Nesta página, veja como criar um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering.
Os gateways de VPN de alta disponibilidade usam a API de VPN de alta disponibilidade e oferecem um SLA de 99,99%. Essa configuração usa um par de túneis, com um túnel em cada interface de gateway de VPN de alta disponibilidade. Para receber um SLA de 99,99%, configure os túneis de VPN nas duas interfaces de gateway da VPN de alta disponibilidade.
Há dois componentes de gateway para configurar para a VPN de alta disponibilidade:
- Um gateway de VPN de alta disponibilidade no Google Cloud.
Seu gateway ou gateways de VPN de peering: um ou mais dispositivos de gateway de VPN física ou aplicativos de software na rede de peering com que o gateway de VPN de alta disponibilidade se conecta. O gateway de peering pode ser um gateway de VPN local ou hospedado por outro provedor de nuvem.
Crie um recurso de gateway de VPN externa no Google Cloud para cada dispositivo ou serviço de gateway de par. Todos os cenários de gateway de peering são representados no Google Cloud por um único recurso de VPN de peering externo.
Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:
Para diagramas dessa topologia, consulte VPN de alta disponibilidade para gateways de VPN de peering.
Para conhecer as práticas recomendadas antes de configurar o Cloud VPN, consulte Práticas recomendadas.
Para mais informações sobre o Cloud VPN, consulte a visão geral do Cloud VPN.
Para definições de termos usados nesta página, consulte Termos-chave.
Se você quiser implantar a VPN de alta disponibilidade pelo Cloud Interconnect, consulte a visão geral da VPN de alta disponibilidade no Cloud Interconnect.
Tipos de redundância
A API de VPN de alta disponibilidade contém uma opção para REDUNDANCY_TYPE
, que representa o número de interfaces configuradas para o recurso de gateway de VPN externa.
Quando você configura um recurso de gateway de VPN externa, os comandos gcloud
inferem automaticamente os seguintes valores de REDUNDANCY_TYPE
a partir do número de interfaces fornecidas no ID da interface:
- Uma interface de VPN externa é
SINGLE_IP_INTERNALLY_REDUNDANT
- Duas interfaces VPN externas são
TWO_IPS_REDUNDANCY
- Quatro interfaces VPN externas são
FOUR_IPS_REDUNDANCY
Ao configurar gateways de VPN externos, você precisa usar os seguintes números de identificação de interface para o número indicado de interfaces de VPN externas:
- Para uma interface de VPN externa, use um valor de
0
. - Para duas interfaces de VPN externas, use os valores
0
e1
. - Para quatro interfaces VPN externas, use os valores
0
,1
,2
e3
.
Criar Cloud Routers
Ao configurar um novo gateway de VPN de alta disponibilidade, você pode criar um novo Cloud Router ou usar um Cloud Router com túneis ou anexos de VLAN existentes do Cloud VPN. No entanto, o Cloud Router que você usa não precisa gerenciar uma sessão do BGP para um anexo de interconexão (VLAN) associado a uma conexão de Interconexão por parceiro devido aos requisitos específicos do ASN.
Antes de começar
Revise informações sobre como o roteamento dinâmico funciona no Google Cloud.
Verifique se o gateway de VPN de peering é compatível com o protocolo de gateway de borda (BGP, na sigla em inglês).
Configure os seguintes itens no Google Cloud para facilitar a configuração do Cloud VPN:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Se você estiver usando a Google Cloud CLI, defina o ID do projeto com o comando a seguir. As instruções da
gcloud
nesta página presumem que você tenha definido o ID do projeto antes de emitir comandos.gcloud config set project PROJECT_ID
-
É possível também visualizar um ID do projeto que já foi definido executando o seguinte comando:
gcloud config list --format='text(core.project)'
Criar uma rede e uma sub-rede VPC personalizadas
Antes de criar um par de túnel e gateway de VPN de alta disponibilidade, crie uma rede de nuvem privada virtual (VPC) e pelo menos uma sub-rede na região onde o gateway de VPN de alta disponibilidade reside:
- Para criar uma rede VPC de modo personalizado (recomendado), consulte Como criar uma rede VPC de modo personalizado.
- Para criar sub-redes, consulte Como trabalhar com sub-redes.
Para ativar o IPv6 para gateways de VPN de alta disponibilidade, ative a alocação de endereços internos IPv6 ao criar a VPC. Além disso, você precisa configurar as sub-redes para usar endereços internos IPv6.
Você também precisa configurar o IPv6 nas VMs na sub-rede.
- Para criar uma rede VPC de modo personalizado com endereços IPv6 internos, consulte Criar uma rede VPC de modo personalizado com pelo menos uma sub-rede de pilha dupla.
- Para criar uma sub-rede com o IPv6 ativado, consulte Adicionar uma sub-rede de pilha dupla.
- Para ativar o IPv6 em uma sub-rede atual, consulte Converter uma sub-rede IPv4 em uma sub-rede de pilha dupla.
- Para criar VMs com o IPv6 ativado, consulte Como configurar o IPv6 para instâncias e modelos de instância.
A sub-rede VPC precisa ser configurada para usar endereços IPv6 internos.
Ao usar a gcloud CLI, você configura a sub-rede com a sinalização --ipv6-access-type=INTERNAL
. O Cloud Router não divulga dinamicamente rotas para sub-redes
configuradas para usar endereços IPv6 externos (--ipv6-access-type=EXTERNAL
).
Para mais informações sobre como usar intervalos de endereços IPv6 internos nas redes e nas sub-redes VPC, consulte Especificações do IPv6 interno.
Os exemplos neste documento também usam o modo de roteamento dinâmico global da VPC, que se comporta da seguinte maneira:
- Todas as instâncias do Cloud Router aplicam as rotas
to on-premises
que aprendem a todas as sub-redes da rede VPC. - Rotas para todas as sub-redes na rede VPC são compartilhadas com roteadores locais.
Criar um gateway de VPN de alta disponibilidade e um par de túneis para uma VPN de peering
Siga as instruções nesta seção para criar um gateway de VPN de alta disponibilidade, um recurso de gateway de VPN de peering, um par de túneis e sessões do BGP.
Crie um gateway de VPN de alta disponibilidade.
Console
O assistente de configuração de VPN inclui todas as etapas de configuração necessárias para criar um gateway de VPN de alta disponibilidade, túneis, um recurso de gateway de VPN de peering e sessões do BGP.
Para criar um gateway de VPN de alta disponibilidade, siga estas etapas:
No Console do Google Cloud, acesse a página VPN.
Se você estiver criando um gateway pela primeira vez, clique em Criar conexão VPN.
Selecione o assistente de configuração de VPN.
Em Nome do gateway da VPN, insira um nome para o gateway da VPN de alta disponibilidade.
Em rede VPC, selecione uma rede existente ou a rede padrão.
Em Região, selecione uma região para o gateway de VPN de alta disponibilidade.
Em Versão de IP do gateway de VPN, selecione uma versão de IP do gateway de VPN de alta disponibilidade.
A versão de IP do gateway de VPN de alta disponibilidade e do gateway de VPN de peering precisa ser a mesma.
Em Tipo de pilha de IP do gateway de VPN, selecione um tipo de pilha para o gateway da VPN.
Clique em Criar e continuar.
A tela do console é atualizada e exibe as informações de gateway. Dois endereços IP externos são alocados automaticamente para cada uma das suas interfaces de gateway. Para etapas futuras de configuração, anote os detalhes da configuração do gateway.
gcloud
Para criar um gateway de VPN de alta disponibilidade, execute os comandos a seguir. Quando o gateway é criado, dois endereços IP externos são alocados automaticamente, um para cada interface de gateway.
- Para oferecer suporte apenas a cargas de trabalho IPv4, crie um
gateway de VPN de alta disponibilidade com o tipo de pilha
IPV4_ONLY
. - Para oferecer suporte às cargas de trabalho IPv4 e IPv6, crie um
gateway de VPN de alta disponibilidade com o tipo de pilha
IPV4_IPV6
. - Para oferecer suporte apenas a cargas de trabalho IPv6, crie um
gateway de VPN de alta disponibilidade com o tipo de pilha
IPV6_ONLY
.
Para criar um gateway de VPN de alta disponibilidade com interfaces IPv4, execute o comando a seguir. Quando o gateway é criado, dois endereços IPv4 externos são alocados automaticamente, um para cada interface de gateway.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ [--stack-type=IP_STACK]
Substitua:
GW_NAME
: o nome do gateway.NETWORK
: o nome da sua rede do Google Cloud.REGION
: a região do Google Cloud em que você cria o gateway e o túnelIP_STACK
: a pilha de IP a ser usada. EspecifiqueIPV4_ONLY
ouIPV4_IPV6
. Se você não especificar essa sinalização, o tipo de pilha seráIPV4_ONLY
para o gateway da VPN de alta disponibilidade. A sinalização--stack-type
é opcional.
