Membuat koneksi HA VPN antara Google Cloud dan Azure

Tutorial ini menunjukkan cara membuat koneksi virtual private network (VPN) dengan ketersediaan tinggi (HA) antara Google Cloud dan Microsoft Azure. Anda dapat menggunakan layanan VPN dengan ketersediaan tinggi (HA) ini untuk komunikasi langsung antar jaringan Virtual Private Cloud (VPC) di Google Cloud dan Microsoft Azure Virtual Network Gateway.

Dokumen ini mengasumsikan bahwa Anda telah memahami konsep dasar jaringan VPC, Border Gateway Protocol (BGP), VPN, dan tunnel Internet Protocol Security (IPsec).

Google Cloud menyediakan VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC Anda ke lingkungan yang berjalan di luar Google Cloud, seperti Microsoft Azure, melalui koneksi VPN IPsec. VPN dengan ketersediaan tinggi (HA) memberikan perjanjian tingkat layanan (SLA) sebesar 99,99% ketersediaan layanan jika dikonfigurasi berdasarkan praktik terbaik Google.

Ringkasan arsitektur

Diagram berikut menunjukkan arsitektur yang dijelaskan dalam dokumen ini.

Ringkasan arsitektur

Arsitektur yang ditampilkan dalam diagram mencakup komponen berikut:

  • Cloud Router: Layanan Google Cloud yang terdistribusi dan terkelola sepenuhnya untuk menyediakan perutean dinamis menggunakan BGP untuk jaringan VPC Anda.
  • Gateway VPN dengan ketersediaan tinggi (HA): Gateway VPN yang dikelola Google yang berjalan di Google Cloud. Setiap gateway VPN dengan ketersediaan tinggi (HA) adalah resource regional yang memiliki dua antarmuka: antarmuka 0 dan 1. Masing-masing antar muka ini memiliki alamat IP eksternal sendiri.
  • Tunnel VPN: Koneksi dari gateway VPN dengan ketersediaan tinggi (HA) di Google Cloud ke gateway VPN pembanding di Azure yang traffic terenkripsi.
  • Gateway Jaringan Virtual: Dua jaringan pribadi yang ditentukan di layanan Azure Cloud.

Setiap koneksi Gateway Jaringan Virtual dilengkapi dengan dua tunnel yang telah dikonfigurasi sebelumnya untuk mengarah ke satu gateway pelanggan, yang dalam hal ini adalah antarmuka gateway VPN dengan ketersediaan tinggi (HA) di Google Cloud. Dengan jumlah minimum tunnel Cloud VPN yang diperlukan untuk memenuhi SLA ketersediaan layanan 99,99% adalah dua.

Alamat IP diperlukan untuk prosedur

Untuk menyelesaikan prosedur dalam dokumen ini, gunakan berbagai alamat IP di Google Cloud dan Azure. Beberapa alamat IP ini ditetapkan secara otomatis saat Anda membuat resource.

Untuk alamat yang tidak ditetapkan secara otomatis, tentukan alamat IP ini berdasarkan alamat IP yang Anda miliki dan kebutuhan organisasi Anda.

Resource Google Cloud memerlukan alamat IP berikut:

  • Membuat subnet untuk jaringan Virtual Private Cloud memerlukan rentang alamat IP yang ditentukan pengguna.
  • Setelah membuat gateway VPN dengan ketersediaan tinggi (HA), Google Cloud akan otomatis menetapkan dua alamat IP eksternal ke gateway VPN dengan ketersediaan tinggi (HA). Google menetapkan satu alamat IP ke masing-masing dari dua antarmuka {i>gateway<i}. Anda memerlukan alamat IP untuk antarmuka ini untuk menyiapkan gateway jaringan lokal di Azure.
  • Saat Anda membuat tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud, setiap tunnel memerlukan antarmuka BGP ke Cloud Router dan antarmuka BGP ke gateway jaringan virtual aktif-aktif (gateway VPN) di Azure. Untuk setiap tunnel, tentukan sepasang alamat IPv4 peering BGP lokal link dalam blok /30 dari rentang 169.254.21.* dan 169.254.22.*. Rentang ini adalah rentang yang valid untuk alamat IPv4 peering Azure APIPA BGP Anda harus memilih total empat alamat IP.

    Alamat IPv4 peering BGP yang Anda pilih harus unik di antara semua Cloud Router di semua region jaringan VPC.

Resource Azure memerlukan alamat IP berikut:

  • Saat Anda membuat jaringan virtual (VNet), VNet memerlukan ruang alamat IP untuk jaringan dan ruang alamat IP untuk subnet jaringan. Anda dapat menggunakan ruang alamat default atau memasukkan ruang alamat yang ditentukan oleh pengguna.
  • Saat Anda membuat gateway jaringan virtual aktif-aktif gateway (VPN gateway) tersebut memerlukan rentang alamat IP subnet. Anda dapat menggunakan rentang default atau memasukkan rentang yang ditentukanoleh pengguna.
  • Saat Anda mengonfigurasi BGP untuk gateway VPN yang aktif dan aktif, gateway tersebut memerlukan dua alamat IP peering BGP APIPA. Seperti yang disebutkan sebelumnya, rentang alamat IP peering BGP Azure APIPA yang valid adalah 169.254.21.* and 169.254.22.*.
  • Setelah Anda membuat gateway VPN yang aktif-aktif, Azure akan otomatis menetapkan alamat IP eksternal ke setiap antarmuka gateway. Anda memerlukan alamat IP ini untuk menyiapkan gateway VPN peer di Google Cloud.

