创建连接到对等 VPN 网关的高可用性 VPN 网关

本页面介绍如何创建连接到对等 VPN 网关的高可用性 VPN 网关。

高可用性 VPN 网关使用高可用性 VPN API，可提供 99.99% 的 SLA 可用性承诺。此配置使用隧道对，即每个高可用性 VPN 网关接口上设有一个隧道。要获得 SLA 承诺的 99.99% 的高可用性，您必须在两个高可用性 VPN 网关接口上配置 VPN 隧道。

需要为高可用性 VPN 配置以下两个网关组件：

Google Cloud 中的高可用性 VPN 网关。
您的对等 VPN 网关 - 高可用性 VPN 网关所连接的对等网络中的一个或多个物理 VPN 网关设备或软件应用。对等网关可以是本地 VPN 网关，也可以是由其他云服务提供商托管的网关。

在 Google Cloud 中为每个对等网关设备或服务创建一个外部 VPN 网关资源。注意：所有对等网关场景在 Google Cloud 中都由一个外部对等 VPN 资源表示。

如需详细了解 Cloud VPN，请参阅以下资源：

如需查看此拓扑图，请参阅高可用性 VPN 到对等 VPN 网关。
如需了解在设置 Cloud VPN 之前需要考虑的最佳实践，请参阅最佳实践。
如需详细了解 Cloud VPN，请参阅 Cloud VPN 概览。
如需了解本页面中所用术语的定义，请参阅关键术语。

如需部署通过 Cloud Interconnect 实现的高可用性 VPN，请参阅通过 Cloud Interconnect 实现的高可用性 VPN 概览。

使用要求

冗余类型

高可用性 VPN API 包含 REDUNDANCY_TYPE 选项，表示您为外部 VPN 网关资源配置的接口数。

当您配置外部 VPN 网关资源时，gcloud 命令会自动根据您在接口 ID 中提供的接口数推断出以下 REDUNDANCY_TYPE 值：

一个外部 VPN 接口为 SINGLE_IP_INTERNALLY_REDUNDANT。
两个外部 VPN 接口为 TWO_IPS_REDUNDANCY。
四个外部 VPN 接口为 FOUR_IPS_REDUNDANCY。

在配置外部 VPN 网关时，请为指明数目的外部 VPN 接口使用以下接口标识号：

对于一个外部 VPN 接口，请使用值 0。
对于两个外部 VPN 接口，请使用值 0 和 1。
对于四个外部 VPN 接口，请使用值 0、1、2 和 3。

创建高可用性 VPN 到 AWS 的对等网关

在配置连接到 Amazon Web Services (AWS) 的高可用性 VPN 外部 VPN 网关时，您可以使用传输网关或虚拟专用网关。只有传输网关支持等价多路径 (ECMP) 路由。启用后，ECMP 将在活跃隧道中平均分配流量。受支持的拓扑需要两个 AWS 站点到站点 VPN 连接（A 和 B），每个连接有两个外部 IP 地址。此拓扑会在 AWS 中生成 4 个外部 IP 地址：A1、A2、B1 和 B2。

将四个 AWS IP 地址配置为包含 FOUR_IPS_REDUNDANCY 的一个外部高可用性 VPN 网关，其中：

AWS IP 0=A1
AWS IP 1=A2
AWS IP 2=B1
AWS IP 3=B2

使用以下配置在高可用性 VPN 网关上创建四个隧道，以满足 99.99% 的 SLA：

高可用性 VPN interface 0 到 AWS interface 0
高可用性 VPN interface 0 到 AWS interface 1
高可用性 VPN interface 1 到 AWS interface 2
高可用性 VPN interface 1 到 AWS interface 3

通过 AWS 设置高可用性 VPN：

在 Google Cloud 中，在您所需的区域中创建高可用性 VPN 网关和 Cloud Router 路由器。此动作会创建两个外部 IP 地址，每个网关接口一个。记录外部 IP 地址，以供下一步使用。
在 AWS 中，使用以下命令创建两个客户网关：
- 动态路由选项
- Cloud Router 路由器的 Google ASN
- Google Cloud 高可用性 VPN 网关 interfaces 0 和 1 的外部 IP 地址
完成与您所用的 AWS VPN 选项相对应的步骤：
- 传输网关
- 虚拟专用网关
为您创建的两个连接下载 AWS 配置文件。这些文件包含此过程中后续步骤所需的信息，其中包括预共享身份验证密钥、外部隧道 IP 地址，以及内部隧道 IP 地址。
在 Google Cloud 中，执行以下操作：
1. 使用在上一步中下载的文件中的 AWS 外部 IP 地址，创建一个带有四个接口的全新对等 VPN 网关。
2. 在您在第 1 步中创建的高可用性 VPN 网关上创建四个 VPN 隧道。对于每个隧道，请使用下载的 AWS 配置文件中的信息，使用相应的对等 VPN 网关接口和预共享密钥来配置高可用性 VPN 网关接口。
3. 使用下载的 AWS 配置文件中的 BGP IP 地址在 Cloud Router 路由器上配置 BGP 会话。

