Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC

Console

L'assistant de configuration VPN inclut toutes les étapes de configuration requises pour créer une passerelle VPN haute disponibilité, une ressource de passerelle VPN de pairs, des tunnels et des sessions BGP.

Pour créer la première passerelle VPN haute disponibilité, procédez comme suit :

1. Dans Google Cloud Console, accédez à la page VPN.

   Accéder au VPN

2. Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.

3. Sélectionnez l'assistant de configuration VPN.

4. Si vous disposez déjà d'une passerelle VPN haute disponibilité, sélectionnez son bouton d'options.

5. Cliquez sur Continuer.

6. Spécifiez un nom de passerelle VPN.

7. Sous Réseau VPC, sélectionnez un réseau existant ou le réseau par défaut.

8. Sélectionnez une Région.

9. Sélectionnez un type de pile pour la passerelle, soit IPv4 (pile unique), soit IPv4 et IPv6 (double pile).

10. Cliquez sur Créer et continuer.

11. L'écran de la console est actualisé et affiche les informations relatives à votre passerelle. Deux adresses IPv4 externes sont automatiquement attribuées à chaque interface de votre passerelle. Notez les détails de la configuration de votre passerelle pour les prochaines étapes de configuration.

Pour créer la deuxième passerelle VPN haute disponibilité, répétez les étapes précédentes, et tenez compte des points suivants :

• Si nécessaire, utilisez un navigateur distinct pour créer la deuxième passerelle VPN haute disponibilité. Si vous souhaitez connecter deux VPN haute disponibilité, sélectionnez le projet qui héberge le réseau auquel vous souhaitez vous connecter.
• Spécifiez la même région que celle que vous avez configurée pour la première passerelle VPN haute disponibilité.
• Veillez à spécifier le même type de pile que la première passerelle : IPv4 (pile unique) ou IPv4 et IPv6 (double pile).

gcloud

En fonction des charges de travail que vous prévoyez de prendre en charge avec vos tunnels, vous pouvez choisir le type de pile comme suit lors de la création des passerelles :

• Pour n'accepter que les charges de travail IPv4, créez une passerelle VPN haute disponibilité avec le type de pile IPV4_ONLY.
• Pour accepter les charges de travail IPv4 et IPv6, créez une passerelle VPN haute disponibilité avec le type de pile IPV4_IPV6.
• Pour n'accepter que les charges de travail IPv6, créez une passerelle VPN haute disponibilité avec le type de pile IPV6_ONLY, disponible uniquement en version bêta, en utilisant Google Cloud CLI ou l'API.

Pour créer deux passerelles VPN haute disponibilité, exécutez les commandes suivantes :

• Créez une passerelle VPN haute disponibilité sur chaque réseau de la région REGION.

  Lorsque les passerelles sont créées, deux adresses IPv4 externes sont automatiquement attribuées, une pour chaque interface de passerelle. Notez ces adresses IP que vous utiliserez ultérieurement dans les étapes de configuration.

  Dans les commandes suivantes, remplacez les éléments suivants :

  • GW_NAME_1 et GW_NAME_2 : nom de chaque passerelle
  • NETWORK : nom de votre réseau Google Cloud
  • REGION : région Google Cloud dans laquelle vous devez créer la passerelle et le tunnel.
  • IP_STACK : option facultative à utiliser pour la pile IP. Indiquez IPV4_ONLY, IPV4_IPV6 ou IPV6_ONLY (bêta). Si vous ne spécifiez pas cette option, le type de pile est défini par défaut sur IPV4_IPV6.

  Créer la première passerelle

  Pour une passerelle avec des interfaces IPv4 :

  gcloud compute vpn-gateways create GW_NAME_1 \
     --network=NETWORK_1 \
     --region=REGION \
     --stack-type=IP_STACK
  

  La passerelle que vous créez est semblable à l'exemple de résultat suivant. Une adresse IPv4 externe a été attribuée automatiquement à chaque interface de passerelle :

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
  NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
  ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
  

  Créer la deuxième passerelle

  gcloud compute vpn-gateways create GW_NAME_2 \
     --network=NETWORK_2 \
     --region=REGION \
     --stack-type=IP_STACK
  

  Si vous avez spécifié un type de pile pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle.

  Pour REGION, utilisez la région que vous avez spécifiée lors de la création de la première passerelle VPN haute disponibilité.

  La passerelle que vous créez ressemble à l'exemple de résultat suivant:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-east1/vpnGateways/ha-vpn-gw-b].
  NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
  ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-east1
  

  Pour une passerelle avec des interfaces IPv6 :

  gcloud beta compute vpn-gateways create GW_NAME_1 \
     --network=NETWORK_1 \
     --region=REGION \
     --gateway-ip-version=IPV6 \
     --stack-type=IP_STACK
  

  Une adresse IPv6 externe est automatiquement attribuée à chaque interface de passerelle :

API

Pour créer la configuration complète d'une passerelle VPN haute disponibilité, utilisez les commandes API suivantes dans les sections suivantes. Toutes les valeurs de champs utilisées dans ces sections sont des exemples de valeurs.

Pour une passerelle avec des interfaces IPv4 :

1. Créez la première passerelle VPN haute disponibilité en envoyant une requête POST à la méthode vpnGateways.insert.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
    "name": "ha-vpn-gw-a",
    "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
    "stackType": "IPV4_IPV6"
   }
   

   Le champ stackType est facultatif. Les seules valeurs valides sont IPV4_IPV6 et IPV4_ONLY. Si vous ne spécifiez pas de stackType, la valeur par défaut est IPV4_ONLY.

2. Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres project, name, network et region appropriés.

   Si vous avez spécifié stackType pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle (IPV4_ONLY ou IPV4_IPV6).

Pour une passerelle avec des interfaces IPv6 :

1. Créez la première passerelle VPN haute disponibilité en envoyant une requête POST à la méthode vpnGateways.insert.

   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
    "name": "ha-vpn-gw-a",
    "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
    "gatewayIpVersion": "IPV6",
    "stackType": "IPV6_ONLY"
   }
   

   Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier IPV6 comme valeur gatewayIpVersion. Le champ stackType est facultatif.

   • Si vous ne spécifiez pas stackType, la valeur par défaut est IPV4_IPV6.

   • Les seules valeurs stackType valides pour une passerelle dont le champ gatewayIpVersion est défini sur IPV6 sont IPV4_IPV6 ou IPV6_ONLY (bêta).

2. Répétez la commande pour créer la deuxième passerelle VPN haute disponibilité, puis spécifiez les paramètres project, name, network et region appropriés.

   Lorsque vous allouez des adresses IPv6 externes à la passerelle VPN haute disponibilité, vous devez spécifier IPV6 comme valeur gatewayIpVersion. Le champ stackType est facultatif.

   Si vous avez spécifié stackType pour la première passerelle, utilisez le même type de pile pour la deuxième passerelle, à savoir IPV6_ONLY (bêta) ou IPV4_IPV6.

Console

Pour spécifier la ressource de passerelle VPN de pairs pair, procédez comme suit :

1. Sur la page Créer un VPN, de la section Passerelle VPN de pairs, sélectionnez Passerelle Google Cloud VPN.
2. Pour Projet, sélectionnez le projet Google Cloud contenant la nouvelle passerelle.
3. Pour Nom de la passerelle VPN, sélectionnez le deuxième VPN haute disponibilité que vous avez créé à la section Créer les passerelles VPN haute disponibilité.
4. Continuez à créer des tunnels VPN.

gcloud

Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.

Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.

API

Vous avez créé la ressource de passerelle VPN de pairs lors de la création de la deuxième passerelle VPN haute disponibilité, en suivant les instructions de la section Créer des passerelles VPN haute disponibilité.

Vous spécifiez cette passerelle VPN haute disponibilité comme ressource de passerelle VPN de pairs lors de la création des tunnels VPN haute disponibilité.

Console

Sous Cloud Router, si ce n'est pas déjà fait, créez un routeur en spécifiant les options suivantes. Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

1. Pour créer un routeur Cloud Router, spécifiez les éléments suivants :

   • Un nom
   • Une description facultative
   • Un numéro ASN Google pour le nouveau routeur

   Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.

2. Pour créer le routeur, cliquez sur Créer.

gcloud

Les instructions suivantes supposent que vous n'avez pas encore créé de routeurs Cloud à utiliser pour la gestion des sessions BGP de vos tunnels VPN haute disponibilité. Vous pouvez utiliser un routeur Cloud Router existant dans chaque réseau VPC, sauf si ces routeurs gèrent déjà une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

Pour créer deux routeurs Cloud Router, exécutez les commandes suivantes :

• Créez un routeur Cloud Router dans chaque réseau de REGION.

  Dans les commandes suivantes, remplacez les éléments suivants :

  • PEER_ASN_1 et PEER_ASN_2 : tout numéro ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas déjà. Cet exemple utilise le numéro ASN 65001 pour les deux interfaces du routeur ROUTER_NAME_1 et ASN 65002 pour les deux interfaces du routeur ROUTER_NAME_2.
  • Remplacez toutes les autres options par les valeurs que vous avez utilisées précédemment.

  Créer le premier routeur

  gcloud compute routers create ROUTER_NAME_1 \
     --region=REGION \
     --network=NETWORK_1 \
     --asn=PEER_ASN_1
  

  Le routeur que vous créez est semblable à l'exemple de résultat suivant:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
  NAME       REGION        NETWORK
  router-a   us-central1   network-a
  

  Créer le deuxième routeur

  gcloud compute routers create ROUTER_NAME_2 \
     --region=REGION \
     --network=NETWORK_2 \
     --asn=PEER_ASN_2
  

  Le routeur que vous créez est semblable à l'exemple de résultat suivant:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
  NAME       REGION        NETWORK
  router-b   us-central1   network-b
  

API

Si vous avez déjà créé un routeur Cloud Router dans chacun des réseaux VPC hébergeant chacune de vos passerelles VPN haute disponibilité, vous pouvez utiliser ces routeurs au lieu d'en créer. Toutefois, si un routeur Cloud Router gère une session BGP pour un rattachement de VLAN associé à une connexion par interconnexion partenaire, créez un routeur.

