Conectar una VPN de alta disponibilidad a máquinas virtuales de Compute Engine

En esta página se describe cómo conectar una pasarela de VPN de alta disponibilidad a instancias de máquina virtual de Compute Engine con direcciones IP externas alojadas en Google Cloud.

En estas instrucciones se crean los siguientes recursos de VPN de alta disponibilidad:

• Una pasarela de VPN de alta disponibilidad
• Una pasarela de VPN de par
• Un par de túneles VPN desde la pasarela de VPN de par a cada instancia de VM para ayudar a garantizar la alta disponibilidad

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

• Para ver diagramas de esta topología, consulta VPN de alta disponibilidad a instancias de máquina virtual de Compute Engine en varias zonas y VPN de alta disponibilidad a una instancia de máquina virtual de Compute Engine.

• Para consultar las prácticas recomendadas que debes tener en cuenta antes de configurar Cloud VPN, consulta Prácticas recomendadas.

• Para obtener más información sobre Cloud VPN, consulta la información general sobre Cloud VPN.

• Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Antes de empezar

• Consulta información sobre cómo funciona el enrutamiento dinámico en Google Cloud.

• Asegúrate de que tu pasarela de VPN de emparejamiento sea compatible con el protocolo de pasarela fronteriza (BGP).

• Asegúrate de tener una o dos máquinas virtuales de Compute Engine con direcciones IP externas.

Configura los siguientes elementos en Google Cloud para que sea más fácil configurar Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

5. Si usas la CLI de Google Cloud, define el ID de tu proyecto con el siguiente comando. En las instrucciones de gcloud de esta página se da por hecho que ha definido el ID de su proyecto antes de ejecutar los comandos.

   gcloud config set project PROJECT_ID
   

6. También puede ver un ID de proyecto que ya se haya definido ejecutando el siguiente comando:

   gcloud config list --format='text(core.project)'
   

Crear una red VPC y una subred personalizadas

Antes de crear un par de pasarela y túnel de VPN de alta disponibilidad, crea una red de nube privada virtual (VPC) y al menos una subred en la región en la que se encuentra la pasarela de VPN de alta disponibilidad:

• Para crear una red de VPC en modo personalizado (opción recomendada), consulta el artículo Crear una red de VPC en modo personalizado.
• Para crear subredes, consulta el artículo Trabajar con subredes.

Para habilitar IPv6 en las pasarelas de VPN de alta disponibilidad, debes habilitar la asignación de direcciones internas IPv6 al crear la VPC. Además, debe configurar las subredes para que usen direcciones internas IPv6.

También debes configurar IPv6 en las VMs de la subred.

• Para crear una red de VPC en modo personalizado con direcciones IPv6 internas, consulta Crear una red de VPC en modo personalizado con al menos una subred de doble pila.
• Para crear una subred con IPv6 habilitado, consulta Añadir una subred de doble pila.
• Para habilitar IPv6 en una subred, consulta Convertir una subred IPv4 en una subred de doble pila.
• Para crear máquinas virtuales con IPv6 habilitado, consulta Configurar IPv6 para instancias y plantillas de instancia.

La subred de VPC debe configurarse para usar direcciones IPv6 internas. Cuando usas la CLI de gcloud, configuras la subred con la marca --ipv6-access-type=INTERNAL. Cloud Router no anuncia dinámicamente las rutas de las subredes configuradas para usar direcciones IPv6 externas (--ipv6-access-type=EXTERNAL).

Para obtener información sobre cómo usar intervalos IPv6 internos en tu red y subredes de VPC, consulta las especificaciones de IPv6 interno.

En los ejemplos de este documento también se usa el modo de enrutamiento dinámico global de VPC, que funciona de la siguiente manera:

• Todas las instancias de Cloud Router aplican las rutas to on-premises que aprenden a todas las subredes de la red de VPC.
• Las rutas a todas las subredes de la red de VPC se comparten con los routers on-premise.

Crear una pasarela de VPN de alta disponibilidad y túneles a instancias de VM de Compute Engine

Sigue las instrucciones de esta sección para crear una pasarela de VPN de alta disponibilidad, un recurso de pasarela de VPN de par, túneles y sesiones BGP.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Roles

• roles/compute.networkAdmin

Consola

Para crear una conexión VPN por primera vez, usa el asistente de configuración de VPN. El asistente de configuración de VPN incluye todos los pasos de configuración necesarios para crear una pasarela de VPN de alta disponibilidad, un recurso de pasarela de VPN de par, túneles y sesiones de BGP.

