Gateways zwischen Google Cloud und Google Cloud HA VPN erstellen

Auf dieser Seite wird beschrieben, wie Sie zwei Virtual Private Cloud-Netzwerke mithilfe einer HA VPN-Gateway-Konfiguration miteinander verbinden. Sie können zwei vorhandene VPC-Netzwerke miteinander verbinden, solange sich der primäre und der sekundäre Subnetz-IP-Adressbereich im jeweiligen Netzwerk nicht überschneiden.

Ein Diagramm dieser Topologie finden Sie auf der Seite "Topologien".

Weitere Informationen zur Auswahl eines VPN-Typs finden Sie unter VPN-Option auswählen.

Anforderungen

Beim Erstellen dieser Konfiguration sollten Sie die folgenden Anforderungen erfüllen, damit Sie ein SLA von 99,99 % erhalten:

  • Erstellen Sie in jedem VPC-Netzwerk ein HA VPN-Gateway.
  • Beide HA VPN-Gateways müssen in derselben Google Cloud-Region sein.
  • Konfigurieren Sie in den einzelnen Gateway-Schnittstellen jeweils einen Tunnel.
  • Passen Sie Gateway-Schnittstellen wie im Folgenden beschrieben an.

Obwohl es auch möglich ist, zwei VPC-Netzwerke über nur einen Tunnel zwischen HA VPN-Gateways oder über klassische VPN-Gateways miteinander zu verbinden, wird diese Konfiguration nicht als hochverfügbar angesehen und entspricht nicht dem HA-SLA von 99,99 %.

Berechtigungsanforderungen

Da HA VPN-Gateways nicht immer Ihnen oder Ihrer Google Cloud-Organisation gehören, beachten Sie beim Erstellen eines HA VPN-Gateways die folgenden Berechtigungsanforderungen oder stellen Sie eine Verbindung zum Gateway eines anderen Inhabers her.

  • Wenn Sie der Inhaber des Projekts sind, in dem Sie ein HA VPN-Gateway erstellen, konfigurieren Sie die empfohlenen Berechtigungen.
  • Wenn Sie eine Verbindung zu einem HA VPN-Gateway herstellen möchten, das sich in einer Google Cloud-Organisation oder einem Projekt befindet, das nicht Ihnen gehört, müssen Sie vom Inhaber die compute.vpnGateways.use-Berechtigung anfordern.

Hinweise

Die Einrichtung der folgenden Elemente in Google Cloud erleichtert die Konfiguration von Cloud VPN:

  1. Melden Sie sich bei Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, registrieren Sie sich hier für ein neues Konto.

  2. Wählen Sie in der Cloud Console auf der Projektauswahlseite ein Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Installieren und initialisieren Sie das Cloud SDK.
  1. Wenn Sie gcloud-Befehle verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.
      gcloud config set project project-id
    

Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt wurde:

      gcloud config list --format='text(core.project)'
    

Benutzerdefiniertes Virtual Private Cloud-Netzwerk und Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, müssen Sie ein VPC-Netzwerk und mindestens ein Subnetz in der Region erstellen, in der sich das  HAVPN-Gateway befindet.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

  • Alle Instanzen von Cloud Router wenden "zu lokalen Routen", die sie erlernen, auf alle Subnetze des VPC-Netzwerks an.
  • Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Zu Referenzzwecken wird in diesem Dokument ein HA VPN-Gateway in zwei verschiedenen VPC-Netzwerken erstellt:

network-1 enthält die folgenden Subnetze:

  • Ein Subnetz mit der Bezeichnung subnet-name-1 in region-1 mit dem IP-Bereich range-1
  • Ein Subnetz mit der Bezeichnung subnet-name-2 in region-2 mit dem IP-Bereich range-2

network-2 enthält die folgenden Subnetze:

  • Ein Subnetz mit der Bezeichnung subnet-name-3 in region-1 mit dem IP-Bereich range-3
  • Ein Subnetz mit der Bezeichnung subnet-name-4 in region-2 mit dem IP-Bereich range-4

Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, Tunnel, eine Peer-VPN-Gateway-Ressource und BGP-Sitzungen zu erstellen.

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

Cloud-VPN-Gateway erstellen

  1. Rufen Sie die VPN-Seite in der Google Cloud Console auf.
    Zur VPN-Seite
    1. Wenn Sie zum ersten Mal ein Gateway erstellen, wählen Sie die Schaltfläche VPN-Verbindung erstellen aus.
    2. Wählen Sie den VPN-Einrichtungsassistenten aus.
  2. Wählen Sie das Optionsfeld für ein HA VPN-Gateway aus.
  3. Klicken Sie auf Weiter.
  4. Geben Sie einen VPN-Gateway-Namen an.
  5. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
  6. Wählen Sie eine Region aus.
  7. Klicken Sie auf Erstellen und fortfahren.
  8. Der Bildschirm wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei öffentliche IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

Peer-VPN-Gateway-Ressource erstellen

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

  1. Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Google Cloud aus.
  2. Wählen Sie unter Projekt ein Google Cloud-Projekt aus, das das neue Gateway enthalten soll.
  3. Wählen Sie unter VPN-Gateway-Name das andere HA VPN aus, das Sie gleichzeitig konfigurieren.
  4. Weiter zu VPN-Tunnel erstellen

