Cette page explique comment créer une passerelle VPN haute disponibilité qui se connecte à une passerelle VPN de pairs.
Les passerelles VPN haute disponibilité utilisent l'API HA VPN et fournissent un contrat de niveau de service garantissant une disponibilité de 99,99 %. Cette configuration utilise une paire de tunnels, avec un tunnel sur chaque interface de passerelle VPN haute disponibilité. Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez configurer des tunnels VPN sur les deux interfaces de passerelle VPN haute disponibilité.
Il existe deux composants de passerelle à configurer pour le VPN haute disponibilité :
- Une passerelle VPN haute disponibilité dans Google Cloud.
Votre passerelle ou vos passerelles VPN de pairs : une ou plusieurs applications ou appareils de passerelle VPN physique dans le réseau de pairs auquel la passerelle VPN haute disponibilité se connecte. La passerelle de pairs peut être soit une passerelle VPN sur site, soit une passerelle hébergée par un autre fournisseur cloud.
Créez une ressource de passerelle VPN externe dans Google Cloud pour chaque appareil ou service de passerelle de pairs. Remarque : Tous les scénarios de passerelles de pairs sont représentés dans Google Cloud par une seule ressource de VPN de pairs externe.
Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :
Pour obtenir des schémas de cette topologie, consultez la section Passerelles VPN haute disponibilité vers VPN pairs.
Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.
Si vous souhaitez déployer un VPN haute disponibilité sur Cloud Interconnect, consultez la présentation du VPN haute disponibilité sur Cloud Interconnect.
Types de redondance
L'API VPN haute disponibilité contient une option pour REDUNDANCY_TYPE
, qui représente le nombre d'interfaces que vous configurez pour la ressource de passerelle VPN externe.
Lorsque vous configurez une ressource de passerelle VPN externe, les commandes gcloud
déduisent automatiquement les valeurs suivantes de REDUNDANCY_TYPE
à partir du nombre d'interfaces que vous indiquez dans l'ID d'interface :
- Une interface VPN externe correspond à
SINGLE_IP_INTERNALLY_REDUNDANT
. - Deux interfaces VPN externes correspondent à
TWO_IPS_REDUNDANCY
. - Quatre interfaces VPN externes correspondent à
FOUR_IPS_REDUNDANCY
.
Lorsque vous configurez des passerelles VPN externes, vous devez utiliser les numéros d'identification d'interface suivants pour le nombre indiqué d'interfaces VPN externes :
- Pour une interface VPN externe, utilisez la valeur
0
. - Pour deux interfaces VPN externes, utilisez les valeurs
0
et1
. - Pour quatre interfaces VPN externes, utilisez les valeurs
0
,1
,2
et3
.
Créer des routeurs cloud
Lors de la configuration d'une nouvelle passerelle VPN haute disponibilité, vous pouvez créer un routeur Cloud Router ou utiliser un routeur Cloud Router existant avec des tunnels Cloud VPN ou des rattachements de VLAN existants. Cependant, le routeur Cloud Router que vous utilisez ne doit pas déjà gérer une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire, en raison des exigences spécifiques du numéro ASN du rattachement.
Avant de commencer
Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.
Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP (Border Gateway Protocol).
Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :
- Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions
gcloud
présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.gcloud config set project PROJECT_ID
-
Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :
gcloud config list --format='text(core.project)'
Créer un réseau VPC et un sous-réseau personnalisés
Avant de créer une passerelle VPN haute disponibilité et une paire de tunnels, créez un réseau cloud privé virtuel (VPC) et au moins un sous-réseau dans la région où se trouve la passerelle VPN haute disponibilité :
- Pour créer un réseau VPC personnalisé (recommandé), consultez la section Créer un réseau VPC en mode personnalisé.
- Pour créer des sous-réseaux, consultez la section Travailler avec des sous-réseaux.
Pour activer le protocole IPv6 pour les passerelles VPN haute disponibilité, vous devez activer l'allocation d'adresses internes IPv6 lors de la création du VPC. De plus, les sous-réseaux doivent être configurés pour utiliser des adresses internes IPv6.
Vous devez également configurer le protocole IPv6 sur les VM du sous-réseau.
- Pour créer un réseau VPC en mode personnalisé avec des adresses IPv6 internes, consultez la section Créer un réseau VPC en mode personnalisé avec au moins un sous-réseau à deux piles.
- Pour créer un sous-réseau avec IPv6 activé, consultez la page Ajouter un sous-réseau à deux piles.
- Pour activer IPv6 dans un sous-réseau existant, consultez la section Convertir un sous-réseau IPv4 en sous-réseau à deux piles.
- Pour créer des VM avec IPv6 activé, consultez la page Configurer IPv6 pour les instances et les modèles d'instance.
Le sous-réseau VPC doit être configuré pour utiliser des adresses IPv6 internes.
Lorsque vous utilisez gcloud CLI, vous devez configurer le sous-réseau avec l'indicateur --ipv6-access-type=INTERNAL
. Cloud Router n'annonce pas dynamiquement les routes pour les sous-réseaux configurés pour utiliser des adresses IPv6 externes (--ipv6-access-type=EXTERNAL
).
Pour en savoir plus sur l'utilisation de plages IPv6 internes dans votre réseau et sous-réseaux VPC, consultez la section Spécifications IPv6 internes.
Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, qui se comporte comme suit :
- Toutes les instances de Cloud Router appliquent les routes
to on-premises
apprises à tous les sous-réseaux du réseau VPC. - Les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.
Créer une passerelle VPN haute disponibilité et une paire de tunnels vers un VPN de pairs
Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, une paire de tunnels et des sessions BGP.
Créer une passerelle VPN haute disponibilité
Console
L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.
Pour créer une passerelle VPN haute disponibilité, procédez comme suit :
Dans Google Cloud Console, accédez à la page VPN.
Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.
Sélectionnez l'assistant de configuration VPN.
Si vous disposez déjà d'une passerelle VPN haute disponibilité, sélectionnez son bouton d'options.
Cliquez sur Continuer.
Spécifiez un nom de passerelle VPN.
Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.
Sélectionnez une Région.
Sélectionnez un type de pile pour la passerelle VPN, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile).
Cliquez sur Créer et continuer.
L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IP externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.
gcloud
Pour créer une passerelle VPN haute disponibilité, exécutez les commandes suivantes. Lorsque la passerelle est créée, deux adresses IP externes sont automatiquement attribuées, une pour chaque interface de passerelle.
- Pour n'accepter que les charges de travail IPv4, vous pouvez créer une passerelle VPN haute disponibilité avec le type de pile
IPV4_ONLY
. - Pour gérer les charges de travail IPv4 et IPv6, vous pouvez créer une passerelle VPN haute disponibilité avec le type de pile
IPV4_IPV6
. - Pour n'accepter que les charges de travail IPv6, vous pouvez créer une passerelle VPN haute disponibilité avec le type de pile
IPV6_ONLY
, disponible en version bêta via Google Cloud CLI ou l'API.
Pour créer une passerelle VPN haute disponibilité avec des interfaces IPv4, exécutez la commande suivante. Lorsque la passerelle est créée, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --stack-type=IP_STACK
Vous pouvez également spécifier --gateway-ip-version=IPV4
. Toutefois, cette option n'est pas obligatoire. Si vous ne spécifiez pas cette option, la passerelle VPN haute disponibilité utilise par défaut des adresses IPv4 externes.
Pour créer une passerelle VPN haute disponibilité avec des interfaces IPv6, exécutez la commande suivante. Lorsque la passerelle est créée, deux adresses IPv6 externes sont automatiquement attribuées, une pour chaque interface de passerelle.
gcloud beta compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Remplacez les éléments suivants :
GW_NAME
: nom de la passerelleNETWORK
: nom de votre réseau Google CloudREGION
: région Google Cloud dans laquelle vous créez la passerelle et le tunnelIP_STACK
: option facultative à utiliser pour la pile IP. IndiquezIPV4_ONLY
,IPV4_IPV6
ouIPV6_ONLY
(bêta). Si vous ne spécifiez pas cette option, le type de pile par défaut estIPV4_ONLY
pour les passerelles VPN haute disponibilité avec des interfaces IPv4, etIPV4_IPV6
pour les passerelles avec des interfaces IPv6.
La passerelle que vous créez ressemble à l'exemple de résultat suivant. Si vous spécifiez "--gateway-ip-version=IPV6", des interfaces IPv6 sont attribuées. Sinon, une adresse IPv4 externe est automatiquement attribuée à chaque interface de passerelle :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.16 203.0.113.23 network-a us-central1
API
Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.