Crear una pasarela de Cloud VPN de alta disponibilidad

1. En la Google Cloud consola, ve a la página VPN.

   Ir a VPN

   1. Si es la primera vez que creas una pasarela, haz clic en Crear conexión VPN.
   2. Si ya tienes recursos de Cloud VPN, haz clic en Asistente de configuración de VPN.

2. Selecciona VPN de alta disponibilidad.

3. Haz clic en Continuar.

4. Especifica un nombre de pasarela VPN.

5. En la lista Red, selecciona una red o la red predeterminada.

6. En la lista Región, selecciona la misma región en la que se encuentran tus VMs de Compute Engine.

7. Selecciona un tipo de pila para la puerta de enlace de VPN: IPv4 (pila única) o IPv4 e IPv6 (pila dual).

8. Haz clic en Crear y continuar.

La página de la consola muestra la información de la pasarela. Se asignan automáticamente dos direcciones IP externas a cada una de las interfaces de la pasarela. Para los pasos de configuración futuros, anota los detalles de la configuración de tu pasarela.

Añadir túneles VPN

1. En la lista Pasarela VPN de otro proveedor, selecciona Máquinas virtuales de Compute Engine con direcciones IP externas.

2. En la lista Nombre de la pasarela de VPN de par, elija una pasarela de par o haga clic en Crear una pasarela de VPN de par.

   Si eliges una pasarela de peer ya creada, la consola Google Cloud seleccionará el número de túneles que se van a configurar en función del número de interfaces de peer que hayas configurado en la pasarela de peer.

   Para crear una pasarela entre iguales, sigue estos pasos:

   1. Especifica un nombre para la pasarela de VPN de par.
   2. En la sección Interfaces de pasarela VPN de par, seleccione una o dos interfaces. Puedes conectar un par de túneles a cada instancia de VM de Compute Engine. Para ver ejemplos de esta topología, consulta Topologías de VPN de alta disponibilidad.
   3. En el campo de cada interfaz de VPN de peer, especifica la dirección IP externa que se usa en esa interfaz.

   En la lista Cloud Router, selecciona o crea un Cloud Router especificando las siguientes opciones.

   1. Para crear un router de Cloud, especifica lo siguiente:
   2. Un nombre
   3. Una Descripción opcional
   4. Un ASN de Google para el nuevo router

   Puedes usar cualquier ASN privado (de 64512 a 65534 y de 4200000000 a 4294967294) que no estés usando en otra parte de tu red. El ASN de Google se usa en todas las sesiones BGP del mismo router de Cloud y no se puede cambiar más adelante.

   1. Para crear el router, haz clic en Crear.

   En la sección Túneles VPN, amplíe cada elemento para rellenar los detalles de los túneles VPN creados.

   1. En la sección Interfaz de pasarela de VPN de emparejamiento asociada, selecciona la combinación de interfaz de pasarela de VPN de emparejamiento y dirección IP que quieras asociar a este túnel y a la interfaz de VPN de alta disponibilidad. Esta interfaz debe coincidir con la interfaz de tu router peer real.
   2. Especifica un Nombre para el túnel.
   3. Especifique una Descripción (opcional).
   4. Especifica la versión de IKE. Te recomendamos IKEv2, que es el ajuste predeterminado, si tu router peer lo admite. Para permitir el tráfico IPv6, debe seleccionar IKEv2.
   5. Especifica una clave precompartida de IKE con tu clave precompartida (secreto compartido), que debe corresponderse con la clave precompartida del túnel de partner que crees en tu gateway peer. Si no has configurado una clave precompartida en tu pasarela de VPN de par y quieres generar una, haz clic en Generar y copiar. Asegúrate de registrar la clave compartida previamente en una ubicación segura, ya que no se puede recuperar después de crear los túneles VPN.
   6. Haz clic en Listo.
   7. En la página Crear una VPN, repite los pasos para crear túneles en los cuadros de diálogo de túneles restantes.

3. Cuando haya configurado todos los túneles, haga clic en Crear y continuar.

Configurar sesiones de BGP

1. Haz clic en Configurar sesión de BGP para configurar la sesión de BGP en Cloud Router. Para obtener información sobre cómo crear sesiones de BGP, consulta Crear sesiones de BGP.
2. Haz clic en Guardar configuración de BGP.

La página de la consola se actualiza y muestra la información sobre la pasarela de VPN de alta disponibilidad, la pasarela de VPN de par y el túnel de Cloud VPN.

gcloud

Crear una pasarela de VPN de alta disponibilidad

Para crear una pasarela de VPN de alta disponibilidad, ejecuta el siguiente comando. Cuando se crea la pasarela, se asignan automáticamente dos direcciones IPv4 externas, una para cada interfaz de la pasarela.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Haz los cambios siguientes:

• GW_NAME: el nombre de la pasarela
• NETWORK: el nombre de tu Google Cloud red
• REGION: la Google Cloud región en la que se crean la pasarela y el túnel
• IP_STACK: opcional, la pila de IP que se debe usar. Especifica IPV4_ONLY o IPV4_IPV6. Si no especifica esta marca, el tipo de pila predeterminado es IPV4_ONLY.

