Gateway zwischen HA VPN und Peer-VPN erstellen

Auf dieser Seite wird beschrieben, wie Sie ein HA VPN-Gateway mit einer Verbindung zu einem Peer-VPN-Gateway erstellen.

HA VPN-Gateways verwenden die HA VPN API und stellen ein SLA von 99,99 % bereit. Bei dieser Konfiguration wird ein Tunnelpaar mit jeweils einem Tunnel auf jeder HA VPN-Gateway-Schnittstelle verwendet. Wenn Sie ein SLA von 99,99 % erzielen möchten, müssen Sie VPN-Tunnel auf beiden HA VPN-Gateway-Schnittstellen konfigurieren.

Für HA VPNs sind zwei Gateway-Komponenten zu konfigurieren:

  • Ein HA VPN-Gateway in Google Cloud.
  • Ihr Peer-VPN-Gateway oder Ihre Peer-VPN-Gateways: ein oder mehrere physische VPN-Gateway-Geräte oder Softwareanwendungen im Peer-Netzwerk, mit denen sich das HA VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird.

    Erstellen Sie in Google Cloud für jedes Peer-Gateway-Gerät oder jeden Dienst eine externe VPN-Gateway-Ressource. Hinweis: Alle Peer-Gateway-Szenarien werden durch eine einzelne externe Peer-VPN-Ressource in Google Cloud dargestellt.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Wenn Sie HA VPN über Cloud Interconnect bereitstellen möchten, finden Sie weitere Informationen unter HA VPN über Cloud Interconnect – Übersicht.

Redundanztypen

Die HA VPN API enthält eine Option für REDUNDANCY_TYPE. Sie stellt die Anzahl der Schnittstellen dar, die Sie für die externe VPN-Gateway-Ressource konfigurieren.

Wenn Sie eine externe VPN-Gateway-Ressource konfigurieren, leiten gcloud-Befehle automatisch die folgenden Werte von REDUNDANCY_TYPE von der Anzahl der Schnittstellen ab, die Sie in der Schnittstellen-ID bereitstellen:

  • Für eine externe VPN-Schnittstelle gilt SINGLE_IP_INTERNALLY_REDUNDANT.
  • Für zwei externe VPN-Schnittstellen gilt TWO_IPS_REDUNDANCY.
  • Für vier externe VPN-Schnittstellen gilt FOUR_IPS_REDUNDANCY.

Wenn Sie externe VPN-Gateways konfigurieren, müssen Sie die folgenden Schnittstellen-Identifikationsnummern für die angegebene Anzahl externer VPN-Schnittstellen verwenden:

  • Verwenden Sie für eine externe VPN-Schnittstelle den Wert 0.
  • Verwenden Sie für zwei externe VPN-Schnittstellen die Werte 0 und 1.
  • Verwenden Sie für vier externe VPN-Schnittstellen die Werte 0, 1, 2 und 3.

Cloud Router erstellen

Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Hinweis

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.

Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

        gcloud config set project PROJECT_ID
        
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:

        gcloud config list --format='text(core.project)'
        

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:

Um IPv6 für HA VPN-Gateways zu aktivieren, müssen Sie die Zuweisung interner IPv6-Adressen aktivieren, wenn Sie die VPC erstellen. Außerdem müssen Sie die Subnetze so konfigurieren, dass interne IPv6-Adressen verwendet werden.

Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren.

Das VPC-Subnetz muss für die Verwendung interner IPv6-Adressen konfiguriert sein. Wenn Sie die gcloud CLI verwenden, konfigurieren Sie das Subnetz mit dem Flag --ipv6-access-type=INTERNAL. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL) konfiguriert sind, nicht dynamisch.

Informationen zur Verwendung interner IPv6-Adressbereiche in Ihrem VPC-Netzwerk und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

  • Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
  • Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, ein Tunnelpaar und BGP-Sitzungen zu erstellen.

HA VPN-Gateway erstellen

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

So erstellen Sie ein HA VPN-Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zu VPN

  2. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.

  3. Wählen Sie den VPN-Einrichtungsassistenten aus.

  4. Geben Sie unter VPN-Gateway-Name einen Namen für das HA VPN-Gateway ein.

  5. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.

  6. Wählen Sie unter Region eine Region für Ihr HA VPN-Gateway aus.

  7. Wählen Sie für IP-Version des VPN-Gateways eine IP-Version des HA VPN-Gateways aus.

    Die IP-Version des HA VPN-Gateways und des Peer-VPN-Gateways muss gleich sein.

  8. Wählen Sie unter IP-Stacktyp des VPN-Gateways einen Stacktyp für das VPN-Gateway aus.

  9. Klicken Sie auf Erstellen und fortfahren.

    Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

gcloud

Führen Sie die folgenden Befehle aus, um ein HA VPN-Gateway zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

  • Wenn Sie nur IPv4-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp IPV4_ONLY erstellen.
  • Wenn Sie sowohl IPv4- als auch IPv6-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp IPV4_IPV6 erstellen.
  • Wenn Sie nur IPv6-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp IPV6_ONLY erstellen.

Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway mit IPv4-Schnittstellen zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
   [--stack-type=IP_STACK]

Ersetzen Sie Folgendes:

  • GW_NAME: der Name des Gateways
  • NETWORK: der Name Ihres Google Cloud-Netzwerks
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
  • IP_STACK: der zu verwendende IP-Stack. Geben Sie entweder IPV4_ONLY oder IPV4_IPV6 an. Wenn Sie dieses Flag nicht angeben, ist der Stacktyp für das HA VPN-Gateway IPV4_ONLY. Das Flag --stack-type ist optional.

Sie können auch --gateway-ip-version=IPV4 angeben. Dieses Flag ist jedoch nicht erforderlich. Wenn Sie dieses Flag nicht angeben, verwendet das HA VPN-Gateway standardmäßig externe IPv4-Adressen.

Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway mit IPv6-Schnittstellen zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv6-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

Ersetzen Sie Folgendes:

  • GW_NAME: der Name des Gateways
  • NETWORK: der Name Ihres Google Cloud-Netzwerks
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
  • IP_STACK: der zu verwendende IP-Stack. Geben Sie entweder IPV4_IPV6 oder IPV6_ONLY an. Wenn Sie dieses Flag nicht angeben, ist der Stacktyp für das HA VPN-Gateway IPV4_IPV6. Das Flag --stack-type ist optional.

