Gateway zwischen HA VPN und Peer-VPN erstellen

Auf dieser Seite wird beschrieben, wie Sie ein hochverfügbares VPN-Gateway erstellen, das eine Verbindung zu einem Peer-VPN-Gateway herstellt.

HA VPN-Gateways verwenden die HA VPN API und stellen ein SLA von 99,99 % bereit. Bei dieser Konfiguration wird ein Tunnelpaar mit jeweils einem Tunnel auf jeder HA VPN-Gateway-Schnittstelle verwendet.

Für HA VPNs sind zwei Gateway-Komponenten zu konfigurieren:

  • Ein HA VPN-Gateway in Google Cloud.
  • Ihr Peer-VPN-Gateway oder Ihre Peer-VPN-Gateways — ein oder mehrere physische VPN-Gateway-Geräte oder Softwareanwendungen im Peer-Netzwerk, mit denen sich das HA VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird. Für jedes Peer-Gateway-Gerät oder jeden Peer-Gateway-Dienst muss in Google Cloud eine externe VPN-Gateway-Ressource erstellt werden.

Diagramme dieser Topologie finden Sie auf der Seite "Topologien".

Weitere Informationen zur Auswahl eines VPN-Typs finden Sie unter Netzwerkverbindungsprodukt auswählen.

Hinweis

Die Einrichtung der folgenden Elemente in Google Cloud erleichtert die Konfiguration von Cloud VPN:

  1. Melden Sie sich bei Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, registrieren Sie sich hier für ein neues Konto.

  2. Wählen Sie in der Cloud Console auf der Projektauswahlseite ein Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Installieren und initialisieren Sie das Cloud SDK.
  1. Wenn Sie gcloud-Befehle verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anleitungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

    gcloud config set project project-id
  
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde:
    gcloud config list --format='text(core.project)'
  

Redundanztypen

Die HA VPN API enthält eine Option für REDUNDANCY_TYPE. Sie stellt die Anzahl der Schnittstellen dar, die Sie für die externe VPN-Gateway-Ressource konfigurieren.

gcloud-Befehle leiten automatisch die folgenden Werte von REDUNDANCY_TYPE von der Anzahl der Schnittstellen ab, die Sie in der Schnittstellen-ID bereitstellen, wenn Sie eine externe VPN-Gateway-Ressource konfigurieren:

  • Für eine externe VPN-Schnittstelle gilt SINGLE_IP_INTERNALLY_REDUNDANT
  • Für zwei externe VPN-Schnittstellen gilt TWO_IPS_REDUNDANCY
  • Für vier externe VPN-Schnittstellen gilt FOUR_IPS_REDUNDANCY

Wenn Sie externe VPN-Gateways konfigurieren, müssen Sie die folgenden Schnittstellen-Identifikationsnummern für die angegebene Anzahl externer VPN-Schnittstellen verwenden:

  • Verwenden Sie für eine externe VPN-Schnittstelle den Wert 0.
  • Verwenden Sie für zwei externe VPN-Schnittstellen die Werte 0 und 1.
  • Verwenden Sie für vier externe VPN-Schnittstellen die Werte 0, 1, 2 und 3.

Beim Konfigurieren eines externen HA VPN-Gateways für Amazon Web Services (AWS) sind für die unterstützte Topologie zwei Virtual Private Gateways von AWS erforderlich, A und B, mit jeweils zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA-VPN-Gateway, um ein SLA von 99,99 % zu erreichen. Verwenden Sie dafür die folgende Konfiguration:
    • HA VPN-Schnittstelle 0 zu AWS-Schnittstelle 0
    • HA VPN-Schnittstelle 0 zu AWS-Schnittstelle 1
    • HA VPN-Schnittstelle 1 zu AWS-Schnittstelle 2
    • HA VPN-Schnittstelle 1 zu AWS-Schnittstelle 3

Übersicht über allgemeine Konfigurationsschritte zum Einrichten von HA VPN mit Amazon Web Services (AWS):

  1. Erstellen Sie das HA VPN-Gateway und einen Cloud Router. Dadurch werden auf der GCP zwei externe IP-Adressen erstellt.
  2. Erstellen Sie zwei Virtual Private Gateways von AWS. Dadurch werden vier externe Adressen in AWS erstellt.
  3. Erstellen Sie zwei AWS-Site-to-Site-VPN-Verbindungen und Kunden-Gateways, jeweils eine Verbindung bzw. ein Gateway für jedes Virtual Private Gateway von AWS. Legen Sie einen nicht überlappenden Link-Local-Tunnel-IP-Bereich für jeden Tunnel fest (insgesamt 4). Beispiel: 169.254.1.4/30.
  4. Laden Sie die AWS-Konfigurationsdateien für den allgemeinen Gerätetyp herunter.
  5. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway.
  6. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

