Créer une passerelle VPN haute disponibilité vers une passerelle VPN de pairs

Cette page explique comment créer une passerelle VPN haute disponibilité qui se connecte à une passerelle VPN de pairs.

Les passerelles VPN haute disponibilité utilisent l'API HA VPN et fournissent un contrat de niveau de service garantissant une disponibilité de 99,99 %. Cette configuration utilise une paire de tunnels, avec un tunnel sur chaque interface de passerelle VPN haute disponibilité.

Il existe deux composants de passerelle à configurer pour le VPN haute disponibilité :

  • Une passerelle VPN haute disponibilité dans Google Cloud.
  • Votre passerelle ou vos passerelles VPN de pairs : une ou plusieurs applications ou appareils de passerelle VPN physique dans le réseau de pairs auquel la passerelle VPN haute disponibilité se connecte. La passerelle de pairs peut être soit une passerelle VPN sur site, soit une passerelle hébergée par un autre fournisseur cloud. Vous devez créer dans Google Cloud une ressource de passerelle VPN externe pour chaque appareil ou service de passerelle de pairs.

Pour obtenir des schémas de cette topologie, consultez la page Topologies.

Pour plus d'informations sur le choix d'un type de VPN, consultez la page Choisir un produit de connectivité réseau.

Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques pour Cloud VPN.

Exigences

Consignes et exigences générales

  • Consultez les informations sur le fonctionnement du routage dynamique dans Google Cloud.
  • Assurez-vous que votre passerelle VPN de pairs est compatible avec le protocole BGP.

Types de redondance

L'API HA VPN contient une option pour le type REDUNDANCY_TYPE, qui représente le nombre d'interfaces que vous configurez pour la ressource de passerelle VPN externe.

Les commandes gcloud déduisent automatiquement les valeurs suivantes de REDUNDANCY_TYPE à partir du nombre d'interfaces que vous fournissez dans l'ID d'interface lorsque vous configurez une ressource de passerelle VPN externe :

  • Une interface VPN externe correspond à SINGLE_IP_INTERNALLY_REDUNDANT.
  • Deux interfaces VPN externes correspondent à TWO_IPS_REDUNDANCY.
  • Quatre interfaces VPN externes correspondent à FOUR_IPS_REDUNDANCY.

Lorsque vous configurez des passerelles VPN externes, vous devez utiliser les numéros d'identification d'interface suivants pour le nombre indiqué d'interfaces VPN externes :

  • Pour une interface VPN externe, utilisez la valeur 0.
  • Pour deux interfaces VPN externes, utilisez les valeurs 0 et 1.
  • Pour quatre interfaces VPN externes, utilisez les valeurs 0, 1, 2 et 3.

Lors de la configuration d'une passerelle VPN haute disponibilité externe vers Amazon Web Services, la topologie compatible nécessite deux passerelles privées AWS, A et B. Chaque passerelle doit disposer de deux adresses IP externes. Cette topologie engendre quatre adresses IP externes au total dans AWS : A1, A2, B1 et B2.

  1. Configurez les quatre adresses IP AWS comme une seule passerelle VPN haute disponibilité externe à l'aide de FOUR_IPS_REDUNDANCY, où :
    • l'adresse IP AWS 0 équivaut à A1 ;
    • l'adresse IP AWS 1 équivaut à A2 ;
    • l'adresse IP AWS 2 équivaut à B1 ;
    • l'adresse IP AWS 3 équivaut à B2.
  2. Créez quatre tunnels sur la passerelle VPN haute disponibilité pour atteindre la disponibilité de 99,99 % garantie par le contrat de niveau de service. Pour ce faire, configurez les tunnels de la façon suivante :
    • De l'interface 0 du VPN haute disponibilité à l'interface 0 d'AWS
    • De l'interface 0 du VPN haute disponibilité à l'interface 1 d'AWS
    • De l'interface 1 du VPN haute disponibilité à l'interface 2 d'AWS
    • De l'interface 1 du VPN haute disponibilité à l'interface 3 d'AWS

Aperçu des étapes de configuration avancée du VPN haute disponibilité avec Amazon Web Services (AWS) :

  1. Créez une passerelle VPN haute disponibilité et un routeur cloud. Deux adresses IP externes sont automatiquement créées du côté GCP.
  2. Créez deux passerelles privées virtuelles AWS. Quatre adresses IP externes sont automatiquement créées du côté AWS.
  3. Créez deux connexions et deux passerelles client AWS Site-to-Site VPN (une pour chaque passerelle virtuelle privée AWS). Spécifiez une plage distincte d'adresses IP de tunnel de liaison locale par tunnel, soit quatre au total. Par exemple, 169.254.1.4/30.
  4. Téléchargez les fichiers de configuration AWS correspondants au type d'appareil générique.
  5. Créez quatre tunnels VPN sur la passerelle VPN haute disponibilité.
  6. Configurez les sessions BGP sur le routeur cloud à l'aide des adresses IP BGP. Vous les trouverez dans les fichiers de configuration téléchargés.

