Auf dieser Seite wird beschrieben, wie Sie ein HA VPN-Gateway mit einer Verbindung zu einem Peer-VPN-Gateway erstellen.
HA VPN-Gateways verwenden die HA VPN API und stellen ein SLA von 99,99 % bereit. Bei dieser Konfiguration wird ein Tunnelpaar mit jeweils einem Tunnel auf jeder HA VPN-Gateway-Schnittstelle verwendet. Wenn Sie ein SLA von 99,99 % erzielen möchten, müssen Sie VPN-Tunnel auf beiden HA VPN-Gateway-Schnittstellen konfigurieren.
Für HA VPNs sind zwei Gateway-Komponenten zu konfigurieren:
- Ein HA VPN-Gateway in Google Cloud.
Ihr Peer-VPN-Gateway oder Ihre Peer-VPN-Gateways: ein oder mehrere physische VPN-Gateway-Geräte oder Softwareanwendungen im Peer-Netzwerk, mit denen sich das HA VPN-Gateway verbindet. Das Peer-Gateway kann entweder ein lokales VPN-Gateway sein oder ein Gateway, das von einem anderen Cloud-Anbieter gehostet wird.
Erstellen Sie in Google Cloud für jedes Peer-Gateway-Gerät oder jeden Dienst eine externe VPN-Gateway-Ressource. Hinweis: Alle Peer-Gateway-Szenarien werden durch eine einzelne externe Peer-VPN-Ressource in Google Cloud dargestellt.
Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:
Diagramme dieser Topologie finden Sie unter HA VPN für Peer-VPN-Gateways.
Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.
Wenn Sie HA VPN über Cloud Interconnect bereitstellen möchten, finden Sie weitere Informationen unter HA VPN über Cloud Interconnect – Übersicht.
Redundanztypen
Die HA VPN API enthält eine Option für REDUNDANCY_TYPE
. Sie stellt die Anzahl der Schnittstellen dar, die Sie für die externe VPN-Gateway-Ressource konfigurieren.
Wenn Sie eine externe VPN-Gateway-Ressource konfigurieren, leiten gcloud
-Befehle automatisch die folgenden Werte von REDUNDANCY_TYPE
von der Anzahl der Schnittstellen ab, die Sie in der Schnittstellen-ID bereitstellen:
- Für eine externe VPN-Schnittstelle gilt
SINGLE_IP_INTERNALLY_REDUNDANT
. - Für zwei externe VPN-Schnittstellen gilt
TWO_IPS_REDUNDANCY
. - Für vier externe VPN-Schnittstellen gilt
FOUR_IPS_REDUNDANCY
.
Wenn Sie externe VPN-Gateways konfigurieren, müssen Sie die folgenden Schnittstellen-Identifikationsnummern für die angegebene Anzahl externer VPN-Schnittstellen verwenden:
- Verwenden Sie für eine externe VPN-Schnittstelle den Wert
0
. - Verwenden Sie für zwei externe VPN-Schnittstellen die Werte
0
und1
. - Verwenden Sie für vier externe VPN-Schnittstellen die Werte
0
,1
,2
und3
.
Cloud Router erstellen
Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.
Hinweis
Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.
Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.
Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die
gcloud
-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.gcloud config set project PROJECT_ID
-
Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
gcloud config list --format='text(core.project)'
Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen
Bevor Sie ein HA VPN-Gateway und ein Tunnelpaar erstellen, erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region, in der sich das HA VPN-Gateway befindet:
- Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
- Informationen zum Erstellen von Subnetzen finden Sie unter Mit Subnetzen arbeiten.
Um IPv6 für HA VPN-Gateways zu aktivieren, müssen Sie die Zuweisung interner IPv6-Adressen aktivieren, wenn Sie die VPC erstellen. Außerdem müssen Sie die Subnetze so konfigurieren, dass interne IPv6-Adressen verwendet werden.
Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren.
- Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus mit internen IPv6-Adressen finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus mit mindestens einem Dual-Stack-Subnetz erstellen.
- Informationen zum Erstellen eines Subnetzes mit aktiviertem IPv6 finden Sie unter Dual-Stack-Subnetz hinzufügen.
- Informationen zum Aktivieren von IPv6 in einem vorhandenen Subnetz finden Sie unter IPv4-Subnetz in ein Dual-Stack-Subnetz konvertieren.
- Informationen zum Erstellen von VMs mit aktiviertem IPv6 finden Sie unter IPv6 für Instanzen und Instanzvorlagen konfigurieren.
Das VPC-Subnetz muss für die Verwendung interner IPv6-Adressen konfiguriert sein.
Wenn Sie die gcloud CLI verwenden, konfigurieren Sie das Subnetz mit dem Flag --ipv6-access-type=INTERNAL
. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL
) konfiguriert sind, nicht dynamisch.
Informationen zur Verwendung interner IPv6-Adressbereiche in Ihrem VPC-Netzwerk und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.
In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:
- Alle Instanzen von Cloud Router wenden die von ihnen erlernten
to on-premises
-Routen auf alle Subnetze des VPC-Netzwerks an. - Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.
Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen
Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, ein Tunnelpaar und BGP-Sitzungen zu erstellen.
HA VPN-Gateway erstellen
Console
Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.
So erstellen Sie ein HA VPN-Gateway:
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
Wählen Sie den VPN-Einrichtungsassistenten aus.
Geben Sie unter VPN-Gateway-Name einen Namen für das HA VPN-Gateway ein.
Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
Wählen Sie unter Region eine Region für Ihr HA VPN-Gateway aus.
Wählen Sie für IP-Version des VPN-Gateways eine IP-Version des HA VPN-Gateways aus.
Die IP-Version des HA VPN-Gateways und des Peer-VPN-Gateways muss gleich sein.
Wählen Sie unter IP-Stacktyp des VPN-Gateways einen Stacktyp für das VPN-Gateway aus.
Klicken Sie auf Erstellen und fortfahren.
Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IP-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.
gcloud
Führen Sie die folgenden Befehle aus, um ein HA VPN-Gateway zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IP-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.
- Wenn Sie nur IPv4-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp
IPV4_ONLY
erstellen. - Wenn Sie sowohl IPv4- als auch IPv6-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp
IPV4_IPV6
erstellen. - Wenn Sie nur IPv6-Arbeitslasten unterstützen möchten, können Sie ein HA VPN-Gateway mit dem Stacktyp
IPV6_ONLY
erstellen.
Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway mit IPv4-Schnittstellen zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ [--stack-type=IP_STACK]
Ersetzen Sie Folgendes:
GW_NAME
: der Name des GatewaysNETWORK
: der Name Ihres Google Cloud-NetzwerksREGION
: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellenIP_STACK
: der zu verwendende IP-Stack. Geben Sie entwederIPV4_ONLY
oderIPV4_IPV6
an. Wenn Sie dieses Flag nicht angeben, ist der Stacktyp für das HA VPN-GatewayIPV4_ONLY
. Das Flag--stack-type
ist optional.
Sie können auch --gateway-ip-version=IPV4
angeben. Dieses Flag ist jedoch nicht erforderlich. Wenn Sie dieses Flag nicht angeben, verwendet das HA VPN-Gateway standardmäßig externe IPv4-Adressen.
Führen Sie den folgenden Befehl aus, um ein HA VPN-Gateway mit IPv6-Schnittstellen zu erstellen. Beim Erstellen des Gateways werden automatisch zwei externe IPv6-Adressen zugewiesen, eine für jede Gateway-Schnittstelle.
gcloud compute vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Ersetzen Sie Folgendes:
GW_NAME
: der Name des GatewaysNETWORK
: der Name Ihres Google Cloud-NetzwerksREGION
: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellenIP_STACK
: der zu verwendende IP-Stack. Geben Sie entwederIPV4_IPV6
oderIPV6_ONLY
an. Wenn Sie dieses Flag nicht angeben, ist der Stacktyp für das HA VPN-GatewayIPV4_IPV6
. Das Flag--stack-type
ist optional.
