Gateway zwischen HA VPN und Peer-VPN erstellen

Auf dieser Seite wird beschrieben, wie Sie ein HA VPN-Gateway mit einer Verbindung zu einem Peer-VPN-Gateway erstellen.

HA VPN-Gateways verwenden die HA VPN API und stellen ein SLA von 99,99 % bereit. Bei dieser Konfiguration wird ein Tunnelpaar mit jeweils einem Tunnel auf jeder HA VPN-Gateway-Schnittstelle verwendet. Wenn Sie ein SLA von 99,99 % erzielen möchten, müssen Sie VPN-Tunnel auf beiden HA VPN-Gateway-Schnittstellen konfigurieren.

Für HA VPNs sind zwei Gateway-Komponenten zu konfigurieren:

Ein HA VPN-Gateway in Google Cloud.
Ihr Peer-VPN-Gateway oder Ihre Peer-VPN-Gateways: ein oder mehrere physische VPN-Gateway-Geräte oder Softwareanwendungen im Peer-Netzwerk, mit denen sich das HA VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird.

Erstellen Sie in Google Cloud für jedes Peer-Gateway-Gerät oder jeden Dienst eine externe VPN-Gateway-Ressource. Hinweis: Alle Peer-Gateway-Szenarien werden durch eine einzelne externe Peer-VPN-Ressource in Google Cloud dargestellt.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Diagramme dieser Topologie finden Sie unter HA VPN für Peer-VPN-Gateways.
Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Wenn Sie HA VPN über Cloud Interconnect bereitstellen möchten, finden Sie weitere Informationen unter HA VPN über Cloud Interconnect – Übersicht.

Voraussetzungen

Redundanztypen

Die HA VPN API enthält eine Option für REDUNDANCY_TYPE. Sie stellt die Anzahl der Schnittstellen dar, die Sie für die externe VPN-Gateway-Ressource konfigurieren.

Wenn Sie eine externe VPN-Gateway-Ressource konfigurieren, leiten gcloud-Befehle automatisch die folgenden Werte von REDUNDANCY_TYPE von der Anzahl der Schnittstellen ab, die Sie in der Schnittstellen-ID bereitstellen:

Für eine externe VPN-Schnittstelle gilt SINGLE_IP_INTERNALLY_REDUNDANT.
Für zwei externe VPN-Schnittstellen gilt TWO_IPS_REDUNDANCY.
Für vier externe VPN-Schnittstellen gilt FOUR_IPS_REDUNDANCY.

Wenn Sie externe VPN-Gateways konfigurieren, müssen Sie die folgenden Schnittstellen-Identifikationsnummern für die angegebene Anzahl externer VPN-Schnittstellen verwenden:

Verwenden Sie für eine externe VPN-Schnittstelle den Wert 0.
Verwenden Sie für zwei externe VPN-Schnittstellen die Werte 0 und 1.
Verwenden Sie für vier externe VPN-Schnittstellen die Werte 0, 1, 2 und 3.

HA VPN zu AWS-Peer-Gateways erstellen

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:

AWS IP 0=A1
AWS IP 1=A2
AWS IP 2=B1
AWS IP 3=B2

Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:

HA VPN interface 0 zu AWS interface 0
HA VPN interface 0 zu AWS interface 1
HA VPN interface 1 zu AWS interface 2
HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
- Die Routingoption Dynamisch
- Die Google-ASN des Cloud Routers
- Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:
- Transit-Gateway
- Virtual Private Gateway
Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.
Gehen Sie in Google Cloud so vor:
1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

Cloud Router erstellen

Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Hinweis

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.

Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.
```
    gcloud config set project PROJECT_ID
    
```

Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
```
    gcloud config list --format='text(core.project)'
    
```

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:

Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
Informationen zum Erstellen von Subnetzen finden Sie unter Mit Subnetzen arbeiten.

Um IPv6 für HA VPN-Gateways zu aktivieren, müssen Sie die Zuweisung interner IPv6-Adressen aktivieren, wenn Sie die VPC erstellen. Außerdem müssen Sie die Subnetze so konfigurieren, dass interne IPv6-Adressen verwendet werden.

Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren.

Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus mit internen IPv6-Adressen finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus mit mindestens einem Dual-Stack-Subnetz erstellen.
Informationen zum Erstellen eines Subnetzes mit aktiviertem IPv6 finden Sie unter Dual-Stack-Subnetz hinzufügen.
Informationen zum Aktivieren von IPv6 in einem vorhandenen Subnetz finden Sie unter IPv4-Subnetz in ein Dual-Stack-Subnetz konvertieren.
Informationen zum Erstellen von VMs mit aktiviertem IPv6 finden Sie unter IPv6 für Instanzen und Instanzvorlagen konfigurieren.

Das VPC-Subnetz muss für die Verwendung interner IPv6-Adressen konfiguriert sein. Wenn Sie die gcloud CLI verwenden, konfigurieren Sie das Subnetz mit dem Flag --ipv6-access-type=INTERNAL. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL) konfiguriert sind, nicht dynamisch.

Informationen zur Verwendung interner IPv6-Bereiche in Ihrem VPC-Netzwerk und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, ein Tunnelpaar und BGP-Sitzungen zu erstellen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Rollen

roles/compute.networkAdmin

HA VPN-Gateway erstellen

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

So erstellen Sie ein HA VPN-Gateway:

Rufen Sie in der Google Cloud Console die Seite VPN auf.

Zu VPN
Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
Wählen Sie den VPN-Einrichtungsassistenten aus.
Wenn Sie bereits ein HA VPN-Gateway haben, wählen Sie die Optionsschaltfläche für dieses Gateway aus.
Klicken Sie auf Weiter.
Geben Sie einen VPN-Gateway-Namen an.
Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
Wählen Sie eine Region aus.
Wählen Sie einen Stack-Typ für das VPN-Gateway aus, entweder IPv4 (Einzel-Stack) oder IPv4 und IPv6 (Dual-Stack).
Klicken Sie auf Erstellen und fortfahren.
Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

gcloud

Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --stack-type=IP_STACK

Dabei gilt:

GW_NAME: der Name des Gateways
NETWORK: der Name Ihres Google Cloud-Netzwerks
REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
IP_STACK (optional): der zu verwendende IP-Stack. Geben Sie entweder IPV4_ONLY oder IPV4_IPV6 an. Wenn Sie dieses Flag nicht angeben, ist der Standard-Stack-Typ IPV4_ONLY.

Das von Ihnen erstellte Gateway sollte in etwa der folgenden Beispielausgabe entsprechen. Jeder Gateway-Schnittstelle wurde automatisch eine externe IPv4-Adresse zugewiesen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

API

Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Zum Erstellen eines HA VPN-Gateways senden Sie eine POST-Anfrage mit der Methode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Das Feld stackType ist optional. Die einzigen gültigen Werte sind IPV4_IPV6 und IPV4_ONLY. Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_ONLY.

Peer-VPN-Gateway-Ressource erstellen

Console

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

So erstellen Sie eine Peer-VPN-Gateway-Ressource:

Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Lokal oder Nicht-Google-Cloud aus.
Unter Name des Peer-VPN-Gateways wählen Sie ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen.

Wenn Sie ein vorhandenes Gateway auswählen, wird die Anzahl der zu konfigurierenden Tunnel von der Google Cloud Console anhand der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben.

Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:
1. Geben Sie einen Namen für das Peer-VPN-Gateway an.
2. Wählen Sie unter Peer-VPN-Gateway-Schnittstellen einen der Werte one, two oder four für die Schnittstellen aus, je nach Art der Schnittstellen, die Ihr Peer-Gateway hat. Beispiele für jeden Typ finden Sie auf der Seite "Topologien".
3. Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
4. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine externe VPN-Gateway-Ressource, die Google Cloud Informationen zu Ihrem Peer-VPN-Gateway oder Ihren Gateways zur Verfügung stellt. Abhängig von den Hochverfügbarkeitsempfehlungen für Ihr Peer-VPN-Gateway können Sie externe VPN-Gateway-Ressourcen für die folgenden Typen lokaler VPN-Gateways erstellen:

Zwei separate Peer-VPN-Gateway-Geräte, wobei die beiden Geräte redundant sind und jedes Gerät eine eigene externe IP-Adresse hat.
Ein einzelnes Peer-VPN-Gateway, das zwei separate Schnittstellen mit jeweils einer eigenen externen IP-Adresse verwendet. Für diese Art von Peer-Gateway können Sie ein einzelnes externes VPN-Gateway mit zwei Schnittstellen erstellen.
Ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse.

