Crea una puerta de enlace de VPN con alta disponibilidad que se conecte a una puerta de enlace de VPN de intercambio de tráfico

En esta página, se describe cómo crear una puerta de enlace VPN de alta disponibilidad que se conecte a una puerta de enlace VPN de intercambio de tráfico.

Las puertas de enlace de VPN con alta disponibilidad usan la API de VPN con alta disponibilidad y ofrecen un ANS del 99.99%. Para esta configuración se usa un par de túneles, con un túnel en cada interfaz de puerta de enlace de VPN con alta disponibilidad. Para recibir un ANS del 99.99%, debes configurar túneles VPN en ambas interfaces de puerta de enlace de VPN con alta disponibilidad.

Hay dos componentes de puerta de enlace que se deben configurar para la VPN con alta disponibilidad:

  • Una puerta de enlace de VPN con alta disponibilidad en Google Cloud
  • Tus puertas de enlace de VPN de intercambio de tráfico: uno o más dispositivos de puerta de enlace de VPN físicos o aplicaciones de software en la red de intercambio de tráfico a la que se conecta la puerta de enlace de VPN con alta disponibilidad. La puerta de enlace de intercambio de tráfico puede ser una puerta de enlace de VPN local o una alojada por otro proveedor de servicios en la nube.

    Crea un recurso de puerta de enlace de VPN externo en Google Cloud para cada dispositivo o servicio de puerta de enlace de intercambio de tráfico. Todas las situaciones de puerta de enlace de intercambio de tráfico están representadas en Google Cloud por un solo recurso VPN de intercambio de tráfico externo.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Requisitos

Tipos de redundancia

La API de VPN con alta disponibilidad contiene una opción para REDUNDANCY_TYPE, que representa la cantidad de interfaces que configuras para el recurso de puerta de enlace VPN externa.

Cuando configuras un recurso de puerta de enlace VPN externa, los comandos gcloud infieren los siguientes valores de REDUNDANCY_TYPE de forma automática a partir de la cantidad de interfaces que proporcionas en el ID de interfaz:

  • Una interfaz de VPN externa es SINGLE_IP_INTERNALLY_REDUNDANT.
  • Dos interfaces de VPN externas son TWO_IPS_REDUNDANCY.
  • Cuatro interfaces de VPN externas son FOUR_IPS_REDUNDANCY.

Cuando configuras puertas de enlace de VPN externas, usa los siguientes números de identificación de interfaz para la cantidad indicada de interfaces de VPN externas:

  • Para una interfaz de VPN externa, usa un valor de 0.
  • Para dos interfaces de VPN externas, usa los valores 0 y 1.
  • Para cuatro interfaces de VPN externas, usa los valores 0, 1, 2 y 3.

Crea una VPN con alta disponibilidad a puertas de enlace de intercambio de tráfico de AWS

Cuando configuras una puerta de enlace de VPN externa de VPN con alta disponibilidad en Amazon Web Services (AWS), puedes usar una puerta de enlace de transporte público o una puerta de enlace privada virtual. Solo la puerta de enlace de transporte público admite el enrutamiento de múltiples rutas de igual costo (ECMP). Cuando está habilitado, ECMP difunde de igual manera el tráfico entre los túneles activos. La topología admitida requiere dos conexiones VPN de sitio a sitio de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en total en AWS: A1, A2, B1 y B2.

  1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
    • IP de AWS 0=A1
    • IP de AWS 1=A2
    • IP de AWS 2=B1
    • IP de AWS 3=B2
  2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir con el ANS del 99.99% mediante la siguiente configuración:
    • VPN con alta disponibilidad interface 0 a AWS interface 0
    • VPN con alta disponibilidad interface 0 a AWS interface 1
    • VPN con alta disponibilidad interface 1 a AWS interface 2
    • VPN con alta disponibilidad interface 1 a AWS interface 3

Configura la VPN con alta disponibilidad con AWS:

  1. En Google Cloud, crea una puerta de enlace de VPN con alta disponibilidad y un Cloud Router en la región que desees. Esto crea dos direcciones IP externas, una para cada interfaz de puerta de enlace. Registra las direcciones IP externas para usarlas en el paso siguiente.
  2. En AWS, crea dos puertas de enlace de clientes con lo siguiente:
    • La opción de enrutamiento Dinámico
    • El ASN de Google del Cloud Router
    • Las direcciones IP externas de la puerta de enlace de VPN con alta disponibilidad de Google Cloud interfaces 0 y 1
  3. Completa los pasos que corresponden a la opción de VPN de AWS que usas:
    • Puerta de enlace de tránsito
      1. Crea un adjunto de VPN de puerta de enlace de transporte público para la primera puerta de enlace del cliente (interface 0) y usa la opción de enrutamiento Dinámico.
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
    • Puerta de enlace privada virtual
      1. Crea una conexión de VPN de sitio a sitio para la primera puerta de enlace del cliente (interface 0) con lo siguiente:
        • Un Tipo de puerta de enlace de destino de puerta de enlace privada virtual
        • La opción de enrutamiento Dinámico
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
  4. Descarga los archivos de configuración de AWS para las dos conexiones que creaste. Los archivos contienen información que necesitas durante los pasos siguientes en este procedimiento, incluidas las claves de autenticación compartidas previamente, las direcciones IP del túnel externo y las direcciones IP del túnel.
  5. En Google Cloud, haz lo siguiente:
    1. Crea una puerta de enlace de VPN de intercambio de tráfico nueva con cuatro interfaces mediante las direcciones IP externas de AWS de los archivos que descargaste en el paso anterior.
    2. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad que creaste en el paso 1. En cada túnel, configura la interfaz de la puerta de enlace de VPN con alta disponibilidad con la interfaz de puerta de enlace de VPN de intercambio de tráfico adecuada y las claves precompartidas con la información en los archivos de configuración de AWS que descargaste.
    3. Configura las sesiones de BGP en el Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Crea Cloud Routers

Cuando configuras una puerta de enlace de VPN con alta disponibilidad nueva, puedes crear un Cloud Router nuevo o puedes usar un Cloud Router existente con túneles de Cloud VPN existentes o adjuntos de VLAN. Sin embargo, el Cloud Router que usas no debe administrar una sesión de BGP para un adjunto de VLAN asociado con una conexión de interconexión de socio, debido a los requisitos específicos del ASN.

Antes de comenzar

Revisa la información sobre cómo funciona el enrutamiento dinámico en Google Cloud.

Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico sea compatible con el protocolo de puerta de enlace fronteriza (BGP).

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyecto

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas la herramienta de línea de comandos de gcloud, configura tu ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:

        gcloud config list --format='text(core.project)'
        

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN con alta disponibilidad y un par de túneles, crea una red de nube privada virtual (VPC) y al menos una subred en la región donde reside la puerta de enlace de VPN con alta disponibilidad:

En los ejemplos de este documento, también se usa el modo de enrutamiento dinámico global de VPC, que se comporta de la siguiente manera:

  • Todas las instancias de Cloud Router aplican las rutas to on-premises que aprenden a todas las subredes de la red de VPC.
  • Las rutas a todas las subredes en la red de VPC se comparten con los routers locales.

Crea una puerta de enlace de VPN con alta disponibilidad y un par de túneles a una VPN de intercambio de tráfico

Sigue las instrucciones de esta sección para crear una puerta de enlace de VPN con alta disponibilidad, un recurso de puerta de enlace de VPN de intercambio de tráfico, un par de túneles y sesiones de BGP.

Crea una puerta de enlace de VPN con alta disponibilidad.

Console

En el Asistente de configuración de VPN, se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Para crear una puerta de enlace de VPN con alta disponibilidad, sigue estos pasos:

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.

  3. Selecciona el Asistente de configuración de VPN.

  4. Si tienes una puerta de enlace de VPN con alta disponibilidad existente, selecciona el botón de opción para esa puerta de enlace.

  5. Haz clic en Continuar.

  6. Especifica un Nombre de puerta de enlace de VPN.

  7. En Red de VPC, selecciona una red existente o la red predeterminada.

  8. Selecciona una Región.

  9. Haz clic en Crear y continuar.

  10. La página de la consola se actualiza y muestra la información de la puerta de enlace. Se asignan dos direcciones IP externas de forma automática para cada una de las interfaces de la puerta de enlace. Para los próximos pasos de configuración, toma nota de los detalles de la configuración de la puerta de enlace.

gcloud

Para crear una puerta de enlace de VPN con alta disponibilidad, ejecuta el siguiente comando. Cuando se crea la puerta de enlace, se asignan de forma automática dos direcciones IP externas, una para cada interfaz de puerta de enlace.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION

Reemplaza lo siguiente:

  • GW_NAME: El nombre de la puerta de enlace
  • NETWORK: El nombre de tu red de Google Cloud
  • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel

La puerta de enlace que crees debe ser similar al siguiente resultado de ejemplo. Se asignó de forma automática una dirección IP externa a cada interfaz de puerta de enlace:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

API

Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa los comandos de la API en las siguientes secciones. Todos los valores de campo que se usan en estas secciones son valores de ejemplo.

Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST con el método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

Console

El recurso de puerta de enlace de VPN de intercambio de tráfico representa la puerta de enlace que no es de Google Cloud en Google Cloud.

Para crear un recurso de puerta de enlace de VPN de intercambio de tráfico, sigue estos pasos:

  1. En la página Crea una VPN, en Puerta de enlace de VPN de intercambio de tráfico, selecciona Local o ajena a Google Cloud.
  2. En Nombre de la puerta de enlace de VPN de intercambio de tráfico, elige una puerta de enlace de intercambio de tráfico existente o haz clic en Crear una nueva puerta de enlace de VPN de intercambio de tráfico.

    Si eliges una puerta de enlace existente, Cloud Console selecciona la cantidad de túneles que se configurarán según la cantidad de interfaces de intercambio de tráfico que configuraste en la puerta de enlace de intercambio de tráfico existente.

    Para crear una nueva puerta de enlace de intercambio de tráfico, completa los siguientes pasos:

    1. Especifica un Nombre para la puerta de enlace de VPN de intercambio de tráfico.
    2. En Interfaces de puerta de enlace de VPN de intercambio de tráfico, selecciona interfaces one, two o four, según el tipo de interfaces que tenga tu puerta de enlace de intercambio de tráfico. Para ver ejemplos de cada tipo, consulta la página Topologías.
    3. En el campo de cada interfaz de VPN de intercambio de tráfico, especifica la dirección IP externa que se usa para esa interfaz. Para obtener más información, consulta Configura la puerta de enlace VPN de intercambio de tráfico.
    4. Haz clic en Crear.

gcloud

Crea un recurso de puerta de enlace de VPN externa que proporcione información a Google Cloud sobre tu puerta o puertas de enlace de VPN de intercambio de tráfico. Según las recomendaciones de alta disponibilidad para la puerta de enlace de VPN de intercambio de tráfico, puedes crear recursos de puerta de enlace de VPN externa para los siguientes tipos diferentes de puertas de enlace de VPN locales:

  • Dos dispositivos separados de puerta de enlace de VPN de intercambio de tráfico en los que los dos dispositivos son redundantes entre sí y cada dispositivo tiene su propia dirección IP externa.
  • Una puerta de enlace de VPN de intercambio de tráfico única que usa dos interfaces independientes, cada una con su propia dirección IP externa. Para este tipo de puerta de enlace de intercambio de tráfico, puedes crear una sola puerta de enlace de VPN externa con dos interfaces.
  • Una sola puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa.

Opción 1: Crea un recurso de puerta de enlace de VPN externa para dos dispositivos de puerta de enlace de VPN de intercambio de tráfico independientes

  • Para este tipo de puerta de enlace de intercambio de tráfico, cada interfaz de la puerta de enlace de VPN externa tiene una dirección IP externa, y cada dirección proviene de uno de los dispositivos de puerta de enlace de VPN de intercambio de tráfico.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Reemplaza lo siguiente:

    • PEER_GW_NAME: Un nombre que representa la puerta de enlace de intercambio de tráfico
    • PEER_GW_IP_0: La dirección IP externa de una puerta de enlace de intercambio de tráfico
    • PEER_GW_IP_1: La dirección IP externa de otra puerta de enlace de intercambio de tráfico

    El recurso de puerta de enlace de VPN externa que creaste debe ser similar al siguiente ejemplo, en el que PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones IP externas reales de las interfaces de puerta de enlace de intercambio de tráfico:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME      INTERFACE0    INTERFACE1
    peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
    

Opción 2: Crea un recurso de puerta de enlace de VPN externa para una sola puerta de enlace de VPN de intercambio de tráfico con dos interfaces independientes

  • Para este tipo de puerta de enlace de intercambio de tráfico, crea una sola puerta de enlace de VPN externa con dos interfaces:

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Reemplaza lo siguiente:

    • PEER_GW_NAME: Un nombre que representa la puerta de enlace de intercambio de tráfico
    • PEER_GW_IP_0: La dirección IP externa de una interfaz de la puerta de enlace de intercambio de tráfico
    • PEER_GW_IP_1: La dirección IP externa de otra interfaz de la puerta de enlace de intercambio de tráfico

    El recurso de puerta de enlace de VPN externa que creaste debe ser similar al siguiente ejemplo, en el que PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones IP externas reales de las interfaces de puerta de enlace de intercambio de tráfico:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME     INTERFACE0    INTERFACE1
    peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
    

