Esta página foi traduzida pela API Cloud Translation.

Crie um gateway de VPN clássica com encaminhamento estático

Esta página descreve como usar o encaminhamento estático para criar um gateway de VPN clássica e um túnel. Este túnel é um túnel baseado em políticas ou em rotas.

Com a VPN baseada em rotas, especifica apenas o seletor de tráfego remoto. Se precisar de especificar um seletor de tráfego local, crie um túnel de VPN na nuvem que use o encaminhamento baseado em políticas.

A VPN clássica não suporta IPv6.

Para mais informações sobre a Cloud VPN, consulte os seguintes recursos:

Para ver as práticas recomendadas a considerar antes de configurar o Cloud VPN, consulte o artigo Práticas recomendadas.
Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.
Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Opções de encaminhamento

Quando usa a Google Cloud consola para criar um túnel baseado em políticas, a VPN clássica realiza as seguintes tarefas:

Define o seletor de tráfego local do túnel para o intervalo de IP que especificar.
Define o seletor de tráfego remoto do túnel para os intervalos de IP que especificar no campo Intervalos de IP da rede remota.
Para cada intervalo em Intervalos de IPs de rede remota, Google Cloud cria uma rota estática personalizada cujo destino (prefixo) é o CIDR do intervalo e cujo próximo salto é o túnel.

Depois de criar um túnel de VPN clássico baseado em políticas, os intervalos de IP que introduziu no campo Intervalos de IP da rede remota são apresentados como Intervalos de IP anunciados na página de detalhes do túnel de VPN.

Quando usa a Google Cloud consola para criar um túnel baseado em rotas, a VPN clássica realiza as seguintes tarefas:

Define os seletores de tráfego locais e remotos do túnel para qualquer endereço IP (0.0.0.0/0).
Para cada intervalo em Intervalos de IP da rede remota, Google Cloud cria uma rota estática personalizada cujo destino (prefixo) é o CIDR do intervalo e cujo salto seguinte é o túnel.

Quando usa a CLI do Google Cloud para criar um túnel baseado em políticas ou um túnel baseado em rotas, os seletores de tráfego para o túnel são definidos da mesma forma. No entanto, como a criação de rotas estáticas personalizadas é feita com comandos separados, tem mais controlo sobre essas rotas.

O número de CIDRs que pode especificar num seletor de tráfego depende da versão do IKE.

Para ver informações de contexto importantes, consulte o seguinte:

Antes de começar

Configure os seguintes itens Google Cloud para facilitar a configuração da VPN na nuvem:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Se estiver a usar a CLI do Google Cloud, defina o ID do projeto com o seguinte comando: As instruções gcloudnesta página pressupõem que definiu o ID do projeto antes de emitir comandos.
```
    gcloud config set project PROJECT_ID
    
```

Também pode ver um ID do projeto que já foi definido executando o seguinte comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Funções

roles/compute.networkAdmin

Crie uma rede VPC e uma sub-rede personalizadas

Antes de criar um gateway e um túnel de VPN clássica, crie uma rede de nuvem virtual privada (VPC) e, pelo menos, uma sub-rede na Google Cloud região onde o gateway de VPN clássica está localizado.

Para criar uma rede VPC no modo personalizado (recomendado), consulte o artigo Crie uma rede VPC no modo personalizado.
Para criar sub-redes, consulte o artigo Trabalhar com sub-redes.

Crie um gateway e um túnel

Consola

Configure o gateway

Na Google Cloud consola, aceda à página VPN.

Aceda à VPN
Se estiver a criar um gateway pela primeira vez, clique em Criar ligação VPN.
Selecione o assistente de configuração da VPN.
Selecione o botão de opção VPN clássica.
Clique em Continuar.
Na página Criar uma ligação VPN, especifique as seguintes definições do gateway:
- Nome: o nome do gateway de VPN. Não é possível alterar o nome posteriormente.
- Descrição: opcionalmente, adicione uma descrição.
- Rede: especifique uma rede de VPC existente na qual criar o gateway de VPN e o túnel.
- Região: os gateways e os túneis da Cloud VPN são objetos regionais. Escolha uma Google Cloud região onde o gateway vai estar localizado. As instâncias e outros recursos em diferentes regiões podem usar o túnel para tráfego de saída, sujeito à ordem das rotas. Para o melhor desempenho, localize o gateway e o túnel na mesma região que os recursos Google Cloud relevantes.
- Endereço IP: crie ou escolha um endereço IP externo regional existente.

