Crea una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico

En esta página se describe cómo crear una puerta de enlace de VPN con alta disponibilidad que se conecte a una puerta de enlace de VPN de intercambio de tráfico.

Las puertas de enlace de VPN con alta disponibilidad usan la API de VPN con alta disponibilidad y ofrecen un ANS del 99.99%. Para esta configuración se usa un par de túneles, con un túnel en cada interfaz de puerta de enlace de VPN con alta disponibilidad.

Hay dos componentes de puerta de enlace que se deben configurar para la VPN con alta disponibilidad:

  • Una puerta de enlace de VPN con alta disponibilidad en Google Cloud
  • Tus puertas de enlace de VPN de intercambio de tráfico: uno o más dispositivos de puerta de enlace de VPN físicos o aplicaciones de software en la red de intercambio de tráfico a la que se conecta la puerta de enlace de VPN con alta disponibilidad. La puerta de enlace de intercambio de tráfico puede ser una puerta de enlace de VPN local o una alojada por otro proveedor de servicios en la nube. Debes crear un recurso de puerta de enlace de VPN externa en Google Cloud por cada dispositivo o servicio de puerta de enlace de intercambio de tráfico

Para ver los diagramas de esta topología, consulta la página Topologías.

Para obtener más información sobre cómo elegir un tipo de VPN, consulta Elige un producto de conectividad de red.

Si deseas obtener prácticas recomendadas antes de configurar Cloud VPN, consulta Prácticas recomendadas para Cloud VPN.

Requisitos

Requisitos y lineamientos generales

  • Revisa la información sobre cómo funciona el enrutamiento dinámico en Google Cloud.
  • Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico sea compatible con BGP.

Tipos de redundancia

La API de VPN con alta disponibilidad contiene una opción para REDUNDANCY_TYPE, que representa la cantidad de interfaces que configuras para el recurso de puerta de enlace de VPN externa.

Los comandos de gcloud infieren de manera automática los siguientes valores de REDUNDANCY_TYPE a partir de la cantidad de interfaces que proporcionas en el ID de interfaz cuando configuras un recurso de puerta de enlace de VPN externa:

  • Una interfaz de VPN externa es SINGLE_IP_INTERNALLY_REDUNDANT
  • Dos interfaces de VPN externas son TWO_IPS_REDUNDANCY
  • Cuatro interfaces de VPN externas son FOUR_IPS_REDUNDANCY

Cuando configuras puertas de enlace de VPN externas, debes usar los siguientes números de identificación de interfaz para la cantidad indicada de interfaces de VPN externas:

  • Para una interfaz de VPN externa, usa un valor de 0.
  • Para dos interfaces de VPN externas, usa los valores 0 y 1.
  • Para cuatro interfaces de VPN externas, usa los valores 0, 1, 2 y 3.

Cuando se configura una puerta de enlace de VPN con alta disponibilidad externa a Amazon Web Services (AWS), la topología admitida requiere dos puertas de enlace virtuales privadas de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en total en AWS: A1, A2, B1 y B2.

  1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
    • IP de AWS 0=A1
    • IP de AWS 1=A2
    • IP de AWS 2=B1
    • IP de AWS 3=B2
  2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir el ANS del 99,99% mediante la siguiente configuración:
    • Interfaz 0 de VPN con alta disponibilidad a la interfaz 0 de AWS
    • Interfaz 0 de VPN con alta disponibilidad a la interfaz 1 de AWS
    • Interfaz 1 de VPN con alta disponibilidad a la interfaz 2 de AWS
    • Interfaz 1 de VPN con alta disponibilidad a la interfaz 3 de AWS

Descripción general de las opciones de configuración de alto nivel para configurar la VPN con alta disponibilidad con Amazon Web Services (AWS):

  1. Crea la puerta de enlace de VPN con alta disponibilidad y un Cloud Router. Esto crea 2 direcciones IP externas del lado de GCP.
  2. Crea dos puertas de enlace privadas virtuales de AWS. De esta forma, se crean 4 direcciones externas del lado de AWS.
  3. Crea dos conexiones VPN de sitio a sitio de AWS y puertas de enlace de clientes, una para cada puerta de enlace privada virtual de AWS. Especifica un rango de IP de túnel de vínculo local no superpuesto para cada túnel, con un total de 4. Por ejemplo, 169.254.1.4/30.
  4. Descarga los archivos de configuración de AWS para el tipo de dispositivo genérico.
  5. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad.
  6. Configura las sesiones de BGP en Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Crea Cloud Routers

Cuando configuras una nueva puerta de enlace de VPN con alta disponibilidad, puedes crear un nuevo Cloud Router o usar un Cloud Router que ya utilices con túneles de Cloud VPN o adjuntos de interconexión (VLAN) existentes. Sin embargo, el Cloud Router que usas no debe administrar una sesión de BGP para un adjunto de interconexión (VLAN) asociado con una interconexión de socio, debido a los requisitos específicos del ASN.

