En esta página, se describe cómo crear una puerta de enlace de VPN o un recurso de puerta de enlace de intercambio de tráfico.
Las puertas de enlace de VPN proporcionan conectividad segura entre varios sitios, como entre centros de datos locales y entornos de nube. Hay dos componentes de puerta de enlace que se deben configurar para la VPN aislada de Google Distributed Cloud (GDC):
- Una puerta de enlace de VPN en GDC.
- Tu puerta de enlace de VPN de intercambio de tráfico. Es un dispositivo de puerta de enlace de VPN físico o una aplicación de software en la red de intercambio de tráfico a la que se conecta la puerta de enlace de VPN. La puerta de enlace de intercambio de tráfico puede ser una puerta de enlace de VPN local o una alojada por otro proveedor de servicios en la nube.
Antes de comenzar
Para administrar o ver los recursos de VPN desde la consola de GDC, debes tener los roles de identidad y acceso necesarios:
- Administrador de VPN: Tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN. Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de VPN (
vpn-admin
). - Visualizador de VPN: Tiene permisos de lectura para todos los recursos relacionados con la VPN. Pídele al administrador de IAM de la organización que te otorgue el rol de visualizador de VPN (
vpn-viewer
). - Para obtener más información, consulta Definiciones de roles.
Crea una puerta de enlace de VPN
Para crear una puerta de enlace de VPN, sigue estos pasos:
Especifica un nombre de interfaz en la puerta de enlace para representar la dirección IP. Cuando se crea la puerta de enlace, se asigna automáticamente una dirección IPv4 externa. Crea el objeto de puerta de enlace de VPN en el espacio de nombres de la plataforma:
kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF apiVersion: networking.gdc.goog/v1 kind: VPNGateway metadata: name: VPN_GW_NAME spec: interfaces: - name: VPN_INTERFACE_NAME EOF
Reemplaza lo siguiente:
MANAGEMENT_API_SERVER
: Es la ruta de acceso de kubeconfig del servidor de la API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles.VPN_GW_NAME
: Es el nombre del objeto de la puerta de enlace de VPN. Por ejemplo,vpngateway
VPN_INTERFACE_NAME
: Es el nombre de la interfaz de VPN. Por ejemplo,interface0
Verifica que el objeto
VPN_GW_NAME
se haya conciliado correctamente examinando el campoStatus
. Obtén los detalles del objeto de puerta de enlace de VPN:kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpngateway VPN_GW_NAME
Examina el resultado, que debe ser similar al siguiente ejemplo:
status: conditions: - lastTransitionTime: "2024-05-10T00:12:58Z" message: All interfaces are assigned an IP. observedGeneration: 1 reason: Ready status: "True" type: IPsAssigned - lastTransitionTime: "2024-05-10T00:12:36Z" message: Condition "TunnelsAttached" is not ready. observedGeneration: 1 reason: NotReady status: "False" type: Ready - lastTransitionTime: "2024-05-10T00:12:36Z" message: 'At least one interface is not attached to any VPNTunnel: ["interface0"]' observedGeneration: 1 reason: NoTunnelAttached status: "False" type: TunnelsAttached interfaces: - ip: 10.252.218.240 name: interface0
El objeto VPNGateway
debe adjuntarse a un VPNTunnel
. Manejamos este paso en Crea un túnel VPN.
Crea una puerta de enlace de VPN de intercambio de tráfico
Crea una puerta de enlace de VPN de intercambio de tráfico creando un objeto PeerGateway
en el servidor de la API de Management. El objeto PeerGateway
representa un extremo de VPN remoto. Un túnel VPN usa una interfaz en un objeto PeerGateway
para establecer un túnel encriptado al sitio remoto. Para crear una puerta de enlace de VPN de intercambio de tráfico, sigue estos pasos:
Especifica un nombre de interfaz y la dirección IPv4 externa estática de tu puerta de enlace de VPN de intercambio de tráfico. El objeto
PeerGateway
debe crearse en el espacio de nombres de la plataforma:kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF apiVersion: networking.gdc.goog/v1 kind: PeerGateway metadata: name: PEER_GW_NAME spec: interfaces: - name: PEER_INTERFACE_NAME ip: PEER_INTERFACE_IP EOF
Reemplaza lo siguiente:
PEER_GW_NAME
: Es el nombre de la puerta de enlace de VPN de intercambio de tráfico. Por ejemplo,peergateway
PEER_INTERFACE_NAME
: Es el nombre de la interfaz del par. Por ejemplo,interface0
PEER_INTERFACE_IP
: Es la dirección IPv4 externa estática de tu puerta de enlace de VPN de intercambio de tráfico.
Verifica que el objeto
PEER_GW_NAME
se haya conciliado correctamente examinando el campoStatus
.Obtén los detalles del objeto de puerta de enlace de VPN de intercambio de tráfico:
kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform peergateway PEER_GW_NAME
Examina el resultado, que debe ser similar al siguiente ejemplo:
Status: Conditions: Last Transition Time: 2024-05-10T00:15:25Z Message: Condition "TunnelsAttached" is not ready. Observed Generation: 1 Reason: NotReady Status: False Type: Ready Last Transition Time: 2024-05-10T00:20:45Z Message: Ready Observed Generation: 1 Reason: Ready Status: True Type: ValidGatewayIPs Last Transition Time: 2024-05-10T00:15:25Z Message: At least one interface is not attached to any VPNTunnel: ["interface0"] Observed Generation: 1 Reason: NoTunnelAttached Status: False Type: TunnelsAttached
Se debe hacer referencia al objeto
PeerGateway
con unVPNTunnel
. Manejamos este paso en Crea un túnel VPN.