创建 VLAN 连接

VLAN 连接(也称为 interconnectAttachments)可确定哪些 Virtual Private Cloud (VPC) 网络可以通过专用互连连接连接到您的本地网络。您可以通过所有测试并可供使用的连接创建 VLAN 连接。

您可以创建未加密的 VLAN 连接或加密的 VLAN 连接。 加密的 VLAN 连接用于通过 Cloud Interconnect 实现的高可用性 VPN 部署。您可以创建单栈(仅 IPv4)或双栈(IPv4 和 IPv6)的未加密 VLAN 连接。

默认情况下,当您创建未加密的 VLAN 连接时,VLAN 连接为单栈(仅 IPv4)。除非另行指定,否则您为未加密的 VLAN 连接创建的接口是具有 IPv4 地址的单个接口,并且生成的 BGP 会话仅交换 IPv4 路由。

如果您需要支持 IPv6 流量,则必须配置双栈(IPv4 和 IPv6)未加密的 VLAN 连接。通过双栈 VLAN 连接,您可以创建 IPv4 BGP 会话和/或 IPv6 BGP 会话。

加密的 VLAN 连接始终配置为仅 IPv4。如果您希望在通过 Cloud Interconnect 实现的高可用性 VPN 部署中的加密连接中支持 IPv6 流量,则可以部署双栈高可用性 VPN 网关和隧道。

VLAN 连接从创建时开始计费,删除后即停止计费。

如果您使用的 VLAN 连接位于与专用互连连接不同的区域,那么请更改 VPC 网络的动态路由模式全球

如果您需要为其他 Google Cloud 项目中的连接创建 VLAN 连接,请参阅在其他项目中使用专用互连连接

对于合作伙伴互连的 VLAN 连接,请参阅为合作伙伴互连创建 VLAN 连接

如需了解本页面中使用的术语定义,请参阅 Cloud Interconnect 关键术语

如需帮助解决使用专用互连时可能会遇到的常见问题,请参阅问题排查

将 VLAN 连接与 Cloud Router 关联

对于专用互连,VLAN 连接在连接上分配 VLAN,并将该 VLAN 与指定的 Cloud Router 路由器关联。您可以将多个不同的 VLAN 连接关联到同一个 Cloud Router 路由器。

创建 VLAN 连接时,指定一个 Cloud Router 路由器,该 Cloud Router 路由器所在区域应包含您想要连接到的子网。VLAN 连接会自动分配 VLAN ID 和边界网关协议 (BGP) 对等互连 IP 地址。使用该信息配置本地路由器,并与 Cloud Router 路由器建立 BGP 会话。

(可选)您可以在创建 VLAN 连接时手动指定 IPv4 BGP 地址的候选范围。Cloud Router 会从此范围中为接口和 BGP 对等方选择 IPv4 地址。选择之后,这些 IPv4 地址便无法修改。您指定为候选范围的 BGP IPv4 地址范围在 VPC 网络的所有地区中的所有 Cloud Router 之间必须唯一。

创建 VLAN 连接时,您无法手动指定 IPv6 地址的候选范围。

对于通过 Cloud Interconnect 实现的高可用性 VPN,您必须创建一个专门与加密的 VLAN 连接搭配使用的 Cloud Router 路由器。Cloud Router 路由器仅会通过 VLAN 连接交换 VPN 网关的路由,这可确保只有加密的流量可以从连接传出。您无法将此 Cloud Router 路由器用于任何未加密的 VLAN 连接或任何 VPN 隧道。

使用多个 VLAN 连接

对于每个 VLAN 连接,支持的带宽上限为 50 Gbps,增量 如价格页面中所述 ,数据包速率上限如 Cloud Interconnect 限制中所述。即使在带宽容量高于前述限值的连接上配置此类连接,也是如此。

为充分使用一个连接的带宽,您可能需要创建多个 VLAN 连接。

如需同时对 VPC 网络中的出站流量使用多个 VLAN 连接,请在同一区域中创建这些连接。然后,配置您的本地路由器以通告具有相同 MED 的路由。通过管理 VLAN 连接的一个或多个 Cloud Router 路由器上的 BGP 会话数获知的自定义动态路由会应用到您的 VPC 网络,路由优先级与 MED 相对应。

如果多个可用路由具有相同的优先级,则 Google Cloud 会使用五元组哈希值在这些路由之间分配流量以实现亲和性,从而实施等价多路径 (ECMP) 路由设计。如需了解详情,请参阅 VPC 文档中的适用范围和顺序

创建未加密的 VLAN 连接

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Interconnect VLAN 连接标签页。

    转到 VLAN 连接

  2. 点击创建 VLAN 连接

  3. 选择专用互连连接

  4. 对互连进行加密部分中,选择设置未加密的互连,然后点击继续

  5. 如需在您的项目中创建连接,请在选择互连和冗余部分中,选择在此项目中。对于其他项目,请参阅在其他项目中使用专用互连连接

  6. 在您的项目中选择现有专用互连连接,然后点击继续

  7. 选择添加 VLAN 连接,然后指定以下详细信息:

    • 名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如 my-attachment
    • 说明(可选):连接的说明。
  8. 为连接选择栈类型:IPv4(单栈)IPv4 和 IPv6(双栈)

  9. 选择与该连接相关联的 Cloud Router 路由器。Cloud Router 路由器必须位于您要连接的 VPC 网络中。

    如果您没有现有的 Cloud Router 路由器,请选择创建新路由器。对于 BGP AS 编号,请使用任何专用 ASN(64512-655354200000000-4294967294)或 16550

  10. 可选:如需指定 VLAN ID、BGP 会话的特定 IP 地址范围、VLAN 连接的容量或最大传输单元 (MTU),请点击 VLAN ID、BGP IP、容量、MTU

    • 如要指定 VLAN ID,请在 VLAN ID 部分中选择自定义

      默认情况下,Google 会自动生成 VLAN ID。您可以在 2 - 4093 范围内指定一个 VLAN ID,但您无法指定一个已在连接上使用的 VLAN ID。如果您指定的 VLAN ID 已在使用中,则系统会要求您选择其他 VLAN ID。

      如果未输入 VLAN ID,则系统会自动为 VLAN 连接随机选择未使用的 VLAN ID。

    • 如要为 BGP 会话指定 IPv4 地址范围,请在分配 BGP IPv4 地址部分中选择手动

      您指定的 BGP IPv4 地址范围在 VPC 网络所有地区中的所有 Cloud Router 之间必须唯一。

      用于 Cloud Router 和本地路由器之间 BGP 会话的 IPv4 地址是从 IPv4 链路本地地址空间 (169.254.0.0/16) 分配的。默认情况下,Google 会从 IPv4 链路本地地址空间中选择未使用的地址。

      如需限制 Google 从中进行选择的 IPv4 范围,您可以从 IPv4 链路本地地址空间中指定最多 16 个前缀。所有前缀必须位于 169.254.0.0/16 内,且前缀长度必须为 /30 或更短,例如 /29/28。系统会自动从您指定的前缀中选择未使用的 /29 范围。如果所有可能的 /29 范围都已被 Google Cloud 使用,则地址分配请求会失败。

      如果您未提供前缀范围,Google Cloud 会从您的 VPC 网络中所有 BGP 会话尚未使用的 169.254.0.0/16 中选取 /29 地址分配。如果您提供了一个或多个前缀,Google Cloud 会从提供的前缀中选取未使用的 /30 地址分配。

      选择 /30 地址范围后,Google Cloud 会为 Cloud Router 路由器分配一个地址,并为您的本地路由器分配另一个地址。/30 前缀中的其余地址空间会预留以供 Google 使用。

    • 如需指定最大带宽,请在容量字段中选择一个值。如果您未选择值,则 Cloud Interconnect 将使用 10 Gbps。

      如果连接上有多个 VLAN 连接,则容量设置可帮助您控制每个连接可以使用的带宽量。最大带宽为近似值,因此 VLAN 连接可能会使用比所选容量更多的带宽。

    • 如要为连接指定最大传输单元 (MTU),请从字段中选择一个值。

      如需利用 1460、1500 或 8896 字节的 MTU,使用该连接的 VPC 网络必须将 MTU 设置为相同的值。此外,本地虚拟机 (VM) 实例和路由器也必须将其 MTU 设置为相同的值。如果您的网络使用 1460 的默认 MTU,请为连接选择 1460 的 MTU。