Pour créer une passerelle VPN haute disponibilité, envoyez une requête POST
à l'aide de la méthode vpnGateways.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6", "gatewayIpVersion": "IPV4" }
POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Lorsque vous créez une passerelle VPN haute disponibilité avec des interfaces IPv4, les champs
gatewayIpVersion
etstackType
sont facultatifs.Si vous ne spécifiez pas
gatewayIpVersion
, la valeur par défaut estIPV4
.Les seules valeurs
stackType
valides pour une passerelle dont le paramètregatewayIpVersion
est défini surIPV4
sontIPV4_IPV6
ouIPV4_ONLY
.
Si vous ne spécifiez pas
stackType
, la valeur par défaut estIPV4_ONLY
.Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier
IPV6
comme valeurgatewayIpVersion
. Le champstackType
est facultatif.Si vous ne spécifiez pas
stackType
, la valeur par défaut estIPV4_IPV6
.Les seules valeurs
stackType
valides pour une passerelle dont le champgatewayIpVersion
est défini surIPV6
sontIPV4_IPV6
ouIPV6_ONLY
(bêta).
Créer une ressource de passerelle VPN de pairs
Console
La ressource de passerelle VPN de pairs représente votre passerelle autre que Google Cloud dans Google Cloud.
Pour créer une ressource de passerelle VPN de pairs, procédez comme suit :
- Sur la page Créer un VPN, sous Passerelle VPN de pairs, sélectionnez Sur site ou non Google Cloud.
Sous Nom de la passerelle VPN de pairs, sélectionnez une passerelle de pairs existante ou cliquez sur Créer une passerelle VPN de pairs.
Si vous choisissez une passerelle existante, Google Cloud Console sélectionne le nombre de tunnels à configurer en fonction du nombre d'interfaces de pairs que vous avez configurées sur la passerelle de pairs existante.
Pour créer une nouvelle passerelle de pairs, procédez comme suit :
- Spécifiez un Nom pour la passerelle VPN de pairs.
- Sous Interfaces de passerelle VPN de pairs, sélectionnez les interfaces
one
,two
oufour
, en fonction du type d'interfaces de votre passerelle de pairs. Pour obtenir des exemples sur chaque type, consultez la page Topologies. - Dans le champ correspondant à chaque interface VPN de pairs, spécifiez l'adresse IP externe utilisée pour l'interface. Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.
- Cliquez sur Create (Créer).
gcloud
Créez une ressource de passerelle VPN externe qui fournit à Google Cloud des informations sur votre ou vos passerelles VPN de pairs. En fonction des recommandations de haute disponibilité pour votre passerelle VPN de pairs, vous pouvez créer des ressources de passerelle VPN externe pour les différents types de passerelles VPN sur site suivants :
- Deux appareils de passerelle VPN de pairs distincts, où les deux appareils sont redondants entre eux et où chaque appareil possède sa propre adresse IP externe.
- Une passerelle VPN de pairs unique utilisant deux interfaces distinctes, chacune avec sa propre adresse IP externe. Pour ce type de passerelle de pairs, vous pouvez créer une passerelle VPN externe unique avec deux interfaces.
- Une passerelle VPN de pairs unique avec une seule adresse IP externe.
Option 1 : Créer une ressource de passerelle VPN externe pour deux appareils de passerelle VPN de pairs
Pour ce type de passerelle de pairs, chaque interface de la passerelle VPN externe possède une adresse IP externe et chaque adresse provient de l'un des appareils de passerelle VPN de pairs.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Remplacez les éléments suivants :
PEER_GW_NAME
: nom représentant la passerelle de pairsPEER_GW_IP_0
: adresse IP externe d'une passerelle de pairsPEER_GW_IP_1
: adresse IP externe d'une autre passerelle de pairs
La ressource de passerelle VPN externe créée doit ressembler à l'exemple suivant où
PEER_GW_IP_0
etPEER_GW_IP_1
indiquent les adresses IP externes réelles des interfaces de la passerelle de pairs :Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Option 2 : Créer une ressource de passerelle VPN externe pour une passerelle VPN de pairs avec deux interfaces distinctes
Pour ce type de passerelle de pairs, créez une passerelle VPN externe unique avec deux interfaces :
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Remplacez les éléments suivants :
PEER_GW_NAME
: nom représentant la passerelle de pairsPEER_GW_IP_0
: adresse IP externe d'une interface de la passerelle de pairsPEER_GW_IP_1
: adresse IP externe d'une autre interface de la passerelle de pairs
La ressource de passerelle VPN externe créée doit ressembler à l'exemple suivant où
PEER_GW_IP_0
etPEER_GW_IP_1
indiquent les adresses IP externes réelles des interfaces de la passerelle de pairs :Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Option 3 : Créer une ressource de passerelle VPN externe pour une seule passerelle VPN de pairs avec une seule adresse IP externe
Pour ce type de passerelle de pairs, créez une passerelle VPN externe avec une interface :
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0
Remplacez les éléments suivants :
PEER_GW_NAME
: nom représentant la passerelle de pairsPEER_GW_IP_0
: adresse IP externe de l'interface de la passerelle de pairs
La ressource de passerelle VPN externe créée ressemble à l'exemple suivant, où
PEER_GW_IP_0
indique les adresses IP externes réelles de l'interface de passerelle de pairs :Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 peer-gw PEER_GW_IP_0
API
Pour créer une ressource de passerelle VPN externe, envoyez une requête POST
à l'aide de la méthode externalVpnGateways.insert
.
- Pour une passerelle VPN (de pairs) externe disposant d'une interface, utilisez l'exemple suivant, mais spécifiez un seul ID d'interface et une adresse IP (
ipAddress
) avec un type de redondanceredundancyType
SINGLE_IP_INTERNALLY_REDUNDANT
. - Pour une passerelle VPN externe avec deux interfaces, ou deux passerelles VPN externes avec une interface chacune, utilisez l'exemple de type de redondance
TWO_IPS_REDUNDANCY
ci-dessous. Pour une ou plusieurs passerelles VPN externes avec quatre interfaces VPN externes (par exemple, Amazon Web Services (AWS), utilisez l'exemple suivant, mais spécifiez quatre instances de l'ID d'interface et une adresse IP (
ipAddress
), et utilisez une commanderedundancyType
FOUR_IPS_REDUNDANCY
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways { "name": "my-peer-gateway", "interfaces": [ { "id": 0, "ipAddress": "192.0.2.1" }, { "id": 1, "ipAddress": "192.0.2.2" } ], "redundancyType": "TWO_IPS_REDUNDANCY" }
Créer un routeur cloud
Console
Sous Routeur cloud, si ce n'est pas déjà fait, créez un routeur cloud en spécifiant les options suivantes. Vous pouvez utiliser un routeur Cloud Router existant tant que celui-ci n'est pas utilisé pour Cloud NAT.
Pour créer un routeur Cloud Router, spécifiez les éléments suivants :
- Un nom
- Une description facultative
- Un numéro ASN Google pour le nouveau routeur
Vous pouvez utiliser n'importe quel ASN privé (
64512
à65534
,4200000000
à4294967294
) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.Pour créer le routeur, cliquez sur Créer.
gcloud
Vous pouvez utiliser un routeur Cloud Router existant tant que celui-ci n'est pas utilisé pour Cloud NAT. Sinon, créez un autre routeur cloud.
Pour créer un routeur Cloud Router, exécutez la commande suivante :
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Remplacez les éléments suivants :
ROUTER_NAME
: nom du routeur Cloud Router dans la même région que la passerelle Cloud VPN.REGION
: région Google Cloud dans laquelle vous créez la passerelle et le tunnelNETWORK
: nom de votre réseau VPCGOOGLE_ASN
: tout numéro ASN privé (64512
à65534
,4200000000
à4294967294
) que vous n'utilisez pas déjà dans le réseau de pairs. Ce numéro est utilisé pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement
Le routeur que vous créez ressemble à l'exemple de résultat suivant:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
API
Vous pouvez utiliser un routeur Cloud Router existant tant que celui-ci n'est pas utilisé pour Cloud NAT. Sinon, créez un autre routeur cloud.
Pour créer un routeur Cloud Router, envoyez une requête POST
à l'aide de la méthode routers.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
Créer des tunnels VPN
Console
Si vous avez configuré votre ressource de passerelle VPN de pairs avec une seule interface, sur la page Créer un VPN, configurez votre tunnel unique dans la boîte de dialogue du tunnel VPN unique. Pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez créer un second tunnel.
Si vous avez configuré votre ressource de passerelle VPN de pairs avec deux ou quatre interfaces, configurez les boîtes de dialogue associées qui s'affichent en bas de la page Créer un VPN.
