Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering

Nesta página, veja como criar um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering.

Os gateways de VPN de alta disponibilidade usam a API de VPN de alta disponibilidade e oferecem um SLA de 99,99%. Essa configuração usa um par de túneis, com um túnel em cada interface de gateway de VPN de alta disponibilidade. Para receber um SLA de 99,99%, configure os túneis de VPN nas duas interfaces de gateway da VPN de alta disponibilidade.

Há dois componentes de gateway para configurar para a VPN de alta disponibilidade:

  • Um gateway de VPN de alta disponibilidade no Google Cloud.
  • Seu gateway ou gateways de VPN de peering: um ou mais dispositivos de gateway de VPN física ou aplicativos de software na rede de peering com que o gateway de VPN de alta disponibilidade se conecta. O gateway de peering pode ser um gateway de VPN local ou hospedado por outro provedor de nuvem.

    Crie um recurso de gateway de VPN externa no Google Cloud para cada dispositivo ou serviço de gateway de par. Todos os cenários de gateway de peering são representados no Google Cloud por um único recurso de VPN de peering externo.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Se você quiser implantar a VPN de alta disponibilidade pelo Cloud Interconnect, consulte a visão geral da VPN de alta disponibilidade no Cloud Interconnect.

Tipos de redundância

A API de VPN de alta disponibilidade contém uma opção para REDUNDANCY_TYPE, que representa o número de interfaces configuradas para o recurso de gateway de VPN externa.

Quando você configura um recurso de gateway de VPN externa, os comandos gcloud inferem automaticamente os seguintes valores de REDUNDANCY_TYPE a partir do número de interfaces fornecidas no ID da interface:

  • Uma interface de VPN externa é SINGLE_IP_INTERNALLY_REDUNDANT
  • Duas interfaces VPN externas são TWO_IPS_REDUNDANCY
  • Quatro interfaces VPN externas são FOUR_IPS_REDUNDANCY

Ao configurar gateways de VPN externos, você precisa usar os seguintes números de identificação de interface para o número indicado de interfaces de VPN externas:

  • Para uma interface de VPN externa, use um valor de 0.
  • Para duas interfaces de VPN externas, use os valores 0 e 1.
  • Para quatro interfaces VPN externas, use os valores 0, 1, 2 e 3.

Criar Cloud Routers

Ao configurar um novo gateway de VPN de alta disponibilidade, você pode criar um novo Cloud Router ou usar um Cloud Router com túneis ou anexos de VLAN existentes do Cloud VPN. No entanto, o Cloud Router que você usa não precisa gerenciar uma sessão do BGP para um anexo de interconexão (VLAN) associado a uma conexão de Interconexão por parceiro devido aos requisitos específicos do ASN.

Antes de começar

Revise informações sobre como o roteamento dinâmico funciona no Google Cloud.

Verifique se o gateway de VPN de peering é compatível com o protocolo de gateway de borda (BGP, na sigla em inglês).

Configure os seguintes itens no Google Cloud para facilitar a configuração do Cloud VPN:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Se você estiver usando a Google Cloud CLI, defina o ID do projeto com o comando a seguir. As instruções da gcloud nesta página presumem que você tenha definido o ID do projeto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. É possível também visualizar um ID do projeto que já foi definido executando o seguinte comando:

        gcloud config list --format='text(core.project)'
        

Criar uma rede e uma sub-rede VPC personalizadas

Antes de criar um par de túnel e gateway de VPN de alta disponibilidade, crie uma rede de nuvem privada virtual (VPC) e pelo menos uma sub-rede na região onde o gateway de VPN de alta disponibilidade reside:

Para ativar o IPv6 para gateways de VPN de alta disponibilidade, ative a alocação de endereços internos IPv6 ao criar a VPC. Além disso, você precisa configurar as sub-redes para usar endereços internos IPv6.

Você também precisa configurar o IPv6 nas VMs na sub-rede.

A sub-rede VPC precisa ser configurada para usar endereços IPv6 internos. Ao usar a gcloud CLI, você configura a sub-rede com a sinalização --ipv6-access-type=INTERNAL. O Cloud Router não divulga dinamicamente rotas para sub-redes configuradas para usar endereços IPv6 externos (--ipv6-access-type=EXTERNAL).

Para mais informações sobre como usar intervalos de endereços IPv6 internos nas redes e nas sub-redes VPC, consulte Especificações do IPv6 interno.

Os exemplos neste documento também usam o modo de roteamento dinâmico global da VPC, que se comporta da seguinte maneira:

  • Todas as instâncias do Cloud Router aplicam as rotas to on-premises que aprendem a todas as sub-redes da rede VPC.
  • Rotas para todas as sub-redes na rede VPC são compartilhadas com roteadores locais.

Criar um gateway de VPN de alta disponibilidade e um par de túneis para uma VPN de peering

Siga as instruções nesta seção para criar um gateway de VPN de alta disponibilidade, um recurso de gateway de VPN de peering, um par de túneis e sessões do BGP.

Crie um gateway de VPN de alta disponibilidade.

Console

O assistente de configuração de VPN inclui todas as etapas de configuração necessárias para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.

Para criar um gateway de VPN de alta disponibilidade, siga estas etapas:

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Se você estiver criando um gateway pela primeira vez, clique em Criar conexão VPN.

  3. Selecione o assistente de configuração de VPN.

  4. Em Nome do gateway da VPN, insira um nome para o gateway da VPN de alta disponibilidade.

  5. Em rede VPC, selecione uma rede existente ou a rede padrão.

  6. Em Região, selecione uma região para o gateway de VPN de alta disponibilidade.

  7. Em Versão de IP do gateway de VPN, selecione uma versão de IP do gateway de VPN de alta disponibilidade.

    A versão de IP do gateway de VPN de alta disponibilidade e do gateway de VPN de peering precisa ser a mesma.

  8. Em Tipo de pilha de IP do gateway de VPN, selecione um tipo de pilha para o gateway da VPN.

  9. Clique em Criar e continuar.

    A tela do console é atualizada e exibe as informações de gateway. Dois endereços IP externos são alocados automaticamente para cada uma das suas interfaces de gateway. Para etapas futuras de configuração, anote os detalhes da configuração do gateway.

gcloud

Para criar um gateway de VPN de alta disponibilidade, execute os comandos a seguir. Quando o gateway é criado, dois endereços IP externos são alocados automaticamente, um para cada interface de gateway.

  • Para oferecer suporte apenas a cargas de trabalho IPv4, crie um gateway de VPN de alta disponibilidade com o tipo de pilha IPV4_ONLY.
  • Para oferecer suporte às cargas de trabalho IPv4 e IPv6, crie um gateway de VPN de alta disponibilidade com o tipo de pilha IPV4_IPV6.
  • Para oferecer suporte apenas a cargas de trabalho IPv6, crie um gateway de VPN de alta disponibilidade com o tipo de pilha IPV6_ONLY.

Para criar um gateway de VPN de alta disponibilidade com interfaces IPv4, execute o comando a seguir. Quando o gateway é criado, dois endereços IPv4 externos são alocados automaticamente, um para cada interface de gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
   [--stack-type=IP_STACK]

Substitua:

  • GW_NAME: o nome do gateway.
  • NETWORK: o nome da sua rede do Google Cloud.
  • REGION: a região do Google Cloud em que você cria o gateway e o túnel
  • IP_STACK: a pilha de IP a ser usada. Especifique IPV4_ONLY ou IPV4_IPV6. Se você não especificar essa sinalização, o tipo de pilha será IPV4_ONLY para o gateway da VPN de alta disponibilidade. A sinalização --stack-type é opcional.