  11. 如果您要连接多个 VPC 网络(例如,构建冗余),请点击 + 添加 VLAN 连接以将其他 VLAN 连接到连接。为每个 VLAN 连接选择不同的 Cloud Router 路由器。如需了解详情,请参阅概览中的冗余部分

  12. 创建了所有需要的 VLAN 连接后,点击创建。创建连接需要一点时间。

    配置 BGP 会话页面会显示每个 VLAN 连接及其配置状态。

  13. 对于每个 VLAN 连接,请创建 BGP 会话以交换 Cloud Router 路由器网络和本地路由器之间的 BGP 路由。点击配置,然后输入以下内容信息:

    • 名称:BGP 会话的名称。
    • 对等 ASN:本地路由器的公共或专用 ASN。
    • 通告路由优先级(可选):Cloud Router 路由器在计算路由指标时所用的基础值。为该会话通告的所有路由都将使用此基础值。如需了解详情,请参阅通告的前缀和优先级
    • BGP 对等端:可让您启用或停用使用此对等端的 BGP 会话。 如果停用,此 Cloud Router 路由器不会发送 BGP 连接请求,并且会拒绝来自此对等端的所有 BGP 连接请求。
    • MD5 身份验证(可选):可让您对 Cloud Router 路由器与其对等端之间的 BGP 会话进行身份验证。如需了解如何使用 MD5 身份验证,请参阅使用 MD5 身份验证
    • 自定义通告路由(可选):允许您选择 Cloud Router 通过 BGP 向您的本地路由器通告的路由。如需了解配置步骤,请参阅自定义通告路由概览
    • 自定义已知路由:可让您为 BGP 会话手动定义其他已知路由。 Cloud Router 路由器的行为就像是已从 BGP 对等端获知路由一样。
    • Cloud Router 路由器的双向转发检测 (BFD)(可选):检测转发路径中断,例如链路断开事件,从而实现更具弹性的混合网络。如需了解如何更新 BGP 会话以使用 BFD,请参阅配置 BFD

  14. 点击保存并继续

  15. 为所有 VLAN 连接添加 BGP 会话后,点击保存配置。在本地路由器上配置 BGP 之前,您配置的 BGP 会话处于非活跃状态。

gcloud

创建 VLAN 连接之前,在您想要通过本地网络连接到的网络以及区域中,您必须已有一个 Cloud Router 路由器。如果您还没有 Cloud Router 路由器,请创建一个。 Cloud Router 路由器的 BGP ASN 必须为 16550,您可以使用任何专用 ASN(64512-655354200000000-4294967294)。

  1. 创建 VLAN 连接,并指定专用互连连接和 Cloud Router 路由器的名称。此连接会在连接到 Cloud Router 路由器的连接上分配 VLAN。

    以下示例会为连接到 Cloud Router 路由器 my-router(位于区域 us-central1)的连接 my-interconnect 创建连接。

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
    

    双栈(IPv4 和 IPv6)VLAN 连接

    如需创建可以同时支持 IPv4 和 IPv6 流量的双栈 VLAN 连接,请指定 --stack-type IPV4_IPV6

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
        --stack-type IPV4_IPV6
    

    使用 IPV4_IPV6(双栈)栈类型创建 VLAN 连接时,Google Cloud 会自动分配 2600:2d00:0:1::/64 范围内未使用的 /125 CIDR 作为 VLAN 连接的 IPv6 地址。

    如果您选择 IPV4_IPV6(双栈)栈类型,可以稍后使用 IPv4 BGP 会话和/或 IPv6 BGP 会话配置 VLAN 连接。

    如果您省略 --stack-type 标志,VLAN 连接会配置为仅 IPv4(单栈)连接。IPV4_ONLY(单栈)VLAN 连接只能交换 IPv4 路由。https://developers.google.com/devsite/author-databases 您也可以在创建连接后更改其栈类型。请参阅修改栈类型

    为 BGP 对等互连分配 IPv4 地址

    对于 BGP 对等互连,Google 可以分配 IPv4 链路本地地址空间 (169.254.0.0/16) 中未使用的 IPv4 地址。如需限制 Google 可以选择的 IPv4 地址范围,您可以使用 --candidate-subnets 标志,如下面的示例中所示。

    您指定的 BGP 对等互连 IPv4 地址范围在 VPC 网络所有地区中的所有 Cloud Router 之间必须唯一。

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --candidate-subnets 169.254.0.0/29,169.254.10.0/24 \
        --region us-central1
    

