GCP a récemment lancé une nouvelle option HA pour la passerelle VPN. Si une passerelle VPN redondante est choisie, elle fournit deux adresses IP pour une résilience maximale. L'activation de BGP est requise pour surveiller quel tunnel est actif.
C'est la recommandation de Cato pour la connexion la plus résistante à GCP.
Étape 1
Dans l'Application de Gestion de Cato, naviguez vers Réseau > Attribution d'IP. Sélectionnez les nouvelles emplacements PoP pour le site GCP. L'adresse IP attribuée apparaîtra sur le côté droit. Prenez note de l'adresse IP - vous devrez la saisir dans la configuration GCP.
Étape 2
Dans GCP, naviguez vers Connectivité Hybride → VPN → Passerelle VPN en Nuage. Créez une nouvelle passerelle VPN :
Maintenant, remplissez les détails :
-
Nom - Nom identifiable pour la Passerelle
-
Réseau VPC - Ceci est votre VPC
-
Région - La région géographique où vous souhaitez créer la passerelle
Faites attention qu'il créera deux adresses IP comme indiqué :
Étape 3
Naviguez vers Passerelles VPN Peer et créez une nouvelle passerelle VPN. Assurez-vous de sélectionner deux interfaces sous la section Interfaces.
-
Adresse IP Interface 0: saisissez l'IP du principal PoP (étape 1)
-
Adresse IP Interface 1: saisissez l'IP du de secours PoP (étape 1)
Étape 4
Maintenant vous devez créer un Routeur en Nuage qui gérera le peering BGP. BGP est nécessaire pour prioriser quel tunnel est actif et lequel est de secours.
Allez à Connectivité Hybride → Routeurs en Nuage et créez un nouveau Routeur.
Pour l'ASN de Google, utilisez une valeur ASN privée (RFC 1918) : 64512 à 65535.
Étape 5
Retournez à la section VPN et choisissez Passerelle VPN en Nuage. Cliquez sur la passerelle VPN récemment créée et choisissez Ajouter un tunnel VPN. Sous passerelle VPN peer, choisissez peer VPN (PoPs Cato) et assurez-vous que Créer une paire de tunnels VPN est sélectionné sous Haute Disponibilité. Dans Routeur en Nuage, choisissez le Routeur en Nuage récemment créé.
Maintenant, en bas, cela vous oblige à éditer deux tunnels VPN. Cliquez sur chacun d'eux et entrez les détails :
Remplissez le nom pour chaque tunnel (principal/ secours) et choisissez une clé pré-partagée.
Une fois terminé, l'assistant demandera la configuration BGP. Pour chaque tunnel, configurez les paramètres BGP pertinents :
-
Nom - juste un nom pour le peering BGP
-
ASN du Peer - ASN BGP que vous souhaitez assigner au côté Cato
-
MED - 100 pour le tunnel principal et 110 pour le secours
-
IP BGP du Routeur en Nuage - IP du Routeur côté GCP
-
Doit appartenir au même CIDR /30 dans 169.254.0.0/16
-
Ne peut pas utiliser les adresses IP de diffusion ou de réseau sur ces réseaux /30
-
-
IP du Peer BGP - IP du Routeur côté Cato
Étape 6
Retournez à l'Application de Gestion de Cato et créez un type de site IPsec IKEv2 (Réseaux > Site et cliquez sur Nouveau). Utilisez la configuration du site suivante :
Section IPsec IKEv2
-
Type de Service : choisissez Générique.
-
Source Primarie/Secondaire (Sortante) IP : sélectionnez l'adresse IP attribuée à l'étape 1.
-
Destination Primarie/Secondaire IP : entrez les adresses IP de la Passerelle VPN en Nuage de GCP.
-
Définir/Changer Mot de Passe Primarie/Secondaire : Entrez la clé pré-partagée que vous avez spécifiée pour chaque tunnel.
BGP
-
Créez deux peers BGP pour Principal et Secours.
-
ASN et IPs du voisin telles que configurées dans GCP.
-
Métriques : pour principal, spécifiez BGP 100 et pour le secours 110.
-
Le temps de maintien et les intervalles de Keepalive peuvent être changés à 30 et 10 respectivement pour une convergence plus rapide.
-
Routage - n'acceptez aucune route de GCP. Les sous-réseaux derrière GCP doivent être configurés dans la section Réseaux comme avec les sites Cato réguliers. Pour la publicité, vous pouvez choisir entre Route Par Défaut (une route 0.0.0.0/0 - WAN + Internet sur Cato) et Toutes les Routes (toutes les réseaux dans votre compte Cato seront annoncés à GCP - trafic WAN uniquement).
Étape 7
Peu après avoir enregistré la configuration dans l'Application de Gestion de Cato, vous devriez voir un statut Établi pour BGP et VPN des deux tunnels sous Tunnels VPN en Nuage dans GCP :
0 commentaire
Vous devez vous connecter pour laisser un commentaire.