ipv6
: nomi del secondo insieme di interfacce BGP del router CloudTUNNEL_NAME_0
eTUNNEL_NAME_1
: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configuratoIP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzateAUTHENTICATION_KEY
: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.Inoltre, puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 e IPv6 per le interfacce del router Cloud e i peer BGP.
(Facoltativo) Assegna un intervallo di identificatori BGP
Quando aggiungi la prima interfaccia con un indirizzo IPv6 a un router Cloud, un intervallo di identificatori BGP viene assegnato automaticamente al router Cloud. Se preferisci definire un intervallo di identificatori BGP personalizzato per un router Cloud, puoi creare il tuo intervallo. Puoi anche modificare questo intervallo in un secondo momento. Per maggiori informazioni, consulta Configurare l'intervallo di identificatori BGP per un router Cloud.
Automatica
Per consentire a Google Cloud di scegliere automaticamente gli indirizzi BGP, completa i passaggi seguenti.
Per il primo tunnel VPN
Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud.
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION --ip-version=IPV4
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una seconda interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi una configurazione peer BGP alla prima interfaccia con l'indirizzo IPv4 per il primo tunnel; sostituisci
PEER_NAME_0_ipv4
con il nome dell'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --region=REGION
Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il primo tunnel; sostituisci
PEER_NAME_0_ipv6
con il nome dell'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --region=REGION
Nella maggior parte dei casi,
PEER_ASN
è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.
Per il secondo tunnel VPN
Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION --ip-version=IPV4
Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:
gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Aggiungi una configurazione peer BGP alla prima interfaccia con l'indirizzo IPv4 per il secondo tunnel; sostituisci
PEER_NAME_1_ipv4
con un nome per l'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --region=REGION
Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il secondo tunnel; sostituisci
PEER_NAME_1_ipv6
con il nome dell'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --region=REGION
Nella maggior parte dei casi,
PEER_ASN
è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.
Manuale
Per assegnare manualmente gli indirizzi IPv4 e IPv6 associati alle interfacce del router Cloud e ai peer BGP, completa i passaggi seguenti.
Per ogni tunnel VPN, decidi una coppia di indirizzi BGP appropriati in base al tipo di sessione BGP che stai configurando. Devi selezionare quattro indirizzi IP in totale per ogni tipo di sessione.
- Per le sessioni BGP IPv4, i quattro indirizzi IPv4 devono essere indirizzi IPv4 locali rispetto al collegamento in un blocco
/30
dall'intervallo169.254.0.0/16
. Ad esempio:169.254.0.1/30
. - Per le sessioni BGP IPv6 (anteprima), i quattro indirizzi IPv6 devono essere indirizzi locali univoci (ULA) dell'intervallo
fdff:1::/64
con una lunghezza massima di/126
. Ad esempio:fdff:1:1:1::/112
.
Gli indirizzi BGP specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.
Per ogni tunnel, assegna gli indirizzi IPv6 BGP al router Cloud. Configura il dispositivo VPN peer in modo da utilizzare gli indirizzi IPv6 del peer BGP.
Sostituisci quanto segue nei comandi seguenti:
GOOGLE_BGP_IPV4_0
: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 0
;PEER_BGP_IPV4_0
rappresenta l'indirizzo IPv4 del suo peer BGP, corrisponde aGOOGLE_BGP_IPV4_0
GOOGLE_BGP_IPV6_0
: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 0
;PEER_BGP_IPV6_0
rappresenta l'indirizzo IPv6 del suo peer BGP, corrisponde aGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV4_1
: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 1
;PEER_BGP_IPV4_1
rappresenta l'indirizzo IPv4 del suo peer BGP, corrisponde aGOOGLE_BGP_IPV4_1
GOOGLE_BGP_IPV6_1
: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 1
;PEER_BGP_IPV6_1
rappresenta l'indirizzo IPv6 del suo peer BGP, corrisponde aGOOGLE_BGP_IPV6_1
Per il primo tunnel VPN
Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_0_ipv4
con un nome per l'interfaccia:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV4_0 \ --mask-length 30 \ --region=REGION
L'output comando è simile al seguente esempio:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci
ROUTER_INTERFACE_NAME_0_ipv6
con un nome per l'interfaccia:gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Sostituisci
MASK_LENGTH
con un valore pari o inferiore a126
.Aggiungi una configurazione peer BGP alla prima interfaccia per il primo tunnel; sostituisci
PEER_NAME_0_ipv4
con un nome per l'interfaccia VPN peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_0 \ --region=REGION
Aggiungi una configurazione peer BGP alla seconda interfaccia per il primo tunnel; sostituisci
PEER_NAME_0_ipv6
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia della rete on-premise.