Opción 3: Crea un recurso de puerta de enlace de VPN externa para una única puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa

  • Para este tipo de puerta de enlace de intercambio de tráfico, crea una puerta de enlace de VPN externa con una interfaz:

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0
    

    Reemplaza lo siguiente:

    • PEER_GW_NAME: Un nombre que representa la puerta de enlace de intercambio de tráfico
    • PEER_GW_IP_0: La dirección IP externa de la interfaz de la puerta de enlace de intercambio de tráfico

    El recurso de puerta de enlace VPN externa que creaste debe ser similar al siguiente ejemplo, en el que PEER_GW_IP_0 muestra las direcciones IP externas reales de la interfaz de puerta de enlace de intercambio de tráfico:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME       INTERFACE0
    peer-gw    PEER_GW_IP_0
    

API

Para crear un recurso de puerta de enlace de VPN externa, realiza una solicitud POST con el método externalVpnGateways.insert.

  • Para una puerta de enlace VPN externa (de intercambio de tráfico) que tenga una interfaz, usa el siguiente ejemplo, pero especifica solo un ID de interfaz y una ipAddress, con un redundancyType de SINGLE_IP_INTERNALLY_REDUNDANT.
  • Para una puerta de enlace de VPN externa con dos interfaces o dos puertas de enlace de VPN externas con una interfaz cada una, usa el ejemplo TWO_IPS_REDUNDANCY.
  • Para una o más puertas de enlace de VPN externas con cuatro interfaces de VPN externas, por ejemplo, Amazon Web Services (AWS), usa el siguiente ejemplo, pero especifica cuatro instancias del ID de interfaz y la ipAddress, y usa una redundancyType de FOUR_IPS_REDUNDANCY.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
       ],
       "redundancyType": "TWO_IPS_REDUNDANCY"
     }
    

Crea un Cloud Router

Console

En Cloud Router, si aún no lo hiciste, crea un Cloud Router y especifica las siguientes opciones. Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio.

  1. Para crear un Cloud Router nuevo, especifica lo siguiente:

    • Un nombre
    • Una descripción opcional
    • Un ASN de Google para el router nuevo

    Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.

  2. Para crear el router nuevo, haz clic en Crear.

gcloud

Para crear un Cloud Router, ejecuta el siguiente comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Reemplaza lo siguiente:

  • ROUTER_NAME: El nombre del Cloud Router en la misma región que la puerta de enlace de Cloud VPN
  • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
  • NETWORK: El nombre de tu red de Google Cloud
  • GOOGLE_ASN: Cualquier ASN privado (de 64512 a 65534, de 4200000000 a 4294967294) que no estés usando en la red de intercambio de tráfico. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.

El router que crees debe ser similar al siguiente resultado de ejemplo:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio. De lo contrario, crea otro Cloud Router.

Para crear un Cloud Router, realiza una solicitud POST con el método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Crea túneles VPN

Console

Si configuraste tu recurso de puerta de enlace de VPN de intercambio de tráfico con una interfaz, en la página Crear VPN, configura tu túnel único en el cuadro de diálogo de túnel VPN único. Para obtener un ANS del 99.99%, debes crear un segundo túnel.

Si configuraste el recurso de puerta de enlace de VPN de intercambio de tráfico con dos o cuatro interfaces, configura los diálogos asociados que aparecen en la parte inferior de la página Crear VPN.

Para crear túneles VPN, sigue estos pasos:

  1. Si corresponde, en Interfaz de puerta de enlace de Cloud VPN asociada, selecciona la combinación de interfaz de VPN con alta disponibilidad y dirección IP que deseas asociar con tu interfaz de puerta de enlace de VPN de intercambio de tráfico para este túnel.
  2. En Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada, selecciona la combinación de interfaz de puerta de enlace de VPN de intercambio de tráfico y dirección IP que deseas asociar con este túnel y con la interfaz de VPN con alta disponibilidad. Esta interfaz debe coincidir con la interfaz del router de intercambio de tráfico real.
    1. Especifica un Nombre para el túnel.
    2. Especifica una Descripción opcional.
    3. Especifica la versión de IKE. Recomendamos IKE v2, la configuración predeterminada, si tu router de intercambio de tráfico lo admite.
    4. Especifica una Clave precompartida de IKE con tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico. Si no configuraste una clave precompartida en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar una, haz clic en Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
    5. Haz clic en Listo.
    6. En la página Crear VPN, repite los pasos de creación del túnel para cualquier cuadro de diálogo de túnel restante.
  3. Cuando hayas configurado todos los túneles, haz clic en Crear y continuar.

gcloud

Crea dos túneles VPN: uno para cada interfaz de la puerta de enlace de VPN con alta disponibilidad. Cuando crees túneles VPN, especifica su lado de intercambio de tráfico como la puerta de enlace de VPN externa que creaste antes. Según el tipo de redundancia de la puerta de enlace VPN externa, configura los túneles mediante una de las dos opciones que se describen a continuación.