Pour créer un routeur Cloud Router, envoyez une requête POST à la méthode routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

Console

Pour créer des tunnels VPN, procédez comme suit :

1. Sous Haute disponibilité, sélectionnez une paire de tunnels ou un tunnel vers l'autre passerelle VPN haute disponibilité :

   • Si vous sélectionnez Créer une paire de tunnels VPN (recommandé), configurez les deux boîtes de dialogue qui s'affichent en bas de la page Créer un VPN.

   • En sélectionnant Créer un tunnel VPN unique, vous configurez un seul tunnel sur le reste de la page Créer un VPN. Toutefois, pour obtenir un contrat de niveau de service garantissant une disponibilité de 99,99 % avec l'autre passerelle VPN haute disponibilité, vous devez créer un deuxième tunnel. Vous pouvez ajouter un deuxième tunnel ultérieurement, comme décrit à la fin de cette procédure.

2. Effectuez les étapes suivantes, sur la même page ou dans la boîte de dialogue de chaque tunnel en bas de la page.

3. Si vous configurez un tunnel sous Interface passerelle Cloud VPN associée, sélectionnez la combinaison interface VPN haute disponibilité et adresse IP de cette passerelle pour l'associer à l'interface passerelle de l'autre passerelle VPN haute disponibilité. Pour les configurations à deux tunnels, cette option et l'option Interface passerelle VPN de pairs associée ne sont pas disponibles, car les combinaisons d'interface appropriées sont configurées pour vous.

   1. Spécifiez un nom pour le tunnel.
   2. Spécifiez une Description facultative.
   3. Spécifiez la version IKE. Nous vous recommandons d'utiliser IKEv2, le paramètre par défaut. Pour autoriser le trafic IPv6, vous devez sélectionner IKEv2.
   4. Spécifiez une clé pré-partagée IKE à l'aide de votre clé pré-partagée (secret partagé), qui doit correspondre à celle du tunnel partenaire que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
   5. Cliquez sur OK.
   6. Sur la page Créer un VPN, répétez les étapes de création du tunnel pour toutes les boîtes de dialogue de tunnel restantes.

4. Lorsque vous avez configuré tous les tunnels, cliquez sur Créer et continuer.

gcloud

Pour créer deux tunnels VPN sur chaque passerelle VPN haute disponibilité, exécutez les commandes suivantes :

• Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_2 dans NETWORK_2.
• Le tunnel de l'interface 1 de GW_NAME_1 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_2.

• Lorsque vous créez des tunnels VPN sur GW_NAME_1 dans le réseau NETWORK_1, spécifiez les informations concernant GW_NAME_2 dans le réseau NETWORK_2. Google connecte automatiquement le tunnel de l'interface 0 dans le réseau GW_NAME_1 à l'interface 0 du réseau GW_NAME_2, et l'interface 1 de GW_NAME_1 à l'interface 1 du réseau GW_NAME_2.

  Créer deux tunnels sur la passerelle GW_NAME_1

  • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_1 dans le réseau NETWORK_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • TUNNEL_NAME_GW1_IF0 et TUNNEL_NAME_GW1_IF1 : nom de chaque tunnel provenant de GW_NAME_1 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
    • GW_NAME_2 : valeur de --peer-gcp-gateway.
    • REGION : région où GW_NAME_1 se trouve.
    • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN haute disponibilité à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande.
    • IKE_VERS : 2 pour IKEv2, comme ces deux tunnels se connectent à une autre passerelle VPN haute disponibilité, Google recommande d'utiliser IKEv2. Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.
    • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit être la même clé que vous utilisez pour le tunnel correspondant créé à partir de GW_NAME_2 sur l'interface 0 et l'interface 1. Pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
    • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_1.
    • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_1
    • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :

      --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
      

    • La région --peer-gcp-gateway-region, qui correspond à la région de la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.

    Créer le premier tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_0

    gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \
        --peer-gcp-gateway=GW_NAME_2 \
        --region=REGION \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --router=ROUTER_NAME_1 \
        --vpn-gateway=GW_NAME_1 \
        --interface=INT_NUM_0
    

    Créer le deuxième tunnel sur la passerelle GW_NAME_1 de l'interface INT_NUM_1

    gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
        --peer-gcp-gateway=GW_NAME_2 \
        --region=REGION \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --router=ROUTER_NAME_1 \
        --vpn-gateway=GW_NAME_1 \
        --interface=INT_NUM_1
    

    Le résultat de la commande ressemble à ceci :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
    NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
    tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
    NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
    tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
    

  Créer deux tunnels sur la passerelle GW_NAME_2

  • Créez deux tunnels VPN (un pour chaque interface) de la passerelle GW_NAME_2 dans le réseau NETWORK_2.

    • Le tunnel que vous créez à partir de l'interface 0 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'adresse de l'interface 0 de GW_NAME_1 dans NETWORK_1.
    • Le tunnel de l'interface 1 de GW_NAME_2 doit se connecter à l'adresse IP externe associée à l'interface 1 de GW_NAME_1.

    Dans les commandes suivantes, remplacez les éléments suivants :

    • REGION : région où GW_NAME_2 se trouve.
    • Facultatif : --vpn-gateway-region correspond à la région de la passerelle VPN à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété de région pour cet appel de commande.
    • TUNNEL_NAME_GW2_IF0 et TUNNEL_NAME_GW2_IF1 : nom de chaque tunnel provenant de GW_NAME_2 ; nommer les tunnels en incluant le nom de l'interface de la passerelle peut aider à les identifier ultérieurement.
    • GW_NAME_1 : valeur de --peer-gcp-gateway ; la valeur de --peer-gcp-gateway-region doit se trouver dans la même région que celle du tunnel VPN. Si elle n'est pas spécifiée, la valeur est définie automatiquement. Dans cet exemple, la région est REGION.
    • IKE_VERS : 2 pour IKEv2, étant donné que ces tunnels se connectent aux deux tunnels créés à l'étape précédente, ils doivent utiliser la même version du protocole IKE (Google recommande l'utilisation d'IKEv2). Pour autoriser le trafic IPv6, vous devez utiliser IKEv2.
    • SHARED_SECRET : votre clé pré-partagée (secret partagé), qui doit correspondre à la clé pré-partagée pour le tunnel partenaire que vous avez créé sur chaque interface de GW_NAME_1 ; pour obtenir des recommandations, consultez la page Générer une clé pré-partagée sécurisée.
    • GW_NAME_2 : nom de la deuxième passerelle que vous avez configurée à l'étape de configuration de la passerelle.
    • INT_NUM_0 : numéro 0 pour la première interface sur GW_NAME_2.
    • INT_NUM_1 : numéro 1 pour la deuxième interface sur GW_NAME_2
    • Si peer-gcp-gateway se trouve dans un projet différent du tunnel VPN et de la passerelle VPN locale, utilisez l'option --peer-gcp-gateway comme URI complet ou comme nom relatif pour spécifier le projet. L'exemple d'option suivant est un nom relatif :

      --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
      

    • La région --peer-gcp-gateway-region, qui correspond à la passerelle VPN haute disponibilité côté pair à laquelle le tunnel VPN est connecté, doit se trouver dans la même région que le tunnel VPN. Si elle n'est pas spécifiée, la région est définie automatiquement.

    Créer le premier tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_0

    gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
        --peer-gcp-gateway=GW_NAME_1 \
        --region=REGION \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --router=ROUTER_NAME_2 \
        --vpn-gateway=GW_NAME_2 \
        --interface=INT_NUM_0
    

    Créer le deuxième tunnel sur la passerelle GW_NAME_2 de l'interface INT_NUM_1

    gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
        --peer-gcp-gateway=GW_NAME_1 \
        --region=REGION \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --router=ROUTER_NAME_2 \
        --vpn-gateway=GW_NAME_2 \
        --interface=INT_NUM_1
    

    Le résultat de la commande ressemble à ceci :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
    NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
    tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
    NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
    tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
    

  Après cette étape, attendez quelques minutes, puis vérifiez l'état de chaque tunnel VPN.

  L'état d'un tunnel VPN ne passe à Established (Établi) que lorsque le tunnel partenaire correspondant est également disponible et correctement configuré. Un protocole IKE et une association de sécurité enfant doivent également être négociés entre eux.

  Par exemple, le tunnel tunnel-a-to-b-if-0 sur la passerelle ha-vpn-gw-a ne peut être établi que si le tunnel tunnel-b-to-a-if-0 sur la passerelle ha-vpn-gw-b est configuré et disponible.

API

Pour créer deux tunnels VPN, chacun correspondant à une interface sur une passerelle VPN haute disponibilité, envoyez une requête POST à la méthode vpnTunnels.insert.

1. Pour créer le premier tunnel, exécutez la commande suivante :

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
    "name": "ha-vpn-gw-a-tunnel-0",
    "ikeVersion": 2,
    "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
    "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
    "sharedSecret": "SECRET_1",
    "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
    "vpnGatewayInterface": 0
   }
   

   Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

2. Pour créer le deuxième tunnel, répétez la commande précédente, mais modifiez les paramètres suivants :

   • name : par exemple, ha-vpn-gw-a-tunnel-1
   • sharedSecret ou sharedSecretHash (si nécessaire)
   • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Ensuite, créez deux tunnels pour votre deuxième passerelle VPN haute disponibilité qui se connectent à votre première passerelle VPN haute disponibilité.