Pour créer des tunnels VPN, procédez comme suit :
- Le cas échéant, sous Interface de passerelle Cloud VPN associée, sélectionnez la combinaison d'interface VPN haute disponibilité et d'adresse IP que vous souhaitez associer à votre passerelle VPN de pairs pour ce tunnel.
- Sous Interface de passerelle VPN de pairs associée, sélectionnez la combinaison d'interface de passerelle VPN de pairs et d'adresse IP que vous souhaitez associer à ce tunnel et à l'interface VPN haute disponibilité. Cette interface doit correspondre à celle de votre routeur de pairs.
- Spécifiez un Nom pour le tunnel.
- Spécifiez une Description facultative.
- Spécifiez la version IKE. Nous vous recommandons d'utiliser IKE v2, le paramètre par défaut, si votre routeur de pairs est compatible. Pour autoriser le trafic IPv6, vous devez sélectionner IKEv2.
- Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
- Cliquez sur OK.
- Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.
- Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.
gcloud
Créez deux tunnels VPN, un pour chaque interface sur la passerelle VPN haute disponibilité Lorsque vous créez des tunnels VPN, spécifiez le côté pair des tunnels VPN comme étant la passerelle VPN externe que vous avez créée précédemment. Selon le type de redondance de la passerelle VPN externe, configurez les tunnels en utilisant l'une des deux options suivantes.
Option 1 : Si la passerelle VPN externe est composée de deux appareils de passerelle VPN de pairs distincts ou d'un seul appareil avec deux adresses IP
Dans ce cas, un tunnel VPN doit se connecter à l'
interface 0
de la passerelle VPN externe, et l'autre tunnel VPN doit se connecter à l'interface 1
de la passerelle VPN externe.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_1
Remplacez les éléments suivants :
TUNNEL_NAME_IF0
etTUNNEL_NAME_IF1
: nom du tunnel ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurementPEER_GW_NAME
: nom de la passerelle de pairs externe créée précédemmentPEER_EXT_GW_IF0
etPEER_EXT_GW_IF1
: numéro d'interface configuré précédemment sur la passerelle de pairs externeIKE_VERS
:1
pour IKEv1 ou2
pour IKEv2 ; si possible, utilisez la version IKEv2 du protocole IKE. Si votre passerelle de pairs nécessite IKEv1, remplacez--ike-version 2
par--ike-version 1
. Pour autoriser le trafic IPv6, vous devez spécifier le protocole IKEv2.SHARED_SECRET
: votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée du tunnel partenaire que vous créez sur votre passerelle de pairs ; pour obtenir des recommandations, consultez la section Générer une clé pré-partagée sécuriséeGW_NAME
: nom de la passerelle VPN haute disponibilitéINT_NUM_0
: numéro0
pour la première interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.INT_NUM_1
: numéro1
pour la deuxième interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.- Facultatif :
--vpn-gateway-region
correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de--region
. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande.
Le résultat de la commande ressemble à ceci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 1
Option 2 : Si la passerelle VPN externe est une passerelle VPN de pairs avec une seule adresse IP externe
Dans ce cas, les deux tunnels VPN doivent se connecter à l'
interface 0
de la passerelle VPN externe.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ --interface=INT_NUM_1
Remplacez les éléments suivants :
TUNNEL_NAME_IF0
etTUNNEL_NAME_IF1
: nom du tunnel ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurementPEER_GW_NAME
: nom de la passerelle de pairs externe créée précédemmentPEER_EXT_GW_IF0
: numéro d'interface configuré précédemment sur la passerelle de pairs externe- Facultatif :
--vpn-gateway-region
correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de--region
. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande. IKE_VERS
:1
pour IKEv1 ou2
pour IKEv2. Si possible, utilisez la version IKEv2 du protocole IKE. Si votre passerelle de pairs nécessite IKEv1, remplacez--ike-version 2
par--ike-version 1
. Pour autoriser le trafic IPv6, vous devez spécifier le protocole IKEv2.SHARED_SECRET
: votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée du tunnel partenaire que vous créez sur votre passerelle de pairs ; pour obtenir des recommandations, consultez la section Générer une clé pré-partagée sécuriséeINT_NUM_0
: numéro0
pour la première interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.INT_NUM_1
: numéro1
pour la deuxième interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.
Le résultat de la commande ressemble à ceci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 0
API
Pour créer deux tunnels VPN, un pour chaque interface sur la passerelle VPN haute disponibilité, effectuez une requête POST
à l'aide de la méthode vpnTunnels.insert
. Pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %, vous devez créer un tunnel sur chaque interface de votre passerelle VPN haute disponibilité.
Pour créer le premier tunnel, exécutez la commande suivante :
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway", "peerExternalGatewayInterface": 0, "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SHARED_SECRET", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier
2
pourikeVersion
.Pour créer le second tunnel, répétez cette commande, mais modifiez les paramètres suivants :
name
peerExternalGatewayInterface
sharedSecret
ousharedSecretHash
(si nécessaire)vpnGatewayInterface
: remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par1
)
Créer des sessions BGP
Pour chaque tunnel VPN haute disponibilité, vous pouvez créer une session BGP IPv4, une session BGP IPv6 ou les deux.
Le tableau suivant répertorie le type de session BGP pour la pile VPN haute disponibilité et le trafic réseau VPC. Pour afficher des instructions spécifiques, sélectionnez le type de session BGP.
Type de session BGP | Passerelle VPN haute disponibilité | Type de réseau VPC | BGP multiprotocole (MP-BGP) autorisé ? |
---|---|---|---|
Sessions IPv4 BGP | IPv4 uniquement ou double pile | IPv4 uniquement ou double pile | oui |
Sessions IPv6 BGP | double pile | double pile | oui |
Sessions IPv4 et IPv6 BGP | double pile | double pile | 0 |
Pour configurer à la fois une session IPv4 et une session BGP IPv6 dans le même tunnel, ou pour activer MP-BGP dans la session BGP d'un tunnel VPN haute disponibilité, utilisez une passerelle VPN haute disponibilité à double pile. Toutefois, si vous configurez une session IPv4 BGP et une session IPv6 BGP dans le même tunnel VPN haute disponibilité, vous ne pouvez pas activer MP-BGP dans les deux sessions.
Sessions BGP IPv4
Console
Pour créer des sessions BGP, procédez comme suit :
- Cliquez sur Configurer la session BGP.
- Sur la page Créer une session BGP, procédez comme suit :
- Dans le champ Type de session BGP, sélectionnez Session BGP IPv4.
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Sous Numéro ASN du pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Facultatif : Pour activer l'échange de routage IPv6, cliquez sur l'option Activer le trafic IPv6.
Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit : 1. Dans le champ Adresse IPv4 BGP du routeur cloud, saisissez l'adresse IPv4 BGP du routeur cloud. 1. Dans le champ Adresse IPv4 du pair BGP, saisissez l'adresse IPv4 du pair BGP. L'adresse IPv4 doit répondre aux exigences suivantes : * Chaque adresse IPv4 doit appartenir au même sous-réseau
/30
compris dans la plage d'adresses169.254.0.0/16
. Chaque adresse IPv4 BGP est le premier ou le deuxième hôte du sous-réseau/30
. Les première et dernière adresses IP du sous-réseau sont réservées aux adresses réseau et de diffusion. * Chaque plage d'adresses IPv4 d'une session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv4 pour votre session BGP.
- Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
1. Dans le champ Saut suivant IPv6 BGP de Cloud Router, saisissez une adresse IPv6 dans la plage d'adresses
2600:2d00:0:2::/63
. Cette adresse correspond à l'adresse de saut suivant pour les routes IPv6 annoncées par le routeur Cloud Router. 1. Pour Saut suivant IPv6 du pair BGP, saisissez une adresse IPv6 comprise dans la plage d'adresses2600:2d00:0:2::/63
. Cette adresse IP correspond à l'adresse de saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP.- Facultatif : développez la section Options avancées.
- Pour activer l'option Pair BGP, sélectionnez Activé. Si cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez la section Établir des sessions BGP.
- Pour activer l'authentification MD5, sélectionnez Activé. Si cette option est activée, l'authentification MD5 est utilisée pour authentifier les sessions BGP. Pour en savoir plus, consultez la section Utiliser l'authentification MD5. Vous pouvez également choisir d'activer l'authentification MD5 ultérieurement.
- Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées. 1. Cliquez sur Save and Continue (Enregistrer et continuer).
- Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
1. Dans le champ Saut suivant IPv6 BGP de Cloud Router, saisissez une adresse IPv6 dans la plage d'adresses
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Pour créer des sessions BGP, procédez comme suit :
Dans les commandes, remplacez les éléments suivants :
ROUTER_INTERFACE_NAME_0
etROUTER_INTERFACE_NAME_1
: nom de l'interface Cloud Router ; il peut être utile d'utiliser des noms associés aux noms des tunnels configurés précédemmentTUNNEL_NAME_0
etTUNNEL_NAME_1
: tunnel associé à l'interface de passerelle VPN haute disponibilité que vous avez configuréeIP_VERSION
: spécifiezIPV4
ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut estIPV4
.IP_PREFIXES
etCUSTOM_ROUTE_PRIORITY
: valeurs qui vous permettent de spécifier manuellement des routes apprises pour une session BGP. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes personnalisées apprises.AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Attribuer des adresses IPv4 pour une session BGP
Pour configurer les adresses pour BGP, choisissez la méthode automatique ou manuelle. Ces commandes n'activent pas le protocole IPv6 pour BGP.
Si vous souhaitez activer IPv6, exécutez les commandes répertoriées dans la section Attribuer des adresses de saut suivant IPv6.
Automatique
Pour permettre à Google Cloud de choisir automatiquement les adresses IPv4 BGP de liaison locale, procédez comme suit.
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Par défaut, si vous ne spécifiez pas de version IP, la commande attribue une adresse IPv4 à l'interface.
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez la configuration de pair BGP à l'interface pour le premier tunnel ; remplacez
PEER_NAME_0
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par Le numéro ASN du pair BGP:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Si vous souhaitez définir des routes apprises personnalisées pour le pair, ajoutez l'option
--set-custom-learned-route-ranges
. Vous pouvez également utiliser l'option--custom-learned-route-priority
pour définir une valeur de priorité comprise entre0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes apprises personnalisées.Par exemple, pour ajouter des routes apprises personnalisées et définir une priorité pour les routes, exécutez la commande suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Si vous souhaitez utiliser l'authentification MD5, ajoutez l'option
--md5-authentication-key
. Utilisez ce champ pour identifier votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Ajoutez une configuration de pair BGP à l'interface pour le deuxième tunnel ; remplacez
PEER_NAME_1
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Si vous avez configuré des routes apprises personnalisées sur le premier tunnel, vous souhaiterez peut-être configurer les mêmes routes sur le deuxième tunnel. Par exemple, vous pouvez configurer le deuxième tunnel afin qu'il fonctionne comme solution de secours pour les routes. Dans ce cas, attribuez aux routes une priorité moins privilégiée (un nombre plus élevé). Si vous souhaitez utiliser les deux tunnels dans le cadre d'une route ECMP (Equal-Cost Multi-Path), attribuez aux routes la même priorité que celle du premier tunnel. Dans les deux cas, utilisez une commande semblable à la suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Si vous souhaitez utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuel
Pour attribuer manuellement les adresses IPv4 BGP associées à l'interface Cloud Router et au pair BGP, procédez comme suit.
Pour chaque tunnel VPN, choisissez deux adresses IPv4 de liaison locale dans un bloc /30
de la plage d'adresses 169.254.0.0/16
(un total de quatre sous-réseaux /30
, un par VPN haute disponibilité).
Les sous-réseaux IPv4 que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Pour chaque tunnel, attribuez l'une de ces adresses IPv4 BGP au routeur cloud et l'autre adresse IPv4 BGP à votre passerelle VPN de pairs. Configurez votre appareil VPN de pairs pour qu'il utilise l'adresse IPv4 BGP des pairs.
Dans les commandes suivantes, remplacez les éléments suivants :
GOOGLE_BGP_IP_0
: adresse IPv4 BGP de l'interface de Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 0
;PEER_BGP_IP_0
représente l'adresse IPv4 BGP de son pair.GOOGLE_BGP_IP_1
: adresse IPv4 BGP de l'interface de Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 1
;PEER_BGP_IP_1
représente l'adresse IPv4 BGP de son pair.MASK_LENGTH
:30
; Cloud Router doit utiliser un sous-réseau/30
unique de la plage d'adresses IPv4169.254.0.0/16
.
Pour le premier tunnel VPN
Ajoutez une interface au routeur cloud ; Remplacez
ROUTER_INTERFACE_NAME_0
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IP_0 \ --mask-length 30 \ --region=REGION
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface ; remplacez
PEER_NAME_0
par le nom du pair, et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION
Si vous souhaitez définir des routes apprises personnalisées pour le pair, ajoutez l'option
--set-custom-learned-route-ranges
. Vous pouvez également utiliser l'option--custom-learned-route-priority
pour définir une valeur de priorité comprise entre0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes apprises personnalisées.Par exemple, pour ajouter des routes apprises personnalisées et définir une priorité pour les routes, exécutez la commande suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Si vous souhaitez utiliser l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une interface au routeur cloud ; Remplacez
ROUTER_INTERFACE_NAME_1
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IP_1 \ --mask-length 30 \ --region=REGION
Ajoutez une configuration de pair BGP à l'interface ; remplacez
PEER_NAME_1
par le nom du pair, et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IP_1 \ --region=REGION
Si vous avez configuré des routes apprises personnalisées sur le premier tunnel, vous pouvez spécifier les mêmes routes sur le deuxième tunnel. Par exemple, vous pouvez configurer le deuxième tunnel afin qu'il fonctionne comme solution de secours pour les routes. Dans ce cas, attribuez aux routes une priorité moins privilégiée (un nombre plus élevé). Si vous souhaitez utiliser les deux tunnels dans le cadre d'une route ECMP (Equal-Cost Multi-Path), attribuez aux routes la même priorité que celle du premier tunnel. Dans les deux cas, utilisez une commande semblable à la suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=PRIORITY
Facultatif : Pour activer l'authentification MD5, utilisez l'option
--md5-authentication-key
afin de fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Attribuer des adresses de saut suivant IPv6
Utilisez les commandes de cette section uniquement si vous souhaitez que les tunnels VPN utilisent MP-BGP et échangent du trafic IPv4 et IPv6. Si vous ne souhaitez pas acheminer le trafic IPv6 sur ce tunnel ou si vous envisagez d'ajouter ultérieurement une seule session BGP IPv6 à ce tunnel, vous pouvez utiliser les commandes répertoriées dans la section Attribuez des adresses BGP IPv4.
Automatique
Si vous créez une session BGP IPv4 qui utilise MP-BGP, Google Cloud peut vous attribuer automatiquement des adresses de saut suivant IPv6.
Google Cloud attribue les adresses inutilisées de la plage d'adresses IPv6 2600:2d00:0:2::/63
.
Cette configuration n'a pas de rapport avec la configuration automatique ou manuelle des adresses IPv4 du routeur Cloud Router et du pair BGP. Les commandes suivantes utilisent la configuration automatique. Cependant, vous pouvez également attribuer des adresses IPv4 du pair BGP et IPv4 BGP à l'aide des options --ip-address
et --peer-ip-address
décrites sur la page Attribuer des adresses BGP IPv4.
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface pour le premier tunnel ; remplacez
PEER_NAME_0
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6
En spécifiant l'option
--enable-ipv6
, vous activez l'échange de routes IPv6 dans cette session BGP IPv4, qui est nécessaire pour attribuer des adresses de saut suivant IPv6. Vous pouvez désactiver l'échange de route IPv6 ultérieurement. Pour en savoir plus, consultez la page Configurer la fonctionnalité BGP multiprotocole dans les sessions IPv4 ou IPv6.Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Ajoutez une configuration de pair BGP à l'interface pour le deuxième tunnel ; remplacez
PEER_NAME_1
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6
Manuel
Lorsque vous créez une session BGP IPv4 qui utilise MP-BGP, vous pouvez configurer manuellement les adresses de saut suivant IPv6 pour le routeur Cloud Router et le pair BGP.
Cette configuration n'a aucune relation avec le fait que vous choisissiez la configuration automatique ou manuelle des adresses IPv4 du routeur Cloud Router et du pair BGP. Pour obtenir des exemples de configuration manuelle de ces adresses, consultez la page Attribuer des adresses BGP IPv4.
Pour chaque tunnel VPN, choisissez deux adresses de saut suivant IPv6.
Les adresses de saut suivant IPv6 que vous spécifiez doivent être uniques parmi tous les routeurs Cloud Router de toutes les régions d'un réseau VPC et sélectionnées dans les plages d'adresses IPv6 internes pré-allouées par Google : 2600:2d00:0:2::/63
.
Pour attribuer manuellement les adresses de saut suivant IPv6 de BGP, procédez comme suit.
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface pour le premier tunnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Dans les commandes, remplacez les éléments suivants :
PEER_NAME_0
par le nom de l'interface VPN de pairs.PEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs.IPV6_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses2600:2d00:0:2::/63
.PEER_IPV6_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv6 apprises par Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses IPv62600:2d00:0:2::/63
.