Também é possível especificar --gateway-ip-version=IPV4. No entanto, essa flag não é necessária. Se você não especificar essa flag, o gateway de VPN de alta disponibilidade usará endereços IPv4 externos por padrão.

Para criar um gateway de VPN de alta disponibilidade com interfaces IPv6, execute o comando a seguir. Quando o gateway é criado, dois endereços IPv6 externos são alocados automaticamente, um para cada interface de gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

Substitua:

  • GW_NAME: o nome do gateway.
  • NETWORK: o nome da sua rede do Google Cloud.
  • REGION: a região do Google Cloud em que você cria o gateway e o túnel
  • IP_STACK: a pilha de IP a ser usada. Especifique IPV4_IPV6 ou IPV6_ONLY. Se você não especificar essa sinalização, o tipo de pilha será IPV4_IPV6 para o gateway da VPN de alta disponibilidade. A sinalização --stack-type é opcional.

O gateway criado é semelhante ao exemplo de saída a seguir. Se você especificar --gateway-ip-version=IPV6, as interfaces IPv6 serão atribuídas.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0                 INTERFACE1                NETWORK     REGION
ha-vpn-gw-a   2600:1900:4f00:2:a:49b::   2600:1900:4f10:2:a:6a8::  network-a   us-central1

API

Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos de API nas seções a seguir. Todos os valores de campo usados nestas seções são valores de exemplo.

Para criar um gateway de VPN de alta disponibilidade, faça uma solicitação POSTusando o método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }
   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }
  • Quando você cria um gateway de VPN de alta disponibilidade com interfaces IPv4, os campos gatewayIpVersion e stackType são opcionais.

    • Se você não especificar stackType, o valor padrão será IPV4_ONLY.

    • Se você não especificar gatewayIpVersion, o valor padrão será IPV4.

    • Os únicos valores stackType válidos para um gateway com gatewayIpVersion de IPV4 são IPV4_IPV6 ou IPV4_ONLY.

  • Ao criar um gateway de VPN de alta disponibilidade com interfaces IPv6, especifique IPV6 como o valor de gatewayIpVersion. O campo stackType é opcional.

    • Se você não especificar stackType, o valor padrão será IPV4_IPV6.

    • Os únicos valores stackType válidos para um gateway com gatewayIpVersion de IPV6 são IPV4_IPV6 ou IPV6_ONLY.

Criar um recurso de gateway de VPN de peering

Console

O recurso de gateway de VPN de peering representa o gateway que não é do Google Cloud no Google Cloud.

Para criar um recurso de gateway de VPN de par, siga estas etapas:

  1. Na página Criar uma VPN, em Gateway de VPN de peering, selecione No local ou não Google Cloud.
  2. Em nome de gateway de VPN de peering, escolha um gateway de peering ou clique em Criar um novo gateway de VPN de peering.

    Se você escolher um gateway existente, o console do Google Cloud selecionará o número de túneis a serem configurados com base no número de interfaces de peering que você configurou no gateway de peering.

    Para criar um novo gateway de peering, conclua as seguintes etapas:

    1. Especifique um Nome para o gateway de VPN de par.
    2. Em Interfaces de gateway de VPN de peering, selecione one, two ou four interfaces, dependendo do tipo de interface do seu gateway de peering. Para exemplos de cada tipo, consulte a página Topologias.
    3. No campo de cada interface VPN de peering, especifique o endereço IP externo usado para essa interface. Para mais informações, consulte Configurar o gateway de VPN de peering.
    4. Clique em Criar.

gcloud

Crie um recurso de gateway de VPN externo que forneça informações ao Google Cloud sobre seu gateway ou gateways de VPN de peering. Dependendo das recomendações de alta disponibilidade para seu gateway de VPN de peering, é possível criar recursos de gateway de VPN externa para os seguintes tipos de gateways de VPN locais:

  • Dois dispositivos de gateway de VPN de peering separados em que os dois dispositivos são redundantes entre si e cada dispositivo tem seu próprio endereço IP externo.
  • Um único gateway de VPN de peering que usa duas interfaces separadas, cada uma com seu próprio endereço IP externo. Para esse tipo de gateway de peering, é possível criar um único gateway de VPN externo com duas interfaces.
  • Um único gateway de VPN de peering com um único endereço IP externo.

Opção 1: criar um recurso de gateway de VPN externo para dois dispositivos de gateway de VPN de peering separados

  • Para esse tipo de gateway de peering, cada interface de gateway de VPN externo tem um endereço IP externo, e cada endereço é de um dos dispositivos de gateway de VPN de peering.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Substitua:

    • PEER_GW_NAME: um nome que representa o gateway de peering.
    • PEER_GW_IP_0: o endereço IP externo de um gateway de peering.
    • PEER_GW_IP_1: o endereço IP externo de outro gateway de peering.

    O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos reais das interfaces de gateway de par:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME      INTERFACE0    INTERFACE1
    peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
    

Opção 2: criar um recurso de gateway de VPN externo para um gateway de VPN de peering com duas interfaces separadas

  • Para esse tipo de gateway de peering, crie um único gateway de VPN externo com duas interfaces.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Substitua:

    • PEER_GW_NAME: um nome que representa o gateway de peering.
    • PEER_GW_IP_0: o endereço IP externo de uma interface do gateway de peering
    • PEER_GW_IP_1: o endereço IP externo para outra interface do gateway de peering.

    O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que PEER_GW_IP_0 e PEER_GW_IP_1 mostram os endereços IP externos reais das interfaces de gateway de par:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME     INTERFACE0    INTERFACE1
    peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
    

Opção 3: criar um recurso de gateway de VPN externo para um único gateway de VPN de peering com um único endereço IP externo

  • Para esse tipo de gateway de peering, crie um gateway de VPN externo com uma interface.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0
    

    Substitua:

    • PEER_GW_NAME: um nome que representa o gateway de peering.
    • PEER_GW_IP_0: o endereço IP externo da interface do gateway de peering.

    O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que PEER_GW_IP_0 mostra os endereços IP externos reais da interface de gateway de par:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME       INTERFACE0
    peer-gw    PEER_GW_IP_0
    

API

Para criar um recurso de gateway de VPN externa, faça uma solicitação POST usando o método externalVpnGateways.insert.

  • Para um gateway de VPN externa (peering) que tenha uma interface, use o exemplo a seguir, mas especifique apenas um código de interface e um ipAddress, com redundancyType de SINGLE_IP_INTERNALLY_REDUNDANT.
  • Para um gateway de VPN externo com duas interfaces ou dois gateways de VPN externos com uma interface cada, use o exemplo TWO_IPS_REDUNDANCY abaixo.
  • Para um ou mais gateways de VPN externas com quatro interfaces VPN externas, por exemplo, Amazon Web Services (AWS), use o exemplo a seguir, mas especifique quatro instâncias do código da interface e ipAddress e use uma redundancyType de FOUR_IPS_REDUNDANCY.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
       ],
       "redundancyType": "TWO_IPS_REDUNDANCY"
     }
    

Criar um Cloud Router

Console

Em Cloud Router, se você ainda não tiver feito isso, crie um Cloud Router especificando as opções a seguir. Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT.

  1. Para criar um novo Cloud Router, especifique o seguinte:

    • Um Nome
    • Uma Descrição opcional
    • Um ASN do Google para o novo roteador

    É possível usar qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que não estiver usando em outro lugar da rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterar o ASN posteriormente.

  2. Para criar o novo roteador, clique em Criar.

gcloud

Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.