Créer des routeurs cloud

Lorsque vous configurez une nouvelle passerelle VPN haute disponibilité, vous pouvez créer un routeur cloud ou en utiliser un que vous utilisez déjà avec des tunnels Cloud VPN ou des rattachements d'interconnexion (VLAN) existants. Cependant, le routeur cloud que vous utilisez ne doit pas déjà gérer une session BGP pour un rattachement d'interconnexion (VLAN) associé à une interconnexion partenaire, en raison des exigences spécifiques du numéro ASN du rattachement.

Avant de commencer

Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :

  1. Connectez-vous à votre compte Google.

    Si vous n'en possédez pas déjà un, vous devez en créer un.

  2. Dans Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Cloud.

    Accéder à la page de sélection du projet

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier que la facturation est activée pour votre projet.

  4. Installez et initialisez le SDK Cloud.
  1. Si vous utilisez des commandes gcloud, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions gcloud présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.

    gcloud config set project PROJECT_ID
  
  1. Vous pouvez également afficher un ID de projet déjà défini :
    gcloud config list --format='text(core.project)'
  

Créer un réseau et un sous-réseau cloud privé virtuel personnalisé

Avant de créer une passerelle VPN haute disponibilité et une paire de tunnels, vous devez créer un réseau cloud privé virtuel et au moins un sous-réseau dans la région où sera située la passerelle VPN haute disponibilité.

Les exemples de ce document utilisent également le mode de routage dynamique global d'un réseau VPC, de sorte que toutes les instances de routeur cloud appliquent les routes vers les ressources sur site to on-premises apprises à tous les sous-réseaux du réseau VPC. En mode de routage global, les routes vers tous les sous-réseaux du réseau VPC sont partagées avec les routeurs sur site.

Créer une passerelle VPN haute disponibilité et une paire de tunnels vers un VPN de pairs

Suivez les instructions de cette section pour créer une passerelle VPN haute disponibilité, une paire de tunnels, une ressource de passerelle VPN de pairs et des sessions BGP.

Console

L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, des tunnels, une ressource de passerelle VPN de pairs et des sessions BGP.

Créer une passerelle VPN cloud

  1. Accédez à la page "VPN" de Google Cloud Console.
    Accéder à la page "VPN"
    1. Si vous créez une passerelle pour la première fois, sélectionnez le bouton Créer une connexion VPN.
    2. Sélectionnez l'assistant de configuration VPN.
  2. Sélectionnez la case d'option correspondant à une passerelle VPN haute disponibilité.
  3. Cliquez sur Continuer.
  4. Spécifiez un nom de passerelle VPN.
  5. Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.
  6. Sélectionnez une région.
  7. Cliquez sur Créer et continuer.
  8. L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IP externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.

Créer une ressource de passerelle VPN de pairs

La ressource de passerelle VPN de pairs représente votre passerelle autre que Google Cloud dans Google Cloud.

  1. Sur l'écran Créer un VPN, sous Passerelle VPN de pairs, sélectionnez On-prem or Non-Google Cloud.
  2. Sous Nom de la passerelle VPN de pairs, sélectionnez une passerelle de pairs existante ou cliquez sur Créer une passerelle VPN de pairs. Si vous choisissez une passerelle existante, Cloud Console sélectionne le nombre de tunnels à configurer en fonction du nombre d'interfaces de pairs que vous avez configurées sur la passerelle de pairs existante. Pour créer une nouvelle passerelle de pairs, procédez comme suit :
    1. Spécifiez un Nom pour la passerelle VPN de pairs.
    2. Sous Interfaces de passerelle VPN de pairs, sélectionnez les interfaces one, two ou four, en fonction du type d'interfaces de votre passerelle de pairs. Consultez la page Topologies pour obtenir des exemples de chaque type.
    3. Dans le champ correspondant à chaque interface VPN de pairs, spécifiez l'adresse IP externe utilisée pour l'interface. Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.
    4. Cliquez sur Créer.

