יצירת חיבורי HA VPN בין Cloud de Confiance by S3NS לבין Azure

במדריך הזה מוסבר איך ליצור חיבורים של רשת וירטואלית פרטית (VPN) בזמינות גבוהה (HA) בין Cloud de Confiance by S3NS לבין Microsoft Azure. אתם יכולים להשתמש בשירותי HA VPN האלה לתקשורת ישירה בין רשתות VPC ב-Cloud de Confiance by S3NS לבין שערים של רשת וירטואלית ב-Microsoft Azure.

ההנחה במסמך הזה היא שאתם מכירים את המושגים הבסיסיים של רשתות VPC,‏ Border Gateway Protocol‏ (BGP),‏ VPN ומנהרות Internet Protocol Security‏ (IPsec).

‫Cloud de Confiance מספק שירות VPN בזמינות גבוהה (HA) לחיבור רשת ה-VPC לסביבות שפועלות מחוץ ל- Cloud de Confiance, כמו Microsoft Azure, באמצעות חיבור IPsec VPN. אם תגדירו HA VPN בהתאם לשיטות המומלצות של Google, תקבלו הסכם רמת שירות (SLA) עם זמינות שירות של 99.99%.

סקירה כללית של הארכיטקטורה

בתרשים הבא מוצגת הארכיטקטורה שמתוארת במסמך הזה.

הארכיטקטורה שמוצגת בתרשים כוללת את הרכיבים הבאים:

• ‫Cloud Router: שירות מנוהל ומבוזר לחלוטין Cloud de Confianceשמאפשר ניתוב דינמי באמצעות BGP ברשתות VPC.
• שער HA VPN: שער VPN בניהול Google שפועל ב- Cloud de Confiance. כל שער HA VPN הוא משאב אזורי עם שני ממשקים: ממשק 0 וממשק 1. לכל אחד מהממשקים האלה יש כתובת IP חיצונית משלו.
• מנהרות VPN: חיבורים משער HA VPN ב- Cloud de Confiance לשער VPN מקביל ב-Azure, שדרכם עוברת תנועה מוצפנת.
• ‫Virtual Network Gateway: שתי רשתות פרטיות שמוגדרות בשירות Azure Cloud.

כל חיבור של Virtual Network Gateway כולל שתי מנהרות שמוגדרות מראש להצבעה על שער לקוח יחיד, שבמקרה הזה הוא ממשק של שער HA VPN ב- Cloud de Confiance. במקרה כזה, מספר מנהרות Cloud VPN המינימלי שנדרש כדי לעמוד בהסכם רמת השירות (SLA) של 99.99% זמינות שירות הוא שתיים.

כתובות ה-IP שנדרשות לתהליכים

כדי להשלים את התהליכים שמתוארים במסמך הזה, צריך להשתמש במגוון כתובות IP גם ב- Cloud de Confiance וגם ב-Azure. חלק מכתובות ה-IP האלה מוקצות אוטומטית כשיוצרים משאב.

לגבי כתובות שלא מוקצות באופן אוטומטי, אתם מגדירים את כתובות ה-IP האלה על סמך כתובות ה-IP שזמינות לכם והצרכים של הארגון.

למשאביCloud de Confiance נדרשות כתובות ה-IP הבאות:

• כדי ליצור תת-רשת לרשת של ענן וירטואלי פרטי (VPC), צריך להגדיר טווח כתובות IP.
• אחרי שיוצרים את שער HA VPN, Cloud de Confiance מערכת Cloud de Confianceמקצה לו באופן אוטומטי שתי כתובות IP חיצוניות. ‫Google מקצה כתובת IP אחת לכל אחד משני הממשקים של השער. כדי להגדיר את שערים של הרשת המקומית ב-Azure, צריך את כתובות ה-IP של הממשקים האלה.

• כשיוצרים מנהרות HA VPN ב- Cloud de Confiance, לכל מנהרה צריך להיות ממשק BGP ל-Cloud Router וממשק BGP לשער הרשת הווירטואלית (שער VPN) במצב פעיל-פעיל ב-Azure. לכל מנהרה, בוחרים זוג כתובות IPv4 של BGP לקישור בין רשתות שכנות בבלוק של ‎ /30 מתוך הטווחים 169.254.21.* ו-169.254.22.*. אלה טווחי כתובות ה-IPv4 התקפים של Azure APIPA BGP peering. צריך לבחור בסך הכול ארבע כתובות IP.

  כתובות ה-IPv4 של הקישור בין רשתות שכנות באמצעות BGP שאתם בוחרים צריכות להיות ייחודיות בין כל נתבי Cloud.