Das von Ihnen erstellte Gateway sieht in etwa so aus: Wenn Sie --gateway-ip-version=IPV6 angeben, werden IPv6-Schnittstellen zugewiesen.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0                 INTERFACE1                NETWORK     REGION
ha-vpn-gw-a   2600:1900:4f00:2:a:49b::   2600:1900:4f10:2:a:6a8::  network-a   us-central1

API

Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Zum Erstellen eines HA VPN-Gateways senden Sie eine POST-Anfrage mit der Methode vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }
   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }
  • Wenn Sie ein HA VPN-Gateway mit IPv4-Schnittstellen erstellen, sind die Felder gatewayIpVersion und stackType optional.

    • Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_ONLY.

    • Wenn Sie keinen gatewayIpVersion angeben, ist der Standardwert IPV4.

    • Die einzigen gültigen stackType-Werte für ein Gateway mit einem gatewayIpVersion von IPV4 sind IPV4_IPV6 oder IPV4_ONLY.

  • Wenn Sie ein HA VPN-Gateway mit IPv6-Schnittstellen erstellen, geben Sie IPV6 als Wert für gatewayIpVersion an. Das Feld stackType ist optional.

    • Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_IPV6.

    • Die einzigen gültigen stackType-Werte für ein Gateway mit einem gatewayIpVersion von IPV6 sind IPV4_IPV6 oder IPV6_ONLY.

Peer-VPN-Gateway-Ressource erstellen

Console

Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.

So erstellen Sie eine Peer-VPN-Gateway-Ressource:

  1. Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Lokal oder Nicht-Google-Cloud aus.
  2. Unter Name des Peer-VPN-Gateways wählen Sie ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen.

    Wenn Sie ein vorhandenes Gateway auswählen, wird die Anzahl der zu konfigurierenden Tunnel von der Google Cloud Console anhand der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben.

    Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:

    1. Geben Sie einen Namen für das Peer-VPN-Gateway an.
    2. Wählen Sie unter Peer-VPN-Gateway-Schnittstellen einen der Werte one, two oder four für die Schnittstellen aus, je nach Art der Schnittstellen, die Ihr Peer-Gateway hat. Beispiele für jeden Typ finden Sie auf der Seite "Topologien".
    3. Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
    4. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine externe VPN-Gateway-Ressource, die Google Cloud Informationen zu Ihrem Peer-VPN-Gateway oder Ihren Gateways zur Verfügung stellt. Abhängig von den Hochverfügbarkeitsempfehlungen für Ihr Peer-VPN-Gateway können Sie externe VPN-Gateway-Ressourcen für die folgenden Typen lokaler VPN-Gateways erstellen:

  • Zwei separate Peer-VPN-Gateway-Geräte, wobei die beiden Geräte redundant sind und jedes Gerät eine eigene externe IP-Adresse hat.
  • Ein einzelnes Peer-VPN-Gateway, das zwei separate Schnittstellen mit jeweils einer eigenen externen IP-Adresse verwendet. Für diese Art von Peer-Gateway können Sie ein einzelnes externes VPN-Gateway mit zwei Schnittstellen erstellen.
  • Ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse.

Option 1: Externe VPN-Gateway-Ressource für zwei separate Peer-VPN-Gateway-Geräte erstellen

  • Für diese Art von Peer-Gateway hat jede Schnittstelle des externen VPN-Gateways eine externe IP-Adresse. Jede Adresse stammt von einem der Peer-VPN-Gateway-Geräte.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Ersetzen Sie Folgendes:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für ein Peer-Gateway
    • PEER_GW_IP_1: die externe IP-Adresse eines anderen Peer-Gateways

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME      INTERFACE0    INTERFACE1
    peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
    

Option 2: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit zwei separaten Schnittstellen erstellen

  • Erstellen Sie für diese Art von Peer-Gateway ein einzelnes externes VPN-Gateway mit zwei Schnittstellen:

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    Ersetzen Sie Folgendes:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für eine Schnittstelle vom Peer-Gateway
    • PEER_GW_IP_1 ist die externe IP-Adresse für eine weitere Schnittstelle vom Peer-Gateway

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 und PEER_GW_IP_1 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME     INTERFACE0    INTERFACE1
    peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
    

Option 3: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse erstellen

  • Erstellen Sie für diese Art von Peer-Gateways ein externes VPN-Gateway mit einer Schnittstelle.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0
    

    Ersetzen Sie Folgendes:

    • PEER_GW_NAME: der Name, der das Peer-Gateway darstellt
    • PEER_GW_IP_0: die externe IP-Adresse für die Schnittstelle vom Peer-Gateway

    Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem PEER_GW_IP_0 die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME       INTERFACE0
    peer-gw    PEER_GW_IP_0
    

API

Zum Erstellen einer externen VPN-Gateway-Ressource senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

  • Verwenden Sie für ein externes (Peer-)VPN-Gateway mit einer Schnittstelle das folgende Beispiel. Geben Sie jedoch nur eine Schnittstellen-ID und einen Wert für ipAddress an, mit einem redundancyType von SINGLE_IP_INTERNALLY_REDUNDANT.
  • Verwenden Sie für ein externes VPN-Gateway mit zwei Schnittstellen oder zwei externe VPN-Gateways mit jeweils einer Schnittstelle das TWO_IPS_REDUNDANCY-Beispiel.
  • Verwenden Sie für ein oder mehrere externe VPN-Gateways mit vier externen VPN-Schnittstellen, z. B. Amazon Web Services (AWS), das folgende Beispiel, geben Sie jedoch vier Instanzen der Schnittstellen-ID und ipAddress an und verwenden Sie einen redundancyType von FOUR_IPS_REDUNDANCY.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
       ],
       "redundancyType": "TWO_IPS_REDUNDANCY"
     }
    

Cloud Router erstellen

Console

Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, solange der Cloud Router nicht für Cloud NAT verwendet wird.

  1. Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:

    • einen Namen
    • eine optionale Beschreibung
    • eine Google-ASN für den neuen Router

    Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (64512 bis 65534, 4200000000 bis 4294967294). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.