Saat menentukan alamat IP, pastikan Anda menggunakan kumpulan alamat IP yang unik untuk setiap jaringan.

Tujuan

  • Buat jaringan virtual Azure (VNet) dan gateway jaringan virtual aktif-aktif (gateway VPN).
  • Buat komponen yang diperlukan di Google Cloud: jaringan VPC, Cloud Router, gateway VPN dengan ketersediaan tinggi (HA), gateway VPN a peer VPN gateway, and two HA VPN tunnels with BGP sesi.
  • Membuat dua gateway jaringan lokal dan dua koneksi VPN di Azure. Verifikasi konfigurasi Cloud Router dan periksa status tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud.
  • Uji Cloud VPN connection antara jaringan VPC di Google Cloud dan jaringan virtual (VNet) di Azure.

Biaya

Prosedur dalam dokumen ini menggunakan komponen Google Cloud yang dapat ditagih, termasuk:

Untuk memperkirakan biaya komponen Google Cloud, gunakanGoogle Cloud, gunakan Kalkulator Penentuan Harga Google Cloud.

Prosedur dalam dokumen ini menggunakan komponen layanan Microsoft Azure Cloud yang dapat ditagih, termasuk:

  • Gateway VPN
  • Gateway jaringan lokal

Untuk perkiraan biaya komponen Azure, gunakan Kalkulator harga Azure.

Sebelum memulai

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Make sure that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine API.

    Enable the API

  4. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  5. Pastikan Anda memiliki peran administratif yang diperlukan untuk mengonfigurasi komponen jaringan:

    • Network Admincompute.networkAdmin
    • Security Admin: compute.securityAdmin
    • Compute Admin: compute.admin

    Untuk informasi selengkapnya tentang tujuan peran ini, lihat Peran IAM untuk fungsi pekerjaan terkait jaringan

Membuat VNet dan gateway VPN aktif-aktif di Azure

Di Azure, Anda perlu menyiapkan komponen berikut:

  • Jaringan virtual (VNet) Azure yang memungkinkan resources Azure berkomunikasi dengan Google Cloud VPN Anda.
  • Gateway jaringan virtual (gateway VPN) aktif-aktif yang memungkinkan kedua kedua instance mesin virtual (VM) gateway membuat tunnel VPN ke Google Cloud VPN Anda.

Membuat VNet

VNet memungkinkan resource Azure berkomunikasi satu sama lain secara aman, internet, dan jaringan lain (seperti Cloud VPN). Untuk mengetahui informasi lebih lanjut mengenai pembuatan VNet, baca dokumentasi Azure mengenai pembuatan VNet.

  1. Login ke Portal Azure.
  2. Di kotak Penelusuran resources, layanan, dan dokumen(G+/), ketik virtual network.
  3. Dalam daftar hasil Marketplace, pilih Virtual network.
  4. Di halaman Jaringan virtual, pilih Buat.
  5. Pada tab Basics di halaman Buat virtual network, konfigurasikan setelan VNet berikut untuk Detail Project dan Detail instance:

    1. Di kotak Langganan, verifikasi bahwa langganan yang tercantum adalah langganan yang benar. Untuk mengubah langganan, pilih langganan dari daftar .
    2. Untuk menentukan grup resource, klik Buat baru untuk membuat grup baru, lalu masukkan nama seperti azure‑to‑google‑resgroup untuk nama grup resource.
    3. Di kotak Nama masukkan nama untuk VNet Anda, seperti azure‑to‑google‑network.
    4. Di kotak Wilayah, pilih lokasi untuk VNet Anda.

      Lokasi yang Anda pilih menentukan lokasi penyimpanan resource yang Anda deploy ke jaringan virtual ini.

  6. Pada tab Alamat IP di kotak ruang alamat IPv4 gunakan subnet dan ruang alamat default yang dibuat oleh Azure.

  7. Pada tab Sekuritas biarkan nilai untuk BastionHost, DDos Perlindungan Standar, dan Firewall ditetapkan ke nilai default Dinonaktifkan.

  8. Untuk memvalidasi setelan VNet, pilih Ulasan+ pembuat.

  9. Setelah setelan divalidasi, pilih Buat.

Membuat gateway VPN aktif-aktif

Prosedur berikut membuat gateway VPN aktif-aktif:

  • Prosedur pertama menentukan detail project dan instance
  • Prosedur kedua menentukan alamat IP untuk gateway.

Anda hanya membuat gateway VPN aktif-aktif saat ini. Anda harus membuat komponen Google Cloud sebelum dapat mengonfigurasi tunnel yang diperlukan di Azure. Untuk informasi selengkapnya tentang cara membuat gateway VPN aktif-aktif, lihat topik Mengonfigurasi gateway VPN aktif-aktif menggunakan portal dalam dokumentasi Azure.

