Membuat gateway VPN Klasik menggunakan pemilihan rute dinamis

Halaman ini menjelaskan cara menggunakan pemilihan rute dinamis untuk membuat gateway VPN Klasik dan satu tunnel yang menggunakan Border Gateway Protocol (BGP).

Dengan perutean dinamis, Anda tidak menentukan pemilih traffic lokal atau jarak jauh; sebagai gantinya, Anda dapat menggunakan Cloud Router. Informasi rute dipertukarkan secara dinamis.

Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat referensi berikut:

  • Untuk praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.

  • Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.

  • Untuk definisi istilah yang digunakan di halaman ini, lihat Istilah utama.

Persyaratan

Panduan umum

Menginstal software VPN pihak ketiga di VM Compute Engine

Saat Anda membuat tunnel VPN Klasik dengan perutean dinamis, alamat IP yang Anda tentukan untuk antarmuka gateway VPN peer harus ditetapkan ke VM Compute Engine.

Oleh karena itu, sebelum dapat membuat tunnel VPN Klasik, Anda harus menginstal software VPN pihak ketiga di VM Compute Engine. Saat mengonfigurasi tunnel VPN Klasik, Anda perlu menetapkan alamat IP eksternal VM Compute Engine sebagai antarmuka gateway VPN peer.

Selain itu, alamat IP antarmuka gateway VPN peer harus dialokasikan dari kumpulan alamat IPv4 eksternal regional yang dimiliki oleh Google. Alamat IP tidak dapat masuk dalam rentang Bring your own IP address (BYOIP).

Membuat Cloud Router

Untuk membuat tunnel yang menggunakan perutean dinamis dengan VPN Klasik, Anda harus menggunakan Cloud Router. Anda dapat membuat Cloud Router baru, atau menggunakan Cloud Router yang ada dengan tunnel Cloud VPN atau lampiran VLAN yang ada. Namun, Cloud Router yang Anda gunakan belum boleh mengelola sesi BGP untuk lampiran VLAN yang terkait dengan koneksi Partner Interconnect karena sifat lampiran persyaratan ASN yang spesifik.

Sebelum memulai

Siapkan item berikut di Google Cloud untuk mempermudah konfigurasi Cloud VPN:

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Menginstal Google Cloud CLI.

  5. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init
    6.

  6. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  7. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  8. Menginstal Google Cloud CLI.

  9. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init
    10.

  1. Jika Anda menggunakan Google Cloud CLI, tetapkan project ID Anda dengan perintah berikut. Petunjuk gcloud di halaman ini mengasumsikan bahwa Anda telah menetapkan project ID sebelum menjalankan perintah.

        gcloud config set project PROJECT_ID

  1. Anda juga dapat mengecek project ID yang ditentukan dengan menjalankan perintah berikut:

        gcloud config list --format='text(core.project)'

Membuat subnet dan jaringan VPC kustom

Sebelum membuat gateway dan tunnel VPN Klasik, buat jaringan Virtual Private Cloud (VPC) dan minimal satu subnet di region tempat gateway VPN Klasik berada:

Membuat gateway dan tunnel

Konsol

Konfigurasi gateway

  1. Buka halaman VPN di konsol Google Cloud.
    Buka halaman VPN
    1. Jika Anda membuat gateway untuk pertama kalinya, pilih tombol Buat koneksi VPN.
    2. Pilih Wizard penyiapan VPN.
  2. Pilih tombol pilihan untuk VPN Klasik.
  3. Klik Lanjutkan.
  4. Pada halaman Buat koneksi VPN, tentukan setelan gateway berikut:
    • Nama — Nama gateway VPN. Nama ini tidak dapat diubah nanti.
    • Deskripsi — Opsional, tambahkan deskripsi.
    • Jaringan — Tentukan jaringan VPC yang ada untuk membuat gateway dan tunnel VPN.
    • Region — Gateway dan tunnel Cloud VPN adalah objek regional. Pilih region Google Cloud tempat gateway akan ditempatkan. Instance dan resource lain di region yang berbeda dapat menggunakan tunnel untuk traffic keluar sesuai dengan urutan rute. Untuk mendapatkan performa terbaik, temukan gateway dan tunnel di region yang sama dengan resource Google Cloud yang relevan.
    • Alamat IP — Buat atau pilih regional yang ada pada alamat IP eksternal.

