Dokumen ini mengasumsikan bahwa Anda telah memahami konsep dasar jaringan VPC, Border Gateway Protocol (BGP), VPN, dan tunnel Internet Protocol Security (IPsec).
Google Cloud menyediakan VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC Anda ke lingkungan yang berjalan di luar Google Cloud, seperti Microsoft Azure, melalui koneksi VPN IPsec. VPN dengan ketersediaan tinggi (HA) memberikan perjanjian tingkat layanan (SLA) sebesar 99,99% ketersediaan layanan jika dikonfigurasi berdasarkan praktik terbaik Google.
Ringkasan arsitektur
Diagram berikut menunjukkan arsitektur yang dijelaskan dalam dokumen ini.
Arsitektur yang ditampilkan dalam diagram mencakup komponen berikut:
- Cloud Router: Layanan Google Cloud yang terdistribusi dan terkelola sepenuhnya untuk menyediakan perutean dinamis menggunakan BGP untuk jaringan VPC Anda.
- Gateway VPN dengan ketersediaan tinggi (HA): Gateway VPN yang dikelola Google yang berjalan di Google Cloud. Setiap gateway VPN dengan ketersediaan tinggi (HA) adalah resource regional yang memiliki dua antarmuka: antarmuka 0 dan 1. Masing-masing antar muka ini memiliki alamat IP eksternal sendiri.
- Tunnel VPN: Koneksi dari gateway VPN dengan ketersediaan tinggi (HA) di Google Cloud ke gateway VPN pembanding di Azure yang traffic terenkripsi.
- Gateway Jaringan Virtual: Dua jaringan pribadi yang ditentukan di layanan Azure Cloud.
Setiap koneksi Gateway Jaringan Virtual dilengkapi dengan dua tunnel yang telah dikonfigurasi sebelumnya untuk mengarah ke satu gateway pelanggan, yang dalam hal ini adalah antarmuka gateway VPN dengan ketersediaan tinggi (HA) di Google Cloud. Dengan jumlah minimum tunnel Cloud VPN yang diperlukan untuk memenuhi SLA ketersediaan layanan 99,99% adalah dua.
Alamat IP diperlukan untuk prosedur
Untuk menyelesaikan prosedur dalam dokumen ini, gunakan berbagai alamat IP di Google Cloud dan Azure. Beberapa alamat IP ini ditetapkan secara otomatis saat Anda membuat resource.
Untuk alamat yang tidak ditetapkan secara otomatis, tentukan alamat IP ini berdasarkan alamat IP yang Anda miliki dan kebutuhan organisasi Anda.
Resource Google Cloud memerlukan alamat IP berikut:
- Membuat subnet untuk jaringan Virtual Private Cloud memerlukan rentang alamat IP yang ditentukan pengguna.
- Setelah membuat gateway VPN dengan ketersediaan tinggi (HA), Google Cloud akan otomatis menetapkan dua alamat IP eksternal ke gateway VPN dengan ketersediaan tinggi (HA). Google menetapkan satu alamat IP ke masing-masing dari dua antarmuka {i>gateway<i}. Anda memerlukan alamat IP untuk antarmuka ini untuk menyiapkan gateway jaringan lokal di Azure.
Saat Anda membuat tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud, setiap tunnel memerlukan antarmuka BGP ke Cloud Router dan antarmuka BGP ke gateway jaringan virtual aktif-aktif (gateway VPN) di Azure. Untuk setiap tunnel, tentukan sepasang alamat IPv4 peering BGP lokal link dalam blok /30 dari rentang
169.254.21.*
dan169.254.22.*
. Rentang ini adalah rentang yang valid untuk alamat IPv4 peering Azure APIPA BGP Anda harus memilih total empat alamat IP.Alamat IPv4 peering BGP yang Anda pilih harus unik di antara semua Cloud Router di semua region jaringan VPC.
Resource Azure memerlukan alamat IP berikut:
- Saat Anda membuat jaringan virtual (VNet), VNet memerlukan ruang alamat IP untuk jaringan dan ruang alamat IP untuk subnet jaringan. Anda dapat menggunakan ruang alamat default atau memasukkan ruang alamat yang ditentukan oleh pengguna.
- Saat Anda membuat gateway jaringan virtual aktif-aktif gateway (VPN gateway) tersebut memerlukan rentang alamat IP subnet. Anda dapat menggunakan rentang default atau memasukkan rentang yang ditentukanoleh pengguna.
- Saat Anda mengonfigurasi BGP untuk gateway VPN
yang aktif dan aktif, gateway tersebut memerlukan dua alamat IP peering BGP APIPA. Seperti
yang disebutkan sebelumnya, rentang alamat IP peering BGP Azure APIPA yang valid
adalah
169.254.21.*
and169.254.22.*
. - Setelah Anda membuat gateway VPN yang aktif-aktif, Azure akan otomatis menetapkan alamat IP eksternal ke setiap antarmuka gateway. Anda memerlukan alamat IP ini untuk menyiapkan gateway VPN peer di Google Cloud.
Saat menentukan alamat IP, pastikan Anda menggunakan kumpulan alamat IP yang unik untuk setiap jaringan.
