Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un gateway VPN classica utilizzando il routing dinamico

In questa pagina viene descritto come utilizzare il routing dinamico per creare una VPN classica e un tunnel che utilizza il protocollo BGP (Border Gateway Protocol).

Con il routing dinamico, non specifichi selettori del traffico locale o remoto; viene utilizzato un modello Router Cloud. Le informazioni sulle route vengono scambiate in modo dinamico.

Per ulteriori informazioni su Cloud VPN, consulta le risorse seguenti:

Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.

Requisiti

Linee guida generali

Esamina le informazioni su come routing dinamico in Google Cloud.
Assicurati che il gateway VPN peer supporti BGP.
Visualizza le topologie VPN classica di esempio.

Installa il software VPN di terze parti su una VM di Compute Engine

Quando crei un tunnel VPN classica con routing dinamico, l'indirizzo IP specificato per l'interfaccia del gateway VPN peer deve delle istanze VM di Compute Engine.

Pertanto, prima di poter creare tunnel della VPN classica, devi installare un software VPN di terze parti su una VM di Compute Engine. Quando configuri i tunnel della VPN classica, specifichi la Indirizzo IP esterno della VM Compute Engine come gateway VPN peer a riga di comando.

Inoltre, deve essere allocato l'indirizzo IP dell'interfaccia del gateway VPN peer dal pool di indirizzi IPv4 esterni a livello di regione di proprietà di Google. L'indirizzo IP non può appartenere a un indirizzo Bring Your Own IP (BYOIP) intervallo.

Creazione di router Cloud

Per creare un tunnel che utilizza il routing dinamico con la VPN classica: devi utilizzare il router Cloud. Puoi creare un nuovo router Cloud, oppure puoi utilizzare un router Cloud esistente con Cloud VPN esistente tunnel o collegamenti VLAN. Tuttavia, il router Cloud che utilizzi non deve già gestire una sessione BGP per un collegamento VLAN associato a un Connessione Partner Interconnect a causa della connessione specifici Requisiti ASN.

Prima di iniziare

Configura i seguenti elementi in Google Cloud per semplificare la configurazione Cloud VPN:

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con . Le istruzioni per gcloud in questa pagina presuppongono di aver impostato l'ID progetto prima di inviare comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto già impostato esegui questo comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o i seguenti ruoli IAM.

Autorizzazioni

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea una rete VPC e una subnet personalizzate

Prima di creare un gateway e un tunnel VPN classica, creano una rete Virtual Private Cloud (VPC) e almeno una subnet regione in cui si trova il gateway della VPN classica:

Per creare una rete VPC in modalità personalizzata (consigliato), consulta Creazione di una rete VPC in modalità personalizzata.
Per creare le subnet, vedi Utilizzo delle subnet.

Crea un gateway e un tunnel

Console

Configura il gateway

Vai alla pagina VPN nella console Google Cloud.
Vai alla pagina VPN
1. Se stai creando un gateway per la prima volta, seleziona il Pulsante Crea connessione VPN.
2. Seleziona la configurazione guidata della VPN.
Seleziona il pulsante di opzione per la VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica il seguente gateway impostazioni:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: puoi aggiungere una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli un account Google Cloud regione in cui si troverà il gateway individuarlo. È possibile utilizzare istanze e altre risorse in regioni diverse il tunnel per il traffico in uscita soggetto all'ordine dei route. Per le prestazioni migliori, individua il gateway e il tunnel nella stessa regione alle risorse di Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo esterno regionale esistente Indirizzo IP.

Configura i tunnel

Specifica quanto segue nella sezione Tunnel per il nuovo elemento del tunnel:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, digita una descrizione.
- Indirizzo IP peer remoto: Specifica l'indirizzo IP esterno del gateway VPN peer.
- Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se supportate dal dispositivo peer.
- Secret condiviso: fornisci una chiave precondivisa utilizzata per autenticazione. Il secret condiviso per il tunnel Cloud VPN deve corrispondere a quello utilizzato quando configuri il tunnel di controparte il gateway VPN peer. Puoi seguire questi indicazioni stradali per generare un secret condiviso con una crittografia efficace.
- Opzioni di routing: seleziona Dinamico (BGP). Puoi utilizzare solo routing dinamico per la connessione a software gateway VPN di terze parti in esecuzione in un'istanza VM di Google Cloud.
- Router Cloud: se non l'hai già fatto, crea un nuovo che specifica le opzioni come indicato di seguito. In alternativa, puoi utilizzare un router Cloud esistente, se il router Cloud non gestisce già una sessione BGP per un collegamento di interconnessione associate a Partner Interconnect. Se scegli un router Cloud esistente, continuerai a creare una nuova sessione BGP, ma l'ASN Google è lo stesso. Per creare un nuovo Router Cloud, specifica i seguenti dettagli:
  - Nome: il nome del router Cloud. Il nome non possono essere modificate in un secondo momento.
  - Descrizione: se vuoi, digita una descrizione.
  - ASN Google: scegli un ASN privato (da 64512 a 65534, da 4200000000 a 4294967294). Questo ASN Google viene utilizzato per tutte le sessioni BGP gestite dal router Cloud. La L'ASN non può essere modificato in un secondo momento.
  - Fai clic su Salva e continua.
- Sessione BGP: fai clic sull'icona a forma di matita e specifica seguenti dettagli. Al termine, fai clic su Salva e continua:
  - Nome: il nome della sessione BGP. Non può essere modificato in un secondo momento.
  - ASN peer: un'entità pubblica o privato ASN (da 64512 a 65534, da 4200000000 a 4294967294) usato dal gateway VPN peer.
  - Priorità route annunciata: (facoltativo) la priorità di base Il router Cloud usa per pubblicizzare il Google Cloud route. Per ulteriori informazioni, vedi Prefissi e priorità pubblicizzati. Il gateway VPN peer li importa come valori MED.
  - IP BGP del router Cloud e IP peer BGP: le due BGP gli indirizzi IP dell'interfaccia devono essere indirizzi IP locali rispetto al collegamento appartenenti a un CIDR /30 comune del blocco 169.254.0.0/16. Ciascuna L'IP BGP definisce il rispettivo IP locale rispetto al collegamento utilizzato per lo scambio della route informazioni. Ad esempio, 169.254.1.1 e 169.254.1.2 appartengono in un blocco /30 comune.
Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi aggiungere altri tunnel in un secondo momento.
Fai clic su Crea.

