In questa pagina viene descritto come utilizzare il routing dinamico per creare una VPN classica e un tunnel che utilizza il protocollo BGP (Border Gateway Protocol).
Con il routing dinamico, non specifichi selettori del traffico locale o remoto; viene utilizzato un modello Router Cloud. Le informazioni sulle route vengono scambiate in modo dinamico.
Per ulteriori informazioni su Cloud VPN, consulta le risorse seguenti:
Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.
Requisiti
Linee guida generali
- Esamina le informazioni su come routing dinamico in Google Cloud.
- Assicurati che il gateway VPN peer supporti BGP.
- Visualizza le topologie VPN classica di esempio.
Installa il software VPN di terze parti su una VM di Compute Engine
Quando crei un tunnel VPN classica con routing dinamico, l'indirizzo IP specificato per l'interfaccia del gateway VPN peer deve delle istanze VM di Compute Engine.
Pertanto, prima di poter creare tunnel della VPN classica, devi installare un software VPN di terze parti su una VM di Compute Engine. Quando configuri i tunnel della VPN classica, specifichi la Indirizzo IP esterno della VM Compute Engine come gateway VPN peer a riga di comando.
Inoltre, deve essere allocato l'indirizzo IP dell'interfaccia del gateway VPN peer dal pool di indirizzi IPv4 esterni a livello di regione di proprietà di Google. L'indirizzo IP non può appartenere a un indirizzo Bring Your Own IP (BYOIP) intervallo.
Creazione di router Cloud
Per creare un tunnel che utilizza il routing dinamico con la VPN classica: devi utilizzare il router Cloud. Puoi creare un nuovo router Cloud, oppure puoi utilizzare un router Cloud esistente con Cloud VPN esistente tunnel o collegamenti VLAN. Tuttavia, il router Cloud che utilizzi non deve già gestire una sessione BGP per un collegamento VLAN associato a un Connessione Partner Interconnect a causa della connessione specifici Requisiti ASN.
Prima di iniziare
Configura i seguenti elementi in Google Cloud per semplificare la configurazione Cloud VPN:
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Se utilizzi Google Cloud CLI, imposta l'ID progetto con . Le istruzioni per
gcloud
in questa pagina presuppongono di aver impostato l'ID progetto prima di inviare comandi.gcloud config set project PROJECT_ID
-
Puoi anche visualizzare un ID progetto già impostato esegui questo comando:
gcloud config list --format='text(core.project)'
Crea una rete VPC e una subnet personalizzate
Prima di creare un gateway e un tunnel VPN classica, creano una rete Virtual Private Cloud (VPC) e almeno una subnet regione in cui si trova il gateway della VPN classica:
- Per creare una rete VPC in modalità personalizzata (consigliato), consulta Creazione di una rete VPC in modalità personalizzata.
- Per creare le subnet, vedi Utilizzo delle subnet.
Crea un gateway e un tunnel
Console
Configura il gateway
- Vai alla pagina VPN nella console Google Cloud.
Vai alla pagina VPN- Se stai creando un gateway per la prima volta, seleziona il Pulsante Crea connessione VPN.
- Seleziona la configurazione guidata della VPN.
- Seleziona il pulsante di opzione per la VPN classica.
- Fai clic su Continua.
- Nella pagina Crea una connessione VPN, specifica il seguente gateway
impostazioni:
- .
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: puoi aggiungere una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli un account Google Cloud regione in cui si troverà il gateway individuarlo. È possibile utilizzare istanze e altre risorse in regioni diverse il tunnel per il traffico in uscita soggetto all'ordine dei route. Per le prestazioni migliori, individua il gateway e il tunnel nella stessa regione alle risorse di Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo esterno regionale esistente
Indirizzo IP.
Configura i tunnel
Specifica quanto segue nella sezione Tunnel per il nuovo elemento del tunnel:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, digita una descrizione.
- Indirizzo IP peer remoto: Specifica l'indirizzo IP esterno del gateway VPN peer.
Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se supportate dal dispositivo peer.
Secret condiviso: fornisci una chiave precondivisa utilizzata per autenticazione. Il secret condiviso per il tunnel Cloud VPN deve corrispondere a quello utilizzato quando configuri il tunnel di controparte il gateway VPN peer. Puoi seguire questi indicazioni stradali per generare un secret condiviso con una crittografia efficace.
Opzioni di routing: seleziona Dinamico (BGP). Puoi utilizzare solo routing dinamico per la connessione a software gateway VPN di terze parti in esecuzione in un'istanza VM di Google Cloud.
Router Cloud: se non l'hai già fatto, crea un nuovo che specifica le opzioni come indicato di seguito. In alternativa, puoi utilizzare un router Cloud esistente, se il router Cloud non gestisce già una sessione BGP per un collegamento di interconnessione associate a Partner Interconnect. Se scegli un router Cloud esistente, continuerai a creare una nuova sessione BGP, ma l'ASN Google è lo stesso. Per creare un nuovo Router Cloud, specifica i seguenti dettagli:
- Nome: il nome del router Cloud. Il nome non possono essere modificate in un secondo momento.
