Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Creare una connessione VPN classica a un sito remoto

Puoi configurare una connessione tunnel VPN classica tra un sito on-premise e Trusted Cloud by S3NS in modo che gli indirizzi IP di origine e di destinazione siano indirizzi IP esterni (non RFC 1918). Ad esempio, puoi configurare una connessione VPN classica a un sito remoto in modo che gli intervalli di indirizzi IP on-premise non siano in conflitto con l'indirizzo IP della VM. Trusted Cloud

In questo tutorial utilizzi un progetto Trusted Cloud , la console Trusted Cloud , un'istanza di macchina virtuale (VM), VPN classica e alcuni comandi Linux. Per testare la connessione, crea una nuova istanza VM per inviare e ricevere traffico tra la VM e un peer remoto.

Prima di iniziare

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Enable the Compute Engine API.
Enable the API

Sulla workstation, installa lo strumento a riga di comando gcloud.
Configura lo strumento a riga di comando gcloud in modo da utilizzare il tuo progetto. Nel comando seguente, sostituisci PROJECT_ID con il tuo ID progetto:
```
gcloud config set project PROJECT_ID
```
Assicurati che le subnet on-premise siano connesse al gateway VPN on-premise.
Segui le istruzioni riportate in Configurazione del gateway VPN peer per configurare il gateway VPN peer tra Trusted Cloud by S3NS e il gateway VPN on-premise.

Prenota un nuovo indirizzo IP esterno statico

In Compute Engine, ogni istanza VM può avere più interfacce di rete. Ogni interfaccia può avere indirizzi IP interni ed esterni. Le regole di forwarding possono avere indirizzi IP esterni per il bilanciamento del carico esterno o indirizzi interni per il bilanciamento del carico interno. Per saperne di più sugli indirizzi IP statici, consulta Indirizzi IP esterni.

Un indirizzo IP esterno statico è l'indirizzo IP riservato al tuo progetto finché non decidi di rilasciarlo. Se hai un indirizzo IP su cui i tuoi clienti fanno affidamento per accedere al tuo servizio, puoi prenotarlo in modo che solo il tuo progetto possa utilizzarlo. Puoi anche promuovere un indirizzo IP esterno temporaneo a indirizzo IP esterno statico.

Puoi prenotare due tipi di indirizzi IP esterni:

Un indirizzo IP regionale utilizzato da istanze VM con una o più interfacce di rete o da bilanciatori del carico regionali
Un indirizzo IP globale utilizzato per i bilanciatori del carico globali

Per un elenco dei bilanciatori del carico regionali e globali, consulta il riepilogo dei Trusted Cloud bilanciatori del carico.

Prenota un indirizzo IP esterno statico utilizzando Google Cloud CLI o tramite l'API. Dopo aver prenotato l'indirizzo IP, assegnalo a una nuova istanza durante la creazione della nuova istanza oppure assegnalo a un'istanza esistente.

Console

Vai alla pagina Prenota un indirizzo statico.

Vai a Prenota un indirizzo statico
Scegli un nome per il nuovo indirizzo.
Specifica se si tratta di un indirizzo IPv4 o IPv6. Gli indirizzi IPv6 possono essere solo globali e possono essere utilizzati solo con i bilanciatori del carico globali.
Specifica se questo indirizzo IP è regionale o globale. Se stai prenotando un indirizzo IP statico per un'istanza o per un bilanciatore del carico regionale, scegli Regionale. Se stai prenotando un indirizzo IP statico per un bilanciatore del carico globale, scegli Globale.
Se si tratta di un indirizzo IP regionale, seleziona la regione in cui creare l'indirizzo.
(Facoltativo) Seleziona una risorsa da collegare all'indirizzo IP.
Fai clic su Prenota per prenotare l'indirizzo IP.

gcloud

Per prenotare un indirizzo IP esterno statico utilizzando gcloud compute, utilizza il comando compute addresses create.

Per prenotare un indirizzo IP globale, utilizza i campi --global e --ip-version. Per il campo --ip-version, specifica IPV4 o IPV6. Gli indirizzi IPv6 possono essere solo globali e possono essere utilizzati solo con i bilanciatori del carico globali.

Sostituisci ADDRESS_NAME con il nome di questo indirizzo.

gcloud compute addresses create ADDRESS_NAME \
    --global \
    --ip-version [IPV4 | IPV6]

Per prenotare un indirizzo IP regionale, utilizza il campo --region:

gcloud compute addresses create ADDRESS_NAME  \
    --region=REGION

Sostituisci quanto segue:

ADDRESS_NAME: il nome di questo indirizzo.
REGION: la regione in cui prenotare questo indirizzo. Questa regione deve essere la stessa della risorsa a cui è assegnato l'indirizzo IP. Tutti gli indirizzi IP regionali sono IPv4.