Configure túneis

Para o novo túnel, na secção Túneis, especifique as seguintes definições:
- Nome: o nome do túnel de VPN. Não é possível alterar o nome posteriormente.
- Descrição: opcionalmente, escreva uma descrição.
- Endereço IP do par remoto: especifique o endereço IP externo do gateway de VPN do par.
- Versão IKE: escolha a versão IKE adequada suportada pelo gateway de VPN de intercâmbio. O IKEv2 é preferível se for suportado pelo dispositivo de par.
  Problema conhecido: quando configurar túneis de VPN para a AWS, use o protocolo de encriptação IKEv2 e selecione menos conjuntos de transformações no lado da AWS. Caso contrário, o túnel de VPN do Google Cloud pode não conseguir alterar a chave. Por exemplo, selecione uma combinação de algoritmos de encriptação de fase 1 e fase 2, algoritmos de integridade e números de grupos DH.
  
  Este problema de nova geração de chaves é causado por um tamanho de carga útil da associação de segurança (SA) grande para o conjunto predefinido de conjuntos de transformação da AWS. Este tamanho de carga útil grande resulta na fragmentação de IP de pacotes IKE no lado da AWS, que a VPN Cloud não suporta.
- Chave pré-partilhada IKE: indique uma chave pré-partilhada (segredo partilhado) usada para autenticação. A chave pré-partilhada para o túnel da Cloud VPN tem de corresponder à usada quando configura o túnel correspondente no gateway de VPN de pares. Para gerar uma chave pré-partilhada criptograficamente forte, siga as instruções em Gere uma chave pré-partilhada forte.
Para túneis baseados em políticas
1. Em Opções de encaminhamento, selecione Com base em políticas.
2. Em Intervalos de IP de rede remota, indique uma lista separada por espaços dos intervalos de IP usados pela rede de pares. Este é o seletor de tráfego remoto ou o lado direito na perspetiva do Cloud VPN.
  
  Depois de criar um túnel de VPN clássico baseado em políticas, os intervalos de IP que introduziu no campo Intervalos de IP da rede remota aparecem como Intervalos de IP anunciados na página de detalhes do túnel de VPN.
3. Em Intervalos de IP locais, selecione um dos seguintes métodos:
  - Para escolher um intervalo de IPs locais existente, use o menu Sub-redes locais.
  - Para introduzir uma lista de intervalos de IP separados por espaços usados na sua rede VPC, use o campo Intervalos de IP locais. Para ver considerações importantes, consulte o artigo Túneis baseados em políticas e seletores de tráfego.
Para túneis baseados em rotas
1. Em Opções de planeamento de trajeto, selecione Com base no trajeto.
2. Em Intervalos de IP de rede remota, indique uma lista separada por espaços dos intervalos de IP usados pela rede de pares. Estes intervalos são usados para criar rotas estáticas personalizadas cujo próximo salto é este túnel VPN.
Se precisar de criar mais túneis no mesmo gateway, clique em Adicionar túnel e repita o passo anterior. Também pode adicionar mais túneis mais tarde.
Clique em Criar.

gcloud

Para criar um gateway de VPN do Google Cloud, conclua a sequência de comandos seguinte. Nos comandos, substitua o seguinte:

PROJECT_ID: o ID do seu projeto
NETWORK: o nome da sua Google Cloud rede
REGION: a Google Cloud região onde cria o gateway e o túnel
GW_NAME: o nome do gateway
GW_IP_NAME: um nome para o endereço IP externo usado pelo gateway
Opcional: --target-vpn-gateway-region é a região em que o gateway de VPN clássica vai operar. O valor deve ser igual a --region. Se não for especificado, esta opção é definida automaticamente. Esta opção substitui o valor da propriedade de computação/região predefinido para esta invocação de comando.

Configure os recursos do gateway

Crie o objeto do gateway de VPN de destino:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Reserve um endereço IP externo (estático) regional:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Tome nota do endereço IP (para o poder usar quando configurar o gateway de VPN de pares):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Crie três regras de encaminhamento. Estas regras indicam ao Google Cloud para enviar tráfego ESP (IPsec), UDP 500 e UDP 4500 para o gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crie o túnel do Cloud VPN

Nos comandos, substitua o seguinte:
- TUNNEL_NAME: um nome para o túnel
- ON_PREM_IP: o endereço IP externo do gateway de VPN de pares
- IKE_VERS: 1 para IKEv1 ou 2 para IKEv2
  Problema conhecido: ao configurar túneis de VPN para a AWS, use o protocolo de encriptação IKEv2 e selecione menos conjuntos de transformações no lado da AWS; caso contrário, o túnel de VPN do Google Cloud pode não conseguir alterar as chaves. Por exemplo, selecione uma combinação de algoritmos de encriptação de fase 1 e fase 2, algoritmos de integridade e números de grupos DH.
  