Antes de comenzar

Configurar los siguientes elementos en Google Cloud facilita la configuración de Cloud VPN:

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. En la página de selección de proyectos de Cloud Console, selecciona o crea un proyecto de Cloud.

    Ir a la página Selector de proyectos

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas comandos de gcloud, configura tu ID del proyecto con el siguiente comando. Para las instrucciones de gcloud en esta página, se da por hecho que estableciste tu ID del proyecto antes de emitir comandos.

    gcloud config set project PROJECT_ID
  
  1. También puedes ver un ID del proyecto que ya se configuró:
    gcloud config list --format='text(core.project)'
  

Crea una red y una subred de nube privada virtual personalizada

Antes de crear una puerta de enlace de VPN con alta disponibilidad y un par de túneles, debes crear una red de nube privada virtual y al menos una subred en la región donde residirá la puerta de enlace de VPN con alta disponibilidad.

En los ejemplos de este documento, también se usa el modo de enrutamiento dinámico global de VPC para que todas las instancias de Cloud Router apliquen las rutas to on-premises que conocen a todas las subredes de la red de VPC. En el modo de enrutamiento global, las rutas a todas las subredes en la red de VPC se comparten con los routers locales.

Crea una puerta de enlace de VPN con alta disponibilidad y un par de túneles hacia una VPN de intercambio de tráfico

Sigue las instrucciones de esta sección para crear una puerta de enlace de VPN con alta disponibilidad, un par de túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Console

En el Asistente de configuración de VPN, se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN con alta disponibilidad, túneles, un recurso de puerta de enlace de VPN de intercambio de tráfico y sesiones de BGP.

Crea una puerta de enlace de Cloud VPN

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
    1. Si creas una puerta de enlace por primera vez, selecciona el botón Crear conexión de VPN.
    2. Selecciona el Asistente de configuración de VPN.
  2. Selecciona el botón de selección de una puerta de enlace de VPN con alta disponibilidad.
  3. Haz clic en Continuar.
  4. Especifica un Nombre de puerta de enlace de VPN.
  5. En Red de VPC, selecciona una red existente o la red predeterminada.
  6. Selecciona una Región.
  7. Haz clic en Crear y continuar.
  8. La pantalla de la consola se actualiza y muestra la información de la puerta de enlace. Se asignan dos direcciones IP externas de forma automática para cada una de las interfaces de la puerta de enlace. Para los próximos pasos de configuración, toma nota de los detalles de la configuración de la puerta de enlace.

Crea un recurso de puerta de enlace de VPN de intercambio de tráfico

El recurso de puerta de enlace de VPN de intercambio de tráfico representa la puerta de enlace que no es de Google Cloud en Google Cloud.

  1. En la pantalla Crear una VPN, en Puerta de enlace de VPN de intercambio de tráfico, selecciona On-prem or Non-Google Cloud.
  2. En Nombre de la puerta de enlace de VPN de intercambio de tráfico, elige una puerta de enlace de intercambio de tráfico existente o haz clic en Crear una nueva puerta de enlace de VPN de intercambio de tráfico. Si eliges una puerta de enlace existente, Cloud Console selecciona la cantidad de túneles que se configurarán según la cantidad de interfaces de intercambio de tráfico que configuraste en la puerta de enlace de intercambio de tráfico existente. Para crear una nueva puerta de enlace de intercambio de tráfico, completa los siguientes pasos:
    1. Especifica un Nombre para la puerta de enlace de VPN de intercambio de tráfico.
    2. En Interfaces de puerta de enlace de VPN de intercambio de tráfico, selecciona interfaces one, two o four, según el tipo de interfaces que tenga tu puerta de enlace de intercambio de tráfico. Consulta la página Topologías para ver ejemplos de cada tipo.
    3. En el campo de cada interfaz de VPN de intercambio de tráfico, especifica la dirección IP externa que se usa para esa interfaz. Para obtener más información, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
    4. Haz clic en Crear.