Das von Ihnen erstellte Gateway sieht in etwa so aus: Wenn Sie --gateway-ip-version=IPV6
angeben, werden IPv6-Schnittstellen zugewiesen.
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 2600:1900:4f00:2:a:49b:: 2600:1900:4f10:2:a:6a8:: network-a us-central1
API
Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.
Zum Erstellen eines HA VPN-Gateways senden Sie eine POST
-Anfrage mit der Methode vpnGateways.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6", "gatewayIpVersion": "IPV4" }
POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Wenn Sie ein HA VPN-Gateway mit IPv4-Schnittstellen erstellen, sind die Felder
gatewayIpVersion
undstackType
optional.Wenn Sie keinen
stackType
angeben, ist der StandardwertIPV4_ONLY
.Wenn Sie keinen
gatewayIpVersion
angeben, ist der StandardwertIPV4
.Die einzigen gültigen
stackType
-Werte für ein Gateway mit einemgatewayIpVersion
vonIPV4
sindIPV4_IPV6
oderIPV4_ONLY
.
Wenn Sie ein HA VPN-Gateway mit IPv6-Schnittstellen erstellen, geben Sie
IPV6
als Wert fürgatewayIpVersion
an. Das FeldstackType
ist optional.Wenn Sie keinen
stackType
angeben, ist der StandardwertIPV4_IPV6
.Die einzigen gültigen
stackType
-Werte für ein Gateway mit einemgatewayIpVersion
vonIPV6
sindIPV4_IPV6
oderIPV6_ONLY
.
Peer-VPN-Gateway-Ressource erstellen
Console
Die Peer-VPN-Gateway-Ressource stellt Ihr Drittanbieter-Cloud-Gateway in Google Cloud dar.
So erstellen Sie eine Peer-VPN-Gateway-Ressource:
- Wählen Sie auf der Seite VPN erstellen unter Peer-VPN-Gateway die Option Lokal oder Nicht-Google-Cloud aus.
Unter Name des Peer-VPN-Gateways wählen Sie ein vorhandenes Peer-Gateway aus oder klicken Sie auf Neues Peer-VPN-Gateway erstellen.
Wenn Sie ein vorhandenes Gateway auswählen, wird die Anzahl der zu konfigurierenden Tunnel von der Google Cloud Console anhand der Anzahl der Peer-Schnittstellen ausgewählt, die Sie auf dem vorhandenen Peer-Gateway konfiguriert haben.
Mit den folgenden Schritten können Sie ein neues Peer-Gateway erstellen:
- Geben Sie einen Namen für das Peer-VPN-Gateway an.
- Wählen Sie unter Peer-VPN-Gateway-Schnittstellen einen der Werte
one
,two
oderfour
für die Schnittstellen aus, je nach Art der Schnittstellen, die Ihr Peer-Gateway hat. Beispiele für jeden Typ finden Sie auf der Seite "Topologien". - Geben Sie im Feld für jede Peer-VPN-Schnittstelle die für diese Schnittstelle verwendete externe IP-Adresse an. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
- Klicken Sie auf Erstellen.
gcloud
Erstellen Sie eine externe VPN-Gateway-Ressource, die Google Cloud Informationen zu Ihrem Peer-VPN-Gateway oder Ihren Gateways zur Verfügung stellt. Abhängig von den Hochverfügbarkeitsempfehlungen für Ihr Peer-VPN-Gateway können Sie externe VPN-Gateway-Ressourcen für die folgenden Typen lokaler VPN-Gateways erstellen:
- Zwei separate Peer-VPN-Gateway-Geräte, wobei die beiden Geräte redundant sind und jedes Gerät eine eigene externe IP-Adresse hat.
- Ein einzelnes Peer-VPN-Gateway, das zwei separate Schnittstellen mit jeweils einer eigenen externen IP-Adresse verwendet. Für diese Art von Peer-Gateway können Sie ein einzelnes externes VPN-Gateway mit zwei Schnittstellen erstellen.
- Ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse.
Option 1: Externe VPN-Gateway-Ressource für zwei separate Peer-VPN-Gateway-Geräte erstellen
Für diese Art von Peer-Gateway hat jede Schnittstelle des externen VPN-Gateways eine externe IP-Adresse. Jede Adresse stammt von einem der Peer-VPN-Gateway-Geräte.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Ersetzen Sie Folgendes:
PEER_GW_NAME
: der Name, der das Peer-Gateway darstelltPEER_GW_IP_0
: die externe IP-Adresse für ein Peer-GatewayPEER_GW_IP_1
: die externe IP-Adresse eines anderen Peer-Gateways
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem
PEER_GW_IP_0
undPEER_GW_IP_1
die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Option 2: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit zwei separaten Schnittstellen erstellen
Erstellen Sie für diese Art von Peer-Gateway ein einzelnes externes VPN-Gateway mit zwei Schnittstellen:
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
Ersetzen Sie Folgendes:
PEER_GW_NAME
: der Name, der das Peer-Gateway darstelltPEER_GW_IP_0
: die externe IP-Adresse für eine Schnittstelle vom Peer-GatewayPEER_GW_IP_1
ist die externe IP-Adresse für eine weitere Schnittstelle vom Peer-Gateway
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem
PEER_GW_IP_0
undPEER_GW_IP_1
die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 INTERFACE1 peer-gw PEER_GW_IP_0 PEER_GW_IP_1
Option 3: Externe VPN-Gateway-Ressource für ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse erstellen
Erstellen Sie für diese Art von Peer-Gateways ein externes VPN-Gateway mit einer Schnittstelle.
gcloud compute external-vpn-gateways create PEER_GW_NAME \ --interfaces 0=PEER_GW_IP_0
Ersetzen Sie Folgendes:
PEER_GW_NAME
: der Name, der das Peer-Gateway darstelltPEER_GW_IP_0
: die externe IP-Adresse für die Schnittstelle vom Peer-Gateway
Die von Ihnen erstellte externe VPN-Gateway-Ressource sollte wie das folgende Beispiel aussehen, in dem
PEER_GW_IP_0
die tatsächlichen externen IP-Adressen der Peer-Gateway-Schnittstellen zeigen:Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw]. NAME INTERFACE0 peer-gw PEER_GW_IP_0
API
Zum Erstellen einer externen VPN-Gateway-Ressource senden Sie eine POST
-Anfrage mit der Methode externalVpnGateways.insert
.
- Verwenden Sie für ein externes (Peer-)VPN-Gateway mit einer Schnittstelle das folgende Beispiel. Geben Sie jedoch nur eine Schnittstellen-ID und einen Wert für
ipAddress
an, mit einemredundancyType
vonSINGLE_IP_INTERNALLY_REDUNDANT
. - Verwenden Sie für ein externes VPN-Gateway mit zwei Schnittstellen oder zwei externe VPN-Gateways mit jeweils einer Schnittstelle das
TWO_IPS_REDUNDANCY
-Beispiel. Verwenden Sie für ein oder mehrere externe VPN-Gateways mit vier externen VPN-Schnittstellen, z. B. Amazon Web Services (AWS), das folgende Beispiel, geben Sie jedoch vier Instanzen der Schnittstellen-ID und
ipAddress
an und verwenden Sie einenredundancyType
vonFOUR_IPS_REDUNDANCY
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways { "name": "my-peer-gateway", "interfaces": [ { "id": 0, "ipAddress": "192.0.2.1" }, { "id": 1, "ipAddress": "192.0.2.2" } ], "redundancyType": "TWO_IPS_REDUNDANCY" }
Cloud Router erstellen
Console
Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, solange der Cloud Router nicht für Cloud NAT verwendet wird.
Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:
- einen Namen
- eine optionale Beschreibung
- eine Google-ASN für den neuen Router
Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (
64512
bis65534
,4200000000
bis4294967294
). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.Klicken Sie auf Erstellen, um den neuen Router zu erstellen.
gcloud
Sie können einen vorhandenen Cloud Router verwenden, sofern er nicht für Cloud NAT verwendet wird. Andernfalls erstellen Sie einen weiteren Cloud Router.
Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Dabei gilt:
ROUTER_NAME
: der Name des Cloud Routers in derselben Region wie das Cloud VPN-GatewayREGION
: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellenNETWORK
: Der Name des VPC-NetzwerksGOOGLE_ASN
: private ASN (64512
bis65534
,4200000000
bis4294967294
), die Sie nicht bereits im Peer-Netzwerk verwenden; die Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden
Der von Ihnen erstellte Router sollte in etwa der folgenden Beispielausgabe entsprechen:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
API
Sie können einen vorhandenen Cloud Router verwenden, solange er nicht für Cloud NAT verwendet wird. Andernfalls erstellen Sie einen anderen Cloud Router.
Zum Erstellen eines Cloud Routers senden Sie eine POST
-Anfrage mit der Methode routers.insert
:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
VPN-Tunnel erstellen
Console
Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit einer Schnittstelle konfiguriert haben, konfigurieren Sie auf der Seite VPN erstellen Ihren einzelnen Tunnel im Dialogfeld "Einzelner VPN-Tunnel". Für ein SLA von 99,99 % müssen Sie einen zweiten Tunnel erstellen.
Wenn Sie Ihre Peer-VPN-Gateway-Ressource mit zwei oder vier Schnittstellen konfiguriert haben, konfigurieren Sie die zugehörigen Dialogfelder unten auf der Seite VPN erstellen.
So erstellen Sie VPN-Tunnel:
- Wählen Sie gegebenenfalls unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination aus, die Sie der Peer-VPN-Gateway-Schnittstelle für diesen Tunnel zuordnen möchten.
- Wählen Sie unter Zugehörige Peer-VPN-Gateway-Schnittstelle die Peer-VPN-Gateway-Schnittstelle und IP-Adressen-Kombination aus, die Sie diesem Tunnel und der HA VPN-Schnittstelle zuordnen möchten. Diese Schnittstelle muss mit der Schnittstelle Ihres tatsächlichen Peer-Routers übereinstimmen.
- Geben Sie einen Namen für den Tunnel an.
- Geben Sie eine optionale Beschreibung an.
- Geben Sie die IKE-Version an. Wir empfehlen die Verwendung der Standardeinstellung IKE v2, sofern diese von Ihrem Peer-Router unterstützt wird. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
- Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
- Klicken Sie auf Fertig.
- Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
- Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.
gcloud
Erstellen Sie zwei VPN-Tunnel, einen für jede Schnittstelle auf dem HA VPN-Gateway. Geben Sie beim Erstellen von VPN-Tunneln die Peer-Seite der VPN-Tunnel als das externe VPN-Gateway an, das Sie zuvor erstellt haben. Abhängig vom Redundanztyp des externen VPN-Gateways konfigurieren Sie die Tunnel mit einer der folgenden beiden Optionen.
Option 1: Wenn das externe VPN-Gateway aus zwei separaten Peer-VPN-Gateway-Geräten oder einem einzelnen Gerät mit zwei IP-Adressen besteht
In diesem Fall muss ein VPN-Tunnel eine Verbindung zur
interface 0
des externen VPN-Gateways herstellen, und der andere VPN-Tunnel zurinterface 1
des externen VPN-Gateways.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_1
Ersetzen Sie Folgendes:
TUNNEL_NAME_IF0
undTUNNEL_NAME_IF1
: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.PEER_GW_NAME
: ein Name des bereits erstellen externen Peer-GatewaysPEER_EXT_GW_IF0
undPEER_EXT_GW_IF1
: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der SchnittstelleIKE_VERS
:1
für IKEv1 oder2
für IKEv2; Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie--ike-version 2
durch--ike-version 1
. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.SHARED_SECRET
: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.GW_NAME
: der Name des HA VPN-GatewaysINT_NUM_0
: die Nummer0
für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.INT_NUM_1
: die Nummer1
für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.VPN_GATEWAY_REGION
: die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit--region
übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. Das Flag--vpn-gateway-region
ist optional.
Die Befehlsausgabe sieht dann ungefähr so aus:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 1
Option 2: Wenn das externe VPN-Gateway ein einzelnes Peer-VPN-Gateway mit einer einzigen externen IP-Adresse ist
In diesem Fall müssen beide VPN-Tunnel mit der
interface 0
des externen VPN-Gateways verbunden werden.gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_0
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=PEER_GW_NAME \ --peer-external-gateway-interface=PEER_EXT_GW_IF0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=GW_NAME \ [--vpn-gateway-region=VPN_GATEWAY_REGION] \ --interface=INT_NUM_1
Ersetzen Sie Folgendes:
TUNNEL_NAME_IF0
undTUNNEL_NAME_IF1
: Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.PEER_GW_NAME
: der Name des zuvor erstellten externen Peer-GatewaysPEER_EXT_GW_IF0
: die zuvor auf dem externen Peer-Gateway konfigurierte Nummer der SchnittstelleIKE_VERS
:1
für IKEv1 oder2
für IKEv2. Verwenden Sie als IKE-Version nach Möglichkeit IKEv2. Wenn das Peer-Gateway IKEv1 erfordert, ersetzen Sie--ike-version 2
durch--ike-version 1
. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 angeben.SHARED_SECRET
: Ihr vorinstallierter Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren.INT_NUM_0
: die Nummer0
für die erste Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.INT_NUM_1
: die Nummer1
für die zweite Schnittstelle auf dem HA VPN-Gateway, das Sie zuvor erstellt haben.VPN_GATEWAY_REGION
: die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit--region
übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. Das Flag--vpn-gateway-region
ist optional.
Die Befehlsausgabe sieht dann ungefähr so aus:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-0 us-central1 ha-vpn-gw-a 0 peer-gw 0 Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1]. NAME REGION GATEWAY VPN_INTERFACE PEER_GATEWAY PEER_INTERFACE tunnel-a-to-on-prem-if-1 us-central1 ha-vpn-gw-a 1 peer-gw 0
API
Wenn Sie zwei VPN-Tunnel erstellen möchten, einen für jede Schnittstelle auf dem HA VPN-Gateway, stellen Sie eine POST
-Anfrage mit der Methode vpnTunnels.insert
. Sie müssen auf jeder Schnittstelle des HA VPN-Gateways einen Tunnel erstellen, um ein SLA mit 99,99 % Verfügbarkeit zu erhalten.
Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway", "peerExternalGatewayInterface": 0, "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SHARED_SECRET", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie
2
für dieikeVersion
angeben.Wiederholen Sie diesen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:
name
peerExternalGatewayInterface
sharedSecret
odersharedSecretHash
(falls erforderlich)vpnGatewayInterface
: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in1
.
BGP-Sitzungen erstellen
Für jeden HA VPN-Tunnel können Sie eine IPv4-BGP-Sitzung, eine IPv6-BGP-Sitzung oder beides erstellen.
In der folgenden Tabelle ist der BGP-Sitzungstyp für den HA VPN-Stack und den VPC-Netzwerkverkehr aufgeführt. Wählen Sie einen beliebigen BGP-Sitzungstyp aus, um eine spezifische Anleitung aufzurufen.
BGP-Sitzungstyp | HA VPN-Gateway | VPC-Netzwerktyp | Ist Multiprotokoll-BGP (MP-BGP) zulässig? |
---|---|---|---|
IPv4-BGP-Sitzungen | Nur IPv4 oder Dual-Stack | Nur IPv4 oder Dual-Stack | yes |
IPv6-BGP-Sitzungen | Dual Stack | Dual Stack | yes |
IPv4- und IPv6-BGP-Sitzungen | Dual Stack | Dual Stack | no |
Wenn Sie sowohl eine IPv4- als auch eine IPv6-BGP-Sitzung im selben Tunnel einrichten oder MP-BGP in der BGP-Sitzung eines HA VPN-Tunnels aktivieren möchten, verwenden Sie ein Dual-Stack-HA VPN-Gateway. Wenn Sie jedoch eine IPv4-BGP-Sitzung und eine IPv6-BGP-Sitzung im selben HA VPN-Tunnel einrichten, können Sie MP-BGP in keiner der Sitzungen aktivieren.