  2. Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

gcloud

Sie können einen vorhandenen Cloud Router verwenden, sofern er nicht für Cloud NAT verwendet wird. Andernfalls erstellen Sie einen weiteren Cloud Router.

Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Dabei gilt:

  • ROUTER_NAME: der Name des Cloud Routers in derselben Region wie das Cloud VPN-Gateway
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
  • NETWORK: Der Name des VPC-Netzwerks
  • GOOGLE_ASN: private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie nicht bereits im Peer-Netzwerk verwenden; die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden

Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Sie können einen vorhandenen Cloud Router verwenden, solange er nicht für Cloud NAT verwendet wird. Andernfalls erstellen Sie einen anderen Cloud Router.

Zum Erstellen eines Cloud Routers senden Sie eine POST-Anfrage mit der Methode routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

VPN-Tunnel erstellen

Console

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit einer Schnittstelle konfiguriert haben, konfigurieren Sie auf der Seite VPN erstellen Ihren einzelnen Tunnel im Dialogfeld "Einzelner VPN-Tunnel". Für ein SLA von 99,99 % müssen Sie einen zweiten Tunnel erstellen.

Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit zwei oder vier Schnittstellen konfiguriert haben, konfigurieren Sie die zugehörigen Dialogfelder unten auf der Seite VPN erstellen.

So erstellen Sie VPN-Tunnel:

  1. Wählen Sie gegebenenfalls unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination aus, die Sie der Peer-VPN-Gateway-Schnittstelle für diesen Tunnel zuordnen möchten.
  2. Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Wir empfehlen die Verwendung der Standardeinstellung IKE v2, sofern diese von Ihrem Peer-Router unterstützt wird. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
  3. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Erstellen Sie zwei VPN-Tunnel, einen für jede Schnittstelle auf dem HA VPN-Gateway. Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben. Abhängig vom Redundanztyp des externen VPN-Gateways konfigurieren Sie die Tunnel mit einer der folgenden beiden Optionen.

Option 1: Wenn das externe VPN-Gateway aus zwei separaten Peer-VPN-Gateway-Geräten oder einem einzelnen Gerät mit zwei IP-Adressen besteht

  • In diesem Fall muss ein VPN-Tunnel eine Verbindung zur interface 0 des externen VPN-Gateways herstellen, und der andere VPN-Tunnel zur interface 1 des externen VPN-Gateways.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    Ersetzen Sie Folgendes:

    • TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • PEER_GW_NAME: ein Name des bereits erstellen externen Peer-Gateways
    • PEER_EXT_GW_IF0 und PEER_EXT_GW_IF1: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
    • IKE_VERS: 1 für IKEv1 oder 2 für IKEv2; Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.
    • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • GW_NAME: der Name des HA VPN-Gateways
    • INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • VPN_GATEWAY_REGION: die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. Das Flag --vpn-gateway-region ist optional.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
    

Option 2: Wenn das externe VPN-Gateway ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse ist

  • In diesem Fall müssen beide VPN-Tunnel mit der interface 0 des externen VPN-Gateways verbunden werden.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    Ersetzen Sie Folgendes:

    • TUNNEL_NAME_IF0 und TUNNEL_NAME_IF1: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
    • PEER_GW_NAME: der Name des zuvor erstellten externen Peer-Gateways
    • PEER_EXT_GW_IF0: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der Schnittstelle
    • IKE_VERS: 1 für IKEv1 oder 2 für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie --ike-version 2 durch --ike-version 1. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.
    • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.
    • INT_NUM_0: die Nummer 0 für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • INT_NUM_1: die Nummer 1 für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.
    • VPN_GATEWAY_REGION: die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. Das Flag --vpn-gateway-region ist optional.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
    

API

Wenn Sie zwei VPN-Tunnel erstellen möchten, einen für jede Schnittstelle auf dem HA VPN-Gateway, stellen Sie eine POST-Anfrage mit der Methode vpnTunnels.insert. Sie müssen auf jeder Schnittstelle des HA VPN-Gateways einen Tunnel erstellen, um ein SLA mit 99,99 % Verfügbarkeit zu erhalten.

  1. Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
       {
         "name": "ha-vpn-gw-a-tunnel-0",
         "ikeVersion": 2,
         "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
         "peerExternalGatewayInterface": 0,
         "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
         "sharedSecret": "SHARED_SECRET",
         "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
         "vpnGatewayInterface": 0
       }
    

    Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie 2 für die ikeVersion angeben.

  2. Wiederholen Sie diesen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

    • name
    • peerExternalGatewayInterface
    • sharedSecret oder sharedSecretHash (falls erforderlich)
    • vpnGatewayInterface: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in 1.

BGP-Sitzungen erstellen

Für jeden HA VPN-Tunnel können Sie eine IPv4-BGP-Sitzung, eine IPv6-BGP-Sitzung oder beides erstellen.

In der folgenden Tabelle ist der BGP-Sitzungstyp für den HA VPN-Stack und den VPC-Netzwerkverkehr aufgeführt. Wählen Sie einen beliebigen BGP-Sitzungstyp aus, um eine spezifische Anleitung aufzurufen.

BGP-Sitzungstyp HA VPN-Gateway VPC-Netzwerktyp Ist Multiprotokoll-BGP (MP-BGP) zulässig?
IPv4-BGP-Sitzungen Nur IPv4 oder Dual-Stack Nur IPv4 oder Dual-Stack yes
IPv6-BGP-Sitzungen Dual Stack Dual Stack yes
IPv4- und IPv6-BGP-Sitzungen Dual Stack Dual Stack no

Wenn Sie sowohl eine IPv4- als auch eine IPv6-BGP-Sitzung im selben Tunnel einrichten oder MP-BGP in der BGP-Sitzung eines HA VPN-Tunnels aktivieren möchten, verwenden Sie ein Dual-Stack-HA VPN-Gateway. Wenn Sie jedoch eine IPv4-BGP-Sitzung und eine IPv6-BGP-Sitzung im selben HA VPN-Tunnel einrichten, können Sie MP-BGP in keiner der Sitzungen aktivieren.