Também é possível especificar --gateway-ip-version=IPV4
. No entanto, essa flag não é
necessária. Se você não especificar essa flag, o gateway de VPN de alta disponibilidade
usará endereços IPv4 externos por padrão.
Para criar um gateway de VPN de alta disponibilidade com interfaces IPv6, execute o comando a seguir. Quando o gateway é criado, dois endereços IPv6 externos são alocados automaticamente, um para cada interface de gateway.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Substitua:
GW_NAME
: o nome do gateway.NETWORK
: o nome da sua rede do Google Cloud.REGION
: a região do Google Cloud em que você cria o gateway e o túnelIP_STACK
: a pilha de IP a ser usada. EspecifiqueIPV4_IPV6
ouIPV6_ONLY
. Se você não especificar essa sinalização, o tipo de pilha seráIPV4_IPV6
para o gateway da VPN de alta disponibilidade. A sinalização--stack-type
é opcional.
O gateway criado é semelhante ao exemplo de saída a seguir. Se você especificar --gateway-ip-version=IPV6
, as interfaces IPv6 serão
atribuídas.
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 2600:1900:4f00:2:a:49b:: 2600:1900:4f10:2:a:6a8:: network-a us-central1
API
Para criar a configuração completa de um gateway de VPN de alta disponibilidade, use os comandos de API nas seções a seguir. Todos os valores de campo usados nestas seções são valores de exemplo.
Para criar um gateway de VPN de alta disponibilidade, faça uma solicitação POST
usando o método vpnGateways.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6", "gatewayIpVersion": "IPV4" }
POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Quando você cria um gateway de VPN de alta disponibilidade com interfaces IPv4, os campos
gatewayIpVersion
estackType
são opcionais.Se você não especificar
stackType
, o valor padrão seráIPV4_ONLY
.Se você não especificar
gatewayIpVersion
, o valor padrão seráIPV4
.Os únicos valores
stackType
válidos para um gateway comgatewayIpVersion
deIPV4
sãoIPV4_IPV6
ouIPV4_ONLY
.
Ao criar um gateway de VPN de alta disponibilidade com interfaces IPv6, especifique
IPV6
como o valor degatewayIpVersion
. O campostackType
é opcional.Se você não especificar
stackType
, o valor padrão seráIPV4_IPV6
.Os únicos valores
stackType
válidos para um gateway comgatewayIpVersion
deIPV6
sãoIPV4_IPV6
ouIPV6_ONLY
.
Criar um recurso de gateway de VPN de peering
Console
O recurso de gateway de VPN de peering representa o gateway que não é do Google Cloud no Google Cloud.
Para criar um recurso de gateway de VPN de par, siga estas etapas:
- Na página Criar uma VPN, em Gateway de VPN de peering, selecione No local ou não Google Cloud.
Em nome de gateway de VPN de peering, escolha um gateway de peering ou clique em Criar um novo gateway de VPN de peering.
Se você escolher um gateway existente, o console do Google Cloud selecionará o número de túneis a serem configurados com base no número de interfaces de peering que você configurou no gateway de peering.
Para criar um novo gateway de peering, conclua as seguintes etapas:
- Especifique um Nome para o gateway de VPN de par.
- Em Interfaces de gateway de VPN de peering, selecione
one
,two
oufour
interfaces, dependendo do tipo de interface do seu gateway de peering. Para exemplos de cada tipo, consulte a página Topologias. - No campo de cada interface VPN de peering, especifique o endereço IP externo usado para essa interface. Para mais informações, consulte Configurar o gateway de VPN de peering.
- Clique em Criar.
gcloud
Crie um recurso de gateway de VPN externo que forneça informações ao Google Cloud sobre seu gateway ou gateways de VPN de peering. Dependendo das recomendações de alta disponibilidade para seu gateway de VPN de peering, é possível criar recursos de gateway de VPN externa para os seguintes tipos de gateways de VPN locais:
- Dois dispositivos de gateway de VPN de peering separados em que os dois dispositivos são redundantes entre si e cada dispositivo tem seu próprio endereço IP externo.
- Um único gateway de VPN de peering que usa duas interfaces separadas, cada uma com seu próprio endereço IP externo. Para esse tipo de gateway de peering, é possível criar um único gateway de VPN externo com duas interfaces.
- Um único gateway de VPN de peering com um único endereço IP externo.
Opção 1: criar um recurso de gateway de VPN externo para dois dispositivos de gateway de VPN de peering separados
Para esse tipo de gateway de peering, cada interface de gateway de VPN externo tem um endereço IP externo, e cada endereço é de um dos dispositivos de gateway de VPN de peering.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Substitua:
PEER_GW_NAME
: um nome que representa o gateway de peering.PEER_GW_IP_0
: o endereço IP externo de um gateway de peering.PEER_GW_IP_1
: o endereço IP externo de outro gateway de peering.
O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que
PEER_GW_IP_0
ePEER_GW_IP_1
mostram os endereços IP externos reais das interfaces de gateway de par:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Opção 2: criar um recurso de gateway de VPN externo para um gateway de VPN de peering com duas interfaces separadas
Para esse tipo de gateway de peering, crie um único gateway de VPN externo com duas interfaces.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Substitua:
PEER_GW_NAME
: um nome que representa o gateway de peering.PEER_GW_IP_0
: o endereço IP externo de uma interface do gateway de peeringPEER_GW_IP_1
: o endereço IP externo para outra interface do gateway de peering.
O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que
PEER_GW_IP_0
ePEER_GW_IP_1
mostram os endereços IP externos reais das interfaces de gateway de par:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Opção 3: criar um recurso de gateway de VPN externo para um único gateway de VPN de peering com um único endereço IP externo
Para esse tipo de gateway de peering, crie um gateway de VPN externo com uma interface.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0
Substitua:
PEER_GW_NAME
: um nome que representa o gateway de peering.PEER_GW_IP_0
: o endereço IP externo da interface do gateway de peering.
O recurso de gateway de VPN externa criado precisa ser semelhante ao exemplo a seguir, em que
PEER_GW_IP_0
mostra os endereços IP externos reais da interface de gateway de par:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 peer-gw PEER_GW_IP_0
API
Para criar um recurso de gateway de VPN externa, faça uma solicitação POST
usando o método externalVpnGateways.insert
.
- Para um gateway de VPN externa (peering) que tenha uma interface, use o exemplo a seguir, mas especifique apenas um código de interface e um
ipAddress
, comredundancyType
deSINGLE_IP_INTERNALLY_REDUNDANT
. - Para um gateway de VPN externo com duas interfaces ou dois gateways de VPN externos com uma interface cada, use o exemplo
TWO_IPS_REDUNDANCY
abaixo. Para um ou mais gateways de VPN externas com quatro interfaces VPN externas, por exemplo, Amazon Web Services (AWS), use o exemplo a seguir, mas especifique quatro instâncias do código da interface e
ipAddress
e use umaredundancyType
deFOUR_IPS_REDUNDANCY
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways { "name": "my-peer-gateway", "interfaces": [ { "id": 0, "ipAddress": "192.0.2.1" }, { "id": 1, "ipAddress": "192.0.2.2" } ], "redundancyType": "TWO_IPS_REDUNDANCY" }
Criar um Cloud Router
Console
Em Cloud Router, se você ainda não tiver feito isso, crie um Cloud Router especificando as opções a seguir. Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT.
Para criar um novo Cloud Router, especifique o seguinte:
- Um Nome
- Uma Descrição opcional
- Um ASN do Google para o novo roteador
É possível usar qualquer ASN particular (
64512
a65534
,4200000000
a4294967294
) que não estiver usando em outro lugar da rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterar o ASN posteriormente.Para criar o novo roteador, clique em Criar.
gcloud
Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.
Para criar um Cloud Router, execute o seguinte comando:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Substitua:
ROUTER_NAME
: o nome do Cloud Router na mesma região do gateway do Cloud VPN.REGION
: a região do Google Cloud em que você cria o gateway e o túnelNETWORK
: o nome da rede VPC.GOOGLE_ASN
: qualquer ASN particular (64512
a65534
,4200000000
a4294967294
) que você ainda não esteja usando na rede de peering. o ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterá-lo depois.