La pasarela que crees será similar al siguiente ejemplo de salida. Se asigna automáticamente una dirección IPv4 externa a cada interfaz de pasarela:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Crear un recurso de pasarela de VPN de par

En función de las necesidades de alta disponibilidad, puede crear uno o dos recursos de pasarela de VPN de par.

Para crear la primera pasarela de VPN de par, ejecuta el siguiente comando:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Para crear la segunda pasarela VPN de par, ejecuta el siguiente comando:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Haz los cambios siguientes:

• PEER_GW_NAME1: nombre que representa la primera pasarela de VPN de par
• PEER_GW_NAME2: nombre que representa la segunda pasarela de VPN de par
• PEER_GW_IP_1: la dirección IP externa de la primera máquina virtual de Compute Engine
• PEER_GW_IP_0: la dirección IP externa de la segunda máquina virtual de Compute Engine

El recurso de pasarela de VPN de la otra organización que has creado tiene un aspecto similar al del ejemplo siguiente. PEER_GW_IP_0 y PEER_GW_IP_1 muestran las direcciones IP externas de las máquinas virtuales de Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Crear un Cloud Router

Para crear un Cloud Router, ejecuta el siguiente comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Haz los cambios siguientes:

• ROUTER_NAME: el nombre de Cloud Router en la misma región que la pasarela VPN de Cloud
• REGION: la Google Cloud región en la que se crean la pasarela y el túnel
• NETWORK: el nombre de tu Google Cloud red
• GOOGLE_ASN: cualquier ASN privado (64512 a 65534, 4200000000 a 4294967294) que no estés usando ya en la red de peer. El ASN de Google se usa en todas las sesiones BGP del mismo Cloud Router y no se puede cambiar más adelante.

El resultado debería ser similar al siguiente:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Añadir túneles VPN

Crea cuatro túneles VPN, dos para cada interfaz de la pasarela de VPN de alta disponibilidad. Cuando crees túneles VPN, especifica el extremo de los túneles VPN como la pasarela VPN externa que has creado anteriormente.

Un túnel VPN debe conectarse a interface 0 de la pasarela VPN externa y el otro túnel VPN debe conectarse a interface 1 de la pasarela VPN externa.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Haz los cambios siguientes:

• TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2 y TUNNEL_NAME_IF3: un nombre para el túnel. Si incluye el nombre de la interfaz de la pasarela, podrá identificar los túneles más adelante.
• PEER_GW_NAME: el nombre de la pasarela de par externa que has creado anteriormente
• PEER_EXT_GW_IF0 y PEER_EXT_GW_IF1: el número de interfaz configurado anteriormente en la pasarela externa
• IKE_VERS: 1 para IKEv1 o 2 para IKEv2. Si es posible, usa IKEv2 para la versión de IKE. Si tu pasarela de emparejamiento requiere IKEv1, sustituye --ike-version 2 por --ike-version 1. Para permitir el tráfico IPv6, debe especificar IKEv2.
• SHARED_SECRET: tu clave para compartir previamente (secreto compartido), que debe corresponderse con la clave para compartir previamente del túnel del partner que crees en tu gateway peer. Para ver recomendaciones, consulta Generar una clave para compartir previamente que sea segura.
• GW_NAME: nombre de la pasarela VPN de alta disponibilidad
• INT_NUM_0: el número 0 de la primera interfaz de la pasarela de VPN de alta disponibilidad que has creado anteriormente
• INT_NUM_1: el número 1 de la segunda interfaz de la pasarela de VPN de alta disponibilidad que has creado anteriormente

• Opcional: --vpn-gateway-region es la región de la pasarela de VPN de alta disponibilidad en la que se va a operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se define automáticamente. Esta opción anula el valor predeterminado de la propiedad de cálculo o de región para esta invocación de comando.

  La salida del comando es similar al siguiente ejemplo:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1
  

Configurar sesiones de BGP

Para obtener información sobre cómo crear sesiones de BGP, consulta Crear sesiones de BGP.

API

Crear una pasarela de Cloud VPN de alta disponibilidad

Para crear una pasarela de VPN de alta disponibilidad, haz una solicitud POST con el método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

El campo stackType es opcional. Los únicos valores válidos son IPV4_IPV6 y IPV4_ONLY. Si no especifica ningún stackType, el valor predeterminado es IPV4_ONLY.