למשאבי Azure נדרשות כתובות ה-IP הבאות:

• כשיוצרים את הרשת הווירטואלית (VNet), צריך להגדיר לה מרחב כתובות IP לרשת ומרחב כתובות IP לרשת המשנה של הרשת. אתם יכולים להשתמש במרחבי הכתובות שמוגדרים כברירת מחדל או להזין מרחבי כתובות שהוגדרו על ידי המשתמש.
• כשיוצרים שער רשת וירטואלית פעיל-פעיל (שער VPN), השער דורש טווח כתובות של רשת משנה. אפשר להשתמש בטווח ברירת המחדל או להזין טווח מוגדר על ידי המשתמש.
• כשמגדירים את ה-BGP עבור שער VPN פעיל-פעיל, השער דורש שתי כתובות IP של BGP peering מסוג APIPA. כמו שצוין קודם, הטווחים התקפים של כתובות ה-IP של Azure APIPA BGP peering הם 169.254.21.* ו-169.254.22.*.
• אחרי שיוצרים שער VPN פעיל-פעיל, מערכת Azure מקצה באופן אוטומטי כתובת IP חיצונית לכל אחד מהממשקים של השער. כתובות ה-IP האלה נחוצות כדי להגדיר את שער ה-VPN של העמית ב- Cloud de Confiance.

כשמגדירים כתובות IP, חשוב להשתמש בקבוצה ייחודית של כתובות IP לכל רשת.

מטרות

• יוצרים רשת וירטואלית (VNet) של Azure ושער רשת וירטואלית (שער VPN) במצב פעיל-פעיל.
• יוצרים את הרכיבים הנדרשים ב- Cloud de Confiance: רשת VPC, נתב Cloud Router, שער HA VPN, שער VPN של עמיתים ושתי מנהרות HA VPN עם סשנים של BGP.
• יוצרים שני שערי רשת מקומית ושני חיבורי VPN ב-Azure. מאמתים את ההגדרות של Cloud Router ובודקים את הסטטוס של מנהרות ה-HA VPN ב- Cloud de Confiance.
• בודקים את חיבור Cloud VPN בין רשת ה-VPC ב- Cloud de Confiance לבין הרשת הווירטואלית (VNet) ב-Azure.

עלויות

התהליכים שמתוארים במסמך הזה משתמשים ברכיבים של Cloud de Confiance, והשימוש בהם כרוך בתשלום, כולל הרכיבים הבאים:

• ‫Cloud VPN
• Compute Engine

כדי לקבל הערכה של העלויות של רכיבי Cloud de Confiance , אפשר להשתמש במחשבון התמחור של Google Cloud.

התהליכים שמתוארים במסמך הזה משתמשים ברכיבים של שירותי Microsoft Azure Cloud, והשימוש בהם כרוך בתשלום, כולל:

• שערי VPN
• שערי רשת מקומית

כדי לקבל הערכה של העלויות של רכיבי Azure, אפשר להשתמש במחשבון התמחור של Azure.

לפני שמתחילים

1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

   Roles required to select or create a project

   • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
   • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

   Go to project selector

2. Verify that billing is enabled for your Cloud de Confiance project.

3. Enable the Compute Engine API.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the API

4. In the Cloud de Confiance console, activate Cloud Shell.

   Activate Cloud Shell

5. חשוב לוודא שיש לכם את תפקידי האדמין הנדרשים כדי להגדיר רכיבי רשת:

   • אדמין רשתות: compute.networkAdmin
   • אדמין לענייני אבטחה: compute.securityAdmin
   • אדמין של Compute: compute.admin

   מידע נוסף על המטרות של התפקידים האלה מופיע במאמר תפקידי IAM לפונקציות של משימות שקשורות ל-Networking.

יצירה של רשת וירטואלית ושער VPN פעיל-פעיל ב-Azure

ב-Azure, צריך להגדיר את הרכיבים הבאים:

• רשת וירטואלית (VNet) של Azure שמאפשרת למשאבי Azure לתקשר עם Google Cloud VPN.
• שער רשת וירטואלית (שער VPN) במצב פעיל-פעיל שמאפשר לשני המקרים של המכונות הווירטואליות (VM) של השער ליצור מנהרות VPN ל-Google Cloud VPN.

יצירת רשת וירטואלית

רשת VNet מאפשרת למשאבי Azure לתקשר באופן מאובטח ביניהם, עם האינטרנט ועם רשתות אחרות (כמו Cloud VPN). מידע נוסף על יצירת VNet זמין בתיעוד של Azure בנושא יצירת VNet.

1. נכנסים ל-Azure Portal.
2. בתיבה חיפוש משאבים, שירותים ומסמכים (G+/), מקלידים virtual network.
3. ברשימת התוצאות של Marketplace, בוחרים באפשרות Virtual network.
4. בדף Virtual network (רשת וירטואלית), לוחצים על Create (יצירה).

5. בכרטיסייה Basics (פרטים בסיסיים) בדף Create virtual network (יצירת רשת וירטואלית), מגדירים את ההגדרות הבאות של הרשת הווירטואלית בקטע Project details (פרטי הפרויקט) ובקטע Instance details (פרטי המופע):

   1. בתיבה Subscription (מינוי), מוודאים שהמינוי שמופיע הוא המינוי הנכון. כדי לשנות את המינוי, בוחרים אותו מהרשימה .
   2. כדי לציין את קבוצת המשאבים, לוחצים על יצירת קבוצה חדשה ומזינים שם כמו azure‑to‑google‑resgroup לשם של קבוצת המשאבים.
   3. בתיבה שם, מזינים את השם של רשת ה-VNet, לדוגמה azure‑to‑google‑network.