Per il secondo tunnel VPN
Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci
ROUTER_INTERFACE_NAME_1_ipv4
con un nome per l'interfaccia:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV4_1 \ --mask-length MASK_LENGTH \ --region=REGION
Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci
ROUTER_INTERFACE_NAME_1_ipv6
con un nome per l'interfaccia:gcloud beta compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Sostituisci
MASK_LENGTH
con un valore pari o inferiore a126
.Aggiungi una configurazione peer BGP alla prima interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1_ipv4
con un nome per il peer e sostituisciPEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_1 \ --region=REGION
Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci
PEER_NAME_1_ipv6
con un nome per l'interfaccia VPN peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer:gcloud beta compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia della rete on-premise.
API
Per creare due interfacce del router Cloud, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
orouters.update
.PATCH
aggiorna solo i parametri che includi.UPDATE
aggiorna tutti i parametri del router Cloud.Creare due interfacce del router Cloud per il primo tunnel VPN sul gateway VPN ad alta disponibilità. Crei un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6. Puoi configurare sia le interfacce sia i relativi peer BGP nella stessa richiesta
PATCH
oUPDATE
. Le interfacce sono associate allo stessolinkedVpnTunnel
tunnel e i peer BGP vengono quindi associati alle interfacce.Gli intervalli di indirizzi BGP per ogni interfaccia devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.
Ripeti questo passaggio e questo comando per ogni tunnel VPN sul gateway VPN ad alta disponibilità.
Nell'esempio seguente, allo stesso
linkedVpnTunnel
viene aggiunta un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6. Il comando di esempio specifica manualmente gli indirizzi BGP IPv4 e IPv6:PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1:1:1::/112" } ] }
L'esempio seguente aggiunge un'interfaccia BGP IPv4 e un'interfaccia BGP IPv6 alla stessa
linkedVpnTunnel
con indirizzi BGP IPv4 e IPv6 assegnati automaticamente:PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Per aggiungere i peer BGP al router Cloud per ogni tunnel VPN, effettua una richiesta
PATCH
oUPDATE
utilizzando il metodorouters.patch
o il metodorouters.update
. Ripeti questo comando per gli altri tunnel VPN, modificando tutte le opzioni in base alle esigenze.Ad esempio:
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6", "ipAddress": fdff:1:1:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1:1:1::2", "advertiseMode": "DEFAULT" } ] }
Verificare la configurazione
Console
Per verificare la configurazione, vai alla pagina Riepilogo e promemoria:
- La sezione Riepilogo di questa pagina elenca le informazioni per il gateway VPN ad alta disponibilità e il profilo del gateway VPN peer. Per ogni tunnel VPN, puoi visualizzare lo stato del tunnel VPN, il nome della sessione BGP, lo stato della sessione BGP e il valore MED (priorità delle route pubblicizzata).
- La sezione Promemoria di questa pagina elenca i passaggi da completare per avere una connessione VPN completamente operativa tra Cloud VPN e la tua VPN peer.
- Se vuoi scaricare un modello di configurazione per il dispositivo VPN peer, fai clic su Scarica configurazione. Per istruzioni su come selezionare il modello e visualizzare un elenco dei fornitori supportati, consulta Scaricare un modello di configurazione VPN peer. Puoi anche scaricare il modello di configurazione in un secondo momento visitando la pagina Gateway VPN peer.
- Dopo aver esaminato le informazioni in questa pagina, fai clic su OK.
gcloud
Per verificare la configurazione del router Cloud, segui questi passaggi:
Elenca gli indirizzi IP della sessione BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a un router Cloud esistente, gli indirizzi IPv4 o IPv6 BGP per la nuova interfaccia potrebbero essere elencati con il numero di indice più alto. Utilizza l'indirizzo IPv6 IPv4 o BGP del protocollo BGP
peerIpAddress
per configurare il tuo gateway VPN peer:gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
L'output previsto per un router Cloud che gestisce due tunnel Cloud VPN (indice
0
e indice1
) è simile al seguente esempio, in cui si verifica quanto segue:GOOGLE_BGP_IP_0
rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 0
;PEER_BGP_IP_0
rappresenta l'indirizzo IP BGP del suo peer.GOOGLE_BGP_IP_1
rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPNinterface 1
;PEER_BGP_IP_1
rappresenta l'indirizzo IP BGP del suo peer.