IPv4-BGP-Sitzungen

Console

So erstellen Sie BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
    1. Wählen Sie unter BGP-Sitzungstyp die Option IPv4-BGP-Sitzung aus.
    2. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    3. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    4. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
    5. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv6-Traffic aktivieren, um den IPv6-Routenaustausch zu aktivieren.
  3. Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor: 1. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein. 1. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen: * Jede IPv4-Adresse muss zum selben /30-Subnetz gehören, das in den Adressbereich 169.254.0.0/16 passt. * Jede IPv4-Adresse ist der erste oder zweite Host des /30-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert. * Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

    Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    1. Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
      1. Geben Sie für Nächster Cloud Router-BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich 2600:2d00:0:2::/63 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die vom Cloud Router beworben werden.
      2. Geben Sie für Peer BGP IPv6 next hop eine IPv6-Adresse im Adressbereich 2600:2d00:0:2::/63 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die der Cloud Router über den BGP-Peer ermittelt hat.
      3. Optional: Maximieren Sie den Bereich Erweiterte Optionen.
      4. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
      5. Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
      6. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
  4. Klicken Sie auf Speichern und fortfahren.

  5. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  6. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

So erstellen Sie BGP-Sitzungen:

Ersetzen Sie in den Befehlen Folgendes:

  • ROUTER_INTERFACE_NAME_0 und ROUTER_INTERFACE_NAME_1: ein Name für die Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
  • TUNNEL_NAME_0 und TUNNEL_NAME_1: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.
  • IP_VERSION: Geben Sie IPV4 an oder lassen Sie das Feld leer. Wenn nicht angegeben, ist der Standardwert IPV4.
  • IP_PREFIXES und CUSTOM_ROUTE_PRIORITY: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.
  • AUTHENTICATION_KEY: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

IPv4-Adressen für eine BGP-Sitzung zuweisen

Wählen Sie die automatische oder manuelle Konfigurationsmethode für das Konfigurieren von Adressen für BGP aus. Mit diesen Befehlen wird IPv6 für BGP nicht aktiviert.

Wenn Sie IPv6 aktivieren möchten, führen Sie die unter IPv6-Adressen für nächsten Hop zuweisen aufgeführten Befehle aus.

Automatisch

Führen Sie die folgenden Schritte aus, wenn die Link-Local-BGP-IPv4-Adressen von Google Cloud automatisch ausgewählt werden sollen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    Wenn Sie keine IP-Version angeben, wird der Schnittstelle standardmäßig eine IPv4-Adresse zugewiesen.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel die BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN des BGP-Peers:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    Fügen Sie das Flag --set-custom-learned-route-ranges hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

    Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Wenn Sie die MD5-Authentifizierung verwenden möchten, fügen Sie das Flag --md5-authentication-key hinzu. Verwenden Sie dieses Feld, um Ihren geheimen Schlüssel zur Verfügung zu stellen:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, möchten Sie möglicherweise die gleichen Routen auf dem zweiten Tunnel konfigurieren. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

Manuell

Führen Sie die folgenden Schritte aus, um die IPv4-BGP-Adressen, die der Cloud Router-Schnittstelle und dem BGP-Peer zugeordnet sind, manuell zuzuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar Link-Local-IPv4-Adressen in einem /30-Block aus dem Adressbereich 169.254.0.0/16 aus (insgesamt vier Subnetze /30 mit eins pro HA VPN-Gateway). Die von Ihnen angegebenen IPv4-Subnetze müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

Weisen Sie für jeden Tunnel dem Cloud Router eine dieser BGP-IPv4-Adressen und die andere BGP-IPv4-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die Peer-BGP-IPv4-Adresse verwendet.

Ersetzen Sie in den aufgeführten Befehlen Folgendes:

  • GOOGLE_BGP_IP_0: die BGP-IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IP_0 steht für die BGP-IPv4-Adresse seines Peers
  • GOOGLE_BGP_IP_1: die BGP-IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IP_1 steht für die BGP-IPv4-Adresse seines Peers
  • MASK_LENGTH: 30; Cloud Router muss ein eindeutiges /30-Subnetz aus dem IPv4-Adressbereich 169.254.0.0/16 verwenden

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_0 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --mask-length 30 \
      --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION
    

    Fügen Sie das Flag --set-custom-learned-route-ranges hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

    Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IP_1 \
     --mask-length 30 \
     --region=REGION
    
  2. Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IP_1 \
     --region=REGION
    

    Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, sollten Sie möglicherweise die gleichen Routen im zweiten Tunnel angeben. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=PRIORITY
    

    Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

IPv6-Adressen des nächsten Hops zuweisen

Verwenden Sie die Befehle in diesem Abschnitt nur, wenn Sie VPN-Tunnel benötigen, die MP-BGP verwenden und sowohl IPv4- als auch IPv6-Traffic austauschen. Wenn Sie IPv6-Traffic nicht über diesen Tunnel weiterleiten möchten oder wenn Sie später eine einzelne IPv6-BGP-Sitzung zu diesem Tunnel hinzufügen möchten, können Sie die unterIPv4-BGP-Adressen zuweisen aufgelisteten befehle nutzen.

Automatisch

Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP erstellen, kann Google Cloud automatisch IPv6-Adressen für den nächsten Hop zuweisen. Google Cloud weist nicht verwendete Adressen aus dem IPv6-Adressbereich 2600:2d00:0:2::/63 zu.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen. In den folgenden Befehlen wird die automatische Konfiguration verwendet. Sie können BGP-IPv4- und BGP-Peer-IPv4-Adressen jedoch auch mithilfe der Flags --ip-address und --peer-ip-address zuweisen, die unter IPv4-BGP-Adressen zuweisen beschrieben werden.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv6
    

    Wenn Sie das Flag --enable-ipv6 angeben, aktivieren Sie den IPv6-Routenaustausch in dieser IPv4-BGP-Sitzung. Dies ist erforderlich, um IPv6-Adressen für den nächsten Hop zuzuweisen. Sie können den IPv6-Routenaustausch später deaktivieren. Weitere Informationen finden Sie unter Multiprotokoll-BGP für IPv4- oder IPv6-Sitzungen konfigurieren.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv6
    

Manuell

Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP erstellen, können Sie IPv6-Adressen des nächsten Hops sowohl für Cloud Router als auch für den BGP-Peer manuell konfigurieren.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen. Beispiele zum manuellen Konfigurieren dieser Adressen finden Sie unter IPv4-BGP-Adressen zuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar IPv6-Adressen für den nächsten Hop aus. Die von Ihnen angegebenen IPv6-Adressen des nächsten Hops müssen unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein und aus den internen IPv6-Adressbereichen ausgewählt werden, die von Google vorab zugewiesen wurden: 2600:2d00:0:2::/63 oder .