O roteador criado é semelhante ao exemplo de saída a seguir:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
API
Você pode usar um Cloud Router atual, desde que ele não esteja sendo usado para o Cloud NAT. Caso contrário, crie outro Cloud Router.
Para criar um Cloud Router, faça uma solicitação POST
usando o método routers.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
Criar túneis VPN
Console
Se você configurou o recurso de gateway de VPN de peering com uma interface, na página Criar VPN, configure seu único túnel na caixa de diálogo de túnel de VPN única. Para um SLA de 99,99%, crie um segundo túnel.
Se você configurou o recurso de gateway de VPN do peering com duas ou quatro interfaces, configure as caixas de diálogo associadas que aparecem na parte inferior da página Criar VPN.
Para criar túneis de VPN, siga estas etapas:
- Se aplicável, em Interface do gateway de Cloud VPN associado, selecione a combinação da interface de VPN de alta disponibilidade e do endereço IP que quer associar à interface do gateway de VPN de peering para este túnel.
- Em Interface do gateway de VPN de peering associado, selecione a combinação de interface de gateway de VPN de peering e do endereço IP que você quer associar a este túnel e à interface de VPN de alta disponibilidade. Essa interface precisa corresponder à interface do roteador de peering real.
- Especifique um nome para o túnel.
- Especifique uma descrição opcional.
- Especifique a versão IKE. Recomendamos o IKE v2, a configuração padrão, se seu roteador de mesmo nível for compatível com ele. Para permitir o tráfego IPv6, selecione IKEv2.
- Especifique uma chave IKE pré-compartilhada usando sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel de parceiro que você criar em gateway de par. Se você não tiver configurado uma chave pré-compartilhada no gateway de VPN de peering e quiser gerar uma, clique em Gerar e copiar. Grave a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.
- Clique em Concluído.
- Na página Criar VPN, repita as etapas de criação do túnel para todas as caixas de diálogo de túnel restantes.
- Quando você tiver configurado todos os túneis, clique em Criar e continuar.
gcloud
Crie dois túneis de VPN, um para cada interface no gateway de VPN de alta disponibilidade Ao criar túneis de VPN, especifique o lado de peering dos túneis de VPN como o gateway de VPN externo criado anteriormente. Dependendo do tipo de redundância do gateway de VPN externa, configure os túneis usando uma das duas opções a seguir.
Opção 1: se o gateway de VPN externo for dois dispositivos separados de gateway de VPN de peering ou um único dispositivo com dois endereços IP
Nesse caso, um túnel de VPN precisa se conectar a
interface 0
do gateway da VPN externa, e o outro túnel de VPN precisa se conectar ainterface 1
do gateway da VPN externa.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_1
Substitua:
TUNNEL_NAME_IF0
eTUNNEL_NAME_IF1
: um nome para o túnel; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.PEER_GW_NAME
: um nome do gateway de peering externo criado anteriormente.PEER_EXT_GW_IF0
ePEER_EXT_GW_IF1
: o número da interface configurado anteriormente no gateway de peering externo.IKE_VERS
:1
para IKEv1 ou2
para IKEv2; Se possível, use IKEv2 para a versão IKE. Se o gateway de peering exigir o IKEv1, substitua--ike-version 2
por--ike-version 1
. Para permitir o tráfego IPv6, especifique o IKEv2.SHARED_SECRET
: sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel do parceiro criado no gateway de par; para recomendações, consulte Gerar uma chave pré-compartilhada forteGW_NAME
: o nome do gateway da VPN de alta disponibilidadeINT_NUM_0
: o número0
da primeira interface no gateway de VPN de alta disponibilidade que você criou anteriormente.INT_NUM_1
: o número1
da segunda interface no gateway de VPN de alta disponibilidade que você criou anteriormenteVPN_GATEWAY_REGION
: a região do gateway de VPN de alta disponibilidade para operar. Seu valor precisa ser igual a--region
. Se não for especificada, esta opção será definida automaticamente. Ela substitui o valor padrão da property de região para essa invocação de comando. A sinalização--vpn-gateway-region
é opcional.
A resposta ao comando é semelhante ao exemplo a seguir:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 1
Opção 2: se o gateway de VPN externo for um único gateway de VPN de peering com um único endereço IP externo
Nesse caso, os dois túneis de VPN precisam se conectar a
interface 0
do gateway da VPN externa.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_1
Substitua:
TUNNEL_NAME_IF0
eTUNNEL_NAME_IF1
: um nome para o túnel; nomear os túneis incluindo o nome da interface de gateway pode ajudar a identificar os túneis posteriormente.PEER_GW_NAME
: o nome do gateway de peer externo criado anteriormente.PEER_EXT_GW_IF0
: o número da interface configurado anteriormente no gateway de peering externo.IKE_VERS
:1
para IKEv1 ou2
para IKEv2. Se possível, use IKEv2 para a versão IKE. Se o gateway de peering exigir o IKEv1, substitua--ike-version 2
por--ike-version 1
. Para permitir o tráfego IPv6, especifique o IKEv2.SHARED_SECRET
: sua chave pré-compartilhada (secreta compartilhada), que precisa corresponder à chave pré-compartilhada para o túnel do parceiro criado no gateway de par; para recomendações, consulte Gerar uma chave pré-compartilhada forteINT_NUM_0
: o número0
da primeira interface no gateway de VPN de alta disponibilidade que você criou anteriormente.INT_NUM_1
: o número1
da segunda interface no gateway de VPN de alta disponibilidade que você criou anteriormenteVPN_GATEWAY_REGION
: a região do gateway de VPN de alta disponibilidade para operar. Seu valor precisa ser igual a--region
. Se não for especificada, esta opção será definida automaticamente. Ela substitui o valor padrão da property de região para essa invocação de comando. A sinalização--vpn-gateway-region
é opcional.
A resposta ao comando é semelhante ao exemplo a seguir:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 0
API
Para criar dois túneis de VPN, um para cada interface no gateway de VPN de alta disponibilidade, faça uma solicitação POST
usando o método vpnTunnels.insert
. Para um SLA de 99,99% de tempo de funcionamento, você precisa criar um túnel em cada interface do seu gateway de VPN de alta disponibilidade.
Para criar o primeiro túnel, execute o seguinte comando:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway", "peerExternalGatewayInterface": 0, "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SHARED_SECRET", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Se você planeja ativar o IPv6 na sessão do BGP associada a este túnel, especifique
2
paraikeVersion
.Para criar o segundo túnel, repita este comando, mas altere os seguintes parâmetros:
name
peerExternalGatewayInterface
sharedSecret
ousharedSecretHash
(se necessário)vpnGatewayInterface
: altere para o valor da outra interface de gateway de VPN de alta disponibilidade. Neste exemplo, altere esse valor para1
.
Criar sessões do BGP
Para cada túnel de VPN de alta disponibilidade, é possível criar uma sessão do BGP IPv4, uma sessão IPv6 do BGP ou ambas.
A tabela a seguir lista o tipo de sessão do BGP para a pilha de VPN de alta disponibilidade e o tráfego de rede VPC. Para acessar instruções específicas, selecione qualquer tipo de sessão do BGP.
Tipo de sessão do BGP | Gateway de VPN de alta disponibilidade | Tipo de rede VPC | BGP multiprotocolo (MP-BGP) é permitido? |
---|---|---|---|
Sessões IPv4 do BGP | Somente IPv4 ou pilha dupla | Somente IPv4 ou pilha dupla | sim |
Sessões IPv6 do BGP | pilha dupla | pilha dupla | sim |
Sessões IPv4 e IPv6 do BGP | pilha dupla | pilha dupla | não |
Para configurar uma sessão IPv4 e uma sessão IPv6 do BGP no mesmo túnel ou para ativar o MP-BGP na sessão do BGP de um túnel de VPN de alta disponibilidade, use um gateway de VPN de alta disponibilidade de pilha dupla. No entanto, se você configurar uma sessão IPv4 do BGP e uma sessão IPv6 do BGP no mesmo túnel de VPN de alta disponibilidade, não será possível ativar o MP-BGP em nenhuma das sessões.
Sessões IPv4 do BGP
Console
Para criar sessões do BGP, siga estas etapas:
- Clique em Configurar sessão do BGP.
- Na página Criar sessão do BGP, conclua as seguintes etapas:
- Em Tipo de sessão do BGP, selecione Sessão do BGP IPv4.
- Em Nome, insira um nome para a sessão do BGP.
- Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
- Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
- Para ativar a troca de rotas IPv6, clique no botão de alternância Ativar tráfego IPv6.