Tujuan
- Buat jaringan virtual Azure (VNet) dan gateway jaringan virtual aktif-aktif (gateway VPN).
- Buat komponen yang diperlukan di Google Cloud: jaringan VPC, Cloud Router, gateway VPN dengan ketersediaan tinggi (HA), gateway VPN a peer VPN gateway, and two HA VPN tunnels with BGP sesi.
- Membuat dua gateway jaringan lokal dan dua koneksi VPN di Azure. Verifikasi konfigurasi Cloud Router dan periksa status tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud.
- Uji Cloud VPN connection antara jaringan VPC di Google Cloud dan jaringan virtual (VNet) di Azure.
Biaya
Prosedur dalam dokumen ini menggunakan komponen Google Cloud yang dapat ditagih, termasuk:
Untuk memperkirakan biaya komponen Google Cloud, gunakanGoogle Cloud, gunakan Kalkulator Penentuan Harga Google Cloud.
Prosedur dalam dokumen ini menggunakan komponen layanan Microsoft Azure Cloud yang dapat ditagih, termasuk:
- Gateway VPN
- Gateway jaringan lokal
Untuk perkiraan biaya komponen Azure, gunakan Kalkulator harga Azure.
Sebelum memulai
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API Compute Engine.
-
Di konsol Google Cloud, aktifkan Cloud Shell.
-
Pastikan Anda memiliki peran administratif yang diperlukan untuk mengonfigurasi komponen jaringan:
- Network Admin
compute.networkAdmin
- Security Admin:
compute.securityAdmin
- Compute Admin:
compute.admin
Untuk informasi selengkapnya tentang tujuan peran ini, lihat Peran IAM untuk fungsi pekerjaan terkait jaringan
- Network Admin
Membuat VNet dan gateway VPN aktif-aktif di Azure
Di Azure, Anda perlu menyiapkan komponen berikut:
- Jaringan virtual (VNet) Azure yang memungkinkan resources Azure berkomunikasi dengan Google Cloud VPN Anda.
- Gateway jaringan virtual (gateway VPN) aktif-aktif yang memungkinkan kedua kedua instance mesin virtual (VM) gateway membuat tunnel VPN ke Google Cloud VPN Anda.
Membuat VNet
VNet memungkinkan resource Azure berkomunikasi satu sama lain secara aman, internet, dan jaringan lain (seperti Cloud VPN). Untuk mengetahui informasi lebih lanjut mengenai pembuatan VNet, baca dokumentasi Azure mengenai pembuatan VNet.
- Login ke Portal Azure.
- Di kotak Penelusuran resources, layanan, dan dokumen(G+/),
ketik
virtual network
. - Dalam daftar hasil Marketplace, pilih Virtual network.
- Di halaman Jaringan virtual, pilih Buat.
Pada tab Basics di halaman Buat virtual network, konfigurasikan setelan VNet berikut untuk Detail Project dan Detail instance:
- Di kotak Langganan, verifikasi bahwa langganan yang tercantum adalah langganan yang benar. Untuk mengubah langganan, pilih langganan dari daftar .
- Untuk menentukan grup resource, klik Buat baru untuk membuat
grup baru, lalu masukkan nama seperti
azure‑to‑google‑resgroup
untuk nama grup resource. - Di kotak Nama masukkan nama untuk VNet Anda, seperti
azure‑to‑google‑network
. Di kotak Wilayah, pilih lokasi untuk VNet Anda.
Lokasi yang Anda pilih menentukan lokasi penyimpanan resource yang Anda deploy ke jaringan virtual ini.
Pada tab Alamat IP di kotak ruang alamat IPv4 gunakan subnet dan ruang alamat default yang dibuat oleh Azure.
Pada tab Sekuritas biarkan nilai untuk BastionHost, DDos Perlindungan Standar, dan Firewall ditetapkan ke nilai default Dinonaktifkan.
Untuk memvalidasi setelan VNet, pilih Ulasan+ pembuat.
Setelah setelan divalidasi, pilih Buat.
Membuat gateway VPN aktif-aktif
Prosedur berikut membuat gateway VPN aktif-aktif:
- Prosedur pertama menentukan detail project dan instance
- Prosedur kedua menentukan alamat IP untuk gateway.
Anda hanya membuat gateway VPN aktif-aktif saat ini. Anda harus membuat komponen Google Cloud sebelum dapat mengonfigurasi tunnel yang diperlukan di Azure. Untuk informasi selengkapnya tentang cara membuat gateway VPN aktif-aktif, lihat topik Mengonfigurasi gateway VPN aktif-aktif menggunakan portal dalam dokumentasi Azure.
Menentukan detail gateway
- Login ke Portal Azure.
- Di Penelusuran layanan resources dan dokumen (G+/),
ketik
virtual network gateway
. - Di bagian Layanan dalam hasil penelusuran, cari dan pilih Jaringan virtual gateway.
- Di halaman Jaringan virtual, pilih Buat
Pada tab Basics di halaman Buat jaringan virtual gateway , tentukan nilai berikut untuk opsi dalam Detail project dan bagian Detail instance :
- Di daftar Langganan, pilih langganan yang ingin Anda gunakan.
