Настройка резервных VPN туннелей для Google Cloud Platform (GCP)

GCP недавно выпустил новый вариант HA для VPN шлюза. Если выбран резервный VPN шлюз, он предоставляет два IP-адреса для максимальной устойчивости. Для отслеживания, какой туннель активный, требуется активация BGP.

Это рекомендация Cato для наиболее устойчивого соединения с GCP.

Шаг 1

В Приложении Управления Cato перейдите к Сеть > Распределение IP-адресов. Выберите новые места расположения PoP для площадок GCP. Выделенный IP-адрес появится справа. Запишите IP-адрес — он потребуется в конфигурации GCP.

Шаг 2

В GCP перейдите к Гибридное подключение → VPN → Шлюз облачного VPN. Создайте новый VPN шлюз:

mceclip1.png

Теперь заполните подробности:

  • Имя - Узнаваемое имя для Шлюза

  • VPC Сеть - Это ваша VPC

  • Регион - Географический Регион, в котором вы хотите создать шлюз

Обратите внимание, что будет создано два IP-адреса, как указано:

mceclip3.png

Шаг 3

Перейдите к Peer VPN Шлюзы и создайте новый VPN шлюз. Убедитесь, что в разделе Интерфейсы выбраны два интерфейса.

mceclip4.png
  • IP-адрес Интерфейса 0: введите IP основного PoP (шаг 1)

  • IP-адрес Интерфейса 1: введите IP резервного PoP IP (шаг 1)

Шаг 4

Теперь вам нужно создать облачный Маршрутизатор, который будет управлять BGP соединением. BGP требуется для выбора приоритета, какой туннель активный, а какой резервный.

Перейдите кГибридное подключение → Облачные маршрутизаторы и создайте новый Маршрутизатор.

Для Google ASN используйте частное значение ASN (RFC 1918): 64512 до 65535.

Шаг 5

Вернитесь в раздел VPN и выберите Шлюз облачного VPN. Нажмите на недавно созданный VPN шлюз и выберите Добавить туннель VPN. В разделе Peer VPN шлюз выберите Peer VPN (Cato PoPs) и убедитесь, что выбран Создать пару VPN туннелей в разделе Высокая доступность. В Cloud Router выберите недавно созданный Cloud Router.

Теперь внизу вас заставят редактировать два VPN туннеля. Кликните на каждом из них и введите детали:

mceclip5.png

Заполните имя для каждого туннеля (основного/резервного) и выберите предварительно заданный ключ.

После завершения мастер предложит конфигурацию BGP. Для каждого туннеля настройте соответствующие параметры BGP:

  • Имя - просто имя для BGP соединения

  • ASN Пира - BGP ASN, который вы хотите назначить стороне Cato

  • MED - 100 для основного туннеля и 110 для резервного

  • Облачный Маршрутизатор BGP IP - Маршрутизатор IP на стороне GCP

    • Должен принадлежать к тому же CIDR /30 в пределах 169.254.0.0/16

    • Нельзя использовать IP-адреса вещания или сети в этих /30 сетях

  • BGP Пир IP - Маршрутизатор IP на стороне Cato

Шаг 6

Вернитесь в Приложение Управления Cato и создайте тип сайта IPsec IKEv2 (Сети > Сайт и нажмите Новый). Используйте следующую конфигурацию сайта:

Раздел IPsec IKEv2

  • Тип Сервиса: выберите Общий тип.

  • Основной/Вторичный Источник (Исходящий) IP: выберите IP-адрес, выделенный на шаге 1.

  • Основной/Вторичный IP адрес назначения: введите IP-адреса облачного VPN-шлюза из GCP.

  • Установить/Изменить основной/вторичный пароль: введите Предварительно общий ключ, который вы указали для каждого туннеля.

BGP

  • Создать два BGP пира для главного и резервного.

  • Номер автономной системы соседа и IP-адреса, как настроено в GCP.

  • Метрики: для основного, BGP укажите 100 и для резервного 110.

  • Время удержания и Интервал поддержания связи можно изменить на 30 и 10 соответственно для более быстрой конвергенции.

  • Маршрутизация - не Принять любые маршруты из GCP. Подсети за GCP должны быть настроены в разделе Сети так же, как и обычные Cato сайты. Для объявления, вы можете выбрать между Маршрутом по умолчанию (один маршрут 0.0.0.0/0 - WAN + Интернет через Cato) и Все маршруты (все сети в вашем аккаунте Cato будут объявлены в GCP - только WAN трафик).

Шаг 7

Вскоре после Сохранения конфигурации в Приложении Управления Cato, вы должны увидеть Статус "Установлено" для BGP и VPN двух туннелей под Облачными VPN Туннелями в GCP:

mceclip7.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 5

0 комментариев