1. Pour créer le premier tunnel sur la deuxième passerelle VPN haute disponibilité, exécutez la commande suivante :

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
    "name": "ha-vpn-gw-b-tunnel-0",
    "ikeVersion": 2,
    "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
    "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b",
    "sharedSecret": SECRET_1,
    "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
    "vpnGatewayInterface": 0
   }
   

   Utilisez le même sharedSecret que celui que vous avez spécifié pour le premier tunnel sur la première passerelle (ha-vpn-gw-a-tunnel-0).

   Si vous envisagez d'activer IPv6 dans la session BGP associée à ce tunnel, vous devez spécifier 2 pour ikeVersion.

2. Pour créer le second tunnel sur la deuxième passerelle VPN haute disponibilité, répétez la commande précédente, mais modifiez les paramètres suivants :

   • name : par exemple, ha-vpn-gw-b-tunnel-1
   • sharedSecret ou sharedSecretHash : spécifiez le paramètre sharedSecret ou sharedSecretHash que vous avez utilisé lors de la création du deuxième tunnel sur la première passerelle
   • vpnGatewayInterface : remplacer par la valeur de l'autre interface de passerelle VPN haute disponibilité (dans cet exemple, remplacer cette valeur par 1)

Console

Pour créer des sessions BGP, procédez comme suit :

1. Si vous ne souhaitez pas configurer de sessions BGP maintenant, cliquez sur Configurer les sessions BGP ultérieurement, ce qui entraîne l'ouverture de la page Résumé et rappel.
2. Si vous souhaitez configurer des sessions BGP maintenant, sur le premier tunnel VPN, cliquez sur Configurer.
3. Sur la page Créer une session BGP, procédez comme suit :
   1. Spécifiez un nom pour la session BGP.
   2. Spécifiez le numéro ASN du pair configuré pour la passerelle VPN de pairs.
   3. Facultatif : spécifiez la priorité des routages annoncés.
   4. Facultatif : sélectionnez Activer IPv6 pour autoriser l'échange de préfixes d'adresses IPv6 sur la session BGP.
   5. Sous Allouer une adresse IPv4 BGP, sélectionnez Automatiquement ou Manuellement. Si vous sélectionnez Manuellement, vous pouvez spécifier l'adresse IP BGP du routeur Cloud Router et l'adresse IP du pair BGP. Assurez-vous que les adresses IPv4 répondent aux exigences suivantes :
      • Chaque adresse IP BGP doit appartenir au même CIDR /30 au sein du bloc 169.254.0.0/16.
      • Les adresses IP BGP ne peuvent pas correspondre à la première adresse (adresse réseau) ou à la dernière adresse (adresse de diffusion) du CIDR /30.
      • Chaque plage d'adresses IP BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.
   6. Facultatif : si vous avez activé IPv6, vous pouvez allouer les adresses de saut suivant IPv6 automatiquement ou manuellement. Pour allouer les adresses manuellement, procédez comme suit :
      1. Sous Allouer le saut suivant IPv6, sélectionnez Manuellement.
      2. Saisissez l'adresse IPv6 du saut suivant IPv6 de Cloud Router. Cette adresse correspond à l'adresse de saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/63.
      3. Saisissez l'adresse IPv6 du saut suivant IPv6 du pair. Cette adresse est l'adresse de saut suivant pour les routes IPv6 reçues par le routeur Cloud Router depuis le pair BGP. L'adresse du saut suivant IPv6 doit être comprise dans la plage 2600:2d00:0:2::/63.
   7. Facultatif : pour l'authentification MD5, sélectionnez Activé. Cela vous permet d'authentifier les sessions BGP entre un routeur Cloud Router et ses pairs. Pour obtenir des instructions sur la configuration de l'authentification MD5, consultez la page Utiliser l'authentification MD5 Vous pouvez également choisir d'activer l'authentification MD5 ultérieurement.
   8. Facultatif : cliquez sur la liste Routes annoncées et créez des routes personnalisées.
   9. Cliquez sur Enregistrer et continuer.
4. Répétez les étapes précédentes pour les autres tunnels configurés sur la passerelle. Pour chaque tunnel, utilisez une adresse IP BGP Cloud Router et une adresse IP de pair BGP différentes.
5. Lorsque vous avez configuré toutes les sessions BGP, cliquez sur Enregistrer la configuration BGP.

gcloud

Dans cette section, vous allez configurer les interfaces Cloud Router et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre les plages IPv4 et les adresses IPv4 du pair que vous spécifiez pour chaque interface.

Par exemple, la première interface de router-1 est associée à une adresse IPv4 169.254.0.1, ce qui signifie que router-1 est le premier hôte du sous-réseau IPv4 169.254.0.0/30. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à 169.254.0.2, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30. Par conséquent, l'adresse BGP IPv4 du pair de router-1 est 169.254.0.2 et l'adresse BGP IPv4 du pair de router-2 est 169.254.0.1.

Ce tableau montre également un exemple de configuration d'adresse de saut suivant IPv6.

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

1. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

   Cette interface connecte TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_0 : nom de l'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
   • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
   • IP_ADDRESS_1: adresse IPv4 BGP de la plage 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16.
   • PEER_NAME_GW1_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
   • PEER_IP_ADDRESS_1: adresse IPv4 BGP de 169.254.0.0/16 qui n'est pas encore utilisée. Cet exemple utilise 169.254.0.2. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 BGP, IP_ADDRESS_1 précédemment, omettez cette option. Google Cloud attribue automatiquement une adresse IPv4 du pair BGP correspondant. Si vous avez spécifié manuellement IP_ADDRESS_1, vous devez également configurer manuellement cette option.
   • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002

   • Facultatif: si vous créez des sessions BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 lorsque vous exécutez la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant manuellement, remplacez les deux éléments suivants :

     • IPV6_NEXTHOP_ADDRESS_1 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/63.
     • PEER_IPV6_NEXTHOP_ADDRESS_1: adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse du saut suivant doit être comprise dans la plage 2600:2d00:0:2::/63.

     Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage 2600:2d00:0:2::/63.

   • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF0. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

   Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF0

   Pour créer une interface avec une adresse IPv4 sur Cloud Router, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_0 \
       --ip-address=IP_ADDRESS_1 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
       --region=REGION
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

   L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF0 \
       --interface=ROUTER_1_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
   

   La commande suivante crée un pair BGP IPv4 sans IPv6 activé:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF0 \
       --interface=ROUTER_1_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key. Utilisez ce champ pour fournir votre clé secrète :

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF0 \
       --interface=ROUTER_1_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

   Cette interface permet de connecter TUNNEL_NAME_GW1_IF1 à l'interface 1 de GW_1 à l'interface 1 de GW_2.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
   • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié.
   • IP_ADDRESS_2: facultatif: adresse IPv4 BGP de 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 BGP, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16.
   • PEER_NAME_GW1_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
   • PEER_IP_ADDRESS_2: adresse IPv4 BGP de la plage 169.254.0.0/16 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.2. Si vous n'avez pas spécifiquement attribué d'adresse IP BGP, IP_ADDRESS_2, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv4 de pair BGP correspondante. Si vous avez spécifié manuellement IP_ADDRESS_2, vous devez également configurer manuellement cette option.
   • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002

   • Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

     • IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 annoncées par Cloud Router. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
     • PEER_IPV6_NEXTHOP_ADDRESS_2 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

     Si vous ne spécifiez pas les adresses de saut suivant IPv6, Google Cloud attribue automatiquement les adresses inutilisées de la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

   • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

   Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

   Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1 \
      --ip-address=IP_ADDRESS_2 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

   L'exemple de commande suivant crée un pair BGP compatible avec IPv6 avec des adresses BGP IPv4 spécifiées manuellement et des adresses de saut suivant IPv6 :

   gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
   

   La commande suivante crée un pair BGP IPv4 pour lequel l'échange de routes IPv6 n'est pas activé:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key pour fournir votre clé secrète :

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

   gcloud compute routers describe ROUTER_NAME_1 \
       --region=REGION
   

   Le résultat de la commande ressemble à ceci :

    bgp:
      advertisemode: DEFAULT
      asn: 65001
      keepaliveInterval: 20
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv6: true
      interfaceName: if-tunnel-a-to-b-if-0
      ipAddress: 169.254.0.1
      ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
      name: bgp-peer-tunnel-a-to-b-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
      peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv6: true
      interfaceName: if-tunnel-a-to-b-if-1
      ipAddress: 169.254.1.1
      ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
      name: bgp-peer-tunnel-a-to-b-if-1
      peerAsn: 65002
      peerIpAddress: 169.254.1.2
      peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
      name: if-tunnel-a-to-b-if-0
    — ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
      name: if-tunnel-a-to-b-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
   

4. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

   Cette interface connecte TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_0 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
   • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
   • IP_ADDRESS_3: si vous avez configuré PEER_IP_ADDRESS_1 manuellement pour TUNNEL_NAME_GW1_IF0, spécifiez cette valeur pour IP_ADDRESS_3. Si Google Cloud a attribué automatiquement cette adresse IPv4 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF0, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.0.2.
   • MASK_LENGTH: spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16.
   • PEER_NAME_GW2_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
   • PEER_IP_ADDRESS_3 : adresse IPv4 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP PEER_NAME_GW1_IF0 que vous avez créé pour TUNNEL_NAME_GW1_IF0. Cet exemple utilise 169.254.0.1.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   • Facultatif: si vous créez des tunnels VPN avec des sessions BGP IPv4 et MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer le trafic IPv6. Vous devez configurer les adresses de saut suivant IPv6 pour qu'elles correspondent à l'interface et au pair BGP configuré pour la première passerelle. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

     • IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG PEER_NAME_GW1_IF0 que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:2.
     • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:0:1.

   • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF0

   Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF0

   Pour créer une interface avec une adresse IPv4, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_0 \
       --ip-address=IP_ADDRESS_3 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
       --region=REGION
   

   Créer un pair BGP pour TUNNEL_NAME_GW2_IF0

   L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:

   gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   La commande suivante crée un pair BGP IPv4 sans l'échange de route IPv6 activé:

   gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
   

   Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF0, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

   gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF0 \
      --interface=ROUTER_2_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_3 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

5. Créez une interface avec une adresse IPv4 et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

   Cette interface connecte TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
   • IP_VERSION: spécifiez IPV4 ou laissez-la sur non spécifié. Si non spécifié, la valeur par défaut est IPV4.
   • IP_ADDRESS_4: si vous avez attribué manuellement une adresse IPv4 BGP pour PEER_IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour IP_ADDRESS_4. Si Google Cloud a attribué automatiquement l'adresse IPv4, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF1, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise 169.254.1.2.
   • MASK_LENGTH: pour une interface avec une adresse IPv4, spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16. Pour une interface avec une adresse IPv6, spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW2_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
   • PEER_IP_ADDRESS_4 : adresse IP que vous avez spécifiée comme IP_ADDRESS_2 lors de la configuration de la première passerelle et de la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé pour TUNNEL_NAME_GW1_IF1. Cet exemple utilise 169.254.1.1.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   • Facultatif: si vous configurez une session BGP IPv4 avec MP-BGP, spécifiez --enable-ipv6 dans la commande add-bgp-peer pour activer l'échange de route IPv6. Vous avez également la possibilité de configurer manuellement les adresses de saut suivant IPv6. Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

     • IPV6_NEXTHOP_ADDRESS_4 : adresse du saut suivant pour les routes IPv6 que vous avez spécifiées précédemment dans PEER_IPV6_NEXTHOP_ADDRESS_2. Si vous avez attribué automatiquement des adresses de saut suivant IPv6 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez savoir quelle adresse de saut suivant IPv6 a été allouée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG PEER_NAME_GW1_IF1 que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ peerIpv6NextHopAddress.
     • PEER_IPV6_NEXTHOP_ADDRESS_3 : adresse du saut suivant pour les routes IPv6 apprises par le routeur Cloud Router à partir du pair BGP. Utilisez la valeur que vous avez spécifiée précédemment dans IPV6_NEXTHOP_ADDRESS_2. Si vous avez attribué automatiquement des adresses de saut suivant IPv6, exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat pour le pair BPG PEER_NAME_GW1_IF1 que vous avez configuré pour TUNNEL_NAME_GW1_IF1. Utilisez la valeur qui apparaît dans le champ Ipv6NextHopAddress. Cet exemple utilise 2600:2d00:0:2:0:0:1:1.

   • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF1

   Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF1

   gcloud compute routers add-interface ROUTER_NAME_2 \
      --interface-name=ROUTER_2_INTERFACE_NAME_1 \
      --ip-address=IP_ADDRESS_4 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
      --region=REGION
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

   Créer un pair BGP pour TUNNEL_NAME_GW2_IF1

   L'exemple de commande suivant crée un pair BGP avec l'échange de routes IPv6 activé:

   gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF1 \
      --interface=ROUTER_2_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   La commande suivante crée un pair BGP sans échange de route IPv6 activé :

   gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
   

   Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF1, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

   gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF1 \
      --interface=ROUTER_2_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

   gcloud compute routers describe ROUTER_NAME_2  \
      --region=REGION
   

   Le résultat de la commande ressemble à ceci :

    bgp:
      advertiseMode: DEFAULT
      asn: 65002
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv6: true
      interfaceName: if-tunnel-b-to-a-if-0
      ipAddress: 169.254.0.2
      ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
      name: bgp-peer-tunnel-b-to-a-if-0
      peerAsn: 65001
      peerIpAddress: 169.254.0.1
      peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv6: true
      interfaceName: if-tunnel-b-to-a-if-1
      ipAddress: 169.254.1.2
      ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
      name: bgp-peer-tunnel-b-to-a-if-1
      peerAsn: 65001
      peerIpAddress: 169.254.1.1
      peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      name: if-tunnel-b-to-a-if-0
      — ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
      name: if-tunnel-b-to-a-if-1
    kind: compute#router
    name: router-b
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
   

API

1. Pour créer une interface Cloud Router, envoyez une requête PATCH ou UPDATE à la méthode routers.patch ou à la méthode routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router. Créez une interface Cloud Router pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

   Les plages d'adresses IPv4 BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "interfaces": [
      {
        "name": "if-tunnel-a-to-on-prem-if-0",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipRange": "169.254.0.1/30"
      }
    ]
   }
   

2. Pour ajouter un pair BGP à un routeur Cloud Router de chaque tunnel VPN, effectuez l'une des requêtes PATCH ou UPDATE à l'aide de la méthode routers.patch ou de la méthode routers.update. Répétez cette commande pour l'autre tunnel VPN, en modifiant toutes les options sauf name et peerAsn.

   Pour créer une configuration de session BGP complète pour une passerelle VPN haute disponibilité, utilisez la commande API suivante :

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "bgpPeers": [
      {
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "peerIpAddress": "169.254.0.2",
        "peerAsn": 65002,
   
        "advertiseMode": "DEFAULT"
      }
    ]
   }
   

   Pour créer la configuration de session BGP complète pour une passerelle VPN haute disponibilité avec le protocole IPv6 activé, utilisez la commande API suivante :

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "bgpPeers": [
      {
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "peerIpAddress": "169.254.0.2",
        "peerAsn": 65002,
   
        "advertiseMode": "DEFAULT"
        "enableIpv6": true
        "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1"
        "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2"
      }
    ]
   }
   

   Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
   "md5AuthenticationKeys": [
     {
      "name": "bgppeer-1-key",
      "key": "secret_key_value"
      }
   ],
   }
   {
   "bgpPeers": [
     {
      "interfaceName": "if-tunnel-a-to-on-prem-if-0",
      "ipAddress": "169.254.0.1",
      "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
      "peerAsn": 65002,
      "peerIpAddress": "169.254.0.2",
      "advertiseMode": "DEFAULT",
      "md5AuthenticationKeyName": "bgppeer-1-key"
      }
    ],
   }
   

gcloud

Dans cette section, vous allez configurer les interfaces Cloud Router IPv6 et les pairs BGP. Le tableau suivant présente les interfaces et les pairs. Il indique la relation entre les plages IPv6 BGP et les adresses IP de pairs que vous spécifiez pour chaque interface.

Par exemple, la première interface de router-1 est associée à une adresse IPv6 de fdff:1:1:1::1, ce qui signifie que router-1 est le premier hôte du sous-réseau IPv6 fdff:1:1:1::/112. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à fdff:1:1:1::2, qui est le deuxième hôte du sous-réseau IPv6 fdff:1:1:1::/112. Par conséquent, l'adresse BGP IPv6 du pair de router-1 est fdff:1:1:1::2 et l'adresse BGP IPv6 du pair de router-2 est fdff:1:1:1::1.

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

1. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

   Cette interface connecte TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_0 : nom de l'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
   • IP_VERSION: IPV6; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
   • IP_ADDRESS_1: adresse IPv6 BGP de la plage ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise ffdf:1:1:1::2. Si vous omettez cette option et que vous n'attribuez pas d'adresse IPv6 manuellement, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW1_IF0 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF0 s'avère utile.
   • PEER_IP_ADDRESS_1: adresse IPv6 BGP de la plage ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise ffdf:1:1:1::1. Si vous n'avez pas encore attribué d'adresse IPv6 BGP spécifique, IP_ADDRESS_1, omettez cette option. Google Cloud attribue automatiquement une adresse IPv6 du pair BGP correspondant. Si vous avez spécifié manuellement IP_ADDRESS_1, vous devez également configurer manuellement cette option.
   • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002

   • Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud beta compute routers add-bgp-peer. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.

     Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :

     • IPV4_NEXTHOP_ADDRESS_1: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage de liaison locale 169.254.0.0/16.
     • PEER_IPV4_NEXTHOP_ADDRESS_1: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage de liaison locale 169.254.0.0/16.

     Si vous ne spécifiez pas les adresses de saut suivant IPv4, Google Cloud attribue automatiquement les adresses non utilisées de la plage 169.254.0.0/16.

   • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF0. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

   Facultatif: Attribuer une plage d'identifiants BGP

   Lorsque vous ajoutez la première interface à un routeur cloud disposant d'une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

   Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

   Automatique

   Créer une interface pour TUNNEL_NAME_GW1_IF0

   Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION \
     --ip-version=IPV6
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

   Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --enable-ipv4 \
   

   La commande suivante crée un pair BGP sans IPv4 activé et une adresse IPv6 attribuée automatiquement:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF0 \
    --interface=ROUTER_1_INTERFACE_NAME_0 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key. Utilisez ce champ pour fournir votre clé secrète :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF0 \
    --interface=ROUTER_1_INTERFACE_NAME_0 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

   Mode manuel

   Créer une interface pour TUNNEL_NAME_GW1_IF0

   Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante.