VPN-Tunnel erstellen

  • Wenn Sie Einzelnen VPN-Tunnel erstellen auswählen, konfigurieren Sie Ihren einzelnen Tunnel im weiteren Verlauf der Seite VPN erstellen. Sie müssen jedoch später einen zweiten Tunnel erstellen, um ein SLA von 99,99 % für das andere HA VPN-Gateway zu erhalten.
  • Wenn Sie VPN-Tunnel-Paar erstellen (empfohlen) auswählen, müssen Sie die beiden Tunneldialogfelder konfigurieren, die unten auf der Seite VPN erstellen angezeigt werden.
  1. Unter Hochverfügbarkeit können Sie entweder ein Tunnelpaar für das andere HA VPN-Gateway oder einen Tunnel auswählen. Sie können später einen zweiten Tunnel hinzufügen, wie am Ende dieses Vorgangs beschrieben.
  2. Erstellen Sie unter Cloud Router einen Cloud Router, der die unten angegebenen Optionen enthält, sofern noch nicht geschehen. Sie können einen vorhandenen Cloud Router verwenden, solange der Router noch keine BGP-Sitzung für einen Interconnect-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.
    1. Geben Sie zum Erstellen eines Cloud Routers einen Namen, eine optionale Beschreibung und Google ASN für den neuen Router an. Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird, 64512 bis 65534, 4200000000 bis 4294967294. Die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.
    2. Klicken Sie auf Erstellen, um den Router zu erstellen.
  3. Führen Sie die folgenden Schritte entweder auf derselben Seite oder im Dialogfeld jedes Tunnels unten auf der Seite aus.
  4. Wenn Sie nur einen Tunnel konfigurieren, wählen Sie unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination für dieses Gateway aus, um sie der Gateway-Schnittstelle des anderen HA VPN-Gateways zuzuordnen. Bei Konfigurationen mit zwei Tunneln sind diese Option und die Option Zugehörige Peer-VPN-Gateway-Schnittstelle nicht verfügbar, da die richtigen Schnittstellenkombinationen für Sie konfiguriert werden.
    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Die Standardeinstellung ist IKE v2 und wird empfohlen, sofern Ihr Peer-Router sie unterstützt.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel mithilfe Ihres gemeinsamen Secrets an, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch kein gemeinsames Secret konfiguriert haben und eines generieren möchten, klicken Sie auf die Schaltfläche Generieren und kopieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie die Schritte zur Tunnelerstellung auf der Seite VPN erstellen bei allen verbleibenden Tunneldialogfeldern.
  5. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

BGP-Sitzungen erstellen

Priorität der beworbenen Route festlegen (optional)

Im folgenden Beispiel werden BGP-Sitzungen für Instanzen von Cloud Router erstellt, die die Routen zu den jeweiligen Peer-Netzwerken des Routers mit unveränderten Basisprioritäten bewerben.

Verwenden Sie diese Konfiguration für Aktiv/Aktiv-Konfigurationen, wenn die Prioritäten beider Tunnel auf beiden Seiten übereinstimmen sollen. Wenn Sie die Priorität der beworbenen Basis ausschließen, erhalten beide BGP-Peers die gleichen beworbenen Prioritäten.
Bei Aktiv/Passiv-Konfigurationen können Sie die beworbene Basispriorität der Routen zur Google Cloud steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt. Legen Sie dazu die beworbene Routenpriorität fest.
Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung und den entsprechenden VPN-Tunnel als für die andere BGP-Sitzung und den VPN-Tunnel fest.

Weitere Informationen zur Priorität der beworbenen Basis finden Sie unter Routenmesswerte.

Sie können die beworbenen Routen auch mit benutzerdefinierten Anzeigen optimieren, indem Sie das Flag --advertisement-mode=CUSTOM hinzufügen und IP-Adressbereiche mit --set-advertisement-ranges angeben.

So erstellen Sie BGP-Sitzungen:

  1. Wenn Sie jetzt keine BGP-Sitzungen mehr konfigurieren möchten, klicken Sie auf die Schaltfläche BGP-Sitzungen später konfigurieren. Dadurch gelangen Sie zur Seite Zusammenfassung und Erinnerung.
  2. Wenn Sie jetzt BGP-Sitzungen konfigurieren möchten, klicken Sie beim ersten VPN-Tunnel auf die Schaltfläche Konfigurieren.
  3. Gehen Sie auf der Seite BGP-Sitzung erstellen so vor:
    1. Geben Sie einen Namen für die BGP-Sitzung an.
    2. Geben Sie die Peer-ASN an, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. (Optional) Geben Sie die Priorität der beworbenen Route an.
    4. Geben Sie die BGP-IP-Adresse von Cloud Router und die BGP-Peer-IP-Adresse an. Für diese Adressen muss jeweils eine Link-Local-Adresse aus dem CIDR-Block 169.254.0.0/16 im selben Subnetz von /30 verwendet werden. Achten Sie darauf, dass es sich bei diesen Adressen nicht um die Netzwerk- oder Sendeadresse des Subnetzes handelt.
    5. (Optional) Klicken Sie auf das Drop-down-Menü Beworbene Routen und erstellen Sie benutzerdefinierte Routen.
    6. Klicken Sie auf Speichern und fortfahren.
  4. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel und verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und BGP-Peer-IP-Adresse.
  5. Wenn Sie alle BGP-Sitzungen konfiguriert haben, klicken Sie auf BGP-Konfiguration speichern.

