Fazer o download de um modelo de configuração de VPN de peering

Esta página descreve como fazer o download de um modelo de configuração para seu dispositivo de VPN de peering de terceiros. Configure o dispositivo quando você conecta sua rede local ao Google Cloud usando a VPN de alta disponibilidade.

É possível fazer o download do modelo de configuração como a etapa final da criação da conexão de VPN de alta disponibilidade para um gateway de VPN de peering. Outra opção é fazer o download do modelo de configuração de um gateway de VPN de peering que já tenha estabelecido túneis de VPN de alta disponibilidade.

Modelos de fornecedores disponíveis

Você pode fazer o download de modelos de configuração para os seguintes dispositivos VPN de terceiros:

• Cisco Firepower, executando ASA 9.13(1)2 ou posterior
• Fortinet FortiGate 200E, com FortiOS 6.2.3 ou superior
• Juniper vSRX, com o JunOS 18.4R3-S2 ou mais recente

Esses modelos de configuração se aplicam somente à VPN de alta disponibilidade, e não à VPN clássica.

Considerações sobre o uso de modelos

Ao usar os modelos de configuração, lembre-se:

• Só é possível fazer o download de modelos de configuração para seu dispositivo de VPN de peering no Console do Google Cloud. Os modelos de configuração não podem ser acessados pela API Cloud VPN ou pela CLI do Google Cloud.

• Só é possível fazer o download de modelos de configuração para túneis VPN que são configurados com uma sessão do protocolo de gateway de borda (BGP).

• Os modelos de configuração podem não incluir valores de configuração para os seguintes recursos do Google Cloud:

  • Gateways de VPN de alta disponibilidade de pilha dupla (IPv4 e IPv6) ou IPv6 (prévia)
  • Configuração do BGP multiprotocolo (MP-BGP) da sessão IPv4 do BGP
  • MD5 para autenticação do BGP
  • Configuração da sessão IPv6 do BGP (pré-lançamento)
  • Endereços IPv6 externos para gateways de VPN de alta disponibilidade (prévia)

  Se você ativar esses recursos na VPN de alta disponibilidade, precisará adicionar a configuração deles depois de fazer o download do modelo de configuração.

• Os modelos de configuração podem exigir outras personalizações antes de você aplicar a configuração ao dispositivo VPN. Por exemplo, a personalização pode ser necessária para sua rede ou para a versão específica do sistema operacional instalada no dispositivo VPN. Antes de aplicar a configuração, analise o conteúdo do arquivo de configuração transferido por download e faça os ajustes necessários.

• Alguns modelos incluem padrões que foram pré-selecionados pelo Google. Por exemplo, alguns modelos especificam algoritmos aes256-sha1 para a Fase 1 e a Fase 2 do IKE. É possível modificar esses padrões conforme necessário para seus requisitos de rede ou segurança. Os padrões selecionados podem ser diferentes em dispositivos de fornecedores diferentes. Para mais detalhes sobre os padrões selecionados, reveja os comentários na parte superior do modelo de configuração.

• Os modelos de configuração não abordam configurações avançadas, como atribuições de porta virtual ou definições de interface virtual.

Permissões necessárias

Para criar gateways e túneis de VPN de alta disponibilidade, você precisa das permissões listadas em Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering.

Para fazer o download de um modelo de configuração de VPN de peering, você precisa ter as permissões de projeto a seguir.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.routers.get
• compute.routers.list

Papéis

• roles/compute.networkUser

Faça o download de um modelo de configuração para novos túneis VPN de peering

Para fazer o download de um modelo de configuração que contenha configurações de túnel para um novo dispositivo de VPN de peering, execute as seguintes etapas:

1. No Console do Google Cloud, acesse a página VPN.

   Acessar a VPN

2. Crie os túneis de VPN e as sessões do BGP:

   • Se você quiser criar um novo gateway de VPN de alta disponibilidade, clique em Assistente de configuração da VPN.

     Em seguida, siga o assistente para configurar um gateway de VPN de alta disponibilidade, recurso de gateway de VPN de peering, túneis de VPN e sessões do BGP. Para instruções detalhadas, consulte Criar uma VPN de alta disponibilidade para um gateway de VPN de peering.

   • Se você quiser criar túneis para um gateway de VPN de alta disponibilidade atual, siga estas etapas:

     1. Clique em Criar túnel de VPN.
     2. Na lista Gateway de VPN, selecione um gateway de VPN de alta disponibilidade e clique em Continuar.
     3. Selecione um gateway de VPN de peering. Em seguida, crie os túneis de VPN e configure as sessões do BGP. Para instruções detalhadas, consulte Adicionar um túnel de um gateway de VPN de alta disponibilidade a um gateway de VPN de peering.

3. Na página Resumo e lembrete, clique em Fazer download da configuração. A caixa de diálogo Fazer download da configuração é exibida.