Option 1: Externe VPN-Gateway-Ressource für zwei separate Peer-VPN-Gateway-Geräte erstellen

Für diese Art von Peer-Gateway hat jede Schnittstelle des externen VPN-Gateways eine externe IP-Adresse. Jede Adresse stammt von einem der Peer-VPN-Gateway-Geräte.
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
Dabei gilt:
- PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
- PEER_GW_IP_0: die externe IP-Adresse für ein Peer-Gateway
- PEER_GW_IP_1: die externe IP-Adresse eines anderen Peer-Gateways
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME      INTERFACE0    INTERFACE1
peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
```

Option 2: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit zwei separaten Schnittstellen erstellen

Erstellen Sie für diese Art von Peer-Gateway ein einzelnes externes VPN-Gateway mit zwei Schnittstellen:
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
Dabei gilt:
- PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
- PEER_GW_IP_0: die externe IP-Adresse für eine Schnittstelle vom Peer-Gateway
- PEER_GW_IP_1: die externe IP-Adresse für eine weitere Schnittstelle vom Peer-Gateway
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
```

Option 3: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse erstellen

Erstellen Sie für diese Art von Peer-Gateways ein externes VPN-Gateway mit einer Schnittstelle.
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0
```
Dabei gilt:
- PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
- PEER_GW_IP_0: die externe IP-Adresse für die Schnittstelle vom Peer-Gateway
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME       INTERFACE0
peer-gw    PEER_GW_IP_0
```

API

Zum Erstellen einer externen VPN-Gateway-Ressource senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

Verwenden Sie für ein externes (Peer-)VPN-Gateway mit einer Schnittstelle das folgende Beispiel. Geben Sie jedoch nur eine Schnittstellen-ID und einen Wert für ipAddress an, mit einem redundancyType von SINGLE_IP_INTERNALLY_REDUNDANT.
Verwenden Sie für ein externes VPN-Gateway mit zwei Schnittstellen oder zwei externe VPN-Gateways mit jeweils einer Schnittstelle das TWO_IPS_REDUNDANCY-Beispiel.

Verwenden Sie für ein oder mehrere externe VPN-Gateways mit vier externen VPN-Schnittstellen, z. B. Amazon Web Services (AWS), das folgende Beispiel, geben Sie jedoch vier Instanzen der Schnittstellen-ID und ipAddress an und verwenden Sie einen redundancyType von FOUR_IPS_REDUNDANCY.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

Cloud Router erstellen

Console

Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:
- einen Namen
- eine optionale Beschreibung
- eine Google-ASN für den neuen Router
Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird, 64512 bis 65534, 4200000000 bis 4294967294. Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.
Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Dabei gilt:

ROUTER_NAME: der Name des Cloud Routers in derselben Region wie das Cloud VPN-Gateway
REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
NETWORK: der Name Ihres Google Cloud-Netzwerks
GOOGLE_ASN: private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden; die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden

Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist. Erstellen Sie andernfalls einen anderen Cloud Router.

Zum Erstellen eines Cloud Routers senden Sie eine POST-Anfrage mit der Methode routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

VPN-Tunnel erstellen

Console

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit einer Schnittstelle konfiguriert haben, konfigurieren Sie auf der Seite VPN erstellen Ihren einzelnen Tunnel im Dialogfeld "Einzelner VPN-Tunnel". Für ein SLA von 99,99 % müssen Sie einen zweiten Tunnel erstellen.

