Crea un gateway VPN e un gateway peer

Questa pagina descrive come creare un gateway VPN o una risorsa gateway peer.

I gateway VPN forniscono una connettività sicura tra più siti, ad esempio tra data center on-premise e ambienti cloud. Esistono due componenti del gateway da configurare per la VPN con air gap di Google Distributed Cloud (GDC):

• Un gateway VPN in GDC.
• Il gateway VPN peer. Si tratta di un dispositivo gateway VPN fisico o di un'applicazione software nella rete peer a cui si connette il gateway VPN. Il gateway peer può essere un gateway VPN on-premise o uno ospitato da un altro provider cloud.

Prima di iniziare

Per gestire o visualizzare le risorse VPN dalla console GDC, devi disporre dei ruoli di identità e accesso necessari:

• Amministratore VPN: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse correlate alla VPN. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore VPN (vpn-admin).
• Visualizzatore VPN: dispone di autorizzazioni di lettura su tutte le risorse correlate alla VPN. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Visualizzatore VPN (vpn-viewer).
• Per ulteriori informazioni, vedi Definizioni dei ruoli.

Crea un gateway VPN

Per creare un gateway VPN:

1. Specifica un nome di interfaccia sul gateway per rappresentare l'indirizzo IP. Quando viene creato il gateway, viene allocato automaticamente un indirizzo IPv4 esterno. Crea l'oggetto gateway VPN nello spazio dei nomi della piattaforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: VPNGateway
   metadata:
     name: VPN_GW_NAME
   spec:
     interfaces:
     - name: VPN_INTERFACE_NAME
   EOF
   

   Sostituisci quanto segue:

   • MANAGEMENT_API_SERVER: il percorso kubeconfig del server API zonale. Se non hai ancora generato un file kubeconfig per il server API nella zona di destinazione, consulta Accedi per i dettagli.
   • VPN_GW_NAME: il nome dell'oggetto gateway VPN. Ad esempio, vpngateway.
   • VPN_INTERFACE_NAME: il nome dell'interfaccia VPN. Ad esempio, interface0.

2. Verifica che l'oggetto VPN_GW_NAME sia stato riconciliato correttamente esaminando il campo Status. Visualizza i dettagli dell'oggetto gateway VPN:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform vpngateway VPN_GW_NAME
   

   Esamina l'output, che deve essere simile all'esempio seguente:

   
   status:
     conditions:
     - lastTransitionTime: "2024-05-10T00:12:58Z"
       message: All interfaces are assigned an IP.
       observedGeneration: 1
       reason: Ready
       status: "True"
       type: IPsAssigned
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: Condition "TunnelsAttached" is not ready.
       observedGeneration: 1
       reason: NotReady
       status: "False"
       type: Ready
     - lastTransitionTime: "2024-05-10T00:12:36Z"
       message: 'At least one interface is not attached to any VPNTunnel: ["interface0"]'
       observedGeneration: 1
       reason: NoTunnelAttached
       status: "False"
       type: TunnelsAttached
     interfaces:
     - ip: 10.252.218.240
       name: interface0
   

L'oggetto VPNGateway deve essere allegato a un VPNTunnel. Gestiamo questo passaggio in Crea un tunnel VPN.

Crea un gateway VPN peer

Crea un gateway VPN peer creando un oggetto PeerGateway nel server API Management. L'oggetto PeerGateway rappresenta un endpoint VPN remoto. Un'interfaccia su un oggetto PeerGateway viene utilizzata da un tunnel VPN per stabilire un tunnel criptato al sito remoto. Per creare un gateway peer VPN:

1. Specifica un nome di interfaccia e l'indirizzo IPv4 esterno statico del gateway VPN peer. L'oggetto PeerGateway deve essere creato nello spazio dei nomi della piattaforma:

   kubectl --kubeconfig MANAGEMENT_API_SERVER create -n platform -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: PeerGateway
   metadata:
     name: PEER_GW_NAME
   spec:
     interfaces:
     - name: PEER_INTERFACE_NAME
       ip: PEER_INTERFACE_IP
   EOF
   

   Sostituisci quanto segue:

   • PEER_GW_NAME: il nome del gateway VPN peer. Ad esempio, peergateway.
   • PEER_INTERFACE_NAME: il nome dell'interfaccia peer. Ad esempio, interface0.
   • PEER_INTERFACE_IP: l'indirizzo IPv4 esterno statico del gateway VPN peer.

2. Verifica che l'oggetto PEER_GW_NAME sia stato riconciliato correttamente esaminando il campo Status.

   Ottieni i dettagli dell'oggetto gateway VPN peer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform peergateway PEER_GW_NAME
   

   Esamina l'output, che deve essere simile all'esempio seguente:

   Status:
     Conditions:
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               Condition "TunnelsAttached" is not ready.
       Observed Generation:   1
       Reason:                NotReady
       Status:                False
       Type:                  Ready
       Last Transition Time:  2024-05-10T00:20:45Z
       Message:               Ready
       Observed Generation:   1
       Reason:                Ready
       Status:                True
       Type:                  ValidGatewayIPs
       Last Transition Time:  2024-05-10T00:15:25Z
       Message:               At least one interface is not attached to any VPNTunnel: ["interface0"]
       Observed Generation:   1
       Reason:                NoTunnelAttached
       Status:                False
       Type:                  TunnelsAttached
   

   L'oggetto PeerGateway deve essere referenziato da un VPNTunnel. Gestiamo questo passaggio in Crea un tunnel VPN.

Passaggi successivi

• Crea una sessione BGP VPN
• Tipi di crittografia IKE supportati