IPv4-BGP-Sitzungen
Console
So erstellen Sie BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
- Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie unter BGP-Sitzungstyp die Option IPv4-BGP-Sitzung aus.
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv6-Traffic aktivieren, um den IPv6-Routenaustausch zu aktivieren.
Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor: 1. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein. 1. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen: * Jede IPv4-Adresse muss zum selben
/30
-Subnetz gehören, das in den Adressbereich169.254.0.0/16
passt. * Jede IPv4-Adresse ist der erste oder zweite Host des/30
-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert. * Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.
- Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie für Nächster Cloud Router-BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich
2600:2d00:0:2::/63
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die vom Cloud Router beworben werden. - Geben Sie für Peer BGP IPv6 next hop eine IPv6-Adresse im Adressbereich
2600:2d00:0:2::/63
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die der Cloud Router über den BGP-Peer ermittelt hat. - Optional: Maximieren Sie den Bereich Erweiterte Optionen.
- Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
- Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
- Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
- Geben Sie für Nächster Cloud Router-BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich
- Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
So erstellen Sie BGP-Sitzungen:
Ersetzen Sie in den Befehlen Folgendes:
ROUTER_INTERFACE_NAME_0
undROUTER_INTERFACE_NAME_1
: ein Name für die Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.TUNNEL_NAME_0
undTUNNEL_NAME_1
: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.IP_VERSION
: Geben SieIPV4
an oder lassen Sie das Feld leer. Wenn nicht angegeben, ist der StandardwertIPV4
.IP_PREFIXES
undCUSTOM_ROUTE_PRIORITY
: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.AUTHENTICATION_KEY
: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
IPv4-Adressen für eine BGP-Sitzung zuweisen
Wählen Sie die automatische oder manuelle Konfigurationsmethode für das Konfigurieren von Adressen für BGP aus. Mit diesen Befehlen wird IPv6 für BGP nicht aktiviert.
Wenn Sie IPv6 aktivieren möchten, führen Sie die unter IPv6-Adressen für nächsten Hop zuweisen aufgeführten Befehle aus.
Automatisch
Führen Sie die folgenden Schritte aus, wenn die Link-Local-BGP-IPv4-Adressen von Google Cloud automatisch ausgewählt werden sollen.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Wenn Sie keine IP-Version angeben, wird der Schnittstelle standardmäßig eine IPv4-Adresse zugewiesen.
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel die BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN des BGP-Peers:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Fügen Sie das Flag
--set-custom-learned-route-ranges
hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag--custom-learned-route-priority
verwenden, um einen Prioritätswert zwischen0
und65535
(einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Wenn Sie die MD5-Authentifizierung verwenden möchten, fügen Sie das Flag
--md5-authentication-key
hinzu. Verwenden Sie dieses Feld, um Ihren geheimen Schlüssel zur Verfügung zu stellen:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, möchten Sie möglicherweise die gleichen Routen auf dem zweiten Tunnel konfigurieren. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuell
Führen Sie die folgenden Schritte aus, um die IPv4-BGP-Adressen, die der Cloud Router-Schnittstelle und dem BGP-Peer zugeordnet sind, manuell zuzuweisen.
Wählen Sie für jeden VPN-Tunnel ein Paar Link-Local-IPv4-Adressen in einem /30
-Block aus dem Adressbereich 169.254.0.0/16
aus (insgesamt vier Subnetze /30
mit eins pro HA VPN-Gateway).
Die von Ihnen angegebenen IPv4-Subnetze müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.
Weisen Sie für jeden Tunnel dem Cloud Router eine dieser BGP-IPv4-Adressen und die andere BGP-IPv4-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die Peer-BGP-IPv4-Adresse verwendet.
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
GOOGLE_BGP_IP_0
: die BGP-IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 0
;PEER_BGP_IP_0
steht für die BGP-IPv4-Adresse seines PeersGOOGLE_BGP_IP_1
: die BGP-IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 1
;PEER_BGP_IP_1
steht für die BGP-IPv4-Adresse seines PeersMASK_LENGTH
:30
; Cloud Router muss ein eindeutiges/30
-Subnetz aus dem IPv4-Adressbereich169.254.0.0/16
verwenden
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_0
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IP_0 \ --mask-length 30 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0
durch einen Namen für den Peer undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION
Fügen Sie das Flag
--set-custom-learned-route-ranges
hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag--custom-learned-route-priority
verwenden, um einen Prioritätswert zwischen0
und65535
(einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_1
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IP_1 \ --mask-length 30 \ --region=REGION
Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für den Peer undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IP_1 \ --region=REGION
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, sollten Sie möglicherweise die gleichen Routen im zweiten Tunnel angeben. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=PRIORITY
Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IP_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
IPv6-Adressen des nächsten Hops zuweisen
Verwenden Sie die Befehle in diesem Abschnitt nur, wenn Sie VPN-Tunnel benötigen, die MP-BGP verwenden und sowohl IPv4- als auch IPv6-Traffic austauschen. Wenn Sie IPv6-Traffic nicht über diesen Tunnel weiterleiten möchten oder wenn Sie später eine einzelne IPv6-BGP-Sitzung zu diesem Tunnel hinzufügen möchten, können Sie die unterIPv4-BGP-Adressen zuweisen aufgelisteten befehle nutzen.
Automatisch
Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP erstellen, kann Google Cloud automatisch IPv6-Adressen für den nächsten Hop zuweisen.
Google Cloud weist nicht verwendete Adressen aus dem IPv6-Adressbereich 2600:2d00:0:2::/63
zu.
Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen. In den folgenden Befehlen wird die automatische Konfiguration verwendet. Sie können BGP-IPv4- und BGP-Peer-IPv4-Adressen jedoch auch mithilfe der Flags --ip-address
und --peer-ip-address
zuweisen, die unter IPv4-BGP-Adressen zuweisen beschrieben werden.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6
Wenn Sie das Flag
--enable-ipv6
angeben, aktivieren Sie den IPv6-Routenaustausch in dieser IPv4-BGP-Sitzung. Dies ist erforderlich, um IPv6-Adressen für den nächsten Hop zuzuweisen. Sie können den IPv6-Routenaustausch später deaktivieren. Weitere Informationen finden Sie unter Multiprotokoll-BGP für IPv4- oder IPv6-Sitzungen konfigurieren.Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6
Manuell
Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP erstellen, können Sie IPv6-Adressen des nächsten Hops sowohl für Cloud Router als auch für den BGP-Peer manuell konfigurieren.
Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv4-Adressen des Cloud Routers und des BGP-Peers auswählen. Beispiele zum manuellen Konfigurieren dieser Adressen finden Sie unter IPv4-BGP-Adressen zuweisen.
Wählen Sie für jeden VPN-Tunnel ein Paar IPv6-Adressen für den nächsten Hop aus.
Die von Ihnen angegebenen IPv6-Adressen des nächsten Hops müssen unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein und aus den internen IPv6-Adressbereichen ausgewählt werden, die von Google vorab zugewiesen wurden: 2600:2d00:0:2::/63
oder .
Führen Sie die folgenden Schritte aus, um die BGP-IPv6-Adressen für den nächsten Hop manuell zuzuweisen.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Ersetzen Sie in den Befehlen Folgendes:
PEER_NAME_0
durch einen Namen für die Peer-VPN-SchnittstellePEER_ASN
durch die für das Peer-VPN-Gateway konfigurierte ASNIPV6_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden. Die Adresse muss im2600:2d00:0:2::/63
-IPv6-Adressbereich liegen.PEER_IPV6_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv6-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im2600:2d00:0:2::/63
-IPv6-Adressbereich liegen.
