添加 VPN 隧道

本页面介绍了如何为高可用性 VPN 或传统 VPN 添加 VPN 隧道。

如果您尚未设置高可用性 VPN 网关,请参阅以下内容:

添加从高可用性 VPN 网关到对等 VPN 网关的隧道

如需获得 99.99% 正常运行时间的服务等级协议 (SLA),请在每个高可用性 VPN 接口上配置一个隧道。本部分介绍了在高可用性 VPN 网关的接口上配置额外隧道的步骤。

在以下情况下,请配置额外的高可用性 VPN 隧道:

  • 如果您已将高可用性 VPN 网关配置为具有单个对等 VPN 接口的对等 VPN 网关。
  • 如果您之前在高可用性 VPN 网关上为包含任意数量的接口的对等 VPN 网关设置了单个隧道,但现在想要为高可用性 VPN 网关实现 99.99% 的 SLA 正常运行时间承诺。
  • 如果您已部署通过 Cloud Interconnect 实现的高可用性 VPN,并且需要添加高可用性 VPN 隧道以满足 VLAN 连接容量增加的需求。

如需配置额外的高可用性 VPN 隧道,请完成以下步骤。

控制台

  1. 在 Google Cloud 控制台中,转到 VPN 页面。

    转到 VPN

  2. 点击创建 VPN 隧道

  3. 从下拉菜单中选择需要额外隧道的网关,然后点击继续

  4. 选择 Cloud Router 路由器。如果您尚未配置 Cloud Router 路由器,请按照创建 VPN 隧道过程中创建 Cloud Router 路由器的步骤操作。

  5. 对于对等 VPN 网关,请选择本地或非 Google Cloud

  6. 对于对等 VPN 网关名称,请选择新隧道将使用的现有对等 VPN 网关资源。如需检查此 Cloud VPN 网关的现有对等 VPN 网关名称,请在靠近页面顶部的 VPN 网关名称下,点击查看所有现有隧道

  7. 您可能会收到一条警告,提示具有相同对等 VPN 网关接口的隧道已与相同的本地 Cloud VPN 网关接口关联。如需解决此问题,请在关联的 Cloud VPN 网关接口下,选择其他高可用性 VPN 接口。

  8. 如需完成隧道配置,请配置创建 VPN 隧道过程中列出的其余步骤。

添加从一个高可用性 VPN 网关到另一个高可用性 VPN 网关的隧道

本部分介绍在高可用性 VPN 网关的第二个接口上配置第二个隧道的步骤。

如果您已在一个高可用性 VPN 网关到另一个高可用性 VPN 网关上配置了一个隧道,但希望获得服务等级协议 (SLA) 承诺的 99.99% 的正常运行时间,则必须再配置一个隧道。在高可用性 VPN 到高可用性 VPN 网关配置的每一端的每个高可用性 VPN 接口上配置一个隧道。

如需配置第二个隧道,请完成以下步骤。

控制台

  1. 在 Google Cloud 控制台中,转到 VPN 页面。

    转到 VPN

  2. 找到要向其添加隧道的高可用性 VPN。

  3. 点击添加 VPN 隧道

  4. 对等 VPN 网关下,选择 Google Cloud

  5. 项目下,选择将包含新网关的 Google Cloud 项目。

  6. 对于 VPN 网关名称,请选择新隧道所连接的其他高可用性 VPN 网关。

  7. 选择向现有 VPN 隧道再添加一个 VPN 隧道以实现高可用性

  8. 选择现有 VPN 隧道下,确保已选中现有隧道。您可以点击同一页面顶部附近的链接,查看所有现有隧道。

  9. 指定隧道名称

  10. 指定另一个网关上的隧道所使用的同一个 IKE 版本

  11. 使用预共享密钥(共享密钥)指定 IKE 预共享密钥,该密钥必须与您在对等网关上创建的合作伙伴隧道的预共享密钥相对应。如果您尚未在对等 VPN 网关上配置预共享密钥并希望生成预共享密钥,请点击生成并复制。请确保将预共享密钥记录在安全位置,因为在创建 VPN 隧道后将无法检索该密钥。

  12. 点击创建并继续

  13. 配置并保存 BGP 会话。或者,您也可以稍后按照创建 BGP 会话过程中的步骤执行此操作。

  14. 请查看摘要和提醒页面获取配置信息,然后点击确定

向传统 VPN 添加隧道

与传统 VPN 网关关联的每个 Cloud VPN 隧道必须连接到唯一的对等 VPN 网关,根据对等网关的 IP 地址来标识。如果您需要创建连接到同一网关的第二个隧道,则必须从其他 Cloud VPN 网关创建该隧道。

如需配置第二个隧道,请完成以下步骤。

控制台

  1. 在 Google Cloud 控制台中,转到 VPN 页面。

    转到 VPN

  2. 点击 Google VPN 网关标签页。

  3. 点击现有 VPN 网关的名称。

  4. VPN 网关详情页面上的隧道部分,点击添加 VPN 隧道

  5. 提供以下信息:

    1. 名称字段中,输入隧道的名称。
    2. 远程对等 IP 地址字段中,输入对等 VPN 网关的外部 IP 地址。
    3. 选择与您的对等 VPN 网关兼容的 IKE 版本
    4. 提供 IKE 预共享密钥(共享密钥)用于身份验证。如需查看相关建议,请参阅生成强预共享密钥
    5. 点击适当的路由选项
      • 如需使用动态路由,请点击动态 (BGP)。在 Cloud Router 菜单上,选择或创建新的 Cloud Router 路由器。如需定义 BGP 会话参数,请在 BGP 会话字段中点击 修改。每个 BGP 会话的每个 BGP IP 地址范围在 Virtual Private Cloud (VPC) 网络的所有区域的所有 Cloud Router 路由器中必须是唯一的。
      • 如需使用基于路由的 VPN,请点击基于路由。在远程网络 IP 地址范围字段中,提供对等网络使用的 IP 地址范围。
      • 如需使用基于政策的路由,请点击基于政策。同时提供远程网络 IP 地址范围本地 IP 地址范围。在本地子网菜单中,选择 VPC 网络中的子网的 IP 地址范围。

  6. 点击创建

  7. 按照配置对等 VPN 网关中的步骤完成配置。

gcloud

按照创建基于路由的 VPN 网关和隧道的步骤操作,但从创建 Cloud VPN 隧道部分开始。

如果新隧道具有相同的 CIDR 块,您可以跳至配置防火墙规则

检查隧道状态

配置高可用性 VPN 隧道或传统 VPN 隧道后,检查其状态

后续步骤

  • 如需查看 Cloud Logging 和 Cloud Monitoring 信息,请参阅查看日志和指标
  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查