    您可以从 IPv4 链路本地地址空间指定最多 16 个前缀。所有前缀必须位于 169.254.0.0/16 内,且必须为 /29 或更短,例如 /28/27。系统会自动从您指定的前缀范围中选择未使用的 /29。如果所有可能的 /29 前缀都已被 Google Cloud 使用,则地址分配请求失败。

    您只能为 IPv4 地址指定候选子网范围。您不能为 IPv6 地址指定候选地址范围。

    VLAN ID 配置

    要指定 VLAN ID,请使用 --vlan 标志,如以下示例所示:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --vlan 5 \
        --region us-central1
    

    默认情况下,Google 会自动生成 VLAN ID。您可以在 2 - 4093 范围内指定一个 VLAN ID,您无法指定已在专用互连连接上使用的 VLAN ID。如果您指定的 VLAN ID 已在使用中,则系统会要求您选择其他 VLAN ID。

    如果未输入 VLAN ID,则系统会自动为 VLAN 连接随机选择未使用的 VLAN ID。

    最大带宽配置

    要指定连接的最大带宽,请使用 --bandwidth 标志,如以下示例所示。如果连接上有多个 VLAN 连接,则容量设置可帮助您控制每个连接可以使用的带宽量。最大带宽为近似值,因此 VLAN 连接可能会使用比所选容量更多的带宽。

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --bandwidth 500M \
        --region us-central1
    

    如果您未指定容量,则 Cloud Interconnect 将使用默认值 10 Gbps。如需了解详情,请参阅 gcloud compute interconnects attachments dedicated create 参考文档

    MTU 配置

    连接的默认 MTU 为 1440 字节。您还可以为连接指定 1460、1500 或 8896 字节的 MTU。如需为连接指定 1460、1500 或 8896 字节的 MTU,请使用 --mtu 标志,如以下示例所示:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --mtu 1500 \
        --region us-central1
    

    如需利用 1460、1500 或 8896 字节的 MTU,使用该连接的 VPC 网络以及本地系统和路由器都必须设置相同的 MTU 值

  2. 如以下示例所示描述连接,以检索其分配的资源(比如 VLAN ID 和 BGP 对等地址)。使用这些值配置 Cloud Router 和本地路由器。

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    输出:

    cloudRouterIpAddress: 169.254.180.81/29
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • VLAN 标记 (1000) 可识别将经过此连接的流量。您需要使用此值配置本地路由器上已标记的 VLAN 子接口。
    • Cloud Router 地址 (169.254.180.81/29) 是 IPv4 链路本地地址。当您为此连接创建 Cloud Router 路由器接口时,该接口会使用此 IP 地址。对于本地路由器上的 BGP 邻居,您也应使用相同的地址。
    • 客户路由器地址 (169.254.180.82/29) 是 IPv4 链路本地地址。在 Cloud Router 上,使用该地址通过已分配 Cloud Router 地址的接口配置 BGP 对等方。请将此地址分配给本地路由器上的 VLAN 子接口。
    • IPV4_ONLY(单栈)栈类型表明 VLAN 连接支持的流量类型。
  3. 在 Cloud Router 上,添加连接到 VLAN 连接的一个或多个接口。

    • 如果您的 VLAN 连接为仅 IPv4,您必须创建一个使用 IPv4 地址的接口。

    • 如果您的 VLAN 连接使用 IPV4_IPV6(双栈)栈类型,则可以创建具有 IPv4 地址的接口和/或具有 IPv6 地址的接口。

      通过同时创建具有 IPv4 地址的接口和具有 IPv6 地址的接口,您可以通过同一 VLAN 连接并行运行两个 BGP 会话。如需了解详情,请参阅 Cloud Router 文档中的建立 BGP 会话

      如需创建具有 IPv4 地址的接口,请运行以下命令。

      gcloud compute routers add-interface my-router \
      --region us-central1 \
      --interface-name my-router-intf-v4 \
      --interconnect-attachment my-attachment
      

      接口的 IPv4 地址将使用连接的 cloudRouterIpAddress 自动配置。

      如需创建具有 IPv6 地址的接口,请运行以下命令。

      gcloud beta compute routers add-interface my-router \
       --region us-central1 \
       --interface-name my-router-intf-v6 \
       --interconnect-attachment my-attachment
       --ip-version=IPV6
      

