Menghubungkan VPN dengan Ketersediaan Tinggi (HA) ke VM Compute Engine

Halaman ini menjelaskan cara menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance virtual machine (VM) Compute Engine dengan alamat IP eksternal yang dihosting di Google Cloud.

Petunjuk ini membuat resource HA VPN berikut:

• Gateway VPN dengan ketersediaan tinggi (HA)
• Gateway VPN peer
• Sepasang tunnel VPN dari gateway VPN peer ke setiap instance VM untuk membantu memastikan ketersediaan tinggi

Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat resource berikut:

• Untuk diagram topologi ini, lihat VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine di beberapa zona dan VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine.

• Untuk mengetahui praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.

• Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.

• Untuk definisi istilah yang digunakan di halaman ini, lihat Istilah penting.

Sebelum memulai

• Tinjau informasi tentang cara kerja pembuatan rute dinamis di Google Cloud.

• Pastikan gateway VPN peer Anda mendukung Border Gateway Protocol (BGP).

• Pastikan Anda memiliki satu atau dua VM Compute Engine dengan alamat IP eksternal.

Siapkan item berikut di Google Cloud untuk mempermudah konfigurasi Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

5. Jika Anda menggunakan Google Cloud CLI, tetapkan project ID Anda dengan perintah berikut. Petunjuk gcloud di halaman ini mengasumsikan bahwa Anda telah menetapkan project ID sebelum menjalankan perintah.

   gcloud config set project PROJECT_ID
   

6. Anda juga dapat melihat project ID yang telah ditetapkan dengan menjalankan perintah berikut:

   gcloud config list --format='text(core.project)'
   

Membuat subnet dan jaringan VPC khusus

Sebelum membuat pasangan gateway dan tunnel VPN dengan ketersediaan tinggi (HA), buat jaringan Virtual Private Cloud (VPC) dan minimal satu subnet di region tempat gateway VPN dengan ketersediaan tinggi (HA) berada:

• Untuk membuat jaringan VPC mode kustom (direkomendasikan), lihat Membuat jaringan VPC mode kustom.
• Untuk membuat subnet, lihat Bekerja dengan subnet.

Guna mengaktifkan IPv6 untuk gateway VPN dengan ketersediaan tinggi (HA), Anda harus mengaktifkan alokasi alamat internal IPv6 saat membuat VPC. Selain itu, Anda harus mengonfigurasi subnet untuk menggunakan alamat internal IPv6.

Anda juga harus mengonfigurasi IPv6 pada VM di subnet.

• Untuk membuat jaringan VPC mode kustom dengan alamat IPv6 internal, lihat Membuat jaringan VPC mode kustom dengan minimal satu subnet tumpukan ganda.
• Untuk membuat subnet dengan IPv6 yang diaktifkan, lihat Menambahkan subnet stack ganda.
• Untuk mengaktifkan IPv6 di subnet yang ada, lihat Mengonversi subnet IPv4 ke subnet stack ganda.
• Untuk membuat VM dengan IPv6 aktif, lihat Mengonfigurasi IPv6 untuk instance dan template instance.

Subnet VPC harus dikonfigurasi untuk menggunakan alamat IPv6 internal. Saat menggunakan gcloud CLI, Anda mengonfigurasi subnet dengan flag --ipv6-access-type=INTERNAL. Cloud Router tidak secara dinamis memberitahukan rute untuk subnet yang dikonfigurasi untuk menggunakan alamat IPv6 eksternal (--ipv6-access-type=EXTERNAL).

Untuk mengetahui informasi tentang penggunaan rentang IPv6 internal di jaringan dan subnet VPC, lihat Spesifikasi IPv6 internal.

Contoh dalam dokumen ini juga menggunakan mode perutean dinamis global VPC, yang berperilaku dengan cara berikut:

• Semua instance Cloud Router menerapkan rute to on-premises yang dipelajari ke semua subnet jaringan VPC.
• Dirutekan ke semua subnet di jaringan VPC dibagikan dengan router lokal.

