Membuat gateway VPN dan gateway peer

Halaman ini menjelaskan cara membuat gateway VPN atau resource gateway peer.

Gateway VPN menyediakan konektivitas yang aman antara beberapa situs, seperti antara pusat data lokal dan lingkungan cloud. Ada dua komponen gateway yang perlu dikonfigurasi untuk VPN air gap Google Distributed Cloud (GDC):

• Gateway VPN di GDC.
• Gateway VPN peer Anda. Ini adalah perangkat gateway VPN fisik atau aplikasi software di jaringan peer yang terhubung dengan gateway VPN. Gateway peer dapat berupa gateway VPN lokal atau yang dihosting oleh penyedia cloud lain.

Sebelum memulai

Untuk mengelola atau melihat resource VPN dari konsol GDC, Anda harus memiliki peran identitas dan akses yang diperlukan:

• Admin VPN: memiliki izin baca dan tulis pada semua resource terkait VPN. Minta Admin IAM Organisasi Anda untuk memberi Anda peran VPN Admin (vpn-admin).
• Pelihat VPN: memiliki izin baca pada semua resource terkait VPN. Minta Admin IAM Organisasi Anda untuk memberi Anda peran VPN Viewer (vpn-viewer).
• Untuk mengetahui informasi selengkapnya, lihat Definisi peran.

Membuat gateway VPN

Untuk membuat gateway VPN, ikuti langkah-langkah berikut:

1. Tentukan nama antarmuka di gateway untuk mewakili alamat IP. Saat gateway dibuat, alamat IPv4 eksternal akan dialokasikan secara otomatis. Buat objek gateway VPN di namespace platform:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNGateway
   metadata:
     name: VPN_GW_NAME
   spec:
     interfaces:
     - name: VPN_INTERFACE_NAME
   EOF
   

   Ganti kode berikut:

   • MANAGEMENT_API_SERVER: jalur kubeconfig server API zona. Jika Anda belum membuat file kubeconfig untuk server API di zona target, lihat Login untuk mengetahui detailnya.
   • VPN_GW_NAME: nama objek gateway VPN. Contoh, vpngateway.
   • VPN_INTERFACE_NAME: nama antarmuka VPN. Contoh, interface0.

2. Verifikasi bahwa objek VPN_GW_NAME telah direkonsiliasi dengan benar dengan memeriksa kolom Status. Dapatkan detail untuk objek gateway VPN:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpngateway VPN_GW_NAME
   

   Periksa output, yang harus terlihat mirip dengan contoh berikut:

   
   status:
     conditions:
     - lastTransitionTime: "2024-05-10T00:12:58Z"
       message: All interfaces are assigned an IP.
       observedGeneration: 1
       reason: Ready
       status: "True"
       type: IPsAssigned
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: Condition "TunnelsAttached" is not ready.
       observedGeneration: 1
       reason: NotReady
       status: "False"
       type: Ready
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: 'At least one interface is not attached to any VPNTunnel: ["interface0"]'
       observedGeneration: 1
       reason: NoTunnelAttached
       status: "False"
       type: TunnelsAttached
     interfaces:
     - ip: 10.252.218.240
       name: interface0
   

Objek VPNGateway harus dilampirkan ke VPNTunnel. Kita akan menangani langkah ini di Membuat Tunnel VPN.

Membuat gateway VPN peer

Buat gateway VPN peer dengan membuat objek PeerGateway di server Management API. Objek PeerGateway mewakili endpoint VPN jarak jauh. Antarmuka pada objek PeerGateway digunakan oleh tunnel VPN untuk membuat tunnel terenkripsi ke situs jarak jauh. Untuk membuat gateway VPN peer, ikuti langkah-langkah berikut:

1. Tentukan nama antarmuka dan alamat IPv4 eksternal statis gateway VPN peer Anda. Objek PeerGateway harus dibuat di namespace platform:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: PeerGateway
   metadata:
     name: PEER_GW_NAME
   spec:
     interfaces:
     - name: PEER_INTERFACE_NAME
       ip: PEER_INTERFACE_IP
   EOF
   

   Ganti kode berikut:

   • PEER_GW_NAME: nama gateway VPN peer. Contoh, peergateway.
   • PEER_INTERFACE_NAME: nama antarmuka peer. Contoh, interface0.
   • PEER_INTERFACE_IP: alamat IPv4 eksternal statis gateway VPN peer Anda.

2. Verifikasi bahwa objek PEER_GW_NAME telah direkonsiliasi dengan benar dengan memeriksa kolom Status.

   Dapatkan detail untuk objek gateway VPN peer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform peergateway PEER_GW_NAME
   

   Periksa output, yang harus terlihat mirip dengan contoh berikut:

   Status:
     Conditions:
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               Condition "TunnelsAttached" is not ready.
       Observed Generation:   1
       Reason:                NotReady
       Status:                False
       Type:                  Ready
       Last Transition Time:  2024-05-10T00:20:45Z
       Message:               Ready
       Observed Generation:   1
       Reason:                Ready
       Status:                True
       Type:                  ValidGatewayIPs
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               At least one interface is not attached to any VPNTunnel: ["interface0"]
       Observed Generation:   1
       Reason:                NoTunnelAttached
       Status:                False
       Type:                  TunnelsAttached
   

   Objek PeerGateway harus direferensikan oleh VPNTunnel. Kita akan menangani langkah ini di Membuat Tunnel VPN.

Langkah berikutnya

• Membuat sesi BGP VPN
• Cipher IKE yang didukung