   4. בתיבה אזור, בוחרים מיקום לרשת הווירטואלית.

      המיקום שתבחרו יקבע את מיקום האחסון של המשאבים שתפרסו ברשת הווירטואלית הזו.

6. בכרטיסייה IP Addresses, בתיבה IPv4 address space, משתמשים במרחב הכתובות וברשת המשנה שנוצרו כברירת מחדל על ידי Azure.

7. בכרטיסייה Security (אבטחה), משאירים את הערכים של BastionHost,‏ DDos Protection Standard ו-Firewall (חומת אש) כערך ברירת המחדל Disable (השבתה).

8. כדי לאמת את הגדרות ה-VNet, בוחרים באפשרות בדיקה + יצירה.

9. אחרי שההגדרות מאומתות, לוחצים על יצירה.

יצירה של שער VPN פעיל-פעיל

התהליכים הבאים יוצרים את שער ה-VPN הפעיל-פעיל:

• ההליך הראשון מגדיר את פרטי הפרויקט והמופע
• בפרוצדורה השנייה מצוינת כתובת ה-IP של השער.

בשלב הזה יוצרים רק את שער ה-VPN הפעיל-פעיל. כדי להגדיר את המנהרות הנדרשות ב-Azure, צריך קודם ליצור את רכיבי Cloud de Confiance . מידע נוסף על יצירת שער VPN פעיל-פעיל זמין בנושא הגדרה של שערי VPN פעילים-פעילים באמצעות הפורטל במסמכי Azure.

הגדרת פרטי השער

1. נכנסים ל-Azure Portal.
2. בתיבת החיפוש Search resources, service, and docs (G+/) (חיפוש משאבים, שירותים ומסמכים (G+/)), מקלידים virtual network gateway.
3. בקטע Services (שירותים) בתוצאות החיפוש, מאתרים את האפשרות Virtual network gateways (שערי רשת וירטואלית) ובוחרים בה.
4. בדף Virtual network gateway, לוחצים על Create.

5. בכרטיסייה Basics (יסודות) בדף Create virtual network gateway (יצירת שער לרשת וירטואלית), מציינים את הערכים הבאים לאפשרויות בקטעים Project details (פרטי הפרויקט) ו-Instance details (פרטי המופע):

   1. ברשימה מינוי, בוחרים את המינוי שרוצים להשתמש בו.
   2. אופציונלי: בתיבה טווח כתובות של רשת המשנה של השער, מזינים את טווח הכתובות של רשת המשנה.
   3. מוודאים שבקטע Resource Group מוצגת קבוצת המשאבים שתואמת לרשת הווירטואלית שבחרתם בדף הזה.
   4. בשדה שם, מזינים את שם השער, לדוגמה azure‑to‑google‑gateway.
   5. בקטע אזור, בוחרים את אותו אזור שבו השתמשתם כשבניתם את ה-VNET.
   6. בקטע סוג שער, בוחרים באפשרות VPN.

   7. בקטע סוג VPN, בוחרים את סוג ה-VPN מבוסס-ניתוב.

   8. ברשימה SKU, בוחרים את מק"ט השער שרוצים להשתמש בו.

      מספרי המלאי (SKU) שמופיעים בתפריט הנפתח תלויים בסוג ה-VPN שתבחרו.

   9. ברשימה דור, בוחרים את הדור שבו רוצים להשתמש.

   10. ברשימה Virtual network בוחרים את הרשת הווירטואלית שיצרתם קודם.

6. כדי להמשיך בתהליך, צריך להישאר בדף הזה.

הגדרת כתובות ה-IP של השער

1. בכרטיסייה Basics בדף Create virtual network gateway, מבצעים את השלבים הבאים כדי ליצור את כתובות ה-IP החיצוניות שמשמשות את שער ה-VPN הפעיל-פעיל:

   1. בשדה Public IP address (כתובת IP ציבורית), בוחרים באפשרות Create new (יצירת כתובת חדשה).

      מערכת Azure מקצה אוטומטית את כתובת ה-IP החיצונית ל-VPN Gateway שלכם במצב פעיל-פעיל.

   2. בתיבה Public IP address name, מקלידים שם למופע של כתובת ה-IP החיצונית, לדוגמה azure‑to‑google‑network‑ip1.

   3. בקטע הפעלת מצב פעיל-פעיל, בוחרים באפשרות מופעל.

   4. אופציונלי: אם האפשרות זמינה באזור שלכם, מגדירים את אזור הזמינות. לדוגמה, אפשר לבחור באפשרות Zone-redundant.

   5. בשדה Second Public IP Address (כתובת IP ציבורית שנייה), בוחרים באפשרות Create new (יצירת כתובת חדשה).