Crea túneles VPN

  • Si configuraste tu recurso de puerta de enlace de VPN de intercambio de tráfico con una interfaz, configura tu único túnel en el cuadro de diálogo un solo túnel VPN en la pantalla Crear una VPN. Debes crear un segundo túnel para obtener con un ANS del 99,99%.
  • Si configuraste el recurso de puerta de enlace de VPN de intercambio de tráfico con dos o cuatro interfaces, debes configurar los cuadros de diálogo asociados que aparecen en la parte inferior de la pantalla Crear una VPN.
  1. En Cloud Router, si aún no lo hiciste, crea un Cloud Router y especifica las siguientes opciones. Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio.
    1. Para crear un Cloud Router nuevo, especifica un Nombre, una Descripción opcional y un ASN de Google para el nuevo router. Puedes usar cualquier ASN privado (desde 64512 hasta 65534, desde 4200000000 hasta 4294967294) que no estés usando en ningún otro lugar de tu red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.
    2. Haz clic en Crear para crear el nuevo router.
  2. Si corresponde, en Interfaz de puerta de enlace de Cloud VPN asociada, selecciona la combinación de interfaz de VPN con alta disponibilidad y dirección IP que deseas asociar con tu interfaz de puerta de enlace de VPN de intercambio de tráfico para este túnel.
  3. En Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada, selecciona la combinación de interfaz de puerta de enlace de VPN de intercambio de tráfico y dirección IP que deseas asociar con este túnel y con la interfaz de VPN con alta disponibilidad. Esta interfaz debe coincidir con la interfaz del router de intercambio de tráfico real.
    1. Especifica un Nombre para el túnel.
    2. Especifica una Descripción opcional.
    3. Especifica la versión de IKE. Se recomienda IKE v2, la configuración predeterminada, si el router de intercambio de tráfico lo admite.
    4. Especifica una Clave IKE compartida previamente con tu secreto compartido, que debe corresponder con el secreto compartido del túnel del socio que creaste en tu puerta de enlace de intercambio de tráfico. Si no configuraste un secreto compartido en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar uno, haz clic en el botón Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.
    5. Haz clic en Listo.
    6. Repite los pasos de creación del túnel para cualquier cuadro de diálogo de túnel restante en la pantalla Crear una VPN.
  4. Cuando hayas configurado todos los túneles, haz clic en Crear y continuar.

Crea sesiones de BGP

  1. Si no quieres configurar las sesiones de BGP ahora, haz clic en el botón Configurar las sesiones de BGP más tarde, que abre la pantalla Resumen y recordatorio.
  2. Si quieres configurar las sesiones de BGP ahora, haz clic en el botón Configurar para el primer túnel VPN.
  3. En la pantalla Crear sesión de BGP, realiza los siguientes pasos:
    1. Especifica un Nombre para la sesión de BGP.
    2. Especifica el ASN de par configurado para la puerta de enlace de VPN de intercambio de tráfico.
    3. Especifica la Prioridad de ruta anunciada (opcional).
    4. Especifica la dirección IP de BGP de Cloud Router y la dirección IP de par BGP. Asegúrate de que las direcciones IP cumplan con estos requisitos:
      • Cada dirección IP de BGP debe pertenecer al mismo CIDR /30 que se ajusta a 169.254.0.0/16.
      • Cada dirección IP de BGP no puede ser la primera dirección (red) o la última (transmisión) en el CIDR /30.
      • Cada rango de direcciones IP de BGP para cada sesión de BGP debe ser único entre todos los Cloud Routers en todas las regiones de una red de VPC.
    5. Haz clic en el menú desplegable Rutas anunciadas y crea rutas personalizadas (opcional).
    6. Haz clic en Guardar y continuar.
  4. Repite los pasos anteriores para el resto de los túneles configurados en la puerta de enlace con una dirección IP de BGP de Cloud Router diferente y una dirección IP de par BGP para cada túnel.
  5. Cuando hayas configurado todas las sesiones de BGP, haz clic en Guardar configuración de BGP.

Resumen y recordatorio

  1. En la sección Resumen de esta pantalla, se muestra información de la puerta de enlace de VPN con alta disponibilidad y del perfil de puerta de enlace de VPN de intercambio de tráfico.
  2. Para cada túnel VPN, puedes ver el Estado del túnel VPN, el Nombre de la sesión de BGP, el Estado de la sesión de BGP y el valor MED (prioridad de ruta anunciada).
  3. En la sección Recordatorio de esta pantalla, se enumeran los pasos que debes completar para tener una conexión de VPN operativa por completo entre Cloud VPN y la VPN de intercambio de tráfico.
  4. Haz clic en Aceptar después de revisar la información en esta pantalla.

Crea un túnel adicional en una puerta de enlace de un solo túnel

Sigue los pasos de esta sección para configurar un segundo túnel en la segunda interfaz de una puerta de enlace de VPN con alta disponibilidad. Haz esto en las siguientes circunstancias:

  • Cuando se configura una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico que tiene una única interfaz de VPN de intercambio de tráfico.
  • Si antes configuraste un solo túnel en una VPN con alta disponibilidad para una puerta de enlace de VPN de intercambio de tráfico que contiene cualquier cantidad de interfaces, pero ahora deseas obtener un ANS de tiempo de actividad del 99.99% para tu puerta de enlace de VPN con alta disponibilidad.