创建 Cloud Router 路由器

配置新的高可用性 VPN 网关时，您可以创建新的 Cloud Router 路由器，也可以将现有 Cloud Router 路由器与现有 Cloud VPN 隧道或 VLAN 连接搭配使用。但是，由于连接的特定 ASN 要求，您使用的 Cloud Router 路由器必须尚未管理与合作伙伴互连连接关联的 VLAN 连接的 BGP 会话。

准备工作

查看 Google Cloud 中动态路由的工作原理。

确保您的对等 VPN 网关支持边界网关协议 (BGP)。

在 Google Cloud 中设置以下各项，以更轻松地配置 Cloud VPN：

登录您的 Google Cloud 帐号。如果您是 Google Cloud 新手，请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

在 Google Cloud Console 中的项目选择器页面上，选择或创建一个 Google Cloud 项目。

转到“项目选择器”

确保您的 Cloud 项目已启用结算功能。了解如何检查项目是否已启用结算功能。

安装 Google Cloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

在 Google Cloud Console 中的项目选择器页面上，选择或创建一个 Google Cloud 项目。

转到“项目选择器”

确保您的 Cloud 项目已启用结算功能。了解如何检查项目是否已启用结算功能。

安装 Google Cloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

如果您使用的是 Google Cloud CLI，请使用以下命令设置项目 ID。此页面上的 gcloud 说明假设您在发出命令前已设置了项目 ID。
```
    gcloud config set project PROJECT_ID
    
```

您还可以通过运行以下命令来查看已设置的项目 ID：
```
    gcloud config list --format='text(core.project)'
    
```

创建自定义 VPC 网络和子网

创建高可用性 VPN 网关和隧道对之前，在高可用性 VPN 网关所在区域创建一个虚拟私有云 (VPC) 网络和至少一个子网：

如需创建自定义模式 VPC 网络（推荐），请参阅创建自定义模式 VPC 网络。
要创建子网，请参阅使用子网。

如需为高可用性 VPN 网关启用 IPv6，您必须在创建 VPC 时启用 IPv6 内部地址的分配。此外，您必须将子网配置为使用 IPv6 内部地址。

您还必须在子网中的虚拟机上配置 IPv6。

如需创建具有内部 IPv6 地址的自定义模式 VPC 网络，请参阅创建至少具有一个双栈子网的自定义模式 VPC 网络。
如需创建启用 IPv6 的子网，请参阅添加双栈子网。
如需在现有子网中启用 IPv6，请参阅将 IPv4 子网转换为双栈子网。
如需创建启用 IPv6 的虚拟机，请参阅为实例和实例模板配置 IPv6。

VPC 子网必须配置为使用内部 IPv6 地址。使用 gcloud CLI 时，您可以使用 --ipv6-access-type=INTERNAL 标志配置子网。Cloud Router 路由器不会动态通告配置为使用外部 IPv6 地址 (--ipv6-access-type=EXTERNAL) 的子网的路由。

如需了解如何在 VPC 网络和子网中使用内部 IPv6 范围，请参阅内部 IPv6 规范。

本文档中的示例还使用了 VPC 全球动态路由模式，该模式的行为如下：

Cloud Router 路由器的所有实例会将其获知的 to on-premises 路由应用于 VPC 网络的所有子网。
指向 VPC 网络中所有子网的路由会与本地路由器共享。

创建连接到对等 VPN 的高可用性 VPN 网关和隧道对

按照本部分中的说明创建一个高可用性 VPN 网关、对等 VPN 网关资源、一对隧道和 BGP 会话。

执行此任务所需的权限

如需执行此任务，您必须已获得以下权限或 IAM 角色。

权限

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

角色

roles/compute.networkAdmin

创建高可用性 VPN 网关

控制台

VPN 设置向导包括创建高可用性 VPN 网关、对等 VPN 网关资源、隧道和 BGP 会话所需的所有配置步骤。

如要创建高可用性 VPN 网关，请按以下步骤操作：

在 Google Cloud Console 中，转到 VPN 页面。

转到 VPN
如果您是首次创建网关，请点击创建 VPN 连接。
选择 VPN 设置向导。
如果您已有高可用性 VPN 网关，请选择该网关的选项按钮。
点击继续。
指定 VPN 网关名称。
在 VPC 网络下，选择现有网络或默认网络。
选择区域。
为 VPN 网关选择栈类型：IPv4（单栈）或 IPv4 和 IPv6（双栈）。
点击创建并继续。
控制台页面会刷新，刷新后会显示您的网关信息。系统会自动为每个网关接口分配两个外部 IP 地址。请记下您网关配置的详细信息，以供后续配置步骤使用。

gcloud

如需创建高可用性 VPN 网关，请运行以下命令。创建网关后，系统会自动分配两个外部 IPv4 地址，每个地址对应一个网关接口。

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION  \
    --stack-type=IP_STACK

请替换以下内容：

GW_NAME：网关的名称
NETWORK：Google Cloud 网络的名称
REGION：您在其中创建网关和隧道的 Google Cloud 区域
IP_STACK（可选）：要使用的 IP 栈。指定 IPV4_ONLY 或 IPV4_IPV6。如果未指定此标志，则默认栈类型为 IPV4_ONLY。