- Opsional: Di kotak Rentang alamat IP subnet gateway , masukkan address range untuk subnet.
- Pastikan Grup Resource menampilkan grup resource yang sesuai dengan jaringan virtual yang Anda pilih di halaman ini.
- Untuk Nama, masukkan nama gateway Anda, seperti
azure‑to‑google‑gateway
. - Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan saat membuat VNET.
- Untuk Jenis gateway, pilih VPN.
Untuk Jenis VPN, pilih jenis VPN Berbasis rute.
Di daftar SKU, pilih SKU gateway yang ingin Anda gunakan.
SKU yang tercantum di menu drop-down bergantung pada jenis VPN yang Anda pilih.
Di daftar Generator, pilih generator yang ingin Anda gunakan.
Dalam daftar Jaringan virtual, pilih VNet yang Anda buat sebelumnya
Tetaplah di halaman ini untuk prosedur berikutnya.
Menentukan alamat IP gateway
Pada tab Basics di halaman Buat jaringan virtual gateway , lakukan langkah-langkah berikut untuk membuat alamat IP eksternal yang digunakan oleh VPN Gateway:
Untuk Alamat IP publik, pilih Buat baru.
Azure otomatis menetapkan alamat IP eksternal ke gateway VPN aktif-aktif Anda.
Di kotak Nama alamat IP publik ketik nama untuk instance alamat IP eksternal Anda, seperti
azure‑to‑google‑network‑ip1
.Untuk Mengaktifkan mode aktif-aktif, pilih Aktifkan.
Opsional: Jika tersedia untuk wilayah Anda, konfigurasikan Zona Ketersediaan. Misalnya, Anda dapat memilih Zona-redundant.
Untuk Alamat IP publik, pilih Buat baru.
Di kotak Nama alamat IP publik ketik nama alamat IP eksternal kedua seperti
azure‑to‑google‑network‑ip2
.Untuk Mengonfigurasi BGP, pilih Aktifkan.
Untuk Autonomous system numbers (ASN), tetapkan ASN ke nilai yang valid dan diizinkan.
Anda akan menggunakan nilai ASN ini saat menyiapkan sesi BGP untuk tunnel di Google Cloud. Catat nilai ini sebagai
AZURE_ASN
perujuk ke gateway VPN aktif-aktif ini.Untuk Alamat IP BGP Custom Azure APIPA, masukkan alamat IP BGP APIPA pertama dan catat nilainya sebagai
AZURE_BGP_IP_0
. Rentang alamat IP BGP Azure APIPA yang valid adalah169.254.21.*
dan169.254.22.*
.Untuk Alamat IP BGP Azure Custom Azure Kedua, masukkan alamat IP BGP APIPA kedua dan catat nilainya sebagai
AZURE_BGP_IP_1
. Anda akan menggunakan variabel ini saat mengonfigurasi sesi BGP di Google Cloud.
Untuk menjalankan validasi, pilih Tinjau + buat.
Setelah validasi selesai, pilih Buat untuk mendeploy VPN gateway.
Melihat dan mencatat alamat IP eksternal untuk gateway VPN aktif-aktif
Anda memerlukan alamat IP eksternal yang otomatis ditetapkan Azure ke gateway VPN aktif-aktif. Gunakan alamat IP ini untuk membuat resource gateway pembanding VPN di Google Cloud.
- Pada halaman Ringkasan untuk gateway aktif-aktif yang baru saja Anda buat, temukan alamat IP eksternal untuk gateway tersebut.
- Catat alamat IP yang Anda lihat di layar:
- Catat alamat IP eksternal pertama sebagai
AZURE_GW_IP_0
. - Catat alamat IP eksternal kedua sebagai
AZURE_GW_IP_1
.
- Catat alamat IP eksternal pertama sebagai
Selanjutnya, dokumen ini merujuk ke alamat IP ini sebagai
AZURE_GW_IP_0
dan AZURE_GW_IP_1
.
Membuat komponen Google Cloud
Di Google Cloud, Anda perlu menyiapkan komponen berikut:
- Jaringan VPC.
- Gateway VPN dengan ketersediaan tinggi (HA).
- Cloud Router.
- Pembanding VPN Gateway.
- Tunnel VPN dengan ketersediaan tinggi (HA) dengan sesi BGP.
Prosedur berikut mengasumsikan bahwa Anda telah menyiapkan Google Cloud seperti yang dijelaskan di bagian Sebelum memulai. Jika Anda belum menyelesaikan langkah-langkah tersebut, lakukan sekarang.
Membuat jaringan VPC, subnet, gateway VPN dengan ketersediaan tinggi (HA), dan Cloud Router di Google Cloud
Di Google Cloud, Anda membuat jaringan VPC, membuat gateway VPN dengan ketersediaan tinggi (HA), membuat Cloud Router, lalu mengonfigurasi aturan firewall di Google Cloud.
