Crear una pasarela de VPN y una pasarela de par

En esta página se describe cómo crear un recurso de pasarela VPN o de pasarela de par.

Las pasarelas VPN proporcionan una conectividad segura entre varios sitios, como centros de datos locales y entornos de nube. Hay dos componentes de pasarela que se deben configurar para la VPN con air gap de Google Distributed Cloud (GDC):

• Una pasarela VPN en GDC.
• Tu pasarela VPN de par. Se trata de un dispositivo de pasarela VPN física o de una aplicación de software en la red del par a la que se conecta la pasarela VPN. La pasarela de la otra red puede ser una pasarela VPN in situ o una alojada por otro proveedor de servicios en la nube.

Antes de empezar

Para gestionar o ver recursos de VPN desde la consola de GDC, debes tener los roles de identidad y acceso necesarios:

• Administrador de VPN: tiene permisos de lectura y escritura en todos los recursos relacionados con VPN. Pídele al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de VPN (vpn-admin).
• Lector de VPN: tiene permisos de lectura en todos los recursos relacionados con VPN. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de lector de VPN (vpn-viewer).
• Para obtener más información, consulta Definiciones de roles.

Crear una pasarela de VPN

Para crear una pasarela VPN, siga estos pasos:

1. Especifica un nombre de interfaz en la pasarela para representar la dirección IP. Cuando se crea la pasarela, se asigna automáticamente una dirección IPv4 externa. Crea el objeto de pasarela VPN en el espacio de nombres de la plataforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNGateway
   metadata:
     name: VPN_GW_NAME
   spec:
     interfaces:
     - name: VPN_INTERFACE_NAME
   EOF
   

   Haz los cambios siguientes:

   • MANAGEMENT_API_SERVER: la ruta kubeconfig del servidor de la API zonal. Si aún no has generado un archivo kubeconfig para el servidor de la API en tu zona de destino, consulta Iniciar sesión para obtener más información.
   • VPN_GW_NAME: el nombre del objeto de pasarela VPN. Por ejemplo, vpngateway.
   • VPN_INTERFACE_NAME: nombre de la interfaz de VPN. Por ejemplo, interface0.

2. Comprueba que el objeto VPN_GW_NAME se haya conciliado correctamente examinando el campo Status. Obtén los detalles del objeto de pasarela VPN:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpngateway VPN_GW_NAME
   

   Examina la salida. Debe ser similar al siguiente ejemplo:

   
   status:
     conditions:
     - lastTransitionTime: "2024-05-10T00:12:58Z"
       message: All interfaces are assigned an IP.
       observedGeneration: 1
       reason: Ready
       status: "True"
       type: IPsAssigned
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: Condition "TunnelsAttached" is not ready.
       observedGeneration: 1
       reason: NotReady
       status: "False"
       type: Ready
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: 'At least one interface is not attached to any VPNTunnel: ["interface0"]'
       observedGeneration: 1
       reason: NoTunnelAttached
       status: "False"
       type: TunnelsAttached
     interfaces:
     - ip: 10.252.218.240
       name: interface0
   

El objeto VPNGateway debe adjuntarse a un VPNTunnel. Este paso se explica en Crear un túnel VPN.

Crear una pasarela de VPN de par

Crea una pasarela VPN de par creando un objeto PeerGateway en el servidor de la API Management. El objeto PeerGateway representa un endpoint de VPN remoto. Un túnel VPN usa una interfaz de un objeto PeerGateway para establecer un túnel cifrado con el sitio remoto. Para crear una pasarela VPN de par, sigue estos pasos:

1. Especifica un nombre de interfaz y la dirección IPv4 externa estática de tu pasarela VPN de par. El objeto PeerGateway se debe crear en el espacio de nombres de la plataforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: PeerGateway
   metadata:
     name: PEER_GW_NAME
   spec:
     interfaces:
     - name: PEER_INTERFACE_NAME
       ip: PEER_INTERFACE_IP
   EOF
   

   Haz los cambios siguientes:

   • PEER_GW_NAME: el nombre de la pasarela de VPN de par. Por ejemplo, peergateway.
   • PEER_INTERFACE_NAME: el nombre de la interfaz del elemento del mismo nivel. Por ejemplo, interface0.
   • PEER_INTERFACE_IP: la dirección IPv4 externa estática de tu pasarela VPN de par.

2. Comprueba que el objeto PEER_GW_NAME se haya conciliado correctamente examinando el campo Status.

   Obtén los detalles del objeto de pasarela de VPN de par:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform peergateway PEER_GW_NAME
   

   Examina la salida. Debe ser similar al siguiente ejemplo:

   Status:
     Conditions:
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               Condition "TunnelsAttached" is not ready.
       Observed Generation:   1
       Reason:                NotReady
       Status:                False
       Type:                  Ready
       Last Transition Time:  2024-05-10T00:20:45Z
       Message:               Ready
       Observed Generation:   1
       Reason:                Ready
       Status:                True
       Type:                  ValidGatewayIPs
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               At least one interface is not attached to any VPNTunnel: ["interface0"]
       Observed Generation:   1
       Reason:                NoTunnelAttached
       Status:                False
       Type:                  TunnelsAttached
   

   El objeto PeerGateway debe tener una referencia VPNTunnel. Este paso se explica en Crear un túnel VPN.

Siguientes pasos

• Crear una sesión de BGP de VPN
• Cifrados IKE admitidos