Creare una connessione VPN classica a un sito remoto

Console

1. Vai alla pagina Prenota un indirizzo statico.

   Vai a Prenota un indirizzo statico

2. Scegli un nome per il nuovo indirizzo.

3. Specifica se si tratta di un indirizzo IPv4 o IPv6. Gli indirizzi IPv6 possono essere solo globali e possono essere utilizzati solo con bilanciatori del carico globali.

4. Specifica se questo indirizzo IP è regionale o globale. Se prenoti un indirizzo IP statico per un'istanza o per un bilanciatore del carico regionale, scegli Regionale. Se prenoti un IP statico per un bilanciatore del carico globale, scegli Globale.

5. Se si tratta di un indirizzo IP regionale, seleziona la regione per creare l'indirizzo in.

6. (Facoltativo) Seleziona una risorsa da collegare all'indirizzo IP.

7. Fai clic su Prenota per prenotare l'indirizzo IP.

gcloud

Per prenotare un indirizzo IP esterno statico utilizzando gcloud compute, utilizza il comando compute addresses create.

Per prenotare un indirizzo IP globale, utilizza --global e --ip-version campi. Per il campo --ip-version, specifica IPV4 o IPV6. Gli indirizzi IPv6 possono essere solo globali e possono essere utilizzati solo con bilanciatori del carico globali.

Sostituisci ADDRESS_NAME con il nome di questo indirizzo.

gcloud compute addresses create ADDRESS_NAME \
    --global \
    --ip-version [IPV4 | IPV6]

Per prenotare un indirizzo IP a livello di regione, utilizza il campo --region:

gcloud compute addresses create ADDRESS_NAME  \
    --region=REGION

Sostituisci quanto segue:

• ADDRESS_NAME: il nome di questa .
• REGION: la regione in cui prenotare questo indirizzo. Questa regione deve essere la stessa della risorsa a cui è assegnato l'indirizzo IP. Tutti gli indirizzi IP a livello di regione sono IPv4.

Usa il comando compute addresses describe per visualizzare il risultato:

gcloud compute addresses describe ADDRESS_NAME

API

Per creare un indirizzo IPv4 a livello di regione, chiama il metodo metodo addresses.insert regionale:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME"
}

Sostituisci quanto segue:

• ADDRESS_NAME: il nome dell'indirizzo
• REGION: il nome della regione per questa richiesta
• PROJECT_ID: l'ID progetto per questa richiesta

Per gli indirizzi IPv4 statici globali, chiama il metodo globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME"
}

Per gli indirizzi IPv6 statici globali, chiama il metodo Metodo globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

Utilizza il metodo addresses.get per vedere il risultato.

Terraform

Puoi utilizzare un modulo Terraform per creare un indirizzo IP esterno.

Nell'esempio seguente, gli argomenti Terraform hanno valori di esempio che puoi modificare. Nell'esempio vengono creati tre indirizzi IPv4 esterni a livello di regione.

module "address" {
  source       = "terraform-google-modules/address/google"
  version      = "~> 4.0"
  project_id   = var.project_id # Replace this with your service project ID in quotes
  region       = "europe-west1"
  address_type = "EXTERNAL"
  names = [
    "regional-external-ip-address-1",
    "regional-external-ip-address-2",
    "regional-external-ip-address-3"
  ]
}

Il seguente esempio crea un indirizzo IPv6 esterno globale:

resource "google_compute_global_address" "default" {
  project      = var.project_id # Replace this with your service project ID in quotes
  name         = "ipv6-address"
  address_type = "EXTERNAL"
  ip_version   = "IPV6"
}

Console

1. Vai alla pagina Istanze VM.
   Vai a Istanze VM
2. Fai clic su Crea istanza.
3. In Disco di avvio, assicurati di aver selezionato un'immagine Linux. ad esempio in Debian GNU/Linux.
4. Fai clic su Networking, dischi, sicurezza, gestione, single tenancy
5. Fai clic su Networking.
6. Per Inoltro IP, seleziona Attiva.
7. Specifica eventuali altri parametri dell'istanza.
8. Fai clic su Crea.

gcloud

Quando crei un'istanza utilizzando gcloud, aggiungi il flag --can-ip-forward a il tuo comando:

gcloud compute instances create ... --can-ip-forward

API

Quando crei un'istanza, utilizza il campo canIpForward per abilitare l'inoltro.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
  "canIpForward": true,
  ...other fields
}

Sostituisci quanto segue:

• PROJECT_ID: l'ID del progetto in cui si trova la tua istanza è stato creato.
• ZONE: la zona Google Cloud in cui si trova l'istanza è stato creato.

Per ulteriori informazioni, consulta instances.insert .

Terraform

Puoi utilizzare la risorsa Terraform per creare un'istanza VM con l'IP forwarding abilitato.

In questo esempio, gli argomenti Terraform hanno valori assegnati che puoi modifica.

resource "google_compute_instance" "default" {
  project      = var.project_id # Replace this with your project ID in quotes
  zone         = "southamerica-east1-b"
  name         = "instance-next-hop"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network = "default"
  }
  can_ip_forward = true
}

Console

1. Vai alla pagina Route nella console Google Cloud.
   Vai a Routes
2. Fai clic su Crea route.
3. Specifica un nome e una descrizione per la route.
4. Seleziona una rete esistente a cui applicare la route.
5. Specifica un intervallo IP di destinazione per definire la destinazione del percorso.
6. Specifica una Priorità per il percorso. Una priorità viene utilizzata solo per determinare l'ordine di routing se le route hanno destinazioni equivalenti. Per ulteriori dettagli, consulta Parametri route.
7. Per rendere la route applicabile solo alle istanze con corrispondenze i tag di rete, specificali nel campo Tag istanza. Esci dalla per rendere la route applicabile a tutte le istanze nella rete, o se selezioni un bilanciatore del carico TCP/UDP interno come hop. I tag di rete non si applicano alle route che hanno un TCP/UDP interno come hop successivo.

8. Seleziona un Hop successivo per la route:

   • Specifica un'istanza consente di selezionare un'istanza per nome. Il traffico verrà instradato a quell'istanza (o a qualsiasi istanza sostitutiva con lo stesso nome nella stessa zona) anche se il relativo indirizzo IP cambia.
   • Specifica l'indirizzo IP consente di inserire l'indirizzo IP di un istanza esistente nella rete VPC. Consulta Hop e funzionalità successivi per importanti restrizioni sugli indirizzi IP dell'hop successivo validi.

9. Fai clic su Crea.

gcloud

Crea una nuova route statica:

gcloud compute routes create ROUTE_NAME \
    --destination-range=DESTINATION_RANGE \
    --network=NETWORK \
    NEXT_HOP_SPECIFICATION

Sostituisci i segnaposto:

• ROUTE_NAME è il nome del percorso.
• DESTINATION_RANGE rappresenta gli indirizzi IP di destinazione a cui verrà applicata questa route. La destinazione più ampia possibile è 0.0.0.0/0.
• NETWORK è il nome della rete VPC che contenente la route.
• NEXT_HOP_SPECIFICATION rappresenta l'hop successivo per l'elemento statico percorso. Devi specificare uno solo dei seguenti elementi come hop successivo. Per ulteriori informazioni sui diversi tipi di hop successivo, consulta l'articolo Hop e hop successivi funzionalità.
  • --next-hop-instance=INSTANCE_NAME e --next-hop-instance-zone=ZONE: usa questo hop successivo per indirizzare il traffico a un'istanza VM esistente per nome e zona. Il traffico viene inviato all'indirizzo IP interno principale dell'interfaccia di rete della VM situata nella stessa rete della route.
  • --next-hop-address=ADDRESS: usa questo hop successivo per indirizzare il traffico verso l'indirizzo IP di un'istanza VM esistente.