Zusammenfassung und Erinnerung

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum HA VPN-Gateway und zum Peer-VPN-Gateway-Profil.
  2. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  3. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie durchführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
  4. Klicken Sie nach der Prüfung der Informationen auf dieser Seite auf OK.

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um einen zweiten Tunnel auf der zweiten Schnittstelle eines HA VPN-Gateways zu konfigurieren. Wenn Sie einen Tunnel auf einem HA VPN-Gateway zu einem anderen HA VPN-Gateway konfiguriert haben, aber ein SLA mit einer Verfügbarkeit von 99,99 % erhalten möchten, müssen Sie einen zweiten Tunnel konfigurieren.

  1. Rufen Sie die VPN-Seite in der Google Cloud Console auf.
    Zur VPN-Seite
    1. Rufen Sie das HA VPN auf, zu dem Sie den Tunnel hinzufügen möchten.
    2. Klicken Sie auf die Schaltfläche VPN-Tunnel hinzufügen.
    3. Wählen Sie unter Peer-VPN-Gateway Google Cloud aus.
    4. Wählen Sie unter Projekt ein Google Cloud-Projekt aus, das das neue Gateway enthalten soll.
    5. Wählen Sie für VPN-Gateway-Name das andere HA VPN-Gateway aus, zu dem der neue Tunnel eine Verbindung herstellt.
    6. Wählen Sie Fügen Sie den zweiten VPN-Tunnel einem vorhandenen hinzu, um Hochverfügbarkeit zu gewährleisten aus.
    7. Prüfen Sie unter Vorhandenen VPN-Tunnel auswählen, ob der vorhandene Tunnel ausgewählt ist. Sie können auf einen Link klicken, um alle vorhandenen Tunnel oben auf derselben Seite anzusehen.
    8. Geben Sie einen Tunnelnamen an.
    9. Geben Sie die gleiche IKE-Version an, die der Tunnel auf dem anderen Gateway verwendet.
    10. Geben Sie einen vorinstallierten IKE-Schlüssel mithilfe Ihres gemeinsamen Secrets an, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch kein gemeinsames Secret konfiguriert haben und eines generieren möchten, klicken Sie auf die Schaltfläche Generieren und kopieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    11. Klicken Sie auf Erstellen und fortfahren.
    12. Konfigurieren und speichern Sie eine BGP-Sitzung wie in den vorherigen Schritten beschrieben. Sie können BGP auch später konfigurieren.
    13. Aktivieren Sie die Option Zusammenfassung für Konfigurationsinformationen und klicken Sie auf OK.

gcloud

HA VPN-Gateways erstellen

Führen Sie die folgende Befehlssequenz aus, um zwei HA VPN-Gateways zu erstellen:

  1. Erstellen Sie in jedem Netzwerk der region-1 ein HA VPN-Gateway. Wenn ein Gateway erstellt wird, werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle. Notieren Sie sich diese IP-Adressen, um sie später in den Konfigurationsschritten zu verwenden.

    Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie gw-name-1 und gw-name-2 durch den Namen des jeweiligen Gateways.
    • Ersetzen Sie alle anderen Optionen durch die Werte, die Sie zuvor verwendet haben.

    Erstes Gateway erstellen

          gcloud compute vpn-gateways create gw-name-1 \
            --network network-1 \
            --region region-1
        

    Das von Ihnen erstellte Gateway sollte in etwa der folgenden Beispielausgabe entsprechen. Jeder Gateway-Schnittstelle wurde automatisch eine öffentliche IP-Adresse zugewiesen:

          Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
          NAME        INTERFACE0    INTERFACE1     NETWORK    REGION
          ha-vpn-gw-a 203.0.113.16  203.0.113.23   network-a  us-central1
        

    Zweites Gateway erstellen

          gcloud compute vpn-gateways create gw-name-2 \
            --network network-2 \
            --region region-1
        
          Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
          NAME        INTERFACE0   INTERFACE1    NETWORK    REGION
          ha-vpn-gw-b 203.0.114.18 203.0.114.25  network-b  us-central1
        

Einzelne Cloud-Router erstellen

Bei der folgenden Anleitung wird davon ausgegangen, dass Sie nicht bereits Cloud Router für die Verwaltung von BGP-Sitzungen für Ihre HA VPN-Tunnel erstellt haben.

Sie können einen vorhandenen Cloud Router in jedem VPC-Netzwerk verwenden, solange der Router noch keine BGP-Sitzung für einen Interconnect-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

  1. Führen Sie die folgende Befehlssequenz aus, um in jedem Netzwerk einen Cloud Router zu erstellen. Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie asn-1 und asn-2 durch alle privaten ASNs (64512–65534, 4200000000–4294967294), die Sie nicht bereits verwenden. In diesem Beispiel wird ASN 65001 für beide Schnittstellen von router-name-1 und ASN 65002 für beide Schnittstellen von router-name-2 verwendet.
    • Ersetzen Sie alle anderen Optionen durch die Werte, die Sie zuvor verwendet haben.