Para criar um Cloud Router, execute o seguinte comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Substitua:

  • ROUTER_NAME: o nome do Cloud Router na mesma região do gateway do Cloud VPN.
  • REGION: a região do Google Cloud em que você cria o gateway e o túnel
  • NETWORK: o nome da rede VPC.
  • GOOGLE_ASN: qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que você ainda não esteja usando na rede de peering. o ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterá-lo depois.

O roteador criado é semelhante ao exemplo de saída a seguir:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.

Para criar um Cloud Router, faça uma solicitação POST usando o método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Criar túneis VPN

Console

Se você configurou o recurso de gateway de VPN de peering com uma interface, na página Criar VPN, configure seu único túnel na caixa de diálogo de túnel de VPN única. Para um SLA de 99,99%, crie um segundo túnel.

Se você configurou o recurso de gateway de VPN do peering com duas ou quatro interfaces, configure as caixas de diálogo associadas que aparecem na parte inferior da página Criar VPN.

Para criar túneis de VPN, siga estas etapas:

  1. Se aplicável, em Interface do gateway de Cloud VPN associado, selecione a combinação da interface de VPN de alta disponibilidade e do endereço IP que quer associar à interface do gateway de VPN de peering para este túnel.
  2. Em Interface do gateway de VPN de peering associado, selecione a combinação de interface de gateway de VPN de peering e do endereço IP que você quer associar a este túnel e à interface de VPN de alta disponibilidade. Essa interface precisa corresponder à interface do roteador de peering real.
    1. Especifique um nome para o túnel.
    2. Especifique uma descrição opcional.
    3. Especifique a versão IKE. Recomendamos o IKE v2, a configuração padrão, se seu roteador de mesmo nível for compatível com ele. Para permitir o tráfego IPv6, selecione IKEv2.
    4. Especifique uma chave IKE pré-compartilhada usando sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel de parceiro que você criar em gateway de par. Se você não tiver configurado uma chave pré-compartilhada no gateway de VPN de peering e quiser gerar uma, clique em Gerar e copiar. Grave a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
    5. Clique em Concluído.
    6. Na página Criar VPN, repita as etapas de criação do túnel para todas as caixas de diálogo de túnel restantes.
  3. Quando você tiver configurado todos os túneis, clique em Criar e continuar.

gcloud

Crie dois túneis de VPN, um para cada interface no gateway de VPN de alta disponibilidade Ao criar túneis de VPN, especifique o lado de peering dos túneis de VPN como o gateway de VPN externo criado anteriormente. Dependendo do tipo de redundância do gateway de VPN externa, configure os túneis usando uma das duas opções a seguir.

Opção 1: se o gateway de VPN externo for dois dispositivos separados de gateway de VPN de peering ou um único dispositivo com dois endereços IP

  • Nesse caso, um túnel de VPN precisa se conectar a interface 0 do gateway da VPN externa, e o outro túnel de VPN precisa se conectar a interface 1 do gateway da VPN externa.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    Substitua:

    • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: um nome para o túnel; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
    • PEER_GW_NAME: um nome do gateway de peering externo criado anteriormente.
    • PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: o número da interface configurado anteriormente no gateway de peering externo.
    • IKE_VERS: 1 para IKEv1 ou 2 para IKEv2; Se possível, use IKEv2 para a versão IKE. Se o gateway de peering exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, especifique o IKEv2.
    • SHARED_SECRET: sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel do parceiro criado no gateway de par; para recomendações, consulte Gerar uma chave pré-compartilhada forte
    • GW_NAME: o nome do gateway da VPN de alta disponibilidade
    • INT_NUM_0: o número 0 da primeira interface no gateway de VPN de alta disponibilidade que você criou anteriormente.
    • INT_NUM_1: o número 1 da segunda interface no gateway de VPN de alta disponibilidade que você criou anteriormente
    • VPN_GATEWAY_REGION: a região do gateway de VPN de alta disponibilidade para operar. Seu valor precisa ser igual a --region. Se não for especificada, esta opção será definida automaticamente. Ela substitui o valor padrão da property de região para essa invocação de comando. A sinalização --vpn-gateway-region é opcional.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
    

Opção 2: se o gateway de VPN externo for um único gateway de VPN de peering com um único endereço IP externo

  • Nesse caso, os dois túneis de VPN precisam se conectar a interface 0 do gateway da VPN externa.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    Substitua:

    • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: um nome para o túnel; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.
    • PEER_GW_NAME: o nome do gateway de peer externo criado anteriormente.
    • PEER_EXT_GW_IF0: o número da interface configurado anteriormente no gateway de peering externo.
    • IKE_VERS: 1 para IKEv1 ou 2 para IKEv2. Se possível, use IKEv2 para a versão IKE. Se o gateway de peering exigir o IKEv1, substitua --ike-version 2 por --ike-version 1. Para permitir o tráfego IPv6, especifique o IKEv2.
    • SHARED_SECRET: sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel do parceiro criado no gateway de par; para recomendações, consulte Gerar uma chave pré-compartilhada forte
    • INT_NUM_0: o número 0 da primeira interface no gateway de VPN de alta disponibilidade que você criou anteriormente.
    • INT_NUM_1: o número 1 da segunda interface no gateway de VPN de alta disponibilidade que você criou anteriormente
    • VPN_GATEWAY_REGION: a região do gateway de VPN de alta disponibilidade para operar. Seu valor precisa ser igual a --region. Se não for especificada, esta opção será definida automaticamente. Ela substitui o valor padrão da property de região para essa invocação de comando. A sinalização --vpn-gateway-region é opcional.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
    

API

Para criar dois túneis de VPN, um para cada interface no gateway de VPN de alta disponibilidade, faça uma solicitação POST usando o método vpnTunnels.insert. Para um SLA de 99,99% de tempo de funcionamento, você precisa criar um túnel em cada interface do seu gateway de VPN de alta disponibilidade.

  1. Para criar o primeiro túnel, execute o seguinte comando:

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
       {
         "name": "ha-vpn-gw-a-tunnel-0",
         "ikeVersion": 2,
         "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
         "peerExternalGatewayInterface": 0,
         "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
         "sharedSecret": "SHARED_SECRET",
         "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
         "vpnGatewayInterface": 0
       }
    

    Se você planeja ativar o IPv6 na sessão do BGP associada a este túnel, especifique 2 para ikeVersion.

  2. Para criar o segundo túnel, repita este comando, mas altere os seguintes parâmetros:

    • name
    • peerExternalGatewayInterface
    • sharedSecret ou sharedSecretHash (se necessário)
    • vpnGatewayInterface: altere para o valor da outra interface de gateway de VPN de alta disponibilidade. Neste exemplo, altere esse valor para 1.

Criar sessões do BGP

Para cada túnel de VPN de alta disponibilidade, é possível criar uma sessão do BGP IPv4, uma sessão IPv6 do BGP ou ambas.

A tabela a seguir lista o tipo de sessão do BGP para a pilha de VPN de alta disponibilidade e o tráfego de rede VPC. Para acessar instruções específicas, selecione qualquer tipo de sessão do BGP.

Tipo de sessão do BGP Gateway de VPN de alta disponibilidade Tipo de rede VPC BGP multiprotocolo (MP-BGP) é permitido?
Sessões IPv4 do BGP Somente IPv4 ou pilha dupla Somente IPv4 ou pilha dupla sim
Sessões IPv6 do BGP pilha dupla pilha dupla sim
Sessões IPv4 e IPv6 do BGP pilha dupla pilha dupla não

Para configurar uma sessão IPv4 e uma sessão IPv6 do BGP no mesmo túnel ou para ativar o MP-BGP na sessão do BGP de um túnel de VPN de alta disponibilidade, use um gateway de VPN de alta disponibilidade de pilha dupla. No entanto, se você configurar uma sessão IPv4 do BGP e uma sessão IPv6 do BGP no mesmo túnel de VPN de alta disponibilidade, não será possível ativar o MP-BGP em nenhuma das sessões.

