Gateway zwischen HA VPN und Peer-VPN erstellen

Auf dieser Seite wird beschrieben, wie Sie ein VPN-Gateway mit hoher Verfügbarkeit erstellen, das eine Verbindung zu einem Peer-VPN-Gateway herstellt.

HA VPN-Gateways verwenden die HA VPN API und stellen ein SLA von 99,99 % bereit. Bei dieser Konfiguration wird ein Tunnelpaar mit jeweils einem Tunnel auf jeder HA VPN-Gateway-Schnittstelle verwendet. Wenn Sie ein SLA von 99,99 % erzielen möchten, müssen Sie VPN-Tunnel auf beiden HA VPN-Gateway-Schnittstellen konfigurieren.

Für HA VPNs sind zwei Gateway-Komponenten zu konfigurieren:

  • Ein HA VPN-Gateway in Google Cloud.
  • Ihr Peer-VPN-Gateway oder Ihre Peer-VPN-Gateways: ein oder mehrere physische VPN-Gateway-Geräte oder Softwareanwendungen im Peer-Netzwerk, mit denen sich das HA VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird.

    Erstellen Sie in Google Cloud für jedes Peer-Gateway-Gerät oder jeden Dienst eine externe VPN-Gateway-Ressource. Hinweis: Alle Peer-Gateway-Szenarien werden durch eine einzelne externe Peer-VPN-Ressource in Google Cloud dargestellt.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Voraussetzungen

Redundanztypen

Die HA VPN API enthält eine Option für REDUNDANCY_TYPE. Sie stellt die Anzahl der Schnittstellen dar, die Sie für die externe VPN-Gateway-Ressource konfigurieren.

Wenn Sie eine externe VPN-Gateway-Ressource konfigurieren, leiten gcloud-Befehle die folgenden Werte von REDUNDANCY_TYPE automatisch von der Anzahl der Schnittstellen ab, die Sie in der Schnittstellen-ID bereitstellen:

  • Für eine externe VPN-Schnittstelle gilt SINGLE_IP_INTERNALLY_REDUNDANT.
  • Für zwei externe VPN-Schnittstellen gilt TWO_IPS_REDUNDANCY.
  • Für vier externe VPN-Schnittstellen gilt FOUR_IPS_REDUNDANCY.

Wenn Sie externe VPN-Gateways konfigurieren, müssen Sie die folgenden Schnittstellen-Identifikationsnummern für die angegebene Anzahl externer VPN-Schnittstellen verwenden:

  • Verwenden Sie für eine externe VPN-Schnittstelle den Wert 0.
  • Verwenden Sie für zwei externe VPN-Schnittstellen die Werte 0 und 1.
  • Verwenden Sie für vier externe VPN-Schnittstellen die Werte 0, 1, 2 und 3.

HA VPN- zu AWS-Peer-Gateways erstellen

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:
    • HA VPN interface 0 zu AWS interface 0
    • HA VPN interface 0 zu AWS interface 1
    • HA VPN interface 1 zu AWS interface 2
    • HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

  1. Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
  2. Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
    • Die Routingoption Dynamisch
    • Die Google-ASN des Cloud Routers
    • Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
  3. Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:
    • Transit-Gateway
      1. Erstellen Sie für das erste Kundengateway (interface 0) einen VPN-Anhang des Transit-Gateways und verwenden Sie die Routingoption Dynamisch.
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
    • Virtual Private Gateway
      1. Erstellen Sie eine Site-to-Site-VPN-Verbindung für das erste Kunden-Gateway (interface 0) so:
        • Einen Ziel-Gateway-Typ von Virtual Private Gateway
        • Die Routingoption Dynamisch
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
  4. Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.
  5. Gehen Sie in Google Cloud so vor:
    1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
    2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
    3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

Cloud Router erstellen

Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Hinweis

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.

Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Installieren und initialisieren Sie das Cloud SDK.
  1. Wenn Sie das gcloud-Befehlszeilentool verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anleitung auf dieser Seite setzt voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

        gcloud config set project PROJECT_ID
        
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:

        gcloud config list --format='text(core.project)'
        

Benutzerdefiniertes VPC-Netzwerk und Subnetz erstellen

Erstellen Sie vor dem Erstellen eines HA VPN-Gateways und eines Tunnelpaars ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

  • Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
  • Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, ein Tunnelpaar und BGP-Sitzungen zu erstellen.