   6. בתיבה Public IP address name, מקלידים את השם של כתובת ה-IP החיצונית השנייה, לדוגמה azure‑to‑google‑network‑ip2.

   7. בקטע Configure BGP (הגדרת BGP), בוחרים באפשרות Enabled (מופעל).

   8. לגבי מספרי מערכת אוטונומית (ASN), צריך להגדיר את ה-ASN לערך תקין ומותר.

      משתמשים בערך ה-ASN הזה כשמגדירים את סשני ה-BGP למנהרות ב-Cloud de Confiance. צריך לרשום את הערך הזה כ-AZURE_ASN כדי להתייחס לשער ה-VPN הפעיל-פעיל הזה.

   9. בשביל Custom Azure APIPA BGP IP address, מזינים את כתובת ה-IP הראשונה של APIPA BGP ורושמים את הערך כ-AZURE_BGP_IP_0. הטווחים התקפים של כתובות IP של BGP ב-APIPA של Azure הם 169.254.21.* ו-169.254.22.*.

   10. בשדה Second Custom Azure APIPA BGP IP address (כתובת IP שנייה של BGP APIPA מותאמת אישית ב-Azure), מזינים את כתובת ה-IP השנייה של BGP APIPA ורושמים את הערך כ-AZURE_BGP_IP_1. תשתמשו במשתנים האלה כשמגדירים את סשני ה-BGP ב- Cloud de Confiance.

2. כדי להריץ אימות, לוחצים על בדיקה + יצירה.

3. אחרי שהאימות מסתיים, לוחצים על יצירה כדי לפרוס את שער ה-VPN.

הצגה ותיעוד של כתובות ה-IP החיצוניות של שער ה-VPN הפעיל-פעיל

צריך את כתובות ה-IP החיצוניות ש-Azure הקצה אוטומטית לשער ה-VPN הפעיל. משתמשים בכתובות ה-IP האלה כדי ליצור את משאב שער ה-VPN של הרשת העמיתה ב- Cloud de Confiance.

1. בדף Overview של שער פעיל-פעיל שיצרתם, מאתרים את כתובות ה-IP החיצוניות של השער.
2. רושמים את כתובות ה-IP שמופיעות במסך:
   • רושמים את כתובת ה-IP החיצונית הראשונה כ-AZURE_GW_IP_0.
   • רושמים את כתובת ה-IP החיצונית השנייה כ-AZURE_GW_IP_1.

בהמשך המסמך הזה נתייחס לכתובות ה-IP האלה כאל AZURE_GW_IP_0 ו-AZURE_GW_IP_1.

יצירת רכיבים Cloud de Confiance

ב- Cloud de Confiance, צריך להגדיר את הרכיבים הבאים:

• רשת VPC.
• שער HA VPN.
• ‫Cloud Router.
• שער VPN עמית.
• מנהרות HA VPN עם סשנים של BGP.

ההנחיות הבאות מניחות שהגדרתם את Cloud de Confiance כפי שמתואר בקטע לפני שמתחילים. אם לא השלמתם את השלבים האלה, עכשיו זה הזמן.

יצירת רשת VPC, תת-רשת, שער HA VPN ו-Cloud Router ב- Cloud de Confiance

ב- Cloud de Confiance, יוצרים רשת VPC, יוצרים שער HA VPN, יוצרים Cloud Router ואז מגדירים את כללי חומת האש ב- Cloud de Confiance.

1. ב- Cloud de Confiance Shell, מוודאים שאתם עובדים בפרויקט בענן שיצרתם או בחרתם:

   gcloud config set project YOUR_PROJECT_ID
   
   export PROJECT_ID=`gcloud config list   --format="value(core.project)"`

   מחליפים את YOUR_PROJECT_ID במזהה הפרויקט בענן.

2. יוצרים רשת VPC מותאמת אישית עם תת-רשת אחת:

   gcloud compute networks create NETWORK \
       --subnet-mode SUBNET_MODE \
       --bgp-routing-mode BGP_ROUTING_MODE

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫NETWORK: השם של הרשת, למשל google‑to‑azure‑vpc.
   • ‫SUBNET_MODE: subnet mode הוגדר לערך custom.

