Connetti la VPN ad alta disponibilità alle VM Compute Engine

Questa pagina descrive come connettere un gateway VPN ad alta disponibilità alle istanze di macchine virtuali (VM) Compute Engine con indirizzi IP esterni ospitati in Google Cloud.

Queste istruzioni creano le seguenti risorse VPN ad alta disponibilità:

• Un gateway VPN ad alta disponibilità
• Un gateway VPN peer
• Una coppia di tunnel VPN dal gateway VPN peer a ogni istanza VM per garantire l'alta disponibilità

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

• Per i diagrammi di questa topologia, vedi VPN ad alta disponibilità per istanze VM di Compute Engine in più zone e VPN ad alta disponibilità per un'istanza VM di Compute Engine.

• Per le best practice da prendere in considerazione prima di configurare Cloud VPN, consulta la sezione Best practice.

• Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.

• Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Prima di iniziare

• Consulta le informazioni su come funziona il routing dinamico in Google Cloud.

• Assicurati che il gateway VPN peer supporti il protocollo BGP (Border Gateway Protocol).

• Assicurati di avere una o due VM Compute Engine con indirizzi IP esterni.

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

5. Se utilizzi Google Cloud CLI, imposta l'ID progetto con il seguente comando. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di eseguire i comandi.

   gcloud config set project PROJECT_ID
   

6. Puoi anche visualizzare un ID progetto già impostato eseguendo questo comando:

   gcloud config list --format='text(core.project)'
   

Crea una rete VPC e una subnet personalizzate

Prima di creare una coppia di gateway e tunnel VPN ad alta disponibilità, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella regione in cui si trova il gateway VPN ad alta disponibilità:

• Per creare una rete VPC in modalità personalizzata (opzione consigliata), consulta la sezione Creazione di una rete VPC in modalità personalizzata.
• Per creare subnet, consulta Utilizzo delle subnet.

Per abilitare IPv6 per i gateway VPN ad alta disponibilità, devi abilitare l'allocazione di indirizzi interni IPv6 quando crei il VPC. Inoltre, devi configurare le subnet in modo che utilizzino indirizzi interni IPv6.

Devi anche configurare IPv6 sulle VM nella subnet.

• Per creare una rete VPC in modalità personalizzata con indirizzi IPv6 interni, consulta Creare una rete VPC in modalità personalizzata con almeno una subnet a doppio stack.
• Per creare una subnet con IPv6 abilitato, vedi Aggiungere una subnet a doppio stack.
• Per abilitare IPv6 in una subnet esistente, vedi Convertire una subnet IPv4 in una subnet a doppio stack.
• Per creare VM con IPv6 abilitato, consulta la sezione Configurare gli indirizzi IPv6 per le istanze e i modelli di istanze.

La subnet VPC deve essere configurata per utilizzare indirizzi IPv6 interni. Quando utilizzi gcloud CLI, configuri la subnet con il flag --ipv6-access-type=INTERNAL. Router Cloud non annuncia dinamicamente le route per le subnet configurate per l'utilizzo di indirizzi IPv6 esterni (--ipv6-access-type=EXTERNAL).

Per informazioni sull'utilizzo degli intervalli IPv6 interni nella rete VPC e nelle subnet, consulta Specifiche IPv6 interne.

Gli esempi in questo documento utilizzano anche la modalità di routing dinamico globale VPC, che si comporta nel seguente modo:

• Tutte le istanze del router Cloud applicano le route to on-premises che apprendono a tutte le subnet della rete VPC.
• Le route a tutte le subnet nella rete VPC vengono condivise con i router on-premise.

Crea un gateway VPN ad alta disponibilità e tunnel alle istanze VM di Compute Engine

Segui le istruzioni in questa sezione per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, tunnel e sessioni BGP.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Ruoli

• roles/compute.networkAdmin

Console

Per creare una connessione VPN per la prima volta, utilizza la procedura guidata di configurazione della VPN. La procedura guidata di configurazione VPN include tutti i passaggi di configurazione richiesti per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, tunnel e sessioni BGP.

Crea gateway VPN ad alta disponibilità Cloud

1. Nella console Google Cloud , vai alla pagina VPN.

   Vai alla VPN

   1. Se crei un gateway per la prima volta, fai clic su Crea connessione VPN.
   2. Se hai risorse Cloud VPN esistenti, fai clic su Configurazione guidata VPN.