Em Alocar endereço IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte: 1. Em Endereço IPv4 do BGP do Cloud Router, insira o endereço IPv4 do BGP do Cloud Router. 1. Em Endereço IPv4 de peering do BGP, insira o endereço IPv4 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos: * Cada endereço IPv4 precisa pertencer à mesma sub-rede
/30
que se encaixa no intervalo de endereços169.254.0.0/16
. * Cada endereço IPv4 do BGP é o primeiro ou o segundo host da sub-rede/30
. O primeiro e o último endereços IP da sub-rede são reservados para endereços de rede e de transmissão. * Cada intervalo de endereços IPv4 para uma sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv4 para sua sessão do BGP.
- Opcional: se você ativou a troca de rotas IPv6 na etapa anterior, por exemplo, em Alocar o próximo salto do IPv6 do BGP, selecione Automaticamente ou
Manualmente. Se você selecionar Manualmente, faça o seguinte:
- Em Próximo salto do IPv6 do BGP do Cloud Router, insira um endereço IPv6 no
intervalo de endereços
2600:2d00:0:2::/63
. Esse é o endereço IP do próximo salto para rotas IPv6 divulgadas pelo Cloud Router. - Em Próximo salto do IPv6 do BGP de peering, insira um endereço IPv6 no
intervalo de endereços
2600:2d00:0:2::/63
. Esse é o endereço IP do próximo salto para rotas IPv6 aprendidas pelo roteador Cloud Router do peering do BGP. - Opcional: expanda a seção Opções avançadas.
- Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
- Para ativar a autenticação MD5, selecione Ativado. Se ativada, a autenticação MD5 será usada para autenticar sessões do BGP. Para mais informações, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
- Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
- Em Próximo salto do IPv6 do BGP do Cloud Router, insira um endereço IPv6 no
intervalo de endereços
- Opcional: se você ativou a troca de rotas IPv6 na etapa anterior, por exemplo, em Alocar o próximo salto do IPv6 do BGP, selecione Automaticamente ou
Manualmente. Se você selecionar Manualmente, faça o seguinte:
Clique em Salvar e continuar.
Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.
Clique em Salvar configuração do BGP.
gcloud
Para criar sessões do BGP, siga estas etapas:
Nos comandos, substitua o seguinte:
ROUTER_INTERFACE_NAME_0
eROUTER_INTERFACE_NAME_1
: um nome para a interface do BGP do Cloud Router; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormenteTUNNEL_NAME_0
eTUNNEL_NAME_1
: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurouIP_VERSION
: especifiqueIPV4
ou deixe sem especificar. Se não for especificado, o padrão seráIPV4
.IP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.AUTHENTICATION_KEY
é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.
Atribuir endereços IPv4 a uma sessão do BGP
Escolha o método de configuração automática ou manual para definir endereços para o BGP. Esses comandos não ativam o IPv6 para o BGP.
Se você quiser ativar o IPv6, execute os comandos listados em Atribuir endereços do próximo salto do IPv6.
Automático
Para permitir que o Google Cloud escolha automaticamente os endereços IP do BGP de link local, siga as etapas abaixo.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Por padrão, se você não especificar uma versão de IP, o comando atribuirá um endereço IPv4 à interface.
A resposta ao comando parece semelhante ao seguinte exemplo:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione a configuração de peering do BGP à interface do primeiro túnel. Substitua
PEER_NAME_0
por um nome para a interface de VPN de peering ePEER_ASN
por o ASN do peering do BGP:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização
--set-custom-learned-route-ranges
. Também é possível usar a sinalização--custom-learned-route-priority
para definir um valor de prioridade entre0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se você quiser usar a autenticação MD5, adicione a sinalização
--md5-authentication-key
. Use este campo para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Adicione um par do BGP à interface do segundo túnel. Substitua
PEER_NAME_1
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway da VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Se você configurou rotas aprendidas no primeiro túnel, configure as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se você quiser usar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer a chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manual
Para alocar manualmente os endereços IPv4 do BGP associados à interface do Cloud Router e ao peering do BGP, conclua as etapas a seguir.
Para cada túnel de VPN, decida um par de endereços IPv4 de link-local
em um bloco /30
do intervalo de endereços 169.254.0.0/16
(um total de quatro sub-redes
/30
, uma por cada VPN de alta disponibilidade).
As sub-redes IPv4 especificadas precisam ser exclusivas
entre todos os Cloud Routers em todas as regiões de uma
rede VPC.
Para cada túnel, atribua um desses endereços IPv4 do BGP ao Cloud Router e o outro endereço IPv4 do BGP ao gateway de VPN de peering. Configure seu dispositivo de VPN de peering para usar o endereço IPv4 de peering do BGP.
Nos comandos a seguir, substitua:
GOOGLE_BGP_IP_0
: o endereço IPv4 do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 0
;PEER_BGP_IP_0
representa o endereço IPv4 do BGP do seu par.GOOGLE_BGP_IP_1
: o endereço IPv4 do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 1
;PEER_BGP_IP_1
representa o endereço IPv4 do BGP do seu par.MASK_LENGTH
:30
O Cloud Router precisa usar uma sub-rede/30
exclusiva do intervalo de endereços IPv4169.254.0.0/16
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_0
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IP_0 \ --mask-length 30 \ --region=REGION
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um par do BGP à interface. Substitua
PEER_NAME_0
por um nome para o par e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de par:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION
Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização
--set-custom-learned-route-ranges
. Também é possível usar a sinalização--custom-learned-route-priority
para definir um valor de prioridade entre0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Se você quiser usar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer a chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma interface ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_1
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IP_1 \ --mask-length 30 \ --region=REGION
Adicione um par do BGP à interface. Substitua
PEER_NAME_1
por um nome para o par e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de par:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IP_1 \ --region=REGION
Se você configurou rotas aprendidas no primeiro túnel, especifique as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=PRIORITY
Opcional: para ativar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Atribuir endereços do próximo salto do IPv6
Use os comandos desta seção somente se quiser túneis VPN que usem MP-BGP e troquem tráfego IPv4 e IPv6. Se você não quiser rotear o tráfego IPv6 por esse túnel ou quiser adicionar uma única sessão IPv6 do BGP a ele mais tarde, use os comandos listados em Atribuir endereços IPv4 do BGP.
Automático
Se você criar uma sessão IPv4 do BGP que use MP-BGP,
o Google Cloud poderá atribuir endereços IPv6 do próximo salto
automaticamente para você.
O Google Cloud atribui endereços não utilizados do
intervalo de endereços IPv6 2600:2d00:0:2::/63
.
Essa configuração não tem relação com
a escolha da configuração automática ou manual para os
endereços IPv4 de peering do Cloud Router e do BGP. Os comandos a seguir usam
a configuração automática. No entanto, também é possível atribuir
endereços IPv4 do BGP IPv4 e de peering usando as sinalizações --ip-address
e
--peer-ip-address
descritas
em Atribuir endereços IPv4 do BGP de dois minutos.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um par do BGP à interface do primeiro túnel. Substitua
PEER_NAME_0
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6
Ao especificar a sinalização
--enable-ipv6
, você ativa a troca de rotas IPv6 nesta sessão IPv4 do BGP, que é necessária para atribuir endereços do próximo salto IPv6. É possível desativar a troca de rotas IPv6 mais tarde. Para mais informações, consulte Configurar o BGP de vários protocolos para sessões IPv4 ou IPv6.A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma nova interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Adicione um par do BGP à interface do segundo túnel. Substitua
PEER_NAME_1
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway da VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6
Manual
Ao criar uma sessão IPv4 do BGP que usa MP-BGP, é possível configurar manualmente os endereços de próximo salto IPv6 para o Cloud Router e o peering do BGP.
Essa configuração não depende da configuração automática ou manual dos endereços IPv4 do Cloud Router e do BGP. Para exemplos sobre como configurar esses endereços manualmente, consulte Atribuir endereços IPv4 do BGP.
Para cada túnel de VPN, escolha um par de endereços de próximo salto do IPv6.
Os próximos endereços IPv6 especificados precisam ser exclusivos
entre todos os Cloud Routers em todas as regiões de uma
rede VPC e selecionados nos intervalo de endereços IPv6 internos
que foram pré-alocados pelo Google: 2600:2d00:0:2::/63
.
Para alocar manualmente os endereços do próximo salto do BGP IPv6, conclua as etapas a seguir.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um peering do BGP à interface para o primeiro túnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Nos comandos, substitua o seguinte:
PEER_NAME_0
com um nome para a interface de VPN de peeringPEER_ASN
pelo ASN configurado para o gateway de VPN de peeringIPV6_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv6 divulgadas pelo Cloud Router. O endereço precisa estar no intervalo de endereços2600:2d00:0:2::/63
.PEER_IPV6_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv62600:2d00:0:2::/63
.