3. ‫BGP_ROUTING_MODE: מצב הניתוב של BGP מוגדר ל-global.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute networks create google-to-azure-vpc \
       --subnet-mode custom \
       --bgp-routing-mode global

4. יוצרים תת-רשת אחת לאירוח המכונות הווירטואליות לבדיקה:

   gcloud compute networks subnets create SUBNET_NAME \
       --network NETWORK \
       --region SUBNET_REGION \
       --range SUBNET_IP_ADDRESS_RANGE

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SUBNET_NAME: שם תת-הרשת.
   • ‫SUBNET_REGION: האזור שבו רוצים ליצור את רשת המשנה.
   • ‫SUBNET_IP_ADDRESS_RANGE: טווח כתובות ה-IP של רשת המשנה.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute networks subnets create subnet-central1  \
       --network google-to-azure-vpc \
       --region us-central1 \
       --range 10.1.1.0/24
   

5. יוצרים את שער ה-HA VPN:

   gcloud compute vpn-gateways create HA_VPN_GATEWAY_NAME \
       --network NETWORK \
       --region REGION

   מחליפים את HA_VPN_GATEWAY_NAME בשם של שער HA VPN.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute vpn-gateways create ha-vpn-gw-a \
      --network google-to-azure-vpc \
      --region us-central1
   

   השער שתיצרו אמור להיראות כמו בדוגמת הפלט הבאה:

   Created [https://www.googleapis.com/compute/v1/projects/YOUR_PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
   NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
   ha-vpn-gw-a   203.0.113.1   203.0.113.2   google-to-azure-vpc   us-central1
   

   בפלט מופיעות כתובות ה-IPv4 החיצוניות שהוקצו באופן אוטומטי לכל ממשק של השער (INTERFACE0 ו-INTERFACE1). תצטרכו את כתובות ה-IP האלה כשאתם מגדירים את השערים של הרשת המקומית ב-Azure:

   • רושמים את כתובת ה-IP של INTERFACE0 ב-HA_VPN_INT_0.
   • רושמים את כתובת ה-IP של INTERFACE1 ב-HA_VPN_INT_1.

6. יוצרים Cloud Router:

   gcloud compute routers create ROUTER_NAME \
       --region REGION \
       --network NETWORK \
       --asn GOOGLE_ASN \

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ROUTER_NAME: השם של Cloud Router.
   • ‫REGION: האזור שבו יוצרים את שער HA VPN ואת המנהרות.
   • ‫GOOGLE_ASN: מספר המערכת האוטונומית (ASN) הפרטי של Cloud Router שאתם יוצרים. זה יכול להיות כל מספר ASN פרטי בטווח 64512-65534 או 4200000000-4294967294 שעדיין לא נמצא בשימוש כמספר ASN של עמית באותו אזור ובאותה רשת.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers create cloud-router \
       --region us-central1 \
       --network google-to-azure-vpc \
       --asn 65534
   

יצירה של שער VPN עמית עבור Azure VPN

בקטע הזה יוצרים משאב שער VPN חיצוני שמספק ל- Cloud de Confiance מידע על שער ה-VPN הפעיל ב-Azure. יוצרים שער VPN שכן יחיד שמשתמש בשני ממשקים נפרדים, שלכל אחד מהם יש כתובת IP חיצונית משלו.

יצירת שער VPN חיצוני יחיד עם שני ממשקים:

gcloud compute external-vpn-gateways create AZURE_GW_NAME \
     --interfaces 0=AZURE_GW_IP_0,1=AZURE_GW_IP_1

מחליפים את מה שכתוב בשדות הבאים:

• ‫AZURE_GW_NAME: השם של שער ה-VPN הפעיל-פעיל שלכם ב-Azure
• ‫AZURE_GW_IP_0: כתובת ה-IP החיצונית של ממשק אחד משער העמית
• AZURE_GW_IP_1: כתובת ה-IP החיצונית של ממשק אחר משער ה-VPN של העמית

משאב שער ה-VPN של העמית שנוצר צריך להיות דומה לדוגמה הבאה, שבה AZURE_GW_IP_0 ו-AZURE_GW_IP_1 מייצגים את כתובות ה-IP החיצוניות בפועל של ממשקי שער העמית:

gcloud compute external-vpn-gateways create azure-peer-gw \
     --interfaces 0=203.0.113.1,1=203.0.113.2

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
azure-peer-gw  203.0.113.1  203.0.113.2

יצירת מנהרות VPN

צריך ליצור שתי מנהרות VPN: מנהרה אחת לכל ממשק בשער ה-VPN השכן. כשמגדירים מנהרות VPN ל-Azure, צריך להשתמש בפרוטוקול ההצפנה IKEv2.

בפקודות שמופיעות בקטע הזה, מחליפים את הערכים הבאים:

• ‫TUNNEL_NAME_IF0 ו-TUNNEL_NAME_IF1: שם למנהרה. כדאי לתת שמות למנהרות על ידי הכללת שם הממשק של השער, כדי שיהיה קל יותר לזהות את המנהרות בהמשך.
• AZURE_GW_NAME: השם של שער ה-VPN החיצוני שנוצר קודם
• ‫AZURE_GW_INT_NUM_0 ו-AZURE_GW_INT_NUM_1: מספרי הממשקים שהוגדרו קודם בשער החיצוני של עמיתים.
• ‫IKE_VERS: משתמשים ב-2 עבור IKEv2.
• ‫SHARED_SECRET: המפתח ששותף מראש (סוד לשימוש עם טוקן צרכן), שצריך להיות זהה למפתח שציינתם כשאתם מגדירים חיבורי VPN ב-Azure. המלצות אפשר למצוא במאמר בנושא יצירת מפתח חזק שמשותף מראש.
• ‫HA_VPN_GATEWAY_NAME: השם של שער HA VPN.
• ‫INT_NUM_0: המספר 0 לממשק הראשון בשער HA VPN שיצרתם קודם.
• ‫INT_NUM_1: המספר 1 של הממשק השני בשער HA VPN שיצרתם קודם.