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Ajoutez une configuration de pair BGP à la deuxième interface pour le deuxième tunnel.
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Dans les commandes, remplacez les éléments suivants :
PEER_NAME_1
par le nom de l'interface VPN de pairs.PEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs.IPV6_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router.PEER_IPV6_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP
API
Pour créer des sessions BGP, procédez comme suit :
Pour créer une interface Cloud Router, envoyez l'une des requêtes suivantes :
PATCH
: Utilisez la méthoderouters.patch
UPDATE
: Utilisez la méthoderouters.update
La requête
PATCH
ne met à jour que les paramètres que vous incluez, tandis que la requêteUPDATE
met à jour tous les paramètres d'un routeur cloud.Chaque plage d'adresses BGP pour chaque session BGP IPv4 doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Répétez cette étape et cette commande pour chaque tunnel VPN sur la deuxième passerelle VPN haute disponibilité.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Pour ajouter une configuration de pair BGP à l'interface, effectuez l'une des requêtes suivantes :
PATCH
: Utilisez la méthoderouters.patch
UPDATE
: Utilisez la méthoderouters.update
Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf
name
etpeerAsn
.Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" } ] }
L'exemple suivant inclut une commande permettant d'ajouter un pair BGP avec l'échange de routes IPv6 activé et des adresses de saut suivant IPv6 configurées manuellement. Si vous omettez
ipv6NexthopAddress
etpeerIpv6NexthopAddress
, les adresses de saut suivant IPv6 sont automatiquement attribuées.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress: "2600:2d00:0:2::1" "peerIpv6NexthopAddress: "2600:2d00:0:2::2" } ] }
Si vous souhaitez spécifier des routes apprises personnalisées pour le pair, définissez les préfixes IP des routes. Vous pouvez également définir une valeur de priorité comprise entre
0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes apprises personnalisées.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress": "2600:2d00:0:2::1", "peerIpv6NexthopAddress": "2600:2d00:0:2::2", "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Pour configurer la session pour l'authentification MD5, incluez une clé d'authentification dans votre requête en ajoutant à la fois la clé et le nom de la clé. Ensuite, lors de la création de la session d'appairage BGP, référencez cette clé par son nom.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessions IPv6 BGP
Console
Pour créer des sessions BGP, procédez comme suit :
- Cliquez sur Configurer la session BGP.
Sur la page Créer une session BGP, procédez comme suit :
- Dans le champ Type de session BGP, sélectionnez Session BGP IPv6.
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Sous Numéro ASN du pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Facultatif : pour activer l'échange de route IPv4, cliquez sur l'option Activer le trafic IPv4.
- Pour Allouer une adresse IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Dans le champ Adresse IPv6 BGP du routeur Cloud Router, saisissez l'adresse IPv6 BGP du routeur Cloud Router.
- Dans le champ Adresse IPv6 du pair BGP, saisissez l'adresse IPv6 du pair BGP. L'adresse IPv6 doit répondre aux exigences suivantes :
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
fdff:1::/64
avec une longueur de masque de/64
. Exemple :fdff:1::1
. - Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
- Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv6 pour votre session BGP.
- Facultatif : si vous avez activé l'échange de route IPv6 à l'étape précédente, pour Allouer le saut suivant IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
1. Dans le champ Saut suivant IPv4 de BGP Cloud Router, saisissez une adresse IPv4 dans la plage d'adresses
169.254.0.0/16
. Cette adresse IP correspond à l'adresse de saut suivant pour les routes IPv4 annoncées par le routeur Cloud Router. 1. Dans le champ Saut suivant IPv4 du pair BGP, saisissez une adresse IP comprise dans la plage d'adresses169.254.0.0/16
. Cette adresse IP correspond à l'adresse de saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP.- Facultatif : développez la section Options avancées.
- Pour activer l'option Pair BGP, sélectionnez Activé. Si cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez la section Établir des sessions BGP.
- Pour ajouter l'authentification MD5, sélectionnez Activée. Si cette option est activée, vous pouvez utiliser l'authentification MD5 pour authentifier les sessions BGP entre Cloud Router et ses pairs. Pour en savoir plus, consultez la section Utiliser l'authentification MD5. Vous pouvez également choisir d'activer l'authentification MD5 ultérieurement.
- Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées. 1. Cliquez sur Save and Continue (Enregistrer et continuer).
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Pour créer des sessions BGP, procédez comme suit :
Dans les commandes, remplacez les éléments suivants :
ROUTER_INTERFACE_NAME_0
etROUTER_INTERFACE_NAME_1
: nom de l'interface Cloud Router ; il peut être utile d'utiliser des noms associés aux noms des tunnels configurés précédemmentTUNNEL_NAME_0
etTUNNEL_NAME_1
: tunnel associé à l'interface de passerelle VPN haute disponibilité que vous avez configuréeIP_VERSION
:IPV6
. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.IP_PREFIXES
etCUSTOM_ROUTE_PRIORITY
: valeurs qui vous permettent de spécifier manuellement des routes apprises pour une session BGP. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes personnalisées apprises.AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.
Facultatif: Attribuer une plage d'identifiants BGP
Lorsque vous ajoutez la première interface à un routeur cloud, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement. Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.
Attribuez des adresses IPv6 BGP.
Les procédures suivantes créent des sessions BGP IPv6 avec des adresses IPv6 BGP et des adresses IPv6 des pairs BGP configurées automatiquement ou manuellement.
Si vous souhaitez utiliser IPv6 BGP avec MP-BGP, exécutez les commandes répertoriées dans la section Attribuer des adresses de saut suivant IPv4.
Automatique
Pour permettre à Google Cloud de choisir automatiquement les adresses IPv6 pour la session BGP, procédez comme suit :
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface pour le premier tunnel ; remplacez
PEER_NAME_0
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Si vous souhaitez définir des routes apprises personnalisées pour le pair, ajoutez l'option
--set-custom-learned-route-ranges
. Vous pouvez également utiliser l'option--custom-learned-route-priority
pour définir une valeur de priorité comprise entre0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes apprises personnalisées.Par exemple, pour ajouter des routes apprises personnalisées et définir une priorité pour les routes, exécutez la commande suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Facultatif : Si vous souhaitez activer l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Ajoutez une configuration de pair BGP à l'interface pour le deuxième tunnel ; remplacez
PEER_NAME_1
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Si vous avez configuré des routes apprises personnalisées sur le premier tunnel, vous souhaiterez peut-être configurer les mêmes routes sur le deuxième tunnel. Par exemple, vous pouvez configurer le deuxième tunnel afin qu'il fonctionne comme solution de secours pour les routes. Dans ce cas, attribuez aux routes une priorité moins privilégiée (un nombre plus élevé). Si vous souhaitez utiliser les deux tunnels dans le cadre d'une route ECMP (Equal-Cost Multi-Path), attribuez aux routes la même priorité que celle du premier tunnel. Dans les deux cas, utilisez une commande semblable à la suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Facultatif : Si vous souhaitez activer l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuel
Pour attribuer manuellement des adresses IPv6 à la session BGP associée à l'interface Cloud Router et au pair BGP, procédez comme suit.
Pour chaque tunnel VPN, choisissez deux adresses IPv6 appropriées pour la session BGP en fonction du type de session BGP que vous configurez.
Chaque adresse IPv6 doit être une adresse locale unique (ULA) de la plage d'adresses IPv6 fdff:1::/64
avec une longueur de masque inférieure ou égale à /126
. Exemple : fdff:1::1
.
Chaque adresse IPv6 doit être unique parmi tous les routeurs Cloud Router de toutes les régions d'un réseau VPC.
Pour chaque tunnel, attribuez l'une de ces adresses IPv6 au routeur Cloud Router et l'autre adresse IPv6 à votre passerelle VPN de pairs. Configurez votre appareil VPN de pairs pour qu'il utilise l'adresse IPv6 du pair de la session BGP.