Führen Sie die folgenden Schritte aus, um die BGP-IPv6-Adressen für den nächsten Hop manuell zuzuweisen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Ersetzen Sie in den Befehlen Folgendes:

    • PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle
    • PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
    • IPV6_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden. Die Adresse muss im 2600:2d00:0:2::/63-IPv6-Adressbereich liegen.
    • PEER_IPV6_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv6-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im 2600:2d00:0:2::/63-IPv6-Adressbereich liegen.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    Für den zweiten VPN-Tunnel

  3. Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  4. Fügen Sie der zweiten Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Ersetzen Sie in den Befehlen Folgendes:

    • PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle
    • PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
    • IPV6_NEXTHOP_ADDRESS durch die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden
    • PEER_IPV6_NEXTHOP_ADDRESS durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden

API

So erstellen Sie BGP-Sitzungen:

  1. Um eine Cloud Router-Schnittstelle zu erstellen, senden Sie eine der folgenden Anfragen:

    Mit der PATCH-Anfrage werden nur die von Ihnen angegebenen Parameter aktualisiert. Mit der UPDATE-Anfrage werden alle Parameter eines Cloud Router aktualisiert.

    Jeder BGP-Adressbereich für jede IPv4-BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

    Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem zweiten HA VPN-Gateway.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          }
        ]
    }
    
  2. Führen Sie eine der folgenden Anfragen aus, um der Schnittstelle eine BGP-Peer-Konfiguration hinzuzufügen:

    Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

    Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    Das folgende Beispiel enthält einen Befehl zum Hinzufügen eines BGP-Peers mit aktiviertem IPv6-Routenaustausch und manuell konfigurierten IPv6-Adressen für den nächsten Hop. Wenn Sie ipv6NexthopAddress und peerIpv6NexthopAddress auslassen, werden IPv6-Adressen für den nächsten Hop automatisch zugewiesen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress: "2600:2d00:0:2::1"
        "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
        }
      ]
    }
    

    Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, definieren Sie die IP-Präfixe für die Routen. Optional können Sie auch einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festlegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress": "2600:2d00:0:2::1",
        "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
      }
    

    Wenn Sie die Sitzung für die MD5-Authentifizierung konfigurieren möchten, fügen Sie Ihrer Anfrage einen Authentifizierungsschlüssel hinzu. Geben Sie dazu sowohl den Schlüssel als auch den Namen des Schlüssels an. Verweisen Sie beim Erstellen der BGP-Peering-Sitzung dann auf diesen Schlüssel.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

IPv6-BGP-Sitzungen

Console

So erstellen Sie BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:

    1. Wählen Sie unter BGP-Sitzungstyp die Option IPv6-BGP-Sitzung aus.
    2. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    3. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    4. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
    5. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv4-Traffic aktivieren, um den IPv4-Routenaustausch zu aktivieren.
    6. Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:

      1. Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
      2. Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv6-Adresse muss die folgenden Anforderungen erfüllen:
        • Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich fdff:1::/64 mit einer Maskenlänge von /64 sein. Beispiel: fdff:1::1.
        • Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    7. Optional: Wenn Sie im vorherigen Schritt den IPv4-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv4-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:

      1. Geben Sie im Feld BGP-IPv4-Next-Hop von Cloud Router eine IPv4-Adresse im Adressbereich 169.254.0.0/16 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die vom Cloud Router beworben werden.
      2. Geben Sie im Feld Peer BGP IPv4 next hop eine IP-Adresse im Adressbereich 169.254.0.0/16 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat.
      3. Optional: Maximieren Sie den Bereich Erweiterte Optionen.
      4. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
      5. Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
      6. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
  3. Klicken Sie auf Speichern und fortfahren.

  4. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  5. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

So erstellen Sie BGP-Sitzungen:

Ersetzen Sie in den Befehlen Folgendes:

  • ROUTER_INTERFACE_NAME_0 und ROUTER_INTERFACE_NAME_1: ein Name für die Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
  • TUNNEL_NAME_0 und TUNNEL_NAME_1: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.
  • IP_VERSION: IPV6. Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse dieser Schnittstelle automatisch zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.

  • IP_PREFIXES und CUSTOM_ROUTE_PRIORITY: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

  • AUTHENTICATION_KEY: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

Optional: BGP-Kennungsbereich zuweisen

Wenn Sie einem Cloud Router die erste Schnittstelle hinzufügen, wird ihm automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern. Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

IPv6-BGP-Adressen zuweisen

Mit den folgenden Verfahren werden IPv6-BGP-Sitzungen mit automatisch oder manuell konfigurierten BGP-IPv6- und BGP-Peer-IPv6-Adressen erstellt.

Wenn Sie IPv6-BGP mit MP-BGP verwenden möchten, führen Sie die unter IPv4-Adressen für nächsten Hop zuweisen aufgeführten Befehle aus.

Automatisch

Führen Sie die folgenden Schritte aus, wenn die IPv6-Adressen für die BGP-Sitzung von Google Cloud automatisch ausgewählt werden sollen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    Fügen Sie das Flag --set-custom-learned-route-ranges hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

    Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, möchten Sie möglicherweise die gleichen Routen auf dem zweiten Tunnel konfigurieren. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IP_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

Manuell

Führen Sie die folgenden Schritte aus, um der BGP-Sitzung, die mit der Cloud Router-Schnittstelle und dem BGP-Peer verknüpft ist, manuell IPv6-Adressen zuzuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar geeigneter IPv6-Adressen für die BGP-Sitzung aus, je nachdem, welche Art von BGP-Sitzung Sie konfigurieren.

Jede IPv6-Adresse muss eine eindeutige lokale Adresse (ULA) aus dem IPv6-Adressbereich fdff:1::/64 mit einer Maskenlänge von /126 oder weniger sein. Beispiel: fdff:1::1.

Jede IPv6-Adresse muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

Weisen Sie für jeden Tunnel dem Cloud Router eine dieser IPv6-Adressen und die andere IPv6-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die Peer-IPv6-Adresse der BGP-Sitzung verwendet.