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0 \
     --ip-address=IP_ADDRESS_1 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION \
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF0

   Pour créer un pair BGP avec l'échange de routes IPv4 activé et les adresses de saut suivant IPv4 spécifiées manuellement, exécutez la commande suivante.

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_IP_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_1 \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_1
   

   La commande suivante crée un pair BGP sans échange de route IPv4 activé :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF0 \
    --interface=ROUTER_1_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_IP_ADDRESS_1 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key. Utilisez ce champ pour fournir votre clé secrète :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_IP_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

   Cette interface connecte TUNNEL_NAME_GW1_IF1 sur l'interface 1 de GW_1 à l'interface 1 de GW_2.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
   • IP_VERSION : IPV6
   • IP_ADDRESS_2: adresse IPv6 BGP de la plage ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise ffdf:1:1:1::1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: spécifiez une longueur de masque inférieure ou égale à 126
   • PEER_NAME_GW1_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW1_IF1 s'avère utile.
   • PEER_IP_ADDRESS_2: adresse IPv6 BGP de la plage ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise ffdf:1:1:2::1. Si vous n'avez pas spécifiquement attribué d'adresse IPv6, IP_ADDRESS_2, omettez cette option. Google Cloud vous attribue alors automatiquement une adresse IPv6 du pair BGP. Si vous avez spécifié manuellement IP_ADDRESS_2, vous devez également configurer manuellement cette option.
   • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002

   • Facultatif: pour activer l'échange de route IPv4 dans les sessions BGP IPv6 avec MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud beta compute routers add-bgp-peer. Vous avez également la possibilité de configurer automatiquement ou manuellement les adresses de saut suivant IPv4.

     Pour configurer les adresses de saut suivant IPv4 manuellement, remplacez les deux éléments suivants :

     • IPV4_NEXTHOP_ADDRESS_2: adresse du saut suivant pour les routes IPv4 annoncées par Cloud Router. L'adresse doit être comprise dans la plage de liaison locale 169.254.0.0/16.
     • PEER_IPV4_NEXTHOP_ADDRESS_2: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage IPv4 de liaison locale 169.254.0.0/16.

   • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

   Automatique

   Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

   Pour créer une interface avec une adresse IPv6 attribuée automatiquement, exécutez la commande suivante.

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
      --ip-version=IPV6
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

   Pour créer un pair BGP IPv6 avec l'échange de route IPv4 activé et des adresses de saut suivant IPv4 automatiquement attribuées, exécutez la commande suivante.

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv4 \
   

   La commande suivante crée un pair BGP sans IPv4 activé :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key pour fournir votre clé secrète :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

   Mode manuel

   Créer une interface Cloud Router pour TUNNEL_NAME_GW1_IF1

   Pour créer une interface avec une adresse IPv6 spécifiée manuellement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_1 \
     --ip-address=IP_ADDRESS_2 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
     --region=REGION \
   

   Créer un pair BGP pour TUNNEL_NAME_GW1_IF1

   Pour créer un pair BGP IPv6 avec l'échange de routes IPv4 activé, exécutez la commande suivante:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF1 \
    --interface=ROUTER_1_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_IP_ADDRESS_2 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION \
    --enable-ipv4 \
    --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_2 \
    --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_2
   

   La commande suivante crée un pair BGP sans IPv4 activé :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF1 \
    --interface=ROUTER_1_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_IP_ADDRESS_2 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION
   

   Si vous souhaitez utiliser l'authentification MD5, utilisez l'option --md5-authentication-key pour fournir votre clé secrète :

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1 \
     --interface=ROUTER_1_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_IP_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY_2
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

   gcloud compute routers describe ROUTER_NAME_1 \
       --region=REGION
   

   Le résultat de la commande ressemble à ceci :

    bgp:
      advertisemode: DEFAULT
      asn: 65001
      keepaliveInterval: 20
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv4: true
      interfaceName: if-tunnel-a-to-b-if-0
      ipAddress: fdff:1:1:1::1
      ipv4NexthopAddress: 169.254.12.2
      name: bgp-peer-tunnel-a-to-b-if-0
      peerAsn: 65002
      peerIpAddress: fdff:1:1:1::2
      peerIpv4NexthopAddress: 169.254.12.1
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv4: true
      interfaceName: if-tunnel-a-to-b-if-1
      ipAddress: fdff:1:1:2::1
      ipv4NexthopAddress: 169.254.13.2
      name: bgp-peer-tunnel-a-to-b-if-1
      peerAsn: 65002
      peerIpAddress: fdff:1:1:2::2
      peerIpv4NexthopAddress: 169.254.13.1
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: fdff:1:1:1::1/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
      name: if-tunnel-a-to-b-if-0
    — ipRange: fdff:1:1:2::1/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
      name: if-tunnel-a-to-b-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a
   

4. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

   Cette interface connecte TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_0 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
   • IP_VERSION: IPV6; Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 pour cette interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
   • IP_ADDRESS_3: si vous avez attribué manuellement une adresse IPv6 BGP pour PEER_IP_ADDRESS_1 pour TUNNEL_NAME_GW1_IF0, spécifiez cette valeur pour IP_ADDRESS_3. Si Google Cloud a attribué automatiquement cette adresse IPv6 du pair, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP PEER_NAME_GW1_IF0, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise ffdf:1:1:1::2.
   • MASK_LENGTH: spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW2_IF0 : nom décrivant le pair BGP ; utiliser un nom lié à TUNNEL_NAME_GW2_IF0 s'avère utile.
   • PEER_IP_ADDRESS_3 : adresse IPv6 BGP utilisée précédemment lors de la configuration de la première passerelle et de la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé pour ffdf:1:1:1::2.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   • Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud beta compute routers add-bgp-peer pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.

     Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

     • IPV4_NEXTHOP_ADDRESS_3: adresse du saut suivant pour les routes IPv4 spécifiées précédemment dans PEER_IPV4_NEXTHOP_ADDRESS_1. Si vous avez attribué automatiquement des adresses de saut suivant IPv4 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv4NextHopAddress. Cet exemple utilise 169.254.13.1.
     • PEER_IPV4_NEXTHOP_ADDRESS_2: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage IPv4 de liaison locale 169.254.0.0/16. Cet exemple utilise 169.254.13.2.

   • AUTHENTICATION_KEY : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF0

   Facultatif: Attribuer une plage d'identifiants BGP

   Lorsque vous ajoutez la première interface à un routeur cloud avec une adresse IPv6, une plage d'identifiants BGP est automatiquement attribuée au routeur cloud. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

   Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

   Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF0

   Pour créer une interface avec une adresse IPv6, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_2_INTERFACE_NAME_0 \
       --ip-address=IP_ADDRESS_3 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
       --region=REGION \
       --ip-version=IPV6
   

   Créer un pair BGP pour TUNNEL_NAME_GW2_IF0

   L'exemple de commande suivant crée un pair BGP compatible avec IPv4 :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv4 \
       --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
       --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   La commande suivante crée un pair BGP sans IPv4 activé :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
   

   Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF0, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF0 \
      --interface=ROUTER_2_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_3 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   Le résultat de la commande ressemble à ceci :

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

5. Créez une interface et un pair BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

   Cette interface connecte TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_1 : nom d'interface Cloud Router ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
   • IP_ADDRESS_4: si vous avez attribué manuellement une adresse IPv6 BGP pour PEER_IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour IP_ADDRESS_4. Si Google Cloud a attribué automatiquement l'adresse IPv6 du pair BGP lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été allouées par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP, utilisez la valeur qui apparaît dans le champ peerIpAddress. Cet exemple utilise ffdf:1:1::2:1.
   • MASK_LENGTH: spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW2_IF1 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
   • PEER_IP_ADDRESS_4: si vous avez attribué manuellement une adresse IP BGP pour IP_ADDRESS_2 pour TUNNEL_NAME_GW1_IF1, spécifiez cette valeur pour PEER_IP_ADDRESS_4. Si Google Cloud vous a attribué automatiquement l'adresse IPv6 BGP, vous devez savoir quelle adresse a été attribuée par Google Cloud Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez la valeur qui apparaît dans le champ ipAddress pour le pair BGP que vous avez créé. Cet exemple utilise ffdf:1:1:1::2.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   • Facultatif: si vous créez des sessions BGP IPv6 et MP-BGP, spécifiez --enable-ipv4 lorsque vous exécutez la commande gcloud beta compute routers add-bgp-peer pour activer le trafic IPv4. Vous devez configurer les adresses de saut suivant IPv4 pour qu'elles correspondent à l'interface et au pair BGP compatible avec IPv4 configurés pour la première passerelle.

     Pour configurer les adresses de saut suivant, remplacez les deux éléments suivants :

     • IPV4_NEXTHOP_ADDRESS_4: adresse du saut suivant pour les routes IPv4 spécifiées précédemment dans PEER_IPV4_NEXTHOP_ADDRESS_3. Si vous avez attribué automatiquement des adresses de saut suivant IPv4 lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez savoir quelle adresse a été attribuée par Google Cloud. Exécutez gcloud compute routers describe ROUTER_NAME_1 et vérifiez le résultat du pair BPG que vous avez configuré pour TUNNEL_NAME_GW1_IF0. Utilisez la valeur qui apparaît dans le champ peerIpv4NextHopAddress. Cet exemple utilise 169.254.13.1.
     • PEER_IPV4_NEXTHOP_ADDRESS_4: adresse du saut suivant pour les routes IPv4 apprises par le routeur Cloud Router à partir du pair BGP. L'adresse doit être comprise dans la plage IPv4 de liaison locale 169.254.0.0/16. Cet exemple utilise 169.254.13.2.

   • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW2_IF1

   Créer une interface Cloud Router pour TUNNEL_NAME_GW2_IF1

   gcloud beta compute routers add-interface ROUTER_NAME_2 \
      --interface-name=ROUTER_2_INTERFACE_NAME_1 \
      --ip-address=IP_ADDRESS_4 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
      --region=REGION \
   

   Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

   Créer un pair BGP pour TUNNEL_NAME_GW2_IF1

   L'exemple de commande suivant crée un pair BGP IPv6 avec l'échange de routes IPv4 activé:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF1 \
      --interface=ROUTER_2_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   La commande suivante crée un pair BGP IPv6 sans l'échange de routes IPv4 activé:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
   

   Si vous avez configuré ROUTER_NAME_1 pour utiliser l'authentification MD5 pour PEER_NAME_GW1_IF1, configurez ROUTER_NAME_2 de manière à utiliser l'authentification MD5, comme suit :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF1 \
      --interface=ROUTER_2_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
   

   Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

   Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-b].
   

6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

   gcloud compute routers describe ROUTER_NAME_2  \
      --region=REGION
   

   Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

    bgp:
      advertiseMode: DEFAULT
      asn: 65002
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv4: true
      interfaceName: if-tunnel-b-to-a-if-0
      ipAddress: fdff:1:1:1::2
      ipv4NexthopAddress: 169.254.12.2
      name: bgp-peer-tunnel-b-to-a-if-0
      peerAsn: 65001
      peerIpAddress: fdff:1:1:1::1
      peerIpv4NexthopAddress: 169.254.12.1
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      enableIpv4: true
      interfaceName: if-tunnel-b-to-a-if-1
      ipAddress: fdff:1:1:2::1
      ipv4NexthopAddress: 169.254.13.2
      name: bgp-peer-tunnel-b-to-a-if-1
      peerAsn: 65001
      peerIpAddress: fdff:1:1::2:1
      peerIpv4NexthopAddress: 169.254.13.2
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: fdff:1:1:1::2/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      name: if-tunnel-b-to-a-if-0
      — ipRange: fdff:1:1:2::2/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
      name: if-tunnel-b-to-a-if-1
    kind: compute#router
    name: router-b
    network: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-b
    region: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-b
   

API

1. Pour créer une interface Cloud Router avec une adresse IPv6, envoyez une requête PATCH ou UPDATE à la méthode routers.patch ou à la méthode routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router. Créez une interface pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

   L'exemple suivant crée une interface avec une adresse BGP IPv6 configurée manuellement.

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "interfaces": [
      {
        "name": "if-tunnel-a-to-b-if-0",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipRange": "fdff:1:1:1::2/112"
       }
     ]
   }
   

   Chaque plage d'adresses IPv6 BGP pour chaque session BGP doit être unique parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

   Autre exemple : la commande suivante crée une interface avec une adresse IPv6 attribuée automatiquement.

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "interfaces": [
      {
        "name": "if-tunnel-a-to-b-if-0",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipVersion": "IPV6"
       }
     ]
   }
   

   Répétez cette étape pour chaque tunnel VPN sur la passerelle VPN haute disponibilité.

2. Ajoutez un pair BGP au routeur Cloud Router pour chaque interface.

   Pour créer un pair BGP, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou routers.update.. Répétez cette commande pour les autres interfaces, en modifiant les valeurs de champ selon vos besoins.

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "bgpPeers": [
      {
        "name": "bgp-peer-tunnel-a-to-b-if-0",
        "interfaceName": "if-tunnel-a-to-b-if-0",
        "ipAddress": "fdff:1:1::1::2",
        "peerIpAddress": "fdff:1:1:1::1",
        "peerAsn": 65002,
        "advertiseMode": "DEFAULT"
      }
    ]
   }
   

   Pour créer une session BGP IPv6 avec les adresses de saut suivant MP-BGP et IPv4 configurées, utilisez la commande API suivante:

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
   "bgpPeers": [
      {
        "name": "bgp-peer-tunnel-a-to-b-if-0",
        "interfaceName": "if-tunnel-a-to-b-if-0",
        "ipAddress": "fdff:1:1:1::2",
        "peerIpAddress": "fdff:1:1:1::1",
        "peerAsn": 65002,
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.12.2",
        "peerIpv4NexthopAddress: "169.254.12.1"
      }
    ]
   }
   

   Si vous souhaitez configurer la session pour qu'elle utilise l'authentification MD5, votre requête doit inclure une clé d'authentification, ce qui signifie qu'elle doit fournir la clé et un nom pour cette clé. Elle doit également référencer la clé par nom lors de la création de la session d'appairage BGP. Exemple :

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
   "md5AuthenticationKeys": [
     {
      "name": "bgppeer-1-key",
      "key": "secret_key_value"
      }
   ],
   }
   {
   "bgpPeers": [
     {
      "interfaceName": "if-tunnel-a-to-b-if-0",
      "ipAddress": "fdff:1:1:1::2",
      "name": "bgp-peer-tunnel-a-to-b-if-0",
      "peerAsn": 65002,
      "peerIpAddress": "fdff:1:1:1::1",
      "advertiseMode": "DEFAULT",
      "md5AuthenticationKeyName": "bgppeer-1-key"
      }
    ],
   }
   

gcloud

Dans cette section, vous configurez deux interfaces et des pairs BGP pour chaque tunnel VPN haute disponibilité. Le tableau suivant présente ces interfaces et pairs. Il indique la relation entre les plages d'adresses IP et les adresses IP du pair que vous spécifiez pour chaque interface.

Par exemple, une adresse IPv4 de 169.254.0.1 est attribuée à la première interface de router-1. La seconde interface de router-1 se voit attribuer une adresse IPv6 de fdff:1:1:1::1. L'autre routeur cloud, router-2, est le pair BGP de router-1. La première interface de router-2 est attribuée à 169.254.0.2, qui est le deuxième hôte du sous-réseau IPv4 169.254.0.0/30. La deuxième interface de router-2 est attribuée à fdff:1:1:1::2, qui est le deuxième hôte du sous-réseau IPv6 fdff:1:1:1::/112. Par conséquent, l'adresse BGP IPv4 du pair de router-1 est 169.254.0.2 et son adresse BGP IPv6 du pair est fdff:1:1:1::2. L'adresse IPv4 BGP du pair de router-2 est 169.254.0.1 et son adresse BGP IPv6 du pair est fdff:1:1:1::1.

Pour créer des interfaces Cloud Router et des pairs BGP, exécutez la séquence de commandes suivante.

1. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF0.

   Les deux interfaces connectent TUNNEL_NAME_GW1_IF0 sur l'interface 0 de GW_1 à l'interface 0 de GW_2.

   Dans les commandes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_0_ipv4 et ROUTER_1_INTERFACE_NAME_0_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF0
   • IP_VERSION: version IPv6 de l'interface, IPV6 ou IPV4. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement l'adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv6 à cette interface, vous pouvez omettre cette option.
   • IPV4_ADDRESS_1 et IPV6_ADDRESS_1 : adresse IP BGP de la plage 169.254.0.0/16 ou fdff:1::/64 qui n'est pas encore utilisée ; Cet exemple utilise 169.254.0.1 et ffdf:1:1:1::1. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IP BGP, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: lorsque vous spécifiez une adresse IPv6 BGP pour une interface, spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW1_IF0_ipv4 et PEER_NAME_GW1_IF0_ipv6: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF0.
   • PEER_IPV4_ADDRESS_1 et PEER_IPV6_ADDRESS_1: adresse BGP de la plage 169.254.0.0/16 ou ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.2 et ffdf:1:1::1:2. Si vous n'avez pas encore attribué d'adresses BGP spécifiques pour IPV4_ADDRESS_1 et IPV6_ADDRESS_1, omettez ces options. Google Cloud attribue automatiquement une adresse IP de pair BGP correspondante. Si vous avez spécifié manuellement IPV4_ADDRESS_1 et IPV6_ADDRESS_1, vous devez également configurer manuellement ces options.
   • PEER_ASN_2: numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_2. cet exemple utilise le numéro ASN 65002

   Facultatif: Attribuer une plage d'identifiants BGP

   Lorsque vous ajoutez la première interface avec une adresse IPv6 à un routeur Cloud Router, une plage d'identifiants BGP est automatiquement attribuée au routeur Cloud Router. Si vous préférez définir votre propre plage d'identifiants BGP pour un routeur cloud, vous pouvez créer votre propre plage. Vous pouvez également modifier cette plage ultérieurement.

   Pour en savoir plus, consultez la section Configurer la plage d'identifiants BGP pour un routeur Cloud Router.

   Automatique

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF0

   Pour créer une interface avec une adresse IPv4 BGP configurée automatiquement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION \
     --ip-version=IPV4
   

   Pour créer une interface avec une adresse IPv6 BGP configurée automatiquement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION \
     --ip-version=IPV6
   

   Créer des pairs BGP pour TUNNEL_NAME_GW1_IF0

   L'exemple de commande suivant crée le pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0_ipv4 \
     --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
   

   L'exemple de commande suivant crée le pair BGP IPv6:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0_ipv6 \
     --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
   

   En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

   Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

   Mode manuel

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF0

   Pour créer une interface avec une adresse IPv4 BGP configurée manuellement, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
     --ip-address=IPV4_ADDRESS_1 \
     --mask-length=30 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION
   

   Pour créer une interface avec une adresse IPv6 BGP configurée manuellement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
     --ip-address=IPV6_ADDRESS_1 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
     --region=REGION \
   

   Créer des pairs BGP pour TUNNEL_NAME_GW1_IF0

   L'exemple de commande suivant crée le pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0_ipv4 \
     --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
     --peer-ip-address=PEER_IPV4_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
   

   La commande suivante crée le pair BGP IPv6:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0_ipv6 \
     --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
     --peer-ip-address=PEER_IPV6_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
   

   En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

   Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

2. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_1 pour le tunnel TUNNEL_NAME_GW1_IF1.

