Guia de início rápido com base em rotas para o Console do GCP

Este guia início rápido, que usa o Console do Google Cloud Platform, ilustra os conceitos do Google Cloud VPN ao conectar duas redes de nuvem privada virtual. Esse cenário simula a configuração de um gateway do Cloud VPN que se conecta ao gateway da VPN local usando o roteamento estático.

Para uma introdução ao Cloud VPN, consulte a Visão geral da VPN.

Antes de começar

Configurar o Google Cloud Platform

Antes de começar, configure os itens a seguir no GCP. Isso facilitará o uso deste guia de início rápido.

  1. Faça login na sua Conta do Google.

    Se você ainda não tiver uma, inscreva-se.

  2. Selecione ou crie um projeto do GCP.

    Acessar a página Gerenciar recursos

  3. Verifique se o faturamento foi ativado para o projeto.

    Saiba como ativar o faturamento

  4. Instale e inicialize o SDK do Cloud.

Determinar os requisitos de faturamento

Para ver mais informações sobre o faturamento do produto, consulte as seguintes páginas de preços do produto:

Topologia de início rápido

Para este início rápido, cada gateway da VPN que você configura para o projeto está localizado em uma sub-rede e rede personalizada diferente em uma região diferente do Google Cloud Platform.

O gateway da VPN configurado em us-central1 atua como o gateway do Cloud VPN do Google Cloud Platform, enquanto o gateway do Cloud VPN no europe-west1 simula o gateway local.

Topologia com base em rota (clique para ampliar)
Topologia de início rápido com base em rota

Referência de nomenclatura e endereçamento

Para referência, usamos a seguinte nomenclatura e endereçamento IP neste guia de início rápido:

Google Cloud Platform

  • Nome da rede: cloud-vpn-network
  • Nome da sub-rede: subnet-us-central-10-0-1
  • Região: us-central1
  • Intervalo da sub-rede: 10.0.1.0/24
  • Nome do endereço IP externo: cloud-vpn-ip
  • Nome do gateway da VPN: vpn-us-central
  • Nome do túnel da VPN: vpn-us-central-tunnel-1

Local

  • Nome da rede: on-prem-vpn-network
  • Nome da sub-rede: subnet-europe-west-10-0-2
  • Região: europe-west1
  • Intervalo da sub-rede: 10.0.2.0/24
  • Nome do endereço IP externo: on-prem-vpn-ip
  • Nome do gateway da VPN: vpn-europe-west
  • Nome do túnel da VPN: vpn-europe-west-tunnel-1

Como gerar uma chave pré-compartilhada forte (chave secreta compartilhada)

Para criar uma chave pré-compartilhada criptograficamente segura para o Cloud VPN, consulte estas diretrizes.

Criptografias IKE aceitas

Para ver as criptografias IKEv1 e IKEv2 aceitas, consulte a página de referência das criptografias IKE.

Crie redes e sub-redes VPC personalizadas

As redes e sub-redes em ambos os lados da conexão VPN precisam usar intervalos de IPs que não se sobreponham uns aos outros ou a nenhuma rede conectada existente. Por exemplo, não é possível conectar gateways da VPN localizados em duas redes de modo automático porque os intervalos de IPs se sobrepõem. Neste guia de início rápido, você configurará duas redes de modo personalizado, cada uma com a própria sub-rede.

Para criar duas redes personalizadas e as sub-redes:

  1. Acesse a página "Redes VPC" no Console do Google Cloud Platform.
    Acesse a página Redes VPC.
  2. Clique em Criar rede VPC.
  3. Digite um Nome de cloud-vpn-network.
  4. Em Sub-redes, Modo de criação de sub-rede, selecione a guia Personalizado.
    1. Digite um Nome de subnet-us-central-10-0-1.
    2. Em Região selecione us-central1.
    3. Digite um intervalo de endereço IP 10.0.1.0/24.
    4. Na janela Sub-redes, clique em Concluído.
  5. Clique em Criar.
  6. Você retornará à tela Redes VPC. Essa rede e a sub-rede aparecerão em cerca de um minuto.
  7. Repita as etapas acima para a segunda rede, a "local", mas com as seguintes diferenças:
    1. Nome: on-prem-vpn-network.
    2. Nome da sub-rede: subnet-europe-west-10-0-2.
    3. Região: europe-west1.
    4. Intervalos de endereços IP de 10.0.2.0/24.