Ersetzen Sie in den aufgeführten Befehlen Folgendes:

  • GOOGLE_BGP_IPV6_0: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IPV6_0 steht für die IPv6-Adresse seines BGP-Peers und muss mit der IP-Version von GOOGLE_BGP_IPV6_0 übereinstimmen
  • GOOGLE_BGP_IPV6_1: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IPV6_1 steht für die IPv6-Adresse seines BGP-Peers und muss mit der IP-Version von GOOGLE_BGP_IPV6_1 übereinstimmen

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_0 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV6_0 \
     --mask-length=MASK_LENGTH  \
     --region=REGION \
    

    Ersetzen Sie MASK_LENGTH durch einen Wert von 126 oder niedriger.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0with a name for the peer, and replacePEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION
    

    Fügen Sie das Flag --set-custom-learned-route-ranges hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag --custom-learned-route-priority verwenden, um einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.

    Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine zweite-Schnittstelle hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    Ersetzen Sie MASK_LENGTH durch einen Wert von 64 oder niedriger.

  2. Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION
    

    Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, sollten Sie möglicherweise die gleichen Routen im zweiten Tunnel angeben. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=PRIORITY
    

    Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

IPv4-Adressen des nächsten Hops zuweisen

Verwenden Sie die Befehle in diesem Abschnitt nur, wenn Sie VPN-Tunnel benötigen, die MP-BGP verwenden. Mit MP-BGP können Sie IPv4-Routen über IPv6-BGP-Sitzungen austauschen.

Wenn Sie MP-BGP in der BGP-Sitzung für den Tunnel nicht verwenden möchten, verwenden Sie die Befehle unter IPv6-BGP-Adressen zuweisen.

Sie können BGP-Peer-IPv4- oder IPv6-Adressen des nächsten Hops automatisch oder manuell konfigurieren.

Automatisch

Wenn Sie eine IPv6-BGP-Sitzung mit MP-BGP erstellen, kann Google Cloud automatisch IPv4-Adressen für den nächsten Hop zuweisen. Google Cloud weist nicht verwendete Adressen aus dem Adressbereich 169.254.0.0/16 zu.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv6-Adressen des Cloud Routers und des BGP-Peers auswählen. In den folgenden Befehlen wird die automatische Konfiguration verwendet. Sie können die IPv6-Adressen auch mithilfe der folgenden Flags den Cloud Router-Schnittstellen und BGP-Peers zuweisen:--ip-address und--peer-ip-address Flags, die in IPv6-BGP-IP-Adressen zuweisen beschrieben sind

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv4
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --enable-ipv4
    

Manuell

Wenn Sie IPv6-BGP-Sitzungen mit MP-BGP erstellen, können Sie IPv4-Adressen des nächsten Hops sowohl für Cloud Router als auch für den BGP-Peer manuell konfigurieren.

Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv6-Adressen des Cloud Router und der BGP-Sitzungen auswählen. Beispiele zum manuellen Konfigurieren dieser Adressen finden Sie unter IPv6-BGP-Adressen zuweisen.

Wählen Sie für jeden VPN-Tunnel ein Paar IPv4-Adressen für den nächsten Hop aus dem Bereich der Link-Local-IPv4-Adressen 169.254.0.0/16 aus. Diese IPv4-Adressen müssen für alle Cloud Router in Ihrem VPC-Netzwerk eindeutig sein.

Führen Sie die folgenden Schritte aus, um die BGP-IPv4-Adressen für den nächsten Hop manuell zuzuweisen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Ersetzen Sie in den Befehlen Folgendes:

    • PEER_NAME_0 durch einen Namen für die Peer-VPN-Schnittstelle
    • PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
    • IPV4_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im IPv4-Adressbereich 169.254.0.0/16 liegen.
    • PEER_IPV4_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im IPv4-Adressbereich 169.254.0.0/16 liegen.

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    Für den zweiten VPN-Tunnel

  3. Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  4. Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • PEER_NAME_1 durch einen Namen für die Peer-VPN-Schnittstelle
    • PEER_ASN durch die für das Peer-VPN-Gateway konfigurierte ASN
    • IPV4_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im IPv4-Adressbereich 169.254.0.0/16 liegen.
    • PEER_IPV4_NEXTHOP_ADDRESS: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im IPv4-Adressbereich 169.254.0.0/16 liegen.

API

So erstellen Sie BGP-Sitzungen:

  1. Wenn Sie eine Cloud Router-Schnittstelle erstellen und ihr eine IPv6-Adresse zuweisen möchten, stellen Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch. oder der routers.update-Methode. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

    Im folgenden Beispiel wird eine Schnittstelle mit einer manuell konfigurierten IPv6-Adresse erstellt.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/112"
          }
        ]
    }
    

    Jeder BGP-Adressbereich für jede IPv6-BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

    Mit dem folgenden Befehl wird beispielsweise eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse erstellt.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
        ]
    }
    

    Wiederholen Sie diesen Schritt für jeden VPN-Tunnel auf dem HA VPN-Gateway.

  2. Wenn Sie einem Cloud Router für einen VPN-Tunnel eine BGP-Peer-Konfiguration hinzufügen möchten, senden Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der Methode routers.update. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

    Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    Das folgende Beispiel enthält einen Befehl zum Hinzufügen eines BGP-Peers für die IPv6-BGP-Schnittstelle mit aktiviertem IPv4-Routenaustausch und manuell konfigurierten IPv4-nächster-Hop-Adressen. Wenn Sie ipv4NexthopAddress und peerIpv4NexthopAddress auslassen, werden IPv4-Adressen für den nächsten Hop automatisch zugewiesen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        }
      ]
    }
    

    Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, definieren Sie die IP-Präfixe für die Routen. Optional können Sie auch einen Prioritätswert zwischen 0 und 65535 (einschließlich) für die Routen festlegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
    }
    

    Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

IPv4-BGP- und IPv6-BGP-Sitzungen

Führen Sie die folgenden Schritte aus, um sowohl eine IPv4-BGP-Sitzung als auch eine IPv6-BGP-Sitzung zu erstellen, die parallel im selben HA VPN-Tunnel ausgeführt werden.

Fügen Sie dazu Ihrem Cloud Router zwei BGP-Schnittstellen und zwei BGP-Peers hinzu und verknüpfen Sie sie mit demselben VPN-Tunnel. Sie können MP-BGP in keiner der BGP-Sitzungen verwenden.