result.bgpPeerStatus[0].ipAddress: 169.254.0.1 GOOGLE_BGP_IP_0 result.bgpPeerStatus[0].name: bgp-peer-tunnel-a-to-on-prem-if-0 result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 PEER_BGP_IP_0 result.bgpPeerStatus[1].ipAddress: 169.254.1.1 GOOGLE_BGP_IP_1 result.bgpPeerStatus[1].name: bgp-peer-tunnel-a-to-on-prem-if-1 result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 PEER_BGP_IP_1
Puoi anche utilizzare il comando seguente per ottenere un elenco completo della configurazione del router Cloud:
gcloud compute routers describe ROUTER_NAME \ --region=REGION
La scheda completa è simile al seguente esempio:
bgp: advertiseMode: DEFAULT asn: 65001 bgpPeers: - interfaceName: if-tunnel-a-to-on-prem-if-0 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-on-prem-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 - interfaceName: if-tunnel-a-to-on-prem-if-1 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-on-prem-if-1 peerAsn: 65004 peerIpAddress: 169.254.1.2 creationTimestamp: '2018-10-18T11:58:41.704-07:00' id: '4726715617198303502' interfaces: - ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0 name: if-tunnel-a-to-on-prem-if-0 - ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1 name: if-tunnel-a-to-on-prem-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
API
Per verificare la configurazione del router Cloud, effettua una richiesta GET
utilizzando il metodo routers.getRouterStatus
e utilizza un corpo della richiesta vuoto:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Crea un tunnel aggiuntivo su un gateway a tunnel singolo
Console
Per ricevere uno SLA con uptime del 99,99%, configura un tunnel su ciascuna interfaccia VPN ad alta disponibilità di un gateway VPN ad alta disponibilità.
Configura un secondo tunnel nei seguenti casi:
- Se hai configurato un gateway VPN ad alta disponibilità per un gateway VPN peer con un'unica interfaccia VPN peer.
- Se in precedenza hai configurato un singolo tunnel su una VPN ad alta disponibilità per un gateway VPN peer che contiene un numero qualsiasi di interfacce, ma ora vuoi uno SLA con uptime del 99,99% per il gateway VPN ad alta disponibilità.
Per configurare un secondo tunnel, segui la procedura descritta in Aggiungere un tunnel da un gateway VPN ad alta disponibilità a un gateway VPN peer.
(Facoltativo) Imposta la priorità della route annunciata di base
Le sessioni BGP create consentono a ogni router Cloud di pubblicizzare le route a reti peer. Gli annunci utilizzano priorità di base non modificate.
Utilizza la configurazione documentata in Creazione di una coppia di gateway VPN ad alta disponibilità e tunnel a una VPN peer per le configurazioni di routing attivo/attivo in cui le priorità di route annunciate dei due tunnel VPN dal lato Google Cloud e dal lato peer corrispondono. Per configurare le stesse priorità di route annunciate da Google Cloud a entrambi i peer BGP, ometti la priorità delle route annunciate sul lato Google Cloud.
Per creare una configurazione attiva/passiva, configura priorità di route annunciate disuguali per i due tunnel VPN ad alta disponibilità. Una priorità di route annunciata deve essere superiore all'altra. Ad esempio:
- Sessione BGP1/tunnel1, priorità route =
10
- Sessione2/tunnel2 BGP, priorità route =
20
Per ulteriori informazioni sulla priorità delle route di base pubblicizzate, consulta Prefissi e priorità annunciati.
Puoi anche specificare quali route vengono annunciate utilizzando annunci personalizzati:
- Aggiungi il flag
--advertisement-mode=CUSTOM
(gcloud
) o il flagadvertiseMode: custom
(API). - Specifica gli intervalli di indirizzi IP con il flag
--set-advertisement-ranges
(gcloud
) oadvertisedIpRanges
(API).
Completare la configurazione
Prima di poter utilizzare un nuovo gateway Cloud VPN e i relativi tunnel VPN associati, completa i seguenti passaggi:
- Imposta il gateway VPN peer e configura il tunnel o i tunnel corrispondenti
da lì. Per le istruzioni, vedi quanto segue:
- Per indicazioni sulla configurazione specifiche per determinati dispositivi VPN peer, consulta Utilizzare VPN di terze parti.
- Per le topologie peer supportate, consulta Topologie Cloud VPN.
- Per i parametri di configurazione generali, consulta Configurare il gateway VPN peer.
- Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
- Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.
Passaggi successivi
- Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limitare gli indirizzi IP per i gateway VPN peer.
- Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta Risoluzione dei problemi.