2. Seleziona VPN ad alta disponibilità.

3. Fai clic su Continua.

4. Specifica un nome gateway VPN.

5. Nell'elenco Rete, seleziona una rete esistente o la rete predefinita.

6. Nell'elenco Regione, seleziona la stessa regione in cui si trovano le VM Compute Engine.

7. Seleziona un tipo di stack per il gateway VPN: IPv4 (stack singolo) o IPv4 e IPv6 (dual-stack).

8. Fai clic su Crea e continua.

La pagina della console mostra le informazioni sul gateway. A ciascuna interfaccia del gateway vengono automaticamente assegnati due indirizzi IP esterni. Per i passaggi di configurazione futuri, prendi nota dei dettagli della configurazione del gateway.

Aggiungere tunnel VPN

1. Nell'elenco Gateway VPN peer, seleziona VM Compute Engine con indirizzi IP esterni.

2. Nell'elenco Nome gateway VPN peer, scegli un gateway peer esistente o fai clic su Crea un nuovo gateway VPN peer.

   Se scegli un gateway peer esistente, la console Google Cloud seleziona il numero di tunnel da configurare in base al numero di interfacce peer che hai configurato sul gateway peer.

   Per creare un gateway peer, completa i seguenti passaggi:

   1. Specifica un nome per il gateway VPN peer.
   2. Nella sezione Interfacce gateway VPN peer, seleziona una o due interfacce. Puoi connettere una coppia di tunnel a ogni istanza VM di Compute Engine. Per esempi di questa topologia, consulta Topologie VPN ad alta disponibilità.
   3. Nel campo di ogni interfaccia VPN peer, specifica l'indirizzo IP esterno utilizzato per l'interfaccia.

   Nell'elenco Router Cloud, seleziona o crea un Router Cloud specificando le seguenti opzioni.

   1. Per creare un nuovo router Cloud, specifica quanto segue:
   2. Un nome
   3. (Facoltativo) Una Descrizione
   4. Un ASN Google per il nuovo router

   Puoi utilizzare qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai utilizzando altrove nella rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non puoi modificare l'ASN in un secondo momento.

   1. Per creare il router, fai clic su Crea.

   Nella sezione Tunnel VPN, espandi ogni voce per inserire i dettagli dei tunnel VPN creati.

   1. Nella sezione Interfaccia del gateway VPN peer associata, seleziona la combinazione di interfaccia del gateway VPN peer e indirizzo IP che vuoi associare a questo tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere a quella del router peer effettivo.
   2. Specifica un nome per il tunnel.
   3. Specifica una Descrizione facoltativa.
   4. Specifica la versione IKE. Se il router peer lo supporta, ti consigliamo di utilizzare IKEv2, l'impostazione predefinita. Per consentire il traffico IPv6, devi selezionare IKEv2.
   5. Specifica una chiave precondivisa IKE utilizzando la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.
   6. Fai clic su Fine.
   7. Nella pagina Crea una VPN, ripeti i passaggi di creazione del tunnel per tutte le finestre di dialogo del tunnel rimanenti.

3. Una volta configurati tutti i tunnel, fai clic su Crea e continua.

Configura sessioni BGP

1. Fai clic su Configura sessione BGP per configurare la sessione BGP sul router Cloud. Per informazioni sulla creazione di sessioni BGP, consulta Crea sessioni BGP.
2. Fai clic su Salva configurazione BGP.

La pagina della console viene aggiornata e mostra le informazioni sul gateway VPN ad alta disponibilità, sul gateway VPN peer e sul tunnel Cloud VPN.

gcloud

Crea un gateway VPN ad alta disponibilità

Per creare un gateway VPN ad alta disponibilità, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv4 esterni, uno per ogni interfaccia del gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    [--stack-type=IP_STACK]

Sostituisci quanto segue:

• GW_NAME: il nome del gateway
• NETWORK: il nome della tua rete Google Cloud
• REGION: la Google Cloud regione in cui creare il gateway e il tunnel
• IP_STACK: (facoltativo) lo stack IP da utilizzare. Specifica IPV4_ONLY o IPV4_IPV6. Se non specifichi questo flag, il tipo di stack predefinito è IPV4_ONLY.

Il gateway che crei è simile all'output dell'esempio seguente. A ogni interfaccia del gateway viene assegnato automaticamente un indirizzo IPv4 esterno:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

Crea una risorsa gateway VPN peer

A seconda delle esigenze di alta disponibilità, puoi creare una o una coppia di risorse gateway VPN peer.