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma nova interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Adicione uma configuração de peering do BGP à segunda interface para o segundo túnel.
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Nos comandos, substitua o seguinte:
PEER_NAME_1
com um nome para a interface de VPN de peeringPEER_ASN
pelo ASN configurado para o gateway de VPN de peeringIPV6_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv6 anunciadas pelo Cloud RouterPEER_IPV6_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv6 aprendidas pelo Cloud Router do peering do BGP
API
Para criar sessões do BGP, siga estas etapas:
Para criar uma interface do Cloud Router, faça uma das seguintes solicitações:
PATCH
: use o métodorouters.patch
UPDATE
: use o métodorouters.update
A solicitação
PATCH
atualiza apenas os parâmetros incluídos, enquanto a solicitaçãoUPDATE
atualiza todos os parâmetros de um Cloud Router.Cada intervalo de endereços do BGP para cada sessão IPv4 do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Repita esta etapa e o comando para cada túnel de VPN no segundo gateway de VPN de alta disponibilidade.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Para adicionar uma configuração de peering do BGP à interface, faça uma das seguintes solicitações:
PATCH
: use o métodorouters.patch
UPDATE
: use o métodorouters.update
Repita esse comando para o outro túnel de VPN, alterando todas as opções, exceto
name
epeerAsn
.Exemplo:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" } ] }
O exemplo a seguir inclui um comando para adicionar um peering do BGP com a troca de rotas IPv6 ativada e os endereços IPv6 do próximo salto configurados manualmente. Se você omitir
ipv6NexthopAddress
epeerIpv6NexthopAddress
, os próximos endereços IPv6 serão atribuídos automaticamente.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress: "2600:2d00:0:2::1" "peerIpv6NexthopAddress: "2600:2d00:0:2::2" } ] }
Se você quiser especificar rotas aprendidas personalizadas para o par, defina os prefixos IP para as rotas. Também é possível definir um valor de prioridade entre
0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress": "2600:2d00:0:2::1", "peerIpv6NexthopAddress": "2600:2d00:0:2::2", "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Para configurar a sessão para autenticação MD5, inclua uma chave de autenticação na solicitação adicionando a chave e o nome da chave. Em seguida, ao criar a sessão de peering do BGP, faça referência a essa chave pelo nome.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessões IPv6 do BGP
Console
Para criar sessões do BGP, siga estas etapas:
- Clique em Configurar sessão do BGP.
Na página Criar sessão do BGP, conclua as seguintes etapas:
- Em Tipo de sessão do BGP, selecione Sessão do BGP IPv6.
- Em Nome, insira um nome para a sessão do BGP.
- Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
- Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
- Opcional: para ativar a troca de rotas IPv4, clique no botão Ativar tráfego IPv4.
Em Alocar endereço IPv6 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
- Em Endereço IPv6 do BGP do Cloud Router, insira o endereço IPv6 do BGP do Cloud Router.
- Em Endereço IPv6 de peering do BGP, insira o endereço IPv6 do peering
do BGP. O endereço IPv6 precisa atender aos seguintes requisitos:
- Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do
intervalo de endereços
fdff:1::/64
com um comprimento de máscara de/64
. Por exemplo,fdff:1::1
. - Cada endereço precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
- Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do
intervalo de endereços
Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv6 para sua sessão do BGP.
Opcional: se você ativou a troca de rotas IPv4 na etapa anterior, em Alocar o próximo salto IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
- No campo Próximo salto do IPv4 do BGP do Cloud Router, insira um endereço IPv4
no intervalo
169.254.0.0/16
. Esse endereço IP é o endereço do próximo salto para rotas IPv4 divulgadas pelo Cloud Router. - No campo Próximo salto do BGP IPv4 de peering, insira um endereço
IP no intervalo de endereços
169.254.0.0/16
. Esse endereço IP é o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router no peering do BGP. - Opcional: expanda a seção Opções avançadas.
- Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
- Para adicionar a autenticação MD5, selecione Ativado. Se ativado, será possível usar a autenticação MD5 para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
- Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
- No campo Próximo salto do IPv4 do BGP do Cloud Router, insira um endereço IPv4
no intervalo
Clique em Salvar e continuar.
Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.
Clique em Salvar configuração do BGP.
gcloud
Para criar sessões do BGP, siga estas etapas:
Nos comandos, substitua o seguinte:
ROUTER_INTERFACE_NAME_0
eROUTER_INTERFACE_NAME_1
: um nome para a interface do BGP do Cloud Router; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormenteTUNNEL_NAME_0
eTUNNEL_NAME_1
: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurouIP_VERSION
:IPV6
. Esse parâmetro só será necessário se você quiser que o Google Cloud atribua o endereço IPv6 automaticamente para essa interface. Se você estiver atribuindo manualmente um endereço IPv6 a essa interface, será possível omitir essa flag.IP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.AUTHENTICATION_KEY
é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.
Opcional: atribuir um intervalo de identificadores do BGP
Quando você adiciona a primeira interface a um Cloud Router, um intervalo do identificador do BGP é atribuído automaticamente ao Cloud Router. Caso prefira definir seu próprio intervalo de identificadores do BGP para um Cloud Router, crie-o. Também será possível modificar esse intervalo mais tarde. Para mais informações, consulte Configurar o intervalo de identificadores do BGP para um Cloud Router.
Atribuir endereços BGP IPv4
Os procedimentos a seguir criam sessões IPv6 do BGP com endereços IPv6 do BGP IPv6 e de peering do BGP configurados de modo automático ou manual.
Se você quiser usar o BGP IPv6 com MP-BGP, execute os comandos listados em Atribuir endereços IPv4 do próximo salto.
Automático
Para permitir que o Google Cloud escolha automaticamente os endereços IPv6 para a sessão do BGP, conclua as etapas a seguir.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um par do BGP à interface do primeiro túnel. Substitua
PEER_NAME_0
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização
--set-custom-learned-route-ranges
. Também é possível usar a sinalização--custom-learned-route-priority
para definir um valor de prioridade entre0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Opcional: se você quiser ativar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma nova interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Adicione um par do BGP à interface do segundo túnel. Substitua
PEER_NAME_1
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway da VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Se você configurou rotas aprendidas no primeiro túnel, configure as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Opcional: se você quiser ativar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manual
Para alocar endereços IPv6 manualmente à sessão do BGP associada à interface do Cloud Router e ao peering do BGP, conclua as etapas a seguir.
Para cada túnel de VPN, escolha um par de endereços IPv6 adequados para a sessão do BGP com base no tipo de sessão do BGP que você está configurando.
Cada endereço IPv6 precisa ser um endereço local exclusivo (ULA, na sigla em inglês) do
intervalo de endereços IPv6 fdff:1::/64
com um comprimento de máscara de /126
ou menos. Por exemplo,
fdff:1::1
.
Cada endereço IPv6 precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Para cada túnel, atribua um desses endereços IPv6 ao Cloud Router e o outro endereço IPv6 ao gateway de VPN de peering. Configure o dispositivo de VPN de peering para usar o endereço IPv6 de peering da sessão do BGP.
Nos comandos a seguir, substitua:
GOOGLE_BGP_IPV6_0
: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 0
.PEER_BGP_IPV6_0
representa o endereço IPv6 do peering do BGP e precisa corresponder à versão IP deGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV6_1
: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 1
.PEER_BGP_IPV6_1
representa o endereço IPv6 do peering do BGP e precisa corresponder à versão IP deGOOGLE_BGP_IPV6_1
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_0
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Substitua
MASK_LENGTH
por um valor de126
ou menos.A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione uma configuração de peering do BGP à interface. substitua PEER_NAME_0
with a name for the peer, and replace
PEER_ASN` pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Se você quiser especificar rotas aprendidas personalizadas para o par, adicione a sinalização
--set-custom-learned-route-ranges
. Também é possível usar a sinalização--custom-learned-route-priority
para definir um valor de prioridade entre0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.Por exemplo, para adicionar rotas aprendidas personalizadas e definir uma prioridade para as rotas, execute o seguinte comando:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Opcional: se você quiser ativar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicionar uma segunda interface ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_1
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Substitua
MASK_LENGTH
por um valor de64
ou menos.Adicione um par do BGP à interface. Substitua
PEER_NAME_1
por um nome para o par e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de par:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Se você configurou rotas aprendidas no primeiro túnel, especifique as mesmas rotas no segundo túnel. Por exemplo, é possível configurar o segundo túnel para funcionar como um backup das rotas. Nesse caso, dê aos trajetos uma prioridade menos preferencial (um número maior). Se você quiser usar os dois túneis juntos como parte de uma rota de vários caminhos de custo igual (ECMP, na sigla em inglês), dê às rotas a mesma prioridade que elas tinham no primeiro túnel. Em ambos os casos, use um comando como este:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=PRIORITY
Opcional: se você quiser ativar a autenticação MD5, use a sinalização
--md5-authentication-key
para fornecer sua chave secreta:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Atribuir endereços do próximo salto do IPv6
Use os comandos desta seção apenas se quiser túneis VPN que usem MP-BGP. Com o MP-BGP, é possível trocar rotas IPv4 em sessões IPv6 do BGP.
