概览

本页面简要介绍了 Google Distributed Cloud (GDC) 空气隔离 VPN 功能，并说明了受支持的规范和隧道协议。

GDC VPN 通过互联网协议安全 (IPsec) VPN 连接将对等互连网络安全地扩展到 GDC 区域的组织中用户的虚拟机 (VM)。

使用 Networking API 中的 VPNGateway、PeerGateway、VPNBGPPeer 和 VPNTunnel 资源配置 GDC VPN。

规格

GDC VPN 具有以下规范：

• GDC VPN 仅支持站点到站点的 IPsec VPN 连接。IPsec 是一套旨在保护 IP 网络通信安全的协议。不支持其他 VPN 技术，例如 SSL 和 VPN。
• 对等 VPN 网关必须具有静态外部 IPv4 地址。您需要使用此 IP 地址来配置 VPN。
• 如果您的对等 VPN 网关受防火墙规则保护，则必须配置防火墙规则，使封装安全负载 (ESP) IPsec 协议和 Internet 密钥交换 (IKE) UDP 500 及 UDP 4500 流量可以传送至该网关。
• GDC VPN 仅支持通过 UDP 封装进行 NAT-遍历 (NAT-T) 的一对一 NAT。对等 VPN 网关必须配置为使用其静态外部 IPv4 地址（而非其内部专用 IP）来标识自己。
• 不支持 IPv6 流量。

IPsec 和 IKE 支持

GDC VPN 使用 IKE 预共享密钥（共享密钥）和 IKE 加密支持 IKEv2。GDC VPN 仅支持用于身份验证的预共享密钥。创建 GDC VPN 隧道时，请指定预共享密钥。在对等 VPN 网关上创建隧道时，请指定相同的预共享密钥。如需了解详情，请参阅使用 PSK 创建 Secret。

GDC VPN 支持将隧道模式下的 ESP 与身份验证一起使用，但不支持传输模式下的 AH 或 ESP。

后续步骤

• 创建 VPN 网关和对等网关