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit zwei oder vier Schnittstellen konfiguriert haben, konfigurieren Sie die zugehörigen Dialogfelder unten auf der Seite VPN erstellen.

So erstellen Sie VPN-Tunnel:

Wählen Sie gegebenenfalls unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination aus, die Sie der Peer-VPN-Gateway-Schnittstelle für diesen Tunnel zuordnen möchten.
Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
1. Geben Sie einen Namen für den Tunnel an.
2. Geben Sie eine optionale Beschreibung an.
3. Geben Sie die IKE-Version an. Wir empfehlen die Verwendung der Standardeinstellung IKE v2, sofern diese von Ihrem Peer-Router unterstützt wird. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
4. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
5. Klicken Sie auf Fertig.
6. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Erstellen Sie zwei VPN-Tunnel, einen für jede Schnittstelle auf dem HA VPN-Gateway. Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben. Abhängig vom Redundanztyp des externen VPN-Gateways konfigurieren Sie die Tunnel mit einer der folgenden beiden Optionen.

Option 1: Wenn das externe VPN-Gateway aus zwei separaten Peer-VPN-Gateway-Geräten oder einem einzelnen Gerät mit zwei IP-Adressen besteht

In diesem Fall muss ein VPN-Tunnel eine Verbindung zur interface 0 des externen VPN-Gateways herstellen, und der andere VPN-Tunnel zur interface 1 des externen VPN-Gateways.

Hinweis: Die von Ihnen erstellten VPN-Tunnel sind erst verfügbar, nachdem die entsprechenden Partnertunnel auf Ihrem Peer-VPN-Gateway oder Ihren Peer-VPN-Gateways erstellt wurden.
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
Dabei gilt:
- TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
- PEER_GW_NAME: ein Name des bereits erstellen externen Peer-Gateways
- PEER_EXT_GW_IF0 und PEER_EXT_GW_IF1: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
- IKE_VERS: 1 für IKEv1 oder 2 für IKEv2; Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.
- SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
- GW_NAME: der Name des HA VPN-Gateways
- INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
- INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
- Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
```

Option 2: Wenn das externe VPN-Gateway ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse ist

In diesem Fall müssen beide VPN-Tunnel mit der interface 0 des externen VPN-Gateways verbunden werden.

Hinweis: Die von Ihnen erstellten VPN-Tunnel sind erst verfügbar, nachdem die entsprechenden Partnertunnel auf Ihrem Peer-VPN-Gateway oder Ihren Peer-VPN-Gateways erstellt wurden.
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
Dabei gilt:
- TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
- PEER_GW_NAME: der Name des zuvor erstellten externen Peer-Gateways
- PEER_EXT_GW_IF0: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
- Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
- IKE_VERS: 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.
- SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
- INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
- INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
```

API

Wenn Sie zwei VPN-Tunnel erstellen möchten, einen für jede Schnittstelle auf dem HA VPN-Gateway, stellen Sie eine POST-Anfrage mit der Methode vpnTunnels.insert. Sie müssen auf jeder Schnittstelle des HA VPN-Gateways einen Tunnel erstellen, um ein SLA mit 99,99 % Verfügbarkeit zu erhalten.

Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie 2 für die ikeVersion angeben.

Wiederholen Sie diesen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:
- name
- peerExternalGatewayInterface
- sharedSecret oder sharedSecretHash (falls erforderlich)
- vpnGatewayInterface: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in 1.

BGP-Sitzungen erstellen

Console

So erstellen Sie BGP-Sitzungen:

