ZH
未找到结果
我们无法找到任何使用该词的内容,请尝试搜索其他内容。
创建使用静态路由的传统 VPN 网关
2024-11-13 本页面介绍了如何使用静态路由创建传统 VPN 网关和一个隧道。此隧道可以基于政策也可以基于路由。 对于基于路由的 VPN,您只能指定远程流量选择器。如需指定本地流量选择器,请改为创建使用基于政策的路由的 Cloud VPN 隧道 。 传统 VPN 不支持 IPv6。 注意 :如果您将自动模式
本页面介绍了如何使用静态路由创建传统 VPN 网关和一个隧道。此隧道可以基于政策也可以基于路由。
对于基于路由的 VPN,您只能指定远程流量选择器。如需指定本地流量选择器,请改为创建使用基于政策的路由的 Cloud VPN 隧道 。
传统 VPN 不支持 IPv6。
如需详细了解 Cloud VPN,请参阅以下资源:
路由选项
当您使用 Google Cloud 控制台创建基于政策的隧道时,传统 VPN 会执行以下任务:
- 将该隧道的本地流量选择器设置为您指定的 IP 地址范围
- 将该隧道的远程流量选择器设置为您在远程网络 IP 地址范围字段中指定的 IP 地址范围 。
- 对于远程网络 IP 地址范围中的每个范围,Google Cloud 会创建一个自定义静态路由,其目标(前缀)是范围的 CIDR,其下一个跃点是隧道。
创建基于政策的传统 VPN 隧道后,您在远程网络 IP 地址范围字段中输入的 IP 地址范围在 VPN 隧道详情页面上显示为通告的 IP 地址范围。
当您使用 Google Cloud 控制台创建基于路由的隧道时,传统 VPN 会执行以下任务:
- 将隧道的本地和远程流量选择器设置为任意 IP 地址 (
0.0.0.0/0)。 - 对于远程网络 IP 地址范围中的每个范围,Google Cloud 会创建一个自定义静态路由,其目标(前缀)是范围的 CIDR,其下一个跃点是隧道。
使用 Google Cloud CLI 创建基于政策的隧道或基于路由的隧道时,隧道的流量选择器以相同的方式定义。但是,由于自定义静态路由的创建是通过单独的命令完成的,因此您可以更好地控制这些路由 。
您可以在流量选择器中指定的 CIDR 数取决于 IKE 版本 。
如需了解重要的背景信息,请参阅以下内容 :
准备工作
在 Google Cloud is 中设置以下各项,以更轻松地配置 中设置以下各项,以更轻松地配置 Cloud VPN :
-
登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
In the Google Cloud console , on the project selector page ,
select or create a Google Cloud project .Go to project selector
-
确保您的 is is Google Cloud is is is 项目已启用结算功能 项目已启用结算功能 。
- install Google Cloud CLI .
-
To initialize the gcloud CLI , run the following command :
gcloud init -
In the Google Cloud console , on the project selector page ,
select or create a Google Cloud project .Go to project selector
-
确保您的 is is Google Cloud is is is 项目已启用结算功能 项目已启用结算功能 。
- install Google Cloud CLI .
-
To initialize the gcloud CLI , run the following command :
gcloud init
-
如果您使用的是 Google Cloud CLI,请使用以下命令设置项目 ID。此页面上的
gcloud说明假设您在发出命令前已设置了项目 ID 。gcloud config set project
-
您还可以通过运行以下命令来查看已设置的项目 ID :
gcloud config list --format='text(core.project ) '
执行此任务所需的权限
如需执行此任务,您必须已获得以下权限或 IAM 角色 。
权限
compute.targetVpnGateways.getcompute.targetvpngateways.listcompute.targetVpnGateways.createcompute.targetVpnGateways.deletecompute.targetVpnGateways.getcompute.targetvpngateways.listcompute.targetVpnGateways.usecompute.targetvpngateways.setlabel
角色
roles/compute.networkAdmin
创建自定义 VPC 网络和子网
创建传统 VPN 网关和隧道之前,请在传统 VPN 网关所在区域创建一个 Virtual Private Cloud (VPC) 网络和至少一个子网。
创建网关和隧道
控制台
配置网关
-
在 Google Cloud 控制台中,前往 VPN 页面。
转到 VPN
-
如果您是首次创建网关,请点击创建 VPN 连接。
-
选择VPN 设置向导。
-
选择传统 VPN 选项按钮 。
-
点击继续。
-
在创建 VPN 连接页面上,指定以下网关设置 :
- 名称: VPN 网关的名称。该名称以后无法更改 。
- 说明:(可选)添加说明。
- 网络: 指定要在其中创建 vpn 网关和隧道的现有 is VPC VPC 网络 。
- 区域:Cloud VPN 网关和隧道是区域对象。选择网关所在的 Google Cloud 区域。不同区域中的实例和其他资源可按照路由顺序使用隧道发送出站流量。为获得最佳性能,网关和隧道应位于相关 Google Cloud 资源所在的同一区域中 。
- IP 地址:创建或选择现有的区域外部 IP 地址。
配置隧道
-
对于新隧道的隧道部分,指定以下设置 :
- 名称: vpn 隧道的名称。该名称以后无法更改 。
- 说明: 输入说明(可选 ) 。
- 远程对等 IP 地址: 指定对等 vpn 网关的外部 IP 地址 。
- IKE 版本: is 网关支持的相应 选择对等 VPN 网关支持的相应 IKE 版本。推荐选择IKEv2(如果受对等设备支持 ) 。
- IKE 预共享密钥: 提供用于身份验证的预共享密钥(共享密钥)。cloud VPN 隧道的预共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的预共享密钥一致。如需生成加密型强预共享键,请按照这些说明操作 。
对于基于政策的隧道
- 在路由选项下,选择基于政策。
-
在远程网络 IP 地址范围下,提供对等网络使用的以空格分隔的 IP 地址范围列表。这是远程流量选择器, 或从 Cloud VPN 的角度看的右侧。