    1. Ve a la página VPN en Google Cloud Console.
      Ir a la página VPN
    2. Haz clic en el botón Crear túnel VPN.
    3. En el menú desplegable, selecciona la puerta de enlace que requiere el segundo túnel.
    4. Haz clic en Continuar.
    5. Elige un Cloud Router. Si no configuraste un Cloud Router, sigue los pasos para crear uno en el procedimiento Crea túneles VPN.
    6. En Puerta de enlace de VPN de intercambio de tráfico, selecciona Sistema local o ajeno a Google Cloud.
    7. Para el Nombre de la puerta de enlace de VPN de intercambio de tráfico, elige el recurso de puerta de enlace de VPN de intercambio de tráfico que usará el túnel nuevo. Puedes verificar los nombres de puerta de enlace de VPN de intercambio de tráfico existentes de esta puerta de enlace de Cloud VPN si haces clic en el vínculo Ver todos los túneles en Nombre de la puerta de enlace de VPN cerca de la parte superior de la pantalla.
    8. Es posible que recibas una advertencia de que un túnel con la misma interfaz de puerta de enlace de VPN de intercambio de tráfico ya está asociado con la misma interfaz de puerta de enlace local de Cloud VPN. Para solucionar este problema, en Interfaz de puerta de enlace de Cloud VPN asociada, selecciona la otra interfaz de VPN con alta disponibilidad.
    9. Configura el resto de los pasos como se indica en el procedimiento Crea túneles VPN para terminar de configurar el túnel.

gcloud


Crea la puerta de enlace de VPN con alta disponibilidad

Completa la siguiente secuencia de comandos para crear la puerta de enlace de VPN con alta disponibilidad:

  1. Crea una puerta de enlace de VPN con alta disponibilidad. Cuando se crea la puerta de enlace, se asignan de forma automática dos direcciones IP externas, una para cada interfaz de puerta de enlace.

    En los siguientes comandos, reemplaza estas opciones:

    • Reemplaza NETWORK con el nombre de tu red de Google Cloud.
    • Reemplaza REGION por la región de Google Cloud en la que debes crear la puerta de enlace y el túnel.
    • Reemplaza GW_NAME por el nombre de la puerta de enlace.
      gcloud compute vpn-gateways create GW_NAME \
        --network NETWORK \
        --region REGION
    

    La puerta de enlace que crees debe ser similar al siguiente resultado de ejemplo. Se asignó una dirección IP externa de forma automática a cada interfaz de puerta de enlace:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1   NETWORK   REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23 network-a us-central1
    

Crea un Cloud Router

  1. Completa la siguiente secuencia de comandos para crear un Cloud Router. En los siguientes comandos, reemplaza estas opciones:

    • Reemplaza ROUTER_NAME con el nombre del Cloud Router en la misma región que la puerta de enlace de Cloud VPN.
    • Reemplaza GOOGLE_ASN con cualquier ASN privado (como el que va de 64512 a 65534, de 4200000000 a 4294967294) que no estés usando en la red de intercambio de tráfico. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.
      gcloud compute routers create ROUTER_NAME \
        --region REGION \
        --network NETWORK \
        --asn GOOGLE_ASN
    

    El resultado del router que crees debe ser similar al siguiente ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      NAME      REGION      NETWORK
      router-a us-central1 network-a
    

Crea un recurso de puerta de enlace de VPN externa

Crea un recurso de puerta de enlace de VPN externa que proporcione información a Google Cloud sobre tu puerta o puertas de enlace de VPN de intercambio de tráfico. Según las recomendaciones de alta disponibilidad destinadas a la puerta de enlace de VPN de intercambio de tráfico, puedes crear un recurso de puerta de enlace de VPN externa para los siguientes tipos de puertas de enlaces de VPN locales:

  • Dos dispositivos separados de puerta de enlace de VPN de intercambio de tráfico en los que los dos dispositivos son redundantes entre sí y cada dispositivo tiene su propia dirección IP externa.
  • Una puerta de enlace de VPN de intercambio de tráfico única que usa dos interfaces independientes, cada una con su propia dirección IP externa. Para este tipo de puerta de enlace de intercambio de tráfico, puedes crear una sola puerta de enlace de VPN externa con dos interfaces.
  • Una sola puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa.

Opción 1: Crea un recurso de puerta de enlace de VPN externa para dos dispositivos de puerta de enlace de VPN de intercambio de tráfico independientes

  1. Para este tipo de puerta de enlace de intercambio de tráfico, cada interfaz de la puerta de enlace de VPN externa tiene una dirección IP externa, y cada dirección proviene de uno de los dispositivos de puerta de enlace de VPN de intercambio de tráfico. En el siguiente comando de gcloud, reemplaza estas opciones:

    • Reemplaza PEER_GW_NAME con un nombre que represente la puerta de enlace de intercambio de tráfico.
    • Reemplaza PEER_GW_IP_0 con las direcciones IP externas de una puerta de enlace de intercambio de tráfico.
    • Reemplaza PEER_GW_IP_1 con la dirección IP externa de otra puerta de enlace de intercambio de tráfico.
      gcloud compute external-vpn-gateways create PEER_GW_NAME \
        --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1 \
    

    El recurso de la puerta de enlace de VPN externa creado debería verse como el siguiente ejemplo, en el que PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones externas reales de las interfaces de puerta de enlace de intercambio de tráfico:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   PEER_GW_IP_0    PEER_GW_IP_1
    

Opción 2: Crea un recurso de puerta de enlace de VPN externa para una sola puerta de enlace de VPN de intercambio de tráfico con dos interfaces independientes