Konfigurasi tunnel

  1. Tentukan bagian Tunnel berikut untuk item tunnel baru:

    • Nama — Nama tunnel VPN. Nama ini tidak dapat diubah nanti.
    • Deskripsi — Opsional, ketik deskripsi.
    • Alamat IP peer jarak jauh — Menentukan alamat IP eksternal gateway VPN peer.

    • Versi IKE — Pilih versi IKE yang sesuai yang didukung oleh gateway VPN peer. IKEv2 lebih disarankan jika didukung oleh perangkat peer.

    • Rahasia bersama — Berikan pre-shared key sebelumnya untuk digunakan sebagai autentikasi. Rahasia bersama untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pasangan pada gateway VPN peer. Anda dapat mengikuti petunjuk ini untuk membuat rahasia bersama yang kuat secara kriptografis.

    • Opsi pemilihan rute — Pilih Dinamis (BGP). Anda hanya dapat menggunakan perutean dinamis untuk terhubung ke software gateway pihak ketiga yang berjalan dalam instance VM Google Cloud.

    • Cloud Router — Jika belum melakukannya, buat Cloud Router baru yang menentukan opsi seperti yang disebutkan di bawah ini. Atau, Anda dapat menggunakan Cloud Router yang ada jika Cloud Router belum mengelola sesi BGP untuk lampiran interkoneksi yang terkait dengan Partner Interconnect. Jika memilih Cloud Router yang ada, Anda tetap akan membuat sesi BGP baru, tetapi Google ASN akan tetap sama. Untuk membuat Cloud Router baru, tentukan detail berikut:

      • Nama — Nama Cloud Router. Nama tidak dapat diubah nanti.
      • Deskripsi — Opsional, ketik deskripsi.
      • Google ASN — Pilih ASN pribadi (64512 hingga 65534, 4200000000 hingga 4294967294). Google ASN ini digunakan untuk semua sesi BGP yang dikelola oleh Cloud Router. ASN tidak dapat diubah nanti.
      • Klik Simpan dan lanjutkan.

    • Sesi BGP — Klik ikon pensil, lalu tentukan detail berikut. Setelah selesai, klik Simpan dan lanjutkan:

      • Nama — Nama sesi BGP. Nama ini tidak dapat diubah nanti.
      • ASN Peer — Objek publik atau pribadi (64512 hingga 65534, 4200000000 hingga 4294967294) ASN digunakan oleh gateway VPN peer Anda.
      • Prioritas rute yang diiklankan — (Opsional) Prioritas dasar yang digunakan Cloud Router saat mengiklankan rute "ke Google Cloud". Untuk mengetahui informasi selengkapnya, lihat Awalan dan prioritas yang diiklankan. Gateway VPN peer Anda mengimpornya sebagai nilai MED.
      • IP BPG Cloud Router dan IP peer BGP — Kedua alamat IP antamuka BGP tersebut harus berupa alamat IP link lokal yang di miliki ke /30 CIDR umum dari blok 169.254.0.0/16. Setiap IP BGP menentukan masing-masing IP link lokal yang digunakan untuk bertukar informasi rute. Misalnya, 169.254.1.1 dan 169.254.1.2 termasuk dalam blok /30 umum.

  2. Jika Anda perlu membuat lebih banyak tunnel di gateway yang sama, klik Tambahkan tunnel dan ulangi langkah sebelumnya. Anda dapat menambahkan tunnel lainnya kapan saja.

  3. Klik Create.

gcloud

Dalam perintah berikut, ganti:

  • PROJECT_ID dengan ID project Anda.
  • NETWORK dengan nama jaringan Google Cloud Anda.
  • REGION dengan region Google Cloud tempat Anda perlu membuat gateway dan tunnel.
  • (Opsional) --target-vpn-gateway-region adalah region gateway VPN Klasik untuk mengoperasikannya. Nilainya harus sama dengan --region. Jika tidak ditentukan, opsi ini akan otomatis disiapkan. Opsi ini mengganti nilai properti komputasi/region default untuk pemanggilan perintah ini.
  • GW_NAME dengan nama gateway.
  • GW_IP_NAME dengan nama untuk IP eksternal yang digunakan oleh gateway.