Crie endereços IP externos

Nesta etapa, você cria um endereço IP externo para cada gateway da VPN:

  1. Acesse a página "Endereço IP externo de redes VPC" no Console do Google Cloud Platform.
    Acesse a página Endereço IP externo
  2. Clique em Reservar endereço estático.
  3. Preencha os seguintes campos para o endereço do Cloud VPN:
    • Nome: o nome do endereço. Use cloud-vpn-ip.
    • Região: a região em que o gateway da VPN estará localizado. Normalmente, é a região que contém as instâncias que você quer alcançar. Nesse caso, use us-central1.
  4. Clique em Reservar.
  5. Repita as etapas acima para criar um segundo endereço externo para o gateway da VPN, o "local", mas preencha os seguintes campos de maneira diferente:
    • Nome: o nome do endereço. Use on-prem-vpn-ip.
    • Região: a região em que o gateway da VPN estará localizado. Normalmente, é a região que contém as instâncias que você quer alcançar. Nesse caso, use europe-west1.
  6. Anote esses endereços IP para usá-los na configuração dos gateways da VPN na próxima seção.

Criar os gateways da VPN

Nesta etapa, você cria os dois gateways da VPN.

  1. Acesse a página "VPN" no Console do Google Cloud Platform.
    Acesse a página VPN
  2. Aplique o mesmo projeto do GCP usado para criar a rede e as sub-redes VPC.
  3. Clique em Criar conexão VPN.
  4. Preencha os seguintes campos para o gateway:
    • Nome: o nome do gateway da VPN. Esse nome é exibido no console para se referir ao gateway. Use vpn-us-central.
    • Rede VPC: a rede VPC que contém as instâncias a serem atendidas pelo gateway da VPN. Use cloud-vpn-network.
    • Região: a região em que o gateway da VPN estará localizado. Normalmente, é a região que contém as instâncias que você quer alcançar. Use us-central1.
    • Endereço IP: selecione cloud-vpn-ip, que é o endereço IP externo estático atual criado para esse gateway na seção anterior.
  5. Preencha os campos para um túnel:
    • Nome: o nome do túnel da VPN. Use vpn-us-central-tunnel-1.
    • Endereço IP do terminal: o endereço IP público do gateway do terminal. Este é o endereço IP externo do outro gateway da VPN. Use o endereço IP que você criou para o on-prem-vpn-ip.
    • Versão do IKE: IKEv2 ou IKEv1. Use IKEv2 que é compatível com o gateway "local".
    • Chave secreta compartilhada: usada para estabelecer a criptografia desse túnel. Insira a mesma chave secreta compartilhada nos dois gateways da VPN.
    • Opções de roteamento: selecione Route-based.
    • Intervalo de IP da rede remota: o intervalo da sub-rede "local" no outro lado do túnel desse gateway. Configure como 10.0.2.0/24.
  6. Clique em Criar para criar o gateway e iniciar o túnel. Os gateways da VPN só se conectam após você criar regras de firewall para permitir o tráfego entre eles pelo túnel. Esta etapa cria automaticamente uma rota estática para 10.0.2.0/24, além de regras de encaminhamento para udp:500, udp:4500 e tráfego esp.
  7. De volta à tela da VPN, verifique se a guia Gateways da VPN do Google está selecionada. Clique em Criar para criar um segundo gateway "local", mas preencha os seguintes campos de forma diferente:
    • Nome: use vpn-europe-west.
    • Rede: use on-prem-vpn-network.
    • Região: use europe-west-1.
    • Endereço IP: selecione on-prem-vpn-ip, que é o endereço IP externo estático atual criado para esse gateway na seção anterior.
  8. Crie um túnel para o gateway vpn-europe-west, mas preencha os campos a seguir de forma diferente. Preencha a versão IKE, a chave secreta compartilhada e a opção de roteamento com os mesmos valores usados para o primeiro gateway.
    • Nome: o nome do túnel da VPN. Use vpn-europe-west-tunnel-1.
    • Endereço IP do par remoto: use o endereço IP externo que você criou para cloud-vpn-ip.
    • Intervalo de IPs da rede remota: configure como 10.0.1.0/24 para enviar tráfego a qualquer sub-rede de projeto no gateway do Cloud VPN em us-central1.
  9. Clique em Criar para criar o gateway e iniciar o túnel. Os gateways só se conectam após você criar regras de firewall para permitir o tráfego pelo túnel.