  1. Para este tipo de puerta de enlace de intercambio de tráfico, crea una sola puerta de enlace de VPN externa con dos interfaces. En el siguiente comando de gcloud, reemplaza estas opciones:

    • Reemplaza PEER_GW_NAME con un nombre que represente la puerta de enlace de intercambio de tráfico.
    • Reemplaza PEER_GW_IP_0 por la dirección IP externa de la interfaz de la puerta de enlace de intercambio de tráfico.
    • Reemplaza PEER_GW_IP_1 por la dirección IP externa de otra interfaz de la puerta de enlace de intercambio de tráfico.

      gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1 \
      

      El recurso de la puerta de enlace de VPN externa creado debería verse como el siguiente ejemplo, en el que PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones externas reales de las interfaces de puerta de enlace de intercambio de tráfico:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
      

Opción 3: Crea un recurso de puerta de enlace de VPN externa para una única puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa

  1. Para este tipo de puerta de enlace de intercambio de tráfico, crea una puerta de enlace de VPN externa con una interfaz. En el siguiente comando de gcloud, reemplaza estas opciones:

    • Reemplaza PEER_GW_NAME con un nombre que represente la puerta de enlace de intercambio de tráfico.
    • Reemplaza PEER_GW_IP_0 con la dirección IP externa de la interfaz de la puerta de enlace de intercambio de tráfico.
      gcloud compute external-vpn-gateways create PEER_GW_NAME \
        --interfaces 0=PEER_GW_IP_0 \
    

    El recurso de la puerta de enlace de VPN externa que creaste debería verse como el siguiente ejemplo, en el que PEER_GW_IP_0 muestra las direcciones externas reales de la interfaz de puerta de enlace de intercambio de tráfico:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0
      peer-gw   PEER_GW_IP_0
    

Crea dos túneles VPN: uno para cada interfaz de la puerta de enlace de VPN con alta disponibilidad

Cuando crees túneles VPN, especifica su lado de intercambio de tráfico como la puerta de enlace de VPN externa que creaste antes. Según el tipo de redundancia de la puerta de enlace de VPN externa, configura los túneles mediante una de las dos opciones que se describen a continuación.

Opción 1: Si la puerta de enlace de VPN externa consiste en dos dispositivos independientes de puerta de enlace de VPN de intercambio de tráfico o en un solo dispositivo con dos direcciones IP

  1. En este caso, un túnel VPN debe conectarse a la interfaz 0 de la puerta de enlace de VPN externa, y el otro túnel VPN debe conectarse a la interfaz 1 de la puerta de enlace de VPN externa.

    En los siguientes comandos para crear cada túnel, reemplaza estas opciones:

    • Reemplaza TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1 por un nombre para el túnel. Incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
    • Reemplaza GW_NAME con el nombre de la puerta de enlace de VPN con alta disponibilidad.
    • --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se desea operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
    • Reemplaza PEER_GW_NAME por un nombre de la puerta de enlace de intercambio de tráfico externa creada antes.
    • Reemplaza PEER_EXT_GW_IF0 y PEER_EXT_GW_IF1 por el número de interfaz configurado antes en la puerta de enlace de intercambio de tráfico externa.
    • Reemplaza IKE_VERS con 1 para IKEv1 o 2 para IKEv2. Si es posible, usa IKEv2 para la versión IKE. Si la puerta de enlace de intercambio de tráfico necesita IKEv1, reemplaza -ike-version 2 por -ike-version 1.
    • Reemplaza SHARED_SECRET por tu secreto compartido, que debe corresponder con el secreto compartido del túnel de socio que creaste en la puerta de enlace de intercambio de tráfico. Consulta Genera una clave precompartida segura para obtener recomendaciones.
    • Reemplaza INT_NUM_0 con el número 0 de la primera interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes.
    • Reemplaza INT_NUM_1 con el número 1 para la segunda interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes.

        gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
          --peer-external-gateway PEER_GW_NAME \
          --peer-external-gateway-interface PEER_EXT_GW_IF0  \
          --region REGION \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME \
          --vpn-gateway GW_NAME \
          --interface INT_NUM_0
      
       gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
          --peer-external-gateway PEER_GW_NAME \
          --peer-external-gateway-interface PEER_EXT_GW_IF1 \
          --region REGION \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME \
          --vpn-gateway GW_NAME \
          --interface INT_NUM_1
      

      El resultado del comando debe ser similar al siguiente ejemplo:

        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        1
      

Opción 2: Si la puerta de enlace de VPN externa es una sola puerta de enlace de VPN de intercambio de tráfico con una sola dirección IP externa

  1. En este caso, ambos túneles VPN deben conectarse a la interfaz 0 de la puerta de enlace de VPN externa.

    En los siguientes comandos para crear cada túnel, reemplaza estas opciones:

    • Reemplaza TUNNEL_NAME_IF0 y TUNNEL_NAME_IF1 por un nombre para el túnel. Incluir el nombre de la interfaz de la puerta de enlace en los nombres de los túneles puede facilitar la identificación de los túneles más adelante.
    • Reemplaza PEER_GW_NAME por el nombre de la puerta de enlace de intercambio de tráfico externa que se creó antes.
    • Reemplaza PEER_EXT_GW_IF0 con el número de interfaz configurado antes en la puerta de enlace de intercambio de tráfico externa.
    • --vpn-gateway-region es la región de la puerta de enlace de VPN con alta disponibilidad en la que se desea operar (opcional). Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
    • Reemplaza IKE_VERS con 1 para IKEv1 o 2 para IKEv2. Si es posible, usa IKEv2 para la versión IKE. Si la puerta de enlace de intercambio de tráfico necesita IKEv1, reemplaza -ike-version 2 por -ike-version 1.
    • Reemplaza SHARED_SECRET por tu secreto compartido, que debe corresponder con el secreto compartido del túnel de socio que creaste en la puerta de enlace de intercambio de tráfico. Consulta Genera una clave precompartida segura para obtener recomendaciones.
    • Reemplaza INT_NUM_0 con el número 0 de la primera interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes.
    • Reemplaza INT_NUM_1 con el número 1 para la segunda interfaz en la puerta de enlace de VPN con alta disponibilidad que creaste antes.
      gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
        --peer-external-gateway PEER_GW_NAME \
        --peer-external-gateway-interface PEER_EXT_GW_IF0  \
        --region REGION \
        --ike-version IKE_VERS \
        --shared-secret SHARED_SECRET \
        --router ROUTER_NAME \
        --vpn-gateway GW_NAME \
        --interface INT_NUM_0
    
      gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
        --peer-external-gateway PEER_GW_NAME \
        --peer-external-gateway-interface [peer-ext-gw-if0] \
        --region REGION \
        --ike-version IKE_VERS \
        --shared-secret SHARED_SECRET \
        --router ROUTER_NAME \
        --vpn-gateway GW_NAME \
        --interface INT_NUM_1
    

    El resultado del comando debe ser similar al siguiente ejemplo:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        0
    

Crea interfaces de Cloud Router y pares BGP

  1. Crea una interfaz de BGP de Cloud Router y un par BGP para cada túnel que hayas configurado antes en las interfaces de puerta de enlace de VPN con alta disponibilidad.
    En los siguientes comandos, reemplaza estas opciones:

    • Reemplaza ROUTER_INTERFACE_NAME_0 y ROUTER_INTERFACE_NAME_1 por el nombre de la interfaz BGP de Cloud Router. Puede ser útil usar nombres relacionados con los nombres de túnel antes configurados.
    • Si usas el método de configuración manual, reemplaza IP_ADDRESS_0 y IP_ADDRESS_1 por la dirección IP de BGP para la interfaz de puerta de enlace de VPN con alta disponibilidad que configures. Cada túnel usa una interfaz de puerta de enlace diferente.
    • Usa un MASK_LENGTH de 30.
    • Reemplaza TUNNEL_NAME_0 y TUNNEL_NAME_1 por el túnel asociado con la interfaz de la puerta de enlace de VPN con alta disponibilidad que configuraste.

    Elige el método de configuración automática o manual para configurar interfaces y pares BGP:

    Automático

    Para permitir que Google Cloud elija de forma automática las direcciones IP de BGP de vínculo local, sigue estos pasos:

    Para el primer túnel VPN

    1. Agrega una interfaz de BGP al Cloud Router.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_0 \
          --mask-length MASK_LENGTH \
          --vpn-tunnel TUNNEL_NAME_0 \
          --region REGION
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      
    2. Agrega un par BGP a la interfaz del primer túnel. Reemplaza PEER_NAME con un nombre para la interfaz de VPN de intercambio de tráfico y PEER_ASN con el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_0 \
          --region REGION \
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Para el segundo túnel VPN

    1. Agrega una interfaz de BGP al Cloud Router.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_1 \
          --mask-length MASK_LENGTH \
          --vpn-tunnel TUNNEL_NAME_1 \
          --region REGION
      
    2. Agrega un par BGP a la interfaz del segundo túnel. Reemplaza PEER_NAME con un nombre para la interfaz de VPN de intercambio de tráfico y PEER_ASN con el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_1 \
          --region REGION \
      

    Manual

    Para asignar de forma manual las direcciones IP de BGP asociadas con la interfaz y el par BGP de Google Cloud, sigue estos pasos:

    1. Para cada túnel VPN, elige un par de direcciones IP de BGP de vínculo local en un bloque /30 del rango 169.254.0.0/16 (cuatro direcciones en total). Las direcciones IP de BGP que especifiques deben ser las únicas de todas las regiones entre todos los Cloud Router de una red de VPC.