Di Google Cloud Shell, pastikan Anda bekerja di project Cloud yang Anda buat atau pilih:
gcloud config set project YOUR_PROJECT_ID export PROJECT_ID=`gcloud config list --format="value(core.project)"`
Ganti
YOUR_PROJECT_ID
dengan project ID Google Cloud Anda.Buat jaringan VPC kustom dengan satu subnet:
gcloud compute networks create NETWORK \ --subnet-mode SUBNET_MODE \ --bgp-routing-mode BGP_ROUTING_MODE
Ganti kode berikut:
NETWORK
: Nama jaringan, sepertigoogle‑to‑azure‑vpc
.SUBNET_MODE
: Mode subnet yang ditetapkan kecustom
.
BGP_ROUTING_MODE
: Mode pemilihan rute BGP yang ditetapkan keglobal
.Perintah akan terlihat seperti contoh berikut:
gcloud compute networks create google-to-azure-vpc \ --subnet-mode custom \ --bgp-routing-mode global
Buat satu subnet untuk menghosting VM pengujian:
gcloud compute networks subnets create SUBNET_NAME \ --network NETWORK \ --region SUBNET_REGION \ --range SUBNET_IP_ADDRESS_RANGE
Ganti kode berikut:
SUBNET_NAME
: Nama subnetSUBNET_REGION
: Wilayah tempat membuat subnet.SUBNET_IP_ADDRESS_RANGE
: Rentang alamat IP untuk subnet.
Perintah akan terlihat seperti contoh berikut:
gcloud compute networks subnets create subnet-central1 \ --network google-to-azure-vpc \ --region us-central1 \ --range 10.1.1.0/24
Buat gateway VPN dengan ketersediaan tinggi (HA):
gcloud compute vpn-gateways create HA_VPN_GATEWAY_NAME \ --network NETWORK \ --region REGION
Ganti
HA_VPN_GATEWAY_NAME
dengan nama gateway VPN dengan ketersediaan tinggi (HA).Perintah akan terlihat seperti contoh berikut:
gcloud compute vpn-gateways create ha-vpn-gw-a \ --network google-to-azure-vpc \ --region us-central1
Gateway yang Anda buat akan terlihat seperti contoh output berikut:
Created [https://www.googleapis.com/compute/v1/projects/YOUR_PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.1 203.0.113.2 google-to-azure-vpc us-central1
Daftar outputnya mencantumkan alamat IPv4 eksternal yang telah ditetapkan secara otomatis ke setiap antarmuka gateway (
INTERFACE0
andINTERFACE1
). Anda memerlukan alamat IP ini saat menyiapkan gateway jaringan lokal di Azure:- Catat alamat IP untuk
INTERFACE0
diHA_VPN_INT_0
. - Catat alamat IP untuk
INTERFACE1
diHA_VPN_INT_1
.
- Catat alamat IP untuk
Membuat cloud router
gcloud compute routers create ROUTER_NAME \ --region REGION \ --network NETWORK \ --asn GOOGLE_ASN \
Ganti kode berikut:
ROUTER_NAME
: Nama untuk Cloud Router Anda.REGION
: Wilayah tempat Anda membuat gateway dan tunnel VPN dengan ketersediaan tinggi (HA).GOOGLE_ASN
: Autonomous System Number (ASN) pribadi untuk Cloud Router yang Anda buat. Dapat berupa ASN pribadi apa pun dalam rentang64512-65534
atau4200000000-4294967294
yang belum Anda gunakan sebagai pembanding ASN di wilayah dan jaringan yang sama.
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers create cloud-router \ --region us-central1 \ --network google-to-azure-vpc \ --asn 65534
Membuat gateway VPN peer untuk VPN Azure
Di bagian ini, Anda akan membuat resource gateway VPN eksternal yang memberikan informasi ke Google Cloud tentang gateway VPN aktif-aktif Anda di Azure. Anda membuat gateway pembanding VPN tunggal yang menggunakan dua antarmuka terpisah, masing-masing dengan alamat IP eksternal sendiri.
Membuat satu gateway pembanding VPN eksternal dengan dua antarmuka:
gcloud compute external-vpn-gateways create AZURE_GW_NAME \ --interfaces 0=AZURE_GW_IP_0,1=AZURE_GW_IP_1
Ganti kode berikut:
AZURE_GW_NAME
: nama gateway VPN aktif-aktif Azure AndaAZURE_GW_IP_0
: : alamat IP eksternal untuk satu antarmuka dari gateway pembandingAZURE_GW_IP_1
: alamat IP eksternal untuk antarmuka lain dari gateway pembanding
Resource gateway VPN peer yang Anda buat akan terlihat mirip dengan
contoh berikut dengan AZURE_GW_IP_0
dan
AZURE_GW_IP_1
yang menampilkan alamat IP eksternal yang sebenarnya dari antarmuka
gateway pembanding:
gcloud compute external-vpn-gateways create azure-peer-gw \ --interfaces 0=203.0.113.1,1=203.0.113.2 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 azure-peer-gw 203.0.113.1 203.0.113.2
Buat tunnel VPN
Anda harus membuat dua tunnel VPN: satu tunnel untuk setiap antarmuka di gateway VPN pembanding. Saat mengonfigurasi tunnel VPN ke Azure, gunakan protokol enkripsi IKEv2.