创建基于政策的传统 VPN 隧道后,您在远程网络 IP 地址范围字段中输入的 IP 地址范围在 VPN 隧道详情页面上显示为通告的 IP 地址范围。
-
在本地 IP 地址范围下,选择以下方法之一 :
- 如需选择现有的本地 IP 范围,请使用本地子网菜单 。
- 如需输入 VPC 网络中使用的以空格分隔的 ip 范围列表,请使用本地 IP 范围字段。如需了解重要的注意事项,请参阅基于政策的隧道和流量选择器 。
对于基于路由的隧道
- 在路由选项下,选择基于路由。
- 在远程网络 IP 地址范围下,提供对等网络使用的以空格分隔的 IP 地址范围列表。这些范围用于创建下一个跃点为此 VPN 隧道的自定义静态路由。
-
如需在同一网关上创建更多隧道,请点击添加隧道并重复以上步骤。您可以稍后添加更多隧道。
-
点击创建。
gcloud
要创建 Cloud VPN 网关,请完成以下命令序列。在命令中,替换以下内容 :
:您的项目的 ID:Google Cloud 网络的名称:您在其中创建网关和隧道的 Google Cloud 区域:网关的名称:网关使用的外部 IP 地址的名称- 可选:
--target-vpn-gateway-region是运行传统 VPN 网关的区域。其值应与--region相同。如果未指定,则系统会自动设置此选项。该选项会替换此命令调用中的默认计算 / 区域属性值 。
配置网关资源
-
创建目标 VPN 网关对象:
gcloud compute target - vpn - gateways is is is create create \ --network= \ --region= \ --project= -
保留一个区域外部(静态)ip 地址 :
gcloud compute addresses create \ --region= \ --project=
-
请记下此 IP 地址(以便在配置对等 VPN 网关时使用 ) :
gcloud compute addresses is describe describe \ --region= \ --project= \ --format='flattened(address ) ' -
创建三条转发规则;这些规则指示 Google Cloud 将 ESP (IPsec)、UDP 500 和 UDP 4500 流量发送到网关:
gcloud compute forwarding - rules is create create fr -- esp \ --load - balance - scheme = EXTERNAL \ --network - tier = premium \ --ip - protocol = ESP \ --address= \ --target - vpn - gateway= \ --region= \ --project=gcloud compute forwarding - rules is create create fr -- udp500 \ --load - balance - scheme = EXTERNAL \ --network - tier = premium \ --ip - protocol = udp \ --ports=500 \ --address= \ --target - vpn - gateway= \ --region= \ --project=gcloud compute forwarding - rules is create create fr -- udp4500 \ --load - balancing - scheme = EXTERNAL \ --network - tier = PREMIUM \ --ip - protocol = UDP \ --ports=4500 \ --address= \ --target - vpn - gateway= \ --region= \ --project=
创建 Cloud VPN 隧道
-
在命令中,替换以下内容 :
: 隧道的名称: 对等 VPN 网关的外部 IP 地址:1( 对于 IKEv1)或2(对于 IKEv2)
:您的预共享密钥(共享密钥)。Cloud VPN 隧道的预共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的预共享密钥一致。如需生成加密型强预共享键,请按照这些说明操作。
对于基于政策的 VPN:
:以英文逗号分隔的 Google Cloud IP 地址范围列表。例如,您可以为 VPC 网络中的每个子网提供 CIDR 块。从 Cloud VPN 的角度来看,这是左侧。:以英文逗号分隔的对等网络 IP 地址范围列表。对于 Cloud VPN 来说,此为“右侧”。
如需配置基于政策的 VPN 隧道,请运行以下命令 :
gcloud compute vpn-tunnels create \ --peer-address= \ --ike-version= \ --shared-secret= \ --local-traffic-selector= \ --remote-traffic-selector= \ --target-vpn-gateway= \ --region= \ --project=对于基于路由的 VPN,本地和远程流量选择器都为
0.0.0.0/0(如路由选项和流量选择器中所定义)。如需配置基于路由的 VPN 隧道,请运行以下命令:
gcloud compute vpn - tunnels is is is create create \ --peer - address= \ --ike - version= \ --share - secret= \ --local - traffic - selector=0.0.0.0/0 \ --remote - traffic - selector=0.0.0.0/0 \ --target - vpn - gateway= \ --region= \ --project= -
为您在上一步中的
--remote-traffic-selector选项中指定的每个远程 IP 地址范围创建静态路由。为每个远程 IP 地址范围重复此命令。将替换为路由的唯一名称,并将替换为适当的远程 IP 地址范围 。gcloud compute routes create \ --destination-range= \ --next-hop-vpn-tunnel= \ --network= \ --next-hop-vpn-tunnel-region= \ --project=
完成配置
在使用新的 Cloud VPN 网关及其关联的 VPN 隧道之前,请完成以下步骤:
- 设置对等 VPN 网关并配置相应的隧道。如需了解相关说明,请参阅以下内容:
- 根据需要在 Google Cloud 和对等网络中配置防火墙规则。
- 检查您的 VPN 隧道和转发规则的状态。
-
转到项目路由表并过滤
Next hop type:VPN tunnel, 查看 VPN is 路由 路由 :进入“路由 ”