Sessões IPv4 do BGP

Console

Para criar sessões do BGP, siga estas etapas:

  1. Clique em Configurar sessão do BGP.
  2. Na página Criar sessão do BGP, conclua as seguintes etapas:
    1. Em Tipo de sessão do BGP, selecione Sessão do BGP IPv4.
    2. Em Nome, insira um nome para a sessão do BGP.
    3. Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
    4. Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
    5. Para ativar a troca de rotas IPv6, clique no botão de alternância Ativar tráfego IPv6.
  3. Em Alocar endereço IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte: 1. Em Endereço IPv4 do BGP do Cloud Router, insira o endereço IPv4 do BGP do Cloud Router. 1. Em Endereço IPv4 de peering do BGP, insira o endereço IPv4 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos: * Cada endereço IPv4 precisa pertencer à mesma sub-rede /30 que se encaixa no intervalo de endereços 169.254.0.0/16. * Cada endereço IPv4 do BGP é o primeiro ou o segundo host da sub-rede /30. O primeiro e o último endereços IP da sub-rede são reservados para endereços de rede e de transmissão. * Cada intervalo de endereços IPv4 para uma sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv4 para sua sessão do BGP.

    1. Opcional: se você ativou a troca de rotas IPv6 na etapa anterior, por exemplo, em Alocar o próximo salto do IPv6 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
      1. Em Próximo salto do IPv6 do BGP do Cloud Router, insira um endereço IPv6 no intervalo de endereços 2600:2d00:0:2::/63. Esse é o endereço IP do próximo salto para rotas IPv6 divulgadas pelo Cloud Router.
      2. Em Próximo salto do IPv6 do BGP de peering, insira um endereço IPv6 no intervalo de endereços 2600:2d00:0:2::/63. Esse é o endereço IP do próximo salto para rotas IPv6 aprendidas pelo roteador Cloud Router do peering do BGP.
      3. Opcional: expanda a seção Opções avançadas.
      4. Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
      5. Para ativar a autenticação MD5, selecione Ativado. Se ativada, a autenticação MD5 será usada para autenticar sessões do BGP. Para mais informações, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
      6. Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
  4. Clique em Salvar e continuar.

  5. Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.

  6. Clique em Salvar configuração do BGP.

gcloud

Para criar sessões do BGP, siga estas etapas:

Nos comandos, substitua o seguinte:

  • ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: um nome para a interface do BGP do Cloud Router; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormente
  • TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurou
  • IP_VERSION: especifique IPV4 ou deixe sem especificar. Se não for especificado, o padrão será IPV4.
  • IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.
  • AUTHENTICATION_KEY é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.

Atribuir endereços IPv4 a uma sessão do BGP

Escolha o método de configuração automática ou manual para definir endereços para o BGP. Esses comandos não ativam o IPv6 para o BGP.

Se você quiser ativar o IPv6, execute os comandos listados em Atribuir endereços do próximo salto do IPv6.

Automático

Para permitir que o Google Cloud escolha automaticamente os endereços IP do BGP de link local, siga as etapas abaixo.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    Por padrão, se você não especificar uma versão de IP, o comando atribuirá um endereço IPv4 à interface.

    A resposta ao comando parece semelhante ao seguinte exemplo:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione a configuração de peering do BGP à interface do primeiro túnel. Substitua PEER_NAME_0 por um nome para a interface de VPN de peering e PEER_ASN por o ASN do peering do BGP:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

    Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Se você quiser usar a autenticação MD5, adicione a sinalização --md5-authentication-key. Use este campo para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Adicione um par do BGP à interface do segundo túnel. Substitua PEER_NAME_1 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway da VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    Se você configurou rotas aprendidas no primeiro túnel, configure as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Se você quiser usar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer a chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

Manual

Para alocar manualmente os endereços IPv4 do BGP associados à interface do Cloud Router e ao peering do BGP, conclua as etapas a seguir.

Para cada túnel de VPN, decida um par de endereços IPv4 de link-local em um bloco /30 do intervalo de endereços 169.254.0.0/16 (um total de quatro sub-redes /30, uma por cada VPN de alta disponibilidade). As sub-redes IPv4 especificadas precisam ser exclusivas entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua um desses endereços IPv4 do BGP ao Cloud Router e o outro endereço IPv4 do BGP ao gateway de VPN de peering. Configure seu dispositivo de VPN de peering para usar o endereço IPv4 de peering do BGP.

Nos comandos a seguir, substitua:

  • GOOGLE_BGP_IP_0: o endereço IPv4 do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0; PEER_BGP_IP_0 representa o endereço IPv4 do BGP do seu par.
  • GOOGLE_BGP_IP_1: o endereço IPv4 do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1; PEER_BGP_IP_1 representa o endereço IPv4 do BGP do seu par.
  • MASK_LENGTH: 30 O Cloud Router precisa usar uma sub-rede /30 exclusiva do intervalo de endereços IPv4 169.254.0.0/16

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_0 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --mask-length 30 \
      --region=REGION
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um par do BGP à interface. Substitua PEER_NAME_0 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de par:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

    Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Se você quiser usar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer a chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicione uma interface ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_1 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IP_1 \
     --mask-length 30 \
     --region=REGION
    
  2. Adicione um par do BGP à interface. Substitua PEER_NAME_1 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de par:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IP_1 \
     --region=REGION
    

    Se você configurou rotas aprendidas no primeiro túnel, especifique as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=PRIORITY
    

    Opcional: para ativar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

Atribuir endereços do próximo salto do IPv6

Use os comandos desta seção somente se quiser túneis VPN que usem MP-BGP e troquem tráfego IPv4 e IPv6. Se você não quiser rotear o tráfego IPv6 por esse túnel ou quiser adicionar uma única sessão IPv6 do BGP a ele mais tarde, use os comandos listados em Atribuir endereços IPv4 do BGP.

Automático

Se você criar uma sessão IPv4 do BGP que use MP-BGP, o Google Cloud poderá atribuir endereços IPv6 do próximo salto automaticamente para você. O Google Cloud atribui endereços não utilizados do intervalo de endereços IPv6 2600:2d00:0:2::/63.

Essa configuração não tem relação com a escolha da configuração automática ou manual para os endereços IPv4 de peering do Cloud Router e do BGP. Os comandos a seguir usam a configuração automática. No entanto, também é possível atribuir endereços IPv4 do BGP IPv4 e de peering usando as sinalizações --ip-address e --peer-ip-address descritas em Atribuir endereços IPv4 do BGP de dois minutos.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um par do BGP à interface do primeiro túnel. Substitua PEER_NAME_0 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv6
    

    Ao especificar a sinalização --enable-ipv6, você ativa a troca de rotas IPv6 nesta sessão IPv4 do BGP, que é necessária para atribuir endereços do próximo salto IPv6. É possível desativar a troca de rotas IPv6 mais tarde. Para mais informações, consulte Configurar o BGP de vários protocolos para sessões IPv4 ou IPv6.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicione uma nova interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Adicione um par do BGP à interface do segundo túnel. Substitua PEER_NAME_1 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway da VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv6
    

Manual

Ao criar uma sessão IPv4 do BGP que usa MP-BGP, é possível configurar manualmente os endereços de próximo salto IPv6 para o Cloud Router e o peering do BGP.