Untuk perintah yang digunakan di bagian ini, ganti perintah berikut:
TUNNEL_NAME_IF0
danTUNNEL_NAME_IF1
: nama untuk tunnel; menamai tunnel dengan menyertakan nama antarmuka gateway dapat membantu mengidentifikasi tunnel nantinyaAZURE_GW_NAME
: nama gateway pembanding eksternal yang dibuat sebelumnyaAZURE_GW_INT_NUM_0
danAZURE_GW_INT_NUM_1
: nomor antarmuka yang telah dikonfigurasi sebelumnya di gateway pembanding eksternalIKE_VERS
: gunakan2
untuk IKEv2.SHARED_SECRET
: pre-shared key (rahasia bersama), harus sesuai dengan kunci yang dibagikan sebelumnya yang Anda tentukan saat menyiapkan koneksi VPN di Azure. Untuk melihat rekomendasi, lihat Membuat pre-shared key yang kuat.HA_VPN_GATEWAY_NAME
: nama gateway VPN dengan ketersediaan tinggi (HA).INT_NUM_0
: angka0
untuk antarmuka pertama di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnyaINT_NUM_1
: angka1
untuk antarmuka kedua di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnya
Gunakan langkah-langkah berikut untuk membuat tunnel VPN:
Buat tunnel VPN untuk antarmuka 0:
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=AZURE_GW_NAME \ --peer-external-gateway-interface=AZURE_GW_INT_NUM_0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=HA_VPN_GATEWAY_NAME \ --interface=INT_NUM_0
Perintah akan terlihat seperti contoh berikut:
gcloud compute vpn-tunnels create azure-tunnel-1 \ --peer-external-gateway azure-peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \ --router cloud-router \ --vpn-gateway ha-vpn-gw-a \ --interface 0
Buat tunnel VPN untuk antarmuka 1:
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=AZURE_GW_NAME \ --peer-external-gateway-interface=AZURE_GW_INT_NUM_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=HA_VPN_GATEWAY_NAME \ --interface=INT_NUM_1
Perintah akan terlihat seperti contoh berikut:
gcloud compute vpn-tunnels create azure-tunnel-2 \ --peer-external-gateway azure-peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \ --router cloud-router \ --vpn-gateway ha-vpn-gw-a \ --interface 1
Membuat sesi BGP
Untuk perutean dinamis, gunakan Cloud Router untuk membuat sesi BGP antara Google Cloud dan Azure. Kami merekomendasikan menggunakan perutean dinamis alih-alih perutean statis bila memungkinkan, seperti yang dibahas in the Cloud VPN Overview dan Jaringan Cloud VPN dan Tunnel Pemilihan Rute.
Anda perlu membuat sesi BGP untuk setiap tunnel VPN. Setiap sesi BGP terdiri dari antarmuka BGP ke Cloud Router dan pembanding BGP. Anda membuat pembanding BGP untuk masing-masing dari dua tunnel VPN yang baru saja Anda buat.
Untuk perintah yang digunakan di bagian ini, ganti perintah berikut:
ROUTER_NAME
: nama yang Anda tetapkan ke Cloud Router.ROUTER_INTERFACE_NAME_0
danROUTER_INTERFACE_NAME_1
: nama untuk antarmuka BGP Cloud Router; sebaiknya gunakan nama yang terkait dengan nama tunnel yang telah dikonfigurasi sebelumnyaMASK_LENGTH
: menentukan30
; setiap sesi BGP di Cloud Router yang sama harus menggunakan/30
CIDR unik dari169.254.0.0/16
blok.GOOGLE_BGP_IP_0
danGOOGLE_BGP_IP_1
: alamat IP pembanding BGP untuk antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang Anda konfigurasi; setiap tunnel menggunakan antarmuka {i>gateway<i} yang berbeda. Karena rentang yang diizinkan untuk alamat IP peering BGP Azure APIPA adalah169.254.21.*
dan169.254.22.*
, Anda harus memilih alamat IP yang tersedia di/30
CIDR dari rentang tersebut untuk Alamat IP BGP pembanding Cloud Router.AZURE_BGP_IP_0
danAZURE_BGP_IP_1
: alamat IP pembanding BGP APIPA yang telah Anda konfigurasikan di gateway VPN aktif-aktif Azure setiap tunnel menggunakan alamat yang berbeda.TUNNEL_NAME_IF0
danTUNNEL_NAME_IF1
: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang Anda konfigurasikanAZURE_ASN
: ASN yang dikonfigurasikan untuk gateway VPN pembanding aktif di Azure.BGP_PEER_NAME_1
danBGP_PEER_NAME_2
dengan nama unik untuk setiap pembanding BGP. Misalnya,azure‑bgp‑peer‑1
danazure‑bgp‑peer‑2
.