Crear un recurso de pasarela de VPN de par

Para crear un recurso de pasarela de VPN externa, haz una solicitud POST mediante el método externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }
 

Para crear una pasarela VPN de otro proveedor con dos interfaces o dos pasarelas VPN externas con una interfaz cada una, usa el ajuste TWO_IPS_REDUNDANCY. Para crear una pasarela de VPN de emparejamiento con cuatro interfaces, especifica cuatro instancias del ID de interfaz y ipAddress, y usa un redundancyType de FOUR_IPS_REDUNDANCY.

Crear un Cloud Router

Para crear un router de Cloud Router, haz una solicitud POST con el método routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Añadir túneles VPN

Para crear cuatro túneles VPN (dos para cada interfaz de la pasarela de VPN de alta disponibilidad), haz una solicitud POST con el método vpnTunnels.insert. Para obtener un acuerdo de nivel de servicio con un tiempo de actividad del 99,9 %, debes crear un túnel en cada interfaz de tu pasarela VPN de alta disponibilidad.

1. Para crear el primer túnel, ejecuta el siguiente comando:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Si tienes previsto habilitar IPv6 en la sesión de BGP asociada a este túnel, debes especificar 2 en ikeVersion.

2. Para crear los demás túneles, repite este comando, pero cambia los siguientes parámetros:

   • name
   • peerExternalGatewayInterface
   • sharedSecret o sharedSecretHash(si es necesario)
   • vpnGatewayInterface: cambia al valor de la otra interfaz de pasarela VPN de alta disponibilidad. En este ejemplo, cambia este valor a 1.

Configurar sesiones de BGP

Para obtener información sobre cómo crear sesiones de BGP, consulta Crear sesiones de BGP.

API

Para crear la configuración completa de una pasarela de VPN de alta disponibilidad, usa los comandos de la API que se indican en las siguientes secciones. Todos los valores de campo utilizados en estas secciones son valores de ejemplo.

Para crear una pasarela de VPN de alta disponibilidad, haz una solicitud POST con el método vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

El campo stackType es opcional. Los únicos valores válidos son IPV4_IPV6 y IPV4_ONLY. Si no especifica ningún stackType, el valor predeterminado es IPV4_ONLY.

Verificar la configuración

Consola

Para verificar la configuración, vaya a la página Resumen y recordatorio:

1. En la sección Resumen de esta página se muestra información sobre la pasarela de VPN de alta disponibilidad y el perfil de pasarela de VPN de par. En cada túnel VPN, puede ver el estado del túnel VPN, el nombre de la sesión BGP, el estado de la sesión BGP y el valor de MED (prioridad de la ruta anunciada).
2. En la sección Recordatorio de esta página se indican los pasos que debes seguir para que la conexión VPN entre Cloud VPN y tu VPN de terceros funcione correctamente.
3. Después de revisar la información de esta página, haz clic en Aceptar.

gcloud

Para verificar la configuración de Cloud Router, sigue estos pasos:

• Lista las direcciones IP de BGP elegidas por Cloud Router. Si has añadido una interfaz a un Cloud Router, las direcciones IP de BGP de la nueva interfaz se mostrarán con el número de índice más alto. Usa la dirección IP de BGP peerIpAddress para configurar tu pasarela de VPN de par:

  gcloud compute routers get-status ROUTER_NAME \
     --region=REGION \
     --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  El resultado esperado de un Cloud Router que gestiona dos túneles de Cloud VPN (índices 0 y 1) es similar al siguiente ejemplo, en el que se cumplen estas condiciones:

  • GOOGLE_BGP_IP_0 representa la dirección IP BGP de la interfaz del Cloud Router para el túnel de la pasarela Cloud VPN interface 0; PEER_BGP_IP_0 representa la dirección IP BGP de su par.
  • GOOGLE_BGP_IP_1 representa la dirección IP de BGP de la interfaz del Cloud Router para el túnel de la pasarela de Cloud VPN interface 1; PEER_BGP_IP_1 representa la dirección IP de BGP de su par.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• También puedes usar el siguiente comando para obtener una lista completa de la configuración de Cloud Router:

  gcloud compute routers describe ROUTER_NAME \
     --region=REGION
  

  El listado completo es similar al siguiente ejemplo:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Para verificar la configuración de Cloud Router, haz una solicitud GET con el método routers.getRouterStatus y usa un cuerpo de solicitud vacío:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Siguientes pasos

• Para controlar qué direcciones IP se permiten en las pasarelas VPN de otro punto, consulta Restringir direcciones IP para pasarelas VPN de otro punto.