Wenn Sie jetzt keine BGP-Sitzungen konfigurieren möchten, klicken Sie auf BGP-Sitzungen später konfigurieren. Dadurch wird die Seite Zusammenfassung und Erinnerung geöffnet.
Wenn Sie jetzt BGP-Sitzungen konfigurieren möchten, klicken Sie im ersten VPN-Tunnel auf Konfigurieren.
Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
1. Geben Sie einen Namen für die BGP-Sitzung an.
2. Geben Sie die Peer-ASN an, die für das Peer-VPN-Gateway konfiguriert wurde.
3. Optional: Geben Sie die Priorität der beworbenen Route an.
4. Optional: Klicken Sie das Kästchen IPv6 aktivieren an, um den Austausch von IPv6-Adresspräfixen über die BGP-Sitzung zuzulassen.
5. Geben Sie die BGP-IP-Adresse von Cloud Router und die BGP-Peer-IP-Adresse an. Achten Sie darauf, dass die IP-Adressen die folgenden Anforderungen erfüllen:
  - Jede BGP-IP-Adresse muss zu demselben /30-CIDR-Bereich gehören, der in 169.254.0.0/16 passt.
  - Eine BGP-IP-Adresse darf nicht die erste (Netzwerk-) oder letzte (Broadcast-)Adresse im CIDR-Format /30 sein.
  - Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
6. Optional: Wenn Sie IPv6 aktiviert haben, können Sie die Adressen des nächsten Hops von IPv6 entweder automatisch oder manuell zuweisen. So weisen Sie die Adressen manuell zu:
  1. Wählen Sie Manuell aus.
  2. Geben Sie die IPv6-Adresse des nächsten Hops von Cloud Router IPv6 ein. Diese Adresse ist die nächste Hop-Adresse für IPv6-Routen, die vom Cloud Router beworben werden. Die Adresse muss im Bereich 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64 liegen.
  3. Geben Sie die IPv6-Adresse für den nächsten Hop von Peer-IPv6 ein. Diese Adresse ist die nächste Hop-Adresse für IPv6-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat. Die Adresse muss im Bereich 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64 liegen.
7. Optional: Wählen Sie für MD5 Authentication die Option Enabled (Aktiviert) aus. Dadurch können Sie BGP-Sitzungen zwischen einem Cloud Router und seinen Peers authentifizieren. Eine Anleitung zum Konfigurieren der MD5-Authentifizierung finden Sie unter MD5-Authentifizierung verwenden. Sie können auch später die MD5-Authentifizierung aktivieren.
8. Optional: Klicken Sie auf die Liste Beworbene Routen und erstellen Sie benutzerdefinierte Routen.
9. Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Wenn Sie alle BGP-Sitzungen konfiguriert haben, klicken Sie auf BGP-Konfiguration speichern.

gcloud

Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer von Cloud Router für jeden Tunnel, den Sie zuvor auf den Schnittstellen des HA VPN-Gateways konfiguriert haben.

Ersetzen Sie in den Befehlen Folgendes:

ROUTER_INTERFACE_NAME_0 und ROUTER_INTERFACE_NAME_1: ein Name für die BGP-Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
Manuelle Konfiguration: IP_ADDRESS_0 und IP_ADDRESS_1: die BGP-IP-Adresse für die HA VPN-Gateway-Schnittstelle, die Sie konfigurieren. Jeder Tunnel verwendet eine andere Gateway-Schnittstelle
MASK_LENGTH 30 Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
TUNNEL_NAME_0 und TUNNEL_NAME_1: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.
IP_PREFIXES und CUSTOM_ROUTE_PRIORITY: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erlernte Routen.
AUTHENTICATION_KEY: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

IPv4-BGP-Adressen zuweisen

Wählen Sie die automatische oder manuelle Konfigurationsmethode für das Konfigurieren von BGP-Schnittstellen und BGP-Peers aus. Mit diesen Befehlen wird IPv6 für BGP nicht aktiviert. Wenn Sie IPv6 aktivieren möchten, führen Sie die unter IPv6-Adressen für nächsten Hop zuweisen aufgeführten Befehle aus.

Automatisch

Führen Sie die folgenden Schritte aus, wenn die Link-Local-BGP-IP-Adressen von Google Cloud automatisch ausgewählt werden sollen.