Untuk membuat sesi BGP untuk tunnel VPN, ikuti langkah-langkah berikut:
Untuk tunnel VPN pertama, tambahkan antarmuka BGP ke Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_IF0 \ --ip-address=GOOGLE_BGP_IP_0 \ --region=REGION
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers add-interface cloud-router \ --interface-name azure-tunnel-1-int-0 \ --mask-length 30 \ --vpn-tunnel azure-tunnel-1 \ --ip-address 169.254.21.2 \ --region us-central1
Untuk tunnel VPN pertama, tambahkan pembanding BGP ke antarmuka:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=BGP_PEER_NAME_1 \ --peer-asn=AZURE_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=AZURE_BGP_IP_0 \ --region=REGION
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers add-bgp-peer cloud-router \ --peer-name azure-bgp-peer-1 \ --peer-asn 65515 \ --interface azure-tunnel-1-int-0 \ --peer-ip-address 169.254.21.1 \ --region us-central1
Untuk tunnel VPN kedua, tambahkan antarmuka BGP ke Cloud Router:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_IF0 \ --ip-address=GOOGLE_BGP_IP_1 \ --region=REGION
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers add-interface cloud-router \ --interface-name azure-tunnel-2-int-1 \ --mask-length 30 \ --vpn-tunnel azure-tunnel-2 \ --ip-address 169.254.22.2 \ --region us-central1
Untuk tunnel VPN kedua, tambahkan peer BGP ke antarmuka:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=BGP_PEER_NAME_2 \ --peer-asn=AZURE_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=AZURE_BGP_IP_1 \ --region=REGION
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers add-bgp-peer cloud-router \ --peer-name azure-bgp-peer-2 \ --peer-asn 65515 \ --interface azure-tunnel-2-int-1 \ --peer-ip-address 169.254.22.1 \ --region us-central1
Membuat gateway jaringan lokal dan koneksi VPN di Azure
Setelah komponen Google Cloud dibuat dan dikonfigurasi, Anda akan kembali ke lingkungan Azure untuk menyelesaikan proses menghubungkan Google Cloud ke Azure. Untuk menyelesaikan koneksi ini, buat komponen berikut di Azure:
- Dua gateway jaringan lokal yang mewakili Google Cloud VPN Anda di Azure.
- Dua koneksi VPN yang sesuai dengan dua tunnel VPN dengan ketersediaan tinggi (HA) yang dikonfigurasikan di Google Cloud.
Membuat dua gateway jaringan lokal
Gateway jaringan lokal adalah objek tertentu yang mewakili Google Cloud VPN Anda di Azure. Saat membuat gateway jaringan lokal, Anda menentukan informasi berikut:
- Nama untuk gateway jaringan lokal.
- Alamat IP antarmuka VPN dengan ketersediaan tinggi (HA) yang akan digunakan di koneksi.
- Alamat IP Google Cloud Router tempat Anda ingin membuat koneksi.
- Awalan alamat IP yang dirutekan melalui gateway VPN ke Cloud Router. Awalan alamat yang ditentukan adalah awalan yang terdapat di Cloud VPN Anda. Jika virtual private network Cloud berubah atau perlu mengubah alamat IP eksternal untuk Cloud Router, Anda dapat memperbarui nilainya nanti.
Anda perlu membuat dua gateway jaringan lokal: satu gateway yang terhubung ke antarmuka tunnel VPN dengan ketersediaan tinggi (HA) pertama di Google Cloud dan gateway lain yang terhubung ke antarmuka tunnel VPN dengan ketersediaan tinggi (HA) kedua.
Untuk mengetahui informasi selengkapnya, lihat bagian membuat gateway jaringan lokal dalam tutorial Membuat koneksi VPN site-to-site di portal Azure dalam dokumentasi Azure.
Untuk membuat gateway jaringan lokal pertama, ikuti langkah-langkah berikut:
- Login ke Portal Azure.
- Di Penelusuran layanan resources dan dokumen (G+/), ketikgateway jaringan lokal .
- Pada hasil penelusuran di bagian Marketplace, cari dan pilih gateway jaringan lokal.
- Klik Create.
Pada tab Basics di halaman Buat jaringan lokal gateway , tentukan nilai berikut untuk gateway jaringan lokal Anda:
- Di daftar Langganan, pastikan langganan yang benar ditampilkan.
- Di daftar Resource group, pilih grup resource yang sama dengan yang Anda buat untuk VNet sebelumnya di dokumen ini.
- Untuk Wilayah, pilih lokasi yang sama dengan tempat VNet Anda berada.
- Untuk Nama, masukkan nama gateway jaringan lokal Anda, misalnya
azure-to-google-locgateway1
. - Untuk Endpoint, pilih Alamat IP.
- Di kotak Alamat IP, masukkan alamat IP untuk
INTERFACE0
VPN dengan ketersediaan tinggi (HA) (yaitu, masukkanHA_VPN_INT_0
). Untuk Ruang Alamat, masukkan rentang alamat IP untuk jaringan yang direpresentasikan oleh jaringan lokal ini.
Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang-tindih dengan rentang jaringan lain yang ingin Anda hubungkan.
Pada tab Advanced, konfigurasikan setelan BGP sebagai berikut:
- Untuk Mengonfigurasi setelan BGP, pilih Ya.