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION
Fügen Sie der zweiten Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu.
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Ersetzen Sie in den Befehlen Folgendes:
PEER_NAME_1
durch einen Namen für die Peer-VPN-SchnittstellePEER_ASN
durch die für das Peer-VPN-Gateway konfigurierte ASNIPV6_NEXTHOP_ADDRESS
durch die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werdenPEER_IPV6_NEXTHOP_ADDRESS
durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden
API
So erstellen Sie BGP-Sitzungen:
Um eine Cloud Router-Schnittstelle zu erstellen, senden Sie eine der folgenden Anfragen:
PATCH
: Verwenden Sie die Methoderouters.patch
:UPDATE
: Verwenden Sie die Methoderouters.update
:
Mit der
PATCH
-Anfrage werden nur die von Ihnen angegebenen Parameter aktualisiert. Mit derUPDATE
-Anfrage werden alle Parameter eines Cloud Router aktualisiert.Jeder BGP-Adressbereich für jede IPv4-BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem zweiten HA VPN-Gateway.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Führen Sie eine der folgenden Anfragen aus, um der Schnittstelle eine BGP-Peer-Konfiguration hinzuzufügen:
PATCH
: Verwenden Sie die Methoderouters.patch
:UPDATE
: Verwenden Sie die Methoderouters.update
:
Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer
name
undpeerAsn
.Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" } ] }
Das folgende Beispiel enthält einen Befehl zum Hinzufügen eines BGP-Peers mit aktiviertem IPv6-Routenaustausch und manuell konfigurierten IPv6-Adressen für den nächsten Hop. Wenn Sie
ipv6NexthopAddress
undpeerIpv6NexthopAddress
auslassen, werden IPv6-Adressen für den nächsten Hop automatisch zugewiesen.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress: "2600:2d00:0:2::1" "peerIpv6NexthopAddress: "2600:2d00:0:2::2" } ] }
Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, definieren Sie die IP-Präfixe für die Routen. Optional können Sie auch einen Prioritätswert zwischen
0
und65535
(einschließlich) für die Routen festlegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "enableIpv6": true, "ipv6NexthopAddress": "2600:2d00:0:2::1", "peerIpv6NexthopAddress": "2600:2d00:0:2::2", "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Wenn Sie die Sitzung für die MD5-Authentifizierung konfigurieren möchten, fügen Sie Ihrer Anfrage einen Authentifizierungsschlüssel hinzu. Geben Sie dazu sowohl den Schlüssel als auch den Namen des Schlüssels an. Verweisen Sie beim Erstellen der BGP-Peering-Sitzung dann auf diesen Schlüssel.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
IPv6-BGP-Sitzungen
Console
So erstellen Sie BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie unter BGP-Sitzungstyp die Option IPv6-BGP-Sitzung aus.
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv4-Traffic aktivieren, um den IPv4-Routenaustausch zu aktivieren.
Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
- Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv6-Adresse muss die folgenden Anforderungen erfüllen:
- Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich
fdff:1::/64
mit einer Maskenlänge von/64
sein. Beispiel:fdff:1::1
. - Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.
- Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich
Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.
Optional: Wenn Sie im vorherigen Schritt den IPv4-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv4-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie im Feld BGP-IPv4-Next-Hop von Cloud Router eine IPv4-Adresse im Adressbereich
169.254.0.0/16
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die vom Cloud Router beworben werden. - Geben Sie im Feld Peer BGP IPv4 next hop eine IP-Adresse im Adressbereich
169.254.0.0/16
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat. - Optional: Maximieren Sie den Bereich Erweiterte Optionen.
- Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
- Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
- Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
- Geben Sie im Feld BGP-IPv4-Next-Hop von Cloud Router eine IPv4-Adresse im Adressbereich
Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
So erstellen Sie BGP-Sitzungen:
Ersetzen Sie in den Befehlen Folgendes:
ROUTER_INTERFACE_NAME_0
undROUTER_INTERFACE_NAME_1
: ein Name für die Schnittstelle von Cloud Router. Dabei kann es hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.TUNNEL_NAME_0
undTUNNEL_NAME_1
: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.IP_VERSION
:IPV6
. Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse dieser Schnittstelle automatisch zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.IP_PREFIXES
undCUSTOM_ROUTE_PRIORITY
: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.AUTHENTICATION_KEY
: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Optional: BGP-Kennungsbereich zuweisen
Wenn Sie einem Cloud Router die erste Schnittstelle hinzufügen, wird ihm automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern. Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.
IPv6-BGP-Adressen zuweisen
Mit den folgenden Verfahren werden IPv6-BGP-Sitzungen mit automatisch oder manuell konfigurierten BGP-IPv6- und BGP-Peer-IPv6-Adressen erstellt.
Wenn Sie IPv6-BGP mit MP-BGP verwenden möchten, führen Sie die unter IPv4-Adressen für nächsten Hop zuweisen aufgeführten Befehle aus.
Automatisch
Führen Sie die folgenden Schritte aus, wenn die IPv6-Adressen für die BGP-Sitzung von Google Cloud automatisch ausgewählt werden sollen.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION
Fügen Sie das Flag
--set-custom-learned-route-ranges
hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag--custom-learned-route-priority
verwenden, um einen Prioritätswert zwischen0
und65535
(einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, möchten Sie möglicherweise die gleichen Routen auf dem zweiten Tunnel konfigurieren. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IP_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Manuell
Führen Sie die folgenden Schritte aus, um der BGP-Sitzung, die mit der Cloud Router-Schnittstelle und dem BGP-Peer verknüpft ist, manuell IPv6-Adressen zuzuweisen.
Wählen Sie für jeden VPN-Tunnel ein Paar geeigneter IPv6-Adressen für die BGP-Sitzung aus, je nachdem, welche Art von BGP-Sitzung Sie konfigurieren.
Jede IPv6-Adresse muss eine eindeutige lokale Adresse (ULA) aus dem IPv6-Adressbereich fdff:1::/64
mit einer Maskenlänge von /126
oder weniger sein. Beispiel: fdff:1::1
.
Jede IPv6-Adresse muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.
Weisen Sie für jeden Tunnel dem Cloud Router eine dieser IPv6-Adressen und die andere IPv6-Adresse Ihrem Peer-VPN-Gateway zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die Peer-IPv6-Adresse der BGP-Sitzung verwendet.
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
GOOGLE_BGP_IPV6_0
: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 0
;PEER_BGP_IPV6_0
steht für die IPv6-Adresse seines BGP-Peers und muss mit der IP-Version vonGOOGLE_BGP_IPV6_0
übereinstimmenGOOGLE_BGP_IPV6_1
: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 1
;PEER_BGP_IPV6_1
steht für die IPv6-Adresse seines BGP-Peers und muss mit der IP-Version vonGOOGLE_BGP_IPV6_1
übereinstimmen
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_0
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Ersetzen Sie
MASK_LENGTH
durch einen Wert von126
oder niedriger.Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie PEER_NAME_0
with a name for the peer, and replace
PEER_ASN durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
Fügen Sie das Flag
--set-custom-learned-route-ranges
hinzu, wenn Sie benutzerdefinierte erkannte Routen für den Peer definieren möchten. Optional können Sie auch das Flag--custom-learned-route-priority
verwenden, um einen Prioritätswert zwischen0
und65535
(einschließlich) für die Routen festzulegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.Wenn Sie beispielsweise benutzerdefiniert erkannte Routen hinzufügen und eine Priorität für die Routen festlegen möchten, führen Sie den folgenden Befehl aus:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine zweite-Schnittstelle hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_1
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Ersetzen Sie
MASK_LENGTH
durch einen Wert von64
oder niedriger.Fügen Sie der Schnittstelle einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für den Peer undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
Wenn Sie auf dem ersten Tunnel benutzerdefinierte erkannte Routen konfiguriert haben, sollten Sie möglicherweise die gleichen Routen im zweiten Tunnel angeben. Sie können den zweiten Tunnel beispielsweise als Sicherung für die Routen konfigurieren. In diesem Fall sollten Sie den Routen eine niedrigere Priorität (eine höhere Zahl) zuweisen. Wenn Sie beide Tunnel zusammen als Teil einer ECMP-Route (Equal Cost Multipath) verwenden möchten, geben Sie den Routen dieselbe Priorität wie beim ersten Tunnel. Verwenden Sie in beiden Fällen einen Befehl wie den folgenden:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --set-custom-learned-route-ranges=IPV6_PREFIXES \ --custom-learned-route-priority=PRIORITY
Optional: Wenn Sie die MD5-Authentifizierung aktivieren möchten, geben Sie den geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
IPv4-Adressen des nächsten Hops zuweisen
Verwenden Sie die Befehle in diesem Abschnitt nur, wenn Sie VPN-Tunnel benötigen, die MP-BGP verwenden. Mit MP-BGP können Sie IPv4-Routen über IPv6-BGP-Sitzungen austauschen.