Essa configuração não depende da configuração automática ou manual dos endereços IPv4 do Cloud Router e do BGP. Para exemplos sobre como configurar esses endereços manualmente, consulte Atribuir endereços IPv4 do BGP.

Para cada túnel de VPN, escolha um par de endereços de próximo salto do IPv6. Os próximos endereços IPv6 especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC e selecionados nos intervalo de endereços IPv6 internos que foram pré-alocados pelo Google: 2600:2d00:0:2::/63.

Para alocar manualmente os endereços do próximo salto do BGP IPv6, conclua as etapas a seguir.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um peering do BGP à interface para o primeiro túnel.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Nos comandos, substitua o seguinte:

    • PEER_NAME_0 com um nome para a interface de VPN de peering
    • PEER_ASN pelo ASN configurado para o gateway de VPN de peering
    • IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 divulgadas pelo Cloud Router. O endereço precisa estar no intervalo de endereços 2600:2d00:0:2::/63.
    • PEER_IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv6 2600:2d00:0:2::/63.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    Para o segundo túnel de VPN

  3. Adicione uma nova interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  4. Adicione uma configuração de peering do BGP à segunda interface para o segundo túnel.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Nos comandos, substitua o seguinte:

    • PEER_NAME_1 com um nome para a interface de VPN de peering
    • PEER_ASN pelo ASN configurado para o gateway de VPN de peering
    • IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 anunciadas pelo Cloud Router
    • PEER_IPV6_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router do peering do BGP

API

Para criar sessões do BGP, siga estas etapas:

  1. Para criar uma interface do Cloud Router, faça uma das seguintes solicitações:

    A solicitação PATCH atualiza apenas os parâmetros incluídos, enquanto a solicitação UPDATE atualiza todos os parâmetros de um Cloud Router.

    Cada intervalo de endereços do BGP para cada sessão IPv4 do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    Repita esta etapa e o comando para cada túnel de VPN no segundo gateway de VPN de alta disponibilidade.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          }
        ]
    }
    
  2. Para adicionar uma configuração de peering do BGP à interface, faça uma das seguintes solicitações:

    Repita esse comando para o outro túnel de VPN, alterando todas as opções, exceto name e peerAsn.

    Exemplo:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    O exemplo a seguir inclui um comando para adicionar um peering do BGP com a troca de rotas IPv6 ativada e os endereços IPv6 do próximo salto configurados manualmente. Se você omitir ipv6NexthopAddress e peerIpv6NexthopAddress, os próximos endereços IPv6 serão atribuídos automaticamente.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress: "2600:2d00:0:2::1"
        "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
        }
      ]
    }
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, defina os prefixos IP para as rotas. Também é possível definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress": "2600:2d00:0:2::1",
        "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
      }
    

    Para configurar a sessão para autenticação MD5, inclua uma chave de autenticação na solicitação adicionando a chave e o nome da chave. Em seguida, ao criar a sessão de peering do BGP, faça referência a essa chave pelo nome.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

Sessões IPv6 do BGP

Console

Para criar sessões do BGP, siga estas etapas:

  1. Clique em Configurar sessão do BGP.
  2. Na página Criar sessão do BGP, conclua as seguintes etapas:

    1. Em Tipo de sessão do BGP, selecione Sessão do BGP IPv6.
    2. Em Nome, insira um nome para a sessão do BGP.
    3. Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
    4. Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
    5. Opcional: para ativar a troca de rotas IPv4, clique no botão Ativar tráfego IPv4.
    6. Em Alocar endereço IPv6 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:

      1. Em Endereço IPv6 do BGP do Cloud Router, insira o endereço IPv6 do BGP do Cloud Router.
      2. Em Endereço IPv6 de peering do BGP, insira o endereço IPv6 do peering do BGP. O endereço IPv6 precisa atender aos seguintes requisitos:
        • Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do intervalo de endereços fdff:1::/64 com um comprimento de máscara de /64. Por exemplo, fdff:1::1.
        • Cada endereço precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv6 para sua sessão do BGP.

    7. Opcional: se você ativou a troca de rotas IPv4 na etapa anterior, em Alocar o próximo salto IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:

      1. No campo Próximo salto do IPv4 do BGP do Cloud Router, insira um endereço IPv4 no intervalo 169.254.0.0/16. Esse endereço IP é o endereço do próximo salto para rotas IPv4 divulgadas pelo Cloud Router.
      2. No campo Próximo salto do BGP IPv4 de peering, insira um endereço IP no intervalo de endereços 169.254.0.0/16. Esse endereço IP é o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router no peering do BGP.
      3. Opcional: expanda a seção Opções avançadas.
      4. Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
      5. Para adicionar a autenticação MD5, selecione Ativado. Se ativado, será possível usar a autenticação MD5 para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
      6. Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
  3. Clique em Salvar e continuar.

  4. Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.

  5. Clique em Salvar configuração do BGP.

gcloud

Para criar sessões do BGP, siga estas etapas:

Nos comandos, substitua o seguinte:

  • ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: um nome para a interface do BGP do Cloud Router; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormente
  • TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurou
  • IP_VERSION: IPV6. Esse parâmetro só será necessário se você quiser que o Google Cloud atribua o endereço IPv6 automaticamente para essa interface. Se você estiver atribuindo manualmente um endereço IPv6 a essa interface, será possível omitir essa flag.

  • IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

  • AUTHENTICATION_KEY é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.

Opcional: atribuir um intervalo de identificadores do BGP

Quando você adiciona a primeira interface a um Cloud Router, um intervalo do identificador do BGP é atribuído automaticamente ao Cloud Router. Caso prefira definir seu próprio intervalo de identificadores do BGP para um Cloud Router, crie-o. Também será possível modificar esse intervalo mais tarde. Para mais informações, consulte Configurar o intervalo de identificadores do BGP para um Cloud Router.

Atribuir endereços BGP IPv4

Os procedimentos a seguir criam sessões IPv6 do BGP com endereços IPv6 do BGP IPv6 e de peering do BGP configurados de modo automático ou manual.

Se você quiser usar o BGP IPv6 com MP-BGP, execute os comandos listados em Atribuir endereços IPv4 do próximo salto.

Automático

Para permitir que o Google Cloud escolha automaticamente os endereços IPv6 para a sessão do BGP, conclua as etapas a seguir.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um par do BGP à interface do primeiro túnel. Substitua PEER_NAME_0 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

    Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Opcional: se você quiser ativar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicione uma nova interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. Adicione um par do BGP à interface do segundo túnel. Substitua PEER_NAME_1 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway da VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    Se você configurou rotas aprendidas no primeiro túnel, configure as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IP_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Opcional: se você quiser ativar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

Manual

Para alocar endereços IPv6 manualmente à sessão do BGP associada à interface do Cloud Router e ao peering do BGP, conclua as etapas a seguir.

Para cada túnel de VPN, escolha um par de endereços IPv6 adequados para a sessão do BGP com base no tipo de sessão do BGP que você está configurando.

Cada endereço IPv6 precisa ser um endereço local exclusivo (ULA, na sigla em inglês) do intervalo de endereços IPv6 fdff:1::/64 com um comprimento de máscara de /126 ou menos. Por exemplo, fdff:1::1.

Cada endereço IPv6 precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua um desses endereços IPv6 ao Cloud Router e o outro endereço IPv6 ao gateway de VPN de peering. Configure o dispositivo de VPN de peering para usar o endereço IPv6 de peering da sessão do BGP.