Menentukan detail gateway

  1. Login ke Portal Azure.
  2. Di Penelusuran layanan resources dan dokumen (G+/), ketik virtual network gateway.
  3. Di bagian Layanan dalam hasil penelusuran, cari dan pilih Jaringan virtual gateway.
  4. Di halaman Jaringan virtual, pilih Buat
  5. Pada tab Basics di halaman Buat jaringan virtual gateway , tentukan nilai berikut untuk opsi dalam Detail project dan bagian Detail instance :

    1. Di daftar Langganan, pilih langganan yang ingin Anda gunakan.
    2. Opsional: Di kotak Rentang alamat IP subnet gateway , masukkan address range untuk subnet.
    3. Pastikan Grup Resource menampilkan grup resource yang sesuai dengan jaringan virtual yang Anda pilih di halaman ini.
    4. Untuk Nama, masukkan nama gateway Anda, seperti azure‑to‑google‑gateway.
    5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan saat membuat VNET.
    6. Untuk Jenis gateway, pilih VPN.
    7. Untuk Jenis VPN, pilih jenis VPN Berbasis rute.

    8. Di daftar SKU, pilih SKU gateway yang ingin Anda gunakan.

      SKU yang tercantum di menu drop-down bergantung pada jenis VPN yang Anda pilih.

    9. Di daftar Generator, pilih generator yang ingin Anda gunakan.

    10. Dalam daftar Jaringan virtual, pilih VNet yang Anda buat sebelumnya

  6. Tetaplah di halaman ini untuk prosedur berikutnya.

Menentukan alamat IP gateway

  1. Pada tab Basics di halaman Buat jaringan virtual gateway , lakukan langkah-langkah berikut untuk membuat alamat IP eksternal yang digunakan oleh VPN Gateway:

    1. Untuk Alamat IP publik, pilih Buat baru.

      Azure otomatis menetapkan alamat IP eksternal ke gateway VPN aktif-aktif Anda.

    2. Di kotak Nama alamat IP publik ketik nama untuk instance alamat IP eksternal Anda, seperti azure‑to‑google‑network‑ip1.

    3. Untuk Mengaktifkan mode aktif-aktif, pilih Aktifkan.

    4. Opsional: Jika tersedia untuk wilayah Anda, konfigurasikan Zona Ketersediaan. Misalnya, Anda dapat memilih Zona-redundant.

    5. Untuk Alamat IP publik, pilih Buat baru.

    6. Di kotak Nama alamat IP publik ketik nama alamat IP eksternal kedua seperti azure‑to‑google‑network‑ip2.

    7. Untuk Mengonfigurasi BGP, pilih Aktifkan.

    8. Untuk Autonomous system numbers (ASN), tetapkan ASN ke nilai yang valid dan diizinkan.

      Anda akan menggunakan nilai ASN ini saat menyiapkan sesi BGP untuk tunnel di Google Cloud. Catat nilai ini sebagai AZURE_ASN perujuk ke gateway VPN aktif-aktif ini.

    9. Untuk Alamat IP BGP Custom Azure APIPA, masukkan alamat IP BGP APIPA pertama dan catat nilainya sebagai AZURE_BGP_IP_0. Rentang alamat IP BGP Azure APIPA yang valid adalah 169.254.21.* dan 169.254.22.*.

    10. Untuk Alamat IP BGP Azure Custom Azure Kedua, masukkan alamat IP BGP APIPA kedua dan catat nilainya sebagai AZURE_BGP_IP_1. Anda akan menggunakan variabel ini saat mengonfigurasi sesi BGP di Google Cloud.

  2. Untuk menjalankan validasi, pilih Tinjau + buat.

  3. Setelah validasi selesai, pilih Buat untuk mendeploy VPN gateway.

Melihat dan mencatat alamat IP eksternal untuk gateway VPN aktif-aktif

Anda memerlukan alamat IP eksternal yang otomatis ditetapkan Azure ke gateway VPN aktif-aktif. Gunakan alamat IP ini untuk membuat resource gateway pembanding VPN di Google Cloud.

  1. Pada halaman Ringkasan untuk gateway aktif-aktif yang baru saja Anda buat, temukan alamat IP eksternal untuk gateway tersebut.
  2. Catat alamat IP yang Anda lihat di layar:
    • Catat alamat IP eksternal pertama sebagai AZURE_GW_IP_0.
    • Catat alamat IP eksternal kedua sebagai AZURE_GW_IP_1.

Selanjutnya, dokumen ini merujuk ke alamat IP ini sebagai AZURE_GW_IP_0 dan AZURE_GW_IP_1.

Membuat komponen Google Cloud

Di Google Cloud, Anda perlu menyiapkan komponen berikut:

  • Jaringan VPC.
  • Gateway VPN dengan ketersediaan tinggi (HA).
  • Cloud Router.
  • Pembanding VPN Gateway.
  • Tunnel VPN dengan ketersediaan tinggi (HA) dengan sesi BGP.

Prosedur berikut mengasumsikan bahwa Anda telah menyiapkan Google Cloud seperti yang dijelaskan di bagian Sebelum memulai. Jika Anda belum menyelesaikan langkah-langkah tersebut, lakukan sekarang.

Membuat jaringan VPC, subnet, gateway VPN dengan ketersediaan tinggi (HA), dan Cloud Router di Google Cloud

Di Google Cloud, Anda membuat jaringan VPC, membuat gateway VPN dengan ketersediaan tinggi (HA), membuat Cloud Router, lalu mengonfigurasi aturan firewall di Google Cloud.

