Halaman ini menjelaskan cara menggunakan pemilihan rute dinamis untuk membuat gateway VPN Klasik dan satu tunnel yang menggunakan Border Gateway Protocol (BGP).
Dengan perutean dinamis, Anda tidak menentukan pemilih traffic lokal atau jarak jauh; sebagai gantinya, Anda dapat menggunakan Cloud Router. Informasi rute dipertukarkan secara dinamis.
Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat referensi berikut:
Untuk praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.
Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.
Untuk definisi istilah yang digunakan di halaman ini, lihat Istilah utama.
Persyaratan
Panduan umum
- Tinjau informasi tentang cara kerja perutean dinamis di Google Cloud.
- Pastikan gateway VPN peer Anda mendukung BGP.
- Lihat contoh Topologi VPN Klasik.
Menginstal software VPN pihak ketiga di VM Compute Engine
Saat Anda membuat tunnel VPN Klasik dengan perutean dinamis, alamat IP yang Anda tentukan untuk antarmuka gateway VPN peer harus ditetapkan ke VM Compute Engine.
Oleh karena itu, sebelum dapat membuat tunnel VPN Klasik, Anda harus menginstal software VPN pihak ketiga di VM Compute Engine. Saat mengonfigurasi tunnel VPN Klasik, Anda perlu menetapkan alamat IP eksternal VM Compute Engine sebagai antarmuka gateway VPN peer.
Selain itu, alamat IP antarmuka gateway VPN peer harus dialokasikan dari kumpulan alamat IPv4 eksternal regional yang dimiliki oleh Google. Alamat IP tidak dapat masuk dalam rentang Bring your own IP address (BYOIP).
Membuat Cloud Router
Untuk membuat tunnel yang menggunakan perutean dinamis dengan VPN Klasik, Anda harus menggunakan Cloud Router. Anda dapat membuat Cloud Router baru, atau menggunakan Cloud Router yang ada dengan tunnel Cloud VPN atau lampiran VLAN yang ada. Namun, Cloud Router yang Anda gunakan belum boleh mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect karena sifat lampiran persyaratan ASN yang spesifik.
Sebelum memulai
Siapkan item berikut di Google Cloud untuk mempermudah konfigurasi Cloud VPN:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Jika Anda menggunakan Google Cloud CLI, tetapkan project ID Anda dengan perintah berikut. Petunjuk
gcloud
di halaman ini mengasumsikan bahwa Anda telah menetapkan project ID sebelum menjalankan perintah.gcloud config set project PROJECT_ID
-
Anda juga dapat mengecek project ID yang ditentukan dengan menjalankan perintah berikut:
gcloud config list --format='text(core.project)'
Membuat subnet dan jaringan VPC kustom
Sebelum membuat gateway dan tunnel VPN Klasik, buat jaringan Virtual Private Cloud (VPC) dan minimal satu subnet di region tempat gateway VPN Klasik berada:
- Untuk membuat jaringan VPC mode kustom (direkomendasikan), lihat Membuat jaringan VPC mode kustom.
- Untuk membuat subnet, lihat Penggunaan subnet.
Membuat gateway dan tunnel
Konsol
Konfigurasi gateway
- Buka halaman VPN di konsol Google Cloud.
Buka halaman VPN- Jika Anda membuat gateway untuk pertama kalinya, pilih tombol Buat koneksi VPN.
- Pilih Wizard penyiapan VPN.
- Pilih tombol pilihan untuk VPN Klasik.
- Klik Lanjutkan.
- Pada halaman Buat koneksi VPN, tentukan setelan gateway
berikut:
- Nama — Nama gateway VPN. Nama ini tidak dapat diubah nanti.
- Deskripsi — Opsional, tambahkan deskripsi.
- Jaringan — Tentukan jaringan VPC yang ada untuk membuat gateway dan tunnel VPN.
- Region — Gateway dan tunnel Cloud VPN adalah objek regional. Pilih region Google Cloud tempat gateway akan ditempatkan. Instance dan resource lain di region yang berbeda dapat menggunakan tunnel untuk traffic keluar sesuai dengan urutan rute. Untuk mendapatkan performa terbaik, temukan gateway dan tunnel di region yang sama dengan resource Google Cloud yang relevan.