כדי ליצור את מנהרות ה-VPN:

1. יוצרים את מנהרת ה-VPN לממשק 0:

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
      --peer-external-gateway=AZURE_GW_NAME \
      --peer-external-gateway-interface=AZURE_GW_INT_NUM_0  \
      --region=REGION \
      --ike-version=IKE_VERS \
      --shared-secret=SHARED_SECRET \
      --router=ROUTER_NAME \
      --vpn-gateway=HA_VPN_GATEWAY_NAME \
      --interface=INT_NUM_0

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute vpn-tunnels create azure-tunnel-1 \
      --peer-external-gateway azure-peer-gw \
      --peer-external-gateway-interface 0  \
      --region us-central1  \
      --ike-version 2 \
      --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
      --router cloud-router \
      --vpn-gateway ha-vpn-gw-a \
      --interface 0

2. יוצרים את מנהרת ה-VPN לממשק 1:

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
     --peer-external-gateway=AZURE_GW_NAME \
     --peer-external-gateway-interface=AZURE_GW_INT_NUM_1 \
     --region=REGION \
     --ike-version=IKE_VERS \
     --shared-secret=SHARED_SECRET \
     --router=ROUTER_NAME \
     --vpn-gateway=HA_VPN_GATEWAY_NAME \
     --interface=INT_NUM_1

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute vpn-tunnels create azure-tunnel-2 \
      --peer-external-gateway azure-peer-gw \
      --peer-external-gateway-interface 1  \
      --region us-central1  \
      --ike-version 2 \
      --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \
      --router cloud-router \
      --vpn-gateway ha-vpn-gw-a \
      --interface 1

יצירת סשנים של BGP

לניתוב דינמי, משתמשים ב-Cloud Router כדי ליצור סשנים של BGP בין Cloud de Confiance לבין Azure. מומלץ להשתמש בניתוב דינמי במקום בניתוב סטטי, כשהדבר אפשרי. הסבר מפורט מופיע במאמרים סקירה כללית של Cloud VPN וניתוב רשת ומנהרות ב-Cloud VPN.

צריך ליצור סשן BGP לכל מנהרת VPN. כל סשן BGP מורכב מממשק BGP ל-Cloud Router וממכשיר BGP שכן. יוצרים קישור בין רשתות שכנות באמצעות BGP לכל אחת משתי מנהרות ה-VPN שיצרתם.

בפקודות שמופיעות בקטע הזה, מחליפים את הערכים הבאים:

• ‫ROUTER_NAME: השם שהקציתם ל-Cloud Router.
• ‫ROUTER_INTERFACE_NAME_0 ו-ROUTER_INTERFACE_NAME_1: השם של ממשק ה-BGP של Cloud Router. מומלץ להשתמש בשמות שקשורים לשמות המנהרות שהוגדרו קודם.
• ‫MASK_LENGTH: מציינים 30. כל סשן BGP באותו Cloud Router צריך להשתמש ב-/30CIDR ייחודי מבלוק 169.254.0.0/16.
• ‫GOOGLE_BGP_IP_0 ו-GOOGLE_BGP_IP_1: כתובות ה-IP של הקישור בין רשתות שכנות באמצעות BGP לממשקי שער HA VPN שהגדרתם. כל מנהרה משתמשת בממשק שער שונה. מכיוון שהטווחים המותרים של כתובות ה-IP של עמיתי BGP ב-APIPA של Azure הם 169.254.21.* ו-169.254.22.*, צריך לבחור כתובת IP זמינה ב-CIDR‏ /30 של הטווחים האלה עבור כתובות ה-IP של עמיתי BGP ב-Cloud Router.
• ‫AZURE_BGP_IP_0 ו-AZURE_BGP_IP_1: כתובות ה-IP של הקישור בין רשתות שכנות באמצעות BGP ב-APIPA שכבר הגדרתם בשער ה-VPN הפעיל-פעיל של Azure. כל מנהרה משתמשת בכתובת אחרת.
• ‫TUNNEL_NAME_IF0 ו-TUNNEL_NAME_IF1: המנהרות שמשויכות לממשק שער ה-HA VPN שהגדרתם.
• ‫AZURE_ASN: מספר ה-ASN שהגדרתם עבור שער ה-VPN הפעיל-פעיל ב-Azure.
• ‫BGP_PEER_NAME_1 ו-BGP_PEER_NAME_2 עם שמות ייחודיים לכל עמית BGP. לדוגמה, azure‑bgp‑peer‑1 ו-azure‑bgp‑peer‑2.