Créer des tunnels VPN

  • Si vous avez configuré votre ressource de passerelle VPN de pairs avec une seule interface, vous allez configurer votre tunnel unique dans la boîte de dialogue du tunnel VPN unique sur l'écran Créer un VPN. Vous devez créer un second tunnel pour un contrat de niveau de service garantissant une disponibilité de 99,99 %.
  • Si vous avez configuré votre passerelle VPN de pairs avec deux ou quatre interfaces, vous devez configurer les boîtes de dialogue associées qui s'affichent en bas de l'écran Créer un VPN.
  1. Sous Routeur cloud, si ce n'est pas déjà fait, créez un routeur cloud en spécifiant les options suivantes. Vous pouvez utiliser un routeur cloud existant s'il ne gère pas déjà une session BGP pour un rattachement d'interconnexion associé à une interconnexion partenaire.
    1. Pour créer un routeur cloud, spécifiez un Nom, une Description facultative et un numéro ASN Google pour le nouveau routeur. Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur cloud, et il ne peut pas être modifié ultérieurement.
    2. Cliquez sur Créer pour créer le routeur.
  2. Le cas échéant, sous Interface de passerelle Cloud VPN associée, sélectionnez la combinaison d'interface VPN haute disponibilité et d'adresse IP que vous souhaitez associer à votre passerelle VPN de pairs pour ce tunnel.
  3. Sous Interface de passerelle VPN de pairs associée, sélectionnez la combinaison d'interface de passerelle VPN de pairs et d'adresse IP que vous souhaitez associer à ce tunnel et à l'interface VPN haute disponibilité. Cette interface doit correspondre à celle de votre routeur de pairs.
    1. Spécifiez un Nom pour le tunnel.
    2. Spécifiez une Description facultative.
    3. Spécifiez la version IKE. Le paramètre par défaut IKE v2 est recommandé si votre routeur de pairs l'accepte.
    4. Spécifiez une clé pré-partagée IKE à l'aide de votre clé secrète partagée, qui doit correspondre à la clé secrète partagée du tunnel partenaire que vous avez créé sur votre passerelle de pairs. Si vous n'avez pas configuré de clé secrète partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur le bouton Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
    5. Cliquez sur OK.
    6. Répétez les étapes de création de tunnel pour toutes les boîtes de dialogue de tunnel restantes sur l'écran Créer un VPN.
  4. Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.

Créer des sessions BGP

  1. Si vous ne souhaitez pas configurer de sessions BGP, cliquez sur le bouton Configurer les sessions BGP ultérieurement. Vous serez redirigé vers l'écran Résumé et rappel.
  2. Si vous souhaitez configurer des sessions BGP maintenant, cliquez sur le bouton Configurer du premier tunnel VPN.
  3. Sur l'écran Créer une session BGP, procédez comme suit :
    1. Spécifiez un Nom pour la session BGP.
    2. Spécifiez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
    3. (Facultatif) Spécifiez la priorité des routages présentés.
    4. Spécifiez l'Adresse IP BGP du routeur cloud et l'Adresse IP du pair BGP. Assurez-vous que les adresses IP répondent aux exigences suivantes :
      • Chaque adresse IP BGP doit appartenir au même masque CIDR /30 au sein du bloc 169.254.0.0/16.
      • Les adresses IP BGP ne peuvent pas correspondre à la première adresse (adresse réseau) ou à la dernière adresse (adresse de diffusion) du masque CIDR /30.
      • Chaque plage d'adresses IP BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
    5. (Facultatif) Cliquez sur le menu déroulant Routes annoncées et créez des routes personnalisées.
    6. Cliquez sur Enregistrer et continuer.
  4. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle, en utilisant une Adresse IP BGP du routeur cloud et une Adresse IP du pair BGP différentes pour chaque tunnel.
  5. Lorsque vous avez configuré toutes les sessions BGP, cliquez sur Enregistrer la configuration BGP.

Résumé et rappel

  1. La section Résumé de cet écran répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs.
  2. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
  3. La section Rappel de cet écran répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs.
  4. Cliquez sur OK après avoir vérifié les informations affichées sur cet écran.

Créez un tunnel supplémentaire sur une passerelle à tunnel unique.

Suivez les étapes de cette section pour configurer un deuxième tunnel sur la deuxième interface d'une passerelle VPN haute disponibilité. Effectuez cette opération dans les cas suivants :

  • Lorsque vous avez configuré une passerelle VPN haute disponibilité vers une passerelle VPN de pairs comportant une seule interface VPN de pairs.
  • Si vous avez précédemment configuré un seul tunnel sur un VPN haute disponibilité pour une passerelle VPN de pairs contenant un nombre quelconque d'interfaces et que vous souhaitez maintenant obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 %.

    1. Accédez à la page VPN dans Google Cloud Console.
      Accéder à la page "VPN"
    2. Cliquez sur le bouton Créer un tunnel VPN.
    3. Dans le menu déroulant, sélectionnez la passerelle qui nécessite le second tunnel.
    4. Cliquez sur Continuer.
    5. Choisissez un routeur cloud. Si vous n'avez pas configuré de routeur cloud, suivez la procédure Créer des tunnels VPN pour en créer un.
    6. Pour la Passerelle VPN de pairs, sélectionnez l'option Sur site ou autre que Google Cloud.
    7. Sous Nom de la passerelle VPN de pairs, sélectionnez la ressource de passerelle VPN de pairs utilisée par le nouveau tunnel. Vous pouvez vérifier les noms des passerelles VPN de pairs existantes pour cette passerelle VPN en cliquant sur le lien Afficher tous les tunnels existants sous Nom de la passerelle VPN en haut de l'écran.
    8. Vous pouvez recevoir un avertissement indiquant qu'un tunnel avec la même interface de passerelle VPN de pairs est déjà associé à la même interface de passerelle Cloud VPN locale. Pour résoudre ce problème, sélectionnez l'autre interface VPN haute disponibilité sous Interface de passerelle Cloud VPN associée.
    9. Pour terminer la configuration du tunnel, suivez le reste des étapes comme indiqué dans la procédure Créer des tunnels VPN.

gcloud


Créer la passerelle VPN haute disponibilité

Pour créer la passerelle VPN haute disponibilité, exécutez les commandes suivantes dans l'ordre indiqué :

  1. Créez une passerelle VPN haute disponibilité. Lorsque la passerelle est créée, deux adresses IP externes sont automatiquement attribuées, une pour chaque interface de passerelle.