您创建的网关应类似于以下示例输出。系统已自动为每个网关接口分配了一个外部 IPv4 地址：

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

API

如需为高可用性 VPN 网关创建完整配置，请使用以下部分中的 API 命令。这些部分使用的所有字段值均为示例值。

如需创建高可用性 VPN 网关，请使用 vpnGateways.insert 方法发出 POST 请求：

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

stackType 字段为可选字段。有效值为 IPV4_IPV6 或 IPV4_ONLY。如果未指定 stackType，则默认为 IPV4_ONLY。

创建对等 VPN 网关资源

控制台

对等 VPN 网关资源表示 Google Cloud 中的非 Google Cloud 网关。

如需创建对等 VPN 网关资源，请按以下步骤操作：

在创建 VPN 页面上的对等 VPN 网关下，选择本地或非 Google Cloud。
在对等 VPN 网关名称下，选择现有的对等网关，或点击新建对等 VPN 网关。

如果选择现有网关，Google Cloud 控制台会根据您在现有对等网关上配置的对等接口数来选择要配置的隧道数。

如需创建新的对等网关，请完成以下步骤：
1. 为对等 VPN 网关指定名称。
2. 在对等 VPN 网关接口下，选择 one、two 或 four 个接口，具体取决于您的对等网关所拥有的接口类型。如需查看每种类型的示例，请参阅“拓扑”页面。
3. 在每个对等 VPN 接口的字段中，指定用于该接口的外部 IP 地址。如需了解详情，请参阅配置对等 VPN 网关。
4. 点击创建。

gcloud

创建外部 VPN 网关资源，该资源向 Google Cloud 提供关于您的一个或多个对等 VPN 网关的信息。根据对等 VPN 网关的高可用性建议，您可以为以下不同类型的本地 VPN 网关创建外部 VPN 网关资源：

两个单独的对等 VPN 网关设备，这两个设备互相提供冗余性，并且各自都有自己的外部 IP 地址。
使用两个单独接口的单个对等 VPN 网关，每个接口都有自己的外部 IP 地址。对于这种对等网关，您可以创建具有两个接口的单个外部 VPN 网关。
具有单个外部 IP 地址的单个对等 VPN 网关。

选项 1：为两个单独的对等 VPN 网关设备创建外部 VPN 网关资源

对于此类对等网关，外部 VPN 网关的每个接口都有一个外部 IP 地址，每个地址都来自一个对等 VPN 网关设备。
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
请替换以下内容：
- PEER_GW_NAME：表示对等网关的名称
- PEER_GW_IP_0：对等网关的外部 IP 地址
- PEER_GW_IP_1：另一个对等网关的外部 IP 地址
您创建的外部 VPN 网关资源应如下所示，其中 PEER_GW_IP_0 和 PEER_GW_IP_1 显示对等网关接口的实际外部 IP 地址：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME      INTERFACE0    INTERFACE1
peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
```

选项 2：为具有两个单独接口的单个对等 VPN 网关创建外部 VPN 网关资源

对于此类对等网关，请创建具有两个接口的单个外部 VPN 网关：
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
请替换以下内容：
- PEER_GW_NAME：表示对等网关的名称
- PEER_GW_IP_0：来自对等网关一个接口的外部 IP 地址
- PEER_GW_IP_1：来自对等网关其他接口的外部 IP 地址
您创建的外部 VPN 网关资源应如下所示，其中 PEER_GW_IP_0 和 PEER_GW_IP_1 显示对等网关接口的实际外部 IP 地址：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
```

选项 3：为具有单个外部 IP 地址的单个对等 VPN 网关创建外部 VPN 网关资源

对于此类对等网关，请创建具有一个接口的外部 VPN 网关。
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0
```
请替换以下内容：
- PEER_GW_NAME：表示对等网关的名称
- PEER_GW_IP_0：来自对等网关一个接口的外部 IP 地址
您创建的外部 VPN 网关资源应类似于以下示例，其中 PEER_GW_IP_0 显示对等网关接口的实际外部地址：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME       INTERFACE0
peer-gw    PEER_GW_IP_0
```

API

如需创建外部 VPN 网关资源，请使用 externalVpnGateways.insert 方法发出 POST 请求。

对于具有一个接口的外部（对等）VPN 网关，请使用下面的示例，但只能指定一个接口 ID 和一个 ipAddress，其中 redundancyType 为 SINGLE_IP_INTERNALLY_REDUNDANT。
对于具有两个接口的外部 VPN 网关，或者两个外部 VPN 网关（各自具有一个接口），请使用 TWO_IPS_REDUNDANCY 示例。

对于一个或多个具有四个外部 VPN 接口的外部 VPN 网关；例如，Amazon Web Services (AWS)，请使用下面的示例，但指定 4 个接口 ID 实例和 ipAddress，且 redundancyType 为 FOUR_IPS_REDUNDANCY。

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

创建 Cloud Router 路由器

控制台

在 Cloud Router 路由器下，创建指定以下选项的 Cloud Router 路由器（如果尚未创建）。如果 Cloud Router 路由器尚未管理与“合作伙伴互连”连接关联的 VLAN 连接的 BGP 会话，则可以使用现有的 Cloud Router 路由器。