Benutzerdefiniertes Virtual Private Cloud-Netzwerk und Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, müssen Sie ein Virtual Private Cloud-Netzwerk und mindestens ein Subnetz in der Region erstellen, in der sich das HA VPN-Gateway befindet.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, damit alle Instanzen von Cloud Router die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks anwenden. Im globalen Routingmodus werden Routen zu allen Subnetzen im VPC-Netzwerk für lokale Router freigegeben.

Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, ein Tunnelpaar, eine Peer-VPN-Gateway-Ressource und BGP-Sitzungen zu erstellen.

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

Cloud-VPN-Gateway erstellen

  1. Rufen Sie die VPN-Seite in der Google Cloud Console auf.
    Zur VPN-Seite
    1. Wenn Sie zum ersten Mal ein Gateway erstellen, wählen Sie die Schaltfläche VPN-Verbindung erstellen aus.
    2. Wählen Sie den VPN-Einrichtungsassistenten aus.
  2. Wählen Sie das Optionsfeld für ein HA VPN-Gateway aus.
  3. Klicken Sie auf Weiter.
  4. Geben Sie einen VPN-Gateway-Namen an.
  5. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
  6. Wählen Sie eine Region aus.
  7. Klicken Sie auf Erstellen und fortfahren.
  8. Der Bildschirm wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

Peer-VPN-Gateway-Ressource erstellen

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

  1. Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option On-prem or Non-Google Cloud aus.
  2. Unter Name des Peer-VPN-Gateways wählen Sie ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen. Wenn Sie ein vorhandenes Gateway auswählen, wird die Anzahl der zu konfigurierenden Tunnel von der Cloud Console anhand der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben. Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:
    1. Geben Sie einen Namen für das Peer-VPN-Gateway an.
    2. Wählen Sie unter Peer-VPN-Gateway-Schnittstellen den Wert one, two oder four für die Schnittstellen aus, je nach Art der Schnittstellen, die das Peer-Gateway hat. Auf der Seite "Topologien" finden Sie Beispiele für jeden Typ.
    3. Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
    4. Klicken Sie auf Erstellen.

VPN-Tunnel erstellen

  • Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit einer Schnittstelle konfiguriert haben, lässt sich auf der Seite VPN erstellen der einzelne Tunnel im Dialogfeld "Einzelner VPN-Tunnel" konfigurieren. Für ein SLA von 99,99 % müssen Sie einen zweiten Tunnel erstellen.
  • Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit zwei oder vier Schnittstellen konfiguriert haben, müssen Sie die zugehörigen Dialogfelder unten auf der Seite VPN erstellen konfigurieren.
  1. Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen Interconnect-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.
    1. Geben Sie zum Erstellen eines neuen Cloud Routers einen Namen, eine optionale Beschreibung und Google ASN für den neuen Router an. Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird, 64512 bis 65534, 4200000000 bis 4294967294. Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.
    2. Klicken Sie auf Erstellen, um den neuen Router zu erstellen.
  2. Wählen Sie gegebenenfalls unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination aus, die Sie der Peer-VPN-Gateway-Schnittstelle für diesen Tunnel zuordnen möchten.
  3. Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle des tatsächlichen Peer-Routers übereinstimmen.
    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Die Standardeinstellung IKE v2 wird empfohlen, sofern sie vom Peer-Router unterstützt wird.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel mithilfe des gemeinsamen Secrets an, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf dem Peer-VPN-Gateway noch kein gemeinsames Secret konfiguriert haben und eines generieren möchten, klicken Sie auf die Schaltfläche Generieren und kopieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie die Schritte zur Tunnelerstellung für alle verbleibenden Tunnel-Dialogfelder auf der Seite VPN erstellen.
  4. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