Opción 1: Si la puerta de enlace de VPN externa consiste en dos dispositivos independientes de puerta de enlace de VPN de intercambio de tráfico o en un solo dispositivo con dos direcciones IP

  • En este caso, un túnel VPN debe conectarse a interface 0 de la puerta de enlace VPN externa, y el otro túnel VPN debe conectarse a interface 1 de la puerta de enlace VPN externa.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_1
    

    Reemplaza lo siguiente:

    • TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1: Un nombre para el túnel; incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
    • PEER_GW_NAME: Un nombre de la puerta de enlace externa de intercambio de tráfico que se creó antes
    • PEER_EXT_GW_IF0 y PEER_EXT_GW_IF1: El número de interfaz configurado anteriormente en la puerta de enlace externa de intercambio de tráfico
    • IKE_VERS: 1 para IKEv1 o 2 para IKEv2; si es posible, usa IKEv2 para la versión de IKE. Si tu puerta de enlace de intercambio de tráfico requiere IKEv1, reemplaza --ike-version 2 por --ike-version 1.
    • SHARED_SECRET: Tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico; para obtener recomendaciones, consulta Genera una clave segura y compartida previamente
    • GW_NAME: El nombre de la puerta de enlace de VPN con alta disponibilidad
    • INT_NUM_0: El número 0 para la primera interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes
    • INT_NUM_1: El número 1 para la segunda interfaz de la puerta de enlace de VPN con alta disponibilidad que creaste antes
    • Opcional: --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.

    El resultado del comando debe ser similar al siguiente ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
    

Opción 2: Si la puerta de enlace de VPN externa es una sola puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa

  • En este caso, ambos túneles VPN deben conectarse a interface 0 de la puerta de enlace VPN externa.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       --interface=INT_NUM_1
    

    Reemplaza lo siguiente:

    • TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1: Un nombre para el túnel; incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
    • PEER_GW_NAME: El nombre de la puerta de enlace externa de intercambio de tráfico que se creó antes
    • PEER_EXT_GW_IF0: El número de interfaz configurado anteriormente en la puerta de enlace externa de intercambio de tráfico
    • Opcional: --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
    • IKE_VERS: 1 para IKEv1 o 2 para IKEv2. Si es posible, usa IKEv2 para la versión IKE. Si tu puerta de enlace de intercambio de tráfico requiere IKEv1, reemplaza --ike-version 2 por --ike-version 1.
    • SHARED_SECRET: Tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida para el túnel de socio que creas en tu puerta de enlace de intercambio de tráfico; para obtener recomendaciones, consulta Genera una clave segura y compartida previamente
    • INT_NUM_0: El número 0 para la primera interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes
    • INT_NUM_1: El número 1 para la segunda interfaz de la puerta de enlace de VPN con alta disponibilidad que creaste antes

    El resultado del comando debe ser similar al siguiente ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
    

API

A fin de crear dos túneles VPN, uno para cada interfaz en la puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST con el método vpnTunnels.insert. Para cumplir con un ANS de tiempo de actividad del 99.99%, debes crear un túnel en cada interfaz de la puerta de enlace de VPN con alta disponibilidad.

  1. Para crear el primer túnel, ejecuta el siguiente comando:

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
       {
         "name": "ha-vpn-gw-a-tunnel-0",
         "ikeVersion": 2,
         "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
         "peerExternalGatewayInterface": 0,
         "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
         "sharedSecret": "SHARED_SECRET",
         "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
         "vpnGatewayInterface": 0
       }
    
  2. Para crear el segundo túnel, repite este comando, pero cambia los siguientes parámetros:

    • name
    • peerExternalGatewayInterface
    • sharedSecret o sharedSecretHash (si es necesario)
    • vpnGatewayInterface: Cambia al valor de la otra interfaz de puerta de enlace de VPN con alta disponibilidad. En este ejemplo, cambia este valor a 1.

Crea sesiones de BGP

Console

Para crear sesiones de BGP, sigue estos pasos:

  1. Si no quieres configurar las sesiones de BGP ahora, haz clic en Configurar sesiones de BGP más tarde, que abre la página Resumen y recordatorio.
  2. Si quieres configurar las sesiones de BGP ahora, haz clic en Configurar en el primer túnel VPN.
  3. En la página Crear una sesión de BGP, completa los siguientes pasos:
    1. Especifica un Nombre para la sesión de BGP.
    2. Especifica el ASN de intercambio de tráfico configurado para la puerta de enlace de VPN de intercambio de tráfico.
    3. Especifica la Prioridad de ruta anunciada (opcional).
    4. Especifica la dirección IP de BGP de Cloud Router y la dirección IP de intercambio de tráfico BGP. Asegúrate de que las direcciones IP cumplan con estos requisitos:
      • Cada dirección IP de BGP debe pertenecer al mismo CIDR /30 que se ajusta a 169.254.0.0/16.
      • Cada dirección IP de BGP no puede ser la primera dirección (red) o la última (transmisión) en el CIDR /30.
      • Cada rango de direcciones IP de BGP para cada sesión de BGP debe ser único entre todos los Cloud Routers en todas las regiones de una red de VPC.
    5. Opcional: Haz clic en la lista Rutas anunciadas y crea rutas personalizadas.
    6. Haz clic en Guardar y continuar.
  4. Repite los pasos anteriores para el resto de los túneles configurados en la puerta de enlace. Para cada túnel, usa una dirección IP de BGP de Cloud Router diferente y una dirección IP de intercambio de tráfico de BGP.
  5. Cuando hayas configurado todas las sesiones de BGP, haz clic en Guardar configuración de BGP.

gcloud

A fin de crear una interfaz de BGP y un intercambio de red de BGP de Cloud Router para cada túnel que hayas configurado previamente en las interfaces de puerta de enlace de VPN con alta disponibilidad, sigue estos pasos.

En los comandos, reemplaza lo que se menciona a continuación:

  • ROUTER_INTERFACE_NAME_0 y ROUTER_INTERFACE_NAME_1: Un nombre para la interfaz de BGP de Cloud Router; puede ser útil usar nombres relacionados con los nombres de túnel configurados antes.
  • Configuración manual: IP_ADDRESS_0 y IP_ADDRESS_1: la dirección IP de BGP para la interfaz de puerta de enlace de VPN con alta disponibilidad que configuras; cada túnel usa una interfaz de puerta de enlace diferente.
  • MASK_LENGTH: 30, cada sesión de BGP en el mismo Cloud Router debe usar un CIDR único /30 del bloque 169.254.0.0/16.
  • TUNNEL_NAME_0 y TUNNEL_NAME_1: El túnel asociado con la interfaz de puerta de enlace de VPN con alta disponibilidad que configuraste

Elige el método de configuración automática o manual para configurar interfaces y pares BGP:

Automático

Para permitir que Google Cloud elija de forma automática las direcciones IP de BGP de vínculo local, sigue estos pasos:

Para el primer túnel VPN

  1. Agrega una interfaz de BGP al Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Agrega un intercambio de tráfico BGP a la interfaz del primer túnel; reemplaza PEER_NAME por un nombre para la interfaz VPN de intercambio de tráfico y reemplaza PEER_ASN por la ASN configurado para la puerta de enlace de VPN de intercambio de tráfico:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para el segundo túnel VPN

  1. Agrega una interfaz de BGP al Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Agrega un intercambio de tráfico BGP a la interfaz del segundo túnel; reemplaza PEER_NAME por un nombre para la interfaz VPN de intercambio de tráfico y reemplaza PEER_ASN con el ASN configurado para la puerta de enlace VPN del intercambio de tráfico:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

Manual

Para asignar de forma manual las direcciones IP de BGP asociadas con la interfaz y el intercambio de tráfico de BGP de Google Cloud, completa los siguientes pasos.

Para cada túnel VPN, elige un par de direcciones IP de BGP de vínculo local en un bloque /30 del rango 169.254.0.0/16 (cuatro direcciones en total). Las direcciones IP de BGP que especifiques deben ser las únicas de todas las regiones entre todos los Cloud Router de una red de VPC.

Para cada túnel asigna una de estas direcciones IP de BGP al Cloud Router y la otra dirección IP de BGP a la puerta de enlace de VPN de intercambio de tráfico. Configura tu dispositivo VPN de intercambio de tráfico para usar la dirección IP de BGP de intercambio de tráfico.

