Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Configure o gateway de VPN de intercâmbio

Esta página descreve os passos para concluir a configuração da VPN.

Para concluir a configuração, configure os seguintes recursos no gateway de VPN paritário:

Túneis de VPN correspondentes ao Cloud VPN
Sessões do Border Gateway Protocol (BGP) se estiver a usar o encaminhamento dinâmico com o Cloud Router
Regras de firewall
Definições de IKE

Para conhecer as práticas recomendadas ao configurar o gateway de pares, consulte a documentação ou o fabricante do gateway de pares. Para ver guias que descrevem alguns dispositivos e serviços de VPN de terceiros suportados, consulte o artigo Use VPNs de terceiros. Além disso, alguns modelos de configuração de dispositivos de terceiros estão disponíveis para transferência a partir da Trusted Cloud consola. Para mais informações, consulte o artigo Transfira um modelo de configuração de VPN de pares.

Para mais informações sobre a Cloud VPN, consulte os seguintes recursos:

Para ver as práticas recomendadas a considerar antes de configurar o Cloud VPN, consulte o artigo Práticas recomendadas.
Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.
Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Configure recursos de gateway de VPN de intercâmbio externo para a VPN de HA

Para a VPN de HA, configura um recurso de gateway de VPN externo de pares que representa o seu gateway de pares físico no Trusted Cloud by S3NS. Também pode criar este recurso como um recurso autónomo e usá-lo mais tarde.

Para criar um recurso de gateway de VPN de pares externo, precisa dos seguintes valores do seu gateway de pares físico, que também pode ser um gateway baseado em software de terceiros. Para que a VPN seja estabelecida, os valores do recurso de gateway de VPN externo do par têm de corresponder à configuração no gateway do par físico:

O número de interfaces no seu gateway de VPN físico
Endereço ou endereços IP externos para uma ou mais interfaces ou gateways de pares
Endereço ou endereços IP do ponto final BGP
A chave pré-partilhada IKE (segredo partilhado)
O número ASN

Quando configura as sessões BGP para a VPN de HA e ativa o IPv6, tem a opção de configurar endereços de próximo salto IPv6. Se não os configurar manualmente,o Trusted Cloud atribui automaticamente estes endereços de próximo salto IPv6.

Para permitir o tráfego IPv4 e IPv6 (pilha dupla) em túneis de VPN de alta disponibilidade, tem de obter o endereço do próximo salto IPv6 atribuído ao par BGP. Em seguida, tem de configurar o endereço do próximo salto IPv6 quando configurar os túneis VPN no seu dispositivo VPN de par. Embora configure endereços IPv6 nas interfaces de túnel de cada dispositivo, os endereços IPv6 são usados exclusivamente para a configuração do próximo salto IPv6. As rotas IPv6 são anunciadas através de NLRI IPv6 sobre o peering BGP IPv4. Para ver exemplos de configurações de endereços de próximo salto IPv6, consulte o artigo Configure VPNs de terceiros para tráfego IPv4 e IPv6.

Para criar um recurso de gateway de VPN de intercâmbio externo autónomo, conclua os passos seguintes.

Consola

Na Trusted Cloud consola, aceda à página VPN.

Aceda à VPN
Clique em Criar gateway de VPN de intercâmbio.
Atribua um nome à gateway de pares.
Selecione o número de interfaces que o gateway de pares físico tem: one, two ou four.
Adicione o endereço IP da interface para cada interface no gateway de VPN físico.
Clique em Criar.

gcloud

Quando executar o seguinte comando, introduza o ID da interface e o endereço IP do gateway de VPN físico. Pode introduzir 1, 2 ou 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

O resultado do comando deve ser semelhante ao seguinte exemplo:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Para este comando, pode usar esta lista de tipos de redundância de gateway.

Faça um pedido POST através do método externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configure túneis de VPN

Para criar túneis correspondentes para cada túnel de VPN do Cloud VPN que criou, consulte a documentação do seu gateway de VPN de intercâmbio.

Para a VPN de HA, configure dois túneis no gateway de pares. Um túnel no gateway de pares deve corresponder ao túnel da Cloud VPN em interface 0. Outro túnel no gateway de pares deve corresponder ao túnel da Cloud VPN em interface 1.

Cada túnel no gateway de pares também deve usar um endereço IP externo exclusivo para o gateway de VPN de HA usar.

