Como criar uma VPN com base em políticas

Nesta página, descrevemos como criar um gateway do Cloud VPN e um túnel usando o roteamento com base em políticas.

O roteamento com base em políticas usa seletores de tráfego locais e remotos. Revise primeiro a documentação abaixo para ver informações básicas:

Permissões necessárias

Proprietários de projetos, editores e membros do IAM com o papel de administrador de rede podem criar novos gateways e túneis do Cloud VPN.

Como criar um gateway e um túnel

Console


  1. Acesse a página "VPN" no Console do Google Cloud Platform.
    Acesse a página VPN
  2. Clique em Criar
  3. Na página Criar uma conexão VPN, forneça as seguintes informações na seção Gateway de VPN do Google Compute Engine:
    • Nome: o nome do gateway da VPN. Não é possível alterá-lo posteriormente.
    • Descrição: se quiser, digite uma descrição.
    • Rede: escolha a rede do GCP em que serão criados o gateway e o túnel da VPN. Use uma rede VPC ou uma rede legada.
    • Região: os gateways e túneis do Cloud VPN são objetos regionais. Escolha a região do GCP em que o gateway será localizado. Instâncias e outros recursos em diferentes regiões usam o túnel para o tráfego de saída sujeito à ordem das rotas. Para um melhor desempenho, coloque o gateway e o túnel na mesma região que os recursos relevantes do GCP.
    • Endereço IP: crie ou escolha um endereço IP externo regional atual.
  4. Forneça as seguintes informações na seção Túneis para o novo item de túnel:
    • Nome: o nome do túnel da VPN. Não é possível alterá-lo posteriormente.
    • Descrição: se quiser, digite uma descrição.
    • Endereço IP do terminal remoto: forneça o endereço IP público do gateway da VPN local.
    • Versão do IKE: escolha a versão do IKE compatível com o gateway da VPN local. Recomenda-se o IKEv2 quando compatível com o dispositivo local.
    • Chave secreta compartilhada: forneça uma chave pré-compartilhada usada para autenticação. A chave secreta compartilhada do túnel do Cloud VPN precisa corresponder àquela usada na configuração do túnel de contraparte no gateway da VPN local. Siga estas instruções para gerar uma chave secreta compartilhada com criptografia forte.
    • Opções de roteamento: selecione Com base em políticas.
    • Intervalos de IP de rede remota: forneça uma lista separada por espaços dos intervalos de IP usados pela rede local. Esse é o seletor de tráfego remoto: o "lado direito" na perspectiva do Cloud VPN.
    • Intervalos de IP locais: use o menu Sub-redes locais ou insira uma lista de intervalos de IP separados por espaço usados na rede do GCP. Consulte seletores de tráfego para considerações importantes.
  5. Caso seja preciso criar mais túneis no mesmo gateway, clique em Adicionar túnel e repita a etapa anterior. É possível adicionar mais túneis posteriormente.
  6. Clique em Criar

gcloud


Nos comandos a seguir, substitua:

  • [PROJECT_ID] pelo código do projeto;
  • [NETWORK] pelo nome da rede do GCP;
  • [REGION] pela região do GCP em que você precisa criar o gateway e o túnel;
  • [GW_NAME] pelo nome do gateway;
  • [GW_IP_NAME] por um nome para o IP externo usado pelo gateway.

Complete a sequência de comandos a seguir para criar um gateway do GCP:

  1. Crie os recursos para o gateway do Cloud VPN:

    1. Crie o objeto de gateway da VPN de destino.

      gcloud compute target-vpn-gateways create [GW_NAME] \
          --network [NETWORK] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    2. Reserve um endereço IP estático externo regional:

      gcloud compute addresses create [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    3. Anote o endereço IP para usá-lo quando configurar seu gateway da VPN local:

      gcloud compute addresses describe [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID] \
          --format='flattened(address)'
      
    4. Crie três regras de encaminhamento. Essas regras instruem o GCP a enviar o tráfego ESP (IPSec), UDP 500 e UDP 4500 para o gateway.

      gcloud compute forwarding-rules create fr-[GW_NAME]-esp \
          --ip-protocol ESP \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp500 \
          --ip-protocol UDP \
          --ports 500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp4500 \
          --ip-protocol UDP \
          --ports 4500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
  2. Crie o túnel do Cloud VPN com os seguintes detalhes:

    • Substitua [TUNNEL_NAME] por um nome para o túnel.
    • Substitua [ON_PREM_IP] pelo endereço IP externo do gateway da VPN local.
    • Substitua [IKE_VERS] por 1 para IKEv1 ou 2 para IKEv2.
    • Substitua [SHARED_SECRET] pela chave secreta compartilhada. A chave secreta compartilhada do túnel do Cloud VPN precisa corresponder àquela usada na configuração do túnel de contraparte no gateway da VPN local. Siga estas instruções para gerar uma chave secreta compartilhada com criptografia forte.
    • Substitua [LOCAL_IP_RANGES] por uma lista separada por vírgulas dos intervalos de IP do GCP. Por exemplo, é possível fornecer o bloco CIDR para cada sub-rede em uma rede VPC. Este é o “lado esquerdo” na perspectiva do Cloud VPN.
    • Substitua [REMOTE_IP_RANGES] por uma lista separada por vírgulas dos intervalos de IP da rede local. Este é o “lado direito” na perspectiva do Cloud VPN.
    gcloud compute vpn-tunnels create [TUNNEL_NAME] \
        --peer-address [ON_PREM_IP] \
        --ike-version [IKE_VERS] \
        --shared-secret [SHARED_SECRET] \
        --local-traffic-selector=[LOCAL_IP_RANGES] \
        --remote-traffic-selector=[REMOTE_IP_RANGES] \
        --target-vpn-gateway [GW_NAME] \
        --region [REGION] \
        --project [PROJECT_ID]
    
  3. Crie uma rota estática para cada intervalo de IP remoto especificado na opção --remote-traffic-selector na etapa anterior. Repita esse comando para cada intervalo de IP remoto, substituindo [ROUTE_NAME] por um nome exclusivo para a rota e [REMOTE_IP_RANGE] pelo intervalo de IP remoto apropriado.

    gcloud compute routes create [ROUTE_NAME] \
        --destination-range [REMOTE_IP_RANGE] \
        --next-hop-vpn-tunnel [TUNNEL_NAME] \
        --network [NETWORK] \
        --next-hop-vpn-tunnel-region [REGION] \
        --project [PROJECT_ID]
    

Próximas etapas

É preciso concluir as seguintes etapas antes de usar um novo túnel e gateway do Cloud VPN:

  1. Configure o gateway da VPN local e o túnel correspondente. Consulte estas páginas:
  2. Configure regras de firewall no GCP e na rede local, conforme necessário. Consulte a página Regras de firewall para sugestões.
  3. Verifique o status do túnel.
  4. É possível visualizar suas rotas da VPN visitando a tabela de roteamento do projeto e filtrando por "Próximo tipo de salto: túnel da VPN".

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…