En los siguientes comandos, reemplaza lo siguiente:

  • GOOGLE_BGP_IP_0: La dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 0; PEER_BGP_IP_0 representa la dirección IP de BGP de su intercambio de tráfico
  • GOOGLE_BGP_IP_1: La dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 1; PEER_BGP_IP_1 representa la dirección IP de BGP de su intercambio de tráfico

Para el primer túnel VPN

  1. Agrega una interfaz de BGP al Cloud Router; reemplaza ROUTER_INTERFACE_NAME_0 por un nombre para la interfaz:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --mask-length 30 \
      --region=REGION
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Agrega un intercambio de tráfico de BGP a la interfaz; reemplaza PEER_NAME por un nombre para el intercambio de tráfico y reemplaza PEER_ASN por el ASN configurado para la puerta de enlace VPN de intercambio de tráfico:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION
    

    El resultado del comando debe ser similar al siguiente ejemplo:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para el segundo túnel VPN

  1. Agrega una interfaz de BGP al Cloud Router; reemplaza ROUTER_INTERFACE_NAME_1 por un nombre para la interfaz:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IP_1 \
     --mask-length 30 \
     --region=REGION
    
  2. Agrega un intercambio de tráfico de BGP a la interfaz; reemplaza PEER_NAME por un nombre para el intercambio de tráfico y reemplaza PEER_ASN por el ASN configurado para la puerta de enlace VPN de intercambio de tráfico:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IP_1 \
     --region=REGION
    

API

  1. Para crear una interfaz de BGP de Cloud Router, realiza una solicitud PATCH o UPDATE con el método routers.patch o el routers.update. PATCH solo actualiza los parámetros que incluyes. UPDATE actualiza todos los parámetros de Cloud Router.

    Crea una interfaz de BGP para cada túnel VPN en la primera puerta de enlace de VPN con alta disponibilidad. Para la segunda interfaz de BGP, usa un ipRange de la misma subred /30 que el ipRange para el primer túnel, un name y un nombre de linkedVpnTunnel diferentes. Cada rango de direcciones IP de BGP para cada sesión de BGP debe ser único entre todos los Cloud Routers en todas las regiones de una red de VPC.

    Repite este paso y el comando para cada túnel VPN en la segunda puerta de enlace de VPN con alta disponibilidad.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
        }
      ]
    }
    
  2. Para agregar un intercambio de tráfico de BGP a un Cloud Router para un túnel VPN, realiza una solicitud POST con el método routers.insert. Repite este comando para el otro túnel VPN y cambia todas las opciones excepto name y peerAsn.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
      }
    ]
    }
    

Verifica la configuración

Console

Para verificar la configuración, ve a la página Resumen y recordatorio:

  1. En la sección Resumen de esta pantalla, se muestra información de la puerta de enlace de VPN con alta disponibilidad y del perfil de puerta de enlace de VPN de intercambio de tráfico. Para cada túnel VPN, puedes ver el Estado del túnel VPN, el Nombre de la sesión de BGP, el Estado de la sesión de BGP y el valor MED (prioridad de ruta anunciada).
  2. En la sección Recordatorio de esta página, se enumeran los pasos que debes completar para tener una conexión de VPN operativa por completo entre Cloud VPN y la VPN de intercambio de tráfico. Después de revisar la información de esta página, haz clic en Aceptar.

gcloud

Para verificar la configuración de Cloud Router, sigue estos pasos:

  • Enumera las direcciones IP de BGP que eligió Cloud Router. Si agregaste una nueva interfaz a un Cloud Router existente, las direcciones IP de BGP para la nueva interfaz deberían aparecer con el número de índice más alto. Usa la dirección IP de BGP peerIpAddress para configurar tu puerta de enlace VPN de intercambio de tráfico:

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    El resultado esperado para un Cloud Router que administra dos túneles de Cloud VPN (índice 0 y índice 1) debería verse como el siguiente ejemplo, en el que se cumple lo siguiente:

    • GOOGLE_BGP_IP_0 representa la dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 0. PEER_BGP_IP_0 representa la dirección IP de BGP de su intercambio de tráfico.
    • GOOGLE_BGP_IP_1 representa la dirección IP de BGP de la interfaz de Cloud Router para el túnel en la puerta de enlace de Cloud VPN interface 1. PEER_BGP_IP_1 representa la dirección IP de BGP de su intercambio de tráfico.
      result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
      result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
      result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
      result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
      result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
      result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
    
  • También puedes usar el siguiente comando para obtener una lista completa de la configuración de Cloud Router:

    gcloud compute routers describe ROUTER_NAME \
       --region=REGION
    

    La lista completa debería verse de la siguiente manera:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

API

Para verificar la configuración de Cloud Router, realiza una solicitud GET con el método routers.getRouterStatus y usa un cuerpo de solicitud vacío:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crea un túnel adicional en una puerta de enlace de un solo túnel

Console

Para recibir un ANS de tiempo de actividad del 99.99%, configura un túnel en cada interfaz de VPN con alta disponibilidad de una puerta de enlace de VPN con alta disponibilidad.