- Untuk Autonomous system number (ASN), masukkan ASN untuk Cloud Router Anda (yaitu, masukkan
GOOGLE_ASN
). - Untuk alamat IP pembanding BGP, masukkan alamat IP BGP untuk Cloud Router di tunnel 1 (yaitu, masukkan
GOOGLE_BGP_IP_0
).
Untuk memvalidasi konfigurasi gateway jaringan lokal, klik Tinjau dan buat di bagian bawah halaman.
Setelah lulus validasi, klik Buat untuk membuat gateway jaringan lokal.
Untuk membuat gateway jaringan lokal kedua, ikuti langkah-langkah berikut:
- Di Portal Azure, di Penelusuran layanan resources dan dokumen (G+/), ketik
local network gateway
. - Di bagian Marketplace, pada hasil penelusuran, cari dan pilih gateway jaringan lokal.
Pada tab Basics di halaman Buat jaringan lokal gateway , tentukan nilai berikut untuk gateway jaringan lokal Anda:
- Di daftar Langganan pastikan langganan yang benar ditampilkan.
- Di daftar Resource group pilih grup resource yang sama dengan yang Anda buat untuk VNet sebelumnya di dokumen ini.
- Untuk Wilayah, pilih region yang sama dengan region VNet Anda.
- Untuk Nama, masukkan nama gateway jaringan lokal Anda, misalnya
azure-to-google-locgateway2
. - Untuk Endpoint, pilih Alamat IP.
- Di kotak Alamat IP masukkan alamat IP untuk
INTERFACE1
VPN dengan ketersediaan tinggi (HA) (yaitu, masukkanHA_VPN_INT_1
). - Untuk Ruang Alamat, masukkan rentang alamat IP untuk jaringan yang direpresentasikan oleh jaringan lokal ini.
Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang-tindih dengan rentang jaringan lain yang ingin Anda hubungkan.
Pada tab Advanced, konfigurasikan setelan BGP sebagai berikut:
- Untuk Mengonfigurasi setelan BGP, pilih Ya.
- Untuk Autonomous system number (ASN), masukkan ASN untuk Cloud Router Anda (yaitu, masukkan
GOOGLE_ASN
). - Untuk alamat IP pembanding BGP, masukkan alamat IP BGP untuk Cloud Router di tunnel 1 (yaitu, masukkan
GOOGLE_BGP_IP_1
).
Untuk memvalidasi konfigurasi gateway jaringan lokal, klik Tinjau dan buat di bagian bawah halaman.
Setelah lulus validasi, klik Buat untuk membuat gateway jaringan lokal.
Membuat dua koneksi VPN
Untuk membuat koneksi VPN di Azure, Anda memerlukan kunci yang dibagikan sebelumnya, atau SHARED_SECRET, yang Anda konfigurasi saat menyiapkan tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud.
- Di Portal Azure, temukan gateway VPN aktif-aktif yang Anda buat di bagian Membuat gateway VPN aktif-aktif.
- Pilih Koneksi.
- Di bagian atas halaman Koneksi, pilih +Tambahkan.
- Di halaman Add connection, tentukan nilai berikut untuk koneksi
pertama Anda:
- Untuk Name, masukkan nama koneksi, seperti
azure-vnet-to-google1
. - Untuk Jenis Connection, pilih Site-to-site (IPsec).
- UntukJaringan lokal gateway, tentukan gateway jaringan lokal pertama
yang Anda buat, seperti
azure-to-google-locgateway1
. - Untuk Kunci bersama (PSK), tentukan kunci bersama yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA) pertama.
- Pilih Aktifkan BGP.
- Untuk Protokol IKE, pilih IKEv2.
- Klik Oke.
- Di halaman Connections pilih +Add untuk menambahkan koneksi kedua dengan nilai berikut:
- Untuk Name, masukkan nama koneksi, seperti
azure-vnet-to-google2
. - Untuk Jenis Connection, pilih Site-to-site (IPsec).
- Untuk Jaringan lokal gateway, tentukan gateway jaringan lokal kedua
yang Anda buat, seperti
azure-to-google-locgateway2
. - Untuk Kunci bersama (PSK), tentukan kunci bersama yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA) pertama.
- Pilih Aktifkan BGP.
- Untuk Protokol IKE, pilih IKEv2.
- Klik Oke.
- Untuk Name, masukkan nama koneksi, seperti
- Di halaman Connections verifikasi bahwa status kedua koneksi tercantum sebagai Connected.