Dans les commandes suivantes, remplacez les éléments suivants :
GOOGLE_BGP_IPV6_0
: adresse IPv6 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 0
;PEER_BGP_IPV6_0
représente l'adresse IPv6 de son pair BGP et doit correspondre à la version d'IP deGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV6_1
: adresse IPv6 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 1
;PEER_BGP_IPV6_1
représente l'adresse IPv6 de son pair BGP et doit correspondre à la version d'IP deGOOGLE_BGP_IPV6_1
Pour le premier tunnel VPN
Ajoutez une interface au routeur cloud ; Remplacez
ROUTER_INTERFACE_NAME_0
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Remplacez
MASK_LENGTH
par une valeur inférieure ou égale à126
.Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
ajouter une configuration de pair BGP à l'interface ; Remplacez PEER_NAME_0
with a name for the peer, and replace
PEER_ASN par le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Si vous souhaitez définir des routes apprises personnalisées pour le pair, ajoutez l'option
--set-custom-learned-route-ranges
. Vous pouvez également utiliser l'option--custom-learned-route-priority
pour définir une valeur de priorité comprise entre0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes apprises personnalisées.Par exemple, pour ajouter des routes apprises personnalisées et définir une priorité pour les routes, exécutez la commande suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Facultatif : Si vous souhaitez activer l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud Router ; remplacez
ROUTER_INTERFACE_NAME_1
par le nom de l'interface :gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Remplacez
MASK_LENGTH
par une valeur inférieure ou égale à64
.Ajoutez une configuration de pair BGP à l'interface ; remplacez
PEER_NAME_1
par le nom du pair, et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Si vous avez configuré des routes apprises personnalisées sur le premier tunnel, vous pouvez spécifier les mêmes routes sur le deuxième tunnel. Par exemple, vous pouvez configurer le deuxième tunnel afin qu'il fonctionne comme solution de secours pour les routes. Dans ce cas, attribuez aux routes une priorité moins privilégiée (un nombre plus élevé). Si vous souhaitez utiliser les deux tunnels dans le cadre d'une route ECMP (Equal-Cost Multi-Path), attribuez aux routes la même priorité que celle du premier tunnel. Dans les deux cas, utilisez une commande semblable à la suivante :
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=PRIORITY
Facultatif : Si vous souhaitez activer l'authentification MD5, utilisez l'option
--md5-authentication-key
pour fournir votre clé secrète :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Attribuer des adresses de saut suivant IPv4
Utilisez les commandes de cette section uniquement si vous souhaitez que les tunnels VPN utilisent MP-BGP. Avec MP-BGP, vous pouvez échanger des routes IPv4 via des sessions BGP IPv6.
Si vous ne prévoyez pas d'utiliser le protocole MP-BGP dans la session BGP pour le tunnel, utilisez les commandes répertoriées dans la section Attribuer des adresses BGP IPv6.
Vous pouvez choisir de configurer automatiquement ou manuellement les adresses IPv4 ou IPv6 de saut suivant du pair BGP.
Automatique
Si vous créez une session BGP IPv6 qui utilise MP-BGP, Google Cloud peut vous attribuer automatiquement des adresses de saut suivant IPv4.
Google Cloud attribue les adresses inutilisées de la plage d'adresses 169.254.0.0/16
.
Cette configuration n'a pas de rapport avec la configuration automatique ou manuelle des adresses IPv6 du routeur Cloud Router et du pair BGP. Les commandes suivantes utilisent la configuration automatique. Cependant, vous pouvez également attribuer les adresses IPv6 aux interfaces Cloud Router et aux pairs BGP à l'aide des options --ip-address
et --peer-ip-address
décrites dans la section Attribuer une adresse IP BGP IPv6.
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface pour le premier tunnel ; remplacez
PEER_NAME_0
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Ajoutez une configuration de pair BGP à la seconde interface pour le deuxième tunnel ; remplacez
PEER_NAME_1
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs :gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4
Manuel
Lorsque vous créez des sessions BGP IPv6 qui utilisent MP-BGP, vous pouvez configurer manuellement les adresses de saut suivant IPv4 pour Cloud Router et le pair BGP.
Cette configuration n'a pas de rapport avec la configuration automatique ou manuelle des adresses IPv6 et des routeurs Cloud Router pour les sessions BGP. Pour obtenir des exemples de configuration manuelle de ces adresses, consultez la page Attribuer des adresses BGP IPv6.
Pour chaque tunnel VPN, sélectionnez une paire d'adresses de saut suivant IPv4 dans la plage d'adresses IPv4 de liaison locale 169.254.0.0/16
. Ces adresses IPv4 doivent être uniques sur tous les routeurs Cloud Router de votre réseau VPC.
Pour attribuer manuellement les adresses de saut suivant IPv4 de BGP, procédez comme suit.
Pour le premier tunnel VPN
Ajoutez une interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à l'interface pour le premier tunnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Dans les commandes, remplacez les éléments suivants :
PEER_NAME_0
par le nom de l'interface VPN de pairs.PEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs.IPV4_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses169.254.0.0/16
.PEER_IPV4_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv4 apprises par Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses169.254.0.0/16
.
Le résultat de la commande ressemble à ceci :
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Pour le deuxième tunnel VPN
Ajoutez une seconde interface au routeur Cloud.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Ajoutez une configuration de pair BGP à l'interface pour le deuxième tunnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Dans les commandes suivantes, remplacez les éléments suivants :
PEER_NAME_1
par le nom de l'interface VPN de pairs.PEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs.IPV4_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage d'adresses169.254.0.0/16
.PEER_IPV4_NEXTHOP_ADDRESS
: adresse du saut suivant pour les routes IPv4 apprises par Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage d'adresses169.254.0.0/16
.
API
Pour créer des sessions BGP, procédez comme suit :
Pour créer une interface de routeur cloud et lui attribuer une adresse IPv6, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou de la méthoderouters.update
.PATCH
met uniquement à jour les paramètres que vous incluez. La requêteUPDATE
met à jour tous les paramètres du routeur Cloud Router.L'exemple suivant crée une interface avec une adresse IPv6 configurée manuellement.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/112" } ] }
Chaque plage d'adresses BGP pour chaque session BGP IPv6 doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Autre exemple : la commande suivante crée une interface avec une adresse IPv6 attribuée automatiquement.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Répétez cette étape pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.
Ajoutez une configuration de pair BGP à un routeur cloud pour un tunnel VPN. Effectuez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou de larouters.update
méthode. Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options saufname
etpeerAsn
.Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
L'exemple suivant inclut une commande permettant d'ajouter un pair BGP pour l'interface BGP IPv6 avec l'échange de routes IPv4 activé et les adresses de saut suivant IPv4 configurées manuellement. Si vous omettez
ipv4NexthopAddress
etpeerIpv4NexthopAddress
, les adresses de saut suivant IPv4 sont automatiquement attribuées.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" } ] }
Si vous souhaitez spécifier des routes apprises personnalisées pour le pair, définissez les préfixes IP des routes. Vous pouvez également définir une valeur de priorité comprise entre
0
et65535
(inclus) pour les routes. Chaque session BGP peut avoir une valeur de priorité qui s'applique à toutes les routes apprises personnalisées pour la session. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessions IPv4 BGP et IPv6 BGP
Procédez comme suit pour créer une session BGP IPv4 et une session BGP IPv6 qui s'exécutent en parallèle dans le même tunnel VPN haute disponibilité.
Pour créer cette configuration, ajoutez deux interfaces BGP et deux pairs BGP à votre routeur Cloud Router, en les associant au même tunnel VPN. Vous ne pouvez utiliser MP-BGP sur aucune des sessions BGP.
Console
Pour créer des sessions BGP IPv4 et IPv6, procédez comme suit :
- Cliquez sur Configurer la session BGP.
Sur la page Créer une session BGP, procédez comme suit :
- Pour Type de session BGP, sélectionnez Les deux.
Session BGP IPv4
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Sous Numéro ASN du pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
- Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Dans le champ Adresse IPv4 BGP du routeur Cloud Router, saisissez l'adresse IPv4 BGP du routeur Cloud Router.
- Dans le champ Adresse IPv4 du pair BGP, saisissez l'adresse IPv4 du pair BGP.
L'adresse IPv4 doit répondre aux exigences suivantes : * Chaque adresse IPv4 doit appartenir au même sous-réseau
/30
compris dans la plage d'adresses169.254.0.0/16
. * Chaque adresse IPv4 BGP est le premier ou le deuxième hôte du sous-réseau/30
. Les première et dernière adresses IP du sous-réseau sont réservées aux adresses réseau et de diffusion. * Chaque plage d'adresses IPv4 d'une session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv4 pour votre session BGP.
Si vous sélectionnez l'attribution automatique d'adresses IPv6, Google Cloud sélectionne automatiquement les adresses IPv6 pour votre session BGP. 1. Facultatif : développez la section Options avancées. 1. Pour activer l'option Pair BGP, sélectionnez Activé. Lorsque cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez la section Établir des sessions BGP. 1. Pour ajouter l'authentification MD5, sélectionnez Activé. Si cette option est activée, vous pouvez utiliser l'authentification MD5 pour authentifier les sessions BGP entre Cloud Router et ses pairs. Pour en savoir plus, consultez la section Utiliser l'authentification MD5. Vous pouvez également choisir d'activer l'authentification MD5 ultérieurement. 1. Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées. 1. Cliquez sur Save and Continue (Enregistrer et continuer).
Session BGP IPv6
- Dans le champ Nom, saisissez un nom pour la session BGP.