- Descrizione: se vuoi, digita una descrizione.
- ASN Google: scegli un
ASN privato
(da
64512
a65534
, da4200000000
a4294967294
). Questo ASN Google viene utilizzato per tutte le sessioni BGP gestite dal router Cloud. La L'ASN non può essere modificato in un secondo momento. - Fai clic su Salva e continua.
Sessione BGP: fai clic sull'icona a forma di matita e specifica seguenti dettagli. Al termine, fai clic su Salva e continua:
- Nome: il nome della sessione BGP. Non può essere modificato in un secondo momento.
- ASN peer: un'entità pubblica o
privato
ASN (da
64512
a65534
, da4200000000
a4294967294
) usato dal gateway VPN peer. - Priorità route annunciata: (facoltativo) la priorità di base Il router Cloud usa per pubblicizzare il Google Cloud route. Per ulteriori informazioni, vedi Prefissi e priorità pubblicizzati. Il gateway VPN peer li importa come valori MED.
- IP BGP del router Cloud e IP peer BGP: le due BGP
gli indirizzi IP dell'interfaccia devono essere indirizzi IP locali rispetto al collegamento appartenenti
a un CIDR
/30
comune del blocco169.254.0.0/16
. Ciascuna L'IP BGP definisce il rispettivo IP locale rispetto al collegamento utilizzato per lo scambio della route informazioni. Ad esempio,169.254.1.1
e169.254.1.2
appartengono in un blocco/30
comune.
Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi aggiungere altri tunnel in un secondo momento.
Fai clic su Crea.
gcloud
Nei comandi seguenti, sostituisci:
PROJECT_ID
con l'ID del progetto.NETWORK
con il nome della tua rete Google Cloud.REGION
con Google Cloud regione in cui devi creare gateway e tunnel.- (Facoltativo)
--target-vpn-gateway-region
è la regione del Gateway VPN classica su cui operare. Il suo valore dovrebbe sarà lo stesso di--region
. Se non specificata, questa opzione è viene impostata automaticamente. Questa opzione esegue l'override del computing/regione predefinito per questa chiamata comando. GW_NAME
con il nome del gateway.GW_IP_NAME
con un nome per l'IP esterno utilizzato dal gateway.
Completa la seguente sequenza di comandi per creare un cluster Google Cloud gateway:
Crea le risorse per il gateway Cloud VPN:
Crea l'oggetto gateway VPN di destinazione.
gcloud compute target-vpn-gateways create GW_NAME \ --network NETWORK \ --region REGION \ --project PROJECT_ID
Prenota un indirizzo IP esterno (statico) a livello di regione:
gcloud compute addresses create GW_IP_NAME \ --region REGION \ --project PROJECT_ID
Prendi nota dell'indirizzo IP (così puoi utilizzarlo quando configuri gateway VPN peer):
gcloud compute addresses describe GW_IP_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(address)'
Crea tre regole di inoltro. Queste regole indicano Google Cloud per inviare ESP (IPsec), UDP 500 e UDP 4500 il traffico al gateway.
gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --ip-protocol ESP \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --ip-protocol UDP \ --ports 500 \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --ip-protocol UDP \ --ports 4500 \ --address GW_IP_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
Se non lo hai già fatto, completa il comando seguente per creare un router Cloud. Sostituisci le opzioni come indicato di seguito. In alternativa, puoi utilizzare un router Cloud esistente, purché Il router Cloud non gestisce già una sessione BGP per un collegamento di interconnessione associato a un Partner Interconnect.
- Sostituisci
ROUTER_NAME
con un nome per il router Cloud. - Sostituisci
GOOGLE_ASN
con un ASN privato (da64512
a65534
, da4200000000
a4294967294
). La L'ASN Google è utilizzato per tutte BGP sullo stesso router Cloud e non può essere modificato in un secondo momento.