Utilizza il comando compute addresses describe per visualizzare il risultato:

gcloud compute addresses describe ADDRESS_NAME

API

Per creare un indirizzo IPv4 regionale, chiama il metodo addresses.insert regionale:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME"
}

Sostituisci quanto segue:

ADDRESS_NAME: il nome dell'indirizzo
REGION: il nome della regione per questa richiesta
PROJECT_ID: l'ID progetto per questa richiesta

Per gli indirizzi IPv4 statici globali, chiama il metodo globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME"
}

Per gli indirizzi IPv6 statici globali, chiama il metodo globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Il corpo della richiesta deve contenere quanto segue:

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

Utilizza il metodo addresses.get per visualizzare il risultato.

Terraform

Puoi utilizzare un modulo Terraform per creare un indirizzo IP esterno.

Nell'esempio seguente, gli argomenti Terraform hanno valori di esempio che puoi modificare. L'esempio crea tre indirizzi IPv4 esterni regionali.

module "address" {
  source       = "terraform-google-modules/address/google"
  version      = "~> 4.0"
  project_id   = var.project_id # Replace this with your service project ID in quotes
  region       = "europe-west1"
  address_type = "EXTERNAL"
  names = [
    "regional-external-ip-address-1",
    "regional-external-ip-address-2",
    "regional-external-ip-address-3"
  ]
}

L'esempio seguente crea un indirizzo IPv6 esterno globale:

resource "google_compute_global_address" "default" {
  project      = var.project_id # Replace this with your service project ID in quotes
  name         = "ipv6-address"
  address_type = "EXTERNAL"
  ip_version   = "IPV6"
}

Abilita l'inoltro degli IP

Puoi abilitare l'IP forwarding quando crei una VM o aggiornando la proprietà dell'istanza canIpForward su una VM esistente. L'IP forwarding è abilitato a livello di VM e si applica a tutte le interfacce collegate alla VM.

Abilita l'IP forwarding quando crei una VM

Queste istruzioni descrivono come attivare l'inoltro IP durante la creazione di una VM. Se devi abilitare l'IP forwarding su una VM esistente, aggiorna la canIpForward proprietà dell'istanza.

Console

Vai alla pagina Istanze VM.
Vai a Istanze VM
Fai clic su Crea istanza.
In Disco di avvio, assicurati di aver selezionato un'immagine Linux, ad esempio Debian GNU/Linux.
Fai clic su Networking, dischi, sicurezza, gestione, single tenancy.
Fai clic su Networking.
Per Inoltro IP, seleziona Attiva.
Specifica eventuali altri parametri dell'istanza.
Fai clic su Crea.

gcloud

Quando crei un'istanza utilizzando gcloud, aggiungi il flag --can-ip-forward al comando:

gcloud compute instances create ... --can-ip-forward

API

Quando crei un'istanza, utilizza il campo canIpForward per attivare l'inoltro IP.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
  "canIpForward": true,
  ...other fields
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui è stata creata l'istanza.
ZONE: la Trusted Cloud zona in cui viene creata l'istanza.

Per saperne di più, consulta il metodo instances.insert.

Terraform

Puoi utilizzare la risorsa Terraform per creare un'istanza VM con l'IP forwarding abilitato.

In questo esempio, gli argomenti Terraform hanno valori assegnati che puoi modificare.

resource "google_compute_instance" "default" {
  project      = var.project_id # Replace this with your project ID in quotes
  zone         = "southamerica-east1-b"
  name         = "instance-next-hop"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network = "default"
  }
  can_ip_forward = true
}

Crea una route per il traffico in entrata

Per creare una nuova route statica: Prima di farlo, assicurati di conoscere i seguenti aspetti:

Le route statiche non possono avere intervalli di destinazione che corrispondono o sono più specifici degli intervalli di destinazione utilizzati da qualsiasi route di subnet nella rete VPC.
- Quando utilizzi il peering di rete VPC per connettere due reti VPC, le route statiche in una rete non possono avere destinazioni corrispondenti o più specifiche rispetto alle route delle subnet in entrambe le reti. Trusted Cloud rifiuta le route statiche che entrerebbero in conflitto con le route delle subnet in questo modo.
Per evitare conflitti quando utilizzi una rete VPC in modalità automatica, non creare route statiche le cui destinazioni rientrano in 10.128.0.0/9. Per ulteriori dettagli, consulta gli intervalli IPv4 della modalità automatica.
Le destinazioni per le route statiche non possono sovrapporsi a nessun intervallo allocato interno.
Assicurati di conoscere le istanze come hop successivi prima di creare una route statica personalizzata che utilizza una VM come hop successivo. Trusted Cloud Convalida solo l'esistenza di una VM al momento della creazione della route se scegli un'istanza hop successivo.
Se crei una route utilizzando un tag di rete, solo le VM con quel tag ricevono la route. Tuttavia, le VM con tag ricevono comunque tutte le route che non hanno tag di rete.

Console

Vai alla pagina Route nella console Trusted Cloud .
Vai a Route
Fai clic su Crea percorso.
Specifica un nome e una descrizione per l'itinerario.
Seleziona una rete esistente a cui verrà applicata la route.
Specifica un intervallo IP di destinazione per definire la destinazione della route.
Specifica una priorità per la route. Una priorità viene utilizzata solo per determinare l'ordine di routing se le route hanno destinazioni equivalenti. Per ulteriori dettagli, consulta la sezione Parametri di route.
Per rendere la route applicabile solo alle istanze con tag di rete corrispondenti, specificali nel campo Tag istanza. Lascia il campo vuoto per rendere la route applicabile a tutte le istanze della rete o se selezioni un bilanciatore del carico TCP/UDP interno come hop successivo della route. I tag di rete non si applicano alle route che hanno un bilanciatore del carico TCP/UDP interno come hop successivo.
Seleziona un hop successivo per l'itinerario:
- Specifica un'istanza ti consente di selezionare un'istanza per nome. Il traffico verrà indirizzato a questa istanza (o a qualsiasi istanza sostitutiva con lo stesso nome nella stessa zona) anche se il suo indirizzo IP cambia.
- Specifica indirizzo IP ti consente di inserire un indirizzo IP di un'istanza esistente nella rete VPC. Consulta la sezione Hop successivi e funzionalità per importanti limitazioni relative agli indirizzi IP dell'hop successivo validi.
Fai clic su Crea.

gcloud

Crea una nuova route statica:

gcloud compute routes create ROUTE_NAME \
    --destination-range=DESTINATION_RANGE \
    --network=NETWORK \
    NEXT_HOP_SPECIFICATION

Sostituisci i segnaposto:

ROUTE_NAME è il nome della route.
DESTINATION_RANGE rappresenta gli indirizzi IP di destinazione a cui verrà applicata questa route. La destinazione più ampia possibile è 0.0.0.0/0.
NETWORK è il nome della rete VPC che conterrà la route.
NEXT_HOP_SPECIFICATION rappresenta l'hop successivo per la route statica. Devi specificare solo uno dei seguenti elementi come hop successivo. Per ulteriori informazioni sui diversi tipi di hop successivo, vedi Hop successivi e funzionalità.
- --next-hop-instance=INSTANCE_NAME e --next-hop-instance-zone=ZONE: utilizza questo hop successivo per indirizzare il traffico a un'istanza VM esistente per nome e zona. Il traffico viene inviato all'indirizzo IP interno principale dell'interfaccia di rete della VM che si trova nella stessa rete della route.
- --next-hop-address=ADDRESS: utilizza questo hop successivo per indirizzare il traffico all'indirizzo IP di un'istanza VM esistente.

Per fare in modo che la route statica venga applicata solo a VM selezionate in base al tag di rete, aggiungi il flag --tags e specifica uno o più tag di rete. Per saperne di più su come funzionano insieme i tag di rete e le route statiche, consulta Route applicabili. Puoi utilizzare i tag con qualsiasi route statica.

Per ulteriori informazioni sulla sintassi di gcloud, consulta la documentazione dell'SDK.

API

Crea una nuova route statica.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/routes
{
  "destRange": "DESTINATION_RANGE",
  "name": "ROUTE_NAME",
  "network": "NETWORK_NAME",
  "priority": PRIORITY,
  "NEXT_HOP_SPECIFICATION": VALUE
}

Sostituisci i segnaposto:

PROJECT_ID è l'ID del progetto in cui viene creata la route.
DESTINATION_RANGE rappresenta gli indirizzi IP di destinazione a cui verrà applicata questa route. La destinazione più ampia possibile è 0.0.0.0/0.
ROUTE_NAME un nome per l'itinerario.
NETWORK_NAME è il nome della rete VPC che conterrà la route.
Il VALUE per NEXT_HOP_SPECIFICATION rappresenta l'hop successivo per la route statica. Per NEXT_HOP_SPECIFICATION, devi specificare solo uno dei seguenti campi hop successivo: nextHopIp,nextHopInstance. Per ulteriori informazioni sui diversi tipi di hop successivi e funzionalità, consulta Hop successivi e funzionalità.