Configura un segundo túnel en las siguientes circunstancias:

  • Si configuraste una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico que tiene una única interfaz de VPN de intercambio de tráfico.
  • Si antes configuraste un solo túnel en una VPN con alta disponibilidad para una puerta de enlace de VPN de intercambio de tráfico que contiene cualquier cantidad de interfaces, pero ahora deseas obtener un ANS de tiempo de actividad del 99.99% para tu puerta de enlace de VPN con alta disponibilidad.

Para configurar un segundo túnel, sigue los pasos que se indican en Agrega un túnel desde una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico.

Configura la prioridad de ruta anunciada base (opcional)

Las sesiones de BGP que crees permiten que cada Cloud Router anuncie rutas a redes de intercambio de tráfico. Los anuncios usan prioridades base sin modificar.

Usa la configuración documentada en Crea una puerta de enlace de VPN con alta disponibilidad y un par de túneles a una VPN de intercambio de tráfico para configuraciones de enrutamiento activas/activas en las que las prioridades de ruta anunciadas de los dos túneles VPN del lado de Google Cloud y del lado del intercambio de tráfico coincidan. Para configurar las mismas prioridades de ruta anunciadas desde Google Cloud en ambos intercambios de tráfico de BGP, omite la prioridad de ruta anunciada en el lado de Google Cloud.

A fin de crear una configuración activa/pasiva, configura prioridades de ruta anunciada no equitativas para los dos túneles VPN con alta disponibilidad. Una prioridad de ruta anunciada debe ser más alta que la otra. Por ejemplo:

  • Prioridad de ruta para BGP session1/tunnel1 = 10
  • Prioridad de ruta para BGP session2/tunnel2 = 20

Para obtener más información sobre la prioridad de ruta anunciada base, consulta Prioridades y prefijos anunciados.

También puedes especificar qué rutas se anuncian mediante anuncios personalizados:

  • Agrega la marca --advertisement-mode=CUSTOM (gcloud) o la marca advertiseMode: custom (API).
  • Especifica los rangos de direcciones IP con la marca --set-advertisement-ranges (gcloud) o la marca advertisedIpRanges (API).

Completa la configuración

Para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados, completa los siguientes pasos:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel o los túneles correspondientes allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado de los túneles VPN.. En este paso, se verifica la configuración de alta disponibilidad de la puerta de enlace de VPN con alta disponibilidad.

Aplica una restricción de política de la organización que restrinja las direcciones IP de la puerta de enlace de VPN de intercambio de tráfico

Puedes crear una restricción de política de la organización de Google Cloud que defina un conjunto de direcciones IP permitidas o denegadas para el intercambio de tráfico entre puertas de enlace de VPN a través de VPN clásicas o túneles VPN con alta disponibilidad. Esta restricción contiene una lista de permisos o una lista de bloqueo de estas direcciones IP de intercambio de tráfico, que entran en vigor en los túneles de Cloud VPN que creas después de aplicar la restricción. Para obtener más detalles, consulta Restringe las direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN.

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Permisos necesarios

Para establecer una restricción de dirección IP de intercambio de tráfico en el nivel de organización o proyecto, primero debes tener la función de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Restringe la conectividad desde direcciones IP de intercambio de tráfico específicas

Para permitir solo direcciones IP de intercambio de tráfico específicas a través de un túnel de Cloud VPN, realiza los siguientes pasos:

  1. Busca el ID de tu organización mediante la ejecución del comando siguiente:
    gcloud organizations list

    El resultado del comando debería verse como el ejemplo siguiente:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un archivo JSON que defina tu política, como en el ejemplo siguiente:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Configura la política de la organización con el comando gcloud de Resource Manager set-policy, pasando el archivo JSON y con el ORGANIZATION_ID que encontraste en el paso anterior.

Restringe la conectividad desde cualquier dirección IP de intercambio de tráfico

Si quieres prohibir la creación de cualquier túnel de Cloud VPN nuevo, sigue los pasos de esta restricción de ejemplo:

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.
  2. Crea un archivo JSON como se muestra en el siguiente ejemplo:

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Ingresa el mismo comando que ejecutarías para restringir direcciones IP específicas de intercambio de tráfico para pasar el archivo JSON.

¿Qué sigue?