    Ersten Router erstellen

          gcloud compute routers create router-name-1 \
            --region region-1 \
            --network network-1 \
            --asn asn-1
        

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

          Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
          NAME     REGION      NETWORK
          router-a us-central1 network-a
        

    Zweiten Router erstellen

          gcloud compute routers create router-name-2 \
            --region region-1 \
            --network network-2 \
            --asn asn-2
        

    Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

          Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b].
          NAME     REGION      NETWORK
          router-b us-central1 network-b
        

VPN-Tunnel erstellen

  1. Führen Sie die folgende Befehlssequenz aus, um zwei VPN-Tunnel in jedem einzelnen HA VPN-Gateway zu erstellen.

    • Der Tunnel, den Sie über die Schnittstelle 0 von gw-name-1 erstellen, muss eine Verbindung zur öffentlichen IP-Adresse herstellen, die der Schnittstelle 0 von gw-name-2 in network-2 zugeordnet ist.
    • Der Tunnel von Schnittstelle 1 von gw-name-1 muss eine Verbindung zur öffentlichen IP-Adresse herstellen, die mit Schnittstelle 1 von gw-name-2 verknüpft ist.
    • Wenn Sie VPN-Tunnel in gw-name-1 in network-1 erstellen, müssen Sie die Informationen für gw-name-2 in network-2 angeben. Google verbindet automatisch den Tunnel von Schnittstelle 0 von gw-name-1 mit Schnittstelle 0 von gw-name-2 und Schnittstelle 1 von gw-name-1 mit Schnittstelle 1 von gw-name-2.

    Zwei Tunnel in gw-name-1 erstellen

    1. Erstellen Sie zwei VPN-Tunnel, einen in jeder Schnittstelle von gw-name-1 in network-1. Ersetzen Sie die Optionen in den folgenden Befehlen so:

      • Ersetzen Sie tunnelname-gw1-if0 und tunnelname-gw1-if1 jeweils durch einen Namen von gw-name-1. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • Verwenden Sie gw-name-2 für den Wert --peer-gcp-gateway.
      • Ersetzen Sie region durch die Region, in der sich gw-name-1 befindet.
      • (Optional) --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standartwert des Attributs compute/region.
      • Ersetzen Sie ike-vers durch 2 für IKEv2. Da beide Tunnel mit einem anderen HA- PN-Gateway verbunden sind, wird die Verwendung von IKEv2 empfohlen.
      • Ersetzen Sie shared-secret durch Ihr gemeinsames Secret, das dem gemeinsamen Secret entsprechen muss, das Sie für den entsprechenden aus gw-name-2 in Schnittstelle 0 und in Schnittstelle erstellten Tunnel verwenden. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
      • Ersetzen Sie int-num-0 durch die Zahl 0 für die erste Schnittstelle in gw-name-1.
      • Ersetzen Sie int-num-1 durch die Zahl 1 für die zweite Schnittstelle in gw-name-1.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • --peer-gcp-gateway-region, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.

      Ersten Tunnel in gw-name-1 int-num-0 erstellen

            gcloud compute vpn-tunnels create tunnel-name-gw1-if0\
              --peer-gcp-gateway gw-name-2 \
              --region region-1 \
              --ike-version ike-vers \
              --shared-secret shared-secret \
              --router router-name-1 \
              --vpn-gateway gw-name-1 \
              --interface int-num-0
          

      Zweiten Tunnel in gw-name-1 int-num-1 erstellen

            gcloud compute vpn-tunnels create tunnel-name-gw1-if1 \
              --peer-gcp-gateway gw-name-2 \
              --region region-1 \
              --ike-version ike-vers \
              --shared-secret shared-secret \
              --router router-name-1 \
              --vpn-gateway gw-name-1 \
              --interface int-num-1
          

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
            Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
            NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
            tunnel-a-to-b-if-0 us-central1  ha-vpn-gw-a     0          ha-vpn-gw-b
            Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
            NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
            tunnel-a-to-b-if-1 us-central1  ha-vpn-gw-a     1          ha-vpn-gw-b
          

    Zwei Tunnel in gw-name-2 erstellen

    1. Erstellen Sie zwei VPN-Tunnel, einen in jeder Schnittstelle von gw-name-2 in network-2.
      • Der Tunnel, den Sie über die Schnittstelle 0 von gw-name-2 erstellen, muss eine Verbindung zur öffentlichen IP-Adresse herstellen, die der Schnittstelle 0 von gw-name-1 in network-1 zugeordnet ist.
      • Der Tunnel von Schnittstelle 1 von gw-name-2 muss eine Verbindung zur öffentlichen IP-Adresse herstellen, die mit Schnittstelle 1 von gw-name-1 verknüpft ist.
      • Ersetzen Sie region durch die Region, in der sich gw-name-2 befindet.
      • (Optional) --vpn-gateway-region ist die Region des VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standartwert des Attributs compute/region.