- Alamat IP — Buat atau pilih regional yang ada pada alamat IP
eksternal.
Konfigurasi tunnel
Tentukan bagian Tunnel berikut untuk item tunnel baru:
- Nama — Nama tunnel VPN. Nama ini tidak dapat diubah nanti.
- Deskripsi — Opsional, ketik deskripsi.
- Alamat IP peer jarak jauh — Menentukan alamat IP eksternal gateway VPN peer.
Versi IKE — Pilih versi IKE yang sesuai yang didukung oleh gateway VPN peer. IKEv2 lebih disarankan jika didukung oleh perangkat peer.
Rahasia bersama — Berikan pre-shared key sebelumnya untuk digunakan sebagai autentikasi. Rahasia bersama untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pasangan pada gateway VPN peer. Anda dapat mengikuti petunjuk ini untuk membuat rahasia bersama yang kuat secara kriptografis.
Opsi pemilihan rute — Pilih Dinamis (BGP). Anda hanya dapat menggunakan perutean dinamis untuk terhubung ke software gateway pihak ketiga yang berjalan dalam instance VM Google Cloud.
Cloud Router — Jika belum melakukannya, buat Cloud Router baru yang menentukan opsi seperti yang disebutkan di bawah ini. Atau, Anda dapat menggunakan Cloud Router yang ada jika Cloud Router belum mengelola sesi BGP untuk lampiran interkoneksi yang terkait dengan Partner Interconnect. Jika memilih Cloud Router yang ada, Anda tetap akan membuat sesi BGP baru, tetapi Google ASN akan tetap sama. Untuk membuat Cloud Router baru, tentukan detail berikut:
- Nama — Nama Cloud Router. Nama tidak dapat diubah nanti.
- Deskripsi — Opsional, ketik deskripsi.
- Google ASN — Pilih
ASN pribadi
(
64512
hingga65534
,4200000000
hingga4294967294
). Google ASN ini digunakan untuk semua sesi BGP yang dikelola oleh Cloud Router. ASN tidak dapat diubah nanti. - Klik Simpan dan lanjutkan.
Sesi BGP — Klik ikon pensil, lalu tentukan detail berikut. Setelah selesai, klik Simpan dan lanjutkan:
- Nama — Nama sesi BGP. Nama ini tidak dapat diubah nanti.
- ASN Peer — Objek publik atau
pribadi
(
64512
hingga65534
,4200000000
hingga4294967294
) ASN digunakan oleh gateway VPN peer Anda. - Prioritas rute yang diiklankan — (Opsional) Prioritas dasar yang digunakan Cloud Router saat mengiklankan rute "ke Google Cloud". Untuk mengetahui informasi selengkapnya, lihat Awalan dan prioritas yang diiklankan. Gateway VPN peer Anda mengimpornya sebagai nilai MED.
- IP BPG Cloud Router dan IP peer BGP — Kedua alamat IP antamuka
BGP tersebut harus berupa alamat IP link lokal yang di miliki
ke
/30
CIDR umum dari blok169.254.0.0/16
. Setiap IP BGP menentukan masing-masing IP link lokal yang digunakan untuk bertukar informasi rute. Misalnya,169.254.1.1
dan169.254.1.2
termasuk dalam blok/30
umum.
Jika Anda perlu membuat lebih banyak tunnel di gateway yang sama, klik Tambahkan tunnel dan ulangi langkah sebelumnya. Anda dapat menambahkan tunnel lainnya kapan saja.
Klik Create.
gcloud
Dalam perintah berikut, ganti:
PROJECT_ID
dengan ID project Anda.NETWORK
dengan nama jaringan Google Cloud Anda.REGION
dengan region Google Cloud tempat Anda perlu membuat gateway dan tunnel.- (Opsional)
--target-vpn-gateway-region
adalah region gateway VPN Klasik untuk mengoperasikannya. Nilainya harus sama dengan--region
. Jika tidak ditentukan, opsi ini akan otomatis disiapkan. Opsi ini mengganti nilai properti komputasi/region default untuk pemanggilan perintah ini. GW_NAME
dengan nama gateway.GW_IP_NAME
dengan nama untuk IP eksternal yang digunakan oleh gateway.