Membuat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine

Ikuti petunjuk di bagian ini untuk membuat gateway VPN dengan ketersediaan tinggi (HA), resource gateway VPN peer, tunnel, dan sesi BGP.

Izin yang diperlukan untuk langkah ini

Untuk menjalankan tugas ini, Anda harus diberi izin berikut atau peran IAM berikut.

Izin

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Peran

• roles/compute.networkAdmin

Konsol

Untuk membuat koneksi VPN untuk pertama kalinya, gunakan wizard penyiapan VPN. Wizard penyiapan VPN mencakup semua langkah konfigurasi yang diperlukan untuk membuat gateway VPN dengan ketersediaan tinggi (HA), resource gateway VPN peer, tunnel, dan sesi BGP.

Membuat gateway VPN HA Cloud

1. Di konsol Google Cloud , buka halaman VPN.

   Buka VPN

   1. Jika Anda membuat gateway untuk pertama kalinya, klik Buat koneksi VPN.
   2. Jika Anda memiliki resource Cloud VPN yang ada, klik VPN setup wizard.

2. Pilih VPN dengan ketersediaan tinggi (HA).

3. Klik Lanjutkan.

4. Tentukan nama gateway VPN.

5. Dalam daftar Network, pilih jaringan yang ada atau jaringan default.

6. Dalam daftar Region, pilih region yang sama dengan tempat VM Compute Engine Anda berada.

7. Pilih jenis stack untuk gateway VPN, baik IPv4 (stack tunggal) atau IPv4 dan IPv6 (stack ganda).

8. Klik Buat dan lanjutkan.

Halaman konsol akan menampilkan informasi gateway. Dua alamat IP eksternal dialokasikan secara otomatis untuk setiap antarmuka gateway Anda. Untuk langkah-langkah konfigurasi selanjutnya, perhatikan detail konfigurasi gateway Anda.

Menambahkan tunnel VPN

1. Dalam daftar Peer VPN gateway, pilih Compute Engine VMs with external IP addresses.

2. Dalam daftar Nama gateway VPN peer, pilih gateway peer yang ada atau klik Buat gateway VPN peer baru.

   Jika Anda memilih gateway peer yang ada, konsol Google Cloud akan memilih jumlah tunnel yang akan dikonfigurasi berdasarkan jumlah antarmuka peer yang Anda konfigurasi di gateway peer.

   Untuk membuat gateway peer, selesaikan langkah-langkah berikut:

   1. Tentukan nama untuk gateway VPN peer.
   2. Di bagian Peer VPN gateway interfaces, pilih satu atau dua antarmuka. Anda dapat menghubungkan sepasang tunnel ke setiap instance VM Compute Engine. Untuk contoh topologi ini, lihat Topologi VPN dengan ketersediaan tinggi (HA).
   3. Di kolom untuk setiap antarmuka VPN peer, tentukan alamat IP eksternal yang digunakan untuk antarmuka tersebut.

   Di daftar Cloud Router, pilih atau buat Cloud Router dengan menentukan opsi berikut.

   1. Untuk membuat Cloud Router baru, tentukan hal berikut:
   2. Nama:
   3. Deskripsi opsional.
   4. Google ASN untuk router baru

   Anda dapat menggunakan ASN pribadi (64512 hingga 65534, 4200000000 hingga 4294967294) yang tidak digunakan di tempat lain di jaringan Anda. Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan Anda tidak dapat mengubah ASN nanti.

   1. Untuk membuat router, klik Buat.

   Di bagian VPN tunnels, perluas setiap item untuk mengisi detail tunnel VPN yang dibuat.