  1. Di Google Cloud Shell, pastikan Anda bekerja di project Cloud yang Anda buat atau pilih:

    gcloud config set project YOUR_PROJECT_ID
    
    export PROJECT_ID=`gcloud config list   --format="value(core.project)"`

    Ganti YOUR_PROJECT_ID dengan project ID Google Cloud Anda.

  2. Buat jaringan VPC kustom dengan satu subnet:

    gcloud compute networks create NETWORK \
        --subnet-mode SUBNET_MODE \
        --bgp-routing-mode BGP_ROUTING_MODE

    Ganti kode berikut:

    • NETWORK: Nama jaringan, seperti google‑to‑azure‑vpc.
    • SUBNET_MODE: Mode subnet yang ditetapkan ke custom.
  3. BGP_ROUTING_MODE: Mode pemilihan rute BGP yang ditetapkan ke global.

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute networks create google-to-azure-vpc \
        --subnet-mode custom \
        --bgp-routing-mode global
  4. Buat satu subnet untuk menghosting VM pengujian:

    gcloud compute networks subnets create SUBNET_NAME \
        --network NETWORK \
        --region SUBNET_REGION \
        --range SUBNET_IP_ADDRESS_RANGE

    Ganti kode berikut:

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute networks subnets create subnet-central1  \
        --network google-to-azure-vpc \
        --region us-central1 \
        --range 10.1.1.0/24
    
  5. Buat gateway VPN dengan ketersediaan tinggi (HA):

    gcloud compute vpn-gateways create HA_VPN_GATEWAY_NAME \
        --network NETWORK \
        --region REGION

    Ganti HA_VPN_GATEWAY_NAME dengan nama gateway VPN dengan ketersediaan tinggi (HA).

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute vpn-gateways create ha-vpn-gw-a \
       --network google-to-azure-vpc \
       --region us-central1
    

    Gateway yang Anda buat akan terlihat seperti contoh output berikut:

    Created [https://www.googleapis.com/compute/v1/projects/YOUR_PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.1   203.0.113.2   google-to-azure-vpc   us-central1
    

    Daftar outputnya mencantumkan alamat IPv4 eksternal yang telah ditetapkan secara otomatis ke setiap antarmuka gateway (INTERFACE0 and INTERFACE1). Anda memerlukan alamat IP ini saat menyiapkan gateway jaringan lokal di Azure:

    • Catat alamat IP untuk INTERFACE0 di HA_VPN_INT_0.
    • Catat alamat IP untuk INTERFACE1 di HA_VPN_INT_1.
  6. Membuat cloud router

    gcloud compute routers create ROUTER_NAME \
        --region REGION \
        --network NETWORK \
        --asn GOOGLE_ASN \

    Ganti kode berikut:

    • ROUTER_NAME: Nama untuk Cloud Router Anda.
    • REGION: Wilayah tempat Anda membuat gateway dan tunnel VPN dengan ketersediaan tinggi (HA).
    • GOOGLE_ASN: Autonomous System Number (ASN) pribadi untuk Cloud Router yang Anda buat. Dapat berupa ASN pribadi apa pun dalam rentang 64512-65534 atau4200000000-4294967294 yang belum Anda gunakan sebagai pembanding ASN di wilayah dan jaringan yang sama.

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers create cloud-router \
        --region us-central1 \
        --network google-to-azure-vpc \
        --asn 65534
    

Membuat gateway VPN peer untuk VPN Azure

Di bagian ini, Anda akan membuat resource gateway VPN eksternal yang memberikan informasi ke Google Cloud tentang gateway VPN aktif-aktif Anda di Azure. Anda membuat gateway pembanding VPN tunggal yang menggunakan dua antarmuka terpisah, masing-masing dengan alamat IP eksternal sendiri.

Membuat satu gateway pembanding VPN eksternal dengan dua antarmuka:

gcloud compute external-vpn-gateways create AZURE_GW_NAME \
     --interfaces 0=AZURE_GW_IP_0,1=AZURE_GW_IP_1

Ganti kode berikut:

  • AZURE_GW_NAME: nama gateway VPN aktif-aktif Azure Anda
  • AZURE_GW_IP_0: : alamat IP eksternal untuk satu antarmuka dari gateway pembanding
  • AZURE_GW_IP_1: alamat IP eksternal untuk antarmuka lain dari gateway pembanding

Resource gateway VPN peer yang Anda buat akan terlihat mirip dengan contoh berikut dengan AZURE_GW_IP_0 dan AZURE_GW_IP_1 yang menampilkan alamat IP eksternal yang sebenarnya dari antarmuka gateway pembanding:

gcloud compute external-vpn-gateways create azure-peer-gw \
     --interfaces 0=203.0.113.1,1=203.0.113.2

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
azure-peer-gw  203.0.113.1  203.0.113.2

Buat tunnel VPN

Anda harus membuat dua tunnel VPN: satu tunnel untuk setiap antarmuka di gateway VPN pembanding. Saat mengonfigurasi tunnel VPN ke Azure, gunakan protokol enkripsi IKEv2.