Se você não planeja usar MP-BGP na sessão do BGP para o túnel, use os comandos listados em Atribuir endereços IPv6 do BGP.
É possível configurar de forma automática ou manual os endereços IPv4 ou IPv6 do próximo salto do BGP.
Automático
Se você criar uma sessão IPv6 do BGP que usa MP-BGP,
o Google Cloud poderá atribuir endereços IPv4 do próximo salto
automaticamente para você.
O Google Cloud atribui endereços não utilizados do intervalo de endereços169.254.0.0/16
.
Essa configuração não tem relação com
a escolha da configuração automática ou manual para os
endereços IPv6 de peering do Cloud Router e do BGP. Os comandos a seguir usam
a configuração automática. No entanto, também é possível atribuir os endereços IPv6 às interfaces do Cloud Router
e aos pares do BGP usando as sinalizações --ip-address
e
--peer-ip-address
descritas em
Atribuir IP IPv6 do BGP endereços IP.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um par do BGP à interface do primeiro túnel. Substitua
PEER_NAME_0
por um nome para a interface de VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4
A resposta ao comando parece semelhante ao seguinte exemplo:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma nova interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Adicione uma configuração de peering do BGP à segunda interface para o segundo túnel. Substitua
PEER_NAME_1
por um nome para a interface de VPN de peering ePEER_ASN
pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4
Manual
Ao criar sessões IPv6 do BGP que usam MP-BGP, é possível configurar manualmente os endereços IPv4 do próximo salto para o Cloud Router e o peering do BGP.
Essa configuração não tem relação com a escolha da configuração automática ou manual do Cloud Router e dos endereços IPv6 para sessões do BGP. Para exemplos sobre como configurar esses endereços manualmente, consulte Atribuir endereços IPv6 do BGP.
Para cada túnel de VPN, selecione um par de endereços IPv4 do próximo salto
do intervalo de endereços IPv4 link-local 169.254.0.0/16
. Esses endereços IPv4 precisam ser exclusivos em todos os Cloud Routers na rede VPC.
Para alocar manualmente os endereços do próximo salto do BGP IPv4, conclua as etapas a seguir.
Para o primeiro túnel de VPN
Adicione uma interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione um peering do BGP à interface para o primeiro túnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Nos comandos, substitua o seguinte:
PEER_NAME_0
com um nome para a interface de VPN de peeringPEER_ASN
pelo ASN configurado para o gateway de VPN de peeringIPV4_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router. O endereço precisa estar no intervalo169.254.0.0/16
PEER_IPV4_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv6169.254.0.0/16
.
A resposta ao comando é semelhante ao exemplo a seguir:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Para o segundo túnel de VPN
Adicione uma nova interface ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Adicione um peering do BGP à interface para o segundo túnel.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Nos comandos a seguir, substitua:
PEER_NAME_1
com um nome para a interface de VPN de peeringPEER_ASN
pelo ASN configurado para o gateway de VPN de peeringIPV4_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv4 anunciadas pelo Cloud Router. O endereço precisa estar no intervalo169.254.0.0/16
PEER_IPV4_NEXTHOP_ADDRESS
: o endereço do próximo salto para rotas IPv4 aprendidas pelo Cloud Router do peering do BGP. O endereço precisa estar no intervalo de endereços IPv4169.254.0.0/16
.
API
Para criar sessões do BGP, siga estas etapas:
Para criar uma interface do Cloud Router e atribuir a ela um endereço IPv6, faça uma solicitação
PATCH
ouUPDATE
usando o métodorouters.patch
. ou o métodorouters.update
.PATCH
atualiza apenas os parâmetros incluídos.UPDATE
atualiza todos os parâmetros do Cloud Router.O exemplo a seguir cria uma interface com um endereço IPv6 configurado manualmente.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/112" } ] }
Cada intervalo de endereços do BGP para cada sessão IPv6 do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Como outro exemplo, o comando a seguir cria uma interface com um endereço IPv6 atribuído automaticamente.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Repita essa etapa para cada túnel de VPN no gateway de VPN de alta disponibilidade.
Adicione uma configuração de peering do BGP a um Cloud Router para um túnel VPN, torne um
PATCH
ouUPDATE
solicitação usando o métodorouters.patch
método ou norouters.update
método de dois minutos. Repita esse comando para o outro túnel de VPN, alterando todas as opções, excetoname
epeerAsn
.Exemplo:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
O exemplo a seguir inclui um comando para adicionar um peering do BGP para a interface IPv6 do BGP com a troca de rotas IPv4 ativada e os endereços IPv4 do próximo salto IPv4 configurados manualmente. Se você omitir
ipv4NexthopAddress
epeerIpv4NexthopAddress
, os próximos endereços IPv4 serão atribuídos automaticamente.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" } ] }
Se você quiser especificar rotas aprendidas personalizadas para o par, defina os prefixos IP para as rotas. Também é possível definir um valor de prioridade entre
0
e65535
(incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Para mais informações, consulte Rotas aprendidas personalizadas.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Se você quiser configurar a sessão para usar a autenticação MD5, a solicitação deve incluir uma chave de autenticação, o que significa que é necessário fornecer a chave e um nome para a chave. Ele também precisa fazer referência à chave por nome ao criar a sessão de peering do BGP. Exemplo:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
Sessões IPv4 do BGP e IPv6 do BGP
Use as etapas a seguir para criar uma sessão IPv4 do BGP e uma sessão IPv6 do BGP que são executadas em paralelo no mesmo túnel de VPN de alta disponibilidade.
Para criar essa configuração, adicione duas interfaces do BGP e dois pares do BGP ao Cloud Router, vinculando-os ao mesmo túnel de VPN. Não é possível usar MP-BGP em nenhuma das sessões do BGP.
Console
Para criar sessões IPv4 e IPv6 do BGP, siga estas etapas:
- Clique em Configurar sessão do BGP.
Na página Criar sessão do BGP, conclua as seguintes etapas:
- Em Tipo de sessão do BGP, selecione Ambos.
Sessão do BGP IPv4
- Em Nome, insira um nome para a sessão do BGP.
- Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
- Em Alocar endereço IPv4 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
- Em Endereço IPv4 do BGP do Cloud Router, insira o endereço IPv4 do BGP do Cloud Router.
Em Endereço IPv4 de peering do BGP, insira o endereço IPv4 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos:
- Cada endereço IPv4 precisa pertencer à mesma sub-rede
/30
que se encaixa no intervalo de endereços169.254.0.0/16
. - Cada endereço IPv4 do BGP é o primeiro ou o segundo host da sub-rede
/30
. O primeiro e o último endereços IP da sub-rede são reservados para endereços de rede e de transmissão. - Cada intervalo de endereços IPv4 para uma sessão do BGP precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv4 para sua sessão do BGP.
Se você selecionar a atribuição automática de endereços IPv6, o Google Cloud selecionará automaticamente os endereços IPv6 para sua sessão do BGP.
- Cada endereço IPv4 precisa pertencer à mesma sub-rede
Opcional: expanda a seção Opções avançadas.
Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
Para adicionar a autenticação MD5, selecione Ativado. Se ativado, será possível usar a autenticação MD5 para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, insira uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
Clique em Salvar e continuar.
Sessão do BGP IPv6
- Em Nome, insira um nome para a sessão do BGP.
- Em ASN de peering, insira o ASN de peering configurado para o gateway de VPN de peering.
- Opcional: em Prioridade de rota anunciada (MED, na sigla em inglês), insira a prioridade das rotas anunciadas para esse peering do BGP.