    Dans les commandes ci-dessous, remplacez les options suivantes :

    • Remplacez NETWORK par le nom de votre réseau Google Cloud.
    • Remplacez REGION par la région Google Cloud dans laquelle la passerelle et le tunnel doivent être créés.
    • Remplacez GW_NAME par le nom de la passerelle.
      gcloud compute vpn-gateways create GW_NAME \
        --network NETWORK \
        --region REGION
    

    La passerelle que vous créez doit ressembler à l'exemple de résultat suivant. Une adresse IP externe a été attribuée automatiquement à chaque interface de passerelle :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1   NETWORK   REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23 network-a us-central1
    

Créer un routeur cloud

  1. Pour créer un routeur cloud, exécutez les commandes suivantes dans l'ordre indiqué. Dans les commandes ci-dessous, remplacez les options suivantes :

    • Remplacez ROUTER_NAME par le nom du routeur cloud situé dans la même région que la passerelle Cloud VPN.
    • Remplacez GOOGLE_ASN par un numéro ASN privé (compris entre 64512 et 65534 ou 4200000000 et 4294967294) que vous n'utilisez pas déjà dans le réseau de pairs. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur cloud. Vous ne pouvez pas le modifier ultérieurement.
      gcloud compute routers create ROUTER_NAME \
        --region REGION \
        --network NETWORK \
        --asn GOOGLE_ASN
    

    Le routeur que vous créez doit ressembler à l'exemple de résultat suivant :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      NAME      REGION      NETWORK
      router-a us-central1 network-a
    

Créer une ressource de passerelle VPN externe

Créez une ressource de passerelle VPN externe qui fournit à Google Cloud des informations sur votre ou vos passerelles VPN de pairs. En fonction des recommandations de haute disponibilité pour votre passerelle VPN de pairs, vous pouvez créer une passerelle VPN externe pour les différents types de passerelles VPN sur site suivants :

  • Deux appareils de passerelle VPN de pairs distincts, où les deux appareils sont redondants entre eux et où chaque appareil possède sa propre adresse IP externe.
  • Une passerelle VPN de pairs unique utilisant deux interfaces distinctes, chacune avec sa propre adresse IP externe. Pour ce type de passerelle de pairs, vous pouvez créer une passerelle VPN externe unique avec deux interfaces.
  • Une passerelle VPN de pairs unique avec une seule adresse IP externe.

Option 1 : Créer une ressource de passerelle VPN externe pour deux appareils de passerelle VPN de pairs

  1. Pour ce type de passerelle de pairs, chaque interface de la passerelle VPN externe possède une adresse IP externe et chaque adresse provient de l'un des appareils de passerelle VPN de pairs. Dans la commande gcloud ci-dessous, remplacez les options suivantes :

    • Remplacez PEER_GW_NAME par un nom représentant la passerelle de pairs.
    • Remplacez PEER_GW_IP_0 par les adresses IP externes d'une passerelle de pairs.
    • Remplacez PEER_GW_IP_1 par l'adresse IP externe d'une autre passerelle de pairs.
      gcloud compute external-vpn-gateways create PEER_GW_NAME \
        --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1 \
    

    La ressource de passerelle VPN externe créée doit ressembler à l'exemple suivant où PEER_GW_IP_0 et PEER_GW_IP_1 affichent les adresses externes réelles des interfaces de passerelle de pairs :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   PEER_GW_IP_0    PEER_GW_IP_1
    

Option 2 : Créer une ressource de passerelle VPN externe pour une passerelle VPN de pairs avec deux interfaces distinctes

  1. Pour ce type de passerelle de pairs, créez une passerelle VPN externe unique avec deux interfaces. Dans la commande gcloud ci-dessous, remplacez les options suivantes :

    • Remplacez PEER_GW_NAME par un nom représentant la passerelle de pairs.
    • Remplacez PEER_GW_IP_0 par l'adresse IP externe d'une interface de la passerelle de pairs.
    • Remplacez PEER_GW_IP_1 par l'adresse IP externe d'une autre interface de la passerelle de pairs.

      gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1 \
      

      La ressource de passerelle VPN externe créée doit ressembler à l'exemple suivant où PEER_GW_IP_0 et PEER_GW_IP_1 affichent les adresses externes réelles des interfaces de passerelle de pairs :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
      