Untuk perintah yang digunakan di bagian ini, ganti perintah berikut:

  • TUNNEL_NAME_IF0 dan TUNNEL_NAME_IF1: nama untuk tunnel; menamai tunnel dengan menyertakan nama antarmuka gateway dapat membantu mengidentifikasi tunnel nantinya
  • AZURE_GW_NAME: nama gateway pembanding eksternal yang dibuat sebelumnya
  • AZURE_GW_INT_NUM_0 dan AZURE_GW_INT_NUM_1: nomor antarmuka yang telah dikonfigurasi sebelumnya di gateway pembanding eksternal
  • IKE_VERS: gunakan 2 untuk IKEv2.
  • SHARED_SECRET: pre-shared key (rahasia bersama), harus sesuai dengan kunci yang dibagikan sebelumnya yang Anda tentukan saat menyiapkan koneksi VPN di Azure. Untuk melihat rekomendasi, lihat Membuat pre-shared key yang kuat.
  • HA_VPN_GATEWAY_NAME: nama gateway VPN dengan ketersediaan tinggi (HA).
  • INT_NUM_0: angka 0 untuk antarmuka pertama di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnya
  • INT_NUM_1: angka 1 untuk antarmuka kedua di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnya

Gunakan langkah-langkah berikut untuk membuat tunnel VPN:

  1. Buat tunnel VPN untuk antarmuka 0:

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=AZURE_GW_NAME \
       --peer-external-gateway-interface=AZURE_GW_INT_NUM_0  \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=HA_VPN_GATEWAY_NAME \
       --interface=INT_NUM_0

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute vpn-tunnels create azure-tunnel-1 \
       --peer-external-gateway azure-peer-gw \
       --peer-external-gateway-interface 0  \
       --region us-central1  \
       --ike-version 2 \
       --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
       --router cloud-router \
       --vpn-gateway ha-vpn-gw-a \
       --interface 0
  2. Buat tunnel VPN untuk antarmuka 1:

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
      --peer-external-gateway=AZURE_GW_NAME \
      --peer-external-gateway-interface=AZURE_GW_INT_NUM_1 \
      --region=REGION \
      --ike-version=IKE_VERS \
      --shared-secret=SHARED_SECRET \
      --router=ROUTER_NAME \
      --vpn-gateway=HA_VPN_GATEWAY_NAME \
      --interface=INT_NUM_1

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute vpn-tunnels create azure-tunnel-2 \
       --peer-external-gateway azure-peer-gw \
       --peer-external-gateway-interface 1  \
       --region us-central1  \
       --ike-version 2 \
       --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
       --router cloud-router \
       --vpn-gateway ha-vpn-gw-a \
       --interface 1

Membuat sesi BGP

Untuk perutean dinamis, gunakan Cloud Router untuk membuat sesi BGP antara Google Cloud dan Azure. Kami merekomendasikan menggunakan perutean dinamis alih-alih perutean statis bila memungkinkan, seperti yang dibahas in the Cloud VPN Overview dan Jaringan Cloud VPN dan Tunnel Pemilihan Rute.

Anda perlu membuat sesi BGP untuk setiap tunnel VPN. Setiap sesi BGP terdiri dari antarmuka BGP ke Cloud Router dan pembanding BGP. Anda membuat pembanding BGP untuk masing-masing dari dua tunnel VPN yang baru saja Anda buat.

Untuk perintah yang digunakan di bagian ini, ganti perintah berikut:

  • ROUTER_NAME: nama yang Anda tetapkan ke Cloud Router.
  • ROUTER_INTERFACE_NAME_0 dan ROUTER_INTERFACE_NAME_1: nama untuk antarmuka BGP Cloud Router; sebaiknya gunakan nama yang terkait dengan nama tunnel yang telah dikonfigurasi sebelumnya
  • MASK_LENGTH: menentukan 30; setiap sesi BGP di Cloud Router yang sama harus menggunakan /30CIDR unik dari 169.254.0.0/16 blok.
  • GOOGLE_BGP_IP_0 dan GOOGLE_BGP_IP_1: alamat IP pembanding BGP untuk antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang Anda konfigurasi; setiap tunnel menggunakan antarmuka {i>gateway<i} yang berbeda. Karena rentang yang diizinkan untuk alamat IP peering BGP Azure APIPA adalah 169.254.21.* dan 169.254.22.*, Anda harus memilih alamat IP yang tersedia di /30 CIDR dari rentang tersebut untuk Alamat IP BGP pembanding Cloud Router.
  • AZURE_BGP_IP_0 dan AZURE_BGP_IP_1: alamat IP pembanding BGP APIPA yang telah Anda konfigurasikan di gateway VPN aktif-aktif Azure setiap tunnel menggunakan alamat yang berbeda.
  • TUNNEL_NAME_IF0 dan TUNNEL_NAME_IF1: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang Anda konfigurasikan
  • AZURE_ASN: ASN yang dikonfigurasikan untuk gateway VPN pembanding aktif di Azure.
  • BGP_PEER_NAME_1 dan BGP_PEER_NAME_2 dengan nama unik untuk setiap pembanding BGP. Misalnya, azure‑bgp‑peer‑1 dan azure‑bgp‑peer‑2.

