Auf dieser Seite erhalten Sie einen Überblick über das GDC-VPN-Feature (Google Distributed Cloud) für Air-Gap-Umgebungen. Außerdem werden die unterstützten Spezifikationen und Tunneling-Protokolle beschrieben.
GDC VPN erweitert ein Peer-Netzwerk sicher über eine IPsec-VPN-Verbindung auf die VM eines Nutzers in einer Organisation einer GDC-Zone.
Konfigurieren Sie das GDC-VPN mit den Ressourcen VPNGateway, PeerGateway, VPNBGPPeer und VPNTunnel aus der Networking API.
Spezifikationen
Das GDC-VPN hat die folgenden Spezifikationen:
- GDC VPN unterstützt nur Site-to-Site-IPsec-VPN-Verbindungen. IPsec ist eine Protokollsuite, die für die Sicherung der Kommunikation über IP-Netzwerke entwickelt wurde. Andere VPN-Technologien wie SSL und VPN werden nicht unterstützt.
- Das Peer-VPN-Gateway muss eine statische externe IPv4-Adresse haben. Sie benötigen diese IP-Adresse, um das VPN zu konfigurieren.
- Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass sowohl das ESP-Protokoll (Encapsulating Security Payload) von IPsec als auch IKE-Traffic (Internet Key Exchange) über UDP 500 und UDP 4500 an das Gateway übertragen werden.
- GDC VPN unterstützt nur 1:1-NAT mit UDP-Kapselung für NAT-Traversal (NAT-T). Das Peer-VPN-Gateway muss so konfiguriert sein, dass es sich mit seiner statischen externen IPv4-Adresse und nicht mit seiner internen privaten IP-Adresse identifiziert.
- IPv6-Traffic wird nicht unterstützt.
IPsec- und IKE-Support
GDC VPN unterstützt IKEv2 mit einem vorinstallierten IKE-Schlüssel (gemeinsames Secret) und IKE-Chiffren. GDC VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel. Geben Sie beim Erstellen des GDC VPN-Tunnels einen vorinstallierten Schlüssel an. Wenn Sie den Tunnel am Peer-VPN-Gateway erstellen, geben Sie denselben vorinstallierten Schlüssel an. Weitere Informationen finden Sie unter Secret mit einem PSK erstellen.
GDC VPN unterstützt ESP im Tunnelmodus mit Authentifizierung, jedoch nicht AH oder ESP im Transportmodus.