      接口的 IPv6 地址使用连接的 cloudRouterIpv6Address 自动配置。

  4. 为您创建的每个接口添加 BGP 对等方。对于对等方 ASN 值,使用您在本地路由器上配置的相同编号。

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect-v4 \
        --peer-asn 65201
    

    BGP 对等方的 IPv4 地址将使用连接的 customerRouterIpAddress 自动配置。

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v6 \
       --peer-asn 65201
    

    对等方的 IPv6 地址将使用连接的 customerRouterIpv6Address 自动配置。

    多协议 BGP (MP-BGP) 配置

    如果您配置了具有 IPV4_IPV6(双栈)栈类型的 VLAN 连接,则可以在单个 IPv4 BGP 或单个 IPv6 BGP 会话中使用多协议 BGP (MP-BGP)。如果您同时使用两个 BGP 会话,则无法使用 MP-BGP。

    借助 MP-BGP,您可以通过 IPv4 BGP 会话交换 IPv6 路由,也可以通过 IPv6 BGP 会话交换 IPv4 路由。

    如需在 IPv4 BGP 会话中启用 IPv6 路由交换,请运行以下命令。

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v4 \
       --peer-asn 65201 \
       --enable-ipv6
    

    如果您省略 --enable-ipv6 标志,则 IPv4 BGP 会话仅交换 IPv4 路由。您可以稍后在 BGP 会话中启用 IPv6 路由交换。

    如需在 IPv6 BGP 会话中启用 IPv4 路由交换,请运行以下命令。

    gcloud beta compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --enable-ipv4
    

    如需了解详情,请参阅为 IPv4 或 IPv6 BGP 会话配置多协议 BGP

    如果您在 IPv4 BGP 会话中启用 IPv6 路由交换,则必须配置本地路由器,以使用连接的 customerRouterIpv6Address 作为下一个跃点来通告其 IPv6 路由。

    如果您在 IPv6 BGP 会话中启用 IPv4 路由交换,则必须配置本地路由器,以使用连接的 customerRouterIpAddress 作为下一个跃点来通告其 IPv4 路由。

    描述连接,以检索 IPv4 或 IPv6 下一个跃点地址。

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    输出:

    cloudRouterIpAddress: 169.254.180.81/29
    cloudRouterIpv6Address: 2600:2d00:0:1:8000:12:0:299/125
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    customerRouterIpv6Address: 2600:2d00:0:1:8000:12:0:29a/125
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_IPV6
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    自定义通告路由和路由优先级 (MED) 配置

    如需指定基准优先级值,请使用 --advertised-route-priority 标志。对于为该会话通告的所有路由,Cloud Router 使用该值来计算路由指标。如需了解详情,请参阅 Cloud Router 文档中的通告前缀和优先级

    您还可以使用 --advertisement-mode 标志为此 BGP 会话启用自定义通告模式。使用 --advertisement-groups--advertisement-ranges 为 BGP 会话定义自定义通告路由。借助自定义通告路由,您可以选择 Cloud Router 通过 BGP 向您的本地路由器通告的路由。您可以同时指定 IPv4 和 IPv6 自定义通告路由。但是,IPv6 自定义通告路由仅在启用了 IPv6 路由交换的 BGP 会话中通告。IPv4 自定义通告路由仅在启用了 IPv4 路由交换的 BGP 会话中通告。

    如需了解配置步骤,请参阅自定义通告路由概览

    自定义已知路由配置

    如果要配置自定义已知路由,请使用 --set-custom-learned-route-ranges 标志。您还可以选择使用 --custom-learned-route-priority 标志为路由设置介于 065535(含)之间的优先级值。每个 BGP 会话可以有一个优先级值,该值会应用于您为该会话配置的所有自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅自定义已知路由

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-i1-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect \
        --peer-asn 65201 \
        --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
        --custom-learned-route-priority 200
    

    MD5 身份验证配置

    如果要使用 MD5 身份验证,请添加 md5-authentication-key 标志。如需详细了解此功能,请参阅使用 MD5 身份验证

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-i1-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --md5-authentication-key 'secret_key_value'
    

    双向转发检测 (BFD)