- Sous Numéro ASN du pair, saisissez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
- Facultatif : Pour Priorité des routes annoncées (MED), saisissez la priorité des routes annoncées sur ce pair BGP.
- Pour Allouer une adresse IPv6 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, procédez comme suit :
- Dans le champ Adresse IPv6 BGP du routeur Cloud Router, saisissez l'adresse IPv6 BGP du routeur Cloud Router.
- Dans le champ Adresse IPv6 du pair BGP, saisissez l'adresse IPv6 du pair BGP.
L'adresse IPv4 doit répondre aux exigences suivantes :
* Chaque adresse doit être une adresse locale unique (ULA) de la plage d'adresses
fdff:1::/64
avec une longueur de masque de/64
. Par exemple,fdff:1::1
. * Chaque adresse doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Si vous sélectionnez Automatiquement, Google Cloud sélectionne automatiquement les adresses IPv6 pour votre session BGP.
- Facultatif : développez la section Options avancées.
- Pour activer l'option Pair BGP, sélectionnez Activé. Si cette option est activée, la connexion au pair est établie à l'aide des informations de routage. Pour en savoir plus, consultez la section Établir des sessions BGP.
- Pour activer l'authentification MD5, sélectionnez Activé. Si cette option est activée, l'authentification MD5 est utilisée pour authentifier les sessions BGP entre Cloud Router et ses pairs. Pour en savoir plus, consultez la section Utiliser l'authentification MD5. Vous pouvez également choisir d'activer l'authentification MD5 ultérieurement.
- Pour ajouter des routes sortantes à la session BGP, saisissez une priorité de route apprise personnalisée dans le champ Priorité de toutes les routes apprises personnalisées. Pour plus d'informations, reportez-vous à la section Routes apprises personnalisées. 1. Cliquez sur Save and Continue (Enregistrer et continuer).
Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
Cliquez sur Enregistrer la configuration BGP.
gcloud
Pour créer des sessions BGP, procédez comme suit :
Dans les commandes, remplacez les éléments suivants :
ROUTER_INTERFACE_NAME_0_ipv4
etROUTER_INTERFACE_NAME_0_ipv6
: noms de la première paire d'interfaces Cloud Router BGP partageant le même tunnel. Il peut être utile d'utiliser des noms associés aux noms des tunnels configurés précédemmentROUTER_INTERFACE_NAME_1_ipv4
,ROUTER_INTERFACE_NAME_1_ipv6
: noms du deuxième ensemble d'interfaces BGP de routeur cloudTUNNEL_NAME_0
etTUNNEL_NAME_1
: tunnel associé à l'interface de passerelle VPN haute disponibilité que vous avez configuréeIP_PREFIXES
etCUSTOM_ROUTE_PRIORITY
: valeurs qui vous permettent de spécifier manuellement des routes apprises pour une session BGP. Pour plus d'informations sur cette fonctionnalité, consultez la section Routes personnalisées apprises.AUTHENTICATION_KEY
: clé secrète à utiliser pour l'authentification MD5. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.De plus, vous pouvez choisir de configurer automatiquement ou manuellement les adresses IPv4 et IPv6 pour vos interfaces de routeur cloud et vos pairs BGP.
Facultatif: Attribuer une plage d'identifiants BGP
Lorsque vous ajoutez la première interface avec une adresse IPv6 à un routeur Cloud Router, une plage d'identifiants BGP est automatiquement attribuée au routeur Cloud Router. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement. Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.
Automatique
Pour permettre à Google Cloud de choisir automatiquement les adresses BGP, procédez comme suit :
Pour le premier tunnel VPN
Ajoutez une interface avec une adresse IPv4 au routeur Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION --ip-version=IPV4
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une deuxième interface avec une adresse IPv6 au même tunnel. Exécutez la commande suivante :
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une configuration de pair BGP à la première interface avec l'adresse IPv4 du premier tunnel ; remplacez
PEER_NAME_0_ipv4
avec le nom de l'interface VPN de pairs et remplacezPEER_ASN
avec le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --region=REGION
Ajoutez une configuration de pair BGP à la deuxième interface avec l'adresse IPv6 du premier tunnel ; remplacez
PEER_NAME_0_ipv6
avec le nom de l'interface VPN de pairs et remplacezPEER_ASN
avec le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --region=REGION
Dans la plupart des cas,
PEER_ASN
est identique, mais il peut être différent en fonction de votre topologie de réseau sur site.
Pour le deuxième tunnel VPN
Ajoutez une interface avec une adresse IPv4 au routeur Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION --ip-version=IPV4
Ajoutez une interface avec une adresse IPv6 au même tunnel. Exécutez la commande suivante :
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Ajoutez une configuration de pair BGP à la première interface avec l'adresse IPv4 du second tunnel ; remplacez
PEER_NAME_1_ipv4
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
avec le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --region=REGION
Ajoutez une configuration de pair BGP à la deuxième interface avec l'adresse IPv6 dusecond tunnel ; remplacez
PEER_NAME_1_ipv6
avec le nom de l'interface VPN de pairs et remplacezPEER_ASN
avec le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --region=REGION
Dans la plupart des cas,
PEER_ASN
est identique, mais il peut être différent en fonction de votre topologie de réseau sur site.
Manuel
Pour attribuer manuellement les adresses IPv4 et IPv6 associées aux interfaces Cloud Router et aux pairs BGP, procédez comme suit :
Pour chaque tunnel VPN, choisissez deux adresses BGP appropriées en fonction du type de session BGP que vous configurez. Vous devez sélectionner quatre adresses IP au total pour chaque type de session.
- Pour vos sessions BGP IPv4, les quatre adresses IPv4 doivent être des adresses IPv4 de liaison locale dans un bloc
/30
de la plage d'adresses169.254.0.0/16
. Par exemple, utilisez169.254.0.1/30
. - Pour vos sessions BGP IPv6, les quatre adresses IPv6 doivent être des adresses locales uniques (ULA) de la plage d'adresses
fdff:1::/64
avec une longueur de masque inférieure ou égale à/126
. Par exemple, utilisezfdff:1::1
.
Les adresses BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Pour chaque tunnel, attribuez les adresses IPv6 BGP au routeur Cloud Router. Configurez votre appareil VPN de pairs pour qu'il utilise les adresses IPv6 du pair BGP.
Dans les commandes suivantes, remplacez les éléments suivants :
GOOGLE_BGP_IPV4_0
: adresse IPv4 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 0
;PEER_BGP_IPV4_0
représente l'adresse IPv4 de son pair BGP, correspond àGOOGLE_BGP_IPV4_0
GOOGLE_BGP_IPV6_0
: adresse IPv6 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 0
;PEER_BGP_IPV6_0
représente l'adresse IPv6 de son pair BGP, correspond àGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV4_1
: adresse IPv4 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 1
;PEER_BGP_IPV4_1
représente l'adresse IPv4 de son pair BGP, correspond àGOOGLE_BGP_IPV4_1
GOOGLE_BGP_IPV6_1
: adresse IPv6 de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 1
;PEER_BGP_IPV6_1
représente l'adresse IPv6 de son pair BGP, correspond àGOOGLE_BGP_IPV6_1
Pour le premier tunnel VPN
Ajoutez une interface avec une adresse IPv4 au routeur cloud ; Remplacez
ROUTER_INTERFACE_NAME_0_ipv4
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV4_0 \ --mask-length 30 \ --region=REGION
Le résultat de la commande ressemble à ceci :
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Ajoutez une interface associée à une adresse IPv6 au même tunnel. Remplacez
ROUTER_INTERFACE_NAME_0_ipv6
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Remplacez
MASK_LENGTH
par une valeur inférieure ou égale à64
.Ajoutez une configuration de pair BGP à la première interface du premier tunnel ; remplacez
PEER_NAME_0_ipv4
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_0 \ --region=REGION
Ajoutez une configuration de pair BGP à la deuxième interface pour le premier tunnel ; remplacez
PEER_NAME_0_ipv6
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Dans la plupart des cas, PEER_ASN est identique, mais il peut être différent en fonction de votre topologie de réseau sur site.
Pour le deuxième tunnel VPN
Ajoutez une interface avec une adresse IPv4 au routeur cloud ; Remplacez
ROUTER_INTERFACE_NAME_1_ipv4
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV4_1 \ --mask-length MASK_LENGTH \ --region=REGION
Ajoutez une interface associée à une adresse IPv6 au même tunnel. Remplacez
ROUTER_INTERFACE_NAME_1_ipv6
par le nom de l'interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Remplacez
MASK_LENGTH
par une valeur inférieure ou égale à64
.Ajoutez une configuration de pair BGP à la première interface pour le deuxième tunnel ; Remplacez
PEER_NAME_1_ipv4
par le nom du pair etPEER_ASN
par le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_1 \ --region=REGION
Ajoutez une configuration de pair BGP à la deuxième interface pour le second tunnel ; remplacez
PEER_NAME_1_ipv6
par le nom de l'interface VPN de pairs et remplacezPEER_ASN
avec le numéro ASN configuré pour la passerelle VPN de pairs:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Dans la plupart des cas, PEER_ASN est identique, mais il peut être différent en fonction de votre topologie de réseau sur site.
