O GCP lançou recentemente uma nova opção de HA para o Gateway VPN. Se o gateway VPN redundante for escolhido, ele fornecerá dois endereços IP para máxima resiliência. A ativação do BGP é necessária para monitorar qual túnel está ativo.
Esta é a recomendação da Cato para a conexão mais resiliente ao GCP.
Passo 1
No Aplicativo de Gerenciamento Cato, navegue para Rede > Alocação de IP. Selecione novas localizações de PoP para o local GCP. O endereço IP alocado aparecerá no lado direito. Anote o endereço IP - você precisará inseri-lo na configuração do GCP.
Passo 2
No GCP, navegue para Conectividade Híbrida → VPN → Gateway VPN em Nuvem. Crie um novo gateway VPN:
Agora preencha os detalhes:
-
Nome - Nome identificável para o Gateway
-
Rede VPC - Esta é sua VPC
-
Região - A Região Geográfica em que você deseja criar o gateway
Atenção que criará dois endereços IP conforme indicado:
Passo 3
Navegue para Gateways VPN Par e crie um novo gateway VPN. Certifique-se de selecionar duas interfaces na seção Interfaces.
-
Endereço IP da Interface 0: digite o Endereço IP do principal PoP (passo 1)
-
Endereço IP da Interface 1: digite o Endereço IP do secundário PoP (passo 1)
Passo 4
Agora você deve criar um Roteador em Nuvem que gerenciará o emparelhamento BGP. BGP é necessário para priorizar qual túnel está ativo e qual é reserva.
Vá para Conectividade Híbrida → Roteadores em Nuvem e crie um novo Roteador.
Para o ASN do Google use um valor ASN privado (RFC 1918): 64512 a 65535.
Passo 5
Volte para a seção VPN e escolha o Gateway VPN em Nuvem. Clique no gateway VPN recém-criado e escolha Adicionar túnel VPN. No gateway VPN par, escolha par VPN (Cato PoPs) e certifique-se que Criar um par de túneis VPN está selecionado sob Alta Disponibilidade. No Roteador em Nuvem escolha o Roteador em Nuvem recentemente criado.
Agora, na parte inferior, ele força você a editar dois túneis VPN. Clique em cada um deles e insira os detalhes:
Preencha o nome para cada túnel (mestre/ reserva) e escolha uma chave pré-compartilhada.
Uma vez concluído, o assistente solicitará a configuração do BGP. Para cada túnel, configure as configurações relevantes do BGP:
-
Nome - apenas um nome para o emparelhamento BGP
-
ASN do Par - BGP ASN que você gostaria de atribuir ao lado Cato
-
MED - 100 para o túnel principal e 110 para a reserva
-
IP BGP do Roteador em Nuvem - Endereço IP do Roteador no lado do GCP
-
Deve pertencer ao mesmo CIDR /30 dentro do 169.254.0.0/16
-
Não pode usar os endereços de broadcast ou de rede nesses /30 redes
-
-
IP do Par BGP - Endereço IP do Roteador no lado do Cato
Passo 6
Volte para o Aplicativo de Gerenciamento Cato e crie um tipo de site IPsec IKEv2 (Redes > Site e clique em Novo). Use a seguinte configuração de site:
Seção IPsec IKEv2
-
Tipo de Serviço: escolha Genérico.
-
Primary/ Secondary Source (Egress) IP: select the IP address allocated in step 1.
-
IP de Destino Primário/ Secundário: insira os endereços IP do Gateway VPN em Nuvem do GCP.
-
Definir/Alterar Senha Primária/ Secundária: Insira a Chave Pré-Compartilhada especificada para cada túnel.
BGP
-
Crie dois pares BGP para Mestre e Reserva.
-
ASN e IPs do Vizinho conforme configurado no GCP.
-
Métricas: para o mestre, especifique BGP 100 e para a reserva 110.
-
Os intervalos de Tempo de Espera e de Keepalive podem ser alterados para 30 e 10, respectivamente, para convergência mais rápida.
-
Roteamento - não Aceitar qualquer rota do GCP. Sub-redes por trás do GCP devem ser configuradas na seção Redes assim como em sites regulares da Cato. Para anunciar, você pode escolher entre Rota padrão (uma rota 0.0.0.0/0 - WAN + Internet sobre Cato) e Todas as rotas (todas as redes em sua conta Cato serão anunciadas para o GCP - somente tráfego WAN).
Etapa 7
Pouco após salvar a configuração no Aplicativo de Gerenciamento Cato, você deve ver o estado Estabelecido para BGP e VPN dos dois túneis sob Túneis VPN na Nuvem no GCP:
0 comentário
Por favor, entre para comentar.