Per creare il primo gateway peer VPN, esegui questo comando:

 gcloud compute external-vpn-gateways create PEER_GW_NAME1 \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1

Per creare il secondo gateway peer VPN, esegui questo comando:

gcloud compute external-vpn-gateways create PEER_GW_NAME2 \
    --interfaces 0=PEER_GW_IP_1,1=PEER_GW_IP_0

Sostituisci quanto segue:

• PEER_GW_NAME1: un nome che rappresenta il primo gateway VPN peer
• PEER_GW_NAME2: un nome che rappresenta il secondo gateway VPN peer
• PEER_GW_IP_1: l'indirizzo IP esterno della prima macchina virtuale Compute Engine
• PEER_GW_IP_0: l'indirizzo IP esterno per la seconda macchina virtuale Compute Engine

La risorsa gateway VPN peer che hai creato è simile all'esempio seguente e PEER_GW_IP_0 e PEER_GW_IP_1 mostrano gli indirizzi IP esterni delle macchine virtuali Compute Engine:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME          INTERFACE0     INTERFACE1
peer-gw-1   203.0.113.16   203.0.113.23
Peer-gw-2   203.0.113.23   203.0.113.16

Crea un router Cloud

Per creare un router Cloud, esegui questo comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Sostituisci quanto segue:

• ROUTER_NAME: il nome del router Cloud nella stessa regione del gateway Cloud VPN
• REGION: la Google Cloud regione in cui crei il gateway e il tunnel
• NETWORK: il nome della tua rete Google Cloud
• GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento

L'output è simile al seguente:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

Aggiungere tunnel VPN

Crea quattro tunnel VPN, due per ogni interfaccia del gateway VPN ad alta disponibilità. Quando crei i tunnel VPN, specifica il lato peer dei tunnel VPN come gateway VPN esterno che hai creato in precedenza.

Un tunnel VPN deve connettersi a interface 0 del gateway VPN esterno, mentre l'altro tunnel VPN deve connettersi a interface 1 del gateway VPN esterno.

gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
    --peer-external-gateway=PEER_GW_NAME1 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

gcloud compute vpn-tunnels create TUNNEL_NAME_IF2 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_0

gcloud compute vpn-tunnels create TUNNEL_NAME_IF3 \
    --peer-external-gateway=PEER_GW_NAME2 \
    --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
    --region=REGION \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --router=ROUTER_NAME \
    --vpn-gateway=GW_NAME \
    --interface=INT_NUM_1

Sostituisci quanto segue:

• TUNNEL_NAME_IF0, TUNNEL_NAME_IF1 TUNNEL_NAME_IF2 e TUNNEL_NAME_IF3: un nome per il tunnel; assegnare un nome ai tunnel includendo il nome dell'interfaccia del gateway può aiutare a identificarli in un secondo momento
• PEER_GW_NAME: un nome del gateway peer esterno creato in precedenza
• PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: il numero di interfaccia configurato in precedenza sul gateway peer esterno
• IKE_VERS: 1 per IKEv1 o 2 per IKEv2; se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci --ike-version 2 con --ike-version 1. Per consentire il traffico IPv6, devi specificare IKEv2.
• SHARED_SECRET: la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer; per i consigli, vedi Generare una chiave precondivisa efficace
• GW_NAME: il nome del gateway VPN ad alta disponibilità
• INT_NUM_0: il numero 0 per la prima interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza
• INT_NUM_1: il numero 1 per la seconda interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza

• (Facoltativo) --vpn-gateway-region è la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà di calcolo o regione per questa chiamata di comando.

  L'output del comando è simile al seguente esempio:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-2   us-central1   ha-vpn-gw-b   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-3   us-central1   ha-vpn-gw-b   1               peer-gw       1
  

Configura sessioni BGP

Per informazioni sulla creazione di sessioni BGP, consulta Crea sessioni BGP.

API

Crea gateway VPN ad alta disponibilità Cloud

Per creare un gateway VPN ad alta disponibilità, invia una richiesta POST utilizzando il metodo vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Il campo stackType è facoltativo. Gli unici valori validi sono IPV4_IPV6 o IPV4_ONLY. Se non specifichi un stackType, il valore predefinito è IPV4_ONLY.