HA VPN-Gateway erstellen

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen von HA VPN-Gateways, Peer-VPN-Gateway-Ressourcen, Tunneln und BGP-Sitzungen.

So erstellen Sie ein HA VPN-Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zum VPN

  2. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.

  3. Wählen Sie den VPN-Einrichtungsassistenten aus.

  4. Wenn Sie bereits ein HA VPN-Gateway haben, wählen Sie die Optionsschaltfläche für das Gateway aus.

  5. Klicken Sie auf Weiter.

  6. Geben Sie einen VPN-Gateway-Namen an.

  7. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.

  8. Wählen Sie eine Region aus.

  9. Klicken Sie auf Erstellen und fortfahren.

  10. Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

gcloud

Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION

Dabei gilt:

  • GW_NAME: Name des Gateways
  • NETWORK: der Name Ihres Google Cloud-Netzwerks
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen.

Das Gateway, das Sie erstellen, sollte in etwa der folgenden Beispielausgabe entsprechen. Jeder Gateway-Schnittstelle wurde automatisch eine externe IP-Adresse zugewiesen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

API

Verwenden Sie zum Erstellen der vollständigen Konfiguration für ein HA VPN-Gateway die API-Befehle in den folgenden Abschnitten. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Senden Sie zum Erstellen eines HA VPN-Gateways eine POST-Anfrage mit der Methode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Peer-VPN-Gateway-Ressource erstellen

Console

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

So erstellen Sie eine Peer-VPN-Gateway-Ressource:

  1. Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Lokal oder Nicht-Google-Cloud aus.
  2. Unter Name des Peer-VPN-Gateways wählen Sie ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen.

    Wenn Sie ein vorhandenes Gateway auswählen, wird in der Cloud Console die Anzahl der zu konfigurierenden Tunnel entsprechend der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben.

    Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:

    1. Geben Sie einen Namen für das Peer-VPN-Gateway an.
    2. Wählen Sie unter Peer-VPN-Gateway-Schnittstellen einen der Werte one, two oder four für die Schnittstellen aus, je nach Art der Schnittstellen, die Ihr Peer-Gateway hat. Beispiele zu jedem Typ finden Sie auf der Seite "Topologien".
    3. Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
    4. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine externe VPN-Gateway-Ressource, die Google Cloud Informationen zu Ihrem Peer-VPN-Gateway oder Ihren Gateways zur Verfügung stellt. Abhängig von den Hochverfügbarkeitsempfehlungen für Ihr Peer-VPN-Gateway können Sie externe VPN-Gateway-Ressourcen für die folgenden Arten lokaler VPN-Gateways erstellen:

  • Zwei separate Peer-VPN-Gateway-Geräte, wobei die beiden Geräte redundant sind und jedes Gerät eine eigene externe IP-Adresse hat.
  • Ein einzelnes Peer-VPN-Gateway, das zwei separate Schnittstellen mit jeweils einer eigenen externen IP-Adresse verwendet. Für diese Art von Peer-Gateway können Sie ein einzelnes externes VPN-Gateway mit zwei Schnittstellen erstellen.
  • Ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse.

Option 1: Externe VPN-Gateway-Ressource für zwei separate Peer-VPN-Gateway-Geräte erstellen

  • Für diese Art von Peer-Gateway hat jede Schnittstelle des externen VPN-Gateways eine externe IP-Adresse. Jede Adresse stammt von einem der Peer-VPN-Gateway-Geräte.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Dabei gilt:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für ein Peer-Gateway
    • PEER_GW_IP_1: die externe IP-Adresse eines anderen Peer-Gateways

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME      INTERFACE0    INTERFACE1
    peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
    

Option 2: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit zwei separaten Schnittstellen erstellen

  • Erstellen Sie für diese Art von Peer-Gateway ein einzelnes externes VPN-Gateway mit zwei Schnittstellen:

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Dabei gilt:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für eine Schnittstelle vom Peer-Gateway
    • PEER_GW_IP_1: die externe IP-Adresse für eine weitere Schnittstelle vom Peer-Gateway

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME     INTERFACE0    INTERFACE1
    peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
    

Option 3: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse erstellen

  • Erstellen Sie für diese Art von Peer-Gateways ein externes VPN-Gateway mit einer Schnittstelle.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0
    

    Dabei gilt:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für die Schnittstelle vom Peer-Gateway

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME       INTERFACE0
    peer-gw    PEER_GW_IP_0
    

API

Zum Erstellen einer externen VPN-Gateway-Ressource senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

  • Verwenden Sie für ein externes (Peer-)VPN-Gateway mit einer Schnittstelle das folgende Beispiel, geben Sie jedoch nur eine Schnittstellen-ID und einen Wert für ipAddress mit einem redundancyType von SINGLE_IP_INTERNALLY_REDUNDANT an.
  • Verwenden Sie für ein externes VPN-Gateway mit zwei Schnittstellen oder zwei externe VPN-Gateways mit jeweils einer Schnittstelle das TWO_IPS_REDUNDANCY-Beispiel.
  • Verwenden Sie für ein oder mehrere externe VPN-Gateways mit vier externen VPN-Schnittstellen, z. B. Amazon Web Services (AWS), das folgende Beispiel, geben Sie jedoch vier Instanzen der Schnittstellen-ID und ipAddress an und verwenden Sie einen redundancyType von FOUR_IPS_REDUNDANCY.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
       ],
       "redundancyType": "TWO_IPS_REDUNDANCY"
     }
    

Cloud Router erstellen

Console

Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

  1. Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:

    • einen Namen
    • eine optionale Beschreibung
    • eine Google-ASN für den neuen Router

    Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird, 64512 bis 65534, 4200000000 bis 4294967294. Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.

  2. Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Dabei gilt:

  • ROUTER_NAME: der Name des Cloud Routers in derselben Region wie das Cloud VPN-Gateway
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen.
  • NETWORK: der Name Ihres Google Cloud-Netzwerks
  • GOOGLE_ASN: jede private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden

Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist. Erstellen Sie andernfalls einen anderen Cloud Router.

Senden Sie zum Erstellen eines Cloud Routers eine POST-Anfrage mit der Methode routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

VPN-Tunnel erstellen

Console

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit einer Schnittstelle konfiguriert haben, konfigurieren Sie auf der Seite VPN erstellen Ihren einzelnen Tunnel im selben VPN-Tunnel-Dialogfeld. Für ein SLA von 99,99% müssen Sie einen zweiten Tunnel erstellen.

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit zwei oder vier Schnittstellen konfiguriert haben, konfigurieren Sie die zugehörigen Dialogfelder unten auf der Seite VPN erstellen.

So erstellen Sie VPN-Tunnel:

  1. Wählen Sie gegebenenfalls unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination aus, die Sie der Peer-VPN-Gateway-Schnittstelle für diesen Tunnel zuordnen möchten.
  2. Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Wir empfehlen die Standardeinstellung IKE v2, wenn Ihr Peer-Router sie unterstützt.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
  3. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Erstellen Sie zwei VPN-Tunnel, einen für jede Schnittstelle auf dem HA VPN-Gateway. Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben. Abhängig vom Redundanztyp des externen VPN-Gateways konfigurieren Sie die Tunnel mit einer der folgenden beiden Optionen.

Option 1: Wenn das externe VPN-Gateway aus zwei separaten Peer-VPN-Gateway-Geräten oder einem einzelnen Gerät mit zwei IP-Adressen besteht

  • In diesem Fall muss ein VPN-Tunnel eine Verbindung zur interface 0 des externen VPN-Gateways herstellen, und der andere VPN-Tunnel zur interface 1 des externen VPN-Gateways.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_1
    

    Dabei gilt:

    • TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • PEER_GW_NAME: ein Name des bereits erstellen externen Peer-Gateways
    • PEER_EXT_GW_IF0 und PEER_EXT_GW_IF1: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle.
    • IKE_VERS: 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie für die IKE-Version nach Möglichkeit IKEv2. Wenn Ihr Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1.
    • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • GW_NAME: der Name des HA VPN-Gateways
    • INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
    