    如果要为 Cloud Router 添加双向转发检测 (BFD),您可以使用 BFD 会话配置 BGP 对等方。BFD 会检测转发路径故障,例如链路关闭事件,从而实现更具弹性的混合网络。如需将 BGP 会话更新为使用 BFD,请参阅为 Cloud Router 配置 BFD

如果您要使用重复的专用互连连接构建冗余,请对第二个连接重复上述步骤,并指定相同的 Cloud Router 路由器。如需了解详情,请参阅冗余和 SLA

创建加密的 VLAN 连接

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Interconnect VLAN 连接标签页。

    转到 VLAN 连接

  2. 点击创建 VLAN 连接

  3. 选择专用互连连接

  4. 对互连进行加密部分中,选择设置通过互连实现的高可用性 VPN,然后点击继续

  5. 选择互连部分,选择要在其中部署通过 Cloud Interconnect 实现的高可用性 VPN 的两个现有专用互连连接。

    • 如需使用当前项目中的连接,请选择在此项目中
    • 如需使用另一个项目中的连接,请选择在另一个项目中,然后输入该项目的项目 ID
    • 互连 1 字段中,选择第一个连接。
    • 互连 2 字段中,选择第二个连接。请确保选择托管在同一都市区域(都市圈)但与第一个连接位于不同边缘可用性网域的连接。例如,如果第一个连接位于 ord-zone1,请确保第二个连接位于 ord-zone2
  6. 选择两个现有专用互连连接后,点击继续

  7. 创建 VLAN 连接页面上,选择一个 VPC 网络

  8. 加密的互连路由器字段中,选择要与两个加密的 VLAN 连接关联的 Cloud Router 路由器。Cloud Router 路由器必须位于您要连接的 VPC 网络中。此外,您指定的 Cloud Router 路由器只能与加密的 VLAN 连接搭配使用。此路由器仅通告高可用性 VPN 和对等 VPN 隧道接口的路由。

    如果您还没有可以使用的加密 Cloud Router 路由器,请选择创建新路由器,并指定与 Dataplane v2 兼容的区域。如需查看对于您的位置,哪些区域与 Dataplane V2 兼容,请参阅位置表。对于 BGP AS 编号,请使用任何专用 ASN(64512-655354200000000-4294967294)或 16550

  9. 配置两个 VLAN 连接。对于 VLAN 连接 1VLAN 连接 2,请配置以下字段:

    • 名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如 my-attachment
    • 说明:输入说明(可选)。
  10. 如需为 BGP 会话配置 VLAN ID 或特定 IP 地址范围,请点击 VLAN ID、BGP IP

    • 如要指定 VLAN ID,请在 VLAN ID 部分中选择自定义
    • 如要为 BGP 会话指定 IPv4 地址范围,请在分配 BGP IP 地址部分中选择手动

    如果您没有指定 VLAN ID 或手动分配 BGP IPv4 地址,Google Cloud 会自动分配这些值。

  11. 容量字段中,为每个 VLAN 连接选择带宽上限。您为 VLAN 连接 1 选择的值会自动应用于 VLAN 连接 2。如果您未选择值,则 Cloud Interconnect 会使用 10 Gbps。您选择的容量决定了您需要部署的高可用性 VPN 隧道的数量。

  12. VPN 网关 IP 地址部分中,选择要用于高可用性 VPN 隧道接口的 IP 地址的类型。

    • 如果您选择内部区域级 IP 地址,请点击添加新的 IP 地址范围,然后输入名称IP 范围。对于 IP 范围,请指定前缀长度介于 2629 之间的区域级内部 IPv4 范围。前缀长度决定了 VPN 隧道接口可用的 IPv4 地址数量,并且必须基于连接的容量来指定。如需了解详情,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关
    • 如果您选择外部区域级 IP 地址,则 Cloud Interconnect 会自动将区域级外部 IP 地址分配给您在 VLAN 连接上创建的高可用性 VPN 隧道接口。

    两个 VLAN 连接必须使用同一类型的地址(内部或外部)作为其 VPN 网关 IPv4 地址。

  13. 创建完两个 VLAN 连接后,点击创建。连接需要一些时间才能完成创建。

  14. 配置互连路由器页面显示每个 VLAN 连接及其配置状态。

  15. 对于每个 VLAN 连接,如需创建 BGP 会话以交换 Cloud Router 网络和本地路由器之间的路由,请点击配置,然后输入以下内容信息:

    • 名称:BGP 会话的名称。
    • 对等 ASN:本地路由器的公共或专用 ASN。
    • 通告路由优先级(可选):Cloud Router 路由器在计算路由指标时所用的基础值。为该会话通告的所有路由都将使用此基础值。如需了解详情,请参阅通告的前缀和优先级

      此 Cloud Router 仅通告高可用性 VPN 和对等 VPN 隧道接口的路由。

    • BGP 对等端:可让您启用或停用使用此对等端的 BGP 会话。 如果停用,此 Cloud Router 路由器不会发送 BGP 连接请求,并且会拒绝来自此对等端的所有 BGP 连接请求。

    • MD5 身份验证(可选):可让您对 Cloud Router 路由器与其对等端之间的 BGP 会话进行身份验证。如需了解如何使用 MD5 身份验证,请参阅使用 MD5 身份验证

    请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。

  16. 点击保存并继续

  17. 为所有 VLAN 连接添加 BGP 会话后,点击保存配置。在本地路由器上配置 BGP 之前,您配置的 BGP 会话处于非活跃状态。

  18. 创建 VPN 网关页面上,为 VLAN 连接配置高可用性 VPN,以完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程(请参阅配置通过 Cloud Interconnect 实现的高可用性 VPN),然后点击创建并继续

  19. 创建 VPN 隧道页面上,为每个高可用性 VPN 网关创建两个 VPN 隧道(每个接口上一个隧道)。将 VPN 隧道的对等端指定为对等 VPN 网关上的相应接口,然后点击创建并继续

  20. 配置 VPN 路由器页面上,点击配置 BGP 会话,以在 Cloud Router 路由器上为每个高可用性 VPN 隧道设置 BGP 会话(请参阅 指定和管理自定义已知路由)。

gcloud

  1. 为 Cloud Interconnect 创建加密的 Cloud Router 路由器。

    在您要从本地网络访问的网络和区域中创建 Cloud Router 路由器。指定 --encrypted-interconnect-router 标志以标识此路由器用于通过 Cloud Interconnect 实现的高可用性 VPN 部署。Cloud Router 路由器的 BGP ASN 必须为 16550,或者您可以使用任何专用 ASN(64512-655354200000000-4294967294)。

    以下示例会在区域 us-central1 中创建一个名为 interconnect-router 且 ASN 为 65001 的路由器。

     gcloud compute routers create interconnect-router \
        --region us-central1 \
        --network network-a \
        --asn 65001 \
        --encrypted-interconnect-router
    
  2. 可选:预留前缀长度介于 2629 之间的区域级内部 IPv4 范围。

    前缀长度决定了 VPN 网关接口可用的 IPv4 地址数量。您需要预留的 IPv4 地址数量则取决于关联 VLAN 连接的容量。

    例如,如需为具有 10 Gbps 容量的第一个 VLAN 连接预留范围,请运行以下命令:

     gcloud compute addresses create ip-range-1 \
        --region us-central1 \
        --addresses=192.168.1.0 \
        --prefix-length=29 \
        --network=network-a \
        --purpose=IPSEC_INTERCONNECT
    

    如需为第二个 VLAN 连接预留地址范围,请运行以下命令:

    gcloud compute addresses create ip-range-2 \
       --region us-central1 \
       --addresses=192.168.2.0 \
       --prefix-length=29 \
       --network=network-a \
       --purpose=IPSEC_INTERCONNECT
    

    如需详细了解如何预留区域级内部地址,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关

  3. 创建第一个加密的 VLAN 连接,并指定第一个连接和加密的 Cloud Router 路由器的名称。

    以下示例会为连接到区域 us-central1 中的加密 Cloud Router 路由器 interconnect-router 的连接 my-interconnect-ead-1 创建加密的连接。该命令还指定了区域级内部 IPv4 地址范围 ip-range-1,用于在此连接上创建的所有高可用性 VPN 隧道接口。

    gcloud compute interconnects attachments dedicated create ha-vpn-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-1
    

    如果要为连接上的高可用性 VPN 网关接口使用区域级外部 IPv4 地址,请省略 --ipsec-internal-addresses 标志。系统会自动为所有高可用性 VPN 网关接口分配区域级外部 IPv4 地址。

    gcloud compute interconnects attachments dedicated create my-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC
    