Wenn Sie MP-BGP in der BGP-Sitzung für den Tunnel nicht verwenden möchten, verwenden Sie die Befehle unter IPv6-BGP-Adressen zuweisen.
Sie können BGP-Peer-IPv4- oder IPv6-Adressen des nächsten Hops automatisch oder manuell konfigurieren.
Automatisch
Wenn Sie eine IPv6-BGP-Sitzung mit MP-BGP erstellen, kann Google Cloud automatisch IPv4-Adressen für den nächsten Hop zuweisen.
Google Cloud weist nicht verwendete Adressen aus dem Adressbereich 169.254.0.0/16
zu.
Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv6-Adressen des Cloud Routers und des BGP-Peers auswählen. In den folgenden Befehlen wird die automatische Konfiguration verwendet. Sie können die IPv6-Adressen auch mithilfe der folgenden Flags den Cloud Router-Schnittstellen und BGP-Peers zuweisen:--ip-address
und--peer-ip-address
Flags, die in
IPv6-BGP-IP-Adressen zuweisen beschrieben sind
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie
PEER_NAME_1
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4
Manuell
Wenn Sie IPv6-BGP-Sitzungen mit MP-BGP erstellen, können Sie IPv4-Adressen des nächsten Hops sowohl für Cloud Router als auch für den BGP-Peer manuell konfigurieren.
Diese Konfiguration hat keinen Einfluss darauf, ob Sie die automatische oder manuelle Konfiguration der IPv6-Adressen des Cloud Router und der BGP-Sitzungen auswählen. Beispiele zum manuellen Konfigurieren dieser Adressen finden Sie unter IPv6-BGP-Adressen zuweisen.
Wählen Sie für jeden VPN-Tunnel ein Paar IPv4-Adressen für den nächsten Hop aus dem Bereich der Link-Local-IPv4-Adressen 169.254.0.0/16
aus. Diese IPv4-Adressen müssen für alle Cloud Router in Ihrem VPC-Netzwerk eindeutig sein.
Führen Sie die folgenden Schritte aus, um die BGP-IPv4-Adressen für den nächsten Hop manuell zuzuweisen.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_0 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Ersetzen Sie in den Befehlen Folgendes:
PEER_NAME_0
durch einen Namen für die Peer-VPN-SchnittstellePEER_ASN
durch die für das Peer-VPN-Gateway konfigurierte ASNIPV4_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im IPv4-Adressbereich169.254.0.0/16
liegen.PEER_IPV4_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im IPv4-Adressbereich169.254.0.0/16
liegen.
Die Befehlsausgabe sieht dann ungefähr so aus:
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine neue Schnittstelle hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Fügen Sie der Schnittstelle für den zweiten Tunnel einen BGP-Peer-Konfiguration hinzu.
gcloud compute routers add-bgp-peerROUTER_NAME \ --peer-name=PEER_NAME_1 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
PEER_NAME_1
durch einen Namen für die Peer-VPN-SchnittstellePEER_ASN
durch die für das Peer-VPN-Gateway konfigurierte ASNIPV4_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im IPv4-Adressbereich169.254.0.0/16
liegen.PEER_IPV4_NEXTHOP_ADDRESS
: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im IPv4-Adressbereich169.254.0.0/16
liegen.
API
So erstellen Sie BGP-Sitzungen:
Wenn Sie eine Cloud Router-Schnittstelle erstellen und ihr eine IPv6-Adresse zuweisen möchten, stellen Sie entweder eine
PATCH
- oder eineUPDATE
-Anfrage mit der Methoderouters.patch
. oder derrouters.update
-Methode.PATCH
aktualisiert nur die Parameter, die Sie angeben.UPDATE
aktualisiert alle Parameter für Cloud Router.Im folgenden Beispiel wird eine Schnittstelle mit einer manuell konfigurierten IPv6-Adresse erstellt.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/112" } ] }
Jeder BGP-Adressbereich für jede IPv6-BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.
Mit dem folgenden Befehl wird beispielsweise eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse erstellt.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Wiederholen Sie diesen Schritt für jeden VPN-Tunnel auf dem HA VPN-Gateway.
Wenn Sie einem Cloud Router für einen VPN-Tunnel eine BGP-Peer-Konfiguration hinzufügen möchten, senden Sie entweder eine
PATCH
- oder eineUPDATE
-Anfrage mit der Methoderouters.patch
oder der Methoderouters.update
. Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außername
undpeerAsn
.Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Das folgende Beispiel enthält einen Befehl zum Hinzufügen eines BGP-Peers für die IPv6-BGP-Schnittstelle mit aktiviertem IPv4-Routenaustausch und manuell konfigurierten IPv4-nächster-Hop-Adressen. Wenn Sie
ipv4NexthopAddress
undpeerIpv4NexthopAddress
auslassen, werden IPv4-Adressen für den nächsten Hop automatisch zugewiesen.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" } ] }
Wenn Sie benutzerdefinierte erkannte Routen für den Peer angeben möchten, definieren Sie die IP-Präfixe für die Routen. Optional können Sie auch einen Prioritätswert zwischen
0
und65535
(einschließlich) für die Routen festlegen. Jede BGP-Sitzung kann einen Prioritätswert haben, der für alle benutzerdefinierten erkannten Routen gilt, die Sie für die Sitzung konfiguriert haben. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.0.1", "peerIpv4NexthopAddress: "169.254.0.2" "customLearnedRoutePriority": 200, "customLearnedIpRanges": [ { "range": "1.2.3.4" }, { "range": "6.7.0.0/16" }, { "range": "2001:db8:abcd:12::/64" } ] } ] }
Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ] }
IPv4-BGP- und IPv6-BGP-Sitzungen
Führen Sie die folgenden Schritte aus, um sowohl eine IPv4-BGP-Sitzung als auch eine IPv6-BGP-Sitzung zu erstellen, die parallel im selben HA VPN-Tunnel ausgeführt werden.
Fügen Sie dazu Ihrem Cloud Router zwei BGP-Schnittstellen und zwei BGP-Peers hinzu und verknüpfen Sie sie mit demselben VPN-Tunnel. Sie können MP-BGP in keiner der BGP-Sitzungen verwenden.
Console
So erstellen Sie sowohl IPv4- als auch IPv6-BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie für BGP-Sitzungstyp die Option Beide aus.
IPv4-BGP-Sitzung
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein.
Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:
- Jede IPv4-Adresse muss zum selben
/30
-Subnetz gehören, das in den Adressbereich169.254.0.0/16
passt. - Jede IPv4-Adresse ist der erste oder zweite Host des
/30
-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert. - Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.
Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.
Wenn Sie die automatische IPv6-Adresszuweisung auswählen, wählt Google Cloud die IPv6-Adressen für Ihre BGP-Sitzung automatisch aus.
- Jede IPv4-Adresse muss zum selben
Optional: Maximieren Sie den Bereich Erweiterte Optionen.
Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
Klicken Sie auf Speichern und fortfahren.
IPv6-BGP-Sitzung
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:
- Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich
fdff:1::/64
mit einer Maskenlänge von/64
sein. Beispiel:fdff:1::1
- Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.
Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.
- Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich
Optional: Maximieren Sie den Bereich Erweiterte Optionen.
Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie für Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
So erstellen Sie BGP-Sitzungen:
Ersetzen Sie in den Befehlen Folgendes:
ROUTER_INTERFACE_NAME_0_ipv4
undROUTER_INTERFACE_NAME_0_ipv6
: Namen für das erste Paar von BGP-Schnittstellen des Cloud Routers, die denselben Tunnel verwenden. Es kann hilfreich sein, Namen zu verwenden, die sich auf die zuvor konfigurierten Tunnelnamen beziehen.ROUTER_INTERFACE_NAME_1_ipv4
,ROUTER_INTERFACE_NAME_1_ipv6
: Namen für die zweite Gruppe von BGP-Schnittstellen des Cloud RoutersTUNNEL_NAME_0
undTUNNEL_NAME_1
: der Tunnel, der der von Ihnen konfigurierten HA VPN-Gateway-Schnittstelle zugeordnet ist.IP_PREFIXES
undCUSTOM_ROUTE_PRIORITY
: Werte, mit denen Sie erkannte Routen für eine BGP-Sitzung manuell angeben können. Weitere Informationen zu diesem Feature finden Sie unter Benutzerdefinierte erkannte Routen.AUTHENTICATION_KEY
: der geheimen Schlüssel, der für die MD5-Authentifizierung verwendet werden soll. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.Außerdem können Sie die IPv4- und IPv6-Adressen für Ihre Cloud Router-Schnittstellen und BGP-Peers automatisch oder manuell konfigurieren.
Optional: BGP-Kennungsbereich zuweisen
Wenn Sie einem Cloud Router die erste Schnittstelle mit einer IPv6-Adresse hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern. Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.
Automatisch
Führen Sie die folgenden Schritte aus, wenn die BGP-Adressen von Google Cloud automatisch ausgewählt werden sollen.
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu.
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION --ip-version=IPV4
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie demselben Tunnel eine zweite Schnittstelle mit einer IPv6-Adresse hinzu. Führen Sie dazu diesen Befehl aus:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --region=REGION \ --ip-version=IPV6
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv4-Adresse für den ersten Tunnel hinzu. Ersetzen Sie
PEER_NAME_0_ipv4
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --region=REGION
Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv6-Adresse für den ersten Tunnel hinzu. Ersetzen Sie
PEER_NAME_0_ipv6
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --region=REGION
In den meisten Fällen ist die
PEER_ASN
identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION --ip-version=IPV4
Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Führen Sie dazu diesen Befehl aus:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --region=REGION \ --ip-version=IPV6
Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv4-Adresse für diezweiter Tunnel hinzu. ;Ersetzen
PEER_NAME_1_ipv4
durch einen Namen für die Peer-VPN-Schnittstelle und ersetzen SiePEER_ASN
mit der für das Peer-VPN-Gateway konfigurierten ASN:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --region=REGION
Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration mit der IPv6-Adresse für diezweiter Tunnel hinzu. ;Ersetzen
PEER_NAME_1_ipv6
durch einen Namen für die Peer-VPN-Schnittstelle und ersetzen SiePEER_ASN
mit der für das Peer-VPN-Gateway konfigurierten ASN:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --region=REGION
In den meisten Fällen ist die
PEER_ASN
identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.
Manuell
Führen Sie die folgenden Schritte aus, um die IPv4- und IPv6-Adressen manuell zuzuweisen, die den Cloud Router-Schnittstellen und BGP-Peers zugeordnet sind.
Wählen Sie für jeden VPN-Tunnel ein Paar geeigneter BGP-Adressen aus, je nachdem, welche Art von BGP-Sitzung Sie konfigurieren. Sie müssen für jeden Sitzungstyp insgesamt vier IP-Adressen auswählen.
- Für Ihre IPv4-BGP-Sitzungen müssen die vier IPv4-Adressen Link-Local-IPv4-Adressen in einem
/30
-Block aus dem Bereich169.254.0.0/16
sein. Beispiel:169.254.0.1/30
- Für Ihre IPv6-BGP-Sitzungen müssen die vier IPv6-Adressen eindeutige lokale Adressen (ULA) aus dem Bereich
fdff:1::/64
mit einer Länge von maximal/126
sein. Beispiel:fdff:1:1:1::/112
Die von Ihnen angegebenen BGP-IP-Adressbereiche müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.
Weisen Sie für jeden Tunnel die BGP-IPv6-Adressen dem Cloud Router zu. Konfigurieren Sie Ihr Peer-VPN-Gerät so, dass es die BGP-Peer-IPv6-Adressen verwendet.
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
GOOGLE_BGP_IPV4_0
: die IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 0
;PEER_BGP_IPV4_0
steht für die IPv4-Adresse seines BGP-Peers, stimmt mitGOOGLE_BGP_IPV4_0
übereinGOOGLE_BGP_IPV6_0
: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 0
;PEER_BGP_IPV6_0
steht für die IPv6-Adresse seines BGP-Peers, stimmt mitGOOGLE_BGP_IPV6_0
übereinGOOGLE_BGP_IPV4_1
: die IPv4-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 1
;PEER_BGP_IPV4_1
steht für die IPv4-Adresse seines BGP-Peers, stimmt mitGOOGLE_BGP_IPV4_1
übereinGOOGLE_BGP_IPV6_1
: die IPv6-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 1
;PEER_BGP_IPV6_1
steht für die IPv6-Adresse seines BGP-Peers, stimmt mitGOOGLE_BGP_IPV6_1
überein
Für den ersten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_0_ipv4
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV4_0 \ --mask-length 30 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_0_ipv6
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_0 \ --ip-address=GOOGLE_BGP_IPV6_0 \ --mask-length=MASK_LENGTH \ --region=REGION \
Ersetzen Sie
MASK_LENGTH
durch einen Wert von64
oder niedriger.Fügen Sie der Schnittstelle für den ersten Tunnel einen BGP-Peer-Konfiguration hinzu. Ersetzen Sie
PEER_NAME_0_ipv4
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_0 \ --region=REGION
Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den ersten Tunnel hinzu. Ersetzen Sie
PEER_NAME_0_ipv6
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_0_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_0 \ --region=REGION
In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.
Für den zweiten VPN-Tunnel
Fügen Sie dem Cloud Router eine Schnittstelle mit einer IPv4-Adresse hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_1_ipv4
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV4_1 \ --mask-length MASK_LENGTH \ --region=REGION
Fügen Sie demselben Tunnel eine Schnittstelle mit einer IPv6-Adresse hinzu. Ersetzen Sie
ROUTER_INTERFACE_NAME_1_ipv6
durch einen Namen für die Schnittstelle:gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_1 \ --ip-address=GOOGLE_BGP_IPV6_1 \ --mask-length=MASK_LENGTH \ --region=REGION \
Ersetzen Sie
MASK_LENGTH
durch einen Wert von64
oder niedriger.Fügen Sie der ersten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie
PEER_NAME_1_ipv4
durch einen Namen für den Peer undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv4 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_BGP_IPV4_1 \ --region=REGION
Fügen Sie der zweiten Schnittstelle eine BGP-Peer-Konfiguration für den zweiten Tunnel hinzu. Ersetzen Sie
PEER_NAME_1_ipv6
durch einen Namen für die Peer-VPN-Schnittstelle undPEER_ASN
durch die ASN, die für das Peer-VPN-Gateway konfiguriert wurde:gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=PEER_NAME_1_ipv6 \ --peer-asn=PEER_ASN \ --interface=ROUTER_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_BGP_IPV6_1 \ --region=REGION
In den meisten Fällen ist die PEER_ASN identisch, kann aber je nach Topologie Ihres lokalen Netzwerks variieren.