Option 2: Wenn das externe VPN-Gateway ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse ist

  • In diesem Fall müssen beide VPN-Tunnel mit der interface 0 des externen VPN-Gateways verbunden werden.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_1
    

    Dabei gilt:

    • TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • PEER_GW_NAME: der Name des zuvor erstellten externen Peer-Gateways
    • PEER_EXT_GW_IF0: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
    • Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
    • IKE_VERS: 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn Ihr Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1.
    • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
    

API

Zum Erstellen von zwei VPN-Tunneln, einer für jede Schnittstelle auf dem HA VPN-Gateway, stellen Sie eine POST-Anfrage mithilfe der Methode vpnTunnels.insert. Sie müssen auf jeder Schnittstelle des HA VPN-Gateways einen Tunnel erstellen, um ein SLA mit 99,99 % Verfügbarkeit zu erzielen.

  1. Führen Sie den folgenden Befehl aus, um den ersten Tunnel zu erstellen:

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
       {
         "name": "ha-vpn-gw-a-tunnel-0",
         "ikeVersion": 2,
         "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
         "peerExternalGatewayInterface": 0,
         "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
         "sharedSecret": "SHARED_SECRET",
         "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
         "vpnGatewayInterface": 0
       }
    
  2. Wiederholen Sie diesen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

    • name
    • peerExternalGatewayInterface
    • sharedSecret oder sharedSecretHash (falls erforderlich)
    • vpnGatewayInterface: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in 1.

BGP-Sitzungen erstellen

Console

So erstellen Sie BGP-Sitzungen:

  1. Wenn Sie jetzt keine BGP-Sitzungen konfigurieren möchten, klicken Sie auf BGP-Sitzungen später konfigurieren. Dadurch wird die Seite Zusammenfassung und Erinnerung geöffnet.
  2. Wenn Sie jetzt BGP-Sitzungen konfigurieren möchten, klicken Sie beim ersten VPN-Tunnel auf Konfigurieren.
  3. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
    1. Geben Sie einen Namen für die BGP-Sitzung an.
    2. Geben Sie die Peer-ASN an, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Optional: Geben Sie die Priorität der beworbenen Route an.
    4. Geben Sie die BGP-IP-Adresse von Cloud Router und die BGP-Peer-IP-Adresse an. Achten Sie darauf, dass die IP-Adressen die folgenden Anforderungen erfüllen:
      • Jede BGP-IP-Adresse muss zu demselben /30-CIDR-Bereich gehören, der in 169.254.0.0/16 passt.
      • Eine BGP-IP-Adresse darf nicht die erste (Netzwerk-) oder letzte (Broadcast-)Adresse im CIDR-Format /30 sein.
      • Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
    5. Optional: Klicken Sie auf die Liste Beworbene Routen und erstellen Sie benutzerdefinierte Routen.
    6. Klicken Sie auf Speichern und fortfahren.
  4. Wiederholen Sie die vorherigen Schritte für die übrigen Tunnel, die auf dem Gateway konfiguriert sind. Verwenden Sie für jeden Tunnel eine andere Cloud Router-BGP-IP-Adresse und BGP-Peer-IP-Adresse.
  5. Wenn Sie alle BGP-Sitzungen konfiguriert haben, klicken Sie auf BGP-Konfiguration speichern.

gcloud

Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer von Cloud Router für jeden Tunnel, den Sie zuvor auf den Schnittstellen des HA VPN-Gateways konfiguriert haben.

Ersetzen Sie in den Befehlen Folgendes:

  • ROUTER_INTERFACE_NAME_0 und ROUTER_INTERFACE_NAME_1: ein Name für die BGP-Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
  • Manuelle Konfiguration: IP_ADDRESS_0 und IP_ADDRESS_1: die BGP-IP-Adresse für die HA VPN-Gateway-Schnittstelle, die Sie konfigurieren. Jeder Tunnel verwendet eine andere Gateway-Schnittstelle.
  • MASK_LENGTH 30 Für jede BGP-Sitzung auf demselben Cloud Router muss eine eindeutige CIDR vom Typ /30 aus dem Block 169.254.0.0/16 verwendet werden.
  • TUNNEL_NAME_0 und TUNNEL_NAME_1: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.