Crie regras de firewall

É preciso criar regras de firewall para os dois lados do túnel da VPN. Essas regras permitem que todo o tráfego TCP, UDP e ICMP entre na sub-rede de um lado do túnel da VPN para o outro.

Para criar regras de firewall:

  1. Primeiro, crie regras que permitam a entrada do tráfego tcp, udp e icmp na sub-rede do Cloud VPN a partir da sub-rede "local":
    1. Acesse a página Túneis da VPN no Console do Google Cloud Platform.
      Acesse a página Túneis da VPN
    2. Clique em vpn-us-central-tunnel-1.
    3. Em Gateway do Google Cloud, clique em cloud-vpn-network.
    4. Na página de detalhes da rede VPC, clique na guia Regras de firewall.
    5. Clique em Adicionar regra de firewall e preencha os seguintes campos:
      • Nome: allow-tcp-udp-icmp-cloud-vpn
      • Destinos: All instances in the network
      • Filtro de origem: IP ranges
      • Intervalos de IP de origem: 10.0.2.0/24 para o intervalo da sub-rede "local"
      • Portas ou protocolos permitidos: tcp; udp; icmp
    6. Clique em Criar.
  2. Para criar regras semelhantes para a sub-rede "local":
    1. Acesse a página Túneis da VPN no Console do Google Cloud Platform.
      Acesse a página Túneis da VPN
    2. Clique em vpn-europe-west-tunnel-1.
    3. Em Gateway do Google Cloud, clique em on-prem-vpn-network.
    4. Repita as etapas acima, com as seguintes diferenças:
      • Nome: allow-tcp-udp-icmp-on-prem-vpn
      • Intervalos de IP de origem 10.0.1.0/24 para a sub-rede do Cloud VPN

Verificar o status do túnel da VPN

Para verificar se o túnel está ativo:

  1. Acesse a página "VPN" no Console do Google Cloud Platform.
    Acesse a página VPN
  2. Clique na guia Túneis do Google VPN.
  3. No campo Status de cada túnel, procure uma marca de seleção verde e a palavra "Estabelecido". Caso esses itens estejam lá, é porque os gateways negociaram um túnel. Não aparecendo marca alguma após alguns minutos, consulte a seção Solução de problemas.

    Para mais informações sobre a geração de registros relacionadas aos túneis da VPN, consulte Como verificar os registros de VPN na página Solução de problemas. Por exemplo, é possível ver métricas sobre pacotes descartados, status de túneis, bytes recebidos e bytes enviados.

Limpar

Para evitar cobranças na sua conta do GCP pelos recursos usados neste guia de início rápido:

Depois de usar este guia de início rápido, há várias opções de limpeza:
  • Mantenha o projeto e os respectivos recursos ativos, mas desative temporariamente o faturamento.
  • Desative alguns dos recursos do guia de início rápido, mas mantenha o projeto ativo.
  • Desative todo o guia de início rápido, em seguida exclua o projeto ou mantenha-o ativo.
  • Exclua o projeto, o que também excluirá os respectivos recursos. Faça isso se o projeto foi usado apenas para este guia de início rápido.

Opção 1: desativar temporariamente o faturamento do projeto

Aviso: não recomendamos desativar projetos que contêm tráfego de produção. Desativar o faturamento interrompe pagamentos automáticos para todos os serviços no seu projeto. Use essa opção se o projeto for usado apenas para este guia de início rápido ou se a interrupção de todos os serviços não for uma preocupação. Se você desativar o faturamento, ainda será responsável por todas as cobranças pendentes na conta de faturamento, que serão cobradas na sua forma de pagamento indicada. Atenção: se a conta de faturamento permanecer desativada por um período prolongado, alguns recursos poderão ser removidos dos projetos associados a ela. Por exemplo, seus recursos do Compute Engine podem ser removidos. Não é possível recuperar os recursos removidos. Para desativar o faturamento de um projeto, siga estas etapas:
  1. Acesse o Console do Google Cloud Platform.
  2. Abra o menu lateral à esquerda do e clique em Faturamento.
  3. Se você tiver mais de uma conta, selecione Ir para a conta de faturamento vinculada para gerenciar o faturamento do projeto atual. Para localizar uma conta diferente, selecione Gerenciar contas de faturamento.
  4. Em Projetos vinculados a essa conta de faturamento, localize o nome do projeto para desativar o faturamento e, no menu à direita, selecione Desativar faturamento. Você precisará confirmar que quer desativar o faturamento para este projeto.
  5. Clique em Desativar faturamento.

Opção 2: excluir a VPN do guia de início rápido

Para evitar cobranças desnecessárias do Google Cloud Platform, use o Console do GCP para excluir gateways e túneis de VPN, endereços IP externos, redes e sub-redes personalizadas e, opcionalmente, o projeto configurado para este guia de início rápido.

  • Exclua todos os túneis de um gateway da VPN antes de excluir o gateway.
  • Exclua todas as regras de encaminhamento de um endereço IP externo antes de excluir esse endereço.
  • Com a exclusão de uma rede, as respectivas sub-redes, rotas e regras de firewall também são excluídas.

Alguns recursos são faturados mesmo quando em um estado configurado, mas ocioso. Para mais informações, consulte as instruções de configuração na página de faturamento do produto.

Excluir os gateways da VPN

É preciso excluir os túneis do gateway antes de excluí-lo.

  1. Acesse a página "VPN" no Console do Google Cloud Platform.
    Acesse a página VPN
  2. Na guia Túneis da VPN do Google, clique em Excluir para remover o vpn-us-central-tunnel-1.
  3. Clique na guia Gateways do Google VPN.
  4. Na coluna Nome do gateway, clique em vpn-us-central.
  5. Na tela Detalhes, marque a caixa de seleção vpn-us-central e clique em Excluir. Confirme a exclusão.
  6. Repita as etapas acima para vpn-europe-west-tunnel-1 e o gateway vpn-europe-west. Essas etapas também removem as regras encaminhamento e rotas de cada gateway.

Liberar os endereços IP externos

  1. Acesse a página "Endereço IP externo de redes VPC" no Console do Google Cloud Platform.
    Acesse a página Endereço IP externo
  2. Clique na caixa de seleção ao lado de cloud-vpn-ip e on-prem-vpn-ip. A coluna Em uso por de cada endereço precisa mostrar None. Isso significa que as regras de encaminhamento vinculadas ao endereço foram removidas na exclusão do gateway e do túnel.
  3. Clique no botão Liberar endereço estático e confirme a exclusão.

Excluir as redes e sub-redes personalizadas

No Console do GCP, a exclusão de uma rede personalizada também exclui as sub-redes e regras de firewall dela.

  1. Acesse a página "Redes VPC" no Console do Google Cloud Platform.
    Acesse a página Redes VPC.
  2. Na coluna Nome, clique em cloud-vpn-network.
  3. Clique em Excluir rede VPC. Confirme a exclusão.
  4. Repita as etapas acima para on-prem-vpn-network.
  5. Pode demorar um minuto ou dois para que as redes sejam excluídas.

Caso também queira excluir seu projeto, continue na Opção 3.

Opção 3: excluir o projeto

  1. No Console do GCP, acesse a página "Projetos".

    Acessar a página Projetos

  2. Na lista de projetos, selecione um e clique em Excluir projeto.
  3. Na caixa de diálogo, digite o código do projeto e clique em Encerrar para excluí-lo.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…