gcloud compute routers create ROUTER_NAME \ --asn GOOGLE_ASN \ --network NETWORK \ --region REGION \ --project PROJECT_ID
- Sostituisci
Crea il tunnel Cloud VPN con i seguenti dettagli:
- Sostituisci
TUNNEL_NAME
con un nome per il tunnel. - Sostituisci
ON_PREM_IP
con l'indirizzo IP esterno del un gateway VPN peer o VPN peer. - Sostituisci
IKE_VERS
con1
per IKEv1 o2
per IKEv2. - Sostituisci
SHARED_SECRET
con il tuo secret condiviso. Lo strumento condiviso il secret per il tunnel Cloud VPN deve corrispondere a quello utilizzato devi configurare il tunnel di controparte sul gateway VPN peer. Puoi seguire questi indicazioni stradali per generare un secret condiviso con una crittografia efficace. Sostituisci
ROUTER_NAME
con il nome del router Cloud che vuoi utilizzare per gestire le route per il tunnel Cloud VPN. Il router Cloud deve esistere prima di creare l'elemento tunnel.gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address ON_PREM_IP \ --ike-version IKE_VERS \ --shared-secret SHARED_SECRET \ --router ROUTER_NAME \ --target-vpn-gateway GW_NAME \ --region REGION \ --project PROJECT_ID
- Sostituisci
Configura una sessione BGP per il router Cloud creando un'istanza e peer BGP. Scegli uno dei seguenti metodi:
Per consentire a Google Cloud di scegliere automaticamente il BGP locale rispetto al collegamento Indirizzi IP:
Aggiungi una nuova interfaccia al router Cloud. Specifica un nome per l'interfaccia sostituendo
INTERFACE_NAME
.gcloud compute routers add-interface ROUTER_NAME \ --interface-name INTERFACE_NAME \ --vpn-tunnel TUNNEL_NAME \ --region REGION \ --project PROJECT_ID
Aggiungi un peer BGP all'interfaccia. Sostituisci
PEER_NAME
con un nome per il peer ePEER_ASN
con l'ASN configurato per il gateway VPN peer.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name PEER_NAME \ --peer-asn PEER_ASN \ --interface INTERFACE_NAME \ --region REGION \ --project PROJECT_ID
Se vuoi definire route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Puoi puoi anche utilizzare--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(incluso) per le route. Ogni sessione BGP può avere uno un valore di priorità valido per tutte le route apprese personalizzate configurato per la sessione in questione. Per ulteriori informazioni questa funzione, vedi Route apprese personalizzate.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \ --custom-learned-route-priority=PRIORITY
Elenca gli indirizzi IP BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a una il router Cloud, gli indirizzi IP BGP per il nuovo dovrebbe essere elencata con il numero di indice più alto. La L'indirizzo IP peer è l'IP BGP da utilizzare per configurare un gateway VPN peer o VPN peer.
gcloud compute routers get-status ROUTER_NAME \ --region REGION \ --project PROJECT_ID \ --format='flattened(result.bgpPeerStatus[].ipAddress, \ result.bgpPeerStatus[].peerIpAddress)'
Output previsto per un router Cloud che gestisce un singolo Il tunnel Cloud VPN (indice
0
) è simile al seguente, doveGOOGLE_BGP_IP
rappresenta l'IP BGP l'interfaccia del router Cloud eON_PREM_BGP_IP
rappresenta l'IP BGP del peer.result.bgpPeerStatus[0].ipAddress: GOOGLE_BGP_IP result.bgpPeerStatus[0].peerIpAddress: ON_PREM_BGP_IP
Per assegnare manualmente gli indirizzi IP BGP associati Interfaccia e peer BGP di Google Cloud:
Decidi su una coppia di indirizzi IP BGP locali rispetto al collegamento in un blocco
/30
dell'intervallo169.254.0.0/16
. Assegna uno di questi BGP gli indirizzi IP al router Cloud nel comando successivo sostituzione diGOOGLE_BGP_IP
. L'altro indirizzo IP BGP viene utilizzato il gateway VPN peer. Devi configurare dispositivo per utilizzare tale indirizzo e sostituireON_PREM_BGP_IP
nel l'ultimo comando.Aggiungi una nuova interfaccia al router Cloud. Specifica un nome per l'interfaccia sostituendo
INTERFACE_NAME
.gcloud compute routers add-interface ROUTER_NAME \ --interface-name INTERFACE_NAME \ --vpn-tunnel TUNNEL_NAME \ --ip-address GOOGLE_BGP_IP \ --mask-length 30 \ --region REGION \ --project PROJECT_ID
Aggiungi un peer BGP all'interfaccia. Sostituisci
PEER_NAME
con un nome per il peer ePEER_ASN
con l'ASN configurato per un gateway VPN peer o VPN peer.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name PEER_NAME \ --peer-asn PEER_ASN \ --interface INTERFACE_NAME \ --peer-ip-address ON_PREM_BGP_IP \ --region REGION \ --project PROJECT_ID
Se vuoi definire route apprese personalizzate per il peer, aggiungi il flag
--set-custom-learned-route-ranges
. Puoi anche facoltativamente utilizzare il flag--custom-learned-route-priority
per impostare un valore di priorità compreso tra0
e65535
(incluso) per route. Ogni sessione BGP può avere un valore di priorità si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzione, vedi Route apprese personalizzate.gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \ --custom-learned-route-priority=PRIORITY
Completare la configurazione
Prima di poter utilizzare un nuovo gateway Cloud VPN e la VPN associata tunnel, completa i seguenti passaggi:
- Completa la configurazione del gateway VPN peer con il software VPN di terze parti
sulla tua istanza VM Google Cloud. Configura il tunnel corrispondente
là. Puoi utilizzare il routing dinamico solo con la VPN classica
per la connessione a software VPN di terze parti in esecuzione all'interno di Google Cloud.
- Per indicazioni di configurazione specifiche per determinati dispositivi VPN, vedi Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, consulta un gateway VPN peer.
- Configura le regole firewall in Google Cloud e nella rete peer, se necessario.
- Controlla lo stato del tunnel VPN e delle regole di forwarding.
Passaggi successivi
- Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limita gli indirizzi IP per i gateway VPN peer.
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.