要创建新的 Cloud Router 路由器，请指定以下内容：
- 名称
- 可选的说明
- 新路由器的 Google ASN
您可以使用未在网络中其他位置使用的任何专用 ASN（64512 至 65534、4200000000 至 4294967294）。Google ASN 用于同一个 Cloud Router 路由器上的所有 BGP 会话，且以后不能更改 ASN。
如需创建新路由器，请点击创建。

gcloud

要创建 Cloud Router 路由器，请运行以下命令：

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

请替换以下内容：

ROUTER_NAME：Cloud VPN 网关所在区域中的 Cloud Router 路由器的名称
REGION：您在其中创建网关和隧道的 Google Cloud 区域
NETWORK：Google Cloud 网络的名称
GOOGLE_ASN：您尚未在对等网络中使用的任何专用 ASN（64512 到 65534，4200000000 到 4294967294）；Google ASN 将用于同一个 Cloud Router 路由器上的所有 BGP 会话，且以后无法更改

您创建的路由器应类似于以下示例输出：

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

如果 Cloud Router 路由器尚未管理与“合作伙伴互连”连接关联的 VLAN 连接的 BGP 会话，则可以使用现有的 Cloud Router 路由器。否则，请创建另一个 Cloud Router 路由器。

如需创建 Cloud Router 路由器，请使用 routers.insert 方法发出 POST 请求：

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

创建 VPN 隧道

控制台

如果您配置了具有一个接口的对等 VPN 网关资源，请在创建 VPN 页面上的单一 VPN 隧道对话框中配置单个隧道。如要享受 SLA 承诺的 99.99% 的可用性，您必须创建第二个隧道。

如果您配置了具有两个或四个接口的对等 VPN 网关资源，请在创建 VPN 页面底部配置相关对话框。

如需创建 VPN 隧道，请按以下步骤操作：

如果适用，请在关联的 Cloud VPN 网关接口下，选择要与此隧道的对等 VPN 网关接口关联的高可用性 VPN 接口和 IP 地址组合。
在关联的对等 VPN 网关接口下，选择要与此隧道以及高可用性 VPN 接口关联的对等 VPN 网关接口和 IP 地址组合。此接口必须与您的实际对等路由器上的接口匹配。
1. 指定隧道的名称。
2. 指定可选的说明。
3. 指定 IKE 版本。如果您的对等路由器支持默认设置 IKE v2，则建议使用。如需允许 IPv6 流量，您必须选择 IKEv2。
4. 使用预共享密钥（共享密钥）指定 IKE 预共享密钥，该密钥必须与您在对等网关上创建的合作伙伴隧道的预共享密钥相对应。如果您尚未在对等 VPN 网关上配置预共享密钥并希望生成预共享密钥，请点击生成并复制。请确保将预共享密钥记录在安全位置，因为在创建 VPN 隧道后将无法检索该密钥。
5. 点击完成。
6. 在创建 VPN 页面上，为其余的隧道对话框重复隧道创建步骤。
配置完所有隧道后，点击创建并继续。

gcloud

创建两个 VPN 隧道，分别用于高可用性 VPN 网关上的每个接口。创建 VPN 隧道时，请将 VPN 隧道的对等端指定为您之前创建的外部 VPN 网关。使用以下两个选项之一配置隧道，具体取决于外部 VPN 网关的冗余类型。

选项 1：如果外部 VPN 网关是两个单独的对等 VPN 网关设备或具有两个 IP 地址的单个设备

在这种情况下，一个 VPN 隧道需要连接到外部 VPN 网关的 interface 0，另一个 VPN 隧道需要连接到外部 VPN 网关的 interface 1。
注意：只有在一个或多个对等 VPN 网关上创建了相应的合作伙伴隧道后，才能使用您创建的 VPN 隧道。
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
请替换以下内容：
- TUNNEL_NAME_IF0 和 TUNNEL_NAME_IF1：隧道的名称；通过添加网关接口名称来为隧道命名有助于以后识别隧道
- PEER_GW_NAME：之前创建的外部对等网关的名称
- PEER_EXT_GW_IF0 和 PEER_EXT_GW_IF1：之前在外部对等网关上配置的接口号
- IKE_VERS：1 用于 IKEv1 或 2 用于 IKEv2；如果可能，对于 IKE 版本，请使用 IKEv2。如果您的对等网关需要 IKEv1，请将 --ike-version 2 替换为 --ike-version 1。如需允许 IPv6 流量，您必须指定 IKEv2。
- SHARED_SECRET：您的预共享密钥（共享密钥），必须与您在对等网关上创建的合作伙伴隧道的预共享密钥相对应；如需查看建议，请参阅生成强预共享密钥
- GW_NAME：高可用性 VPN 网关的名称
- INT_NUM_0：您之前创建的高可用性 VPN 网关上第一个接口的编号 0
- INT_NUM_1：您之前创建的高可用性 VPN 网关上第二个接口的编号 1
- 可选：--vpn-gateway-region 是运行高可用性 VPN 网关的区域。其值应与 --region 相同。如果未指定，则系统会自动设置此选项。该选项会替换此命令调用中的默认计算/区域属性值。
命令输出应类似于以下示例：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
```

选项 2：如果外部 VPN 网关是具有单个外部 IP 地址的单个对等 VPN 网关

在这种情况下，两个 VPN 隧道都需要连接到外部 VPN 网关的 interface 0。

注意：只有在一个或多个对等 VPN 网关上创建了相应的合作伙伴隧道后，才能使用您创建的 VPN 隧道。
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0  \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
请替换以下内容：
- TUNNEL_NAME_IF0 和 TUNNEL_NAME_IF1：隧道的名称；通过添加网关接口名称来为隧道命名有助于以后识别隧道
- PEER_GW_NAME：之前创建的外部对等网关的名称
- PEER_EXT_GW_IF0：之前在外部对等网关上配置的接口号
- 可选：--vpn-gateway-region 是运行高可用性 VPN 网关的区域。其值应与 --region 相同。如果未指定，则系统会自动设置此选项。该选项会替换此命令调用中的默认计算/区域属性值。
- IKE_VERS：IKEv1 为 1 或 IKEv2 为 2。如果可能，对于 IKE 版本，请使用 IKEv2。如果您的对等网关需要 IKEv1，请将 --ike-version 2 替换为 --ike-version 1。如需允许 IPv6 流量，您必须指定 IKEv2。
- SHARED_SECRET：您的预共享密钥（共享密钥），必须与您在对等网关上创建的合作伙伴隧道的预共享密钥相对应；如需查看建议，请参阅生成强预共享密钥
- INT_NUM_0：您之前创建的高可用性 VPN 网关上第一个接口的编号 0
- INT_NUM_1：您之前创建的高可用性 VPN 网关上第二个接口的编号 1
命令输出应类似于以下示例：
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
```

API

如需创建两个 VPN 隧道，分别用于高可用性 VPN 网关上的每个接口，请使用 vpnTunnels.insert 方法发出 POST 请求。为获得 99.99% 的 SLA 正常运行时间承诺，您必须在高可用性 VPN 网关的每个接口上创建隧道。

如需创建第一个隧道，请运行以下命令：

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

如果您计划在与此隧道关联的 BGP 会话中启用 IPv6，则必须为 ikeVersion 指定 2。

如需创建第二个隧道，请重复此命令，但更改以下参数：
- name
- peerExternalGatewayInterface
- sharedSecret 或 sharedSecretHash（如果需要）
- vpnGatewayInterface：更改为其他高可用性 VPN 网关接口的值 - 在此示例中，请将此值更改为 1

创建 BGP 会话

控制台

如要创建 BGP 会话，请按照以下步骤操作：

如果您不想立即配置 BGP 会话，请点击稍后配置 BGP 会话，这将打开摘要和提醒页面。
如果您要立即配置 BGP 会话，请在第一个 VPN 隧道上点击配置。
在创建 BGP 会话页面上，完成以下步骤：
1. 指定 BGP 会话的名称。
2. 指定为对等 VPN 网关配置的对等 ASN。
3. 可选：指定通告路由的优先级。
4. 可选：选中启用 IPv6 复选框以允许通过 BGP 会话交换 IPv6 地址前缀。
5. 指定 Cloud Router BGP IP 地址和 BGP 对等 IP 地址。确保 IP 地址满足以下要求：
  - 每个 BGP IP 地址必须属于适合 169.254.0.0/16 的相同 /30 CIDR。
  - 每个 BGP IP 地址不能是 /30 CIDR 中的第一个（网络）或最后一个（广播）地址。
  - 每个 BGP 会话的每个 BGP IP 地址范围在 VPC 网络的所有区域中的所有 Cloud Router 路由器中必须唯一。
6. 可选：如果您启用了 IPv6，则可以自动或手动分配 IPv6 下一个跃点地址。如需手动分配地址，请执行以下操作：
  1. 选择手动。
  2. 输入 Cloud Router 路由器 IPv6 下一个跃点的 IPv6 地址。此地址是 Cloud Router 路由器通告的 IPv6 路由的下一个跃点地址。该地址必须在 2600:2d00:0:2::/64 或 2600:2d00:0:3::/64 范围内。
  3. 输入对等 IPv6 下一个跃点的 IPv6 地址。此地址是 Cloud Router 从 BGP 对等端获知的 IPv6 路由的下一个跃点地址。该地址必须在 2600:2d00:0:2::/64 或 2600:2d00:0:3::/64 范围内。
7. 可选：对于 MD5 身份验证，选择启用。这样，您就可以对 Cloud Router 路由器及其对等方之间的 BGP 会话进行身份验证。如需了解如何配置 MD5 身份验证，请参阅使用 MD5 身份验证。您也可以选择稍后启用 MD5 身份验证。
8. 可选：点击通告的路由列表，然后创建自定义路由。
9. 点击保存并继续。
针对网关中配置的其余隧道重复上述步骤。对于每个隧道，请使用不同的 Cloud Router BGP IP 地址和 BGP 对等 IP 地址。
配置完所有 BGP 会话后，请点击保存 BGP 配置。

gcloud

如需为之前在高可用性 VPN 网关接口上配置的每个隧道创建 Cloud Router BGP 接口和 BGP 对等方，请按以下步骤操作。

在命令中，替换以下内容：

ROUTER_INTERFACE_NAME_0 和 ROUTER_INTERFACE_NAME_1：Cloud Router BGP 接口的名称；使用与之前配置的隧道名称相关的名称会有所帮助
手动配置：IP_ADDRESS_0 和 IP_ADDRESS_1：您配置的 HA VPN 网关接口的 BGP IP 地址；每个隧道使用不同的网关接口
MASK_LENGTH：30；同一个 Cloud Router 路由器上的每个 BGP 会话都必须使用 169.254.0.0/16 块中的唯一 /30 CIDR
TUNNEL_NAME_0 和 TUNNEL_NAME_1：与您配置的高可用性 VPN 网关接口关联的隧道
AUTHENTICATION_KEY：用于 MD5 身份验证的密钥。如需详细了解此可选功能，请参阅使用 MD5 身份验证。

分配 IPv4 BGP 地址

选择自动或手动配置方法来配置 BGP 接口和 BGP 对等方。这些命令不会为 BGP 启用 IPv6。如果要启用 IPv6，请运行分配 IPv6 下一个跃点地址中列出的命令。

自动

若要让 Google Cloud 自动选择链路本地 BGP IP 地址，请完成以下步骤。

对于第一个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --mask-length=MASK_LENGTH \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

命令输出应类似于以下示例：

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

将 BGP 对等方添加到第一个隧道的接口；将 PEER_NAME_0 替换为对等 VPN 接口的名称，并将 PEER_ASN 替换为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION

如果要使用 MD5 身份验证，请添加 --md5-authentication-key 标志。使用此字段提供您的密钥：

gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION
   --md5-authentication-key=AUTHENTICATION_KEY

命令输出应类似于以下示例：

Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

对于第二个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --mask-length=MASK_LENGTH \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

将 BGP 对等方添加到第二个隧道的接口；将 PEER_NAME_1 替换为对等 VPN 接口的名称，并将 PEER_ASN 替换为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION

如果要使用 MD5 身份验证，请使用 --md5-authentication-key 标志提供您的密钥：

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION
 --md5-authentication-key=AUTHENTICATION_KEY

手动

如需手动分配与 Google Cloud BGP 接口和对等方关联的 IPv4 BGP 地址，请完成以下步骤。

对于每个 VPN 隧道，请确定 169.254.0.0/16 范围（总共 4 个地址）内 /30 块中的一对链路本地 BGP IP 地址。您指定的 BGP IP 地址在 VPC 网络所有区域中的所有 Cloud Router 路由器之间必须唯一。

对于每个隧道，请将其中一个 BGP IP 地址分配给 Cloud Router，将另一个 BGP IP 地址分配给对等 VPN 网关。将对等 VPN 设备配置为使用对等 BGP IP 地址。

在以下命令中，替换以下选项：

GOOGLE_BGP_IP_0：Cloud VPN 网关 interface 0 上隧道的 Cloud Router 路由器接口的 BGP IP 地址；PEER_BGP_IP_0 表示其对等方的 BGP IP 地址
GOOGLE_BGP_IP_1：Cloud VPN 网关 interface 1 上隧道的 Cloud Router 路由器接口的 BGP IP 地址；PEER_BGP_IP_1 表示其对等方的 BGP IP 地址

对于第一个 VPN 隧道

将 BGP 接口添加到 Cloud Router 路由器；将 ROUTER_INTERFACE_NAME_0 替换为接口的名称：

gcloud compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --ip-address=GOOGLE_BGP_IP_0 \
  --mask-length 30 \
  --region=REGION

命令输出应类似于以下示例：

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

将 BGP 对等方添加到接口；将 PEER_NAME_0 替换为对等体的名称，并将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --peer-ip-address=PEER_BGP_IP_0 \
 --region=REGION

如果要使用 MD5 身份验证，请使用 --md5-authentication-key 标志提供您的密钥：

gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_0 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION
  --md5-authentication-key=AUTHENTICATION_KEY

命令输出应类似于以下示例：

Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

对于第二个 VPN 隧道

将 BGP 接口添加到 Cloud Router 路由器；将 ROUTER_INTERFACE_NAME_1 替换为接口的名称：

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IP_1 \
 --mask-length 30 \
 --region=REGION

将 BGP 对等方添加到接口；将 PEER_NAME_1 替换为对等体的名称，并将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --peer-ip-address=PEER_BGP_IP_1 \
 --region=REGION

如果要使用 MD5 身份验证，请使用“--md5-authentication-key”标志提供您的密钥：

gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_1 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION
  --md5-authentication-key=AUTHENTICATION_KEY

分配 IPv6 下一个跃点地址

只有在您需要同时交换 IPv4 和 IPv6 流量的 VPN 隧道时，才应使用本部分中的命令。如果您不打算在隧道的 BGP 会话中启用 IPv6，请使用分配 IPv4 BGP 地址中列出的命令。

如果您启用 IPv6 流量，则可以选择自动或手动配置 BGP 对等端下一个跃点 IPv6 地址。

自动

如果您创建允许 IPv6 流量的 BGP 会话，则 Google Cloud 可以自动为您分配 IPv6 下一个跃点地址。Google Cloud 会分配 2600:2d00:0:2::/64 或 2600:2d00:0:3::/64 范围中未使用的地址。

