Cloud Router erstellen, um ein VPC-Netzwerk mit einem Peer-Netzwerk zu verbinden

Erfahren Sie, wie Sie Cloud Router so einrichten, dass Routen zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem Peer-Netzwerk dynamisch ausgetauscht werden. Das Peer-Netzwerk kann ein lokales Netzwerk, ein Netzwerk, das von einem anderen Cloud-Anbieter wie AWS oder Azure gehostet wird, oder sogar ein anderes VPC-Netzwerk in Google Cloud sein.

Führen Sie die folgenden übergeordneten Aufgaben aus, um ein VPC-Netzwerk über Cloud Router mit einem Peer-Netzwerk zu verbinden:

  1. Cloud Router-Instanz erstellen
  2. Richten Sie ein Netzwerkverbindungsprodukt in Google Cloud ein.
  3. Richten Sie BGP-Sitzungen (Border Gateway Protocol) mit einem Router im Peer-Netzwerk ein.

Wenn Sie einen Cloud Router erstellen, können Sie den Standard- oder den benutzerdefinierten Advertising-Modus verwenden. Standardmäßig bewirbt Cloud Router Subnetze in der eigenen Region für regionales dynamisches Routing oder alle Subnetze in einem VPC-Netzwerk für globales dynamisches Routing. Mit dem benutzerdefinierten Advertising-Modus wählen Sie aus, welche Routen von Cloud Router beworben werden, z. B. externe statische IP-Adressen oder bestimmte CIDR-Bereiche.

Weitere Informationen finden Sie unter Routen-Advertising-Modi in der Cloud Router-Übersicht.

Hinweise

gcloud

Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, gehen Sie so vor:

  1. Installieren Sie das Google Cloud CLI oder aktualisieren Sie es auf die neueste Version.
  2. Legen Sie eine Standardregion und -zone fest.

API

Wenn Sie die API-Beispiele dieser Anleitung verwenden möchten, richten Sie den API-Zugang ein.

Autonome Systemnummer (ASN)

Wenn Sie einen Cloud Router erstellen, wählen Sie die Google-seitige ASN für alle vom Cloud Router verwendeten BGP-Sitzungen aus. Eine Anleitung für jedes Produkt und die Verwendung der ASN finden Sie unter Google Cloud-Produkte, die Cloud Router verwenden.

Cloud Router erstellen

Führen Sie die folgenden Schritte aus, um einen Cloud Router zu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Router erstellen auf.

    Zur Seite „Cloud Router erstellen“

  2. Geben Sie die Details des Cloud Routers an:

    • Name: Der Name des Cloud Routers. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud-CLI verwendet, um auf den Cloud Router zu verweisen, z B. my-router.
    • Beschreibung (optional): Eine Beschreibung des Cloud Routers.
    • Netzwerk: Das VPC-Netzwerk, das die zu erreichenden Instanzen enthält, z. B. my-network.
    • Region: Die Region, in der sich der Cloud Router befinden soll, z. B. asia-east1.
    • Google-ASN: Beliebige private ASN (6451265534, 42000000004294967294) die Sie nicht bereits im lokalen Netzwerk verwenden. Für Cloud Router müssen Sie eine private ASN verwenden. Ihre lokale ASN kann jedoch öffentlich oder privat sein.

    • BGP-Peer-Keepalive-Intervall: Das Intervall zwischen zwei aufeinanderfolgenden BGP-Keepalive-Nachrichten, die an den Peer-Router gesendet werden. Dieser Wert muss eine Ganzzahl zwischen 20 und 60 sein und die Anzahl der Sekunden für das Intervall angeben. Der Standardwert beträgt 20 Sekunden. Weitere Informationen finden Sie unter BGP-Timer verwalten.
    • BGP-Kennung: Optional. Die BGP-Kennung, manchmal auch als Router-ID bezeichnet, die einen Cloud Router in einem Netzwerk eindeutig identifiziert. Wenn keine Angabe gemacht wird, verwenden Cloud Router mit IPv4-BGP-Sitzungen eine der IPv4-BGP-Adressen als BGP-Kennung. Durch Hinzufügen der ersten IPv6-Schnittstelle zu diesem Cloud Router wird das Feld automatisch ausgefüllt.

      Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

  3. Optional: Rufen Sie den Abschnitt Beworbene Routen auf, um benutzerdefinierte beworbene Routen anzugeben. Weitere Informationen finden Sie unter Beworbene Routen.
    1. Wählen Sie Benutzerdefinierte Routen erstellen aus, um benutzerdefinierte Routen anzugeben.
    2. Wählen Sie aus, ob Sie die für den Cloud Router sichtbaren Subnetze bewerben möchten. Wenn Sie diese Option aktivieren, entspricht dies dem Standardverhalten des Cloud Routers.
    3. Wählen Sie zum Hinzufügen einer beworbenen Route Benutzerdefinierte Route hinzufügen aus und konfigurieren Sie sie anschließend.
  4. Klicken Sie auf Erstellen, um die Einstellungen zu speichern und einen Cloud Router zu erstellen. Der neue Cloud Router wird auf der Seite mit der Liste der Cloud Router angezeigt. Zum Aufrufen der Details und zum Konfigurieren einer BGP-Sitzung wählen Sie die Sitzung aus.

gcloud

  • Führen Sie den Befehl create aus, um einen Cloud Router in der Region mit den Instanzen zu erstellen, die Sie erreichen möchten:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION
    

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Der Name des Cloud Router

    • PROJECT_ID: Die Projekt-ID des Projekts, das den Cloud Router enthält

    • NETWORK: Das VPC-Netzwerk mit den Instanzen, die Sie erreichen möchten

    • ASN_NUMBER: Jede private ASN (6451265534, 42000000004294967294), die Sie noch nicht im lokalen Netzwerk verwenden. Cloud Router erfordert die Verwendung einer privaten ASN. Ihre lokale ASN kann jedoch öffentlich oder privat sein.

    • REGION: Region, in der Sie den Cloud Router suchen möchten. Der Cloud Router bewirbt alle Subnetze in der Region, in der er sich befindet.

  • Wenn Sie einen Cloud Router im Modus für benutzerdefiniertes Advertising erstellen möchten, legen Sie für --advertisement-mode den Wert custom fest und geben Sie mit den Flags --set-advertisement-ranges und --set-advertisement-groups benutzerdefinierte beworbene Routen an.

    Das Flag --set-advertisement-ranges akzeptiert eine Liste von CIDR-Bereichen. Das Flag --set-advertisement-groups akzeptiert von Google definierte Gruppen, die der Cloud Router dynamisch bewirbt. Momentan ist all_subnets der einzige gültige Wert, der Subnetze basierend auf dem dynamischen Routingmodus des VPC-Netzwerk bewirbt (ähnlich dem Standard-Advertising).

    Wenn Sie ein IP-Adressenpräfix ohne Subnetzmaske angeben, wird diese als /32-Subnetzmaske für IPv4 und als /128-Subnetzmaske für IPv6 interpretiert. Informationen zur maximalen Anzahl benutzerdefinierter erkannter Routen, die Sie haben können, finden Sie unter Limits.

    Im folgenden Beispiel werden Subnetze und die benutzerdefinierten IP-Bereiche 192.0.2.0/24 und 198.51.100.0/24 beworben:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION \
        --advertisement-mode custom \
        --set-advertisement-groups=all_subnets \
        --set-advertisement-ranges='192.0.2.0/24,198.51.100.0/24'
    
  • Verwenden Sie die Option --keepalive-interval, mit der das Intervall zwischen BGP-Keepalive-Nachrichten festgelegt wird, die an den Peer-Router gesendet werden. Dieser Wert muss eine Ganzzahl zwischen 20 und 60 sein, die die Anzahl der Sekunden für das Intervall angibt. Der Standardwert beträgt 20 Sekunden. Weitere Informationen finden Sie unter Keepalive-Timer.