Console

So erstellen Sie sowohl IPv4- als auch IPv6-BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:

    1. Wählen Sie für BGP-Sitzungstyp die Option Beide aus.

    IPv4-BGP-Sitzung

    1. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    2. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
    4. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein.
    5. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:

      • Jede IPv4-Adresse muss zum selben /30-Subnetz gehören, das in den Adressbereich 169.254.0.0/16 passt.
      • Jede IPv4-Adresse ist der erste oder zweite Host des /30-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert.
      • Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

      Wenn Sie die automatische IPv6-Adresszuweisung auswählen, wählt Google Cloud die IPv6-Adressen für Ihre BGP-Sitzung automatisch aus.

    6. Optional: Maximieren Sie den Bereich Erweiterte Optionen.

    7. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.

    8. Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.

    9. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

    10. Klicken Sie auf Speichern und fortfahren.

    IPv6-BGP-Sitzung

    1. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    2. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
    4. Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
    5. Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
    6. Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:

      • Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich fdff:1::/64 mit einer Maskenlänge von /64 sein. Beispiel: fdff:1::1
      • Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    7. Optional: Maximieren Sie den Bereich Erweiterte Optionen.

    8. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.

    9. Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.

    10. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie für Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

    11. Klicken Sie auf Speichern und fortfahren.

  3. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  4. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

So erstellen Sie BGP-Sitzungen:

Ersetzen Sie in den Befehlen Folgendes:

  • ROUTER_INTERFACE_NAME_0_ipv4 und ROUTER_INTERFACE_NAME_0_ipv6: Namen für das erste Paar von BGP-Schnittstellen des Cloud Routers, die denselben Tunnel verwenden. Es kann hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.
  • ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: Namen für die zweite Gruppe von BGP-Schnittstellen des Cloud Routers
  • TUNNEL_NAME_0 und TUNNEL_NAME_1: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.
  • IP_PREFIXES und CUSTOM_ROUTE_PRIORITY: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.
  • AUTHENTICATION_KEY: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Außerdem können Sie die IPv4- und IPv6-Adressen für Ihre Cloud Router-Schnittstellen und BGP-Peers automatisch oder manuell konfigurieren.

    Optional: BGP-Kennungsbereich zuweisen

    Wenn Sie einem Cloud Router die erste Schnittstelle mit einer IPv6-Adresse hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern. Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

Automatisch

Führen Sie die folgenden Schritte aus, wenn die BGP-Adressen von Google Cloud automatisch ausgewählt werden sollen.

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
       --ip-version=IPV4
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie demselben Tunnel eine zweite Schnittstelle mit einer IPv6-Adresse hinzu. Führen Sie dazu diesen Befehl aus:

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv4-Adresse für den ersten Tunnel hinzu. Ersetzen Sie PEER_NAME_0_ipv4 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv4 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
       --region=REGION
    
  4. Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv6-Adresse für den ersten Tunnel hinzu. Ersetzen Sie PEER_NAME_0_ipv6 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --region=REGION
    

    In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
     --ip-version=IPV4
    
  2. Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Führen Sie dazu diesen Befehl aus:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
    
  3. Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv4-Adresse für diezweiter Tunnel hinzu. ;ErsetzenPEER_NAME_1_ipv4 durch einen Namen für die Peer-VPN-Schnittstelle und ersetzen SiePEER_ASN mit der für das Peer-VPN-Gateway konfigurierten ASN:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --region=REGION
    
  4. Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv6-Adresse für diezweiter Tunnel hinzu. ;ErsetzenPEER_NAME_1_ipv6 durch einen Namen für die Peer-VPN-Schnittstelle und ersetzen SiePEER_ASN mit der für das Peer-VPN-Gateway konfigurierten ASN:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --region=REGION
    

    In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.

Manuell

Führen Sie die folgenden Schritte aus, um die IPv4- und IPv6-Adressen manuell zuzuweisen, die den Cloud Router-Schnittstellen und BGP-Peers zugeordnet sind.

Wählen Sie für jeden VPN-Tunnel ein Paar geeigneter BGP-Adressen aus, je nachdem, welche Art von BGP-Sitzung Sie konfigurieren. Sie müssen für jeden Sitzungstyp insgesamt vier IP-Adressen auswählen.

  • Für Ihre IPv4-BGP-Sitzungen müssen die vier IPv4-Adressen Link-Local-IPv4-Adressen in einem /30-Block aus dem Bereich 169.254.0.0/16 sein. Beispiel: 169.254.0.1/30
  • Für Ihre IPv6-BGP-Sitzungen müssen die vier IPv6-Adressen eindeutige lokale Adressen (ULA) aus dem Bereich fdff:1::/64 mit einer Länge von maximal /126 sein. Beispiel: fdff:1:1:1::/112

Die von Ihnen angegebenen BGP-IP-Adressbereiche müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

Weisen Sie für jeden Tunnel die BGP-IPv6-Adressen dem Cloud Router zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die BGP-Peer-IPv6-Adressen verwendet.

Ersetzen Sie in den aufgeführten Befehlen Folgendes:

  • GOOGLE_BGP_IPV4_0: die IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IPV4_0 steht für die IPv4-Adresse seines BGP-Peers, stimmt mit GOOGLE_BGP_IPV4_0 überein
  • GOOGLE_BGP_IPV6_0: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0; PEER_BGP_IPV6_0 steht für die IPv6-Adresse seines BGP-Peers, stimmt mit GOOGLE_BGP_IPV6_0 überein
  • GOOGLE_BGP_IPV4_1: die IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IPV4_1 steht für die IPv4-Adresse seines BGP-Peers, stimmt mit GOOGLE_BGP_IPV4_1 überein
  • GOOGLE_BGP_IPV6_1: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1; PEER_BGP_IPV6_1 steht für die IPv6-Adresse seines BGP-Peers, stimmt mit GOOGLE_BGP_IPV6_1 überein

Für den ersten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_0_ipv4 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV4_0 \
      --mask-length 30 \
      --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_0_ipv6 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV6_0 \
      --mask-length=MASK_LENGTH  \
      --region=REGION \
    

    Ersetzen Sie MASK_LENGTH durch einen Wert von 64 oder niedriger.