此配置与您为 Cloud Router 路由器和 BGP 对等 IPv4 地址选择自动配置还是手动配置无关。以下命令使用自动配置。但是，您也可以使用分配 IPv4 BGP 地址中所述的 --ip-address 和 --peer-ip-address 标志来分配 BGP IP 地址。

对于第一个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

命令输出应类似于以下示例：

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

将 BGP 对等方添加到第一个隧道的接口；将 PEER_NAME_0 替换为对等 VPN 接口的名称，并将 PEER_ASN 替换为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION
   --enable-ipv6

命令输出应类似于以下示例：

Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

对于第二个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

将 BGP 对等方添加到第二个隧道的接口；将 PEER_NAME_1 替换为对等 VPN 接口的名称，并将 PEER_ASN 替换为对等 VPN 网关配置的 ASN：

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION
 --enable-ipv6

手动

创建允许 IPv6 流量的 BGP 会话时，您可以为 Cloud Router 路由器和 BGP 对等方手动配置 IPv6 下一个跃点地址。

此配置与您选择 Cloud Router 路由器和 BGP 对等 IPv4 地址的自动配置还是手动配置无关。

对于每个 VPN 隧道，请确定一对 IPv6 下一个跃点地址。您指定的 IPv6 下一个跃点地址在 VPC 网络所有区域中的所有 Cloud Router 路由器之间必须唯一，并且是从 Google 预先分配的内部 IPv6 范围中选择的：2600:2d00:0:2::/64 或 2600:2d00:0:3::/64。

如需手动分配 BGP IPv6 下一个跃点地址，请完成以下步骤。

对于第一个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

命令输出应类似于以下示例：

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

将 BGP 对等方添加到第一个隧道的接口。

在以下命令中，进行以下替换：
- 将 PEER_NAME_0 替换为对等 VPN 接口的名称
- 将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN
- IPV6_NEXTHOP_ADDRESS：Cloud Router 路由器通告的 IPv6 路由的下一个跃点地址；该地址必须在 2600:2d00:0:2::/64 或 2600:2d00:0:3::/64 范围内
- PEER_IPV6_NEXTHOP_ADDRESS：Cloud Router 路由器从 BGP 对等方获知的 IPv6 路由的下一个跃点地址；该地址必须在 2600:2d00:0:2::/64 或 2600:2d00:0:3::/64 范围内

gcloud compute routers add-bgp-peerROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION
    --enable-ipv6
    --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
    --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS

命令输出应类似于以下示例：

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

对于第二个 VPN 隧道

将 BGP 接口添加到 Cloud Router：

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

将 BGP 对等方添加到第二个隧道的接口。

在以下命令中，进行以下替换：
- 将 PEER_NAME_1 替换为对等 VPN 接口的名称
- 将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN
- IPV6_NEXTHOP_ADDRESS：Cloud Router 路由器通告的 IPv6 路由的下一个跃点地址
- PEER_IPV6_NEXTHOP_ADDRESS：Cloud Router 路由器从 BGP 对等方获知的 IPv6 路由的下一个跃点地址

 gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS

API

如需创建 Cloud Router BGP 接口，请使用 routers.patch 方法或 routers.update 方法发出 PATCH 或 UPDATE 请求。PATCH 仅更新您包含的参数。UPDATE 会更新 Cloud Router 的所有参数。

注意：如需了解如何设置通告的路由，请参阅设置通告路由的基准优先级。
为第一个高可用性 VPN 网关上的每个 VPN 隧道创建一个 BGP 接口。对于第二个 BGP 接口，请使用其他 name、linkedVpnTunnel 名称和来自第一个隧道的 ipRange 所在的 /30 子网的 ipRange。每个 BGP 会话的每个 BGP IP 地址范围在 VPC 网络的所有区域中的所有 Cloud Router 路由器中必须唯一。