BGP-Sitzungen erstellen

  1. Wenn Sie jetzt noch keine BGP-Sitzungen konfigurieren möchten, klicken Sie auf die Schaltfläche BGP-Sitzungen später konfigurieren, wodurch die Seite Zusammenfassung und Erinnerung aufgerufen wird.
  2. Wenn Sie jetzt BGP-Sitzungen konfigurieren möchten, klicken Sie beim ersten VPN-Tunnel auf die Schaltfläche Konfigurieren.
  3. Gehen Sie auf der Seite BGP-Sitzung erstellen so vor:
    1. Geben Sie einen Namen für die BGP-Sitzung an.
    2. Geben Sie die Peer-ASN an, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. (Optional) Geben Sie die Priorität der beworbenen Route an.
    4. Geben Sie die BGP-IP-Adresse des Cloud Routers und die BGP-Peer-IP-Adresse an. Jede dieser Adressen muss eine Link-Local-Adresse aus dem CIDR-Block 169.254.0.0/16 im selben /30-Subnetz verwenden. Achten Sie darauf, dass es sich bei diesen Adressen nicht um die Netzwerk- oder Sendeadresse des Subnetzes handelt.
    5. (Optional) Klicken Sie auf das Drop-down-Menü Beworbene Routen und erstellen Sie benutzerdefinierte Routen.
    6. Klicken Sie auf Speichern und fortfahren.
  4. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel und verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse des Cloud Routers und BGP-Peer-IP-Adresse.
  5. Wenn Sie alle BGP-Sitzungen konfiguriert haben, klicken Sie auf BGP-Konfiguration speichern.

Zusammenfassung und Erinnerung

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum HA VPN-Gateway und zum Peer-VPN-Gateway-Profil.
  2. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  3. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
  4. Klicken Sie nach der Prüfung der Informationen auf dieser Seite auf OK.

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um einen zweiten Tunnel auf der zweiten Schnittstelle eines HA VPN-Gateways zu konfigurieren. Tun Sie dies unter den folgenden Umständen:

  • Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzelne Peer-VPN-Schnittstelle hat.
  • Wenn Sie zuvor einen einzelnen Tunnel in einem HA VPN für ein Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.

    1. Rufen Sie die VPN-Seite in der Google Cloud Console auf.
      Weiter zur VPN-Seite
    2. Klicken Sie auf die Schaltfläche VPN-Tunnel erstellen.
    3. Wählen Sie im Drop-down-Menü das Gateway aus, für das der zweite Tunnel erforderlich ist.
    4. Klicken Sie auf Weiter.
    5. Wählen Sie einen Cloud Router aus. Führen Sie die Schritte des Verfahrens VPN-Tunnel erstellen aus, um einen Cloud Router zu erstellen, falls Sie noch keinen konfiguriert haben.
    6. Wählen Sie für Peer-VPN-Gateway die Option Lokal oder Drittanbieter-Cloud aus.
    7. Wählen Sie für Name des Peer-VPN-Gateways die vorhandene Peer-VPN-Gateway-Ressource aus, die vom neuen Tunnel verwendet werden soll. Sie können vorhandene Namen von Peer-VPN-Gateways für dieses Cloud VPN-Gateway prüfen. Klicken Sie dafür oben auf der Seite unter Name des VPN-Gateways auf den Link Alle vorhandenen Tunnel ansehen.
    8. Sie erhalten möglicherweise eine Warnmeldung, dass ein Tunnel mit derselben Peer-VPN-Gateway-Schnittstelle bereits derselben lokalen Cloud VPN-Gateway-Schnittstelle zugeordnet ist. Wählen Sie zum Beheben dieses Problems unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die andere HA VPN-Schnittstelle aus.
    9. Führen Sie die restlichen Schritte aus, wie in der Anleitung VPN-Tunnel erstellen aufgeführt, um die Konfiguration des Tunnels abzuschließen.

gcloud


HA VPN-Gateway erstellen

Führen Sie die folgende Befehlssequenz aus, um das HA VPN-Gateway zu erstellen:

  1. Erstellen Sie ein HA VPN-Gateway. Beim Erstellen des Gateways werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

    Ersetzen Sie in den folgenden Befehlen die folgenden Optionen:

    • Ersetzen Sie network durch den Namen des Google Cloud-Netzwerks.
    • Ersetzen Sie region durch die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen müssen.
    • Ersetzen Sie gw-name durch den Namen des Gateways.
      gcloud compute vpn-gateways create gw-name \
        --network network \
        --region region
    

    Das von Ihnen erstellte Gateway sollte in etwa der folgenden Beispielausgabe entsprechen. Jeder Gateway-Schnittstelle wurde automatisch eine externe IP-Adresse zugewiesen:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1   NETWORK   REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23 network-a us-central1
    