   1. Di bagian Associated peer VPN gateway interface, pilih kombinasi antarmuka gateway VPN peer dan alamat IP yang ingin Anda kaitkan dengan tunnel ini dan dengan antarmuka VPN dengan ketersediaan tinggi (HA). Antarmuka ini harus cocok dengan antarmuka pada router peer Anda yang sebenarnya.
   2. Tentukan Nama tunnel.
   3. Tentukan Deskripsi opsional.
   4. Tentukan versi IKE. Sebaiknya gunakan IKEv2, setelan default, jika router peer Anda mendukungnya. Untuk mengizinkan traffic IPv6, Anda harus memilih IKEv2.
   5. Tentukan kunci yang dibagikan sebelumnya IKE menggunakan pre-shared key (rahasia bersama), yang harus sesuai dengan pre-shared key untuk tunnel partner yang Anda buat di gateway peer. Jika Anda belum mengonfigurasi pre-shared key di gateway VPN peer dan ingin membuatnya, klik Buat dan salin. Pastikan Anda mencatat pre-shared key di lokasi yang aman karena kunci tersebut tidak dapat diambil setelah Anda membuat tunnel VPN.
   6. Klik Selesai.
   7. Di halaman Buat VPN, ulangi langkah-langkah pembuatan tunnel untuk dialog tunnel yang tersisa.

3. Setelah Anda mengonfigurasi semua tunnel, klik Buat dan lanjutkan.

Mengonfigurasi sesi BGP

1. Klik Konfigurasi Sesi BGP untuk menyiapkan sesi BGP di Cloud Router. Untuk mengetahui informasi tentang cara membuat sesi BGP, lihat Membuat sesi BGP.
2. Klik Simpan konfigurasi BGP.

Halaman konsol akan dimuat ulang dan menampilkan informasi tentang gateway VPN dengan ketersediaan tinggi (HA), gateway VPN peer, dan informasi tunnel Cloud VPN.

gcloud

Membuat gateway VPN dengan ketersediaan tinggi (HA)

Untuk membuat gateway VPN dengan ketersediaan tinggi (HA), jalankan perintah berikut. Saat gateway dibuat, dua alamat IPv4 eksternal akan otomatis dialokasikan, satu untuk setiap antarmuka gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Ganti kode berikut:

• GW_NAME: nama gateway
• NETWORK: nama jaringan Google Cloud Anda
• REGION: Google Cloud region tempat Anda membuat gateway dan tunnel
• IP_STACK: Opsional: stack IP yang akan digunakan. Tentukan IPV4_ONLY atau IPV4_IPV6. Jika Anda tidak menentukan tanda ini, jenis tumpukan default adalah IPV4_ONLY.

Gateway yang Anda buat akan terlihat mirip dengan contoh output berikut. Alamat IPv4 eksternal akan otomatis ditetapkan ke setiap antarmuka gateway:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Membuat resource gateway VPN peer

Bergantung pada kebutuhan ketersediaan tinggi, Anda dapat membuat satu atau sepasang resource gateway VPN peer.

Untuk membuat gateway VPN peer pertama, jalankan perintah berikut:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Untuk membuat gateway VPN peer kedua, jalankan perintah berikut:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Ganti kode berikut:

• PEER_GW_NAME1: nama yang mewakili gateway VPN peer pertama
• PEER_GW_NAME2: nama yang mewakili gateway VPN peer kedua
• PEER_GW_IP_1: alamat IP eksternal untuk virtual machine Compute Engine pertama
• PEER_GW_IP_0: alamat IP eksternal untuk mesin virtual Compute Engine kedua

Resource gateway VPN peer yang Anda buat akan terlihat seperti contoh berikut, dan PEER_GW_IP_0 serta PEER_GW_IP_1 menampilkan alamat IP eksternal mesin virtual Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Membuat Cloud Router

Untuk membuat Cloud Router, jalankan perintah berikut:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Ganti kode berikut:

• ROUTER_NAME: nama Cloud Router di region yang sama dengan gateway Cloud VPN
• REGION: Google Cloud region tempat Anda membuat gateway dan tunnel
• NETWORK: nama jaringan Google Cloud Anda
• GOOGLE_ASN: ASN pribadi apa pun (64512 hingga 65534, 4200000000 hingga 4294967294) yang belum Anda gunakan di jaringan peer; Google ASN digunakan untuk semua sesi BGP di Cloud Router yang sama, dan tidak dapat diubah nanti

Outputnya mirip dengan hal berikut ini:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Menambahkan tunnel VPN

Buat empat tunnel VPN, dua untuk setiap antarmuka di gateway VPN dengan ketersediaan tinggi (HA). Saat membuat tunnel VPN, tentukan sisi peer dari tunnel VPN sebagai gateway VPN eksternal yang Anda buat sebelumnya.