Selesaikan urutan perintah berikut untuk membuat gateway Google Cloud:

  1. Buat resource untuk gateway Cloud VPN:

    1. Buat objek gateway VPN target.

      gcloud compute target-vpn-gateways create GW_NAME \
    --network NETWORK \
    --region REGION \
    --project PROJECT_ID

    2. Cadangkan alamat IP eksternal regional (statis):

      gcloud compute addresses create GW_IP_NAME \
    --region REGION \
    --project PROJECT_ID

    3. Catat alamat IP (sehingga Anda dapat menggunakannya saat mengonfigurasi gateway VPN peer):

      gcloud compute addresses describe GW_IP_NAME \
    --region REGION \
    --project PROJECT_ID \
    --format='flattened(address)'

    4. Buat tiga aturan penerusan. Aturan ini menginstruksikan Google Cloud untuk mengirim traffic ESP (IPsec), UDP 500, dan UDP 4500 ke gateway.

       gcloud compute forwarding-rules create fr-GW_NAME-esp \
     --load-balancing-scheme=EXTERNAL \
     --ip-protocol ESP \
     --address GW_IP_NAME \
     --target-vpn-gateway GW_NAME \
     --region REGION \
     --project PROJECT_ID

      gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
    --load-balancing-scheme=EXTERNAL \
    --ip-protocol UDP \
    --ports 500 \
    --address GW_IP_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID

      gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
    --load-balancing-scheme=EXTERNAL \
    --ip-protocol UDP \
    --ports 4500 \
    --address GW_IP_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID

  2. Jika Anda belum melakukannya, selesaikan perintah berikut untuk membuat Cloud Router. Ganti opsi seperti yang disebutkan di bawah ini. Atau, Anda dapat menggunakan Cloud Router yang ada jika Cloud Router belum mengelola sesi BGP untuk lampiran interkoneksi yang terkait dengan Partner Interconnect.

    • Ganti ROUTER_NAME dengan nama untuk Cloud Router.
    • Mengganti GOOGLE_ASN dengan ASN pribadi (64512 hingga 65534, 4200000000 hingga 4294967294). Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan tidak dapat diubah nanti.
      gcloud compute routers create ROUTER_NAME \
  --asn GOOGLE_ASN \
  --network NETWORK \
  --region REGION \
  --project PROJECT_ID

  3. Buat tunnel Cloud VPN dengan detail berikut:

    • Ganti TUNNEL_NAME dengan nama untuk namespace.
    • Ganti ON_PREM_IP dengan alamat IP eksternal gateway VPN peer.
    • Ganti IKE_VERS dengan 1 untuk IKEv1 atau 2 untuk IKEv2.
    • Ganti SHARED_SECRET dengan rahasia bersama Anda. Rahasia bersama untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pasangan pada gateway VPN peer. Anda dapat mengikuti petunjuk ini untuk membuat rahasia bersama yang kuat secara kriptografis.

    • Ganti ROUTER_NAME dengan nama Cloud Router yang ingin Anda gunakan untuk mengelola rute untuk tunnel Cloud VPN. Cloud Router harus ada sebelum Anda membuat tunnel.

      gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address ON_PREM_IP \
    --ike-version IKE_VERS \
    --shared-secret SHARED_SECRET \
    --router ROUTER_NAME \
    --target-vpn-gateway GW_NAME \
    --region REGION \
    --project PROJECT_ID

  4. Konfigurasikan sesi BGP untuk Cloud Router dengan membuat antarmuka and peer BGP. Pilih salah satu metode berikut:

    • Untuk mengizinkan Google Cloud memilih alamat IP BGP link lokal secara otomatis:

      1. Menambahkan antarmuka baru ke Cloud Router. Berikan nama untuk antarmuka dengan mengganti INTERFACE_NAME.

        gcloud compute routers add-interface ROUTER_NAME \
    --interface-name INTERFACE_NAME \
    --vpn-tunnel TUNNEL_NAME \
    --region REGION \
    --project PROJECT_ID

      2. Menambahkan peer BGP ke antarmuka. Ganti PEER_NAME dengan nama untuk peer, dan PEER_ASN dengan ASN yang dikonfigurasi untuk gateway VPN peer.

        gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name PEER_NAME \
    --peer-asn PEER_ASN \
    --interface INTERFACE_NAME \
    --region REGION \
    --project PROJECT_ID

        Jika Anda ingin menentukan rute yang dipelajari secara khusus untuk peer, tambahkan --set-custom-learned-route-ranges flag. Anda juga dapat menggunakan --custom-learned-route-priority secara opsional untuk menetapkan nilai prioritas antara 0 dan 65535 (inklusif) untuk rute. Setiap sesi BGP dapat memiliki satu nilai prioritas yang berlaku untuk semua rute yang dipelajari secara khusus yang Anda konfigurasikan untuk sesi tersebut. Untuk mengetahui informasi selengkapnya tentang fitur ini, lihat Rute yang dipelajari secara khusus.

        gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \
    --custom-learned-route-priority=PRIORITY

      3. Cantumkan alamat IP BGP yang dipilih oleh Cloud Router. Jika Anda menambahkan antarmuka baru ke Cloud Router yang ada, alamat IP BGP untuk antarmuka baru harus dicantumkan dengan nomor indeks tertinggi. Alamat IP Peer adalah IP BGP yang harus Anda gunakan untuk mengonfigurasi gateway VPN peer Anda.

        gcloud compute routers get-status ROUTER_NAME \
     --region REGION \
     --project PROJECT_ID \
     --format='flattened(result.bgpPeerStatus[].ipAddress, \
     result.bgpPeerStatus[].peerIpAddress)'

        Output yang diharapkan untuk Cloud Router yang mengelola tunnel Cloud VPN tunggal (indeks 0) terlihat seperti berikut, yang mana GOOGLE_BGP_IP mewakili IP BGP dari antarmuka Cloud Router dan ON_PREM_BGP_IP mewakili IP BGP dari pembandingnya.

        result.bgpPeerStatus[0].ipAddress:     GOOGLE_BGP_IP
result.bgpPeerStatus[0].peerIpAddress: ON_PREM_BGP_IP

    • Untuk menetapkan alamat IP BGP yang dikaitkan dengan antarmuka dan peer BGP Google Cloud secara manual :

      1. Tentukan sepasang alamat IP BGP link lokal dalam blok /30 dari rentang 169.254.0.0/16. Tetapkan salah satu alamat IP BGP ini ke Cloud Router di perintah berikutnya dengan mengganti GOOGLE_BGP_IP. Alamat IP BGP lainnya digunakan untuk gateway VPN peer Anda. Anda harus mengonfigurasi perangkat untuk menggunakan alamat tersebut, dan mengganti ON_PREM_BGP_IP pada perintah terakhir, di bawah ini.

      2. Menambahkan antarmuka baru ke Cloud Router. Tentukan nama untuk antarmuka dengan mengganti INTERFACE_NAME.

        gcloud compute routers add-interface ROUTER_NAME \
    --interface-name INTERFACE_NAME \
    --vpn-tunnel TUNNEL_NAME \
    --ip-address GOOGLE_BGP_IP \
    --mask-length 30 \
    --region REGION \
    --project PROJECT_ID

      3. Menambahkan peer BGP ke antarmuka. Ganti PEER_NAME dengan nama untuk peer, dan PEER_ASN dengan ASN yang dikonfigurasi untuk gateway VPN peer.

        gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name PEER_NAME \
    --peer-asn PEER_ASN \
    --interface INTERFACE_NAME \
    --peer-ip-address ON_PREM_BGP_IP \
    --region REGION \
    --project PROJECT_ID

        Jika Anda ingin menentukan rute yang dipelajari secara khusus untuk peer, tambahkan flag --set-custom-learned-route-ranges. Anda juga dapat secara opsional menggunakan flag --custom-learned-route-priority untuk menetapkan nilai prioritas antara 0 dan 65535 (inklusif) untuk rute. Setiap sesi BGP dapat memiliki satu nilai prioritas yang berlaku untuk semua rute yang dipelajari secara khusus serta dikonfigurasikan untuk sesi tersebut. Untuk mengetahui informasi selengkapnya tentang fitur ini, lihat Rute kustom yang dipelajari.

        gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_ADDRESS_RANGES \
    --custom-learned-route-priority=PRIORITY

Menyelesaikan konfigurasi

Sebelum Anda dapat menggunakan gateway Cloud VPN baru dan tunnel VPN terkait, selesaikan langkah-langkah berikut:

  1. Selesaikan konfigurasi gateway VPN peer dengan software VPN pihak ketiga pada instance VM Google Cloud Anda. Konfigurasikan tunnel yang sesuai di sana. Anda hanya dapat menggunakan perutean dinamis dengan VPN Klasik untuk terhubung ke software VPN pihak ketiga yang berjalan dalam Google Cloud.
  2. Konfigurasikan aturan firewall di Google Cloud dan di jaringan peer sesuai kebutuhan.
  3. Periksa status tunnel VPN dan aturan penerusan.

Langkah selanjutnya