Cloud Router erstellen

  1. Führen Sie die folgende Befehlssequenz aus, um einen Cloud Router zu erstellen. Ersetzen Sie in den folgenden Befehlen die folgenden Optionen:

    • Ersetzen Sie router-name durch den Namen des Cloud Routers in derselben Region wie das Cloud VPN-Gateway.
    • Ersetzen Sie google-asn durch eine beliebige private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden. Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.
      gcloud compute routers create router-name \
        --region region \
        --network network \
        --asn google-asn
    

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      NAME      REGION      NETWORK
      router-a us-central1 network-a
    

Externe VPN-Gateway-Ressource erstellen

Erstellen Sie eine externe VPN-Gateway-Ressource, die Google Cloud Informationen zu Ihrem Peer-VPN-Gateway oder Ihren Gateways zur Verfügung stellt. Abhängig von den HA-Empfehlungen für Ihr Peer-VPN-Gateway können Sie eine externe VPN-Gateway-Ressource für die folgenden Typen lokaler VPN-Gateways erstellen:

  • Zwei separate Peer-VPN-Gateway-Geräte, wenn die beiden Geräte miteinander redundant sind und jedes Gerät über eine eigene externe IP-Adresse verfügt.
  • Ein einzelnes Peer-VPN-Gateway, das zwei separate Schnittstellen mit jeweils einer eigenen externen IP-Adresse verwendet. Für diese Art von Peer-Gateway können Sie ein einzelnes externes VPN-Gateway mit zwei Schnittstellen erstellen.
  • Ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse.

Option 1: Externe VPN-Gateway-Ressource für zwei separate Peer-VPN-Gateway-Geräte erstellen

  1. Für diese Art von Peer-Gateway hat jede Schnittstelle des externen VPN-Gateways eine externe IP-Adresse. Jede Adresse stammt von einem der Peer-VPN-Gateway-Geräte. Ersetzen Sie im folgenden gcloud-Befehl die folgenden Optionen:

    • Ersetzen Sie peer-gw_name durch einen Namen, der für das Peer-Gateway steht.
    • Ersetzen Sie peer-gw-ip-0 durch die externen IP-Adressen für ein Peer-Gateway.
    • Ersetzen Sie peer-gw-ip-1 durch die externe IP-Adresse für ein anderes Peer-Gateway.
      gcloud compute external-vpn-gateways create peer-gw-name \
        --interfaces 0=peer-gw-ip-0,1=peer-gw-ip-1 \
    

    Die erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem peer-gw-ip-0 und peer-gw-ip-1 die tatsächlichen externen Adressen der Peer-Gateway-Schnittstellen anzeigen:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   peer-gw-ip-0    peer-gw-ip-1
    

Option 2: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit zwei separaten Schnittstellen erstellen

  1. Erstellen Sie für diese Art von Peer-Gateway ein einzelnes externes VPN-Gateway mit zwei Schnittstellen. Ersetzen Sie im folgenden gcloud-Befehl die folgenden Optionen:

    • Ersetzen Sie peer-gw-name durch einen Namen, der für das Peer-Gateway steht.
    • Ersetzen Sie peer-gw-ip-0 durch die externe IP-Adresse für eine Schnittstelle vom Peer-Gateway.
    • Ersetzen Sie peer-gw-ip-1 durch die externe IP-Adresse einer anderen Schnittstelle des Peer-Gateways.

      gcloud compute external-vpn-gateways create peer-gw-name \
       --interfaces 0=on-prem-gw-ip-0,1=on-prem-gw-ip-1 \
      

      Die erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem peer-gw-ip-0 und peer-gw-ip-1 die tatsächlichen externen Adressen der Peer-Gateway-Schnittstellen anzeigen:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   peer-gw-ip-0  peer-gw-ip-1
      

Option 3: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse erstellen

  1. Erstellen Sie für diesen Typ von Peer-Gateways ein externes VPN-Gateway mit einer Schnittstelle. Ersetzen Sie im folgenden gcloud-Befehl die folgenden Optionen:

    • Ersetzen Sie peer-gw-name durch einen Namen, der für das Peer-Gateway steht.
    • Ersetzen Sie peer-gw-ip-0 durch die externe IP-Adresse für die Schnittstelle vom Peer-Gateway.
      gcloud compute external-vpn-gateways create peer-gw-name \
        --interfaces 0=peer-gw-ip-0 \
    

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem peer-gw-ip-0 die tatsächlichen externen Adressen der Peer-Gateway-Schnittstelle zeigt:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0
      peer-gw   peer-gw-ip-0
    

Erstellen Sie zwei VPN-Tunnel, einen für jede Schnittstelle auf dem HA VPN-Gateway.

Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben. Abhängig vom Redundanztyp des externen VPN-Gateways konfigurieren Sie die Tunnel mit einer der folgenden beiden Optionen.

Option 1: Wenn das externe VPN-Gateway aus zwei separaten Peer-VPN-Gateway-Geräten oder einem einzelnen Gerät mit zwei IP-Adressen besteht

  1. In diesem Fall muss ein VPN-Tunnel mit der Schnittstelle 0 des externen VPN-Gateways verbunden sein und der andere VPN-Tunnel mit der Schnittstelle 1 des externen VPN-Gateways.

    Ersetzen Sie in den folgenden Befehlen beim Erstellen jedes Tunnels die folgenden Optionen:

    • Ersetzen Sie tunnel-name-if0 und tunnel-name-if1 durch einen Namen für den Tunnel. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • Ersetzen Sie gw-name durch den Namen des HA VPN-Gateways.
    • (Optional) --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn diese Option nicht angegeben ist, wird sie automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
    • Ersetzen Sie peer-gw-name durch den Namen des zuvor erstellten externen Peer-Gateways.
    • Ersetzen Sie peer-ext-gw-if0 und peer-ext-gw-if1 durch die Schnittstellennummer, die zuvor für das externe Peer-Gateway konfiguriert wurde.
    • Ersetzen Sie ike-vers durch 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn Ihr Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1.
    • Ersetzen Sie shared-secret durch Ihr gemeinsames Secret, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • Ersetzen Sie int-num-0 durch die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • Ersetzen Sie int-num-1 durch die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateways, das Sie zuvor erstellt haben.

        gcloud compute vpn-tunnels create tunnel-name-if0 \
          --peer-external-gateway peer-gw-name \
          --peer-external-gateway-interface peer-ext-gw-if0  \
          --region region \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name \
          --vpn-gateway gw-name \
          --interface int-num-0
      
       gcloud compute vpn-tunnels create tunnel-name-if1 \
          --peer-external-gateway peer-gw-name \
          --peer-external-gateway-interface peer-ext-gw-if1 \
          --region region \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name \
          --vpn-gateway gw-name \
          --interface int-num-1
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        1
      

Option 2: Wenn das externe VPN-Gateway ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse ist

  1. In diesem Fall müssen beide VPN-Tunnel mit der Schnittstelle 0 des externen VPN-Gateways verbunden sein.

    Ersetzen Sie in den folgenden Befehlen beim Erstellen jedes Tunnels die folgenden Optionen:

    • Ersetzen Sie tunnel-name-if0 und tunnel-name-if1 durch einen Namen für den Tunnel. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • Ersetzen Sie peer-gw-name durch den Namen des zuvor erstellten externen Peer-Gateways.
    • Ersetzen Sie peer-ext-gw-if0 durch die Schnittstellennummer, die zuvor auf dem externen Peer-Gateway konfiguriert wurde.
    • (Optional) --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn diese Option nicht angegeben ist, wird sie automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
    • Ersetzen Sie ike-vers durch 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn Ihr Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1.
    • Ersetzen Sie shared-secret durch Ihr gemeinsames Secret, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • Ersetzen Sie int-num-0 durch die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • Ersetzen Sie int-num-1 durch die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
      gcloud compute vpn-tunnels create tunnel-name-if0 \
        --peer-external-gateway peer-gw-name \
        --peer-external-gateway-interface peer-ext-gw-if0  \
        --region region \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name \
        --vpn-gateway gw-name \
        --interface int-num-0
    
      gcloud compute vpn-tunnels create tunnel-name_if1 \
        --peer-external-gateway peer-gw-name \
        --peer-external-gateway-interface [peer-ext-gw-if0] \
        --region region \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name \
        --vpn-gateway gw-name \
        --interface int-num-1
    

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        0
    

Cloud Router-Schnittstellen und BGP-Peers erstellen

  1. Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer von Cloud Router für jeden Tunnel, den Sie zuvor auf den Schnittstellen des HA VPN-Gateways konfiguriert haben.
    Ersetzen Sie in den folgenden Befehlen die folgenden Optionen:

    • Ersetzen Sie router-interface-name-0 und router-interface-name-1 durch einen Namen für die BGP-Schnittstelle von Cloud Router. Es kann hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
    • Wenn Sie die manuelle Konfigurationsmethode verwenden, ersetzen Sie ip-address-0 und ip-address-1 durch die BGP-IP-Adresse für die HA VPN-Gateway-Schnittstelle, die Sie konfigurieren. Jeder Tunnel verwendet eine andere Gateway-Schnittstelle.
    • Verwenden Sie für mask-length den Wert 30.
    • Ersetzen Sie tunnel-name-0 und tunnel-name-1 durch den Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.

