建立依據路徑的 VPN

本頁說明如何使用 Cloud VPN 建立簡單的依據路徑 VPN。依據路徑的 VPN 通道與使用依據政策轉送的通道類似,但您只能指定遠端流量選取器,無法指定本機流量選取器。

如果您需要指定本機流量選取器,請建立使用依據政策轉送的 Cloud VPN 通道

建立依據路徑的 VPN 之前,請參閱下列內容以瞭解背景資訊:

  • 關於依據路徑的 VPN流量選取器
  • 根據定義,無論 IKE 版本為何,依據路徑的 VPN 都會將 0.0.0.0/0 同時用於其本機遠端流量選取器。在 GCP 主控台中建立 VPN 通道時,GCP 會根據您在遠端 IP 範圍中指定的 IP 位址自動建立路徑。使用 gcloud 或 API 建立 VPN 通道時,您必須分別建立路徑。這個頁面中的指示會說明用於建立依據路徑的 VPN 通道的兩個方法。

必要權限

工作 必要角色
建立 VPN 閘道、通道與虛擬私人雲端網路路徑 專案擁有者或編輯者,「或」網路管理員,「或」具有適當網路管理員角色權限的自訂角色
建立及修改防火牆規則 專案擁有者或編輯者安全管理員,或具有 compute.firewalls.* 權限的自訂角色

建立閘道與通道

主控台


  1. 前往 Google Cloud Platform 主控台的 VPN 頁面。
    前往 VPN 頁面
  2. 按一下 [建立]
  3. 在「建立 VPN 連線」頁面的「Google Compute Engine VPN 閘道」區段中提供下列資訊:
    • 名稱 — VPN 閘道的名稱。名稱一經設定即無法變更。
    • 說明 — 視需要輸入說明。
    • 網路 — 選擇應在其中建立 VPN 閘道與通道的 GCP 網路。您可以使用虛擬私人雲端網路舊版網路
    • 地區 — Cloud VPN 閘道與通道是地區物件。選擇閘道所在的 GCP 地區。「不同地區」中的執行個體和其他資源可依照路徑順序,將通道用於輸出流量。如要體驗最佳效能,請將閘道與通道置於與相關 GCP 資源相同的地區。
    • 「IP address」(IP 位址) — 建立或選擇現有地區外部 IP 位址
  4. 針對新通道項目,在「通道」區段提供下列內容:
    • 名稱 — VPN 通道的名稱。名稱一經設定即無法變更。
    • 說明 — 視需要輸入說明。
    • 遠端對等互連 IP 位址 — 提供內部部署 VPN 閘道的公開 IP 位址。
    • IKE 版本 — 選擇內部部署 VPN 閘道支援的適當 IKE 版本。如果內部部署裝置支援 IKEv2,建議選擇這個版本。
    • 共用密鑰 — 提供用於驗證的預先共用金鑰。Cloud VPN 通道的共用密鑰必須與您在內部部署 VPN 閘道中設定對應通道時使用的密鑰相符。您可以遵循這些指示,產生高強度加密的共用密鑰。
    • 路由選項 — 選取 [依據路徑]
    • 遠端網路 IP 範圍 — 為內部部署網路提供以空格分隔的多個 IP 範圍清單。針對依據路徑的 VPN,若您使用 GCP 主控台建立通道,則「只能」使用一或多個遠端 IP 範圍建立路徑。
  5. 如果您需要在同一個閘道中建立更多通道,請按一下 [新增通道],然後重複上一個步驟。您稍後可以新增多個通道
  6. 按一下 [建立]

gcloud


在下列指令中:

  • [PROJECT_ID] 替換為專案的 ID。
  • [NETWORK] 替換為 GCP 網路的名稱。
  • [REGION] 替換為您需要建立閘道與通道所在的 GCP 地區
  • [GW_NAME] 替換為閘道的名稱。
  • [GW_IP_NAME] 替換為閘道使用的外部 IP「名稱」

完成下列指令序列,建立 GCP 閘道:

  1. 為 Cloud VPN 閘道建立資源:

    1. 建立「目標 VPN 閘道」物件。

      gcloud compute target-vpn-gateways create [GW_NAME] \
          --network [NETWORK] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    2. 預約地區外部 (靜態) IP 位址:

      gcloud compute addresses create [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    3. 記下 IP 位址 (以便您可以在設定內部部署 VPN 閘道時使用):

      gcloud compute addresses describe [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID] \
          --format='flattened(address)'
      
    4. 建立三個「轉送規則」。這些規則可指示 GCP 將 ESP (IPSec)、UDP 500 與 UDP 4500 流量傳送至閘道。

      gcloud compute forwarding-rules create fr-[GW_NAME]-esp \
          --ip-protocol ESP \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp500 \
          --ip-protocol UDP \
          --ports 500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp4500 \
          --ip-protocol UDP \
          --ports 4500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      

完成下列指令序列,建立 GCP 通道:

  1. 使用下列詳細資料建立 Cloud VPN 通道:

    • [TUNNEL_NAME] 替換為通道的名稱。
    • [ON_PREM_IP] 替換為內部部署 VPN 閘道的外部 IP 位址。
    • 針對 IKEv1,將 [IKE_VERS] 替換為 1,針對 IKEv2 則替換為 2
    • [SHARED_SECRET] 替換為共用密鑰。Cloud VPN 通道的共用密鑰必須與您在內部部署 VPN 閘道中設定對應通道時使用的密鑰相符。您可以遵循這些指示,產生高強度加密的共用密鑰。
    • --local-traffic-selector--remote-traffic-selector 都設定為「不限」(0.0.0.0/0)。針對依據路徑的 VPN,流量選取器會保持「允許所有流量」,進而讓每個網路中的路徑將流量導向 VPN 通道。
    gcloud compute vpn-tunnels create [TUNNEL_NAME] \
        --peer-address [ON_PREM_IP] \
        --ike-version [IKE_VERS] \
        --shared-secret [SHARED_SECRET] \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway [GW_NAME] \
        --region [REGION] \
        --project [PROJECT_ID]
    
  2. 為您在上一步的 --remote-traffic-selector 選項中指定的每個遠端 IP 範圍建立靜態路徑。針對每個遠端 IP 範圍重複這個指令,並將 [ROUTE_NAME] 替換為路徑的不重複名稱,將 [REMOTE_IP_RANGE] 替換為適當的遠端 IP 範圍。

    gcloud compute routes create [ROUTE_NAME] \
        --destination-range [REMOTE_IP_RANGE] \
        --next-hop-vpn-tunnel [TUNNEL_NAME] \
        --network [NETWORK] \
        --next-hop-vpn-tunnel-region [REGION] \
        --project [PROJECT_ID]
    

後續步驟

您必須完成下列步驟,才能使用新 Cloud VPN 閘道與通道:

  1. 設定內部部署 VPN 閘道,並在閘道中設定對應通道。請參閱以下頁面:
  2. 根據需要設定 GCP 與內部部署網路的防火牆規則。如需建議,請參閱防火牆規則頁面
  3. 檢查通道的狀態
  4. 您可瀏覽專案轉送表並篩選「Next hop type:VPN tunnel」(下一個躍點類型:VPN 通道),以查看您的 VPN 路徑。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN