Crear una sesión de BGP de VPN

En esta página se describen las especificaciones que debe cumplir una sesión del protocolo de pasarela de frontera de VPN (BGP) y cómo crear una sesión de BGP de VPN.

La VPN aislada de Google Distributed Cloud (GDC) admite el enrutamiento dinámico mediante una sesión BGP IPv4 para cada túnel VPN. La sesión de BGP permite que los pares de BGP de la red remota y de la organización de GDC anuncien rutas entre sí.

Antes de empezar

Para crear una sesión de BGP de VPN, debes tener los roles de identidad y acceso necesarios:

• Administrador de VPN: tiene permisos de lectura y escritura en todos los recursos relacionados con VPN. Pídele al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de VPN (vpn-admin).
• Lector de VPN: tiene permisos de lectura en todos los recursos relacionados con VPN. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de lector de VPN (vpn-viewer).
• Para obtener más información, consulta Definiciones de roles.

Especificaciones de la sesión de BGP de la VPN

El par de BGP de la organización admite un intervalo de mantenimiento activo de BGP de 30 segundos, con un tiempo de espera de 90 segundos.En cada sesión de BGP, las direcciones IPv4 deben cumplir los siguientes requisitos:

• Cada dirección IPv4 de BGP debe pertenecer a la misma subred /30 que se ajuste al intervalo 169.254.0.0/16.
• Cada dirección IPv4 de BGP es el primer o el segundo host de la subred /30. La primera y la última dirección IP de la subred se reservan para las direcciones de red y de difusión.
• Cada intervalo de direcciones BGP de cada sesión BGP debe ser único entre todas las sesiones BGP de VPN de la organización.

No se admite la autenticación MD5. Es un método para verificar la integridad y la autenticidad de los datos mediante el algoritmo de cifrado MD5.

Crear una sesión de BGP de VPN

Para crear una sesión de BGP para el túnel VPN, sigue estos pasos:

1. Crea un objeto VPNBGPPeer en el clúster de administradores de la organización en el espacio de nombres de la plataforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNBGPPeer
   metadata:
     name: VPN_BGP_PEER_NAME
   spec:
     remote:
       name: REMOTE_PEER_NAME
       ip: REMOTE_PEER_IP
       asn: REMOTE_PEER_ASN
     local:
       name: LOCAL_PEER_NAME
       ip: LOCAL_PEER_IP
       asn: LOCAL_PEER_ASN
   EOF
   

   Haz los cambios siguientes:

   • MANAGEMENT_API_SERVER: la ruta kubeconfig del servidor de la API zonal. Si aún no has generado un archivo kubeconfig para el servidor de la API en tu zona de destino, consulta Iniciar sesión para obtener más información.
   • VPN_BGP_PEER_NAME: nombre del par de BGP de la VPN.
   • REMOTE_PEER_NAME: el nombre del par de BGP en la red remota.
   • REMOTE_PEER_IP: la dirección IPv4 de BGP de la subred /30 del par de BGP de la red remota.
   • REMOTE_PEER_ASN: el número de sistema autónomo (ASN) configurado para la red remota.
   • LOCAL_PEER_NAME: un nombre para el par de BGP de la organización de GDC.
   • LOCAL_PEER_IP: la dirección IPv4 de BGP de la subred /30 del par de BGP de la organización de GDC.
   • LOCAL_PEER_ASN: el ASN configurado para la organización de GDC.

2. Comprueba que el objeto VPN_BGP_PEER_NAME se haya conciliado correctamente examinando el campo Status. Obtén los detalles del objeto VPNBGPPeer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpnbgppeer VPN_BGP_PEER_NAME
   

   Examina la salida. Debe ser similar al siguiente ejemplo:

     Status:
       Conditions:
         Last Transition Time:  2024-05-10T00:26:13Z
         Message:               Ready
         Observed Generation:   1
         Reason:                Ready
         Status:                True
         Type:                  ValidIPs
         Last Transition Time:  2024-05-10T00:26:00Z
         Message:               Used by 0 VPNTunnels, must be used by a single VPNTunnel
         Observed Generation:   1
         Reason:                GetResourceFailed
         Status:                False
         Type:                  TunnelsAttached
         Last Transition Time:  2024-05-10T00:26:00Z
         Message:               TunnelsAttached or ValidIPs Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  Reconciled
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               ValidIPs or Reconciled Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  AdvertisedRoutesReady
         Last Transition Time:  2024-05-10T00:26:13Z
         Message:               Ready
         Observed Generation:   1
         Reason:                Ready
         Status:                True
         Type:                  ReceivedRoutesValid
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               TunnelsAttached Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  ReceivedRoutesReady
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               Condition "TunnelsAttached" is not ready.
         Observed Generation:   1
         Reason:                NotReady
         Status:                False
         Type:                  Ready
     ```
   

El VPNBGPPeer debe estar adjunto a un VPNTunnel. Este paso se explica en Crear un túnel VPN.

Siguientes pasos

• Crear el secreto con una PSK