Wählen Sie die automatische oder manuelle Konfigurationsmethode für das Konfigurieren von BGP-Schnittstellen und BGP-Peers aus:

Automatisch

Führen Sie die folgenden Schritte aus, wenn die Link-Local-BGP-IP-Adressen von Google Cloud automatisch ausgewählt werden sollen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

Manuell

Führen Sie die folgenden Schritte aus, um die BGP-IP-Adressen, die der Google Cloud-BGP-Schnittstelle und dem Peer zugeordnet sind, manuell zuzuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar Link-Local-BGP-IP-Adressen in einem Block vom Typ /30 aus dem Bereich 169.254.0.0/16 aus (insgesamt vier Adressen). Die von Ihnen angegebenen BGP-IP-Adressbereiche müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

Weisen Sie für jeden Tunnel dem Cloud Router eine dieser BGP-IP-Adressen und die andere BGP-IP-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie das Peer-VPN-Gerät so, dass es die Peer-BGP-IP-Adresse verwendet.

Ersetzen Sie in den folgenden Befehlen Folgendes:

  • GOOGLE_BGP_IP_0: die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers
  • GOOGLE_BGP_IP_1: die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Ersetzen Sie dabei ROUTER_INTERFACE_NAME_0 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --mask-length 30 \
      --region=REGION
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IP_1 \
     --mask-length 30 \
     --region=REGION
    
  2. Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie PEER_NAME durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IP_1 \
     --region=REGION
    

API

  1. Senden Sie zum Erstellen einer Cloud Router-BGP-Schnittstelle entweder eine PATCH- oder eine UPDATE-Anfrage mithilfe der Methode routers.patch oder routers.update. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

    Erstellen Sie eine BGP-Schnittstelle für jeden VPN-Tunnel auf dem ersten HA VPN-Gateway. Verwenden Sie für die zweite BGP-Schnittstelle einen anderen Wert für name, einen anderen Namen für linkedVpnTunnel und eine andere ipRange aus demselben /30-Subnetz wie die ipRange des ersten Tunnels. Jeder BGP-IP-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

    Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem zweiten HA VPN-Gateway.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
        }
      ]
    }
    
  2. Wenn Sie einen Cloud Router einem BGP-Peer für einen VPN-Tunnel hinzufügen möchten, stellen Sie mit der Methode routers.insert eine POST-Anfrage. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
      }
    ]
    }
    

Konfiguration prüfen

Console

Wechseln Sie zur Seite Zusammenfassung und Erinnerung, um die Konfiguration zu überprüfen:

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  2. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen. Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

So überprüfen Sie die Cloud Router-Konfiguration:

  • Listen Sie die von Cloud Router ausgewählten BGP-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, sollten die BGP-IP-Adressen für die neue Schnittstelle mit der höchsten Indexnummer aufgelistet werden. Konfigurieren Sie das Peer-VPN-Gateway mit der BGP-IP-Adresse peerIpAddress:

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index 0 und Index 1), sollte wie im folgenden Beispiel aussehen. Dabei gilt Folgendes:

    • GOOGLE_BGP_IP_0 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0. PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers.
    • GOOGLE_BGP_IP_1 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1. PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers.
      result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
      result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
      result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
      result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
      result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
      result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
    
  • Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:

    gcloud compute routers describe ROUTER_NAME \
       --region=REGION
    

    Die vollständige Liste sollte wie das folgende Beispiel aussehen:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

API

Erstellen Sie mit der Methode routers.getRouterStatus eine GET-Anfrage und verwenden Sie einen leeren Anfragetext, um die Cloud Router-Konfiguration zu prüfen:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Console

Wenn Sie ein SLA mit 99,99ˆ% Verfügbarkeit erhalten möchten, konfigurieren Sie einen Tunnel auf jeder HA VPN-Schnittstelle eines HA VPN-Gateways.

Konfigurieren Sie einen zweiten Tunnel unter den folgenden Umständen:

  • Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzelne Peer-VPN-Schnittstelle hat.
  • Wenn Sie zuvor einen einzelnen Tunnel in einem HA VPN für ein Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.

Folgen Sie zum Konfigurieren eines zweiten Tunnels den Schritten unter Tunnel von einem HA VPN-Gateway zu einem Peer-VPN-Gateway hinzufügen.

Basispriorität der beworbenen Route festlegen (optional)

Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.

Verwenden Sie die Konfiguration, die unter Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen für Aktiv/Aktiv-Routing-Konfigurationen beschrieben werden, wobei die beworbenen Routenprioritäten der beiden VPN-Tunnel auf der Google Cloud- und der Peer-Seite übereinstimmen. Wenn Sie dieselben BGP-Routenprioritäten von Google Cloud für beide BGP-Peers konfigurieren möchten, lassen Sie die beworbene Routenpriorität auf der Google Cloud-Seite weg.

Wenn Sie eine Aktiv/Passiv-Konfiguration erstellen möchten, konfigurieren Sie ungleiche beworbene Routenprioritäten für die beiden HA VPN-Tunnel. Die Priorität einer beworbenen Route muss höher sein als die der anderen. Beispiel:

  • BGP-Sitzung1/Tunnel1, Routenpriorität = 10
  • BGP-Sitzung2/Tunnel2, Routenpriorität = 20

Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.

Sie können mit benutzerdefiniertem Advertising auch angeben, welche Routen beworben werden:

  • Fügen Sie das Flag --advertisement-mode=CUSTOM (gcloud) oder das Flag advertiseMode: custom (API) hinzu.
  • Geben Sie IP-Adressbereiche mit dem Flag --set-advertisement-ranges (gcloud) oder dem Flag advertisedIpRanges (API) an.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Eine Anleitung finden Sie hier:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
  3. Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Eine Organisationsrichtlinieneinschränkung zur Einschränkung der Peer-VPN-Gateway-IP-Adressen anwenden

Sie können eine Google Cloud-Organisationsrichtlinieneinschränkung erstellen, die eine Reihe von IP-Adressen definiert, die Peering-VPN-Gateways über klassische VPN- oder HA VPN-Tunnel zulassen oder verweigern. Diese Einschränkung enthält eine Liste zugelassener oder gesperrter Peer-IP-Adressen, die für Cloud VPN-Tunnel gilt, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie unter Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken.

Verwenden Sie zum Erstellen einer Organisationsrichtlinie und zum Verknüpfen mit einer Organisation, einem Ordner oder einem Projekt die in den nächsten Abschnitten aufgeführten Beispiele und führen Sie die Schritte unter Einschränkungen verwenden aus.

Erforderliche Berechtigungen

Zum Festlegen einer Peer-IP-Einschränkung auf Organisations- oder Projektebene benötigen Sie die Rolle "Organisationsrichtlinienadministrator" (roles/orgpolicy.policyAdmin) für Ihre Organisation.

Beschränkt die Verbindung von bestimmten Peer-IP-Adressen

Führen Sie die folgenden Schritte aus, um nur bestimmte Peer-IP-Adressen über einen Cloud VPN-Tunnel zuzulassen:

  1. Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
    gcloud organizations list

    Die Befehlsausgabe sollte folgendermaßen aussehen:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert, wie im folgenden Beispiel gezeigt:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Legen Sie die Organisationsrichtlinie mit dem gcloud-Befehl set-policy des Resource Managers fest. Übergeben Sie die JSON-Datei und verwenden Sie die ORGANIZATION_ID aus dem vorherigen Schritt.

Konnektivität von allen Peer-IP-Adressen einschränken

Führen Sie die Schritte in dieser Beispieleinschränkung aus, um die Erstellung eines neuen Cloud VPN-Tunnels zu verbieten:

  1. Suchen Sie Ihre Organisations-ID oder die ID für den Knoten in Ihrer Ressourcenhierarchie, für den Sie eine Richtlinie festlegen möchten.
  2. Erstellen Sie eine JSON-Datei wie im folgenden Beispiel.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Übergeben Sie die JSON-Datei mit dem gleichen Befehl, den Sie zum Einschränken von bestimmten Peer-IP-Adressen verwenden würden.

Nächste Schritte