   Les deux interfaces connectent TUNNEL_NAME_GW1_IF1 sur l'interface 1 de GW_1 à l'interface 1 de GW_2.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_1_INTERFACE_NAME_1_ipv4 et ROUTER_1_INTERFACE_NAME_1_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF1
   • IP_VERSION: version de l'interface, IPV6 ou IPV4 Si non spécifié, la valeur par défaut est IPV4. Ce paramètre n'est requis que si vous souhaitez que Google Cloud attribue automatiquement une adresse IPv6 à une interface. Si vous attribuez manuellement une adresse IPv4 ou IPv6 à cette interface, vous pouvez omettre cette option.
   • IPV4_ADDRESS_2 ou IPV6_ADDRESS_2: adresse IPv4 ou IPv6 BGP de la plage 169.254.0.0/16 ou ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.0.2. et ffdf:1:1:1::2. Si vous omettez cette option et que vous n'attribuez pas manuellement d'adresse IPv4 ou IPv6 BGP, Google Cloud vous attribue automatiquement une adresse.
   • MASK_LENGTH: lorsque vous spécifiez une adresse IPv4 pour une interface, spécifiez 30, car le routeur Cloud Router doit utiliser un masque CIDR /30 unique de la même plage 169.254.0.0/16. Lorsque vous spécifiez une adresse IPv6 pour une interface, spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW1_IF1_ipv4 et PEER_NAME_GW1_IF0_ipv6: noms décrivant les pairs IPv4 et IPv6 BGP. Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW1_IF1.
   • PEER_IPV4_ADDRESS_2 ou PEER_IPV6_ADDRESS_2: adresse IPv4 ou IPv6 BGP de la plage 169.254.0.0/16 ou ffdf:1::/64 qui n'est pas encore utilisée ; cet exemple utilise 169.254.1.2. et ffdf:1:1:2::1. Si vous n'avez pas spécifiquement attribué d'adresse IPv4 ou IPv6, IPV4_ADDRESS_2 ou IPV6_ADDRESS_2, omettez cette option et Google Cloud attribue automatiquement une adresse IPv4 ou IPv6 du pair BGP correspondant. Si vous avez spécifié manuellement IPV4_ADDRESS_2 ou IPV6_ADDRESS_2, vous devez également configurer manuellement cette option.
   • PEER_ASN_2 : numéro ASN utilisé pour toutes les interfaces de l'autre routeur Cloud Router ROUTER_NAME_2 ; cet exemple utilise le numéro ASN 65002

   • AUTHENTICATION_KEY_2 : clé secrète à utiliser pour l'authentification MD5 sur PEER_NAME_GW1_IF1. Pour en savoir plus sur cette fonctionnalité facultative, consultez la page Utiliser l'authentification MD5.

   Automatique

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF1

   Pour créer une interface avec une adresse IPv4 configurée automatiquement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
     --region=REGION \
     --ip-version=IPV4
   

   Pour créer une interface avec une adresse IPv6 configurée automatiquement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
     --region=REGION \
     --ip-version=IPV6
   

   Créer des pairs BGP pour TUNNEL_NAME_GW1_IF1

   L'exemple de commande suivant crée un pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1_ipv4 \
     --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
     --peer-ip-address=PEER_IPV4_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
   

   L'exemple de commande suivant crée un pair BGP IPv6 :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1_ipv6 \
     --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
     --peer-ip-address=PEER_IPV6_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
   

   En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

   Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

   Mode manuel

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW1_IF1

   Pour créer une interface avec une adresse IPv4 configurée manuellement, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
     --ip-address=IPV4_ADDRESS_2 \
     --mask-length=30 \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
     --region=REGION
   

   Pour créer une interface avec une adresse IPv6 configurée manuellement, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
     --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
     --ip-address=IPV6_ADDRESS_2 \
     --mask-length=MASK_LENGTH \
     --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
     --region=REGION
   

   Créer des pairs BGP pour TUNNEL_NAME_GW1_IF1

   L'exemple de commande suivant crée un pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1_ipv4 \
     --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
     --peer-ip-address=PEER_IPV4_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
   

   L'exemple de commande suivant crée un pair BGP IPv6 :

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_1 \
    --peer-name=PEER_NAME_GW1_IF1_ipv6 \
    --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
    --peer-ip-address=PEER_IPV6_ADDRESS_2 \
    --peer-asn=PEER_ASN_2 \
    --region=REGION
   

   En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

   Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

3. Vérifier les paramètres du routeur ROUTER_NAME_1 :

   gcloud compute routers describe ROUTER_NAME_1 \
       --region=REGION
   

   Le résultat de la commande ressemble à celui de l'exemple ci-dessous.

    bgp:
      advertisemode: DEFAULT
      asn: 65001
      keepaliveInterval: 20
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-a-to-b-if-0_ipv4
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-b-if-0_ipv4
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-a-to-b-if-1_ipv4
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-b-if-1_ipv4
      peerAsn: 65002
      peerIpAddress: 169.254.1.2
   — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-a-to-b-if-0_ipv6
      ipAddress: fdff:1:1:1::1
      name: bgp-peer-tunnel-a-to-b-if-0_ipv6
      peerAsn: 65002
      peerIpAddress: fdff:1:1:1::2
   — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-a-to-b-if-1_ipv6
      ipAddress: fdff:1:1:2::1
      name: bgp-peer-tunnel-a-to-b-if-1_ipv6
      peerAsn: 65002
      peerIpAddress: fdff:1:1:2::2
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
      name: if-tunnel-a-to-b-if-0
    — ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
      name: if-tunnel-a-to-b-if-0
    — ipRange: fdff:1:1:1::1/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
      name: if-tunnel-a-to-b-if-1
    — ipRange: fdff:1:1:2::1/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
      name: if-tunnel-a-to-b-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
   

4. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF0.

   Les deux interfaces connectent TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

   Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud, ROUTER_NAME_1.

   Dans les commandes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_0_ipv4 et ROUTER_2_INTERFACE_NAME_0<_ipv6>: noms d'interface Cloud Router. Utiliser des noms associés à TUNNEL_NAME_GW2_IF0 est utile
   • IPV4_ADDRESS_3 et IPV6_ADDRESS_3 : adresses IPv4 et IPv6 BGP utilisées précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement les adresses IPv4 et IPv6 du pair lors de la création des interfaces et des pairs BGP pour TUNNEL_NAME_GW1_IF0 sur ROUTER_NAME_1, vous devez spécifier les adresses allouées comme IPV4_ADDRESS_3 et IPV6_ADDRESS_3. Pour savoir quelles adresses ont été allouées par Google Cloud, exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie des pairs BGP, utilisez les valeurs qui apparaissent dans le champ peerIpAddress. Cet exemple utilise 169.254.0.2 et ffdf:1:1:1::2.
   • MASK_LENGTH: pour une interface avec une adresse IPv4, spécifiez 30, car le routeur Cloud Router doit utiliser un CIDR /30 unique de la même plage 169.254.0.0/16. Pour une interface avec une adresse IPv6, spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW2_IF0_ipv4 et PEER_NAME_GW2_IF0_ipv6 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF0 s'avère utile.
   • PEER_IPV4_ADDRESS_3 et PEER_IPV6_ADDRESS_3: adresses IPv4 ou IPv6 BGP utilisées précédemment lorsque vous avez configuré la première passerelle et la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez les valeurs qui apparaissent dans le champ ipAddress pour les pairs BGP que vous avez créés pour TUNNEL_NAME_GW1_IF0. Cet exemple utilise 169.254.0.1 et ffdf:1:1:1::1.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW2_IF0

   Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_0 \
       --ip-address=IPV4_ADDRESS_3 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
       --region=REGION
   

   Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_2_INTERFACE_NAME_0 \
       --ip-address=IPV6_ADDRESS_3 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
       --region=REGION \
   

   Créer des pairs BGP pour TUNNEL_NAME_GW2_IF0

   L'exemple de commande suivant crée le pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0_ipv4 \
       --interface=ROUTER_2_INTERFACE_NAME_0_ipv4 \
       --peer-ip-address=PEER_IPV4_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
   

   L'exemple de commande suivant crée le pair BGP IPv6:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2 \
      --peer-name=PEER_NAME_GW2_IF0_ipv6 \
      --interface=ROUTER_2_INTERFACE_NAME_0_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_3 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION
   

   En créant deux interfaces et des pairs BGP, vous exécutez deux sessions BGP IPv4 et IPv6 parallèles dans le même tunnel.

   Vous ne pouvez pas utiliser MP-BGP dans cette configuration.

5. Créez des interfaces et des pairs BGP sur le routeur ROUTER_NAME_2 pour le tunnel TUNNEL_NAME_GW2_IF1.

   Les deux interfaces connectent TUNNEL_NAME_GW2_IF0 sur l'interface 0 de GW_2 à l'interface 0 de GW_1.

   Vous devez configurer manuellement l'interface et les adresses d'appairage BGP sur ce routeur cloud, car les adresses correspondantes ont déjà été configurées sur l'autre routeur cloud, ROUTER_NAME_1.

   Les deux interfaces connectent TUNNEL_NAME_GW2_IF1 sur l'interface 1 de GW_2 à l'interface 1 de GW_1.