Satu tunnel VPN harus terhubung ke interface 0 gateway VPN eksternal, dan tunnel VPN lainnya harus terhubung ke interface 1 gateway VPN eksternal.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Ganti kode berikut:

• TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2, dan TUNNEL_NAME_IF3: nama untuk tunnel; menamai tunnel dengan menyertakan nama antarmuka gateway dapat membantu mengidentifikasi tunnel nantinya
• PEER_GW_NAME: nama gateway peer eksternal yang dibuat sebelumnya
• PEER_EXT_GW_IF0 dan PEER_EXT_GW_IF1: nomor antarmuka yang telah dikonfigurasi sebelumnya di gateway peer eksternal
• IKE_VERS: 1 untuk IKEv1 atau 2 untuk IKEv2; jika memungkinkan, gunakan IKEv2 untuk versi IKE. Jika gateway peer Anda memerlukan IKEv1, ganti --ike-version 2 dengan --ike-version 1. Untuk mengizinkan traffic IPv6, Anda harus menentukan IKEv2.
• SHARED_SECRET: pre-shared key (rahasia bersama), yang harus sesuai dengan pre-shared key untuk tunnel partner yang Anda buat di gateway peer; untuk rekomendasi, lihat Membuat pre-shared key yang kuat
• GW_NAME: nama gateway VPN dengan ketersediaan tinggi (HA)
• INT_NUM_0: angka 0 untuk antarmuka pertama di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnya
• INT_NUM_1: angka 1 untuk antarmuka kedua di gateway VPN dengan ketersediaan tinggi (HA) yang Anda buat sebelumnya

• Opsional: --vpn-gateway-region adalah region gateway VPN dengan ketersediaan tinggi (HA) untuk beroperasi. Nilainya harus sama dengan --region. Jika tidak ditentukan, opsi ini akan otomatis disiapkan. Opsi ini mengganti nilai properti komputasi atau region default untuk pemanggilan perintah ini.

  Output perintah akan terlihat seperti contoh berikut:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1
  

Mengonfigurasi sesi BGP

Untuk mengetahui informasi tentang cara membuat sesi BGP, lihat Membuat sesi BGP.

API

Membuat gateway VPN HA Cloud

Untuk membuat gateway VPN dengan ketersediaan tinggi (HA), buat permintaan POST menggunakan metode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Kolom stackType bersifat opsional. Satu-satunya nilai yang valid adalah IPV4_IPV6 atau IPV4_ONLY. Jika Anda tidak menentukan stackType, defaultnya adalah IPV4_ONLY.

Membuat resource gateway VPN peer

Untuk membuat resource gateway VPN eksternal, buat permintaan POST menggunakan metode externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }
 

Untuk membuat gateway VPN peer dengan dua antarmuka, atau dua gateway VPN eksternal yang masing-masing memiliki satu antarmuka, gunakan setelan TWO_IPS_REDUNDANCY. Untuk membuat gateway VPN peer dengan empat antarmuka, tentukan empat instance ID antarmuka dan ipAddress, lalu gunakan redundancyType dari FOUR_IPS_REDUNDANCY.

Membuat Cloud Router

Untuk membuat Cloud Router, buat permintaan POST menggunakan metode routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Menambahkan tunnel VPN

Untuk membuat empat tunnel VPN, dua untuk setiap antarmuka di gateway VPN dengan ketersediaan tinggi (HA), buat permintaan POST menggunakan metode vpnTunnels.insert. Untuk mendapatkan SLA waktu beroperasi sebesar 99,9%, Anda harus membuat tunnel di setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA).

