設定採用 Cloud Interconnect 的高可用性 VPN

瞭解如何在 Cloud Interconnect 連線的加密 VLAN 連結上部署高可用性 VPN。這些步驟適用於專屬互連網路和合作夥伴互連網路的高可用性 VPN。

為採用 Cloud Interconnect 的高可用性 VPN 部署項目建立高可用性 VPN 閘道時,請將該高可用性 VPN 閘道與加密的 VLAN 附件建立關聯。您要設定的每個 VLAN 連結都必須與高可用性 VPN 閘道介面建立關聯。

您只需要一個 VLAN 連結,但如要設定容錯移轉,則必須在邊緣可用性網域中建立兩個 VLAN 連結:

  • 第一個 VLAN 連結 (zone1) 對應至高可用性 VPN 介面 0
  • zone2 中的第二個 VLAN 連結對應至高可用性 VPN 介面 1

建立加密的 VLAN 連結和高可用性 VPN 閘道後,即可建立高可用性 VPN 通道至對等互連 VPN 閘道。每個高可用性 VPN 通道的頻寬為 3 Gbps。因此,如要符合 VLAN 連結的容量,您必須建立多個高可用性 VPN 通道。

VLAN 容量和建議的通道數量

本節會根據 VLAN 連結的容量,估算您可能需要的通道數量。VLAN 連結容量涵蓋輸出和輸入流量,且表格中的通道數量可能無法反映網路的特定流量模式。

請參考下表,監控高可用性 VPN 通道的流量用量。為確保通道有足夠的容錯移轉容量,建議您不要超過特定 VPN 通道的 3 Gbps 頻寬限制,或 250,000 pps 的封包速率限制。

如要進一步瞭解如何設定 Cloud VPN 通道的監控和快訊,請參閱「查看記錄和指標」。

VLAN 連結容量 每個 VLAN 連結的通道數量 2 個 VLAN 連結 (容錯移轉) 的通道總數
2 Gbps 以下 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34
100 Gbps 34 68

閘道和通道對應

您不需要將對等互連 VPN 閘道一對一對應至高可用性 VPN 閘道。只要對等 VPN 閘道上有尚未對應至特定高可用性 VPN 閘道介面的介面,您就可以為高可用性 VPN 閘道的每個介面新增多個通道。特定高可用性 VPN 閘道介面與特定對等互連 VPN 閘道介面之間,只能有一個專屬對應或通道。

因此,您可以採用下列設定:

  • 多個高可用性 VPN 閘道,可連至單一對等互連 VPN 閘道 (具備多個介面)
  • 單一高可用性 VPN 閘道,可連至多個對等互連 VPN 閘道
  • 多個高可用性 VPN 閘道,可透過通道連至多個對等互連 VPN 閘道

一般來說,您需要部署的高可用性 VPN 閘道數量,取決於內部部署網路中可用的對等互連 VPN 閘道數量,以及未使用的介面數量。

下圖提供高可用性 VPN 與對等互連 VPN 閘道之間的通道對應範例。

範例 1:一個高可用性 VPN 連至兩個對等互連 VPN

一個高可用性 VPN 閘道連至兩個對等互連 VPN 閘道的範例 (按一下可放大)。
圖 1:一個高可用性 VPN 閘道連線至兩個對等互連 VPN 閘道的範例 (按一下可放大)。

範例 2:兩個高可用性 VPN 連至一個對等互連 VPN

<img <="" alt="Example of two HA VPN gateways to one peer VPN gateway (click to enlarge)." border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg" />
圖 2:兩個高可用性 VPN 閘道對應一個對等互連 VPN 閘道的範例 (按一下可放大)。

建立高可用性 VPN 閘道

本程序假設您已使用 Google Cloud 控制台建立及設定加密的 VLAN 連結:

主控台

本程序假設您已使用 Google Cloud 控制台建立及設定加密的 VLAN 連結:

如要建立高可用性 VPN 閘道,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,繼續執行採用 Cloud Interconnect 的高可用性 VPN 部署精靈的下一個部分。

    完成 Cloud Interconnect 的 Cloud Router 設定後,系統會顯示「建立 VPN 閘道」頁面。

    採用 Cloud Interconnect 的高可用性 VPN 設定精靈,會根據您為 VLAN 連結設定的容量,自動建立高可用性 VPN 閘道。舉例來說,如果您將每個 VLAN 連結的容量指定為 5 Gbps,精靈會建立兩個高可用性 VPN 閘道。