Per fare in modo che la route statica venga applicata solo a VM selezionate in base al tag di rete, aggiungi il flag --tags e specifica uno o più tag di rete. Per ulteriori informazioni informazioni sull'interazione tra tag di rete e route statiche consulta Route applicabili. Puoi utilizzare con qualsiasi route statica.

Consulta la documentazione dell'SDK per ulteriori informazioni sulla sintassi gcloud.

API

Crea una nuova route statica.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/routes
{
  "destRange": "DESTINATION_RANGE",
  "name": "ROUTE_NAME",
  "network": "NETWORK_NAME",
  "priority": PRIORITY,
  "NEXT_HOP_SPECIFICATION": VALUE
}

Sostituisci i segnaposto:

• PROJECT_ID è l'ID del progetto in cui si trova il percorso è stato creato.
• DESTINATION_RANGE rappresenta gli indirizzi IP di destinazione a cui verrà applicata questa route. La destinazione più ampia possibile 0.0.0.0/0.
• ROUTE_NAME un nome per il percorso.
• NETWORK_NAME è il nome della rete VPC che conterrà il percorso.
• VALUE per NEXT_HOP_SPECIFICATION rappresenta l'hop successivo per la route statica. Per NEXT_HOP_SPECIFICATION, devi specificare solo uno dei seguenti campi hop successivo: nextHopIp, nextHopInstance. Per ulteriori informazioni sui diversi tipi di hop successivi e sulle funzionalità, consulta Hop successivi e funzionalità.

Per ulteriori informazioni, consulta routes.insert.

Terraform

Puoi creare una route statica utilizzando un modulo Terraform.

Questa route statica crea una route predefinita verso internet.

module "google_compute_route" {
  source       = "terraform-google-modules/network/google//modules/routes"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "default"

  routes = [
    {
      name              = "egress-internet"
      description       = "route through IGW to access internet"
      destination_range = "0.0.0.0/0"
      tags              = "egress-inet"
      next_hop_internet = "true"
    }
  ]
}

Console

Configura il gateway

1. Nella console Google Cloud, vai alla pagina VPN.

   Vai alla VPN

2. Se stai creando un gateway per la prima volta, fai clic su Crea connessione VPN.

3. Seleziona la configurazione guidata della VPN.

4. Seleziona il pulsante di opzione VPN classica.

5. Fai clic su Continua.

6. Nella pagina Crea una connessione VPN, specifica il seguente gateway impostazioni:

   • Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
   • Descrizione: puoi aggiungere una descrizione.
   • Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
   • Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli un account Google Cloud regione in cui si troverà il gateway individuarlo. È possibile utilizzare istanze e altre risorse in regioni diverse il tunnel per il traffico in uscita soggetto all'ordine dei route. Per ottenere prestazioni ottimali, individua il gateway e il tunnel nella stessa regione come le risorse Google Cloud pertinenti.
   • Indirizzo IP: crea o scegli un indirizzo esterno regionale esistente Indirizzo IP.

Configura i tunnel

1. Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:

   • Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
   • Descrizione: se vuoi, digita una descrizione.
   • Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
   • Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se supportate dal dispositivo peer.
   • Chiave precondivisa IKE: fornisci una chiave precondivisa (segreto condiviso) utilizzata per autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quello utilizzato quando configuri il tunnel di controparte il gateway VPN peer. Per generare una crittografia forte chiave precondivisa, segui queste istruzioni.
   • Seleziona tunnel basati su criteri
   • In Opzioni di routing, seleziona Basato su criteri.
   • In Intervalli IP della rete remota, fornisci un elenco separato da spazi degli intervalli di indirizzi IP utilizzati dal traffico locale nella configurazione della VPN on-premise.
   • Nel campo Intervalli IP locali, inserisci l'intervallo di indirizzi IP esterni. creato in precedenza con il prefisso /32.
   • Fai clic su Fine.
   • Fai clic su Crea.

gcloud

Per creare un gateway Cloud VPN, completa questo comando sequenza. Nei comandi, sostituisci quanto segue:

• PROJECT_ID: l'ID del progetto
• NETWORK: il nome della tua rete Google Cloud
• REGION: la piattaforma Google Cloud regione in cui crei gateway e tunnel
• GW_NAME: il nome del gateway
• GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
• (Facoltativo) --target-vpn-gateway-region è la regione del Gateway VPN classica su cui operare. Il valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà compute/region per l'invocazione di questo comando.