        Ersetzen Sie die Optionen in den folgenden Befehlen so:
      • Ersetzen Sie tunnelname-gw2-if0 und tunnelname-gw2-if1 jeweils durch einen Namen von gw-name-2. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • Verwenden Sie gw-name-1 für den Wert von --peer-gcp-gateway.
      • Der Wert für "--peer-gcp-gateway-region" muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn nicht angegeben, wird der Wert automatisch festgelegt. In diesem Beispiel lautet die Region region-1.
      • Ersetzen Sie ike-vers durch 2 für IKEv2. Da diese Tunnel eine Verbindung zu den zwei Tunneln herstellen, die im vorherigen Schritt erstellt wurden, müssen sie die gleiche IKE-Version verwenden (IKEv2 wird empfohlen).
      • Ersetzen Sie shared-secret durch Ihr gemeinsames Secret, das dem gemeinsamen Secret des Partnertunnels entsprechen muss, den Sie in den einzelnen Schnittstellen von gw-name-1 erstellt haben. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
      • Ersetzen Sie gw-name-2 durch den Namen des zweiten Gateways, das Sie im Schritt der Gateway-Konfiguration konfiguriert haben.
      • Ersetzen int-num-0 durch die Zahl 0 für die erste Schnittstelle auf gw-name-2.
      • Ersetzen Sie int-num-1 durch die Zahl 1 für die zweite Schnittstelle auf gw-name-2.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name: --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b.
      • --peer-gcp-gateway-region, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.

    Ersten Tunnel in gw-name-2 int-num-0 erstellen

          gcloud compute vpn-tunnels create tunnel-name-gw2-if0 \
           --peer-gcp-gateway gw-name-1 \
           --region region-1 \
           --ike-version ike-vers \
           --shared-secret shared-secret \
           --router router-name-2 \
           --vpn-gateway gw-name-2 \
           --interface int-num-0
        

    Zweiten Tunnel in gw-name-2 int-num-1 erstellen

          gcloud compute vpn-tunnels create tunnel-name-gw2-if1 \
            --peer-gcp-gateway gw-name-1 \
            --region region-1 \
            --ike-version ike-vers \
            --shared-secret shared-secret \
            --router router-name-2 \
            --vpn-gateway gw-name-2 \
            --interface int-num-1
        

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:
          Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
          NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
          tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b     0          ha-vpn-gw-a
          Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
          NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
          tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b     1          ha-vpn-gw-a
        

    Warten Sie nach diesem Schritt einige Minuten und prüfen Sie dann den Status der einzelnen VPN-Tunnel.

    Der Zustand eines VPN-Tunnels ändert sich nur dann in Established, wenn der entsprechende Partnertunnel ebenfalls verfügbar und ordnungsgemäß konfiguriert ist. Eine gültige IKE-Version und die untergeordnete Sicherheitsverknüpfung (SA) müssen ebenfalls zwischen ihnen ausgehandelt werden.

    Beispiel: tunnel-a-to-b-if-0 in ha-vpn-gw-a kann nur festgelegt werden, wenn tunnel-b-to-a-if-0 in ha-vpn-gw-b konfiguriert und verfügbar ist.

Cloud Router-Schnittstellen und BGP-Peers erstellen

Priorität der beworbenen Route festlegen (optional)

In den folgenden Beispielen werden BGP-Sitzungen für Instanzen von Cloud Router erstellt, die die Routen zu den jeweiligen Peer-Netzwerken des Routers mit unveränderten Basisprioritäten bewerben. Verwenden Sie diese Konfiguration für Aktiv/Aktiv-Konfigurationen, wenn die Prioritäten der beiden Tunnel auf beiden Seiten übereinstimmen sollen. Wenn Sie --advertised-base-priority wie in diesem Beispiel ausschließen, werden für beide BGP-Peers die gleichen beworbenen Prioritäten angezeigt.

Bei Aktiv/Passiv-Konfigurationen können Sie die beworbene Basispriorität der Routen zur Google Cloud steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt. Verwenden Sie dazu --advertised-route-priority, wenn Sie einen BGP-Peer hinzufügen oder aktualisieren.

Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung, die einem VPN-Tunnel entspricht, fest als die Priorität der BGP-Sitzung für den anderen VPN-Tunnel.

Weitere Informationen zur Priorität der beworbenen Basis finden Sie unter Routenmesswerte.

Sie können die beworbenen Routen auch mit benutzerdefinierten Anzeigen optimieren, indem Sie das Flag --advertisement-mode=CUSTOM hinzufügen und IP-Adressbereiche mit --set-advertisement-ranges angeben.