    Wählen Sie die automatische oder manuelle Konfigurationsmethode für das Konfigurieren von BGP-Schnittstellen und BGP-Peers aus:

    Automatisch

    Führen Sie die folgenden Schritte aus, wenn die Link-Local-BGP-IP-Adressen von Google Cloud automatisch ausgewählt werden sollen.

    Für den ersten VPN-Tunnel

    1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-0 \
          --mask-length mask-length \
          --vpn-tunnel tunnel-name-0 \
          --region region
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      
    2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer hinzu. Ersetzen Sie peer-name durch einen Namen für die Peer-VPN-Schnittstelle und peer-asn durch die für das Peer-VPN-Gateway konfigurierte ASN.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-0 \
          --region region \
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Für den zweiten VPN-Tunnel

    1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-1 \
          --mask-length mask-length \
          --vpn-tunnel tunnel-name-1 \
          --region region
      
    2. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer hinzu. Ersetzen Sie peer-name durch einen Namen für die Peer-VPN-Schnittstelle und peer-asn durch die für das Peer-VPN-Gateway konfigurierte ASN.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-1 \
          --region region \
      

    Manuell

    Führen Sie die folgenden Schritte aus, um die BGP-IP-Adressen manuell zuzuweisen, die der BGP-Schnittstelle und dem Peer von Google Cloud zugeordnet sind:

    1. Wählen Sie für jeden VPN-Tunnel ein Paar Link-Local-BGP-IP-Adressen in einem Block vom Typ /30 aus dem Bereich 169.254.0.0/16 aus (insgesamt vier Adressen). Weisen Sie für jeden Tunnel eine dieser BGP-IP-Adressen Cloud Router und die andere BGP-IP-Adresse Ihrem Peer-VPN-Gateway zu. Sie müssen außerdem Ihr Peer-VPN-Gerät so konfigurieren, dass es die Peer-BGP-IP-Adresse verwendet. Verwenden Sie die folgenden Optionen in den unten aufgeführten Befehlen:
      • google-bgp-ip-0 steht für die BGP-IP-Adresse der Schnittstelle des Cloud Routers für den Tunnel auf der Cloud VPN-Gateway-Schnittstelle 0. on-prem-bgp-ip-0 steht für die BGP-IP-Adresse seines Peers.
      • google-bgp-ip-1 steht für die BGP-IP-Adresse der Schnittstelle des Cloud Routers für den Tunnel auf der Cloud VPN-Gateway-Schnittstelle 1. on-prem-bgp-ip-1 steht für die BGP-IP-Adresse seines Peers.

    Für den ersten VPN-Tunnel

    1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Geben Sie einen Namen für die Schnittstelle ein, indem Sie router-interface-name-0 ersetzen.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-0 \
          --vpn-tunnel tunnel-name-0 \
          --ip-address google-bgp-ip-0 \
          --mask-length 30 \
          --region region \
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      
    2. Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie peer-name durch einen Namen für den Peer und [PEER_ASN] durch die ASN, die für das Peer-VPN-Gateway konfiguriert ist.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface_name-0 \
          --peer-ip-address on-prem-bgp-ip-0 \
          --region region \
      

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Für den zweiten VPN-Tunnel

    1. Fügen Sie dem Cloud Router eine BGP-Schnittstelle hinzu. Geben Sie einen Namen für die Schnittstelle an, indem Sie router-interface-name-1 ersetzen.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-1 \
          --vpn-tunnel tunnel-name-1 \
          --ip-address google-bgp-ip-1 \
          --mask-length 30 \
          --region region \
      
    2. Fügen Sie der Schnittstelle einen BGP-Peer hinzu. Ersetzen Sie peer-name durch einen Namen für den Peer und peer-asn durch die ASN, die für das Peer-VPN-Gateway konfiguriert ist.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-1 \
          --peer-ip-address on-prem-bgp-ip-1 \
          --region region \
      