- Em Alocar endereço IPv6 do BGP, selecione Automaticamente ou Manualmente. Se você selecionar Manualmente, faça o seguinte:
- Em Endereço IPv6 do BGP do Cloud Router, insira o endereço IPv6 do BGP do Cloud Router.
Em Endereço IPv6 de peering do BGP, insira o endereço IPv6 do peering do BGP. O endereço IPv4 precisa atender aos seguintes requisitos:
- Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do intervalo de endereços
fdff:1::/64
com um comprimento de máscara de/64
. Por exemplo,fdff:1::1
. - Cada endereço precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Se você selecionar Automaticamente, o Google Cloud vai selecionar automaticamente os endereços IPv6 para sua sessão do BGP.
- Cada endereço precisa ser local exclusivo (ULA, na sigla em inglês) do intervalo de endereços
Opcional: expanda a seção Opções avançadas.
Para ativar o peering do BGP, selecione Ativado. Se ativada, a conexão de peering é estabelecida com informações de roteamento. Para mais informações, consulte Como estabelecer sessões do BGP.
Para ativar a autenticação MD5, selecione Ativado. Se ativada, a autenticação MD5 será usada para autenticar sessões do BGP entre o Cloud Router e seus pares. Para saber mais, consulte Usar a autenticação MD5. Também é possível ativar a autenticação MD5 posteriormente.
Para adicionar rotas de saída à sessão do BGP, em Prioridade de todas as rotas aprendidas personalizadas, digite uma prioridade de rota aprendida personalizada. Para mais informações, consulte Rotas aprendidas personalizadas.
Clique em Salvar e continuar.
Repita as etapas anteriores para o restante dos túneis configurados no gateway. Para cada túnel, use um endereço IP do BGP do Cloud Router e um endereço IP de peering do BGP diferentes.
Clique em Salvar configuração do BGP.
gcloud
Para criar sessões do BGP, siga estas etapas:
Nos comandos, substitua o seguinte:
ROUTER_INTERFACE_NAME_0_ipv4
eROUTER_INTERFACE_NAME_0_ipv6
: nomes do primeiro par de interfaces do BGP do Cloud Router que compartilham o mesmo túnel; pode ser útil usar nomes relacionados aos nomes de túnel configurados anteriormenteROUTER_INTERFACE_NAME_1_ipv4
,ROUTER_INTERFACE_NAME_1_ipv6
: nomes do segundo conjunto de interfaces do BGP do Cloud RouterTUNNEL_NAME_0
eTUNNEL_NAME_1
: o túnel associado à interface de gateway de VPN de alta disponibilidade que você configurouIP_PREFIXES
eCUSTOM_ROUTE_PRIORITY
: valores que permitem especificar manualmente as rotas aprendidas para uma sessão do BGP. Para mais informações sobre esse recurso, consulte Rotas aprendidas personalizadas.AUTHENTICATION_KEY
é a chave secreta que deve ser usada para a autenticação MD5. Para saber mais sobre esse recurso opcional, consulte Usar a autenticação MD5.Além disso, é possível configurar automática ou manualmente os endereços IPv4 e IPv6 para as interfaces do Cloud Router e os peerings do BGP.
Opcional: atribuir um intervalo de identificadores do BGP
Quando você adiciona a primeira interface com um endereço IPv6 a um Cloud Router, um intervalo do identificador do BGP é atribuído automaticamente a ele. Caso prefira definir seu próprio intervalo do identificador do BGP para um Cloud Router, crie seu próprio intervalo. Também será possível modificar esse intervalo mais tarde. Para mais informações, consulte Configurar o intervalo de identificadores do BGP para um Cloud Router.
Automático
Para permitir que o Google Cloud escolha automaticamente os endereços do BGP, conclua as etapas a seguir.
Para o primeiro túnel de VPN
Adicione uma interface com um endereço IPv4 ao Cloud Router.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION --ip-version=IPV4
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione uma segunda interface com um endereço IPv6 ao mesmo túnel. Execute este comando:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicione uma configuração de peering do BGP à primeira interface com o endereço IPv4 daprimeiro túnel ; substituir
PEER_NAME_0_ipv4
por um nome para a interface da VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --region=REGION
Adicione uma configuração de peering do BGP à segunda interface com o endereço IPv6 para o primeiro túnel, substitua
PEER_NAME_0_ipv6
por um nome para a interface da VPN de peering e substituaPEER_ASN
pelo ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --region=REGION
Na maioria dos casos, o
PEER_ASN
é o mesmo, mas pode ser diferente dependendo da topologia de rede local.
Para o segundo túnel de VPN
Adicione uma interface com um endereço IPv4 ao Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION --ip-version=IPV4
Adicione uma interface com um endereço IPv6 ao mesmo túnel. Execute este comando:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Adicione uma configuração de peering do BGP à primeira interface com o endereço IPv4 dasegundo túnel ; substituir
PEER_NAME_1_ipv4
por um nome para a interface de VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --region=REGION
Adicione uma configuração de peering do BGP à segunda interface com o endereço IPv6 para osegundo túnel ; substituir
PEER_NAME_1_ipv6
por um nome para a interface da VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --region=REGION
Na maioria dos casos, o
PEER_ASN
é o mesmo, mas pode ser diferente dependendo da topologia de rede local.
Manual
Para alocar manualmente os endereços IPv4 e IPv6 associados às interfaces do Cloud Router e aos peerings do BGP, conclua as etapas a seguir.
Para cada túnel de VPN, escolha um par de endereços BGP apropriados com base no tipo de sessão do BGP que você está configurando. Selecione quatro endereços IP no total para cada tipo de sessão.
- Para as sessões IPv4 do BGP, os quatro endereços IPv4 precisam
ser endereços IPv4 link-local em um bloco
/30
do intervalo169.254.0.0/16
. Por exemplo,169.254.0.1/30
. - Para as sessões IPv6 do BGP, os quatro endereços IPv6 precisam
ser endereços locais exclusivos (ULA, na sigla em inglês) do intervalo
fdff:1::/64
com um duração de/126
ou menos. Por exemplo,fdff:1:1:1::/112
.
Os endereços do BGP especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Para cada túnel, atribua os endereços IPv6 do BGP ao Cloud Router. Configure o dispositivo de VPN de peering para usar os endereços IPv6 de peering do BGP.
Nos comandos a seguir, substitua:
GOOGLE_BGP_IPV4_0
: o endereço IPv4 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 0
.PEER_BGP_IPV4_0
representa o endereço IPv4 do peering do BGP, corresponde aGOOGLE_BGP_IPV4_0
GOOGLE_BGP_IPV6_0
: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 0
.PEER_BGP_IPV6_0
representa o endereço IPv6 do peering do BGP. corresponde aGOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV4_1
: o endereço IPv4 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 1
.PEER_BGP_IPV4_1
representa o endereço IPv4 do peering do BGP, corresponde aGOOGLE_BGP_IPV4_1
GOOGLE_BGP_IPV6_1
: o endereço IPv6 da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 1
.PEER_BGP_IPV6_1
representa o endereço IPv6 do peering do BGP. corresponde aGOOGLE_BGP_IPV6_1
Para o primeiro túnel de VPN
Adicione uma interface com um endereço IPv4 ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_0_ipv4
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV4_0 \ --mask-length 30 \ --region=REGION
A resposta ao comando é semelhante ao exemplo a seguir:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Adicionar uma interface com um endereço IPv6 ao mesmo túnel Substitua
ROUTER_INTERFACE_NAME_0_ipv6
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Substitua
MASK_LENGTH
por um valor de64
ou menos.Adicione uma configuração de peering do BGP à primeira interface daprimeiro túnel ; substituir
PEER_NAME_0_ipv4
por um nome para a interface de VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_0 \ --region=REGION
Adicione uma configuração de peering do BGP à segunda interface doprimeiro túnel ; substituir
PEER_NAME_0_ipv6
por um nome para a interface de VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.
Para o segundo túnel de VPN
Adicione uma interface com um endereço IPv4 ao Cloud Router. Substitua
ROUTER_INTERFACE_NAME_1_ipv4
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV4_1 \ --mask-length MASK_LENGTH \ --region=REGION
Adicionar uma interface com um endereço IPv6 ao mesmo túnel Substitua
ROUTER_INTERFACE_NAME_1_ipv6
por um nome para a interface:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Substitua
MASK_LENGTH
por um valor de64
ou menos.Adicione uma configuração de peering do BGP à primeira interface para o segundo túnel. Substitua
PEER_NAME_1_ipv4
por um nome para o peering e substituaPEER_ASN
pelo ASN configurado para o gateway da VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_1 \ --region=REGION
Adicione uma configuração de peering do BGP à segunda interface dosegundo túnel ; substituir
PEER_NAME_1_ipv6
por um nome para a interface de VPN de peering e substituaPEER_ASN
com o ASN configurado para o gateway de VPN de peering:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Na maioria dos casos, o PEER_ASN é o mesmo, mas pode ser diferente dependendo da topologia de rede local.