Configura le risorse gateway

1. Crea l'oggetto gateway VPN di destinazione:

   gcloud compute target-vpn-gateways create GW_NAME \
      --network=NETWORK \
      --region=REGION \
      --project=PROJECT_ID
   

2. Prenota un indirizzo IP esterno (statico) a livello di regione:

   gcloud compute addresses create GW_IP_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

3. Prendi nota dell'indirizzo IP (in modo da poterlo utilizzare quando configuri il gateway VPN peer):

   gcloud compute addresses describe GW_IP_NAME \
      --region=REGION \
      --project=PROJECT_ID \
      --format='flattened(address)'
   

4. Creare tre regole di forwarding: queste regole indicano Google Cloud per inviare ESP (IPsec), UDP 500 e UDP 4500 il traffico verso il gateway:

   gcloud compute forwarding-rules create fr-GW_NAME-esp \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=ESP \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

   gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=UDP \
      --ports=500 \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

   gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=UDP \
      --ports=4500 \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

Crea il tunnel Cloud VPN

1. Nei comandi, sostituisci quanto segue:

   • TUNNEL_NAME: un nome per il tunnel
   • ON_PREM_IP: l'indirizzo IP esterno del peer Gateway VPN
   • IKE_VERS: 1 per IKEv1 o 2 per IKEv2
   • SHARED_SECRET: la tua chiave precondivisa (condivisa secret). La chiave pre-condivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata per configurare il tunnel corrispondente sul gateway VPN peer. Per generare una crittografia forte chiave precondivisa, segui queste istruzioni.

   Per la VPN basata su criteri:

   • LOCAL_IP_RANGES: un elenco delimitato da virgole delle di indirizzi IP di Google Cloud. Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Si tratta del lato sinistro dal punto di vista di Cloud VPN.
   • REMOTE_IP_RANGES: un elenco delimitato da virgole delle di indirizzi IP della rete peer. Si tratta del lato destro dal punto di vista di Cloud VPN.

   Per configurare un tunnel VPN basato su criteri, esegui il seguente comando:

   gcloud compute vpn-tunnels create TUNNEL_NAME \
       --peer-address=ON_PREM_IP \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --local-traffic-selector=LOCAL_IP_RANGES \
       --remote-traffic-selector=REMOTE_IP_RANGES \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
   

   Per la VPN basata su route, i selettori del traffico locale e remoto vengono 0.0.0.0/0 come definito nelle opzioni di routing e nel traffico selettori.

   Per configurare un tunnel VPN basato su route, esegui questo comando:

   gcloud compute vpn-tunnels create TUNNEL_NAME \
       --peer-address=ON_PREM_IP \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --local-traffic-selector=0.0.0.0/0 \
       --remote-traffic-selector=0.0.0.0/0 \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
   

2. Creare una route statica per ogni intervallo di indirizzi IP remoti specificato nel Opzione --remote-traffic-selector nel passaggio precedente. Ripeti per ogni intervallo di indirizzi IP remoti. Sostituisci ROUTE_NAME con un nome univoco per il percorso e sostituisci REMOTE_IP_RANGE con l'IP remoto appropriato di indirizzi IP esterni.

   gcloud compute routes create ROUTE_NAME \
       --destination-range=REMOTE_IP_RANGE \
       --next-hop-vpn-tunnel=TUNNEL_NAME \
       --network=NETWORK \
       --next-hop-vpn-tunnel-region=REGION \
       --project=PROJECT_ID