Nos comandos a seguir, substitua:

  • GOOGLE_BGP_IPV6_0: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0. PEER_BGP_IPV6_0 representa o endereço IPv6 do peering do BGP e precisa corresponder à versão IP de GOOGLE_BGP_IPV6_0
  • GOOGLE_BGP_IPV6_1: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1. PEER_BGP_IPV6_1 representa o endereço IPv6 do peering do BGP e precisa corresponder à versão IP de GOOGLE_BGP_IPV6_1

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_0 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV6_0 \
     --mask-length=MASK_LENGTH  \
     --region=REGION \
    

    Substitua MASK_LENGTH por um valor de 126 ou menos.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione uma configuração de peering do BGP à interface. substitua PEER_NAME_0with a name for the peer, and replacePEER_ASN` pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.

    Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Opcional: se você quiser ativar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicionar uma segunda interface ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_1 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    Substitua MASK_LENGTH por um valor de 64 ou menos.

  2. Adicione um par do BGP à interface. Substitua PEER_NAME_1 por um nome para o par e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de par:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION
    

    Se você configurou rotas aprendidas no primeiro túnel, especifique as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=PRIORITY
    

    Opcional: se você quiser ativar a autenticação MD5, use a sinalização --md5-authentication-key para fornecer sua chave secreta:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

Atribuir endereços do próximo salto do IPv6

Use os comandos desta seção apenas se quiser túneis VPN que usem MP-BGP. Com o MP-BGP, é possível trocar rotas IPv4 em sessões IPv6 do BGP.

Se você não planeja usar MP-BGP na sessão do BGP para o túnel, use os comandos listados em Atribuir endereços IPv6 do BGP.

É possível configurar de forma automática ou manual os endereços IPv4 ou IPv6 do próximo salto do BGP.

Automático

Se você criar uma sessão IPv6 do BGP que usa MP-BGP, o Google Cloud poderá atribuir endereços IPv4 do próximo salto automaticamente para você. O Google Cloud atribui endereços não utilizados do intervalo de endereços169.254.0.0/16.

Essa configuração não tem relação com a escolha da configuração automática ou manual para os endereços IPv6 de peering do Cloud Router e do BGP. Os comandos a seguir usam a configuração automática. No entanto, também é possível atribuir os endereços IPv6 às interfaces do Cloud Router e aos pares do BGP usando as sinalizações --ip-address e --peer-ip-address descritas em Atribuir IP IPv6 do BGP endereços IP.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um par do BGP à interface do primeiro túnel. Substitua PEER_NAME_0 por um nome para a interface de VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv4
    

    A resposta ao comando parece semelhante ao seguinte exemplo:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Para o segundo túnel de VPN

  1. Adicione uma nova interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. Adicione uma configuração de peering do BGP à segunda interface para o segundo túnel. Substitua PEER_NAME_1 por um nome para a interface de VPN de peering e PEER_ASN pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --enable-ipv4
    

Manual

Ao criar sessões IPv6 do BGP que usam MP-BGP, é possível configurar manualmente os endereços IPv4 do próximo salto para o Cloud Router e o peering do BGP.

Essa configuração não tem relação com a escolha da configuração automática ou manual do Cloud Router e dos endereços IPv6 para sessões do BGP. Para exemplos sobre como configurar esses endereços manualmente, consulte Atribuir endereços IPv6 do BGP.

Para cada túnel de VPN, selecione um par de endereços IPv4 do próximo salto do intervalo de endereços IPv4 link-local 169.254.0.0/16. Esses endereços IPv4 precisam ser exclusivos em todos os Cloud Routers na rede VPC.

Para alocar manualmente os endereços do próximo salto do BGP IPv4, conclua as etapas a seguir.

Para o primeiro túnel de VPN

  1. Adicione uma interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione um peering do BGP à interface para o primeiro túnel.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Nos comandos, substitua o seguinte:

    • PEER_NAME_0 com um nome para a interface de VPN de peering
    • PEER_ASN pelo ASN configurado para o gateway de VPN de peering
    • IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router. O endereço precisa estar no intervalo 169.254.0.0/16
    • PEER_IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv6 169.254.0.0/16.

    A resposta ao comando é semelhante ao exemplo a seguir:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    Para o segundo túnel de VPN

  3. Adicione uma nova interface ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  4. Adicione um peering do BGP à interface para o segundo túnel.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Nos comandos a seguir, substitua:

    • PEER_NAME_1 com um nome para a interface de VPN de peering
    • PEER_ASN pelo ASN configurado para o gateway de VPN de peering
    • IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router. O endereço precisa estar no intervalo 169.254.0.0/16
    • PEER_IPV4_NEXTHOP_ADDRESS: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv4 169.254.0.0/16.

API

Para criar sessões do BGP, siga estas etapas:

  1. Para criar uma interface do Cloud Router e atribuir a ela um endereço IPv6, faça uma solicitação PATCH ou UPDATE usando o método routers.patch. ou o método routers.update. PATCH atualiza apenas os parâmetros incluídos. UPDATE atualiza todos os parâmetros do Cloud Router.

    O exemplo a seguir cria uma interface com um endereço IPv6 configurado manualmente.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/112"
          }
        ]
    }
    

    Cada intervalo de endereços do BGP para cada sessão IPv6 do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    Como outro exemplo, o comando a seguir cria uma interface com um endereço IPv6 atribuído automaticamente.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
        ]
    }
    

    Repita essa etapa para cada túnel de VPN no gateway de VPN de alta disponibilidade.

  2. Adicione uma configuração de peering do BGP a um Cloud Router para um túnel VPN, torne umPATCH ouUPDATE solicitação usando o método routers.patch método ou norouters.update método de dois minutos. Repita esse comando para o outro túnel de VPN, alterando todas as opções, exceto name e peerAsn.

    Exemplo:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    O exemplo a seguir inclui um comando para adicionar um peering do BGP para a interface IPv6 do BGP com a troca de rotas IPv4 ativada e os endereços IPv4 do próximo salto IPv4 configurados manualmente. Se você omitir ipv4NexthopAddress e peerIpv4NexthopAddress, os próximos endereços IPv4 serão atribuídos automaticamente.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        }
      ]
    }
    

    Se você quiser especificar rotas aprendidas personalizadas para o par, defina os prefixos IP para as rotas. Também é possível definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações, consulte Rotas aprendidas personalizadas.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
    }
    

    Se você quiser configurar a sessão para usar a autenticação MD5, a solicitação deve incluir uma chave de autenticação, o que significa que é necessário fornecer a chave e um nome para a chave. Ele também precisa fazer referência à chave por nome ao criar a sessão de peering do BGP. Exemplo:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

Sessões IPv4 do BGP e IPv6 do BGP

Use as etapas a seguir para criar uma sessão IPv4 do BGP e uma sessão IPv6 do BGP que são executadas em paralelo no mesmo túnel de VPN de alta disponibilidade.

Para criar essa configuração, adicione duas interfaces do BGP e dois pares do BGP ao Cloud Router, vinculando-os ao mesmo túnel de VPN. Não é possível usar MP-BGP em nenhuma das sessões do BGP.

Console

Para criar sessões IPv4 e IPv6 do BGP, siga estas etapas:

  1. Clique em Configurar sessão do BGP.
  2. Na página Criar sessão do BGP, conclua as seguintes etapas:

    1. Em Tipo de sessão do BGP, selecione Ambos.

    Sessão do BGP IPv4

    1. Em Nome, insira um nome para a sessão do BGP.
    2. Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
    3. Em Alocar endereço IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
    4. Em Endereço IPv4 do BGP do Cloud Router, insira o endereço IPv4 do BGP do Cloud Router.
    5. Em Endereço IPv4 de peering do BGP, insira o endereço IPv4 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos:

      • Cada endereço IPv4 precisa pertencer à mesma sub-rede /30 que se encaixa no intervalo de endereços 169.254.0.0/16.
      • Cada endereço IPv4 do BGP é o primeiro ou o segundo host da sub-rede /30. O primeiro e o último endereços IP da sub-rede são reservados para endereços de rede e de transmissão.
      • Cada intervalo de endereços IPv4 para uma sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv4 para sua sessão do BGP.