API
Pour créer des sessions BGP, procédez comme suit :
Pour créer deux interfaces Cloud Router, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou derouters.update
.PATCH
met uniquement à jour les paramètres que vous incluez. La requêteUPDATE
met à jour tous les paramètres du routeur Cloud Router.Créez deux interfaces Cloud Router pour le premier tunnel VPN sur la passerelle VPN haute disponibilité. Vous créez une interface avec une adresse IPv4 et une interface avec une adresse IPv6. Vous pouvez configurer les deux interfaces et leurs pairs BGP dans la même requête
PATCH
ouUPDATE
. Les interfaces sont associées au même tunnellinkedVpnTunnel
, et les pairs BGP sont associés aux interfaces.Les plages d'adresses BGP de chaque interface doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
Répétez cette étape et cette commande pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.
L'exemple suivant ajoute une interface avec une adresse IPv4 et une interface avec une adresse IPv6 au même
linkedVpnTunnel
. L'exemple de commande spécifie manuellement les adresses BGP IPv4 et IPv6:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/126" } ] }
L'exemple suivant ajoute une interface BGP IPv4 et une interface BGP IPv6 au même
linkedVpnTunnel
avec des adresses BGP IPv4 et IPv6 attribuées automatiquement:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Pour ajouter les pairs BGP au routeur Cloud Router pour chaque tunnel VPN, envoyez une requête
PATCH
ouUPDATE
à l'aide de la méthoderouters.patch
ou de la méthoderouters.update
. Répétez cette commande pour les autres tunnels VPN, en modifiant toutes les options si nécessaire.Exemple :
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6", "ipAddress": fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Vérifier la configuration
Console
Pour vérifier la configuration, accédez à la page Résumé et rappel :
- La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
- La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs.
- Si vous souhaitez télécharger un modèle de configuration pour votre appareil VPN de pairs, cliquez sur Télécharger la configuration. Pour savoir comment sélectionner votre modèle et afficher la liste des fournisseurs acceptés, consultez la page Télécharger un modèle de configuration VPN de pairs. Vous pouvez également télécharger le modèle de configuration ultérieurement en accédant à la page Passerelles VPN de pairs.
- Après la consultation des informations contenues sur cette page, cliquez sur OK.
gcloud
Pour vérifier la configuration du routeur Cloud Router, procédez comme suit :
Répertoriez les adresses IP de session BGP sélectionnées par routeur cloud Si vous avez ajouté une nouvelle interface à un routeur cloud existant, les adresses IPv4 ou IPv6 BGP de la nouvelle interface peuvent être répertoriées en indiquant le numéro d'index le plus élevé. Utilisez l'adresse IPv4 ou BGP IPv6 BGP
peerIpAddress
pour configurer votre passerelle VPN de pairs:gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
Le résultat attendu pour un routeur Cloud Router gérant deux tunnels Cloud VPN (index
0
et index1
) doit ressembler à l'exemple suivant où les conditions suivantes sont remplies :GOOGLE_BGP_IP_0
représente l'adresse IP BGP de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 0
;PEER_BGP_IP_0
représente l'adresse IP BGP de son pair.GOOGLE_BGP_IP_1
représente l'adresse IP BGP de l'interface du routeur Cloud Router pour le tunnel sur la passerelle Cloud VPNinterface 1
;PEER_BGP_IP_1
représente l'adresse IP BGP du pair.
result.bgpPeerStatus[0].ipAddress: 169.254.0.1 GOOGLE_BGP_IP_0 result.bgpPeerStatus[0].name: bgp-peer-tunnel-a-to-on-prem-if-0 result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 PEER_BGP_IP_0 result.bgpPeerStatus[1].ipAddress: 169.254.1.1 GOOGLE_BGP_IP_1 result.bgpPeerStatus[1].name: bgp-peer-tunnel-a-to-on-prem-if-1 result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 PEER_BGP_IP_1
Vous pouvez également utiliser la commande suivante pour obtenir la liste complète de la configuration du routeur cloud :
gcloud compute routers describe ROUTER_NAME \ --region=REGION
La liste complète ressemble à l'exemple suivant:
bgp: advertiseMode: DEFAULT asn: 65001 bgpPeers: - interfaceName: if-tunnel-a-to-on-prem-if-0 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-on-prem-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 - interfaceName: if-tunnel-a-to-on-prem-if-1 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-on-prem-if-1 peerAsn: 65004 peerIpAddress: 169.254.1.2 creationTimestamp: '2018-10-18T11:58:41.704-07:00' id: '4726715617198303502' interfaces: - ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0 name: if-tunnel-a-to-on-prem-if-0 - ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1 name: if-tunnel-a-to-on-prem-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
API
Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET
à l'aide de la méthode routers.getRouterStatus
et utilisez un corps de requête vide :
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Créer un tunnel supplémentaire sur une passerelle à tunnel unique
Console
Pour obtenir un contrat de niveau de service assurant une disponibilité de 99,99 %, configurez un tunnel sur chaque interface VPN haute disponibilité d'une passerelle VPN haute disponibilité.
Configurez un deuxième tunnel dans les cas suivants :
- Si vous avez configuré une passerelle VPN haute disponibilité vers une passerelle VPN de pairs comportant une seule interface VPN de pairs.
- Si vous avez précédemment configuré un seul tunnel sur une passerelle VPN haute disponibilité pour une passerelle VPN de pairs contenant un nombre quelconque d'interfaces et que vous souhaitez maintenant obtenir un contrat de niveau de service garantissant une disponibilité de 99, 99 % pour votre passerelle VPN haute disponibilité.
Pour configurer un deuxième tunnel, suivez la procédure décrite dans la section Ajouter un tunnel entre une passerelle VPN haute disponibilité et une passerelle VPN de pairs.
Définir la priorité de base des routes annoncées (facultatif)
Les sessions BGP que vous créez autorisent chaque routeur Cloud Router à annoncer des routes aux réseaux de pairs. Les annonces utilisent des priorités de base non modifiées.
Utilisez la configuration documentée sur la page Créer une passerelle VPN haute disponibilité et une paire de tunnels vers un VPN de pairs pour configurations de routage active/active, où les priorités des routes annoncées des deux tunnels VPN côté Google Cloud et côté pairs sont correspondent. Pour configurer les mêmes priorités de route annoncées de Google Cloud vers les deux pairs BGP, omettez la priorité de route annoncée côté Google Cloud.
Pour créer une configuration en mode actif/passif, configurez des priorités de routes annoncées inégales pour les deux tunnels VPN haute disponibilité. L'une des priorités de routes annoncées doit être supérieure à l'autre. Exemple :
- session BGP 1/tunnel 1, priorité des routes =
10
- session BGP 2/tunnel 2, priorité des routes =
20
Pour en savoir plus sur la priorité de base des routes annoncées, consultez la section Préfixes et priorités annoncés.
Vous pouvez également spécifier les routes annoncées à l'aide d'annonces personnalisées :
- Ajoutez l'option
--advertisement-mode=CUSTOM
(gcloud
) ou l'optionadvertiseMode: custom
(API). - Spécifiez les plages d'adresses IP avec l'option
--set-advertisement-ranges
(gcloud
) ou l'optionadvertisedIpRanges
(API).
Terminer la configuration
Pour pouvoir utiliser une nouvelle passerelle Cloud VPN et ses tunnels VPN associés, procédez comme suit :
- Configurez la passerelle VPN de pairs et configurez-y le ou les tunnels correspondants. Pour obtenir des instructions, consultez la page suivante :
- Pour obtenir des instructions spécifiques sur la configuration de certains appareils VPN de pairs, consultez la page Utiliser des VPN tiers.
- Pour en savoir plus sur les topologies de pairs compatibles, consultez la page Topologies Cloud VPN.
- Pour en savoir plus sur les paramètres de configuration généraux, consultez la page Configurer la passerelle VPN de pairs.
- Configurez les règles de pare-feu dans Google Cloud et votre réseau de pairs, si nécessaire.
- Vérifiez l'état de vos tunnels VPNLINK. Remarque : Cette étape inclut la vérification de la configuration de haute disponibilité de votre passerelle VPN haute disponibilité.
Étapes suivantes
- Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.