Per saperne di più, consulta il metodo routes.insert.

Terraform

Puoi creare una route statica utilizzando un modulo Terraform.

Questa route statica crea una route predefinita a internet.

module "google_compute_route" {
  source       = "terraform-google-modules/network/google//modules/routes"
  version      = "~> 10.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "default"

  routes = [
    {
      name              = "egress-internet"
      description       = "route through IGW to access internet"
      destination_range = "0.0.0.0/0"
      tags              = "egress-inet"
      next_hop_internet = "true"
    }
  ]
}

Creazione di una VPN classica mediante routing statico

La configurazione guidata VPN è l'unica opzione della console Trusted Cloud per creare un gateway VPN classica. La procedura guidata include tutti i passaggi di configurazione richiesti per creare un gateway VPN classica, tunnel, sessioni BGP e una risorsa gateway VPN esterno. Tuttavia, puoi completare alcuni passaggi in un secondo momento, ad esempio la configurazione delle sessioni BGP.

Console

Configurare il gateway

Nella console Trusted Cloud , vai alla pagina VPN.

Vai alla VPN
Se crei un gateway per la prima volta, fai clic su Crea connessione VPN.
Seleziona la Configurazione guidata VPN.
Seleziona il pulsante di opzione VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: (facoltativo) aggiungi una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway VPN e il tunnel.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli una Trusted Cloud regione in cui si troverà il gateway. Le istanze e altre risorse in regioni diverse possono utilizzare il tunnel per il traffico in uscita in base all'ordine delle route. Per ottenere prestazioni ottimali, individua il gateway e il tunnel nella stessa regione delle risorse Trusted Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo IP esterno regionale esistente.

Configurare i tunnel

Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: (facoltativo) digita una descrizione.
- Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
- Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se è supportato dal dispositivo peer.
  Problema noto: quando configuri tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, il tunnel Cloud VPN potrebbe non riuscire a eseguire la nuova generazione delle chiavi. Ad esempio, seleziona una combinazione di algoritmi di crittografia di fase 1 e fase 2, algoritmi di integrità e numeri di gruppo DH.
  
  Questo problema di riassegnazione delle chiavi è causato da una dimensione del payload Security Association (SA) di grandi dimensioni per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE sul lato AWS, che Cloud VPN non supporta.
- Chiave precondivisa IKE: fornisci una chiave precondivisa (segreto condiviso) utilizzata per l'autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel corrispondente sul gateway VPN peer. Per generare una chiave precondivisa crittograficamente sicura, segui queste istruzioni.
- Seleziona tunnel basati su criteri
- In Opzioni di routing, seleziona Basato su criteri.
- In Intervalli IP di rete remota, fornisci un elenco separato da spazi degli intervalli di indirizzi IP utilizzati dal traffico locale nella configurazione VPN on-premise.
- Nel campo Intervalli IP locali, inserisci l'intervallo di indirizzi IP esterni che hai creato in precedenza con un prefisso di subnet /32.
- Fai clic su Fine.
- Fai clic su Crea.

gcloud

Per creare un gateway Cloud VPN, completa la seguente sequenza di comandi. Nei comandi, sostituisci quanto segue:

PROJECT_ID: l'ID del tuo progetto
NETWORK: il nome della tua rete Trusted Cloud
REGION: la Trusted Cloud regione in cui crei il gateway e il tunnel
GW_NAME: il nome del gateway
GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
(Facoltativo) --target-vpn-gateway-region è la regione in cui operare il gateway VPN classica. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà compute/region per questa chiamata di comando.

Configurare le risorse del gateway

Crea l'oggetto gateway VPN di destinazione:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Prenota un indirizzo IP esterno (statico) regionale:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Prendi nota dell'indirizzo IP (in modo da poterlo utilizzare quando configuri il gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Crea tre regole di forwarding; queste regole indicano aTrusted Cloud di inviare il traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crea il tunnel Cloud VPN

Nei comandi, sostituisci quanto segue:
- TUNNEL_NAME: un nome per il tunnel
- ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2
  Problema noto: quando configuri tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, il tunnel Cloud VPN potrebbe non riuscire a eseguire la riassegnazione delle chiavi. Ad esempio, seleziona una combinazione di algoritmi di crittografia di fase 1 e fase 2, algoritmi di integrità e numeri di gruppo DH.
  