Memverifikasi konfigurasi
Di Google Cloud, Anda dapat memverifikasi konfigurasi VPN dengan ketersediaan tinggi (HA) dengan memeriksa (listingan) konfigurasi Cloud Router lalu memeriksa status tunnel VPN dengan ketersediaan tinggi (HA)
Di Cloud Shell, cantumkan alamat IP pembanding BGP yang dipilih oleh Cloud Router:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
Perintah akan terlihat seperti contoh berikut:
gcloud compute routers get-status cloud-router \ --region us-central1 \ --format='flattened(result.bgpPeerStatus[].name,result.bgpPeerStatus[].ipAddress,result.bgpPeerStatus[].peerIpAddress)'
Output yang diharapkan untuk Cloud Router yang mengelola dua tunnel VPN dengan ketersediaan tinggi (HA) (indeks
0
dan indeks1
) akan terlihat seperti contoh berikut:result.bgpPeerStatus[0].ipAddress: 169.254.21.2 result.bgpPeerStatus[0].name: azure-bgp-peer-1 result.bgpPeerStatus[0].peerIpAddress: 169.254.21.1 result.bgpPeerStatus[1].ipAddress: 169.254.22.2 result.bgpPeerStatus[1].name: azure-bgp-peer-2 result.bgpPeerStatus[1].peerIpAddress: 169.254.22.1
Di Cloud Shell, lihat status tunnel VPN dengan ketersediaan tinggi (HA) pertama:
gcloud compute vpn-tunnels describe TUNNEL_NAME_IF0 \ --region=REGION
Ganti kode berikut:
TUNNEL_NAME_IF0
: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) pertama yang Anda konfigurasikan.REGION
: wilayah tempat Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA).
Perintah akan terlihat seperti contoh berikut:
gcloud compute vpn-tunnels describe azure-tunnel-1 -–region=us-central1
Output yang diharapkan untuk tunnel akan terlihat mirip dengan contoh berikut:
creationTimestamp: '2022-09-28T17:13:21.592-07:00' description: '' detailedStatus: Tunnel is up and running. id: '278561789474069966' ikeVersion: 2 kind: compute#vpnTunnel localTrafficSelector: - 0.0.0.0/0 name: azure-tunnel-1 peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw peerExternalGatewayInterface: 0 peerIp: 203.0.113.1 region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1 remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-1 sharedSecret: '*************' sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9paz status: ESTABLISHED vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnGateways/ha-vpn-gw-a vpnGatewayInterface: 0
Di Cloud Shell, lihat status tunnel VPN dengan ketersediaan tinggi (HA) kedua:
gcloud compute vpn-tunnels describe TUNNEL_NAME_IF1 \ --region=REGION
Ganti kode berikut:
TUNNEL_NAME_IF1
: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) kedua yang Anda konfigurasikan.REGION
: wilayah tempat Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA).
Perintah akan terlihat seperti contoh berikut:
gcloud compute vpn-tunnels describe azure-tunnel-2 --region=us-central1
Output yang diharapkan untuk tunnel akan terlihat mirip dengan contoh berikut:
creationTimestamp: '2022-09-28T17:13:21.592-07:00' description: '' detailedStatus: Tunnel is up and running. id: '5665972275117479944' ikeVersion: 2 kind: compute#vpnTunnel localTrafficSelector: - 0.0.0.0/0 name: azure-tunnel-2 peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw peerExternalGatewayInterface: 1 peerIp: 203.0.113.2 region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1 remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-2 sharedSecret: '*************' sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9ddd
Menguji konektivitas
Untuk menguji koneksi VPN dengan ketersediaan tinggi (HA), Anda harus membuat VM di setiap sisi tunnel terlebih dahulu.
Selanjutnya, pastikan bahwa Anda memiliki aturan firewall yang ditentukan di Google Cloud yang mengizinkan traffic ICMP masuk dari subnet jaringan Azure. Setelah menerapkan aturan firewall dan VM, Anda dapat menguji konektivitas menggunakan ping dan menguji bandwidth menggunakan iperf.
Buat VM uji di setiap sisi tunnel untuk menguji permintaan ping.
Anda juga harus mengonfigurasi firewall jaringan Azure untuk mengizinkan traffic masuk dari awalan subnet yang digunakan di Virtual Private Cloud Anda.
Di Google Cloud, konfigurasikan aturan firewall yang mengizinkan traffic ICMP masuk dari VPN Azure Anda:
gcloud compute firewall-rules create RULE_NAME \ --network NETWORK \ --direction ingress \ --action allow \ --source-ranges AZURE_VNET_RANGE \ --rules icmp \
Ganti
AZURE_VNET_RANGE
dengan rentang alamat IP yang ditetapkan ke Azure VNet Anda.Perintah akan terlihat seperti contoh berikut:
gcloud compute firewall-rules create allow-azure-icmp \ --network google-to-azure-vpc \ --direction ingress \ --action allow \ --source-ranges 10.0.0.0/16 \ --rules icmp
Menguji koneksi menggunakan perintah ping.
Mengukur bandwidth antar-mesin uji menggunakan iperf.
Pembersihan
Hapus resource Google Cloud dan Azure yang telah dibuat selama tutorial ini.
Menghapus project Google Cloud
Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, Anda dapat menghapus project Anda.
- Di konsol Google Cloud, buka halaman Manage resource.
- Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
- Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.
Menghapus grup resource Azure
Hapus grup resource Azure Manager yang Anda buat saat membuat
VNet. Dalam tutorial ini, nama grup resource contoh
adalah azure-to-google-resgroup
.
Untuk mengetahui informasi selengkapnya, lihat Azure Resource Manager resource grup dan penghapusan resource.
Langkah selanjutnya
- Pelajari selengkapnya tentang Google Cloud VPN.
- Pelajari selengkapnya tentang praktik terbaik dan arsitektur referensi untuk desain VPC.