      Se você selecionar a atribuição automática de endereços IPv6, o Google Cloud selecionará automaticamente os endereços IPv6 para sua sessão do BGP.

    6. Opcional: expanda a seção Opções avançadas.

    7. Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.

    8. Para adicionar a autenticação MD5, selecione Ativado. Se ativado, será possível usar a autenticação MD5 para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.

    9. Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.

    10. Clique em Salvar e continuar.

    Sessão do BGP IPv6

    1. Em Nome, insira um nome para a sessão do BGP.
    2. Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
    3. Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
    4. Em Alocar endereço IPv6 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
    5. Em Endereço IPv6 do BGP do Cloud Router, insira o endereço IPv6 do BGP do Cloud Router.
    6. Em Endereço IPv6 de peering do BGP, insira o endereço IPv6 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos:

      • Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do intervalo de endereços fdff:1::/64 com um comprimento de máscara de /64. Por exemplo, fdff:1::1.
      • Cada endereço precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv6 para sua sessão do BGP.

    7. Opcional: expanda a seção Opções avançadas.

    8. Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.

    9. Para ativar a autenticação MD5, selecione Ativado. Se ativada, a autenticação MD5 será usada para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.

    10. Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, digite uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.

    11. Clique em Salvar e continuar.

  3. Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.

  4. Clique em Salvar configuração do BGP.

gcloud

Para criar sessões do BGP, siga estas etapas:

Nos comandos, substitua o seguinte:

  • ROUTER_INTERFACE_NAME_0_ipv4 e ROUTER_INTERFACE_NAME_0_ipv6: nomes do primeiro par de interfaces do BGP do Cloud Router que compartilham o mesmo túnel; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormente
  • ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: nomes do segundo conjunto de interfaces do BGP do Cloud Router
  • TUNNEL_NAME_0 e TUNNEL_NAME_1: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurou
  • IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.
  • AUTHENTICATION_KEY é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.

    Além disso, é possível configurar automática ou manualmente os endereços IPv4 e IPv6 para as interfaces do Cloud Router e os peerings do BGP.

    Opcional: atribuir um intervalo de identificadores do BGP

    Quando você adiciona a primeira interface com um endereço IPv6 a um Cloud Router, um intervalo do identificador do BGP é atribuído automaticamente a ele. Caso prefira definir seu próprio intervalo do identificador do BGP para um Cloud Router, crie seu próprio intervalo. Também será possível modificar esse intervalo mais tarde. Para mais informações, consulte Configurar o intervalo de identificadores do BGP para um Cloud Router.

Automático

Para permitir que o Google Cloud escolha automaticamente os endereços do BGP, conclua as etapas a seguir.

Para o primeiro túnel de VPN

  1. Adicione uma interface com um endereço IPv4 ao Cloud Router.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
       --ip-version=IPV4
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicione uma segunda interface com um endereço IPv6 ao mesmo túnel. Execute este comando:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Adicione uma configuração de peering do BGP à primeira interface com o endereço IPv4 daprimeiro túnel ; substituirPEER_NAME_0_ipv4 por um nome para a interface da VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv4 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
       --region=REGION
    
  4. Adicione uma configuração de peering do BGP à segunda interface com o endereço IPv6 para o primeiro túnel, substitua PEER_NAME_0_ipv6 por um nome para a interface da VPN de peering e substitua PEER_ASN pelo ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --region=REGION
    

    Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.

Para o segundo túnel de VPN

  1. Adicione uma interface com um endereço IPv4 ao Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
     --ip-version=IPV4
    
  2. Adicione uma interface com um endereço IPv6 ao mesmo túnel. Execute este comando:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
    
  3. Adicione uma configuração de peering do BGP à primeira interface com o endereço IPv4 dasegundo túnel ; substituirPEER_NAME_1_ipv4 por um nome para a interface de VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --region=REGION
    
  4. Adicione uma configuração de peering do BGP à segunda interface com o endereço IPv6 para osegundo túnel ; substituirPEER_NAME_1_ipv6 por um nome para a interface da VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --region=REGION
    

    Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.

Manual

Para alocar manualmente os endereços IPv4 e IPv6 associados às interfaces do Cloud Router e aos peerings do BGP, conclua as etapas a seguir.

Para cada túnel de VPN, escolha um par de endereços BGP apropriados com base no tipo de sessão do BGP que você está configurando. Selecione quatro endereços IP no total para cada tipo de sessão.

  • Para as sessões IPv4 do BGP, os quatro endereços IPv4 precisam ser endereços IPv4 link-local em um bloco /30 do intervalo 169.254.0.0/16. Por exemplo, 169.254.0.1/30.
  • Para as sessões IPv6 do BGP, os quatro endereços IPv6 precisam ser endereços locais exclusivos (ULA, na sigla em inglês) do intervalo fdff:1::/64 com um duração de /126 ou menos. Por exemplo, fdff:1:1:1::/112.

Os endereços do BGP especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Para cada túnel, atribua os endereços IPv6 do BGP ao Cloud Router. Configure o dispositivo de VPN de peering para usar os endereços IPv6 de peering do BGP.

Nos comandos a seguir, substitua:

  • GOOGLE_BGP_IPV4_0: o endereço IPv4 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0. PEER_BGP_IPV4_0 representa o endereço IPv4 do peering do BGP, corresponde a GOOGLE_BGP_IPV4_0
  • GOOGLE_BGP_IPV6_0: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0. PEER_BGP_IPV6_0 representa o endereço IPv6 do peering do BGP. corresponde a GOOGLE_BGP_IPV6_0
  • GOOGLE_BGP_IPV4_1: o endereço IPv4 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1. PEER_BGP_IPV4_1 representa o endereço IPv4 do peering do BGP, corresponde a GOOGLE_BGP_IPV4_1
  • GOOGLE_BGP_IPV6_1: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1. PEER_BGP_IPV6_1 representa o endereço IPv6 do peering do BGP. corresponde a GOOGLE_BGP_IPV6_1

Para o primeiro túnel de VPN

  1. Adicione uma interface com um endereço IPv4 ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_0_ipv4 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV4_0 \
      --mask-length 30 \
      --region=REGION
    

    A resposta ao comando é semelhante ao exemplo a seguir:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Adicionar uma interface com um endereço IPv6 ao mesmo túnel Substitua ROUTER_INTERFACE_NAME_0_ipv6 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV6_0 \
      --mask-length=MASK_LENGTH  \
      --region=REGION \
    

    Substitua MASK_LENGTH por um valor de 64 ou menos.

  3. Adicione uma configuração de peering do BGP à primeira interface daprimeiro túnel ; substituirPEER_NAME_0_ipv4 por um nome para a interface de VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_0 \
     --region=REGION
    
  4. Adicione uma configuração de peering do BGP à segunda interface doprimeiro túnel ; substituirPEER_NAME_0_ipv6 por um nome para a interface de VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_0 \
       --region=REGION
    

    Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.

Para o segundo túnel de VPN

  1. Adicione uma interface com um endereço IPv4 ao Cloud Router. Substitua ROUTER_INTERFACE_NAME_1_ipv4 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV4_1 \
     --mask-length MASK_LENGTH \
     --region=REGION
    
  2. Adicionar uma interface com um endereço IPv6 ao mesmo túnel Substitua ROUTER_INTERFACE_NAME_1_ipv6 por um nome para a interface:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    Substitua MASK_LENGTH por um valor de 64 ou menos.