    您无法为加密的 VLAN 连接设置自定义 MTU (--mtu)。所有加密的 VLAN 连接都必须使用 1440 字节的 MTU,这是默认值。

    此外,您无法为通过 Cloud Interconnect 实现的高可用性 VPN 创建双栈 VLAN 连接。加密的 VLAN 连接仅支持 IPV4_ONLY(单栈)栈类型。

  4. 创建第二个加密的 VLAN 连接,并指定第二个 Cloud Interconnect 连接以及适用于 Cloud Interconnect 的 Cloud Router 路由器的名称。

    以下示例会为连接到区域 us-central1 中的加密 Cloud Router 路由器 interconnect-router 的专用互连连接 my-interconnect-ead-2 创建加密的连接。该命令还指定了区域级内部 IPv4 地址范围 ip-range-2,用于在此连接上创建的所有高可用性 VPN 网关接口。

    gcloud compute interconnects attachments dedicated create my-attachment-2 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-2 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-2
    

    创建第二个 VLAN 连接时,您指定的 IPv4 地址方案必须与在创建第一个连接时使用的类型相同,即内部或外部。如果您为第一个连接指定了内部地址范围,请指定其他预留的内部 IPv4 地址范围。

  5. 如以下示例所示描述连接,以检索其分配的资源(比如 VLAN ID 和 BGP 对等互连 IPv4 地址)。使用这些值配置 Cloud Router 和本地路由器。

    对于第一个 VLAN 连接,请运行以下命令:

    gcloud compute interconnects attachments describe my-attachment-1 \
      --region us-central1
    

    输出:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.61.89/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.61.90/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-1
    kind: compute#interconnectAttachment
    name: my-attachment-1
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-1
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    对于第二个 VLAN 连接,请运行以下命令:

    gcloud compute interconnects attachments describe my-attachment-2 \
       --region us-central1
    

    输出:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.116.185/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.116.186/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397269'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-2
    kind: compute#interconnectAttachment
    name: my-attachment-2
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-2
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • VLAN 标记 (1000) 可识别将经过此连接的流量。您需要使用此值配置本地路由器上已标记的 VLAN 子接口。
    • Cloud Router IPv4 地址(169.254.61.89/29169.254.116.185/29)是链路本地 IPv4 地址。当您为这些连接创建 Cloud Router 接口时,该接口会使用这些 IPv4 地址。您可以将相同的地址用于本地路由器上的 BGP 邻近方。
    • 客户路由器 IPv4 地址(169.254.61.90/29169.254.116.186/29)也是链路本地 IPv4 地址。在 Cloud Router 路由器上,使用该地址通过为其分配 Cloud Router 路由器地址的接口配置两个 BGP 对等方。请将这些地址分配给本地路由器上的 VLAN 子接口。
  6. 在 Cloud Router 路由器上,添加两个接口。

    每个接口连接到一个 VLAN 连接。接口 IP 地址会使用连接的 cloudRouterIpAddress 自动进行配置。

    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-1 \
        --interconnect-attachment my-attachment-1
    
    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-2 \
        --interconnect-attachment my-attachment-2
    
  7. 为接口添加 BGP 对等方。

    对于对等 ASN 值,使用您在本地路由器上配置的编号。对等方 IPv4 地址会使用连接的 customerRouterIpAddress 自动进行配置。

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201
    

    如需指定基准优先级值,请使用 --advertised-route-priority 标志。对于为该会话通告的所有路由,Cloud Router 使用该值来计算路由指标。如需了解详情,请参阅 Cloud Router 文档中的通告前缀和优先级

    如果要配置自定义已知路由,请使用 --set-custom-learned-route-ranges 标志。您还可以选择使用 --custom-learned-route-priority 标志为路由设置介于 065535(含)之间的优先级值。每个 BGP 会话可以有一个优先级值,该值会应用于您为该会话配置的所有自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅自定义已知路由

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201 \
       --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
       --custom-learned-route-priority 200
    

    如果要使用 MD5 身份验证,请添加 md5-authentication-key 标志。如需详细了解此功能,请参阅使用 MD5 身份验证

    请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。

  8. 为 VLAN 连接配置高可用性 VPN,以完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程。

    请参阅配置通过 Cloud Interconnect 实现的高可用性 VPN

限制专用互连用量

默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解详情,请参阅限制 Cloud Interconnect 用量

后续步骤