Cloud Router-Konfiguration prüfen

  1. Listen Sie die von Cloud Router ausgewählten BGP-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, sollten die BGP-IP-Adressen für die neue Schnittstelle mit der höchsten Indexnummer aufgelistet werden. Die Peer-IP-Adresse ist die BGP-IP-Adresse, die Sie für die Konfiguration Ihres Peer-VPN-Gateways verwenden sollten.

     gcloud compute routers get-status router-name \
         --region region \
         --format='flattened(result.bgpPeerStatus[].name,
           result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index 0 und Index 1), sieht wie das folgende Beispiel aus. Dabei gilt Folgendes:

    • google-bgp-ip-0 stellt die BGP-IP-Adresse der Schnittstelle des Cloud Routers für den Tunnel auf der Cloud VPN-Gateway-Schnittstelle 0 dar. on-prem-bgp-ip-0 stellt die BGP-IP-Adresse seines Peers dar.
    • google-bgp-ip-1 stellt die BGP-IP-Adresse der Schnittstelle des Cloud Routers für den Tunnel auf der Cloud VPN-Gateway-Schnittstelle 1 dar. on-prem-bgp-ip-1 stellt die BGP-IP-Adresse seines Peers dar.
    result.bgpPeerStatus[0].ipAddress:     169.254.0.1 [GOOGLE_BGP_IP_0]
    result.bgpPeerStatus[0].name:          bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 [ON_PREM_BGP_IP_0]
    result.bgpPeerStatus[1].ipAddress:     169.254.1.1 [GOOGLE_BGP_IP_1]
    result.bgpPeerStatus[1].name:          bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 [ON_PREM_BGP_IP_1]
    

    Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:

    gcloud compute routers describe router-name \
        --region region
    

    Die vollständige Liste sollte wie das folgende Beispiel aussehen:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
    
  2. Fahren Sie mit Konfiguration abschließen fort, um die Gateway-Konfiguration abzuschließen.

API

Verwenden Sie die folgenden API-Befehle, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen.

SCHRITT EINS: Führen Sie zum Erstellen eines HA VPN-Gateways eine POST-Anfrage mit der Methode vpnGateways.insert aus:

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

SCHRITT ZWEI: Führen Sie zum Erstellen eines Cloud Routers eine POST-Anfrage mit der Methode routers.insert aus:

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

Sie können einen vorhandenen Cloud Router verwenden, solange der Router noch keine BGP-Sitzung für einen Interconnect-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist. Erstellen Sie andernfalls einen anderen Cloud Router.

SCHRITT DREI: Führen Sie zum Erstellen einer externen VPN-Gateway-Ressource eine POST-Anfrage mit der Methode externalVpnGateways.insert aus.

  • Verwenden Sie für ein externes (Peer-)VPN-Gateway mit einer Schnittstelle das folgende Beispiel. Geben Sie jedoch nur eine Schnittstellen-ID und einen Wert für ipAddress an, mit einem redundancyType von SINGLE_IP_INTERNALLY_REDUNDANT.
  • Verwenden Sie für ein externes VPN-Gateway mit zwei Schnittstellen oder zwei externe VPN-Gateways mit jeweils einer Schnittstelle das unten stehende TWO_IPS_REDUNDANCY-Beispiel.
  • Für ein oder mehrere externe VPN-Gateways mit vier externen VPN-Schnittstellen, z. B. Amazon Web Services (AWS), verwenden Sie das folgende Beispiel. Geben Sie dabei jedoch vier Instanzen für die Schnittstellen-ID und ipAddress an und verwenden Sie einen redundancyType von FOUR_IPS_REDUNDANCY.

 POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

SCHRITT VIER: Führen Sie zum Erstellen von zwei VPN-Tunneln, einem für jede Schnittstelle auf dem HA VPN-Gateway, eine POST-Anfrage mit der Methode vpnTunnels.insert aus.

Geben Sie den folgenden Befehl ein, um den ersten Tunnel zu erstellen:

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/project-id/global/external-vpn-gateways/my-peer-gateway",
   "peerExternalGatewayInterface": 0,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/router-a",
   "sharedSecret": "shared_secret",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

Wiederholen Sie diesen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

  • name
  • peerExternalGatewayInterface
  • peerIp
  • sharedSecret oder sharedSecretHash (falls erforderlich)
Ändern Sie den Wert für vpnGatewayInterface in den der anderen HA VPN Gateway-Schnittstelle. In diesem Beispiel würden Sie diesen Wert in 1 ändern.