Selesaikan urutan perintah berikut untuk membuat gateway Google Cloud:
Buat resource untuk gateway Cloud VPN:
Buat objek gateway VPN target.
gcloud compute target-vpn-gateways create GW_NAME \ --network NETWORK \ --region REGION \ --project PROJECT_ID
Cadangkan alamat IP eksternal regional (statis):
gcloud compute addresses create GW_IP_NAME \ --region REGION \ --project PROJECT_ID
Catat alamat IP (sehingga Anda dapat menggunakannya saat mengonfigurasi gateway VPN peer):
gcloud compute addresses describe GW_IP_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(address)'
Buat tiga aturan penerusan. Aturan ini menginstruksikan Google Cloud untuk mengirim traffic ESP (IPsec), UDP 500, dan UDP 4500 ke gateway.
gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --ip-protocol ESP \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --ip-protocol UDP \ --ports 500 \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --ip-protocol UDP \ --ports 4500 \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
Jika Anda belum melakukannya, selesaikan perintah berikut untuk membuat Cloud Router. Ganti opsi seperti yang disebutkan di bawah ini. Atau, Anda dapat menggunakan Cloud Router yang ada jika Cloud Router belum mengelola sesi BGP untuk lampiran interkoneksi yang terkait dengan Partner Interconnect.
- Ganti
ROUTER_NAME
dengan nama untuk Cloud Router. - Mengganti
GOOGLE_ASN
dengan ASN pribadi (64512
hingga65534
,4200000000
hingga4294967294
). Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan tidak dapat diubah nanti.
gcloud compute routers create ROUTER_NAME \ --asn GOOGLE_ASN \ --network NETWORK \ --region REGION \ --project PROJECT_ID
- Ganti
Buat tunnel Cloud VPN dengan detail berikut:
- Ganti
TUNNEL_NAME
dengan nama untuk namespace. - Ganti
ON_PREM_IP
dengan alamat IP eksternal gateway VPN peer. - Ganti
IKE_VERS
dengan1
untuk IKEv1 atau2
untuk IKEv2. - Ganti
SHARED_SECRET
dengan rahasia bersama Anda. Rahasia bersama untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pasangan pada gateway VPN peer. Anda dapat mengikuti petunjuk ini untuk membuat rahasia bersama yang kuat secara kriptografis. Ganti
ROUTER_NAME
dengan nama Cloud Router yang ingin Anda gunakan untuk mengelola rute untuk tunnel Cloud VPN. Cloud Router harus ada sebelum Anda membuat tunnel.gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address ON_PREM_IP \ --ike-version IKE_VERS \ --shared-secret SHARED_SECRET \ --router ROUTER_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
- Ganti
Konfigurasikan sesi BGP untuk Cloud Router dengan membuat antarmuka and peer BGP. Pilih salah satu metode berikut:
Untuk mengizinkan Google Cloud memilih alamat IP BGP link lokal secara otomatis:
Menambahkan antarmuka baru ke Cloud Router. Berikan nama untuk antarmuka dengan mengganti
INTERFACE_NAME
.gcloud compute routers add-interface ROUTER_NAME \ --interface-name INTERFACE_NAME \ --vpn-tunnel TUNNEL_NAME \ --region REGION \ --project PROJECT_ID
Menambahkan peer BGP ke antarmuka. Ganti
PEER_NAME
dengan nama untuk peer, danPEER_ASN
dengan ASN yang dikonfigurasi untuk gateway VPN peer.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name PEER_NAME \ --peer-asn PEER_ASN \ --interface INTERFACE_NAME \ --region REGION \ --project PROJECT_ID
Jika Anda ingin menentukan rute yang dipelajari secara khusus untuk peer, tambahkan
--set-custom-learned-route-ranges
flag. Anda juga dapat menggunakan--custom-learned-route-priority
secara opsional untuk menetapkan nilai prioritas antara0
dan65535
(inklusif) untuk rute. Setiap sesi BGP dapat memiliki satu nilai prioritas yang berlaku untuk semua rute yang dipelajari secara khusus yang Anda konfigurasikan untuk sesi tersebut. Untuk mengetahui informasi selengkapnya tentang fitur ini, lihat Rute yang dipelajari secara khusus.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \ --custom-learned-route-priority=PRIORITY
Cantumkan alamat IP BGP yang dipilih oleh Cloud Router. Jika Anda menambahkan antarmuka baru ke Cloud Router yang ada, alamat IP BGP untuk antarmuka baru harus dicantumkan dengan nomor indeks tertinggi. Alamat IP Peer adalah IP BGP yang harus Anda gunakan untuk mengonfigurasi gateway VPN peer Anda.