Crea una risorsa gateway VPN peer

Per creare una risorsa gateway VPN esterno, effettua una richiesta POST utilizzando il metodo externalVpnGateways.insert.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         },
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         }
       ],
       "redundancyType": "FOUR_IPS_REDUNDANCY"
     }
 

Per creare un gateway VPN peer con due interfacce o due gateway VPN esterni con un'interfaccia ciascuno, utilizza l'impostazione TWO_IPS_REDUNDANCY. Per creare un gateway VPN peer con quattro interfacce, specifica quattro istanze dell'ID interfaccia e ipAddress e utilizza un redundancyType di FOUR_IPS_REDUNDANCY.

Crea un router Cloud

Per creare un router Cloud, effettua una richiesta POST utilizzando il metodo routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Aggiungere tunnel VPN

Per creare quattro tunnel VPN, due per ogni interfaccia sul gateway VPN ad alta disponibilità, invia una richiesta POST utilizzando il metodo vpnTunnels.insert. Per ottenere uno SLA con tempo di attività del 99,9%, devi creare un tunnel su ogni interfaccia del gateway VPN ad alta disponibilità.

1. Per creare il primo tunnel, esegui questo comando:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Se prevedi di abilitare IPv6 nella sessione BGP associata a questo tunnel, devi specificare 2 per ikeVersion.

2. Per creare gli altri tunnel, ripeti questo comando, ma modifica i seguenti parametri:

   • name
   • peerExternalGatewayInterface
   • sharedSecret o sharedSecretHash(se necessario)
   • vpnGatewayInterface: cambia il valore dell'altra interfaccia del gateway VPN ad alta disponibilità. In questo esempio, modifica questo valore in 1

Configura sessioni BGP

Per informazioni sulla creazione di sessioni BGP, consulta Crea sessioni BGP.

API

Per creare la configurazione completa per un gateway VPN ad alta disponibilità, utilizza i comandi API nelle sezioni seguenti. Tutti i valori dei campi utilizzati in queste sezioni sono valori di esempio.

Per creare un gateway VPN ad alta disponibilità, invia una richiesta POST utilizzando il metodo vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
   }

Il campo stackType è facoltativo. Gli unici valori validi sono IPV4_IPV6 o IPV4_ONLY. Se non specifichi un stackType, il valore predefinito è IPV4_ONLY.

Verificare la configurazione

Console

Per verificare la configurazione, vai alla pagina Riepilogo e promemoria:

1. La sezione Riepilogo di questa pagina elenca le informazioni per il gateway VPN ad alta disponibilità e il profilo del gateway VPN peer. Per ogni tunnel VPN, puoi visualizzare lo stato del tunnel VPN, il nome della sessione BGP, lo stato della sessione BGP e il valore MED (priorità della route pubblicizzata).
2. La sezione Promemoria di questa pagina elenca i passaggi che devi completare per avere una connessione VPN completamente operativa tra Cloud VPN e la tua VPN peer.
3. Dopo aver esaminato le informazioni riportate in questa pagina, fai clic su Ok.

gcloud

Per verificare la configurazione del router Cloud, segui questi passaggi:

• Elenca gli indirizzi IP BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a un router Cloud esistente, gli indirizzi IP BGP per la nuova interfaccia sono elencati con il numero di indice più alto. Utilizza l'indirizzo IP BGP peerIpAddress per configurare il gateway VPN peer:

  gcloud compute routers get-status ROUTER_NAME \
     --region=REGION \
     --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  L'output previsto per un router Cloud che gestisce due tunnel Cloud VPN (indice 0 e indice 1) è simile al seguente esempio, in cui vale quanto segue:

  • GOOGLE_BGP_IP_0 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IP_0 rappresenta l'indirizzo IP BGP del peer.
  • GOOGLE_BGP_IP_1 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IP_1 rappresenta l'indirizzo IP BGP del peer.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• Puoi anche utilizzare il seguente comando per ottenere un elenco completo della configurazione delrouter Cloudr:

  gcloud compute routers describe ROUTER_NAME \
     --region=REGION
  

  L'elenco completo è simile al seguente esempio:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Per verificare la configurazione del router Cloud, effettua una richiesta GET utilizzando il metodo routers.getRouterStatus e utilizza un corpo della richiesta vuoto:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Passaggi successivi

• Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta la sezione Limita gli indirizzi IP per i gateway VPN peer.