SCHRITT FÜNF: Führen Sie zum Erstellen einer BGP-Schnittstelle von Cloud Router entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der Methode routers.update aus. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

Erstellen Sie eine BGP-Schnittstelle für jeden VPN-Tunnel auf dem ersten HA VPN-Gateway. Verwenden Sie für die zweite BGP-Schnittstelle einen anderen Wert für name, einen anderen Namen für linkedVpnTunnel und eine andere ipRange aus demselben /30-Subnetz wie die ipRange des ersten Tunnels. Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem zweiten HA VPN-Gateway.

 PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
      }
    ]
 }

SCHRITT SECHS: Führen Sie zum Hinzufügen eines BGP-Peers für einen VPN-Tunnel zu Cloud Router eine POST-Anfrage mit der Methode routers.insert aus. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
   {
     "interfaceName": "if-tunnel-a-to-on-prem-if-0",
     "ipAddress": "169.254.0.1",
     "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
     "peerAsn": "65002",
     "peerIpAddress": "169.254.0.2",
     "advertiseMode": "DEFAULT"
    }
  ]
 }

SCHRITT SIEBEN: Prüfen Sie die Cloud Router-Konfiguration mit der Methode routers.getRouterStatus und verwenden Sie dabei einen leeren Anfragetext:

POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und seine verknüpften VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie dort den bzw. die entsprechenden Tunnel. Weitere Informationen erhalten Sie auf folgenden Seiten:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf. Vorschläge finden Sie auf der Seite Firewallregeln konfigurieren.
  3. Prüfen Sie den Status Ihrer VPN-Tunnel.
VPN-Organisationsrichtlinie anwenden

Beschränkung für Organisationsrichtlinie anwenden, die die IP-Adressen von Peer-VPN-Gateways einschränkt

Sie können eine Google Cloud-Organisationsrichtlinieneinschränkung erstellen, die eine Reihe von IP-Adressen definiert, die Peering-VPN-Gateways über klassische VPN- oder HA-VPN-Tunnel zulassen oder verweigern. Diese Einschränkung enthält eine Liste zugelassener oder abgelehnter Peer-IP-Adressen, die für Cloud VPN-Tunnel gilt, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie in der Übersicht zu Cloud VPN.

Erforderliche Berechtigung

Zum Festlegen einer Peer-IP-Einschränkung auf Organisations- oder Projektebene müssen Sie zuerst die Rolle "Organisationsrichtlinienadministrator" (orgpolicy.policyAdmin) für Ihre Organisation zuweisen.

So legen Sie Einschränkungen fest

Verwenden Sie zum Erstellen einer Organisationsrichtlinie und zum Verknüpfen einer Organisation, eines Ordners oder eines Projekts die in den nächsten Abschnitten aufgeführten Beispiele und führen Sie die Schritte unter Einschränkungen verwenden aus.

Einschränkung der Konnektivität von bestimmten Peer-IP-Adressen über einen Cloud VPN-Tunnel

Führen Sie die folgenden Schritte aus, um nur bestimmte Peer-IP-Adressen zuzulassen:

  1. Ermitteln Sie Ihre Organisations-ID durch Eingabe des folgenden Befehls:
    gcloud organizations list

    Die Befehlsausgabe sollte folgendermaßen aussehen:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert. Sie müssen eine Richtlinie als JSON-Datei bereitstellen. Beispiel:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Verwenden Sie zum Festlegen der Organisationsrichtlinie den gcloud Resource Manager set-policy-Befehl, indem Sie die JSON-Datei übergeben und organization-id aus dem vorherigen Schritt verwenden.

Konnektivität von Peer-IPs über einen Cloud VPN-Tunnel einschränken

Führen Sie die Schritte in dieser Beispieleinschränkung aus, um die Erstellung eines neuen Cloud VPN-Tunnels zu verbieten.

  1. Suchen Sie Ihre Organisations-ID oder die ID für den Knoten in Ihrer Ressourcenhierarchie, für den Sie eine Richtlinie festlegen möchten.
  2. Erstellen Sie eine JSON-Datei wie im folgenden Beispiel.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Übergeben Sie die JSON-Datei mit dem gleichen Befehl, den Sie zum Einschränken von bestimmten Peer-IP-Adressen verwenden würden.