4. Na lista Fornecedor, selecione o fornecedor do seu dispositivo VPN de peering.

5. Se o fornecedor do dispositivo de VPN de peering não aparecer na lista, selecione Outro e siga estas etapas:

   1. Registre os valores de configuração listados na caixa de diálogo. Use esses valores para configurar o dispositivo de VPN de peering.
   2. Clique em Cancelar para sair da caixa de diálogo.
   3. Consulte a documentação em Usar VPNs de terceiros e Configurar o gateway de VPN de peering para concluir a configuração do dispositivo de VPN de peering específico.

6. Se você tiver selecionado um dos fornecedores, selecione a plataforma do seu dispositivo de VPN na lista Plataforma.

7. Na lista Software, selecione a versão do software do seu dispositivo VPN. A versão do software reflete a versão mínima necessária do software da VPN.

8. Depois de fazer todas as seleções para o dispositivo de VPN de peering, o conteúdo do modelo aparecerá em texto simples. Para fazer o download do arquivo de configuração, escolha uma das seguintes opções:

   • Clique em content_copy Copiar para colocar o conteúdo do modelo no buffer.
   • Clique em Fazer o download para salvar o arquivo localmente.

9. Em seguida, abra o arquivo ou cole o conteúdo em um editor de texto de sua preferência.

10. Seguindo as instruções na parte superior do arquivo, substitua todas as variáveis _SNAKE_CASE_ no arquivo. Substitua as variáveis pelos valores apropriados dos gateways e redes de VPN.

    Como os túneis de VPN ainda não foram criados, as chaves IKE pré-compartilhadas configuradas para cada túnel durante este procedimento estão disponíveis para o modelo de configuração. Não é necessário substituir as variáveis _IKE_SHARED_SECRET_PLACEHOLDER_, porque elas já foram substituídas por você.

11. Conclua a configuração usando os comandos do arquivo de configuração atualizado. É possível carregar todo o arquivo de configuração no dispositivo ou inserir os comandos por meio de uma solicitação interativa. Veja mais informações na documentação da Microsoft. 

Fazer o download de um modelo de configuração para túneis existentes

Para fazer o download de um modelo de configuração para os túneis e dispositivos de VPN de peering, execute as seguintes etapas:

1. No Console do Google Cloud, acesse a página VPN.

   Acessar a VPN

2. Clique em Gateways de VPN de peering.

3. Ao lado do gateway da VPN de peering e dos túneis de VPN que têm configurações para download, clique em more_vertAções e selecione Fazer download da configuração.

4. Na caixa de diálogo Fazer download da configuração, selecione os túneis VPN com as configurações que você quer transferir. Só é possível selecionar os túneis VPN configurados com uma sessão do BGP.

5. Na lista Fornecedor, selecione o fornecedor do seu dispositivo VPN de peering.

6. Se o fornecedor do dispositivo de VPN de peering não aparecer na lista, selecione Outro e siga estas etapas:

   1. Registre os valores de configuração listados na caixa de diálogo. Use esses valores para configurar o dispositivo de VPN de peering.
   2. Clique em Cancelar para sair da caixa de diálogo.
   3. Consulte a documentação em Usar VPNs de terceiros e Configurar o gateway de VPN de peering para concluir a configuração do dispositivo de VPN de peering específico.

7. Se você tiver selecionado um dos fornecedores, selecione a plataforma do seu dispositivo de VPN na lista Plataforma.

8. Na lista Software, selecione a versão do software do seu dispositivo VPN. A versão do software reflete a versão mínima necessária do software da VPN.

9. Depois de fazer todas as seleções para o dispositivo de VPN de peering, o conteúdo do modelo aparecerá em texto simples. Para fazer o download do arquivo de configuração, escolha uma das seguintes opções:

   • Clique em content_copy Copiar para colocar o conteúdo do modelo no buffer.
   • Clique em Fazer o download para salvar o arquivo localmente.

10. Em seguida, abra o arquivo ou cole o conteúdo em um editor de texto de sua preferência.

11. Seguindo as instruções na parte superior do arquivo, substitua todas as variáveis _SNAKE_CASE_ no arquivo. Substitua as variáveis pelos valores apropriados dos gateways e redes de VPN.

    Como esses túneis de VPN já foram criados, substitua cada _IKE_SHARED_SECRET_PLACEHOLDER_ pela chave pré-compartilhada IKE configurada para cada túnel.

12. Conclua a configuração usando os comandos do arquivo de configuração atualizado. É possível carregar todo o arquivo de configuração no dispositivo ou inserir os comandos por meio de uma solicitação interativa. Veja mais informações na documentação da Microsoft. 

A seguir

• Para verificar o status dos túneis de VPN, consulte Verificar o status da VPN.
• Para ver informações sobre o Cloud Logging e o Monitoring, consulte Como visualizar registros e métricas.
• Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.