创建使用动态路由的传统 VPN

本页面介绍如何创建传统 VPN 网关和一个使用动态路由的隧道,即使用边界网关路由协议 (BGP)

借助动态路由,您无需指定本地或远程流量选择器,而是使用 Cloud Router 路由器。路由信息会动态交换。

准备工作

在 Google Cloud 中设置以下项,更轻松地配置 Cloud VPN:

  1. 登录您的 Google 帐号。

    如果您还没有 Google 帐号,请注册新帐号

  2. 在 Cloud Console 的项目选择器页面上,选择或创建 Cloud 项目。

    转到项目选择器页面

  3. 确保您的 Google Cloud 项目已启用结算功能。 了解如何确认您的项目已启用结算功能

  4. 安装并初始化 Cloud SDK
  1. 如果您使用 gcloud 命令,请使用以下命令设置您的项目 ID。此页面上的 gcloud 说明假设您在发出命令前已设置了项目 ID。
      gcloud config set project project-id
    

您还可以查看已设置的项目 ID:

      gcloud config list --format='text(core.project)'
    

创建自定义的 Virtual Private Cloud 网络和子网

创建传统 VPN 网关和隧道之前,您必须在传统 VPN 网关所在区域内创建一个 Virtual Private Cloud 网络和至少一个子网。

创建网关和隧道

VPN 设置向导是创建传统 VPN 网关的唯一控制台选项。该向导包含创建传统 VPN 网关、隧道、BGP 会话和外部 VPN 网关资源所需的所有配置步骤。不过,其中某些步骤可稍后再完成。例如,配置 BGP 会话。

创建 VPN 按钮仅支持创建高可用性 VPN 网关。

控制台

配置网关

  1. 转到 Google Cloud Console 中的 VPN 页面。
    转到 VPN 页面
  2. 点击 VPN 设置向导
  3. 创建 VPN 页面上,指定传统 VPN
  4. 点击继续
  5. 创建 VPN 连接页面上,指定以下网关设置:
    • 名称 - VPN 网关的名称。该名称以后无法更改。
    • 说明 -(可选)添加说明。
    • 网络 - 指定要在其中创建 VPN 网关和隧道的现有 VPC 网络。
    • 区域 - Cloud VPN 网关和隧道是区域对象。选择网关所在的 Google Cloud 区域。不同区域中的实例和其他资源可按照路由顺序使用隧道发送出站流量。为获得最佳性能,网关和隧道应位于相关 Google Cloud 资源所在的同一区域中。
    • IP 地址 - 创建或选择现有的区域外部 IP 地址

配置隧道

  1. 隧道部分为新隧道项指定以下内容:
    • 名称 - VPN 隧道的名称。该名称以后无法更改。
    • 说明 - 输入说明(可选)。
    • 远程对等 IP 地址 - 指定对等 VPN 网关的公共 IP 地址。
    • IKE 版本 - 选择对等 VPN 网关支持的相应 IKE 版本。如果受对等设备支持,推荐选择 IKEv2。
    • 共享密钥 - 提供用于身份验证的预共享密钥。Cloud VPN 隧道的共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的共享密钥一致。您可以按照这些说明生成加密型强共享密钥。
    • 路由选项 - 选择动态 (BGP)
    • Cloud Router 路由器 - 如果您尚未创建,请指定如下所述的选项创建一个新的 Cloud Router 路由器。如果 Cloud Router 路由器尚未管理与“合作伙伴互连”关联的互连连接的 BGP 会话,则可以使用现有的 Cloud Router 路由器。如果您选择现有 Cloud Router 路由器,您仍将创建新的 BGP 会话,但 Google ASN 是相同的。要创建新的 Cloud Router 路由器,请指定以下详细信息:
      • 名称 - Cloud Router 路由器的名称。该名称之后不可更改。
      • 说明 - 输入说明(可选)。
      • Google ASN - 选择专用 ASN(64512 - 65534、4200000000 - 4294967294)。此 Google ASN 将用于 Cloud Router 路由器管理的所有 BGP 会话。此 ASN 之后不可更改。
      • 点击保存并继续
    • BGP 会话 - 点击铅笔图标,然后指定以下详细信息。完成后,点击保存并继续
      • 名称 - BGP 会话的名称。该名称之后不可更改。
      • 对等 ASN - 您的对等 VPN 网关使用的公共 ASN 或专用 ASN(64512 - 65534、4200000000 - 4294967294)。
      • 通告路由的优先级 -(可选)Cloud Router 路由器在通告“到 Google Cloud”的路由时使用的基本优先级。如需了解详情,请参阅路由指标。您的对等 VPN 网关会将这些值作为 MED 值导入。
      • Cloud Router BGP IPBGP 对等 IP - 两个 BGP 接口 IP 地址必须是属于 169.254.0.0/16 块的通用 /30 CIDR 的链路本地 IP 地址。每个 BGP IP 定义用于交换路由信息的相应链路本地 IP。例如,169.254.1.1169.254.1.2 属于通用 /30 块。
  2. 如需在同一网关上创建更多隧道,请点击添加隧道并重复以上步骤。您可以稍后添加更多隧道
  3. 点击创建