      Para cada túnel asigna una de estas direcciones IP de BGP al Cloud Router y la otra dirección IP de BGP a la puerta de enlace de VPN de intercambio de tráfico. También debes configurar el dispositivo de VPN de intercambio de tráfico para usar la dirección IP de par BGP. Usa estas opciones en los siguientes comandos:

      • GOOGLE_BGP_IP_0 representa la IP de BGP de la interfaz del Cloud Router para el túnel en la interfaz 0 de la puerta de enlace de Cloud VPN. ON_PREM_BGP_IP_0 representa la IP de BGP del intercambio de tráfico.
      • GOOGLE_BGP_IP_1 representa la IP de BGP de la interfaz del Cloud Router para la interfaz 1 de la puerta de enlace de Cloud VPN. ON_PREM_BGP_IP_1 representa la IP de BGP del intercambio de tráfico.

    Para el primer túnel VPN

    1. Agrega una interfaz de BGP al Cloud Router. Reemplaza ROUTER_INTERFACE_NAME_0 para proporcionar un nombre a la interfaz.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_0 \
          --vpn-tunnel TUNNEL_NAME_0 \
          --ip-address GOOGLE_BGP_IP_0 \
          --mask-length 30 \
          --region REGION \
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      
    2. Agrega un par BGP a la interfaz. Reemplaza PEER_NAME con un nombre para el intercambio de tráfico y [PEER_ASN] con el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_0 \
          --peer-ip-address ON_PREM_BGP_IP_0 \
          --region REGION \
      

      El resultado del comando debe ser similar al siguiente ejemplo:

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Para el segundo túnel VPN

    1. Agrega una interfaz de BGP al Cloud Router. Reemplaza ROUTER_INTERFACE_NAME_1 a fin de especificar un nombre para la interfaz.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_1 \
          --vpn-tunnel TUNNEL_NAME_1 \
          --ip-address GOOGLE_BGP_IP_1 \
          --mask-length 30 \
          --region REGION \
      
    2. Agrega un par BGP a la interfaz. Reemplaza PEER_NAME con un nombre para el intercambio de tráfico y PEER_ASN con el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_1 \
          --peer-ip-address ON_PREM_BGP_IP_1 \
          --region REGION \
      

Verifica la configuración de Cloud Router

  1. Enumera las direcciones IP de BGP que eligió Cloud Router. Si agregaste una nueva interfaz a un Cloud Router existente, las direcciones IP de BGP para la nueva interfaz deberían aparecer con el número de índice más alto. La dirección IP de par es la dirección IP de BGP que debes usar para configurar tu puerta de enlace de VPN de intercambio de tráfico.

     gcloud compute routers get-status ROUTER_NAME \
         --region REGION \
         --format='flattened(result.bgpPeerStatus[].name,
           result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    El resultado esperado para un Cloud Router que administra dos túneles de Cloud VPN (índice 0) y, también, (índice 1) es similar al siguiente ejemplo, en el que se ilustra lo siguiente:

    • GOOGLE_BGP_IP_0 representa la IP de BGP de la interfaz de Cloud Router para el túnel en la interfaz 0 de la puerta de enlace de Cloud VPN y ON_PREM_BGP_IP_0 representa la IP de BGP del intercambio de tráfico.
    • GOOGLE_BGP_IP_1 representa la IP de BGP de la interfaz de Cloud Router para el túnel en la interfaz 1 de la puerta de enlace de Cloud VPN y ON_PREM_BGP_IP_1 representa la IP de BGP del intercambio de tráfico.
    result.bgpPeerStatus[0].ipAddress:     169.254.0.1 [GOOGLE_BGP_IP_0]
    result.bgpPeerStatus[0].name:          bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 [ON_PREM_BGP_IP_0]
    result.bgpPeerStatus[1].ipAddress:     169.254.1.1 [GOOGLE_BGP_IP_1]
    result.bgpPeerStatus[1].name:          bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 [ON_PREM_BGP_IP_1]
    

    También puedes usar el siguiente comando para obtener una lista completa de la configuración de Cloud Router:

    gcloud compute routers describe ROUTER_NAME \
        --region REGION
    

    La lista completa debería verse de la siguiente manera:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  2. Para completar la configuración de la puerta de enlace, lee la sección Completa la configuración.

API

Para crear la configuración completa de una puerta de enlace de VPN con alta disponibilidad, usa los siguientes comandos de la API.

PASO UNO: Para crear una puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST con el método vpnGateways.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

PASO DOS: Para crear un Cloud Router, realiza una solicitud POST con el método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Puedes usar un Cloud Router existente, siempre y cuando el router no administre una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio. De lo contrario, crea otro Cloud Router.

PASO TRES: Para crear un recurso de puerta de enlace de VPN externa, realiza una solicitud POST con el método externalVpnGateways.insert.

  • Para una puerta de enlace de VPN externa (de intercambio de tráfico) que tenga una interfaz, usa el siguiente ejemplo, pero especifica solo un ID de interfaz y una ipAddress, con un redundancyType de SINGLE_IP_INTERNALLY_REDUNDANT.
  • Para una puerta de enlace de VPN externa con dos interfaces o dos puertas de enlace de VPN externas con una interfaz cada una, usa el ejemplo TWO_IPS_REDUNDANCY a continuación.
  • Para una o más puertas de enlace de VPN externas con cuatro interfaces de VPN externas, por ejemplo, Amazon Web Services (AWS), usa el siguiente ejemplo, pero especifica cuatro instancias del ID de interfaz y la ipAddress, y usa un redundancyType de FOUR_IPS_REDUNDANCY.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

PASO CUATRO: Si quieres crear dos túneles VPN, uno para cada interfaz en la puerta de enlace de VPN con alta disponibilidad, realiza una solicitud POST con el método vpnTunnels.insert.

Ingresa el siguiente comando para crear el primer túnel:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/external-vpn-gateways/my-peer-gateway",
   "peerExternalGatewayInterface": 0,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
   "sharedSecret": "SHARED_SECRET",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

Para crear el segundo túnel, repite este comando, pero cambia los siguientes parámetros:

  • name
  • peerExternalGatewayInterface
  • peerIp
  • sharedSecret o sharedSecretHash (si es necesario)
Cambia la vpnGatewayInterface por el valor de la otra interfaz de puerta de enlace de VPN con alta disponibilidad. En este ejemplo cambiarías este valor por 1.

PASO CINCO: Para crear una interfaz de BGP de Cloud Router, realiza una solicitud PATCH o UPDATE con el método routers.patch o el método routers.update. PATCH solo actualiza los parámetros que incluyes. UPDATE actualiza todos los parámetros de Cloud Router.

Crea una interfaz de BGP para cada túnel VPN en la primera puerta de enlace de VPN con alta disponibilidad. Para la segunda interfaz de BGP, usa un ipRange de la misma subred /30 que el ipRange para el primer túnel, un name y un nombre de linkedVpnTunnel diferentes. Cada rango de direcciones IP de BGP para cada sesión de BGP debe ser único en todas las regiones, entre todos los Cloud Routers de una red de VPC.

Repite este paso y el comando para cada túnel VPN en la segunda puerta de enlace de VPN con alta disponibilidad.

 PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
      }
    ]
 }

PASO SEIS: A fin de agregar un par BGP a Cloud Router para un túnel VPN, realiza una solicitud POST con el método routers.insert. Repite este comando para el otro túnel VPN y cambia todas las opciones excepto name y peerAsn.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
   {
     "interfaceName": "if-tunnel-a-to-on-prem-if-0",
     "ipAddress": "169.254.0.1",
     "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
     "peerAsn": "65002",
     "peerIpAddress": "169.254.0.2",
     "advertiseMode": "DEFAULT"
    }
  ]
 }

PASO SIETE: Verifica la configuración de Cloud Router con el método routers.getRouterStatus mediante un cuerpo de solicitud vacío:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Completa la configuración

Debes completar los siguientes pasos para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel o los túneles correspondientes allí. Consulta estas páginas:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario. Consulta la página de reglas de firewall para obtener sugerencias.
  3. Comprueba el estado de los túneles VPN.
Aplica una política de la organización de VPN

Aplica una restricción de política de la organización que restrinja las direcciones IP de las puertas de enlace VPN de intercambio de tráfico

Puedes crear una restricción de política de la organización de Google Cloud que defina un conjunto de direcciones IP permitidas o denegadas para el intercambio de tráfico entre puertas de enlace de VPN a través de VPN clásicas o túneles VPN con alta disponibilidad. Esta restricción contiene una lista de permisos o una lista de denegación de estas direcciones IP de par, que entra en vigor para los túneles de Cloud VPN creados después de aplicar la restricción. Para obtener más información, consulta la Descripción general de Cloud VPN.

Permisos necesarios

Para establecer una restricción de IP de par en el nivel de organización o proyecto, primero debes tener la función de Administrador de políticas de la organización (orgpolicy.policyAdmin).

Cómo establecer restricciones

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Restringe la conectividad de direcciones IP de par específicas a través de un túnel de Cloud VPN

Para permitir solo direcciones IP de par específicas, sigue estos pasos:

  1. Ingresa el siguiente comando para buscar el ID de la organización:
    gcloud organizations list

    El resultado del comando debería verse como el siguiente ejemplo:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un archivo JSON que defina la política. Debes proporcionar una política como un archivo JSON, como en el siguiente ejemplo:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Usa el comando set-policy de Resource Manager de gcloud para configurar la política de la organización, pasar el archivo JSON y usar el “ORGANIZATION_ID” que obtuviste en el paso anterior.

Restringe la conectividad de cualquier IP de par de tráfico a través de un túnel de Cloud VPN

Si quieres prohibir la creación de cualquier túnel de Cloud VPN nuevo, sigue los pasos de esta restricción de ejemplo.

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.
  2. Crea un archivo JSON como se muestra en el siguiente ejemplo.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Ingresa el mismo comando que usarías para restringir direcciones IP de par específicas para pasar el archivo JSON.