  2. 選用:按一下「展開」,即可變更每個高可用性 VPN 閘道的產生名稱。

  3. 選用:如要新增更多高可用性 VPN 閘道,請按一下「新增其他閘道」。指定「名稱」,並視需要輸入「說明」。然後按一下「完成」

  4. 按一下「建立並繼續」

gcloud

  1. 使用VLAN 容量和通道表,估算需要多少 VPN 通道才能達到 VLAN 連結的容量。您必須建立至少一個高可用性 VPN 閘道,才能建立這些高可用性 VPN 通道。

    在下列範例中,5 Gbps 容量的 VLAN 連結可能需要四條通道。

  2. 建立高可用性 VPN 閘道。

    舉例來說,下列指令會建立兩個高可用性 VPN 閘道,並將閘道介面指派給加密的 VLAN 連結:

    gcloud compute vpn-gateways create vpn-gateway-a \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    REGION 替換為 VLAN 附件所在的區域。

針對 --interconnect-attachments 參數,請列出兩個 VLAN 連結。您列出的第一個 VLAN 連結會指派給高可用性 VPN 閘道的介面 0 (if0),第二個 VLAN 連結則會指派給介面 1 (if1)。

設定高可用性 VPN Cloud Router、對等互連 VPN 閘道資源和高可用性 VPN 通道

主控台

  1. 在 Google Cloud 控制台中,繼續執行採用 Cloud Interconnect 的高可用性 VPN 部署精靈的下一個部分。

  2. 在「Cloud Router」(雲端路由器) 區段中,選取 Cloud Router。 這個路由器專門用於管理所有 HA VPN 通道的 BGP 工作階段。

    如果現有 Cloud Router 尚未管理與合作夥伴互連網路連線相關聯的 VLAN 連結 BGP 工作階段,即可使用該路由器。

    您無法使用加密的 Cloud Router,用於「採用 Cloud Interconnect 的高可用性 VPN」部署作業的互連層級。

  3. 如果沒有可用的 Cloud Router,請選取「建立新路由器」,並指定下列項目:

    • 名稱
    • 選填說明

    • 新路由器的 Google ASN

      您可以使用任何私人 ASN (645126553442000000004294967294),只要未在網路中的其他位置使用即可。Google ASN 會用於同一個 Cloud Router 的所有 BGP 工作階段,且設定後即無法再變更。

    如要建立新路由器,請按一下「建立」

  4. 選取「IKEv1」或「IKEv2」,設定「IKE version」(IKE 版本)。 這個版本會套用至部署作業中的所有高可用性 VPN 通道。

  5. 選用:按一下「產生金鑰」,為所有 VPN 通道產生 IKE 預先共用金鑰。如果選取這個選項,系統會為所有高可用性 VPN 閘道的所有通道填入相同的 IKE 預先共用金鑰。請務必將預先共用金鑰記錄於安全的位置,因為建立 VPN 通道後就無法擷取此金鑰。

  6. 在「VPN Configurations」部分中,按一下 VPN 設定,然後指定下列項目:

    1. 對等互連 VPN 閘道:選取現有的對等互連 VPN 閘道,或選取「建立新的對等互連 VPN 閘道」建立一個。如要建立對等互連 VPN 閘道,請指定下列項目:

      • 名稱

      • 兩個介面

        如要指定單一介面或四個介面,您無法在Google Cloud 控制台中建立這個對等 VPN 閘道。請改用 Google Cloud CLI。具體來說,如要連線至 Amazon Web Services (AWS),您必須在對等互連 VPN 閘道上指派四個介面。

    2. 在「IP addresses」(IP 位址) 欄位中,輸入兩個對等互連 VPN 閘道介面的 IPv4 位址。

    3. 點選「建立」

  7. 在「VPN Tunnel over ENCRYPTED VLAN_ATTACHMENT_1」(「VPN 通道 (透過 ENCRYPTED VLAN_ATTACHMENT_1)」) 和「VPN Tunnel over ENCRYPTED VLAN_ATTACHMENT_2」(「VPN 通道 (透過 ENCRYPTED VLAN_ATTACHMENT_2)」) 下方,為每個通道設定下列欄位:

    • 名稱:您可以保留或修改系統產生的通道名稱。
    • 說明:選填。
    • 相關聯的對等互連 VPN 閘道介面:選取要與這個通道和高可用性 VPN 介面建立關聯的對等互連 VPN 閘道介面和 IP 位址組合。這個介面必須與實際對等互連路由器上的介面相符。
    • IKE 預先共用金鑰:如果尚未為所有通道產生預先共用金鑰,請指定 IKE 預先共用金鑰。使用與對等互連閘道上建立的預先共用金鑰相符的預先共用金鑰 (共用密鑰)。如果您尚未在對等 VPN 閘道上設定預先共用金鑰,且想要產生金鑰,請按一下「產生並複製」。請務必將預先共用金鑰記錄於安全的位置,因為建立 VPN 通道後就無法擷取此金鑰。