gcloud

Nei comandi seguenti, sostituisci:

PROJECT_ID con l'ID del progetto.
NETWORK con il nome della tua rete Google Cloud.
REGION con Google Cloud regione in cui devi creare gateway e tunnel.
(Facoltativo) --target-vpn-gateway-region è la regione del Gateway VPN classica su cui operare. Il suo valore dovrebbe sarà lo stesso di --region. Se non specificata, questa opzione è viene impostata automaticamente. Questa opzione esegue l'override del computing/regione predefinito per questa chiamata comando.
GW_NAME con il nome del gateway.
GW_IP_NAME con un nome per l'IP esterno utilizzato dal gateway.

Completa la seguente sequenza di comandi per creare un cluster Google Cloud gateway:

Crea le risorse per il gateway Cloud VPN:

Crea l'oggetto gateway VPN di destinazione.

gcloud compute target-vpn-gateways create GW_NAME \
    --network NETWORK \
    --region REGION \
    --project PROJECT_ID

Prenota un indirizzo IP esterno (statico) a livello di regione:

gcloud compute addresses create GW_IP_NAME \
    --region REGION \
    --project PROJECT_ID

Prendi nota dell'indirizzo IP (così puoi utilizzarlo quando configuri gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \
    --region REGION \
    --project PROJECT_ID \
    --format='flattened(address)'

Crea tre regole di inoltro. Queste regole indicano Google Cloud per inviare ESP (IPsec), UDP 500 e UDP 4500 il traffico al gateway.

 gcloud compute forwarding-rules create fr-GW_NAME-esp \
     --load-balancing-scheme=EXTERNAL \
     --ip-protocol ESP \
     --address GW_IP_NAME \
     --target-vpn-gateway GW_NAME \
     --region REGION \
     --project PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
    --load-balancing-scheme=EXTERNAL \
    --ip-protocol UDP \
    --ports 500 \
    --address GW_IP_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
    --load-balancing-scheme=EXTERNAL \
    --ip-protocol UDP \
    --ports 4500 \
    --address GW_IP_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID

Se non lo hai già fatto, completa il comando seguente per creare un router Cloud. Sostituisci le opzioni come indicato di seguito. In alternativa, puoi utilizzare un router Cloud esistente, purché Il router Cloud non gestisce già una sessione BGP per un collegamento di interconnessione associato a un Partner Interconnect.
- Sostituisci ROUTER_NAME con un nome per il router Cloud.
- Sostituisci GOOGLE_ASN con un ASN privato (da 64512 a 65534, da 4200000000 a 4294967294). La L'ASN Google è utilizzato per tutte BGP sullo stesso router Cloud e non può essere modificato in un secondo momento.
```
  gcloud compute routers create ROUTER_NAME \
  --asn GOOGLE_ASN \
  --network NETWORK \
  --region REGION \
  --project PROJECT_ID
```
Crea il tunnel Cloud VPN con i seguenti dettagli:
- Sostituisci TUNNEL_NAME con un nome per il tunnel.
- Sostituisci ON_PREM_IP con l'indirizzo IP esterno del un gateway VPN peer o VPN peer.
- Sostituisci IKE_VERS con 1 per IKEv1 o 2 per IKEv2.
- Sostituisci SHARED_SECRET con il tuo secret condiviso. Lo strumento condiviso il secret per il tunnel Cloud VPN deve corrispondere a quello utilizzato devi configurare il tunnel di controparte sul gateway VPN peer. Puoi seguire questi indicazioni stradali per generare un secret condiviso con una crittografia efficace.
- Sostituisci ROUTER_NAME con il nome del router Cloud che vuoi utilizzare per gestire le route per il tunnel Cloud VPN. Il router Cloud deve esistere prima di creare l'elemento tunnel.
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address ON_PREM_IP \
    --ike-version IKE_VERS \
    --shared-secret SHARED_SECRET \
    --router ROUTER_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID
```
Configura una sessione BGP per il router Cloud creando un'istanza e peer BGP. Scegli uno dei seguenti metodi:
- Per consentire a Google Cloud di scegliere automaticamente il BGP locale rispetto al collegamento Indirizzi IP:
  1. Aggiungi una nuova interfaccia al router Cloud. Specifica un nome per l'interfaccia sostituendo INTERFACE_NAME.
```
gcloud compute routers add-interface ROUTER_NAME \
    --interface-name INTERFACE_NAME \
    --vpn-tunnel TUNNEL_NAME \
    --region REGION \
    --project PROJECT_ID
```
  2. Aggiungi un peer BGP all'interfaccia. Sostituisci PEER_NAME con un nome per il peer e PEER_ASN con l'ASN configurato per il gateway VPN peer.
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name PEER_NAME \
    --peer-asn PEER_ASN \
    --interface INTERFACE_NAME \
    --region REGION \
    --project PROJECT_ID
```
    Se vuoi definire route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi puoi anche utilizzare --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (incluso) per le route. Ogni sessione BGP può avere uno un valore di priorità valido per tutte le route apprese personalizzate configurato per la sessione in questione. Per ulteriori informazioni questa funzione, vedi Route apprese personalizzate.
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \
    --custom-learned-route-priority=PRIORITY
```
  3. Elenca gli indirizzi IP BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a una il router Cloud, gli indirizzi IP BGP per il nuovo dovrebbe essere elencata con il numero di indice più alto. La L'indirizzo IP peer è l'IP BGP da utilizzare per configurare un gateway VPN peer o VPN peer.
```
gcloud compute routers get-status ROUTER_NAME \
     --region REGION \
     --project PROJECT_ID \
     --format='flattened(result.bgpPeerStatus[].ipAddress, \
     result.bgpPeerStatus[].peerIpAddress)'
```
    Output previsto per un router Cloud che gestisce un singolo Il tunnel Cloud VPN (indice 0) è simile al seguente, dove GOOGLE_BGP_IP rappresenta l'IP BGP l'interfaccia del router Cloud e ON_PREM_BGP_IP rappresenta l'IP BGP del peer.
```
result.bgpPeerStatus[0].ipAddress:     GOOGLE_BGP_IP
result.bgpPeerStatus[0].peerIpAddress: ON_PREM_BGP_IP
```
- Per assegnare manualmente gli indirizzi IP BGP associati Interfaccia e peer BGP di Google Cloud:
  1. Decidi su una coppia di indirizzi IP BGP locali rispetto al collegamento in un blocco /30 dell'intervallo 169.254.0.0/16. Assegna uno di questi BGP gli indirizzi IP al router Cloud nel comando successivo sostituzione di GOOGLE_BGP_IP. L'altro indirizzo IP BGP viene utilizzato il gateway VPN peer. Devi configurare dispositivo per utilizzare tale indirizzo e sostituire ON_PREM_BGP_IP nel l'ultimo comando.
  2. Aggiungi una nuova interfaccia al router Cloud. Specifica un nome per l'interfaccia sostituendo INTERFACE_NAME.
```
gcloud compute routers add-interface ROUTER_NAME \
    --interface-name INTERFACE_NAME \
    --vpn-tunnel TUNNEL_NAME \
    --ip-address GOOGLE_BGP_IP \
    --mask-length 30 \
    --region REGION \
    --project PROJECT_ID
```
  3. Aggiungi un peer BGP all'interfaccia. Sostituisci PEER_NAME con un nome per il peer e PEER_ASN con l'ASN configurato per un gateway VPN peer o VPN peer.
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name PEER_NAME \
    --peer-asn PEER_ASN \
    --interface INTERFACE_NAME \
    --peer-ip-address ON_PREM_BGP_IP \
    --region REGION \
    --project PROJECT_ID
```
    Se vuoi definire route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi anche facoltativamente utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (incluso) per route. Ogni sessione BGP può avere un valore di priorità si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzione, vedi Route apprese personalizzate.
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \
    --custom-learned-route-priority=PRIORITY
```

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e la VPN associata tunnel, completa i seguenti passaggi:

Completa la configurazione del gateway VPN peer con il software VPN di terze parti sulla tua istanza VM Google Cloud. Configura il tunnel corrispondente là. Puoi utilizzare il routing dinamico solo con la VPN classica per la connessione a software VPN di terze parti in esecuzione all'interno di Google Cloud.
- Per indicazioni di configurazione specifiche per determinati dispositivi VPN, vedi Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, consulta un gateway VPN peer.
Configura le regole firewall in Google Cloud e nella rete peer, se necessario.
Controlla lo stato del tunnel VPN e delle regole di forwarding.

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limita gli indirizzi IP per i gateway VPN peer.
Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.