VPN-Gateway und Peer-Gateway erstellen

Auf dieser Seite wird beschrieben, wie Sie ein VPN-Gateway oder eine Peer-Gateway-Ressource erstellen.

VPN-Gateways bieten eine sichere Verbindung zwischen mehreren Standorten, z. B. zwischen lokalen Rechenzentren und Cloud-Umgebungen. Für GDC-VPNs (Google Distributed Cloud) ohne Internetverbindung sind zwei Gateway-Komponenten zu konfigurieren:

• Ein VPN-Gateway in GDC
• Ihr Peer-VPN-Gateway Dies ist ein physisches VPN-Gateway-Gerät oder eine Softwareanwendung im Peer-Netzwerk, mit dem sich das VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird.

Hinweise

Wenn Sie VPN-Ressourcen über die GDC-Konsole verwalten oder aufrufen möchten, benötigen Sie die erforderlichen Identitäts- und Zugriffsrollen:

• VPN-Administrator: Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN-Administrator“ (vpn-admin) zuzuweisen.
• VPN-Betrachter: Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN Viewer“ (vpn-viewer) zuzuweisen.
• Weitere Informationen finden Sie unter Rollendefinitionen.

VPN-Gateway erstellen

So erstellen Sie ein VPN-Gateway:

1. Geben Sie einen Schnittstellennamen auf dem Gateway an, um die IP-Adresse darzustellen. Beim Erstellen des Gateways wird automatisch eine externe IPv4-Adresse zugewiesen. Erstellen Sie das VPN-Gateway-Objekt im Plattform-Namespace:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNGateway
   metadata:
     name: VPN_GW_NAME
   spec:
     interfaces:
     - name: VPN_INTERFACE_NAME
   EOF
   

   Ersetzen Sie Folgendes:

   • MANAGEMENT_API_SERVER: Der kubeconfig-Pfad des zonalen API-Servers. Wenn Sie noch keine kubeconfig-Datei für den API-Server in Ihrer Zielzone generiert haben, lesen Sie die Informationen unter Anmelden.
   • VPN_GW_NAME: der Name des VPN-Gateway-Objekts. Beispiel: vpngateway.
   • VPN_INTERFACE_NAME: der Name der VPN-Schnittstelle. Beispiel: interface0.

2. Prüfen Sie, ob das VPN_GW_NAME-Objekt korrekt abgeglichen wurde, indem Sie das Feld Status untersuchen. Rufen Sie die Details für das VPN-Gateway-Objekt ab:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpngateway VPN_GW_NAME
   

   Die Ausgabe sollte in etwa so aussehen:

   
   status:
     conditions:
     - lastTransitionTime: "2024-05-10T00:12:58Z"
       message: All interfaces are assigned an IP.
       observedGeneration: 1
       reason: Ready
       status: "True"
       type: IPsAssigned
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: Condition "TunnelsAttached" is not ready.
       observedGeneration: 1
       reason: NotReady
       status: "False"
       type: Ready
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: 'At least one interface is not attached to any VPNTunnel: ["interface0"]'
       observedGeneration: 1
       reason: NoTunnelAttached
       status: "False"
       type: TunnelsAttached
     interfaces:
     - ip: 10.252.218.240
       name: interface0
   

Das VPNGateway-Objekt muss an ein VPNTunnel angehängt sein. Dieser Schritt wird unter VPN-Tunnel erstellen behandelt.

Peer-VPN-Gateway erstellen

Erstellen Sie ein Peer-VPN-Gateway, indem Sie ein PeerGateway-Objekt auf dem Management API-Server erstellen. Das PeerGateway-Objekt stellt einen Remote-VPN-Endpunkt dar. Eine Schnittstelle für ein PeerGateway-Objekt wird von einem VPN-Tunnel verwendet, um einen verschlüsselten Tunnel zum Remote-Standort herzustellen. So erstellen Sie ein Peer-VPN-Gateway:

1. Geben Sie einen Schnittstellennamen und die statische externe IPv4-Adresse Ihres Peer-VPN-Gateways an. Das PeerGateway-Objekt muss im Plattform-Namespace erstellt werden:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: PeerGateway
   metadata:
     name: PEER_GW_NAME
   spec:
     interfaces:
     - name: PEER_INTERFACE_NAME
       ip: PEER_INTERFACE_IP
   EOF
   

   Ersetzen Sie Folgendes:

   • PEER_GW_NAME: der Name des Peer-VPN-Gateways. Beispiel: peergateway.
   • PEER_INTERFACE_NAME: der Name der Peer-Schnittstelle. Beispiel: interface0.
   • PEER_INTERFACE_IP: die statische externe IPv4-Adresse Ihres Peer-VPN-Gateways.

2. Prüfen Sie, ob das PEER_GW_NAME-Objekt korrekt abgeglichen wurde, indem Sie das Feld Status untersuchen.

   Rufen Sie die Details für das Peer-VPN-Gateway-Objekt ab:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform peergateway PEER_GW_NAME
   

   Die Ausgabe sollte in etwa so aussehen:

   Status:
     Conditions:
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               Condition "TunnelsAttached" is not ready.
       Observed Generation:   1
       Reason:                NotReady
       Status:                False
       Type:                  Ready
       Last Transition Time:  2024-05-10T00:20:45Z
       Message:               Ready
       Observed Generation:   1
       Reason:                Ready
       Status:                True
       Type:                  ValidGatewayIPs
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               At least one interface is not attached to any VPNTunnel: ["interface0"]
       Observed Generation:   1
       Reason:                NoTunnelAttached
       Status:                False
       Type:                  TunnelsAttached
   

   Auf das PeerGateway-Objekt muss durch ein VPNTunnel verwiesen werden. Dieser Schritt wird unter VPN-Tunnel erstellen behandelt.

Nächste Schritte

• VPN-BGP-Sitzung erstellen
• Unterstützte IKE-Chiffren