Configure sessões de BGP para o encaminhamento dinâmico

Apenas para o encaminhamento dinâmico, configure o gateway de VPN de pares para suportar sessões BGP para as sub-redes de pares que quer anunciar ao Cloud Router.

Para configurar o gateway de pares, use os ASNs e os endereços IP do Cloud Router e as informações do gateway do Cloud VPN. Para obter o ASN da Google, os ASNs da rede de pares configurados e os endereços IP BGP, use as informações de resumo do Cloud Router.

Se estiver a configurar a VPN de HA para permitir o tráfego IPv4 e IPv6 (dual-stack), tem de configurar o gateway de pares com o endereço de próximo salto IPv6 atribuído ao par BGP.

Para a VPN de alta disponibilidade, o ASN da Google, que é o ASN do par do ponto de vista do seu gateway de VPN do par, é o mesmo para ambos os túneis.

Opcionalmente, pode configurar as suas sessões BGP para usar a autenticação MD5.

Configure regras de firewall

Para ligações VPN de HA que usam IPv6, tem de configurar as suas firewalls para permitir o tráfego IPv6.

Para ver instruções sobre como configurar regras de firewall para a sua rede de pares, consulte o artigo Configure regras de firewall.

Configure o IKE

Pode configurar o IKE no gateway de VPN de pares para o encaminhamento dinâmico, baseado em rotas e baseado em políticas.

Os túneis de VPN de alta disponibilidade têm de usar o IKE v2 para suportar o tráfego IPv6.

Para configurar o túnel e o gateway de VPN de pares para IKE, use os parâmetros na tabela seguinte.

Para obter informações sobre a ligação da VPN do Google Cloud a algumas soluções de VPN de terceiros, consulte o artigo Usar VPNs de terceiros com a VPN do Google Cloud. Para informações sobre as definições de autenticação e encriptação IPsec, consulte Cifras IKE suportadas.

Para IKEv1 e IKEv2

Definição	Valor
Modo IPsec	Modo de túnel ESP+Auth (site a site)
Protocolo de autorização	`psk`
Segredo partilhado	Também conhecida como chave pré-partilhada IKE. Escolha uma palavra-passe forte seguindo estas diretrizes. A chave pré-partilhada é sensível porque permite o acesso à sua rede.
Iniciar	`auto` (se o dispositivo de par cair, deve reiniciar automaticamente a ligação)
PFS (perfect forward secrecy)	`on`
DPD (Dead Peer Detection)	Recomendado: `Aggressive`. A DPD deteta quando a VPN é reiniciada e usa túneis alternativos para encaminhar o tráfego.
INITIAL_CONTACT (por vezes denominado `uniqueids`)	Recomendado: `on` (por vezes denominado `restart`). Finalidade: detetar reinícios mais rapidamente para que o tempo de inatividade percebido seja reduzido.
TSi (seletor de tráfego – iniciador)	Redes de sub-rede: os intervalos especificados pela flag `--local-traffic-selector`. Se `--local-traffic-selector` não for especificado porque a VPN está numa rede VPC de modo automático e está a anunciar apenas a sub-rede do gateway, é usado esse intervalo de sub-rede. Redes antigas: o intervalo da rede.
TSr (Traffic Selector - Responder)	IKEv2: os intervalos de destino de todas as rotas que têm `--next-hop-vpn-tunnel` definidos para este túnel. IKEv1: arbitrariamente, o intervalo de destino de um dos trajetos que tem `--next-hop-vpn-tunnel` definido para este túnel.
MTU	A unidade de transmissão máxima (MTU) do dispositivo VPN de pares não pode exceder 1460 bytes. Ative a pré-fragmentação no seu dispositivo para que os pacotes sejam fragmentados primeiro e, em seguida, encapsulados. Para mais informações, consulte as considerações sobre a MTU.

Parâmetros adicionais apenas para IKEv1

Definição	Valor
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
Algoritmo PFS	Grupo 2 (`MODP_1024`)

Configurar seletores de tráfego

Para suportar o tráfego IPv4 e IPv6, defina os seletores de tráfego no gateway de VPN paritário como 0.0.0.0/0,::/0.

Para suportar apenas tráfego IPv4, defina os seletores de tráfego no gateway de VPN paritário como 0.0.0.0/0.

O que se segue?

Para transferir um modelo de configuração para o seu dispositivo VPN de pares, consulte o artigo Transfira um modelo de configuração de VPN de pares.
Para configurar regras de firewall para a sua rede de pares, consulte o artigo Configurar regras de firewall.
Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.