API
Para criar sessões do BGP, siga estas etapas:
Para criar duas interfaces do Cloud Router, faça uma solicitação
PATCH
ouUPDATE
usando o métodorouters.patch
ou arouters.update
.PATCH
atualiza apenas os parâmetros incluídos.UPDATE
atualiza todos os parâmetros do Cloud Router.Crie duas interfaces do Cloud Router para o primeiro túnel de VPN no gateway de VPN de alta disponibilidade. Você cria uma interface com um endereço IPv4 e uma interface com um endereço IPv6. É possível configurar as interfaces e os pares do BGP na mesma solicitação
PATCH
ouUPDATE
. As interfaces são associadas ao mesmo túnellinkedVpnTunnel
, e os pares do BGP são associados a elas.Os intervalos de endereços do BGP para cada interface precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma rede VPC.
Repita esta etapa e o comando para cada túnel de VPN no segundo gateway de VPN de alta disponibilidade.
O exemplo a seguir adiciona uma interface com um endereço IPv4 e outra com um endereço IPv6 ao mesmo
linkedVpnTunnel
. O comando de exemplo especifica manualmente os endereços IPv4 e IPv6 do BGP:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/126" } ] }
O exemplo a seguir adiciona uma interface IPv4 do BGP e uma interface IPv6 BGP ao mesmo
linkedVpnTunnel
com endereços IPv4 e IPv6 BGP atribuídos automaticamente:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Para adicionar os pares do BGP ao Cloud Router para cada túnel de VPN, crie um
PATCH
ouUPDATE
solicitação usando o métodorouters.patch
método ou norouters.update
método de dois minutos. Repita esse comando para os outros túneis de VPN, alterando todas as opções conforme necessário.Exemplo:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6", "ipAddress": fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Verificar a configuração
Console
Para verificar a configuração, acesse a página Resumo e lembrete:
- A seção Resumo desta tela contém informações sobre o gateway de VPN de alta disponibilidade e o perfil de gateway de VPN de peering. Para cada túnel de VPN, é possível ver o status do túnel da VPN, o nome da sessão do BGP, o status da sessão do BGP e o valor MED (prioridade da rota divulgada).
- A seção Lembrete desta tela contém as etapas que você precisa concluir para ter uma conexão VPN totalmente operacional entre o Cloud VPN e a VPN de peering.
- Se você quiser fazer o download de um modelo de configuração para seu dispositivo de VPN de peering, clique em Fazer o download da configuração. Para instruções sobre como selecionar o modelo e ver uma lista de fornecedores compatíveis, consulte Fazer o download de um modelo de configuração de VPN de peering. Também é possível fazer o download do modelo de configuração mais tarde na página Gateways de VPN de peering.
- Depois de analisar as informações desta página, clique em OK.
gcloud
Para verificar a configuração do Cloud Router, siga estas etapas:
Liste os endereços IP do BGP escolhidos pelo Cloud Router. Se você adicionou uma nova interface a um Cloud Router atual, os endereços IPv4 ou IPv6 do BGP para a nova interface poderão estar listados com o número de índice mais alto. Use o endereço IPv4 do BGP ou do BGP IPv6
peerIpAddress
para configurar o gateway de VPN de peering:gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
A saída esperada para um Cloud Router que gerencia dois túneis do Cloud VPN (índice
0
e índice1
) será semelhante ao exemplo a seguir, em que:GOOGLE_BGP_IP_0
representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 0
;PEER_BGP_IP_0
representa o endereço IP do BGP do seu par.GOOGLE_BGP_IP_1
representa o endereço IP do BGP da interface do Cloud Router para o túnel no gateway do Cloud VPNinterface 1
;PEER_BGP_IP_1
representa o endereço IP do BGP do seu par.
result.bgpPeerStatus[0].ipAddress: 169.254.0.1 GOOGLE_BGP_IP_0 result.bgpPeerStatus[0].name: bgp-peer-tunnel-a-to-on-prem-if-0 result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 PEER_BGP_IP_0 result.bgpPeerStatus[1].ipAddress: 169.254.1.1 GOOGLE_BGP_IP_1 result.bgpPeerStatus[1].name: bgp-peer-tunnel-a-to-on-prem-if-1 result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 PEER_BGP_IP_1
É possível também usar o seguinte comando para uma lista completa da configuração do Cloud Router:
gcloud compute routers describe ROUTER_NAME \ --region=REGION
A lista completa vai ser semelhante ao exemplo a seguir:
bgp: advertiseMode: DEFAULT asn: 65001 bgpPeers: - interfaceName: if-tunnel-a-to-on-prem-if-0 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-on-prem-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 - interfaceName: if-tunnel-a-to-on-prem-if-1 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-on-prem-if-1 peerAsn: 65004 peerIpAddress: 169.254.1.2 creationTimestamp: '2018-10-18T11:58:41.704-07:00' id: '4726715617198303502' interfaces: - ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0 name: if-tunnel-a-to-on-prem-if-0 - ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1 name: if-tunnel-a-to-on-prem-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
API
Para verificar a configuração do Cloud Router, crie uma solicitação GET
usando o método routers.getRouterStatus
e use um corpo de solicitação vazio:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Crie outro túnel em um gateway de túnel único.
Console
Para receber um SLA com 99,99% de tempo de atividade, configure um túnel em cada interface de VPN de alta disponibilidade de um gateway de VPN de alta disponibilidade.
Configure um segundo túnel nas seguintes circunstâncias:
- Se você configurou um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que tem uma interface de VPN de peering única.
- Se você configurou um único túnel em um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que contém qualquer número de interfaces, mas quer um SLA de 99,99% de tempo de atividade para seu gateway de VPN de alta disponibilidade.
Para configurar um segundo túnel, siga as etapas descritas em Adicionar um túnel de um gateway de VPN de alta disponibilidade a um gateway de VPN de peering.
Definir a prioridade de rota divulgada básica (opcional)
As sessões do BGP que você cria permitem que cada Cloud Router divulgue rotas para redes de mesmo nível. Os divulgações usam prioridades de base inalteradas.
Use a configuração documentada em Como criar um gateway de VPN de alta disponibilidade e um par de túnel para uma VPN de peering em configurações de roteamento ativas/ativas, em que as prioridades de rota anunciadas{101. }dos dois túneis de VPN do Google Cloud e da correspondência do par. Para configurar as mesmas prioridades de rota divulgada do Google Cloud para os dois pares do BGP, omita a prioridade de rota anunciada no Google Cloud.
Para criar uma configuração ativa/passiva, configure prioridades de rota anunciadas desigual para os dois túneis de VPN de alta disponibilidade. Uma prioridade de rota precisa ser maior que a outra. Exemplo:
- BGP session1/tunnel1, route priority =
10
- BGP session1/tunnel1, route priority =
20
Para mais informações sobre a prioridade de rota divulgada básica, consulte Prefixos e prioridades anunciados.
Você também pode especificar quais rotas são anunciadas usando divulgações personalizadas:
- Adicione as sinalizações
--advertisement-mode=CUSTOM
(gcloud
) ouadvertiseMode: custom
(API). - Especifique intervalos de endereços IP com a sinalização
--set-advertisement-ranges
(gcloud
) ou a sinalizaçãoadvertisedIpRanges
(API).
Concluir a configuração
Antes de usar um novo gateway do Cloud VPN e os túneis de VPN associados, conclua as seguintes etapas:
- Configure o gateway de VPN de peering e configure o túnel ou os túneis correspondentes. Para ver instruções, consulte os links a seguir:
- Para ver orientações específicas sobre configuração para determinados dispositivos de VPN de peering, consulte Usar VPNs de terceiros.
- Para topologias de peering compatíveis, consulte Topologias de Cloud VPN.
- Para parâmetros gerais de configuração, consulte Como configurar o gateway de VPN de peering.
- Configure regras de firewallno Google Cloud e na rede de peering, conforme necessário.
- Verifique o status dos túneis de VPN. Observação: esta etapa inclui a verificação da configuração de alta disponibilidade do seu gateway de VPN de alta disponibilidade.
A seguir
- Para controlar quais endereços IP são permitidos para gateways de VPN de peering, consulte Restringir endereços IP para gateways de VPN de peering.
- Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.