gcloud compute routers get-status ROUTER_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(result.bgpPeerStatus[].ipAddress, \ result.bgpPeerStatus[].peerIpAddress)'
Output yang diharapkan untuk Cloud Router yang mengelola tunnel Cloud VPN tunggal (indeks
0
) terlihat seperti berikut, yang manaGOOGLE_BGP_IP
mewakili IP BGP dari antarmuka Cloud Router danON_PREM_BGP_IP
mewakili IP BGP dari pembandingnya.result.bgpPeerStatus[0].ipAddress: GOOGLE_BGP_IP result.bgpPeerStatus[0].peerIpAddress: ON_PREM_BGP_IP
Untuk menetapkan alamat IP BGP yang dikaitkan dengan antarmuka dan peer BGP Google Cloud secara manual :
Tentukan sepasang alamat IP BGP link lokal dalam blok
/30
dari rentang169.254.0.0/16
. Tetapkan salah satu alamat IP BGP ini ke Cloud Router di perintah berikutnya dengan menggantiGOOGLE_BGP_IP
. Alamat IP BGP lainnya digunakan untuk gateway VPN peer Anda. Anda harus mengonfigurasi perangkat untuk menggunakan alamat tersebut, dan menggantiON_PREM_BGP_IP
pada perintah terakhir, di bawah ini.Menambahkan antarmuka baru ke Cloud Router. Tentukan nama untuk antarmuka dengan mengganti
INTERFACE_NAME
.gcloud compute routers add-interface ROUTER_NAME \ --interface-name INTERFACE_NAME \ --vpn-tunnel TUNNEL_NAME \ --ip-address GOOGLE_BGP_IP \ --mask-length 30 \ --region REGION \ --project PROJECT_ID
Menambahkan peer BGP ke antarmuka. Ganti
PEER_NAME
dengan nama untuk peer, danPEER_ASN
dengan ASN yang dikonfigurasi untuk gateway VPN peer.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name PEER_NAME \ --peer-asn PEER_ASN \ --interface INTERFACE_NAME \ --peer-ip-address ON_PREM_BGP_IP \ --region REGION \ --project PROJECT_ID
Jika Anda ingin menentukan rute yang dipelajari secara khusus untuk peer, tambahkan flag
--set-custom-learned-route-ranges
. Anda juga dapat secara opsional menggunakan flag--custom-learned-route-priority
untuk menetapkan nilai prioritas antara0
dan65535
(inklusif) untuk rute. Setiap sesi BGP dapat memiliki satu nilai prioritas yang berlaku untuk semua rute yang dipelajari secara khusus serta dikonfigurasikan untuk sesi tersebut. Untuk mengetahui informasi selengkapnya tentang fitur ini, lihat Rute kustom yang dipelajari.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \ --custom-learned-route-priority=PRIORITY
Menyelesaikan konfigurasi
Sebelum Anda dapat menggunakan gateway Cloud VPN baru dan tunnel VPN terkait, selesaikan langkah-langkah berikut:
- Selesaikan konfigurasi gateway VPN peer dengan software VPN pihak ketiga
pada instance VM Google Cloud Anda. Konfigurasikan tunnel yang sesuai
di sana. Anda hanya dapat menggunakan perutean dinamis dengan VPN Klasik
untuk terhubung ke software VPN pihak ketiga yang berjalan dalam Google Cloud.
- Untuk mengetahui panduan konfigurasi khusus bagi perangkat VPN tertentu, lihat Menggunakan VPN pihak ketiga.
- Untuk parameter konfigurasi umum, lihat Mengonfigurasi gateway VPN peer.
- Konfigurasikan aturan firewall di Google Cloud dan di jaringan peer sesuai kebutuhan.
- Periksa status tunnel VPN dan aturan penerusan.
Langkah selanjutnya
- Guna mengontrol alamat IP yang diizinkan untuk gateway VPN peer, lihat Membatasi alamat IP untuk gateway VPN peer.
- Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
- Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.