Untuk membuat sesi BGP untuk tunnel VPN, ikuti langkah-langkah berikut:

  1. Untuk tunnel VPN pertama, tambahkan antarmuka BGP ke Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_IF0 \
       --ip-address=GOOGLE_BGP_IP_0 \
       --region=REGION

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers add-interface cloud-router \
       --interface-name azure-tunnel-1-int-0 \
       --mask-length 30 \
       --vpn-tunnel azure-tunnel-1 \
       --ip-address 169.254.21.2 \
       --region us-central1
    
  2. Untuk tunnel VPN pertama, tambahkan pembanding BGP ke antarmuka:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=BGP_PEER_NAME_1 \
       --peer-asn=AZURE_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --peer-ip-address=AZURE_BGP_IP_0 \
       --region=REGION

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers add-bgp-peer cloud-router \
       --peer-name azure-bgp-peer-1 \
       --peer-asn 65515 \
       --interface azure-tunnel-1-int-0 \
       --peer-ip-address 169.254.21.1 \
       --region us-central1
    
  3. Untuk tunnel VPN kedua, tambahkan antarmuka BGP ke Cloud Router:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_1 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_IF0 \
       --ip-address=GOOGLE_BGP_IP_1 \
       --region=REGION

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers add-interface cloud-router \
       --interface-name azure-tunnel-2-int-1 \
       --mask-length 30 \
       --vpn-tunnel azure-tunnel-2 \
       --ip-address 169.254.22.2 \
       --region us-central1
    
  4. Untuk tunnel VPN kedua, tambahkan peer BGP ke antarmuka:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=BGP_PEER_NAME_2 \
       --peer-asn=AZURE_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --peer-ip-address=AZURE_BGP_IP_1 \
       --region=REGION

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers add-bgp-peer cloud-router \
      --peer-name azure-bgp-peer-2 \
      --peer-asn 65515 \
      --interface azure-tunnel-2-int-1 \
      --peer-ip-address 169.254.22.1 \
      --region us-central1
    

Membuat gateway jaringan lokal dan koneksi VPN di Azure

Setelah komponen Google Cloud dibuat dan dikonfigurasi, Anda akan kembali ke lingkungan Azure untuk menyelesaikan proses menghubungkan Google Cloud ke Azure. Untuk menyelesaikan koneksi ini, buat komponen berikut di Azure:

  • Dua gateway jaringan lokal yang mewakili Google Cloud VPN Anda di Azure.
  • Dua koneksi VPN yang sesuai dengan dua tunnel VPN dengan ketersediaan tinggi (HA) yang dikonfigurasikan di Google Cloud.

Membuat dua gateway jaringan lokal

Gateway jaringan lokal adalah objek tertentu yang mewakili Google Cloud VPN Anda di Azure. Saat membuat gateway jaringan lokal, Anda menentukan informasi berikut:

  • Nama untuk gateway jaringan lokal.
  • Alamat IP antarmuka VPN dengan ketersediaan tinggi (HA) yang akan digunakan di koneksi.
  • Alamat IP Google Cloud Router tempat Anda ingin membuat koneksi.
  • Awalan alamat IP yang dirutekan melalui gateway VPN ke Cloud Router. Awalan alamat yang ditentukan adalah awalan yang terdapat di Cloud VPN Anda. Jika virtual private network Cloud berubah atau perlu mengubah alamat IP eksternal untuk Cloud Router, Anda dapat memperbarui nilainya nanti.

Anda perlu membuat dua gateway jaringan lokal: satu gateway yang terhubung ke antarmuka tunnel VPN dengan ketersediaan tinggi (HA) pertama di Google Cloud dan gateway lain yang terhubung ke antarmuka tunnel VPN dengan ketersediaan tinggi (HA) kedua.

Untuk mengetahui informasi selengkapnya, lihat bagian membuat gateway jaringan lokal dalam tutorial Membuat koneksi VPN site-to-site di portal Azure dalam dokumentasi Azure.

Untuk membuat gateway jaringan lokal pertama, ikuti langkah-langkah berikut:

  1. Login ke Portal Azure.
  2. Di Penelusuran layanan resources dan dokumen (G+/), ketikgateway jaringan lokal .
  3. Pada hasil penelusuran di bagian Marketplace, cari dan pilih gateway jaringan lokal.
  4. Klik Create.
  5. Pada tab Basics di halaman Buat jaringan lokal gateway , tentukan nilai berikut untuk gateway jaringan lokal Anda:

    1. Di daftar Langganan, pastikan langganan yang benar ditampilkan.
    2. Di daftar Resource group, pilih grup resource yang sama dengan yang Anda buat untuk VNet sebelumnya di dokumen ini.
    3. Untuk Wilayah, pilih lokasi yang sama dengan tempat VNet Anda berada.
    4. Untuk Nama, masukkan nama gateway jaringan lokal Anda, misalnya azure-to-google-locgateway1.
    5. Untuk Endpoint, pilih Alamat IP.
    6. Di kotak Alamat IP, masukkan alamat IP untuk INTERFACE0 VPN dengan ketersediaan tinggi (HA) (yaitu, masukkan HA_VPN_INT_0).
    7. Untuk Ruang Alamat, masukkan rentang alamat IP untuk jaringan yang direpresentasikan oleh jaringan lokal ini.

      Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang-tindih dengan rentang jaringan lain yang ingin Anda hubungkan.