  • Wenn Sie einem Cloud Router einen BGP-Kennungsbereich zuweisen möchten, verwenden Sie die Option --bgp-identifier-range und geben Sie einen Link-Local-IPv4-Bereich von 169.254.0.0/16 mit einer Größe von mindestens /30 an. Beispiel: 169.254.16.16/30. Mit einer BGP-Kennung wird ein Cloud Router eindeutig identifiziert. Ein Cloud Router benötigt eine explizite 32‑Bit-BGP-Kennung, um IPv6-BGP-Sitzungen zu hosten (Vorabversion).

    Das Flag „BGP-Kennungsbereich“ ist jedoch nicht erforderlich, da Google Cloud einem Cloud Router automatisch einen nicht verwendeten Kennungsbereich zuweist, wenn Sie zum ersten Mal eine Schnittstelle für eine IPv6-BGP-Sitzung konfigurieren.

    Sie müssen diese Option nur konfigurieren, wenn Sie einen bestimmten IP-Bereich für Ihre BGP-IDs verwenden möchten. Sie können den BGP-Kennungsbereich für einen Cloud Router auch später ändern. Weitere Informationen finden Sie unter BGP-Kennungsbereich konfigurieren.

  • Geben Sie die Option --encrypted-interconnect-router an, um einen Router für eine HA VPN über Cloud Interconnect-Bereitstellung zu erstellen.

    Der Cloud Router, den Sie für verschlüsseltes Cloud Interconnect verwenden, ist ein spezieller Cloud Router-Typ. Diese Router können nur mit den VLAN-Anhängen verwendet werden, die Sie mit HA VPN über Cloud Interconnect bereitstellen.

Terraform

Verwenden Sie das Google Cloud Terraform-Modul für Cloud Router.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 6.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

  • Verwenden Sie die Methode routers.insert:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "keepaliveInterval": KEEPALIVE_INTERVAL,
             "identifierRange": BGP_IDENTIFIER_RANGE
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, das das VPC-Netzwerk enthält

    • REGION: Die Region, in der sich der Cloud Router befinden soll

    • ASN_NUMBER: Die private ASN (6451265534, 42000000004294967294) für den Cloud Router, den Sie konfigurieren. Das kann eine beliebige private ASN sein, die Sie nicht bereits als Peer-ASN in derselben Region und demselben Netzwerk verwenden. Beispiel: 65001. Cloud Router erfordert die Verwendung einer privaten ASN. Ihre lokale ASN kann jedoch öffentlich oder privat sein.

    • KEEPALIVE_INTERVAL: Das Intervall zwischen zwei aufeinanderfolgenden BGP-Keepalive-Nachrichten, die an den Peer-Router gesendet werden. Dieser Platzhalter ist optional. Der Wert muss eine Ganzzahl zwischen 20 und 60 sein, die die Anzahl der Sekunden für das Intervall angibt. Der Standardwert beträgt 20 Sekunden. Weitere Informationen finden Sie unter Keepalive-Timer für Cloud Router.

    • BGP_IDENTIFIER_RANGE: einen Link-Local-IPv4-Bereich von 169.254.0.0/16 mit einer Größe von mindestens /30. Dieser Platzhalter ist optional. Wenn kein Wert angegeben wird, wird dem Cloud Router stattdessen automatisch eine BGP-Kennung zugewiesen. Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

    • ROUTER_NAME: Der Name des Cloud Routers. Dieser Name wird in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf den Cloud Router zu verweisen.

    • NETWORK: Das Netzwerk mit den Instanzen, die Sie erreichen möchten.

  • Wenn Sie einen Cloud Router mit benutzerdefinierten beworbenen Routen erstellen möchten, legen Sie für das Feld bgp.advertiseMode den Wert CUSTOM fest und geben Sie mit den Feldern bgp.advertisedGroups[] und bgp.advertisedIpRanges[] die beworbenen Routen an.

    Im Feld bgp.advertisedIpRanges[] wird ein Array von CIDR-Bereichen akzeptiert. Das Feld bgp.advertisedGroups[] akzeptiert von Google definierte Gruppen, die der Cloud Router dynamisch bewirbt. Der einzige gültige Wert ist ALL_SUBNETS, der Subnetze basierend auf dem dynamischen Routingmodus des VPC-Netzwerk bewirbt (ähnlich dem Standard-Advertising-Modus).