  3. Adicione uma configuração de peering do BGP à primeira interface para o segundo túnel. Substitua PEER_NAME_1_ipv4 por um nome para o peering e substitua PEER_ASN pelo ASN configurado para o gateway da VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_1 \
     --region=REGION
    
  4. Adicione uma configuração de peering do BGP à segunda interface dosegundo túnel ; substituirPEER_NAME_1_ipv6 por um nome para a interface de VPN de peering e substituaPEER_ASN com o ASN configurado para o gateway de VPN de peering:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_1 \
       --region=REGION
    

    Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.

API

Para criar sessões do BGP, siga estas etapas:

  1. Para criar duas interfaces do Cloud Router, faça uma solicitação PATCH ou UPDATE usando o método routers.patch ou a routers.update. PATCH atualiza apenas os parâmetros incluídos. UPDATE atualiza todos os parâmetros do Cloud Router.

    Crie duas interfaces do Cloud Router para o primeiro túnel de VPN no gateway de VPN de alta disponibilidade. Você cria uma interface com um endereço IPv4 e uma interface com um endereço IPv6. É possível configurar as interfaces e os pares do BGP na mesma solicitação PATCH ou UPDATE. As interfaces são associadas ao mesmo túnel linkedVpnTunnel, e os pares do BGP são associados a elas.

    Os intervalos de endereços do BGP para cada interface precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    Repita esta etapa e o comando para cada túnel de VPN no segundo gateway de VPN de alta disponibilidade.

    O exemplo a seguir adiciona uma interface com um endereço IPv4 e outra com um endereço IPv6 ao mesmo linkedVpnTunnel. O comando de exemplo especifica manualmente os endereços IPv4 e IPv6 do BGP:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/126"
          }
    
        ]
    }
    

    O exemplo a seguir adiciona uma interface IPv4 do BGP e uma interface IPv6 BGP ao mesmo linkedVpnTunnel com endereços IPv4 e IPv6 BGP atribuídos automaticamente:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV4"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
    
        ]
    }
    
    1. Para adicionar os pares do BGP ao Cloud Router para cada túnel de VPN, crie umPATCH ouUPDATE solicitação usando o método routers.patch método ou norouters.update método de dois minutos. Repita esse comando para os outros túneis de VPN, alterando todas as opções conforme necessário.

      Exemplo:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
      {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        },
        {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
        "ipAddress": fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
      }
      

Verificar a configuração

Console

Para verificar a configuração, acesse a página Resumo e lembrete:

  1. A seção Resumo desta tela contém informações sobre o gateway de VPN de alta disponibilidade e o perfil de gateway de VPN de peering. Para cada túnel de VPN, é possível ver o status do túnel da VPN, o nome da sessão do BGP, o status da sessão do BGP e o valor MED (prioridade da rota divulgada).
  2. A seção Lembrete desta tela contém as etapas que você precisa concluir para ter uma conexão VPN totalmente operacional entre o Cloud VPN e a VPN de peering.
  3. Se você quiser fazer o download de um modelo de configuração para seu dispositivo de VPN de peering, clique em Fazer o download da configuração. Para instruções sobre como selecionar o modelo e ver uma lista de fornecedores compatíveis, consulte Fazer o download de um modelo de configuração de VPN de peering. Também é possível fazer o download do modelo de configuração mais tarde na página Gateways de VPN de peering.
  4. Depois de analisar as informações desta página, clique em OK.

gcloud

Para verificar a configuração do Cloud Router, siga estas etapas:

  • Liste os endereços IP do BGP escolhidos pelo Cloud Router. Se você adicionou uma nova interface a um Cloud Router atual, os endereços IPv4 ou IPv6 do BGP para a nova interface poderão estar listados com o número de índice mais alto. Use o endereço IPv4 do BGP ou do BGP IPv6 peerIpAddress para configurar o gateway de VPN de peering:

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    A saída esperada para um Cloud Router que gerencia dois túneis do Cloud VPN (índice 0 e índice 1) será semelhante ao exemplo a seguir, em que:

    • GOOGLE_BGP_IP_0 representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 0; PEER_BGP_IP_0 representa o endereço IP do BGP do seu par.
    • GOOGLE_BGP_IP_1 representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPN interface 1; PEER_BGP_IP_1 representa o endereço IP do BGP do seu par.
      result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
      result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
      result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
      result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
      result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
      result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
    
  • É possível também usar o seguinte comando para uma lista completa da configuração do Cloud Router:

    gcloud compute routers describe ROUTER_NAME \
       --region=REGION
    

    A lista completa vai ser semelhante ao exemplo a seguir:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

API

Para verificar a configuração do Cloud Router, crie uma solicitação GET usando o método routers.getRouterStatus e use um corpo de solicitação vazio:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crie outro túnel em um gateway de túnel único.

Console

Para receber um SLA com 99,99% de tempo de atividade, configure um túnel em cada interface de VPN de alta disponibilidade de um gateway de VPN de alta disponibilidade.

Configure um segundo túnel nas seguintes circunstâncias:

  • Se você configurou um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que tem uma interface de VPN de peering única.
  • Se você configurou um único túnel em um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que contém qualquer número de interfaces, mas quer um SLA de 99,99% de tempo de atividade para seu gateway de VPN de alta disponibilidade.

Para configurar um segundo túnel, siga as etapas descritas em Adicionar um túnel de um gateway de VPN de alta disponibilidade a um gateway de VPN de peering.

Definir a prioridade de rota divulgada básica (opcional)

As sessões do BGP que você cria permitem que cada Cloud Router divulgue rotas para redes de mesmo nível. Os divulgações usam prioridades de base inalteradas.

Use a configuração documentada em Como criar um gateway de VPN de alta disponibilidade e um par de túnel para uma VPN de peering em configurações de roteamento ativas/ativas, em que as prioridades de rota anunciadas{101. }dos dois túneis de VPN do Google Cloud e da correspondência do par. Para configurar as mesmas prioridades de rota divulgada do Google Cloud para os dois pares do BGP, omita a prioridade de rota anunciada no Google Cloud.

Para criar uma configuração ativa/passiva, configure prioridades de rota anunciadas desigual para os dois túneis de VPN de alta disponibilidade. Uma prioridade de rota precisa ser maior que a outra. Exemplo:

  • BGP session1/tunnel1, route priority = 10
  • BGP session1/tunnel1, route priority = 20

Para mais informações sobre a prioridade de rota divulgada básica, consulte Prefixos e prioridades anunciados.

Você também pode especificar quais rotas são anunciadas usando divulgações personalizadas:

  • Adicione as sinalizações --advertisement-mode=CUSTOM (gcloud) ou advertiseMode: custom (API).
  • Especifique intervalos de endereços IP com a sinalização --set-advertisement-ranges (gcloud) ou a sinalização advertisedIpRanges (API).

Concluir a configuração

Antes de usar um novo gateway do Cloud VPN e os túneis de VPN associados, conclua as seguintes etapas:

  1. Configure o gateway de VPN de peering e configure o túnel ou os túneis correspondentes. Para ver instruções, consulte os links a seguir:
  2. Configure regras de firewallno Google Cloud e na rede de peering, conforme necessário.
  3. Verifique o status dos túneis de VPN. Observação: esta etapa inclui a verificação da configuração de alta disponibilidade do seu gateway de VPN de alta disponibilidade.

A seguir