Option 3 : Créer une ressource de passerelle VPN externe pour une seule passerelle VPN de pairs avec une seule adresse IP externe

  1. Pour ce type de passerelle de pairs, créez une passerelle VPN externe avec une interface. Dans la commande gcloud ci-dessous, remplacez les options suivantes :

    • Remplacez PEER_GW_NAME par un nom représentant la passerelle de pairs.
    • Remplacez PEER_GW_IP_0 par l'adresse IP externe de l'interface de la passerelle de pairs.
      gcloud compute external-vpn-gateways create PEER_GW_NAME \
        --interfaces 0=PEER_GW_IP_0 \
    

    La ressource de passerelle VPN externe créée doit ressembler à l'exemple suivant où PEER_GW_IP_0 affiche les adresses externes réelles de l'interface de passerelle de pairs :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0
      peer-gw   PEER_GW_IP_0
    

Créer deux tunnels VPN, un pour chaque interface sur la passerelle VPN haute disponibilité

Lorsque vous créez des tunnels VPN, spécifiez le côté pair des tunnels VPN comme la passerelle VPN externe que vous avez créée précédemment. Selon le type de redondance de la passerelle VPN externe, configurez les tunnels en utilisant l'une des deux options suivantes.

Option 1 : Si la passerelle VPN externe est composée de deux appareils de passerelle VPN de pairs distincts ou d'un seul appareil avec deux adresses IP

  1. Dans ce cas, un tunnel VPN doit se connecter à l'interface 0 de la passerelle VPN externe, et l'autre tunnel VPN doit se connecter à l'interface 1 de la passerelle VPN externe.

    Dans les commandes suivantes permettant de créer chaque tunnel, remplacez les options ci-dessous :

    • Remplacez TUNNEL_NAME_IF0 et TUNNEL_NAME_IF1 par le nom du tunnel. Nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier successivement.
    • Remplacez GW_NAME par le nom de la passerelle VPN haute disponibilité.
    • (Facultatif) --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.
    • Remplacez PEER_GW_NAME par le nom de la passerelle de pairs externe créée précédemment.
    • Remplacez PEER_EXT_GW_IF0 et PEER_EXT_GW_IF1 par le numéro d'interface configuré précédemment sur la passerelle de pairs externe.
    • Remplacez IKE_VERS par 1 pour IKEv1 ou 2 pour IKEv2. Si possible, utilisez la version IKEv2 du protocole IKE. Si votre passerelle de pairs nécessite la version IKEv1, remplacez -ike-version 2 par --ike-version 1.
    • Remplacez SHARED_SECRET par votre clé secrète partagée, qui doit correspondre à celle du tunnel partenaire créé sur la passerelle de pairs. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée efficace.
    • Remplacez INT_NUM_0 par le numéro 0 sur la première interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.
    • Remplacez INT_NUM_1 par le numéro 1 sur la deuxième interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.

        gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
          --peer-external-gateway PEER_GW_NAME \
          --peer-external-gateway-interface PEER_EXT_GW_IF0  \
          --region REGION \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME \
          --vpn-gateway GW_NAME \
          --interface INT_NUM_0
      
       gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
          --peer-external-gateway PEER_GW_NAME \
          --peer-external-gateway-interface PEER_EXT_GW_IF1 \
          --region REGION \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME \
          --vpn-gateway GW_NAME \
          --interface INT_NUM_1
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
        Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        1
      

Option 2 : Si la passerelle VPN externe est une passerelle VPN de pairs avec une seule adresse IP externe

  1. Dans ce cas, les deux tunnels VPN doivent se connecter à l'interface 0 de la passerelle VPN externe.

    Dans les commandes suivantes permettant de créer chaque tunnel, remplacez les options ci-dessous :

    • Remplacez TUNNEL_NAME_IF0 et TUNNEL_NAME_IF1 par le nom du tunnel. Nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier successivement.
    • Remplacez PEER_GW_NAME par le nom de la passerelle de pairs externe créée précédemment.
    • Remplacez PEER_EXT_GW_IF0 par le numéro d'interface configuré précédemment sur la passerelle de pairs externe.
    • (Facultatif) --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.
    • Remplacez IKE_VERS par 1 pour IKEv1 ou 2 pour IKEv2. Si possible, utilisez la version IKEv2 du protocole IKE. Si votre passerelle de pairs nécessite la version IKEv1, remplacez -ike-version 2 par --ike-version 1.
    • Remplacez SHARED_SECRET par votre clé secrète partagée, qui doit correspondre à celle du tunnel partenaire créé sur la passerelle de pairs. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée efficace.
    • Remplacez INT_NUM_0 par le numéro 0 sur la première interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.
    • Remplacez INT_NUM_1 par le numéro 1 sur la deuxième interface de la passerelle VPN haute disponibilité que vous avez créée précédemment.
      gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
        --peer-external-gateway PEER_GW_NAME \
        --peer-external-gateway-interface PEER_EXT_GW_IF0  \
        --region REGION \
        --ike-version IKE_VERS \
        --shared-secret SHARED_SECRET \
        --router ROUTER_NAME \
        --vpn-gateway GW_NAME \
        --interface INT_NUM_0
    
      gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
        --peer-external-gateway PEER_GW_NAME \
        --peer-external-gateway-interface [peer-ext-gw-if0] \
        --region REGION \
        --ike-version IKE_VERS \
        --shared-secret SHARED_SECRET \
        --router ROUTER_NAME \
        --vpn-gateway GW_NAME \
        --interface INT_NUM_1
    