    Im folgenden Beispiel werden Subnetze und die benutzerdefinierten IP-Adressbereiche 1.2.3.4 und 6.7.0.0/16 beworben:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "advertiseMode": "CUSTOM",
             "advertisedGroups": [
               "ALL_SUBNETS"
             ],
             "advertisedIpRanges": [
               {
                 "range": "1.2.3.4",
                 "description": "First example range"
               },
               {
                 "range": "6.7.0.0/16",
                 "description": "Second example range"
               }
             ]
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

Produkt für die Netzwerkverbindung einrichten

Wenn Sie Routen zwischen einem VPC-Netzwerk und einem Peer-Netzwerk austauschen möchten, müssen Sie zusätzlich zu Cloud Router mindestens eines der folgenden Produkte zur Google Cloud-Netzwerkverbindung einrichten:

Cloud Interconnect

Sie müssen zuerst eine Cloud Interconnect-Verbindung bereitstellen, um ein VPC-Netzwerk über Cloud Interconnect und Cloud Router mit einem lokalen Netzwerk zu verbinden.

Sie konfigurieren Cloud Router und seine BGP-Sitzungen, wenn Sie die VLAN-Anhänge für Ihre Cloud Interconnect-Verbindung erstellen. Weitere Informationen finden Sie unter VLAN-Anhänge (Dedicated Interconnect) erstellen und VLAN-Anhänge (Partner Interconnect) erstellen.

Wenn Sie HA VPN über Cloud Interconnect bereitstellen, müssen Sie zwei Cloud Router bereitstellen:

  • Einen speziellen Cloud Router für Cloud Interconnect, den Sie für die VLAN-Anhänge konfigurieren. Dieser Cloud Router sorgt dafür, dass nur von den HA VPN-Gateways verschlüsselter Traffic an den VLAN-Anhang gesendet werden kann.

  • Einen regulären Cloud Router, den Sie für HA VPN-Tunnel konfigurieren.

Cloud VPN

Informationen zum Verbinden eines VPC-Netzwerk mit einem lokalen oder Multi-Cloud-Netzwerk mithilfe von HA VPN und Cloud Router finden Sie unter Gateway zwischen HA VPN und Peer-VPN erstellen.

Informationen zum Verbinden eines VPC-Netzwerks mit einem anderen VPC-Netzwerk mithilfe von HA VPN und Cloud Router finden Sie unter HA VPN zwischen Google Cloud-Netzwerken erstellen .

Sie konfigurieren Cloud Router und seine BGP-Sitzungen, wenn Sie die HA VPN-Tunnel zum Peer-Netzwerk erstellen.

Network Connectivity Center

Informationen zum Verbinden eines VPC-Netzwerk mit einem Peer-Netzwerk mithilfe von Router-Appliance finden Sie unter Router-Appliance-Instanzen erstellen.

BGP-Sitzungen erstellen

Wenn Sie ein Produkt für die Netzwerkverbindung mit Cloud Router einrichten, richten Sie BGP-Sitzungen (Border Gateway Protocol) zwischen dem Cloud Router und dem Router im Peer-Netzwerk ein.

Sie können denselben Cloud Router mit verschiedenen Netzwerkverbindungsprodukten wiederverwenden. Jede BGP-Sitzung ist jedoch für das Netzwerkverbindungsprodukt (VLAN-Anhang, Cloud VPN-Tunnel oder Router-Appliance-Instanz) eindeutig, das Sie für die Verwendung mit Cloud Router konfigurieren. Verschiedene Produkte zur Netzwerkverbindung können nicht dieselbe BGP-Sitzung verwenden. Manchmal müssen Sie für ein Netzwerkverbindungsprodukt mehrere BGP-Sitzungen einrichten, um eine ausreichende Redundanz zu erreichen. Sie richten beispielsweise mehrere BGP-Sitzungen ein, wenn Sie Cloud Router mit HA VPN verwenden.

Informationen zum Einrichten von BGP-Sitzungen zwischen dem Cloud Router und dem Router im Peer-Netzwerk finden Sie unter BGP-Sitzungen erstellen.

Nächste Schritte