  3. Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0_ipv4 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_0 \
     --region=REGION
    
  4. Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den ersten Tunnel hinzu. Ersetzen Sie PEER_NAME_0_ipv6 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_0 \
       --region=REGION
    

    In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.

Für den zweiten VPN-Tunnel

  1. Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1_ipv4 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV4_1 \
     --mask-length MASK_LENGTH \
     --region=REGION
    
  2. Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Ersetzen Sie ROUTER_INTERFACE_NAME_1_ipv6 durch einen Namen für die Schnittstelle:

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    Ersetzen Sie MASK_LENGTH durch einen Wert von 64 oder niedriger.

  3. Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie PEER_NAME_1_ipv4 durch einen Namen für den Peer und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_1 \
     --region=REGION
    
  4. Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie PEER_NAME_1_ipv6 durch einen Namen für die Peer-VPN-Schnittstelle und PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_1 \
       --region=REGION
    

    In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.

API

So erstellen Sie BGP-Sitzungen:

  1. Wenn Sie zwei Cloud Router-Schnittstellen erstellen möchten, stellen Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der routers.update-Methode. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

    Erstellen Sie zwei Cloud Router-Schnittstellen für den ersten VPN-Tunnel auf dem HA VPN-Gateway. Sie erstellen eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse. Sie können sowohl die Schnittstellen als auch ihre BGP-Peers in derselben PATCH- oder UPDATE-Anfrage konfigurieren. Die Schnittstellen sind mit demselben linkedVpnTunnel-Tunnel verknüpft und die BGP-Peers werden dann mit den Schnittstellen verknüpft.

    Die BGP-Adressbereiche für jede Schnittstelle müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.

    Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem HA VPN-Gateway.

    Im folgenden Beispiel wird derselben linkedVpnTunnel eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse hinzugefügt. Im Beispielbefehl werden die IPv4- und IPv6-BGP-Adressen manuell angegeben:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/126"
          }
    
        ]
    }
    

    Im folgenden Beispiel wird derselben linkedVpnTunnel eine IPv4-BGP-Schnittstelle und eine IPv6-BGP-Schnittstelle mit automatisch zugewiesenen IPv4- und IPv6-BGP-Adressen hinzugefügt:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV4"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
    
        ]
    }
    
    1. Zum Hinzufügen der BGP-Peers zum Cloud Router für jeden VPN-Tunnel entwederPATCH oderUPDATE Anfrage mithilfe derrouters.patch Methode oderrouters.update Methode stellen Wiederholen Sie diesen Befehl für die anderen VPN-Tunnel und ändern Sie alle Optionen nach Bedarf.

      Beispiel:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
      {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        },
        {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
        "ipAddress": fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
      }
      

Konfiguration prüfen

Console

Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  2. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
  3. Wenn Sie eine Konfigurationsvorlage für Ihr Peer-VPN-Gerät herunterladen möchten, klicken Sie auf Konfiguration herunterladen. Eine Anleitung zum Auswählen Ihrer Vorlage und zum Aufrufen einer Liste unterstützter Anbieter finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen. Sie können die Konfigurationsvorlage auch später herunterladen, indem Sie die Seite Peer-VPN-Gateways aufrufen.
  4. Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

So prüfen Sie die Cloud Router-Konfiguration:

  • Listen Sie die von Cloud Router ausgewählten BGP-Sitzungs-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, werden die BGP-IPv4- oder IPv6-Adressen für die neue Schnittstelle möglicherweise mit der höchsten Indexnummer aufgeführt. Verwenden Sie die BGP-IPv4- oder BGP-IPv6-Adresse peerIpAddress, um Ihr Peer-VPN-Gateway zu konfigurieren:

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index 0 und Index 1), sollte wie im folgenden Beispiel aussehen. Dabei gilt Folgendes:

    • GOOGLE_BGP_IP_0 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 0. PEER_BGP_IP_0 steht für die BGP-IP-Adresse seines Peers.
    • GOOGLE_BGP_IP_1 steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gateway interface 1. PEER_BGP_IP_1 steht für die BGP-IP-Adresse seines Peers.
      result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
      result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
      result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
      result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
      result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
      result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
    
  • Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:

    gcloud compute routers describe ROUTER_NAME \
       --region=REGION
    

    Die vollständige Auflistung sieht so aus:

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

API

Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET mit der Methode routers.getRouterStatus und verwenden Sie einen leeren Anfragetext:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Console

Wenn Sie ein SLA mit 99,99ˆ% Verfügbarkeit erhalten möchten, konfigurieren Sie einen Tunnel auf jeder HA VPN-Schnittstelle eines HA VPN-Gateways.

Konfigurieren Sie einen zweiten Tunnel unter den folgenden Umständen:

  • Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzige Peer-VPN-Schnittstelle hat.
  • Wenn Sie zuvor einen einzelnen Tunnel auf einem HA VPN-Gateway zu einem Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.

Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem Peer-VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.

Priorität der beworbenen Route festlegen (optional)

Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.

Verwenden Sie die in Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen für Aktiv/Aktiv-Routingkonfigurationen, wobei die beworbenen Routenprioritäten der beiden VPN-Tunnel von der Google Cloud-Seite und der Peer-Seite übereinstimmen. Wenn Sie dieselben beworbenen Routenprioritäten von Google Cloud für beide BGP-Peers konfigurieren möchten, lassen Sie die Priorität der beworbenen Route auf der Google Cloud-Seite weg.

Konfigurieren Sie für das Erstellen einer Aktiv/Passiv-Konfiguration ungleiche beworbene Routenprioritäten für die beiden HA VPN-Tunnel. Die Priorität einer beworbenen Route muss höher sein als die der anderen. Beispiel:

  • BGP-Sitzung1/Tunnel1, Routenpriorität = 10
  • BGP-Sitzung2/Tunnel2, Routenpriorität = 20

Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.

Mit benutzerdefiniertem Advertising können Sie auch angeben, welche Routen angeboten werden:

  • Fügen Sie das --advertisement-mode=CUSTOM- (gcloud) oder das advertiseMode: custom (API)-Flag hinzu.
  • Geben Sie IP-Adressbereiche mit dem --set-advertisement-ranges (gcloud)- oder dem advertisedIpRanges (API)- Flag an.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Weitere Informationen finden Sie hier:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
  3. Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Nächste Schritte