    Le résultat de la commande doit ressembler à l'exemple suivant :

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        0
    

Créer des interfaces de routeur cloud et des pairs BGP

  1. Créez une interface BGP de routeur cloud et un pair BGP pour chaque tunnel que vous avez précédemment configuré sur les interfaces de passerelle VPN haute disponibilité.
    Dans les commandes ci-dessous, remplacez les options suivantes :

    • Remplacez ROUTER_INTERFACE_NAME_0 et ROUTER_INTERFACE_NAME_1 par un nom pour l'interface BGP de routeur cloud. Il peut être utile d'utiliser des noms associés aux noms des tunnels configurés précédemment.
    • Si vous utilisez la méthode de configuration manuelle, remplacez IP_ADDRESS_0 et IP_ADDRESS_1 par l'adresse IP BGP de l'interface de passerelle VPN haute disponibilité que vous configurez. Chaque tunnel utilise une interface de passerelle différente.
    • Définissez MASK_LENGTH sur 30.
      .
    • Remplacez TUNNEL_NAME_0 et TUNNEL_NAME_1 par le tunnel associé à l'interface de passerelle VPN haute disponibilité que vous avez configurée.

    Pour configurer les interfaces et les pairs BGP, choisissez la méthode automatique ou manuelle :

    Automatique

    Pour permettre à Google Cloud de choisir automatiquement les adresses IP BGP de liaison locale, procédez comme suit :

    Pour le premier tunnel VPN

    1. Ajoutez une interface BGP au routeur cloud.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_0 \
          --mask-length MASK_LENGTH \
          --vpn-tunnel TUNNEL_NAME_0 \
          --region REGION
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      
    2. Ajoutez un pair BGP à l'interface pour le premier tunnel. Remplacez PEER_NAME par le nom de l'interface VPN de pairs et PEER_ASN par le numéro ASN configuré pour la passerelle VPN de pairs.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_0 \
          --region REGION \
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Pour le deuxième tunnel VPN

    1. Ajoutez une interface BGP au routeur cloud.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_1 \
          --mask-length MASK_LENGTH \
          --vpn-tunnel TUNNEL_NAME_1 \
          --region REGION
      
    2. Ajoutez un pair BGP à l'interface pour le deuxième tunnel. Remplacez PEER_NAME par le nom de l'interface VPN de pairs et PEER_ASN par le numéro ASN configuré pour la passerelle VPN de pairs.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_1 \
          --region REGION \
      

    Manuel

    Pour attribuer manuellement les adresses IP BGP associées à l'interface Google Cloud BGP et au pair, procédez comme suit :

    1. Pour chaque tunnel VPN, choisissez deux adresses IP BGP de liaison locale dans un bloc /30 de la plage 169.254.0.0/16 (quatre adresses au total). Les adresses IP BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

      Pour chaque tunnel, attribuez l'une de ces adresses IP BGP au routeur cloud et l'autre adresse IP BGP à votre passerelle VPN de pairs. Vous devez également configurer votre appareil VPN de pairs pour qu'il utilise l'adresse IP BGP de pairs. Utilisez les options suivantes dans les commandes ci-dessous :

      • GOOGLE_BGP_IP_0 représente l'adresse IP BGP de l'interface du routeur cloud pour le tunnel sur l'interface 0 de la passerelle Cloud VPN. ON_PREM_BGP_IP_0 représente l'adresse IP BGP de son pair.
      • GOOGLE_BGP_IP_1 représente l'adresse IP BGP de l'interface du routeur cloud pour le tunnel sur l'interface 1 de la passerelle Cloud VPN. ON_PREM_BGP_IP_1 représente l'adresse IP BGP de son pair.