API
So erstellen Sie BGP-Sitzungen:
Wenn Sie zwei Cloud Router-Schnittstellen erstellen möchten, stellen Sie entweder eine
PATCH
- oder eineUPDATE
-Anfrage mit der Methoderouters.patch
oder derrouters.update
-Methode.PATCH
aktualisiert nur die Parameter, die Sie angeben.UPDATE
aktualisiert alle Parameter für Cloud Router.Erstellen Sie zwei Cloud Router-Schnittstellen für den ersten VPN-Tunnel auf dem HA VPN-Gateway. Sie erstellen eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse. Sie können sowohl die Schnittstellen als auch ihre BGP-Peers in derselben
PATCH
- oderUPDATE
-Anfrage konfigurieren. Die Schnittstellen sind mit demselbenlinkedVpnTunnel
-Tunnel verknüpft und die BGP-Peers werden dann mit den Schnittstellen verknüpft.Die BGP-Adressbereiche für jede Schnittstelle müssen für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.
Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel auf dem HA VPN-Gateway.
Im folgenden Beispiel wird derselben
linkedVpnTunnel
eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse hinzugefügt. Im Beispielbefehl werden die IPv4- und IPv6-BGP-Adressen manuell angegeben:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::/126" } ] }
Im folgenden Beispiel wird derselben
linkedVpnTunnel
eine IPv4-BGP-Schnittstelle und eine IPv6-BGP-Schnittstelle mit automatisch zugewiesenen IPv4- und IPv6-BGP-Adressen hinzugefügt:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-on-prem-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Zum Hinzufügen der BGP-Peers zum Cloud Router für jeden VPN-Tunnel entweder
PATCH
oderUPDATE
Anfrage mithilfe derrouters.patch
Methode oderrouters.update
Methode stellen Wiederholen Sie diesen Befehl für die anderen VPN-Tunnel und ändern Sie alle Optionen nach Bedarf.Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6", "ipAddress": fdff:1::1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Konfiguration prüfen
Console
Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:
- Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
- Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen.
- Wenn Sie eine Konfigurationsvorlage für Ihr Peer-VPN-Gerät herunterladen möchten, klicken Sie auf Konfiguration herunterladen. Eine Anleitung zum Auswählen Ihrer Vorlage und zum Aufrufen einer Liste unterstützter Anbieter finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen. Sie können die Konfigurationsvorlage auch später herunterladen, indem Sie die Seite Peer-VPN-Gateways aufrufen.
- Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.
gcloud
So prüfen Sie die Cloud Router-Konfiguration:
Listen Sie die von Cloud Router ausgewählten BGP-Sitzungs-IP-Adressen auf. Wenn Sie einem vorhandenen Cloud Router eine neue Schnittstelle hinzugefügt haben, werden die BGP-IPv4- oder IPv6-Adressen für die neue Schnittstelle möglicherweise mit der höchsten Indexnummer aufgeführt. Verwenden Sie die BGP-IPv4- oder BGP-IPv6-Adresse
peerIpAddress
, um Ihr Peer-VPN-Gateway zu konfigurieren:gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
Die erwartete Ausgabe für einen Cloud Router, der zwei Cloud VPN-Tunnel verwaltet (Index
0
und Index1
), sollte wie im folgenden Beispiel aussehen. Dabei gilt Folgendes:GOOGLE_BGP_IP_0
steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 0
.PEER_BGP_IP_0
steht für die BGP-IP-Adresse seines Peers.GOOGLE_BGP_IP_1
steht für die BGP-IP-Adresse der Cloud Router-Schnittstelle für den Tunnel im Cloud VPN-Gatewayinterface 1
.PEER_BGP_IP_1
steht für die BGP-IP-Adresse seines Peers.
result.bgpPeerStatus[0].ipAddress: 169.254.0.1 GOOGLE_BGP_IP_0 result.bgpPeerStatus[0].name: bgp-peer-tunnel-a-to-on-prem-if-0 result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 PEER_BGP_IP_0 result.bgpPeerStatus[1].ipAddress: 169.254.1.1 GOOGLE_BGP_IP_1 result.bgpPeerStatus[1].name: bgp-peer-tunnel-a-to-on-prem-if-1 result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 PEER_BGP_IP_1
Sie können auch den folgenden Befehl verwenden, um eine vollständige Liste der Cloud Router-Konfiguration abzurufen:
gcloud compute routers describe ROUTER_NAME \ --region=REGION
Die vollständige Auflistung sieht so aus:
bgp: advertiseMode: DEFAULT asn: 65001 bgpPeers: - interfaceName: if-tunnel-a-to-on-prem-if-0 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-on-prem-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 - interfaceName: if-tunnel-a-to-on-prem-if-1 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-on-prem-if-1 peerAsn: 65004 peerIpAddress: 169.254.1.2 creationTimestamp: '2018-10-18T11:58:41.704-07:00' id: '4726715617198303502' interfaces: - ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0 name: if-tunnel-a-to-on-prem-if-0 - ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1 name: if-tunnel-a-to-on-prem-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
API
Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET
mit der Methode routers.getRouterStatus
und verwenden Sie einen leeren Anfragetext:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen
Console
Wenn Sie ein SLA mit 99,99ˆ% Verfügbarkeit erhalten möchten, konfigurieren Sie einen Tunnel auf jeder HA VPN-Schnittstelle eines HA VPN-Gateways.
Konfigurieren Sie einen zweiten Tunnel unter den folgenden Umständen:
- Wenn Sie ein HA VPN-Gateway mit einem Peer-VPN-Gateway konfiguriert haben, das eine einzige Peer-VPN-Schnittstelle hat.
- Wenn Sie zuvor einen einzelnen Tunnel auf einem HA VPN-Gateway zu einem Peer-VPN-Gateway eingerichtet haben, das eine beliebige Anzahl von Schnittstellen enthält, jetzt aber ein SLA mit 99,99 % Verfügbarkeit für Ihr HA VPN-Gateway möchten.
Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem Peer-VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.
Priorität der beworbenen Route festlegen (optional)
Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.
Verwenden Sie die in Gateway und Tunnelpaar zwischen HA VPN und Peer-VPN erstellen für Aktiv/Aktiv-Routingkonfigurationen, wobei die beworbenen Routenprioritäten der beiden VPN-Tunnel von der Google Cloud-Seite und der Peer-Seite übereinstimmen. Wenn Sie dieselben beworbenen Routenprioritäten von Google Cloud für beide BGP-Peers konfigurieren möchten, lassen Sie die Priorität der beworbenen Route auf der Google Cloud-Seite weg.
Konfigurieren Sie für das Erstellen einer Aktiv/Passiv-Konfiguration ungleiche beworbene Routenprioritäten für die beiden HA VPN-Tunnel. Die Priorität einer beworbenen Route muss höher sein als die der anderen. Beispiel:
- BGP-Sitzung1/Tunnel1, Routenpriorität =
10
- BGP-Sitzung2/Tunnel2, Routenpriorität =
20
Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.
Mit benutzerdefiniertem Advertising können Sie auch angeben, welche Routen angeboten werden:
- Fügen Sie das
--advertisement-mode=CUSTOM
- (gcloud
) oder dasadvertiseMode: custom
(API)-Flag hinzu. - Geben Sie IP-Adressbereiche mit dem
--set-advertisement-ranges
(gcloud
)- oder demadvertisedIpRanges
(API)- Flag an.
Konfiguration abschließen
Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:
- Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie den entsprechenden Tunnel bzw. die Tunnel dort. Weitere Informationen finden Sie hier:
- Informationen zur Konfiguration bestimmter Peer-VPN-Geräte finden Sie unter Drittanbieter-VPNs verwenden.
- Unterstützte Peer-Topologien finden Sie unter Cloud VPN-Topologien.
- Allgemeine Konfigurationsparameter finden Sie unter Peer-VPN-Gateway konfigurieren.
- Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
- Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.
Nächste Schritte
- Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.