gcloud


在以下命令中替换以下内容:

  • project-id 替换为您的项目 ID。
  • network 替换为您的 Google Cloud 网络的名称。
  • region 替换为您需在其中创建网关和隧道的 Google Cloud 区域
  • (可选)--target-vpn-gateway-region 是运行传统 VPN 网关的区域。其值应与 --region 相同。如果未指定,则系统会自动设置此选项。该选项会替换此命令调用中的默认计算/区域属性值。
  • gw-name 替换为网关的名称。
  • gw-ip-name 替换为网关使用的外部 IP 的名称

完成以下命令序列以创建 Google Cloud 网关:

  1. 为 Cloud VPN 网关创建资源:

    1. 创建“目标 VPN 网关”对象。

          gcloud compute target-vpn-gateways create gw-name \
              --network network \
              --region region \
              --project project-id
          
    2. 保留一个区域外部(静态)IP 地址:

          gcloud compute addresses create gw-ip-name \
              --region region \
              --project project-id
          
    3. 请记下此 IP 地址(以便在配置对等 VPN 网关时使用):

          gcloud compute addresses describe gw-ip-name \
              --region region \
              --project project-id \
              --format='flattened(address)'
          
    4. 创建三个转发规则。这些规则指示 Google Cloud 将 ESP (IPsec)、UDP 500 和 UDP 4500 流量发送到网关。

           gcloud compute forwarding-rules create fr-gw-name-esp \
               --ip-protocol ESP \
               --address gw-ip-name \
               --target-vpn-gateway gw-name \
               --region region \
               --project project-id
          
          gcloud compute forwarding-rules create fr-gw-name-udp500 \
              --ip-protocol UDP \
              --ports 500 \
              --address gw-ip-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
          gcloud compute forwarding-rules create fr-gw-name-udp4500 \
              --ip-protocol UDP \
              --ports 4500 \
              --address gw-ip-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
  2. 如果您尚未创建 Cloud Router 路由器,请使用以下命令进行创建。替换如下所示的选项。如果 Cloud Router 路由器尚未管理与“合作伙伴互连”关联的互连连接的 BGP 会话,则可以使用现有的 Cloud Router 路由器。

    • router-name 替换为 Cloud Router 路由器的名称。
    • [GOOGLE_ASN] 替换为专用 ASN(64512 - 65534、4200000000 - 4294967294)。Google ASN 将用于同一 Cloud Router 路由器上的所有 BGP 会话,且之后不可更改。
          gcloud compute routers create router-name \
          --asn google-asn \
          --network network \
          --region region \
          --project project-id
        
  3. 使用以下详细信息创建 Cloud VPN 隧道:

    • tunnel-name 替换为隧道名称。
    • on-prem-ip 替换为对等 VPN 网关的外部 IP 地址。
    • 对于 IKEv1,将 ike-vers 替换为 1;对于 IKEv2,替换为 2
    • shared-secret 替换为您的共享密钥。Cloud VPN 隧道的共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的一致。您可以按照这些说明生成加密型强共享密钥。
    • router-name 替换为您要用于管理 Cloud VPN 隧道路由的 Cloud Router 路由器的名称。在创建隧道之前,Cloud Router 路由器必须已经存在。

          gcloud compute vpn-tunnels create tunnel-name \
              --peer-address on-prem-ip \
              --ike-version ike-vers \
              --shared-secret shared-secret \
              --router router-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
  4. 通过创建接口和 BGP 对等体,为 Cloud Router 路由器配置 BGP 会话。选择以下方法之一:

    • 让 Google Cloud 自动选择链路本地 BGP IP 地址

      1. 将新接口添加到 Cloud Router 路由器。通过替换 interface-name 为接口提供名称。

            gcloud compute routers add-interface router-name \
                --interface-name interface-name \
                --vpn-tunnel tunnel-name \
                --region region \
                --project project-id
            
      2. 向该接口添加一个对等 BGP。将 peer-name 替换为对等名称,并使用为对等 VPN 网关配置的 ASN 替换 peer-asn

            gcloud compute routers add-bgp-peer router-name \
                --peer-name peer-name \
                --peer-asn peer-asn \
                --interface interface-name \
                --region region \
                --project project-id
            
      3. 列出 Cloud Router 路由器选择的 BGP IP 地址。如果您向现有 Cloud Router 路由器添加了新接口,则应使用最高索引编号列出新接口的 BGP IP 地址。对等 IP 地址是配置对等 VPN 网关时应使用的 BGP IP。

            gcloud compute routers get-status router-name \
                 --region region \
                 --project project-id \
                 --format='flattened(result.bgpPeerStatus[].ipAddress, \
                 result.bgpPeerStatus[].peerIpAddress)'
            

        管理单个 Cloud VPN 隧道(索引 0)的 Cloud Router 路由器的预期输出如下所示,其中 google-bgp-ip 表示 Cloud Router 路由器接口的 BGP IP,on-prem-bgp-ip 表示其对等体的 BGP IP。

            result.bgpPeerStatus[0].ipAddress:     google-bgp-ip
            result.bgpPeerStatus[0].peerIpAddress: on-prem-bgp-ip
            
    • 手动分配与 Google Cloud BGP 接口和对等体关联的 BGP IP 地址:

      1. 确定 169.254.0.0/16 范围内 /30 块中的一对链路本地 BGP IP 地址。通过替换 google-bgp-ip,在下一命令中将其中一个 BGP IP 地址分配给 Cloud Router 路由器。另一个 BGP IP 地址用于您的对等 VPN 网关。您必须将设备配置为使用该地址,并在下面的最后一个命令中替换 on-prem-bgp-ip

      2. 将新接口添加到 Cloud Router 路由器。通过替换 interface-name 为接口指定一个名称。

            gcloud compute routers add-interface router-name \
                --interface-name interface-name \
                --vpn-tunnel tunnel-name \
                --ip-address google-bgp-ip \
                --mask-length 30 \
                --region region \
                --project project-id
            
      3. 向该接口添加一个对等 BGP。将 peer-name 替换为对等名称,并将 peer-asn 替换为针对对等 VPN 网关配置的 ASN。

            gcloud compute routers add-bgp-peer router-name \
                --peer-name peer-name \
                --peer-asn peer-asn \
                --interface interface-name \
                --peer-ip-address on-prem-bgp-ip \
                --region region \
                --project project-id
            

后续步骤

您必须先完成以下步骤,才可以使用新的 Cloud VPN 网关和隧道:

  1. 设置对等 VPN 网关并配置相应的隧道。请参阅以下页面:
  2. 根据需要在 Google Cloud 和对等网络中配置防火墙规则。如需查看相关建议,请参阅“防火墙规则”页面
  3. 检查隧道的状态,包括转发规则

后续步骤