    Pour le premier tunnel VPN

    1. Ajoutez une interface BGP au routeur cloud. Indiquez le nom de l'interface en remplaçant ROUTER_INTERFACE_NAME_0.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_0 \
          --vpn-tunnel TUNNEL_NAME_0 \
          --ip-address GOOGLE_BGP_IP_0 \
          --mask-length 30 \
          --region REGION \
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
      
    2. Ajoutez un pair BGP à l'interface. Remplacez PEER_NAME par le nom du pair et [PEER_ASN] par le numéro ASN configuré pour la passerelle VPN de pairs.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_0 \
          --peer-ip-address ON_PREM_BGP_IP_0 \
          --region REGION \
      

      Le résultat de la commande doit ressembler à l'exemple suivant :

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    Pour le deuxième tunnel VPN

    1. Ajoutez une interface BGP au routeur cloud. Spécifiez le nom de l'interface en remplaçant ROUTER_INTERFACE_NAME_1.

      gcloud compute routers add-interface ROUTER_NAME \
          --interface-name ROUTER_INTERFACE_NAME_1 \
          --vpn-tunnel TUNNEL_NAME_1 \
          --ip-address GOOGLE_BGP_IP_1 \
          --mask-length 30 \
          --region REGION \
      
    2. Ajoutez un pair BGP à l'interface. Remplacez PEER_NAME par le nom du pair, et PEER_ASN par le numéro ASN configuré pour la passerelle VPN de pairs.

      gcloud compute routers add-bgp-peer ROUTER_NAME \
          --peer-name PEER_NAME \
          --peer-asn PEER_ASN \
          --interface ROUTER_INTERFACE_NAME_1 \
          --peer-ip-address ON_PREM_BGP_IP_1 \
          --region REGION \
      

Vérifier la configuration du routeur cloud

  1. Répertoriez les adresses IP BGP sélectionnées par routeur cloud Si vous avez ajouté une nouvelle interface à un routeur cloud existant, les adresses IP BGP de la nouvelle interface doivent être répertoriées en indiquant le numéro d'index le plus élevé. L'adresse IP du pair correspond à l'adresse IP BGP que vous devez utiliser pour configurer votre passerelle VPN de pairs.

     gcloud compute routers get-status ROUTER_NAME \
         --region REGION \
         --format='flattened(result.bgpPeerStatus[].name,
           result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    Le résultat attendu pour un routeur cloud qui gère deux tunnels Cloud VPN (index 0) et (index 1) ressemble à l'exemple suivant, où :

    • GOOGLE_BGP_IP_0 représente l'adresse IP BGP de l'interface du routeur cloud pour le tunnel sur l'interface 0 de la passerelle Cloud VPN et ON_PREM_BGP_IP_0 représente l'adresse IP BGP de son pair.
    • GOOGLE_BGP_IP_1 représente l'adresse IP BGP de l'interface du routeur cloud pour le tunnel sur l'interface 1 de la passerelle Cloud VPN et ON_PREM_BGP_IP_1 représente l'adresse IP BGP de son pair.
    result.bgpPeerStatus[0].ipAddress:     169.254.0.1 [GOOGLE_BGP_IP_0]
    result.bgpPeerStatus[0].name:          bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 [ON_PREM_BGP_IP_0]
    result.bgpPeerStatus[1].ipAddress:     169.254.1.1 [GOOGLE_BGP_IP_1]
    result.bgpPeerStatus[1].name:          bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 [ON_PREM_BGP_IP_1]
    

    Vous pouvez également utiliser la commande suivante pour obtenir la liste complète de la configuration du routeur cloud :

    gcloud compute routers describe ROUTER_NAME \
        --region REGION
    

    La liste complète doit ressembler à l'exemple suivant :

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  2. Pour terminer la configuration de la passerelle, passez à la section Terminer la configuration.

API

Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes.

ÉTAPE 1 : Pour créer une passerelle VPN haute disponibilité, envoyez une requête POST avec la méthode vpnGateways.insert :

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

ÉTAPE 2 : Pour créer un routeur cloud, envoyez une requête POST avec la méthode routers.insert :

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Vous pouvez utiliser un routeur cloud existant tant qu'il ne gère pas déjà une session BGP pour un rattachement d'interconnexion associé à une interconnexion partenaire. Sinon, créez un autre routeur cloud.

ÉTAPE 3 : Pour créer une ressource de passerelle VPN externe, envoyez une requête POST avec la méthode externalVpnGateways.insert.

  • Pour une passerelle VPN (de pairs) externe disposant d'une interface, utilisez l'exemple ci-dessous, mais spécifiez un seul ID d'interface et une adresse IP (ipAddress) avec un type de redondance redundancyType SINGLE_IP_INTERNALLY_REDUNDANT.
  • Pour une passerelle VPN externe avec deux interfaces, ou deux passerelles VPN externes avec une interface chacune, utilisez l'exemple de type de redondance TWO_IPS_REDUNDANCY ci-dessous.
  • Pour une ou plusieurs passerelles VPN externes avec quatre interfaces VPN externes, par exemple, Amazon Web Services (AWS), utilisez l'exemple ci-dessous, mais spécifiez quatre instances de l'ID d'interface et de l'adresse IP (ipAddress) et utilisez un type de redondance redundancyType FOUR_IPS_REDUNDANCY.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

ÉTAPE 4 : Pour créer deux tunnels VPN, un pour chaque interface sur la passerelle VPN haute disponibilité, envoyez une requête POST avec la méthode vpnTunnels.insert.

Saisissez la commande suivante pour créer le premier tunnel :

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/external-vpn-gateways/my-peer-gateway",
   "peerExternalGatewayInterface": 0,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
   "sharedSecret": "SHARED_SECRET",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

Pour créer le second tunnel, répétez cette commande, mais modifiez les paramètres suivants :

  • name
  • peerExternalGatewayInterface
  • peerIp
  • sharedSecret ou sharedSecretHash (si nécessaire)
Remplacez vpnGatewayInterface par la valeur de l'autre interface de passerelle VPN haute disponibilité. Dans cet exemple, vous devez remplacer cette valeur par 1.

ÉTAPE 5 : Pour créer une interface BGP de routeur cloud, envoyez une requête PATCH ou UPDATE avec les méthodes routers.patch ou routers.update. La requête PATCH ne met à jour que les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur cloud.

Créez une interface BGP pour chaque tunnel VPN sur la première passerelle VPN haute disponibilité. Pour la deuxième interface BGP, utilisez des valeurs différentes pour name, linkedVpnTunnel et ipRange du même sous-réseau /30 que la plage d'adresses IP ipRange du premier tunnel. Chaque plage d'adresses IP BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

Répétez cette étape et cette commande pour chaque tunnel VPN sur la deuxième passerelle VPN haute disponibilité.

 PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
      }
    ]
 }

ÉTAPE 6 : Pour ajouter un pair BGP au routeur cloud d'un tunnel VPN, envoyez une requête POST avec la méthode routers.insert. Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf le nom (name) et le numéro ASN (peerAsn).

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
   {
     "interfaceName": "if-tunnel-a-to-on-prem-if-0",
     "ipAddress": "169.254.0.1",
     "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
     "peerAsn": "65002",
     "peerIpAddress": "169.254.0.2",
     "advertiseMode": "DEFAULT"
    }
  ]
 }

ÉTAPE 7 : Vérifiez la configuration du routeur cloud avec la méthode routers.getRouterStatus, en utilisant un corps de requête vide :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Terminer la configuration

Avant de pouvoir utiliser une nouvelle passerelle Cloud VPN et ses tunnels VPN, vous devez suivre la procédure ci-dessous :

  1. Configurez la passerelle VPN de pairs et configurez-y le ou les tunnels correspondants. Reportez-vous aux pages suivantes :
  2. Configurez les règles de pare-feu dans Google Cloud et votre réseau de pairs, si nécessaire. Pour en savoir plus, consultez la page consacrée aux règles de pare-feu.
  3. Vérifiez l'état de vos tunnels VPN.
Appliquer une règle d'administration VPN

Appliquer une contrainte de règle d'administration qui limite les adresses IP des passerelles VPN de pairs

Vous pouvez créer une contrainte de règle d'administration Google Cloud qui définit un ensemble d'adresses IP autorisées ou interdites pour l'appairage à des passerelles VPN via des tunnels VPN classiques ou haute disponibilité. Cette contrainte contient une liste d'adresses IP de pairs autorisées ou refusées, appliquée aux tunnels Cloud VPN créés après l'application de la contrainte. Pour en savoir plus, consultez la présentation de Cloud VPN.

Autorisations requises

Pour définir une contrainte d'adresse IP de pair au niveau de l'organisation ou du projet, vous devez d'abord disposer du rôle Administrateur des règles d'administration (orgpolicy.policyAdmin) pour votre organisation.

Définir des contraintes

Pour créer une règle d'administration et l'associer à une organisation, un dossier ou un projet, utilisez les exemples répertoriés dans les sections suivantes et suivez les étapes de la page Utiliser des contraintes.

Restreindre la connectivité à partir d'adresses IP de pairs spécifiques via un tunnel Cloud VPN

Pour n'autoriser que des adresses IP de pairs spécifiques, procédez comme suit :

  1. Recherchez l'ID de votre organisation en saisissant la commande suivante :
    gcloud organizations list

    Le résultat de la commande devrait ressembler au suivant.

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Créez un fichier JSON qui définit votre règle. Vous devez fournir une règle sous forme de fichier JSON, comme dans l'exemple suivant :

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Exécutez la commande gcloud Resource Manager set-policy pour définir la règle d'administration, en transmettant le fichier JSON et en utilisant l'identifiant ORGANIZATION_ID que vous avez obtenu à l'étape précédente.

Restreindre la connectivité à partir de toute adresse IP de pairs via un tunnel Cloud VPN

Pour interdire la création de tout nouveau tunnel Cloud VPN, suivez les étapes décrites dans cet exemple de contrainte.

  1. Recherchez l'ID de votre organisation ou l'ID du nœud dans la hiérarchie des ressources où vous souhaitez définir une règle.
  2. Créez un fichier JSON comme dans l'exemple suivant.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Transmettez le fichier JSON en saisissant la même commande que celle que vous utiliseriez pour restreindre des adresses IP de pairs spécifiques.