כדי ליצור סשנים של BGP למנהרות ה-VPN, מבצעים את השלבים הבאים:

1. למנהרת ה-VPN הראשונה, מוסיפים ממשק BGP ל-Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_IF0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --region=REGION

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers add-interface cloud-router \
      --interface-name azure-tunnel-1-int-0 \
      --mask-length 30 \
      --vpn-tunnel azure-tunnel-1 \
      --ip-address 169.254.21.2 \
      --region us-central1
   

2. למנהרת ה-VPN הראשונה, מוסיפים קישור בין רשתות שכנות באמצעות BGP לממשק:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=BGP_PEER_NAME_1 \
      --peer-asn=AZURE_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=AZURE_BGP_IP_0 \
      --region=REGION

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers add-bgp-peer cloud-router \
      --peer-name azure-bgp-peer-1 \
      --peer-asn 65515 \
      --interface azure-tunnel-1-int-0 \
      --peer-ip-address 169.254.21.1 \
      --region us-central1
   

3. למנהרת ה-VPN השנייה, מוסיפים ממשק BGP ל-Cloud Router:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_IF1 \
      --ip-address=GOOGLE_BGP_IP_1 \
      --region=REGION

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers add-interface cloud-router \
      --interface-name azure-tunnel-2-int-1 \
      --mask-length 30 \
      --vpn-tunnel azure-tunnel-2 \
      --ip-address 169.254.22.2 \
      --region us-central1
   

4. למנהרת ה-VPN השנייה, מוסיפים קישור בין רשתות שכנות באמצעות BGP לממשק:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=BGP_PEER_NAME_2 \
      --peer-asn=AZURE_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --peer-ip-address=AZURE_BGP_IP_1 \
      --region=REGION

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers add-bgp-peer cloud-router \
     --peer-name azure-bgp-peer-2 \
     --peer-asn 65515 \
     --interface azure-tunnel-2-int-1 \
     --peer-ip-address 169.254.22.1 \
     --region us-central1
   

יצירה של שערי רשת מקומית וחיבורי VPN ב-Azure

אחרי שיוצרים ומגדירים את הרכיבים של Cloud de Confiance , חוזרים לסביבת Azure כדי לסיים את החיבור של Cloud de Confiance ל-Azure. כדי לסיים את החיבור הזה, צריך ליצור את הרכיבים הבאים ב-Azure:

• שני שערי רשת מקומית שמייצגים את Google Cloud VPN ב-Azure.
• שני חיבורי VPN שתואמים לשתי מנהרות HA VPN שהגדרתם ב- Cloud de Confiance.

יצירת שני שערי רשת מקומית

שער לרשת מקומית הוא אובייקט ספציפי שמייצג את Google Cloud VPN ב-Azure. כשיוצרים שער לרשת מקומית, מציינים את הפרטים הבאים:

• שם לשער הרשת המקומית.
• כתובת ה-IP של ממשק HA VPN שבה יש להשתמש בחיבור.
• כתובת ה-IP של Cloud Router של Google שאליו רוצים ליצור חיבור.
• קידומות של כתובות ה-IP שמנותבות דרך שער ה-VPN אל Cloud Router. קידומות הכתובות שאתם מציינים הן הקידומות שנמצאות ב-Cloud VPN. אם הרשת הווירטואלית הפרטית בענן משתנה או שאתם צריכים לשנות את כתובת ה-IP החיצונית עבור Cloud Router, תוכלו לעדכן את הערכים מאוחר יותר.

צריך ליצור שני שערי רשת מקומית: שער אחד שמתחבר לממשק הראשון של מנהרת HA VPN ב- Cloud de Confiance ושער נוסף שמתחבר לממשק השני של מנהרת HA VPN.

מידע נוסף זמין בקטע יצירת שער רשת מקומי במדריך יצירת חיבור VPN בין אתרים בפורטל Azure בתיעוד של Azure.

כדי ליצור את שער הרשת המקומית הראשון, פועלים לפי השלבים הבאים:

1. נכנסים ל-Azure Portal.
2. בתיבת החיפוש חיפוש משאבים, שירותים ומסמכים (G+/), מקלידים local network gateway.
3. בתוצאות החיפוש בקטע Marketplace, מאתרים את האפשרות local network gateway ובוחרים אותה.
4. לוחצים על יצירה.

5. בכרטיסייה Basics בדף Create local network gateway, מציינים את הערכים הבאים עבור שער הרשת המקומית:

   1. ברשימה Subscription (מינוי), מוודאים שהמינוי הנכון מוצג.
   2. ברשימה Resource group, בוחרים את אותה קבוצת משאבים שיצרתם עבור ה-VNet מוקדם יותר במסמך הזה.
   3. בקטע Region (אזור), בוחרים את אותו מיקום שבו נמצא ה-VNet.
   4. בשדה שם, מזינים שם לשער הרשת המקומית, כמו azure-to-google-locgateway1.
   5. בשדה Endpoint, בוחרים באפשרות IP address.
   6. בתיבה כתובת IP, מזינים את כתובת ה-IP של INTERFACE0 של HA VPN (כלומר, מזינים HA_VPN_INT_0).