   Dans les commandes suivantes, remplacez les éléments suivants :

   • ROUTER_2_INTERFACE_NAME_1_ipv4 et ROUTER_2_INTERFACE_NAME_1_ipv6 : noms des interfaces Cloud Router ; Il est utile d'utiliser des noms associés à TUNNEL_NAME_GW2_IF1
   • IPV4_ADDRESS_4 et IPV6_ADDRESS_4 : adresses IPv4 et IPv6 BGP utilisées précédemment pour cette passerelle et cette interface. Si vous avez attribué automatiquement l'adresse IP du pair BGP lors de la création de l'interface et du pair BGP pour TUNNEL_NAME_GW1_IF1 sur ROUTER_NAME_1, vous devez spécifier manuellement ces adresses allouées comme suit :IPV4_ADDRESS_4 et IPV6_ADDRESS_4. Pour savoir quelles adresses ont été allouées par Google Cloud, exécutez la commande gcloud compute routers describe ROUTER_NAME_1. Dans la sortie du pair BGP, utilisez les valeurs qui apparaissent dans le champ peerIpAddress. Cet exemple utilise 169.254.1.2 et ffdf:1:1::1:1.
   • MASK_LENGTH: pour une interface avec une adresse IPv4, spécifiez 30, car Cloud Router doit utiliser un masque CIDR /30 unique de la même plage 169.254.0.0/16. Pour une interface avec une adresse IPv6, spécifiez une longueur de masque inférieure ou égale à 126.
   • PEER_NAME_GW2_IF1_ipv4 et PEER_NAME_GW2_IF1_ipv6 : nom décrivant le pair BGP ; utiliser un nom associé à TUNNEL_NAME_GW2_IF1 s'avère utile.
   • PEER_IPV4_ADDRESS_4 et PEER_IPV6_ADDRESS_4: adresse IP que vous avez spécifiée comme IPV4_ADDRESS_2 et IPV6_ADDRESS_2, et lorsque vous avez configuré la première passerelle et la première interface. Exécutez gcloud compute routers describe ROUTER_NAME_1 et utilisez les valeurs qui apparaissent dans le champ ipAddress pour le pair BGP que vous avez créé pour TUNNEL_NAME_GW2_IF1. Cet exemple utilise 169.254.1.1 et fdff:1:1:2::2.
   • PEER_ASN_1 : numéro ASN utilisé pour toutes les interfaces sur ROUTER_NAME_1 et qui a été défini précédemment ; cet exemple utilise le numéro ASN 65001.

   Créer des interfaces Cloud Router pour TUNNEL_NAME_GW2_IF1

   Pour créer une interface et configurer manuellement son adresse IPv4, exécutez la commande suivante:

   gcloud compute routers add-interface ROUTER_NAME_2 \
      --interface-name=ROUTER_2_INTERFACE_NAME_1 \
      --ip-address=IPV4_ADDRESS_4 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
      --region=REGION
   

   Pour créer une interface et configurer manuellement son adresse IPv6, exécutez la commande suivante:

   gcloud beta compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IPV6_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION
   

   Créer des pairs BGP pour TUNNEL_NAME_GW2_IF1

   L'exemple de commande suivant crée le pair BGP IPv4:

   gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
      --peer-name=PEER_NAME_GW2_IF1_ipv4 \
      --interface=ROUTER_2_INTERFACE_NAME_1_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION
   

   L'exemple de commande suivant crée le pair BGP IPv6:

   gcloud beta compute routers add-bgp-peer ROUTER_NAME_2 \
      --peer-name=PEER_NAME_GW2_IF1_ipv6 \
      --interface=ROUTER_2_INTERFACE_NAME_1_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_4 \
      --peer-asn=PEER_ASN_1 \
      --region=REGION
   

6. Vérifier les paramètres du routeur ROUTER_NAME_2 :

   gcloud compute routers describe ROUTER_NAME_2  \
      --region=REGION
   

   Le résultat de la commande ressemble à ceci :

    bgp:
      advertisemode: DEFAULT
      asn: 65002
      keepaliveInterval: 20
    bgpPeers:
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-b-to-a-if-0_ipv4
      ipAddress: 169.254.0.2
      name: bgp-peer-tunnel-b-to-a-if-0_ipv4
      peerAsn: 65002
      peerIpAddress: 169.254.0.1
    — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-b-to-a-if-1_ipv4
      ipAddress: 169.254.1.2
      name: bgp-peer-tunnel-b-to-a-if-1_ipv4
      peerAsn: 65001
      peerIpAddress: 169.254.1.1
   — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-b-to-a-if-0_ipv6
      ipAddress: fdff:1:1:1::2
      name: bgp-peer-tunnel-b-to-a-if-0_ipv6
      peerAsn: 65001
      peerIpAddress: fdff:1:1:1::1
   — bfd:
          minReceiveInterval: 1000
          minTransmitInterval: 1000
          mode: DISABLED
          multiplier: 5
          sessionInitializationMode: DISABLED
      enable: 'TRUE'
      interfaceName: if-tunnel-b-to-a-if-1_ipv6
      ipAddress: fdff:1:1:2::2
      name: bgp-peer-tunnel-b-to-a-if-1_ipv6
      peerAsn: 65001
      peerIpAddress: fdff:1:1:2::1
    creationTimestamp: '2021-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    — ipRange: 169.254.0.2/30
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      name: if-tunnel-b-to-a-if-0
    — ipRange: 169.254.1.2/30
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
      name: if-tunnel-b-to-a-if-0
    — ipRange: fdff:1:1:1::2/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
      name: if-tunnel-b-to-a-if-1
    — ipRange: fdff:1:1:2::2/112
      linkedVpnTunnel: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
      name: if-tunnel-b-to-a-if-1
    kind: compute#router
    name: router-b
    network: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-b
    region: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-b
   

API

1. Pour créer plusieurs interfaces Cloud Router, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou de routers.update. PATCH met uniquement à jour les paramètres que vous incluez. La requête UPDATE met à jour tous les paramètres du routeur Cloud Router.

   Les plages d'adresses BGP que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

   Répétez cette étape et cette commande pour chaque tunnel VPN défini sur chaque passerelle VPN haute disponibilité. Pour une passerelle VPN haute disponibilité vers un déploiement VPN haute disponibilité, cela signifie quatre configurations de tunnel VPN haute disponibilité.

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "interfaces": [
      {
        "name": "if-tunnel-a-to-b-if-0_ipv4",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipRange": "169.254.0.1/30"
       },
       {
        "name": "if-tunnel-a-to-b-if-0_ipv6",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipRange": "fdff:1:1:1::1/112"
       }
     ]
   }
   

   L'exemple suivant ajoute une interface avec une adresse IPv4 et une interface avec une adresse IPv6 au même linkedVpnTunnel. La commande attribue automatiquement les adresses IPv4 et IPv6 aux interfaces:

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "interfaces": [
      {
        "name": "if-tunnel-a-to-b-if-0_ipv4",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipVersion": "IPV4"
       },
       {
        "name": "if-tunnel-a-to-b-if-0_ipv6",
        "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
        "ipVersion": "IPV6"
       }
    ]
   }
   

2. Pour ajouter des pairs BGP au routeur Cloud Router pour chaque tunnel VPN, envoyez une requête PATCH ou UPDATE à l'aide de la méthode routers.patch ou de la méthode routers.update. Répétez cette commande pour chaque tunnel VPN, en modifiant toutes les options si nécessaire.

   Exemple :

   PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
    "bgpPeers": [
    {
      "interfaceName": "if-tunnel-a-to-b-if-0_ipv4",
      "ipAddress": "169.254.0.1",
      "name": "bgp-peer-tunnel-a-to-b-if-0_ipv4",
      "peerAsn": 65002,
      "peerIpAddress": "169.254.0.2",
      "advertiseMode": "DEFAULT"
     },
     {
      "interfaceName": "if-tunnel-a-to-b-if-0_ipv6",
      "ipAddress": fdff:1:1:1::1",
      "name": "bgp-peer-tunnel-a-to-b-if-0_ipv6",
      "peerAsn": 65002,
      "peerIpAddress": "fdff:1:1:1::2",
      "advertiseMode": "DEFAULT"
     }
   ]
   }
   

Console

Pour vérifier la configuration, accédez à la page Résumé et rappel :

1. La section Résumé de cette page répertorie les informations concernant les profils de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs. Pour chaque tunnel VPN, vous pouvez afficher l'état du tunnel VPN, le nom de la session BGP, l'état de la session BGP et la valeur MED (priorité de route annoncée).
2. La section Rappel de cette page répertorie les étapes à suivre pour disposer d'une connexion VPN entièrement opérationnelle entre Cloud VPN et votre VPN de pairs. Après la consultation des informations contenues sur cette page, cliquez sur OK.

gcloud

Pour vérifier les configurations des routeurs Cloud Router, consultez les étapes de vérification dans l'onglet gcloud de la section Créer des sessions BGP.

API

Pour vérifier la configuration du routeur Cloud Router, envoyez une requête GET à l'aide de la méthode routers.getRouterStatus et utilisez un corps de requête vide :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Console

Pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %, configurez un tunnel sur chaque interface VPN haute disponibilité, de chaque côté d'une passerelle VPN haute disponibilité vers VPN haute disponibilité.

Si vous avez configuré un tunnel sur une passerelle VPN haute disponibilité vers une autre passerelle VPN haute disponibilité, mais que vous souhaitez recevoir un contrat de niveau de service assurant une disponibilité de 99,99 %, vous devez configurer un second tunnel.

Pour configurer un deuxième tunnel, suivez la procédure décrite dans la section Ajouter un tunnel entre une passerelle VPN haute disponibilité et une autre passerelle VPN haute disponibilité.