  6. Pada tab Advanced, konfigurasikan setelan BGP sebagai berikut:

    1. Untuk Mengonfigurasi setelan BGP, pilih Ya.
    2. Untuk Autonomous system number (ASN), masukkan ASN untuk Cloud Router Anda (yaitu, masukkan GOOGLE_ASN).
    3. Untuk alamat IP pembanding BGP, masukkan alamat IP BGP untuk Cloud Router di tunnel 1 (yaitu, masukkan GOOGLE_BGP_IP_0).
  7. Untuk memvalidasi konfigurasi gateway jaringan lokal, klik Tinjau dan buat di bagian bawah halaman.

  8. Setelah lulus validasi, klik Buat untuk membuat gateway jaringan lokal.

Untuk membuat gateway jaringan lokal kedua, ikuti langkah-langkah berikut:

  1. Di Portal Azure, di Penelusuran layanan resources dan dokumen (G+/), ketik local network gateway.
  2. Di bagian Marketplace, pada hasil penelusuran, cari dan pilih gateway jaringan lokal.
  3. Pada tab Basics di halaman Buat jaringan lokal gateway , tentukan nilai berikut untuk gateway jaringan lokal Anda:

    1. Di daftar Langganan pastikan langganan yang benar ditampilkan.
    2. Di daftar Resource group pilih grup resource yang sama dengan yang Anda buat untuk VNet sebelumnya di dokumen ini.
    3. Untuk Wilayah, pilih region yang sama dengan region VNet Anda.
    4. Untuk Nama, masukkan nama gateway jaringan lokal Anda, misalnya azure-to-google-locgateway2.
    5. Untuk Endpoint, pilih Alamat IP.
    6. Di kotak Alamat IP masukkan alamat IP untuk INTERFACE1 VPN dengan ketersediaan tinggi (HA) (yaitu, masukkan HA_VPN_INT_1).
    7. Untuk Ruang Alamat, masukkan rentang alamat IP untuk jaringan yang direpresentasikan oleh jaringan lokal ini.

    Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang-tindih dengan rentang jaringan lain yang ingin Anda hubungkan.

  4. Pada tab Advanced, konfigurasikan setelan BGP sebagai berikut:

    1. Untuk Mengonfigurasi setelan BGP, pilih Ya.
    2. Untuk Autonomous system number (ASN), masukkan ASN untuk Cloud Router Anda (yaitu, masukkan GOOGLE_ASN).
    3. Untuk alamat IP pembanding BGP, masukkan alamat IP BGP untuk Cloud Router di tunnel 1 (yaitu, masukkan GOOGLE_BGP_IP_1).
  5. Untuk memvalidasi konfigurasi gateway jaringan lokal, klik Tinjau dan buat di bagian bawah halaman.

  6. Setelah lulus validasi, klik Buat untuk membuat gateway jaringan lokal.

Membuat dua koneksi VPN

Untuk membuat koneksi VPN di Azure, Anda memerlukan kunci yang dibagikan sebelumnya, atau SHARED_SECRET, yang Anda konfigurasi saat menyiapkan tunnel VPN dengan ketersediaan tinggi (HA) di Google Cloud.

  1. Di Portal Azure, temukan gateway VPN aktif-aktif yang Anda buat di bagian Membuat gateway VPN aktif-aktif.
  2. Pilih Koneksi.
  3. Di bagian atas halaman Koneksi, pilih +Tambahkan.
  4. Di halaman Add connection, tentukan nilai berikut untuk koneksi pertama Anda:
    1. Untuk Name, masukkan nama koneksi, seperti azure-vnet-to-google1.
    2. Untuk Jenis Connection, pilih Site-to-site (IPsec).
    3. UntukJaringan lokal gateway, tentukan gateway jaringan lokal pertama yang Anda buat, seperti azure-to-google-locgateway1.
    4. Untuk Kunci bersama (PSK), tentukan kunci bersama yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA) pertama.
    5. Pilih Aktifkan BGP.
    6. Untuk Protokol IKE, pilih IKEv2.
    7. Klik Oke.
    8. Di halaman Connections pilih +Add untuk menambahkan koneksi kedua dengan nilai berikut:
    9. Untuk Name, masukkan nama koneksi, sepertiazure-vnet-to-google2.
    10. Untuk Jenis Connection, pilih Site-to-site (IPsec).
    11. Untuk Jaringan lokal gateway, tentukan gateway jaringan lokal kedua yang Anda buat, seperti azure-to-google-locgateway2.
    12. Untuk Kunci bersama (PSK), tentukan kunci bersama yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA) pertama.
    13. Pilih Aktifkan BGP.
    14. Untuk Protokol IKE, pilih IKEv2.
    15. Klik Oke.
  5. Di halaman Connections verifikasi bahwa status kedua koneksi tercantum sebagai Connected.