  8. 完成兩個通道的設定後,請按一下「完成」

  9. 針對每個高可用性 VPN 閘道重複前兩個步驟,直到設定完所有閘道及其通道為止。

  10. 如要新增更多通道,請按一下「新增 VPN 設定」,然後設定下列欄位:

    1. VPN 閘道:選取與加密 VLAN 連結相關聯的高可用性 VPN 閘道。

    2. 對等互連 VPN 閘道:選取現有的對等互連 VPN 閘道,或選取「建立新的對等互連 VPN 閘道」建立新的閘道。如要建立新的對等互連 VPN 閘道,請指定下列項目:

      • 名稱
      • 兩個介面

      如要指定單一介面或四個介面,您無法在Google Cloud 控制台中建立這個對等 VPN 閘道。請改用 Google Cloud CLI。具體來說,如要連線至 AWS,您必須在對等互連 VPN 閘道上指派四個介面。

    3. 在「IP addresses」(IP 位址) 欄位中,輸入兩個對等互連 VPN 閘道介面的 IPv4 位址。

    4. 點選「建立」

  11. 設定完所有高可用性 VPN 通道後,按一下「建立並繼續」

gcloud

這個路由器專門用於管理所有 HA VPN 通道的 BGP 工作階段。

如果現有路由器尚未管理與合作夥伴互連網路連線相關聯的 VLAN 連結 BGP 工作階段,即可使用該路由器。您無法使用加密的 Cloud Router,用於「採用 Cloud Interconnect 的高可用性 VPN」部署作業的 Cloud Interconnect 層級。

  1. 如要建立 Cloud Router,請執行下列指令:

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK \
     --asn=GOOGLE_ASN

    更改下列內容:

    • ROUTER_NAME:與 Cloud VPN 閘道位於相同區域的 Cloud Router 名稱
    • REGION:您建立閘道和通道的Google Cloud地區
    • NETWORK: Google Cloud 網路名稱
    • GOOGLE_ASN:您尚未在對等互連網路中使用的任何私人 ASN (645126553442000000004294967294);Google ASN 會用於同一個 Cloud Router 的所有 BGP 工作階段,並且之後無法再進行變更

    您建立的路由器應類似下列範例輸出內容:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. 建立至少一個外部對等互連 VPN 閘道。

     gcloud compute external-vpn-gateways create peer-gw \
     --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    更改下列內容:

    • ON_PREM_GW_IP_0:指派給對等互連 VPN 閘道上介面 0 的 IP 位址
    • ON_PREM_GW_IP_1:指派給對等互連 VPN 閘道上介面 1 的 IP 位址

    視部署作業需求建立任意數量的外部對等互連 VPN 閘道。

  3. 針對您在「建立高可用性 VPN 閘道」中建立的每個高可用性 VPN 閘道,為每個介面 (01) 建立一個 VPN 通道。在每個指令中,您會將 VPN 通道的對等端指定為先前建立的外部 VPN 閘道和介面。

    舉例來說,如要為在「建立高可用性 VPN 閘道」中建立的兩個高可用性 VPN 閘道建立四個通道,請執行下列指令:

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=1

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=1

設定 BGP 工作階段

主控台

在 Google Cloud 控制台中,繼續執行採用 Cloud Interconnect 的高可用性 VPN 部署精靈的下一個部分。

建立所有高可用性 VPN 通道後,您必須為每個通道設定 BGP 工作階段。

按一下每個通道旁的「設定 BGP 工作階段」

按照「建立 BGP 工作階段」一文中的操作說明,為每個 VPN 通道設定 BGP。

gcloud

建立所有高可用性 VPN 通道後,您必須為每個通道設定 BGP 工作階段。

針對每個通道,按照「建立 BGP 工作階段」一文中的說明操作。

完成高可用性 VPN 設定

如要使用新的 Cloud VPN 閘道和相關聯的 VPN 通道,請完成下列步驟:

  1. 為內部部署網路設定對等互連 VPN 閘道,並在閘道中設定對應通道。如需相關指示,請參閱下列文章:
  2. 視需要設定 Google Cloud 和對等互連網路的防火牆規則。
  3. 檢查 VPN 通道的狀態。 這個步驟包括檢查高可用性 VPN 閘道的高可用性設定。

後續步驟