1. Untuk membuat tunnel pertama, jalankan perintah berikut:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Jika ingin mengaktifkan IPv6 dalam sesi BGP yang terkait dengan tunnel ini, Anda harus menentukan 2 untuk ikeVersion.

2. Untuk membuat tunnel lainnya, ulangi perintah ini, tetapi ubah parameter berikut:

   • name
   • peerExternalGatewayInterface
   • sharedSecret atau sharedSecretHash(jika diperlukan)
   • vpnGatewayInterface: ubah ke nilai antarmuka gateway VPN dengan ketersediaan tinggi (HA) lainnya—dalam contoh ini, ubah nilai ini menjadi 1

Mengonfigurasi sesi BGP

Untuk mengetahui informasi tentang cara membuat sesi BGP, lihat Membuat sesi BGP.

API

Guna membuat konfigurasi lengkap untuk gateway VPN dengan ketersediaan tinggi (HA), gunakan perintah API di bagian berikut. Semua nilai kolom yang digunakan di bagian ini adalah nilai contoh.

Untuk membuat gateway VPN dengan ketersediaan tinggi (HA), buat permintaan POST menggunakan metode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Kolom stackType bersifat opsional. Satu-satunya nilai yang valid adalah IPV4_IPV6 atau IPV4_ONLY. Jika Anda tidak menentukan stackType, defaultnya adalah IPV4_ONLY.

Memverifikasi konfigurasi

Konsol

Untuk memverifikasi konfigurasi, buka halaman Ringkasan dan pengingat:

1. Bagian Ringkasan di halaman ini mencantumkan informasi untuk gateway VPN dengan ketersediaan tinggi (HA) dan profil gateway VPN peer. Untuk setiap tunnel VPN, Anda dapat melihat status tunnel VPN, nama sesi BGP, status sesi BGP, dan nilai MED (prioritas rute yang diiklankan).
2. Bagian Pengingat di halaman ini mencantumkan langkah-langkah yang harus Anda selesaikan untuk memiliki koneksi VPN yang beroperasi penuh antara Cloud VPN dan VPN peer Anda.
3. Setelah meninjau informasi di halaman ini, klik OK.

gcloud

Untuk memverifikasi konfigurasi Cloud Router, ikuti langkah-langkah berikut:

• Cantumkan alamat IP BGP yang dipilih oleh Cloud Router. Jika Anda menambahkan antarmuka baru ke Cloud Router yang ada, alamat IP BGP untuk antarmuka baru akan dicantumkan dengan nomor indeks tertinggi. Gunakan alamat IP BGP peerIpAddress untuk mengonfigurasi gateway VPN peer Anda:

  gcloud compute routers get-status ROUTER_NAME \
     --region=REGION \
     --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  Output yang diharapkan untuk Cloud Router yang mengelola dua tunnel Cloud VPN (indeks 0 dan indeks 1) akan terlihat seperti contoh berikut, dengan pernyataan yang benar:

  • GOOGLE_BGP_IP_0 menampilkan alamat IP BGP dari antarmuka Cloud Router untuk tunnel di gateway Cloud VPN interface 0; PEER_BGP_IP_0 menampilkan alamat IP BGP peer-nya.
  • GOOGLE_BGP_IP_1 mewakili alamat IP BGP dari antarmuka Cloud Router untuk tunnel di gateway Cloud VPN interface 1; PEER_BGP_IP_1 mewakili alamat IP BGP milik peer-nya.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• Anda juga dapat menggunakan perintah berikut untuk mendapatkan daftar lengkap konfigurasi Cloud Router:

  gcloud compute routers describe ROUTER_NAME \
     --region=REGION
  

  Daftar lengkap akan terlihat seperti contoh berikut:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Untuk memverifikasi konfigurasi Cloud Router, buat permintaan GET menggunakan metode routers.getRouterStatus, dan gunakan isi permintaan kosong:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Langkah berikutnya

• Guna mengontrol alamat IP yang diizinkan untuk gateway VPN peer, lihat Membatasi alamat IP untuk gateway VPN peer.