Crea una sesión de BGP de VPN

En esta página, se describen las especificaciones que debe cumplir una sesión del Protocolo de Puerta de Enlace Fronteriza (BGP) de VPN y cómo crear una sesión de BGP de VPN.

La VPN aislada de Google Distributed Cloud (GDC) admite el enrutamiento dinámico con una sesión de BGP IPv4 para cada túnel de VPN. La sesión de BGP permite que los pares de BGP en la red remota y en la organización de GDC anuncien rutas entre sí.

Antes de comenzar

Para crear una sesión de BGP de VPN, debes tener los roles de identidad y acceso necesarios:

• Administrador de VPN: Tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN. Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de VPN (vpn-admin).
• Visualizador de VPN: Tiene permisos de lectura para todos los recursos relacionados con la VPN. Pídele al administrador de IAM de la organización que te otorgue el rol de visualizador de VPN (vpn-viewer).
• Para obtener más información, consulta Definiciones de roles.

Especificaciones de la sesión de BGP de la VPN

El par de BGP de la organización admite un intervalo de keepalive de BGP de 30 segundos, con un temporizador de espera de 90 segundos.Para cada sesión de BGP, las direcciones IPv4 deben cumplir con los siguientes requisitos:

• Cada dirección IPv4 de BGP debe pertenecer a la misma subred /30 que se ajusta al rango 169.254.0.0/16.
• Cada dirección IPv4 de BGP es el primer o segundo host de la subred /30. La primera y la última dirección IP de la subred están reservadas para las direcciones de red y de transmisión.
• Cada rango de direcciones de BGP para cada sesión de BGP debe ser único entre todas las sesiones de BGP de VPN de la organización.

No se admite la autenticación MD5. Este es un método para verificar la integridad y la autenticidad de los datos con el algoritmo de hash MD5.

Crea una sesión de BGP de VPN

Para crear una sesión de BGP para el túnel VPN, sigue estos pasos:

1. Crea un objeto VPNBGPPeer en el clúster de administrador de la organización en el espacio de nombres de la plataforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNBGPPeer
   metadata:
     name: VPN_BGP_PEER_NAME
   spec:
     remote:
       name: REMOTE_PEER_NAME
       ip: REMOTE_PEER_IP
       asn: REMOTE_PEER_ASN
     local:
       name: LOCAL_PEER_NAME
       ip: LOCAL_PEER_IP
       asn: LOCAL_PEER_ASN
   EOF
   

   Reemplaza lo siguiente:

   • MANAGEMENT_API_SERVER: Es la ruta de acceso de kubeconfig del servidor de la API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles.
   • VPN_BGP_PEER_NAME: Es el nombre del par de BGP de la VPN.
   • REMOTE_PEER_NAME: Es el nombre del par de BGP en la red remota.
   • REMOTE_PEER_IP: Es la dirección IPv4 de BGP de la subred /30 del par de BGP en la red remota.
   • REMOTE_PEER_ASN: Es el número del sistema autónomo (ASN) configurado para la red remota.
   • LOCAL_PEER_NAME: Es el nombre del par de BGP en la organización de GDC.
   • LOCAL_PEER_IP: Es la dirección IPv4 de BGP de la subred /30 del par de BGP en la organización de GDC.
   • LOCAL_PEER_ASN: Es el ASN configurado para la organización de GDC.

2. Verifica que el objeto VPN_BGP_PEER_NAME se haya conciliado correctamente examinando el campo Status. Obtén los detalles del objeto VPNBGPPeer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpnbgppeer VPN_BGP_PEER_NAME
   

   Examina el resultado, que debe ser similar al siguiente ejemplo:

     Status:
       Conditions:
         Last Transition Time:  2024-05-10T00:26:13Z
         Message:               Ready
         Observed Generation:   1
         Reason:                Ready
         Status:                True
         Type:                  ValidIPs
         Last Transition Time:  2024-05-10T00:26:00Z
         Message:               Used by 0 VPNTunnels, must be used by a single VPNTunnel
         Observed Generation:   1
         Reason:                GetResourceFailed
         Status:                False
         Type:                  TunnelsAttached
         Last Transition Time:  2024-05-10T00:26:00Z
         Message:               TunnelsAttached or ValidIPs Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  Reconciled
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               ValidIPs or Reconciled Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  AdvertisedRoutesReady
         Last Transition Time:  2024-05-10T00:26:13Z
         Message:               Ready
         Observed Generation:   1
         Reason:                Ready
         Status:                True
         Type:                  ReceivedRoutesValid
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               TunnelsAttached Condition not Ready.
         Observed Generation:   1
         Reason:                Unknown
         Status:                False
         Type:                  ReceivedRoutesReady
         Last Transition Time:  2024-05-10T00:26:01Z
         Message:               Condition "TunnelsAttached" is not ready.
         Observed Generation:   1
         Reason:                NotReady
         Status:                False
         Type:                  Ready
     ```
   

El VPNBGPPeer debe estar adjunto a un VPNTunnel. Manejamos este paso en Crea un túnel VPN.

¿Qué sigue?

• Crea el secreto con una PSK