GCP недавно выпустил новый вариант HA для VPN шлюза. Если выбран резервный VPN шлюз, он предоставляет два IP-адреса для максимальной устойчивости. Для отслеживания, какой туннель активный, требуется активация BGP.
Это рекомендация Cato для наиболее устойчивого соединения с GCP.
Шаг 1
В Приложении Управления Cato перейдите к Сеть > Распределение IP-адресов. Выберите новые места расположения PoP для площадок GCP. Выделенный IP-адрес появится справа. Запишите IP-адрес — он потребуется в конфигурации GCP.
Шаг 2
В GCP перейдите к Гибридное подключение → VPN → Шлюз облачного VPN. Создайте новый VPN шлюз:
Теперь заполните подробности:
-
Имя - Узнаваемое имя для Шлюза
-
VPC Сеть - Это ваша VPC
-
Регион - Географический Регион, в котором вы хотите создать шлюз
Обратите внимание, что будет создано два IP-адреса, как указано:
Шаг 3
Перейдите к Peer VPN Шлюзы и создайте новый VPN шлюз. Убедитесь, что в разделе Интерфейсы выбраны два интерфейса.
-
IP-адрес Интерфейса 0: введите IP основного PoP (шаг 1)
-
IP-адрес Интерфейса 1: введите IP резервного PoP IP (шаг 1)
Шаг 4
Теперь вам нужно создать облачный Маршрутизатор, который будет управлять BGP соединением. BGP требуется для выбора приоритета, какой туннель активный, а какой резервный.
Перейдите кГибридное подключение → Облачные маршрутизаторы и создайте новый Маршрутизатор.
Для Google ASN используйте частное значение ASN (RFC 1918): 64512 до 65535.
Шаг 5
Вернитесь в раздел VPN и выберите Шлюз облачного VPN. Нажмите на недавно созданный VPN шлюз и выберите Добавить туннель VPN. В разделе Peer VPN шлюз выберите Peer VPN (Cato PoPs) и убедитесь, что выбран Создать пару VPN туннелей в разделе Высокая доступность. В Cloud Router выберите недавно созданный Cloud Router.
Теперь внизу вас заставят редактировать два VPN туннеля. Кликните на каждом из них и введите детали:
Заполните имя для каждого туннеля (основного/резервного) и выберите предварительно заданный ключ.
После завершения мастер предложит конфигурацию BGP. Для каждого туннеля настройте соответствующие параметры BGP:
-
Имя - просто имя для BGP соединения
-
ASN Пира - BGP ASN, который вы хотите назначить стороне Cato
-
MED - 100 для основного туннеля и 110 для резервного
-
Облачный Маршрутизатор BGP IP - Маршрутизатор IP на стороне GCP
-
Должен принадлежать к тому же CIDR /30 в пределах 169.254.0.0/16
-
Нельзя использовать IP-адреса вещания или сети в этих /30 сетях
-
-
BGP Пир IP - Маршрутизатор IP на стороне Cato
Шаг 6
Вернитесь в Приложение Управления Cato и создайте тип сайта IPsec IKEv2 (Сети > Сайт и нажмите Новый). Используйте следующую конфигурацию сайта:
Раздел IPsec IKEv2
-
Тип Сервиса: выберите Общий тип.
-
Основной/Вторичный Источник (Исходящий) IP: выберите IP-адрес, выделенный на шаге 1.
-
Основной/Вторичный IP адрес назначения: введите IP-адреса облачного VPN-шлюза из GCP.
-
Установить/Изменить основной/вторичный пароль: введите Предварительно общий ключ, который вы указали для каждого туннеля.
BGP
-
Создать два BGP пира для главного и резервного.
-
Номер автономной системы соседа и IP-адреса, как настроено в GCP.
-
Метрики: для основного, BGP укажите 100 и для резервного 110.
-
Время удержания и Интервал поддержания связи можно изменить на 30 и 10 соответственно для более быстрой конвергенции.
-
Маршрутизация - не Принять любые маршруты из GCP. Подсети за GCP должны быть настроены в разделе Сети так же, как и обычные Cato сайты. Для объявления, вы можете выбрать между Маршрутом по умолчанию (один маршрут 0.0.0.0/0 - WAN + Интернет через Cato) и Все маршруты (все сети в вашем аккаунте Cato будут объявлены в GCP - только WAN трафик).
Шаг 7
Вскоре после Сохранения конфигурации в Приложении Управления Cato, вы должны увидеть Статус "Установлено" для BGP и VPN двух туннелей под Облачными VPN Туннелями в GCP:
0 комментариев
Войдите в службу, чтобы оставить комментарий.