  Este problema de nova introdução de chaves é causado por um tamanho de carga útil de SA grande para o conjunto predefinido de conjuntos de transformações da AWS. Este tamanho de carga útil grande resulta na fragmentação de IP de pacotes IKE no lado da AWS, que a VPN Cloud não suporta.
- SHARED_SECRET: a sua chave pré-partilhada (segredo partilhado). A chave pré-partilhada para o túnel da Cloud VPN tem de corresponder à usada quando configura o túnel correspondente no gateway de VPN de pares. Para gerar uma chave pré-partilhada criptograficamente forte, siga as instruções em Gere uma chave pré-partilhada forte.
- PH1_ENCRYPT_ALGRTHS: uma lista separada por vírgulas de algoritmos de encriptação suportados para negociações de associação de segurança (SA) IKE de fase 1. Pode listar os algoritmos por ordem de preferência.
- PH1_INTEGRITY_ALGRTHS: uma lista separada por vírgulas de algoritmos de integridade suportados para negociações de SA IKE da fase 1. Pode listar os algoritmos por ordem de preferência.
- PH1_PRF_ALGRTHS: uma lista separada por vírgulas de algoritmos de função pseudorrandómica (PRF) suportados para negociações de SA IKE de fase 1. Pode listar os algoritmos por ordem de preferência.
- PH1_DH_GROUP: uma lista separada por vírgulas de algoritmos de Diffie-Hellman (DH) suportados para negociações de SA IKE da fase 1. Pode listar os algoritmos por ordem de preferência.
- PH2_ENCRYPT_ALGRTHS: uma lista separada por vírgulas de algoritmos de encriptação suportados para negociações de SA IKE de fase 2. Pode listar os algoritmos por ordem de preferência.
- PH2_INTEGRITY_ALGRTHS: uma lista separada por vírgulas de algoritmos de integridade suportados para negociações de SA IKE da fase 2. Pode listar os algoritmos por ordem de preferência.
- PH2_PFS_ALGRTHS: uma lista separada por vírgulas de algoritmos PFS suportados para negociações de SA IKE de fase 2. Pode listar os algoritmos por ordem de preferência.
Para a VPN baseada em políticas:
- LOCAL_IP_RANGES: uma lista delimitada por vírgulas dos Google Cloud intervalos de IP. Por exemplo, pode fornecer o bloco CIDR para cada sub-rede numa rede VPC. Este é o lado esquerdo na perspetiva da Cloud VPN.
- REMOTE_IP_RANGES: uma lista delimitada por vírgulas dos intervalos de IP da rede paritária. Este é o lado direito na perspetiva da VPN na nuvem.
Para configurar um túnel de VPN baseado em políticas, execute o seguinte comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Para a VPN baseada em rotas, os seletores de tráfego locais e remotos são 0.0.0.0/0 conforme definido nas opções de encaminhamento e nos seletores de tráfego.

Para configurar um túnel VPN baseado em rotas, execute o seguinte comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Também pode configurar algoritmos de cifra para túneis baseados em políticas e em rotas. Por exemplo, para configurar algoritmos de cifra para um túnel baseado em políticas, execute o seguinte comando:
```
gcloud beta compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
    --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
    --phase1-prf=PH1_PRF_ALGRTHS \
    --phase1-dh=PH1_DH_GROUP \
    --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
    --phase2-integrity=PH2_INTEGRITY_ALGRTHS \
    --phase2-pfs=PH2_PFS_ALGRTHS
```
Para saber mais sobre os algoritmos de cifragem suportados pela VPN na nuvem, consulte o artigo Cifragem IKE suportada.
Crie uma rota estática para cada intervalo de IPs remotos que especificou na opção --remote-traffic-selector no passo anterior. Repita este comando para cada intervalo de IPs remotos. Substitua ROUTE_NAME por um nome exclusivo para a rota e substitua REMOTE_IP_RANGE pelo intervalo de IP remoto adequado.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: o comando gcloud para criar uma rota usa a prioridade predefinida de 1000. Se precisar de criar um trajeto de prioridade mais elevada, use a flag --priority com um número inferior quando criar o trajeto. Não pode alterar a prioridade de uma rota depois de a rota ter sido criada. No entanto, pode eliminar e substituir a rota estática personalizada sem ter de recriar o túnel VPN. Para ver detalhes sobre como funcionam as rotas na sua rede VPC, consulte a Vista geral das rotas e a Ordem das rotas.

Conclua a configuração

Antes de poder usar um novo gateway de VPN do Google Cloud e o respetivo túnel de VPN associado, conclua os seguintes passos:

Configure o gateway de VPN de intercâmbio e configure o túnel correspondente aí. Para ver instruções, consulte o seguinte:
- Para orientações de configuração específicas para determinados dispositivos VPN ponto a ponto, consulte o artigo Use VPNs de terceiros.
- Para parâmetros de configuração gerais, consulte o artigo Configure o gateway de VPN paritário.
Configure regras de firewall no Google Cloud e na sua rede de pares, conforme necessário.
Verifique o estado do túnel VPN e das regras de encaminhamento.
Veja os seus encaminhamentos de VPN acedendo à tabela de encaminhamento do projeto e filtrando por Next hop type:VPN tunnel:

Aceda a Trajetos

O que se segue?

Para controlar que endereços IP são permitidos para gateways de VPNs de pares, consulte o artigo Restrinja os endereços IP para gateways de VPNs de pares.
Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.