  Questo problema di riassegnazione delle chiavi è causato da una dimensione del payload SA elevata per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE sul lato AWS, che Cloud VPN non supporta.
- SHARED_SECRET: la chiave precondivisa (segreto condiviso). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel corrispondente sul gateway VPN peer. Per generare una chiave precondivisa crittograficamente sicura, segui queste istruzioni.
Per la VPN basata su criteri:
- LOCAL_IP_RANGES: un elenco delimitato da virgole degli intervalli di indirizzi IPTrusted Cloud . Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Questo è il lato sinistro dal punto di vista di Cloud VPN.
- REMOTE_IP_RANGES: un elenco delimitato da virgole degli intervalli di indirizzi IP della rete peer. Questo è il lato destro dal punto di vista di Cloud VPN.
Per configurare un tunnel VPN basato su policy, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Per la VPN basata su route, i selettori del traffico locale e remoto sono 0.0.0.0/0 come definito in Opzioni di routing e selettori di traffico.

Per configurare un tunnel VPN basato su route, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Crea una route statica per ogni intervallo di indirizzi IP remoti specificato nell'opzione --remote-traffic-selector nel passaggio precedente. Ripeti questo comando per ogni intervallo di indirizzi IP remoti. Sostituisci ROUTE_NAME con un nome univoco per la route e sostituisci REMOTE_IP_RANGE con l'intervallo di indirizzi IP remoti appropriato.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: il comando gcloud per creare una route utilizza la priorità predefinita 1000. Se devi creare una route con priorità più alta, utilizza il flag --priority con un numero inferiore quando crei la route. Non puoi modificare la priorità di una route dopo che è stata creata. Tuttavia, puoi eliminare e sostituire la route statica senza dover ricreare il tunnel VPN. Per informazioni dettagliate sul funzionamento delle route nella rete VPC, consulta Panoramica delle route e Ordine delle route.

Configura la VM per inviare e ricevere traffico

Per completare la configurazione e verificare se puoi inviare e ricevere traffico dalla VM, segui questi passaggi:

Ricevere traffico

Nella console Trusted Cloud , vai alla pagina Istanze VM.
Nell'elenco delle istanze della macchina virtuale, individua la VM che hai creato in precedenza e fai clic su SSH.
Crea un alias dell'indirizzo IP per la VM utilizzando l'indirizzo IP pubblico che hai prenotato in precedenza. Dopo aver completato questo passaggio, potrai ricevere traffico sulla VM.

Esegui questo comando:
```
sudo ip address add EXTERNAL_IP_ADDRESS/32 dev eth0
```
Sostituisci EXTERNAL_IP_ADDRESS con l'indirizzo IP pubblico che hai prenotato in precedenza.

Inviare traffico

Nella console Trusted Cloud , vai alla pagina Istanze VM.
Nell'elenco delle istanze della macchina virtuale, individua la VM che hai creato in precedenza e fai clic su SSH.

Esegui il comando seguente per verificare se riesci a eseguire il ping di un indirizzo IP esterno:

$ ping -I EXTERNAL_IP_ADDRESS REMOTE_PEER_IP_ADDRESS
PING 10.0.0.1 (10.0.0.1) from EXTERNAL_IP_ADDRESS : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=4.46 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.11 ms

Sostituisci REMOTE_PEER_IP_ADDRESS con un indirizzo IP della subnet del peer remoto.

Per consentire alla VM di utilizzare automaticamente questa interfaccia quando invia traffico al tunnel VPN, puoi creare una regola iptables.

Ad esempio, esegui il comando seguente per creare una regola iptables:
```
$ sudo iptables -t nat -A POSTROUTING --destination REMOTE_PEER_SUBNET -j SNAT --to-source EXTERNAL_IP_ADDRESS
```
Sostituisci REMOTE_PEER_SUBNET con la subnet del peer remoto.

Esegui questi comandi per testare il tunnel Cloud VPN:

$ ping REMOTE_PEER_IP_ADDRESS
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=3.48 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.42 ms

$ ping EXTERNAL_IP_ADDRESS
PING 35.195.72.19 (35.195.72.19) 56(84) bytes of data.
64 bytes from 35.195.72.19: icmp_seq=1 ttl=64 time=0.033 ms
64 bytes from 35.195.72.19: icmp_seq=2 ttl=64 time=0.062 ms