对于第二个高可用性 VPN 网关上的每个 VPN 隧道，请重复此步骤和命令。
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "169.254.0.1/30"
    }
  ]
}
```

如需为 VPN 隧道的 Cloud Router 路由器添加 BGP 对等方，请使用 routers.insert 方法发出 POST 请求。对于另一个 VPN 隧道，请重复此命令，但更改除 name 和 peerAsn 以外的所有选项。

例如：

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
{
 "name": "router-a",
 "network": "network-a",
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT"
  }
]
}

以下命令通过示例展示了如何添加 BGP 对等方并启用 IPv6 和手动配置 IPv6 下一个跃点地址。如果您省略 ipv6NexthopAddress 和 peerIpv6NexthopAddress，则系统会自动分配 IPv6 下一个跃点地址。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
{
 "name": "router-a",
 "network": "network-a",
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "enableIpv6": "true"
   "ipv6NexthopAddress: "2600:2d00::0:2::1"
   "peerIpv6NexthopAddress: "2600:2d00::0:2::2"
  }
]
}

如果要将会话配置为使用 MD5 身份验证，您的请求必须包含身份验证密钥，这意味着它必须同时提供密钥和密钥名称。创建 BGP 对等互连会话时，它还必须按名称引用密钥。例如：

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "md5AuthenticationKeys": [
  {
   "name": "bgppeer-1-key",
   "key": "secret_key_value"
   }
  ],
}
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": "65002",
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "md5AuthenticationKeyName": "bgppeer-1-key"
  }
]
}

验证配置

控制台

如要验证配置，请转到摘要和提醒页面：

此页面的摘要部分列出了高可用性 VPN 网关和对等 VPN 网关配置文件的信息。对于每个 VPN 隧道，您都可以查看 VPN 隧道状态、BGP 会话名称、BGP 会话状态 以及 MED 值（通告路由的优先级）。
此页面的提醒部分列出了在 Cloud VPN 和对等 VPN 之间建立完全可正常运行的 VPN 连接所需完成的步骤。
如果要为对等 VPN 设备下载配置模板，请点击下载配置。有关如何选择模板和查看受支持的供应商列表的说明，请参阅下载对等 VPN 配置模板。您也可以稍后转到对等 VPN 网关页面下载配置模板。
查看此页面上的信息后，点击确定。

gcloud

如需验证 Cloud Router 路由器配置，请按以下步骤操作：

列出 Cloud Router 路由器选择的 BGP IP 地址。如果您向现有 Cloud Router 路由器添加了新接口，则应使用最高索引编号列出新接口的 BGP IP 地址。使用 BGP IP 地址 peerIpAddress 配置您的对等 VPN 网关：
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
管理两个 Cloud VPN 隧道（索引 0 和索引 1）的 Cloud Router 路由器的预期输出应如下所示，如下所示：
- GOOGLE_BGP_IP_0 表示 Cloud VPN 网关 interface 0 上隧道的 Cloud Router 路由器接口的 BGP IP 地址；PEER_BGP_IP_0 表示其对等方的 BGP IP 地址。
- GOOGLE_BGP_IP_1 表示 Cloud VPN 网关 interface 1 上隧道的 Cloud Router 路由器接口的 BGP IP 地址；PEER_BGP_IP_1 表示其对等方的 BGP IP 地址。
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

您还可以使用以下命令获取 Cloud Router 路由器配置的完整列表：

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

完整列表应如下所示：

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

如需验证 Cloud Router 路由器配置，请使用 routers.getRouterStatus 方法发出 GET 请求，并使用空请求正文：

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

在单个隧道网关上创建其他隧道。

控制台

如需接收 99.99% 的正常运行时间 SLA，请在高可用性 VPN 网关的每个高可用性 VPN 接口上配置隧道。

在以下情况下配置第二个隧道：

如果您已将高可用性 VPN 网关配置为具有单个对等 VPN 接口的对等 VPN 网关。
如果您之前在高可用性 VPN 上为包含任意接口数的对等 VPN 网关设置了单个隧道，但现在想要为高可用性 VPN 网关实现 99.99% 的 SLA 正常运行时间承诺。

如需配置第二个隧道，请按照添加从高可用性 VPN 网关到对等 VPN 网关的隧道中的步骤操作。

设置通告路由的基准优先级（可选）

您创建的 BGP 会话允许每个 Cloud Router 路由器将路由通告到对等网络。通告使用未经修改的基准优先级。

使用创建高可用性 VPN 网关和隧道对到对等 VPN用于主动/主动路由配置，其中来自 Google Cloud 端两个 VPN 隧道的通告路由优先级与对等端匹配。如需配置从 Google Cloud 到两个对等 BGP 的相同通告路由优先级，请省略 Google Cloud 端通告的路由优先级。

如需创建主动/被动配置，请为两个高可用性 VPN 隧道配置不同的通告路由优先级。一个通告路由的优先级必须高于另一个。例如：

BGP 会话 1/隧道 1，路由优先级 = 10
BGP 会话 2/隧道 2，路由优先级 = 20

如需详细了解通告路由的基准优先级，请参阅通告的前缀和优先级。

您还可以使用自定义通告指定要通告的路由：

添加 --advertisement-mode=CUSTOM 标志 (gcloud) 或 advertiseMode: custom 标志 (API)。
使用 --set-advertisement-ranges 标志 (gcloud) 或 advertisedIpRanges 标志 (API) 指定 IP 地址范围。

完成配置

在使用新的 Cloud VPN 网关及其关联的 VPN 隧道之前，请完成以下步骤：

设置对等 VPN 网关并配置其中相应的一个或多个隧道。如需了解相关说明，请参阅以下内容：
- 如需了解某些对等 VPN 设备的特定配置指南，请参阅使用第三方 VPN。
- 如需了解支持的对等拓扑，请参阅 Cloud VPN 拓扑。
- 如需了解常规配置参数，请参阅配置对等 VPN 网关。
根据需要在 Google Cloud 和对等网络中配置防火墙规则。
检查您的 VPN 隧道的状态。注意：此步骤包括检查高可用性 VPN 网关的高可用性配置。

后续步骤

如需控制可用于对等 VPN 网关的 IP 地址，请参阅限制对等 VPN 网关的 IP 地址。
如需使用高可用性和高吞吐量场景或多个子网方案，请参阅高级配置。
如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题，请参阅问题排查。