Für den ersten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --mask-length=MASK_LENGTH \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION
```
Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, fügen Sie das Flag --set-custom-learned-route-ranges hinzu. Sie können auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

Führen Sie beispielsweise den folgenden Befehl aus, um benutzerdefinierte erkannte Routen hinzuzufügen und eine Priorität für die Routen festzulegen:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Wenn Sie die MD5-Authentifizierung verwenden möchten, fügen Sie das Flag --md5-authentication-key hinzu. Verwenden Sie dieses Feld, um Ihren geheimen Schlüssel zur Verfügung zu stellen:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --md5-authentication-key=AUTHENTICATION_KEY
```
Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Für den zweiten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --mask-length=MASK_LENGTH \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION
```
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, möchten Sie möglicherweise die gleichen Routen auf dem zweiten Tunnel konfigurieren. Beispielsweise können Sie den zweiten Tunnel so konfigurieren, dass er als Sicherung für die Routen dient. Geben Sie in diesem Fall eine weniger bevorzugte Priorität für die Routen an (eine höhere Zahl). Wenn Sie beide Tunnel als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, weisen Sie den Routen die gleiche Priorität zu wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag --md5-authentication-key an:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --md5-authentication-key=AUTHENTICATION_KEY
```

Manuell

Führen Sie die folgenden Schritte aus, um die IPv4-BGP-Adressen, die der BGP-Schnittstelle und dem BGP-Peer von Google Cloud zugeordnet sind, manuell zuzuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar Link-Local-BGP-IP-Adressen in einem Block vom Typ /30 aus dem Bereich 169.254.0.0/16 aus (insgesamt vier Adressen). Die von Ihnen angegebenen BGP-IP-Adressbereiche müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

Weisen Sie für jeden Tunnel dem Cloud Router eine dieser BGP-IP-Adressen und die andere BGP-IP-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die Peer-BGP-IP-Adresse verwendet.

Ersetzen Sie in den aufgeführten Befehlen Folgendes:

GOOGLE_BGP_IP_0: die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers
GOOGLE_BGP_IP_1: die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers

Für den ersten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_0 durch einen Namen für die Schnittstelle:

gcloud compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --ip-address=GOOGLE_BGP_IP_0 \
  --mask-length 30 \
  --region=REGION

Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --peer-ip-address=PEER_BGP_IP_0 \
 --region=REGION
```
Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, fügen Sie das Flag --set-custom-learned-route-ranges hinzu. Sie können auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

Führen Sie beispielsweise den folgenden Befehl aus, um benutzerdefinierte erkannte Routen hinzuzufügen und eine Priorität für die Routen festzulegen:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag --md5-authentication-key an:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_0 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION \
  --md5-authentication-key=AUTHENTICATION_KEY
```
Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Für den zweiten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1 durch einen Namen für die Schnittstelle:

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IP_1 \
 --mask-length 30 \
 --region=REGION

Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --peer-ip-address=PEER_BGP_IP_1 \
 --region=REGION
```
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, sollten Sie möglicherweise die gleichen Routen im zweiten Tunnel angeben. Beispielsweise können Sie den zweiten Tunnel so konfigurieren, dass er als Sicherung für die Routen dient. Geben Sie in diesem Fall eine weniger bevorzugte Priorität für die Routen an (eine höhere Zahl). Wenn Sie beide Tunnel als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, weisen Sie den Routen die gleiche Priorität zu wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=PRIORITY
```
Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag --md5-authentication-key an:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_1 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION \
  --md5-authentication-key=AUTHENTICATION_KEY
```

IPv6-Adressen des nächsten Hops zuweisen

Verwenden Sie die Befehle in diesem Abschnitt nur, wenn Sie VPN-Tunnel benötigen, die sowohl IPv4- als auch IPv6-Traffic austauschen. Wenn Sie IPv6 in der BGP-Sitzung für den Tunnel nicht aktivieren möchten, verwenden Sie die Befehle unter IPv4-BGP-Adressen zuweisen.

Wenn Sie IPv6-Traffic aktivieren, können Sie IPv6-Adressen des nächsten Hops automatisch oder manuell konfigurieren.

Automatisch

Wenn Sie eine BGP-Sitzung erstellen, die IPv6-Traffic zulässt, kann Google Cloud automatisch IPv6-Adressen für den nächsten Hop zuweisen. Google Cloud weist nicht verwendete Adressen aus dem Bereich 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64 zu.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen. In den folgenden Befehlen wird die automatische Konfiguration verwendet. Sie können die BGP-IP-Adressen jedoch mithilfe der Flags --ip-address und --peer-ip-address zuweisen, die unter IPv4-BGP-Adressen zuweisen beschrieben werden.

Für den ersten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --enable-ipv6
```
Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Für den zweiten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --enable-ipv6
```

Manuell

Wenn Sie eine BGP-Sitzung erstellen, die IPv6-Traffic zulässt, können Sie IPv6-Adressen des nächsten Hops sowohl für Cloud Router als auch für den BGP-Peer manuell konfigurieren.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen.

Wählen Sie für jeden VPN-Tunnel ein Paar IPv6-Adressen für den nächsten Hop aus. Die von Ihnen angegebenen IPv6-Adressen des nächsten Hops müssen unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein und aus den internen IPv6-Bereichen ausgewählt werden, die von Google vorab zugewiesen wurden: 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64.

Führen Sie die folgenden Schritte aus, um die BGP-IPv6-Adressen für den nächsten Hop manuell zuzuweisen.

Für den ersten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer hinzu.

Ersetzen Sie im aufgeführten Befehl Folgendes:
- PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle
- PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
- IPV6_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden. Die Adresse muss im Bereich 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64 liegen.
- PEER_IPV6_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv6-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im Bereich 2600:2d00:0:2::/64 oder 2600:2d00:0:3::/64 liegen.

gcloud compute routers add-bgp-peerROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --enable-ipv6 \
    --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
    --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS

Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

Für den zweiten VPN-Tunnel

Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer hinzu.

Ersetzen Sie im aufgeführten Befehl Folgendes:
- PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle
- PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
- IPV6_NEXTHOP_ADDRESS durch die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden
- PEER_IPV6_NEXTHOP_ADDRESS durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden

 gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS

API

Zum Erstellen einer BGP-Schnittstelle von Cloud Router stellen Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der Methode routers.update. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

Hinweis: Informationen zum Festlegen beworbener Routen finden Sie unter Basispriorität der beworbenen Route festlegen.

Erstellen Sie eine BGP-Schnittstelle für jeden VPN-Tunnel auf dem ersten HA VPN-Gateway. Verwenden Sie für die zweite BGP-Schnittstelle einen anderen Wert für name, einen anderen Namen für linkedVpnTunnel und eine andere ipRange aus demselben /30-Subnetz wie die ipRange des ersten Tunnels. Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem zweiten HA VPN-Gateway.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "169.254.0.1/30"
    }
  ]
}
```

Wenn Sie einem Cloud Router für einen VPN-Tunnel einen BGP-Peer hinzufügen möchten, senden Sie eine POST-Anfrage mit der Methode routers.insert. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

Beispiel:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
{
 "name": "router-a",
 "network": "network-a",
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT"
  }
]
}

Der folgende Befehl ist ein Beispiel für das Hinzufügen eines BGP-Peers mit aktiviertem IPv6 und manuell konfigurierten IPv6-Adressen für den nächsten Hop. Wenn Sie ipv6NexthopAddress und peerIpv6NexthopAddress auslassen, werden IPv6-Adressen für den nächsten Hop automatisch zugewiesen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
{
 "name": "router-a",
 "network": "network-a",
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "enableIpv6": "true"
   "ipv6NexthopAddress: "2600:2d00::0:2::1"
   "peerIpv6NexthopAddress: "2600:2d00::0:2::2"
  }
]
}

Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, definieren Sie die IP-Präfixe für die Routen. Sie können für die Routen optional auch einen Prioritätswert zwischen 0 und 65535 (einschließlich) festlegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
{
 "name": "router-a",
 "network": "network-a",
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "enableIpv6": "true",
   "ipv6NexthopAddress": "2600:2d00::0:2::1",
   "peerIpv6NexthopAddress": "2600:2d00::0:2::2",
   "customLearnedRoutePriority": 200,
   "customLearnedIpRanges": [
      {
        "range": "1.2.3.4"
      },
      {
        "range": "6.7.0.0/16"
      },
      {
        "range": "2001:db8:abcd:12::/64"
      }
     ]
    }
  ]
}

Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "md5AuthenticationKeys": [
  {
   "name": "bgppeer-1-key",
   "key": "secret_key_value"
   }
  ],
}
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "md5AuthenticationKeyName": "bgppeer-1-key"
  }
]
}

Konfiguration prüfen

Console

Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:

Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
Wenn Sie eine Konfigurationsvorlage für Ihr Peer-VPN-Gerät herunterladen möchten, klicken Sie auf Konfiguration herunterladen. Eine Anleitung zum Auswählen Ihrer Vorlage und zum Aufrufen einer Liste unterstützter Anbieter finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen. Sie können die Konfigurationsvorlage auch später herunterladen, indem Sie die Seite Peer-VPN-Gateways aufrufen.
Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

So prüfen Sie die Cloud Router-Konfiguration:

Listen Sie die von Cloud Router ausgewählten BGP-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, sollten die BGP-IP-Adressen für die neue Schnittstelle mit der höchsten Indexnummer aufgelistet werden. Verwenden Sie die BGP-IP-Adresse peerIpAddress, um Ihr Peer-VPN-Gateway zu konfigurieren:
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index 0 und Index 1), sollte wie im folgenden Beispiel aussehen. Dabei gilt Folgendes:
- GOOGLE_BGP_IP_0 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0. PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers.
- GOOGLE_BGP_IP_1 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1. PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

Die vollständige Liste sollte wie das folgende Beispiel aussehen:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET mit der Methode routers.getRouterStatus und verwenden Sie einen leeren Anfragetext:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Console

Wenn Sie ein SLA mit 99,99ˆ% Verfügbarkeit erhalten möchten, konfigurieren Sie einen Tunnel auf jeder HA VPN-Schnittstelle eines HA VPN-Gateways.

Konfigurieren Sie einen zweiten Tunnel unter den folgenden Umständen:

Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzige Peer-VPN-Schnittstelle hat.
Wenn Sie zuvor einen einzelnen Tunnel in einem HA VPN für ein Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.

Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem Peer-VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.

Priorität der beworbenen Route festlegen (optional)

Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.

Verwenden Sie die in Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen für Aktiv/Aktiv-Routingkonfigurationen, wobei die beworbenen Routenprioritäten der beiden VPN-Tunnel von der Google Cloud-Seite und der Peer-Seite übereinstimmen. Wenn Sie dieselben beworbenen Routenprioritäten von Google Cloud für beide BGP-Peers konfigurieren möchten, lassen Sie die Priorität der beworbenen Route auf der Google Cloud-Seite weg.

Konfigurieren Sie für das Erstellen einer Aktiv/Passiv-Konfiguration ungleiche beworbene Routenprioritäten für die beiden HA VPN-Tunnel. Die Priorität einer beworbenen Route muss höher sein als die der anderen. Beispiel:

BGP-Sitzung1/Tunnel1, Routenpriorität = 10
BGP-Sitzung2/Tunnel2, Routenpriorität = 20

Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.

Mit benutzerdefiniertem Advertising können Sie auch angeben, welche Routen angeboten werden:

Fügen Sie das --advertisement-mode=CUSTOM- (gcloud) oder das advertiseMode: custom (API)-Flag hinzu.
Geben Sie IP-Adressbereiche mit dem --set-advertisement-ranges (gcloud)- oder dem advertisedIpRanges (API)- Flag an.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Weitere Informationen finden Sie hier:
- Informationen zur Konfiguration bestimmter Peer-VPN-Geräte finden Sie unter Drittanbieter-VPNs verwenden.
- Unterstützte Peer-Topologien finden Sie unter Cloud VPN-Topologien.
- Allgemeine Konfigurationsparameter finden Sie unter Peer-VPN-Gateway konfigurieren.
Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Nächste Schritte

Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.
Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.