Memverifikasi konfigurasi

Di Google Cloud, Anda dapat memverifikasi konfigurasi VPN dengan ketersediaan tinggi (HA) dengan memeriksa (listingan) konfigurasi Cloud Router lalu memeriksa status tunnel VPN dengan ketersediaan tinggi (HA)

  1. Di Cloud Shell, cantumkan alamat IP pembanding BGP yang dipilih oleh Cloud Router:

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute routers get-status cloud-router \
        --region us-central1 \
    --format='flattened(result.bgpPeerStatus[].name,result.bgpPeerStatus[].ipAddress,result.bgpPeerStatus[].peerIpAddress)'
    

    Output yang diharapkan untuk Cloud Router yang mengelola dua tunnel VPN dengan ketersediaan tinggi (HA) (indeks 0 dan indeks 1) akan terlihat seperti contoh berikut:

    result.bgpPeerStatus[0].ipAddress:     169.254.21.2
    result.bgpPeerStatus[0].name:          azure-bgp-peer-1
    result.bgpPeerStatus[0].peerIpAddress: 169.254.21.1
    result.bgpPeerStatus[1].ipAddress:     169.254.22.2
    result.bgpPeerStatus[1].name:          azure-bgp-peer-2
    result.bgpPeerStatus[1].peerIpAddress: 169.254.22.1
    
  2. Di Cloud Shell, lihat status tunnel VPN dengan ketersediaan tinggi (HA) pertama:

    gcloud compute vpn-tunnels describe TUNNEL_NAME_IF0 \
       --region=REGION

    Ganti kode berikut:

    • TUNNEL_NAME_IF0: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) pertama yang Anda konfigurasikan.
    • REGION: wilayah tempat Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA).

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute vpn-tunnels describe azure-tunnel-1 -–region=us-central1
    

    Output yang diharapkan untuk tunnel akan terlihat mirip dengan contoh berikut:

    creationTimestamp: '2022-09-28T17:13:21.592-07:00'
    description: ''
    detailedStatus: Tunnel is up and running.
    id: '278561789474069966'
    ikeVersion: 2
    kind: compute#vpnTunnel
    localTrafficSelector:
    -   0.0.0.0/0
    name: azure-tunnel-1
    peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
    peerExternalGatewayInterface: 0
    peerIp: 203.0.113.1
    region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
    remoteTrafficSelector:
    -   0.0.0.0/0
    router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-1
    sharedSecret: '*************'
    sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9paz
    status: ESTABLISHED
    vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
    vpnGatewayInterface: 0
    
  3. Di Cloud Shell, lihat status tunnel VPN dengan ketersediaan tinggi (HA) kedua:

    gcloud compute vpn-tunnels describe TUNNEL_NAME_IF1 \
       --region=REGION

    Ganti kode berikut:

    • TUNNEL_NAME_IF1: tunnel yang terkait dengan antarmuka gateway VPN dengan ketersediaan tinggi (HA) kedua yang Anda konfigurasikan.
    • REGION: wilayah tempat Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA).

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute vpn-tunnels describe azure-tunnel-2 --region=us-central1
    

    Output yang diharapkan untuk tunnel akan terlihat mirip dengan contoh berikut:

    creationTimestamp: '2022-09-28T17:13:21.592-07:00'
    description: ''
    detailedStatus: Tunnel is up and running.
    id: '5665972275117479944'
    ikeVersion: 2
    kind: compute#vpnTunnel
    localTrafficSelector:
    -   0.0.0.0/0
    name: azure-tunnel-2
    peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
    peerExternalGatewayInterface: 1
    peerIp: 203.0.113.2
    region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
    remoteTrafficSelector:
    -   0.0.0.0/0
    router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-2
    sharedSecret: '*************'
    sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9ddd
    

Menguji konektivitas

Untuk menguji koneksi VPN dengan ketersediaan tinggi (HA), Anda harus membuat VM di setiap sisi tunnel terlebih dahulu.

Selanjutnya, pastikan bahwa Anda memiliki aturan firewall yang ditentukan di Google Cloud yang mengizinkan traffic ICMP masuk dari subnet jaringan Azure. Setelah menerapkan aturan firewall dan VM, Anda dapat menguji konektivitas menggunakan ping dan menguji bandwidth menggunakan iperf.

  1. Buat VM uji di setiap sisi tunnel untuk menguji permintaan ping.

    Anda juga harus mengonfigurasi firewall jaringan Azure untuk mengizinkan traffic masuk dari awalan subnet yang digunakan di Virtual Private Cloud Anda.

  2. Di Google Cloud, konfigurasikan aturan firewall yang mengizinkan traffic ICMP masuk dari VPN Azure Anda:

    gcloud compute firewall-rules create RULE_NAME \
        --network NETWORK \
        --direction ingress \
        --action allow \
        --source-ranges AZURE_VNET_RANGE \
        --rules icmp \

    Ganti AZURE_VNET_RANGE dengan rentang alamat IP yang ditetapkan ke Azure VNet Anda.

    Perintah akan terlihat seperti contoh berikut:

    gcloud compute firewall-rules create allow-azure-icmp \
      --network google-to-azure-vpc \
      --direction ingress \
      --action allow \
      --source-ranges 10.0.0.0/16 \
      --rules icmp
    
  3. Menguji koneksi menggunakan perintah ping.

  4. Mengukur bandwidth antar-mesin uji menggunakan iperf.

Pembersihan

Hapus resource Google Cloud dan Azure yang telah dibuat selama tutorial ini.

Menghapus project Google Cloud

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, Anda dapat menghapus project Anda.

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus grup resource Azure

Hapus grup resource Azure Manager yang Anda buat saat membuat VNet. Dalam tutorial ini, nama grup resource contoh adalah azure-to-google-resgroup.

Untuk mengetahui informasi selengkapnya, lihat Azure Resource Manager resource grup dan penghapusan resource.

Langkah selanjutnya