So erstellen Sie Cloud Router-Schnittstellen und BGP-Peers:

  1. Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer in router-name-1 für den Tunnel tunnel-name-gw1-if0. Diese BGP-Schnittstelle verbindet mithilfe von zwei BGP-IP-Adressen tunnel-name-gw1-if0 in Schnittstelle 0 von gw-1 mit Schnittstelle 0 von gw-2. Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie router-1-interface-name-0 durch einen Namen für die BGP-Schnittstelle von Cloud Router. Die Verwendung eines Namens, der sich auf tunnel-name-gw1-if0 bezieht, kann hilfreich sein.
    • Ersetzen Sie ip-address durch eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.1 verwendet.
    • Verwenden Sie für mask-length den Wert 30.
    • Ersetzen Sie peer-name durch einen Namen, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf tunnel-name-gw1-if0 bezieht, kann hilfreich sein.
    • Ersetzen Sie peer-ip-address durch eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.2 verwendet.
    • Ersetzen Sie peer-asn durch die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router router-name-2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.

      1. Geben Sie den folgenden Befehl ein, um eine BGP-Schnittstelle für tunnel-name-gw1-if0 zu erstellen:

            gcloud compute routers add-interface router-name-1 \
               --interface-name router-1-interface-name-0 \
               --ip-address ip-address \
               --mask-length mask-length \
               --vpn-tunnel tunnel-name-gw1-if0 \
               --region region-1
            
      2. Geben Sie den folgenden Befehl ein, um einen BGP-Peer für tunnel-name-gw1-if0 zu erstellen:

            gcloud compute routers add-bgp-peer router-name-1 \
               --peer-name peer-name \
               --interface router-1-interface-name-0 \
               --peer-ip-address peer-ip-address \
               --peer-asn peer-asn \
               --region region-1
            

        Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

             Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
            
  2. Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer in router-name-1 für den Tunnel tunnel-name-gw1-if1. Diese BGP-Schnittstelle verbindet mithilfe von zwei BGP-IP-Adressen tunnel-name-gw1-if1 in Schnittstelle 1 von gw-1 mit Schnittstelle 1 von gw-2. Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie router-1-interface-name-1 durch einen Namen für die BGP-Schnittstelle von Cloud Router. Die Verwendung eines Namens, der sich auf tunnel-name-gw1-if1 bezieht, kann hilfreich sein.
    • Ersetzen Sie ip-address durch eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 verwendet.
    • Verwenden Sie für mask-length den Wert 30.
    • Ersetzen Sie peer-name durch einen Namen, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf tunnel-name-gw1-if1 bezieht, kann hilfreich sein.
    • Ersetzen Sie peer-ip-address durch eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.2 verwendet.
    • Ersetzen Sie peer-asn durch die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router router-name-2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.

      1. Geben Sie den folgenden Befehl ein, um eine BGP-Schnittstelle für tunnel-name-gw1-if1 zu erstellen:

            gcloud compute routers add-interface router-name-1 \
               --interface-name router-1-interface-name-1 \
               --ip-address ip-address \
               --mask-length mask-length \
               --vpn-tunnel tunnel-name-gw1-if1 \
               --region region-1
            
      2. Geben Sie den folgenden Befehl ein, um einen BGP-Peer für tunnel-name-gw1-if1 zu erstellen:

            gcloud compute routers add-bgp-peer router-name-1  \
               --peer-name peer-name \
               --interface router1-interface-name-1 \
               --peer-ip-address peer-ip-address \
               --peer-asn peer-asn \
               --region region-1
            

        Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

             Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a ].
            
  3. Prüfen Sie die Einstellungen für router-1 mit dem folgenden Befehl:

        gcloud compute routers describe router-1  \
            --region region-1
        

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

         bgp:
           advertisemode: DEFAULT
           asn: 65001
         bgpPeers:
         — interfaceName: if-tunnel-a-to-b-if-0
           ipAddress: 169.254.0.1
           name: bgp-peer-tunnel-a-to-b-if-0
           peerAsn: 65002
           peerIpAddress: 169.254.0.2
         bgpPeers:
         — interfaceName: if-tunnel-a-to-b-if-1
           ipAddress: 169.254.1.1
           name: bgp-peer-tunnel-a-to-b-if-1
           peerAsn: 65002
           peerIpAddress: 169.254.1.2
         creationTimestamp: '2015-10-19T14:31:52.639-07:00'
         id: '4047683710114914215'
         interfaces:
         — ipRange: 169.254.0.1/30
           linkedVpnTunnel:
         https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
           name: if-tunnel-a-to-b-if-0
         — ipRange: 169.254.1.1/30
           linkedVpnTunnel:
         https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
           name: if-tunnel-a-to-b-if-1
         kind: compute#router
         name: router-a
         network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a
         region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
         selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
        
  4. Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer in router-name-2 für den Tunnel tunnel-name-gw2-if0. Diese BGP-Schnittstelle verbindet mithilfe von zwei BGP-IP-Adressen tunnel-name-gw2-if0 in Schnittstelle 0 von gw-2 mit Schnittstelle 0 von gw-1. Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie router-2-interface-name-0 durch einen Namen für die BGP-Schnittstelle von Cloud Router. Die Verwendung eines Namens, der sich auf tunnel-name-gw2-if0 bezieht, kann hilfreich sein.
    • Ersetzen Sie ip-address durch die BGP-IP-Adresse, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurde. In diesem Beispiel wird 169.254.0.2 verwendet.
    • Verwenden Sie für mask-length den Wert 30.
    • Ersetzen Sie peer-name durch einen Namen, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf tunnel-name-gw2-if0 bezieht, kann hilfreich sein.
    • Ersetzen Sie peer-ip-address durch die zuvor für das Peer-Gateway und die Schnittstelle verwendete IP-Adresse. In diesem Beispiel wird 169.254.0.1 verwendet.
    • Ersetzen Sie peer-asn durch die ASN-Nummer, die für alle Schnittstellen in router-name-1 verwendet wird und die zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    1. Geben Sie den folgenden Befehl ein, um eine BGP-Schnittstelle für tunnel-name-gw2-if0 zu erstellen:

          gcloud compute routers add-interface router-name-2 \
             --interface-name router-2-interface-name-0 \
             --ip-address ip-address \
             --mask-length mask-length \
             --vpn-tunnel tunnel-name-gw2-if0 \
             --region region-1
          

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

    2. Geben Sie den folgenden Befehl ein, um einen BGP-Peer für tunnelname-gw2-if0 zu erstellen:

           gcloud compute routers add-bgp-peer router-name-2 \
             --peer-name peer-name \
             --interface router-2-interface-name-0 \
             --peer-ip-address peer-ip-address \
             --peer-asn peer-asn \
             --region region-1
          

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

           Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
          
  5. Erstellen Sie eine BGP-Schnittstelle und einen BGP-Peer in router-name-2 für den Tunnel tunnel-name-gw2-if1. Diese BGP-Schnittstelle verbindet mithilfe von zwei BGP-IP-Adressen tunnel-name-gw2-if1 in Schnittstelle 1 von gw-2 mit Schnittstelle 1 von gw-1. Ersetzen Sie die Optionen in den folgenden Befehlen so:

    • Ersetzen Sie router-2-interface-name-1 durch einen Namen für die BGP-Schnittstelle von Cloud Router. Die Verwendung eines Namens, der sich auf tunnel-name-gw2-if1 bezieht, kann hilfreich sein.
    • Ersetzen Sie ip-address durch die BGP-IP-Adresse, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurde. In diesem Beispiel wird 169.254.1.2 verwendet.
    • Verwenden Sie für mask-length den Wert 30.
    • Ersetzen Sie peer-name durch einen Namen, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf tunnel-name-gw2-if1 bezieht, kann hilfreich sein.
    • Ersetzen Sie peer-ip-address durch eine BGP-IP-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 verwendet.
    • Ersetzen Sie peer-asn durch die ASN-Nummer, die für alle Schnittstellen in router-name-1 verwendet wird und die zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    1. Geben Sie den folgenden Befehl ein, um eine BGP-Schnittstelle für tunnel-name-gw2-if1 zu erstellen:

          gcloud compute routers add-interface router-name-2 \
             --interface-name router-2-interface-name-1 \
             --ip-address ip-address \
             --mask-length mask-length \
             --vpn-tunnel tunnel-name-gw2-if1 \
             --region region-1
          

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

          Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
          
    2. Geben Sie den folgenden Befehl ein, um einen BGP-Peer für tunnel-name-gw2-if1 zu erstellen:

          gcloud compute routers add-bgp-peer router-name-2  \
             --peer-name peer-name \
             --interface router-2-interface-name-1 \
             --peer-ip-address peer-ip-address \
             --peer-asn peer-asn \
             --region region-1
          

      Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

           Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
          
  6. Prüfen Sie die Einstellungen für router-2 mit dem folgenden Befehl:

        gcloud compute routers describe router-2  \
           --region region-1
        

    Die Befehlsausgabe sollte in etwa wie das folgende Beispiel aussehen:

         bgp:
           advertiseMode: DEFAULT
           asn: 65002
         bgpPeers:
         — interfaceName: if-tunnel-b-to-a-if-0
           ipAddress: 169.254.0.2
           name: bgp-peer-tunnel-b-to-a-if-0
           peerAsn: 65001
           peerIpAddress: 169.254.0.1
         bgpPeers:
         — interfaceName: if-tunnel-b-to-a-if-1
           ipAddress: 169.254.1.2
           name: bgp-peer-tunnel-b-to-a-if-1
           peerAsn: 65001
           peerIpAddress: 169.254.1.1
         creationTimestamp: '2015-10-19T14:31:52.639-07:00'
         id: '4047683710114914215'
         interfaces:
         — ipRange: 169.254.0.1/30
           linkedVpnTunnel:
         https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
           name: if-tunnel-b-to-a-if-0
           — ipRange: 169.254.1.1/30
           linkedVpnTunnel:
         https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
           name: if-tunnel-b-to-a-if-1
         kind: compute#router
         name: router-b
         network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-b
         region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
         selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b
        

Konfiguration abschließen

API

SCHRITT 1: Führen Sie zum Erstellen eines HA VPN-Gateways eine POST-Anfrage an die Methode vpnGateways.insert aus. Wiederholen Sie diesen Befehl, um das andere HA VPN-Gateway mit name, network, und region zu erstellen.

     POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways
     {
       "name": "ha-vpn-gw-a",
       "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
     }
    

SCHRITT 2:

Wenn Sie in den verschiedenen VPC-Netzwerken, in denen sich Ihre HA VPN-Gateways befinden, bereits Cloud Router erstellt haben, können Sie diese Cloud Router verwenden, anstatt neue zu erstellen. Wenn ein Cloud Router jedoch eine BGP-Sitzung für einen Interconnect-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist, müssen Sie einen neuen Cloud Router erstellen.

Führen Sie zum Erstellen von Cloud Router eine POST-Anfrage an die Methode routers.insert aus.

     POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
     {
       "name": "router-a",
       "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
     }
    

SCHRITT 3: Führen Sie zum Erstellen von zwei VPN-Tunneln, einen für jede Schnittstelle auf einem HA VPN-Gateway, eine POST-Anfrage an die Methode vpnTunnels.insert aus.

Geben Sie den folgenden Befehl ein, um den ersten Tunnel zu erstellen:

     POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
     {
       "name": "ha-vpn-gw-a-tunnel-0",
       "ikeVersion": 2,
       "peerIp": "192.0.2.1",
       "router": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/router-a",
       "sharedSecret": "974;va'oi3-1",
       "vpnGateway": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpn-gateways/ha-vpn-gw-a",
       "vpnGatewayInterface": 0
     }
    

Wiederholen Sie vorherigen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

  • name
  • peerIp
  • sharedSecret oder sharedSecretHash (falls erforderlich)

Ändern Sie für den zweiten Tunnel den Parameter vpnGatewayInterface in den Wert der anderen HA VPN-Gateway-Schnittstelle. In diesem Beispiel würden Sie diesen Wert in 1 ändern.

Wiederholen Sie diesen Schritt, um zwei Tunnel für Ihr zweites HA VPN-Gateway zu erstellen, die eine Verbindung zu Ihrem ersten HA VPN-Gateway herstellen. Ändern Sie hierbei aber die Parameter: Verwenden Sie die gcloud-Befehlsbeispiele als Referenz.

Priorität der beworbenen Route für BGP festlegen (optional)

In den folgenden Beispielen werden BGP-Sitzungen für Instanzen von Cloud Router erstellt, die die Routen zu den jeweiligen Peer-Netzwerken des Routers mit unveränderten Basisprioritäten bewerben. Verwenden Sie diese Konfiguration für Aktiv/Aktiv-Konfigurationen, wenn die Prioritäten der beiden Tunnel auf beiden Seiten übereinstimmen sollen. Wenn Sie den Parameter advertised-route-priority wie in diesem Beispiel ausschließen, werden für beide BGP-Peers die gleichen beworbenen Prioritäten angezeigt.

Bei Aktiv/Passiv-Konfigurationen können Sie die beworbene Basispriorität der Routen zur Google Cloud steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt Verwenden Sie zum Konfigurieren dieser Priorität den Parameter advertised-route-priority, wenn Sie einen BGP-Peer hinzufügen oder aktualisieren.

Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung, die einem VPN-Tunnel entspricht, fest als die Priorität der BGP-Sitzung für den anderen VPN-Tunnel.

Weitere Informationen zur Priorität der beworbenen Basis finden Sie unter Routenmesswerte.

Sie können die beworbenen Routen auch mit benutzerdefinierten Anzeigen optimieren, indem Sie den Parameter advertiseMode hinzufügen und den Wert auf custom festlegen. Außerdem können Sie IP-Adressbereiche mit dem Parameter advertisedIpRanges angeben.

SCHRITT 4: Führen Sie zum Erstellen einer BGP-Schnittstelle von Cloud Router entweder eine PATCH- oder eine UPDATE-Anfrage an die Methode routers.patch oder die Methode routers.update aus. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router. Erstellen Sie eine BGP-Schnittstelle für jeden VPN-Tunnel auf dem HA VPN-Gateway.

     PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/{resourceId}
     {
       "interfaces": [
         {
           "name": "if-tunnel-a-to-on-prem-if-0",
           "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
           "ipRange": "169.254.0.1/30"
         }
       ]
     }
    

SCHRITT 5: Wenn Sie für jeden VPN-Tunnel einen BGP-Peer zu Cloud Router hinzufügen möchten, stellen Sie eine POST-Anfrage an die Methode routers.insert. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und "peerAsn".

Verwenden Sie die folgenden API-Befehle, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen.

     POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
     {
       "name": "router-a",
       "network": "network-a",
       "bgpPeers": [
         {
           "interfaceName": "if-tunnel-a-to-on-prem-if-0",
           "ipAddress": "169.254.0.1",
           "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
           "peerAsn": "65002",
           "peerIpAddress": "169.254.0.2",
           "advertiseMode": "DEFAULT"
         }
       ]
      }
     

SCHRITT 6 Prüfen Sie die Cloud Router-Konfiguration mit der Methode routers.getRouterStatus und verwenden Sie dabei einen leeren Anfragetext:

     POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
    

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und seine verknüpften VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Weitere Informationen erhalten Sie auf folgenden Seiten:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf. Vorschläge finden Sie auf der Seite Firewallregeln konfigurieren.
  3. Prüfen Sie den Status Ihrer VPN-Tunnel und die Konfiguration Ihres HA VPN-Gateways auf Hochverfügbarkeit.

Nächste Schritte