   7. בשדה Address Space (מרחב כתובות), מזינים את טווחי הכתובות של הרשת שהרשת המקומית הזו מייצגת.

      אפשר להוסיף כמה טווחי מרחבי כתובות. חשוב לוודא שהטווחים שמציינים כאן לא חופפים לטווחים של רשתות אחרות שרוצים להתחבר אליהן.

6. בכרטיסייה מתקדם, מגדירים את הגדרות ה-BGP באופן הבא:

   1. בקטע Configure BGP settings (הגדרת הגדרות BGP), בוחרים באפשרות Yes (כן).
   2. בקטע מספר מערכת אוטונומית (ASN), מזינים את ה-ASN של Cloud Router (כלומר, מזינים GOOGLE_ASN).
   3. בשדה כתובת IP של רשת שכנה באמצעות BGP, מזינים את כתובת ה-IP של BGP עבור Cloud Router במנהרה 1 (כלומר, מזינים GOOGLE_BGP_IP_0).

7. כדי לאמת את ההגדרה של שער הרשת המקומית, לוחצים על בדיקה ועל יצירה בתחתית הדף.

8. אחרי שהאימות עובר בהצלחה, לוחצים על יצירה כדי ליצור את שער הרשת המקומית.

כדי ליצור את שער הרשת המקומית השני, פועלים לפי השלבים הבאים:

1. ב-Azure Portal, בשדה חיפוש משאבים, שירותים ומסמכים (G+/), מקלידים local network gateway.
2. בקטע Marketplace, בתוצאות החיפוש, מאתרים את האפשרות local network gateway ובוחרים בה.

3. בכרטיסייה Basics בדף Create local network gateway, מציינים את הערכים הבאים עבור שער הרשת המקומית:

   1. ברשימה Subscription (מינוי), מוודאים שהמינוי הנכון מוצג.
   2. ברשימה Resource group, בוחרים את אותה קבוצת משאבים שיצרתם עבור ה-VNet מוקדם יותר במסמך הזה.
   3. בשדה Region, בוחרים את אותו אזור של ה-VNet.
   4. בשדה שם, מזינים שם לשער הרשת המקומית, כמו azure-to-google-locgateway2.
   5. בשדה Endpoint, בוחרים באפשרות IP address.
   6. בתיבה כתובת IP, מזינים את כתובת ה-IP של INTERFACE1 של ה-HA VPN שלכם (כלומר, מזינים HA_VPN_INT_1).
   7. בקטע Address Space (מרחב כתובות), מזינים את טווחי הכתובות של הרשת שהרשת המקומית הזו מייצגת.

   אפשר להוסיף כמה טווחי מרחבי כתובות. חשוב לוודא שהטווחים שמציינים כאן לא חופפים לטווחים של רשתות אחרות שרוצים להתחבר אליהן.

4. בכרטיסייה מתקדם, מגדירים את הגדרות ה-BGP באופן הבא:

   1. בקטע Configure BGP settings (הגדרת הגדרות BGP), בוחרים באפשרות Yes (כן).
   2. בקטע מספר מערכת אוטונומית (ASN), מזינים את ה-ASN של Cloud Router (כלומר, מזינים GOOGLE_ASN).
   3. בשדה כתובת IP של רשת שכנה באמצעות BGP, מזינים את כתובת ה-IP של BGP עבור Cloud Router במנהרה 1 (כלומר, מזינים GOOGLE_BGP_IP_1).

5. כדי לאמת את ההגדרה של שער הרשת המקומית, לוחצים על בדיקה ויצירה בתחתית הדף.

6. אחרי שהאימות עובר בהצלחה, לוחצים על יצירה כדי ליצור את שער הרשת המקומית.

יצירת שני חיבורי VPN

כדי ליצור את חיבורי ה-VPN ב-Azure, צריך את המפתחות המשותפים מראש, או את SHARED_SECRET, שהגדרתם כשקבעתם את מנהרות ה-HA VPN ב- Cloud de Confiance.

1. בפורטל Azure, מאתרים את שער ה-VPN הפעיל-פעיל שיצרתם במאמר יצירת שער VPN פעיל-פעיל.
2. בוחרים באפשרות Connections (קישורים).
3. בחלק העליון של הדף חיבורים, לוחצים על +הוספה.
4. בדף הוספת חיבור, מציינים את הערכים הבאים לחיבור הראשון:
   1. בשדה Name (שם), מזינים שם לחיבור, לדוגמה azure-vnet-to-google1.
   2. בקטע סוג החיבור, בוחרים באפשרות Site-to-site (IPsec) (אתר לאתר (IPsec)).
   3. בשדה Local network gateway (שער לרשת מקומית), מציינים את השער הראשון לרשת מקומית שיצרתם, למשל azure-to-google-locgateway1.
   4. בקטע מפתח משותף (PSK), מציינים את המפתח המשותף שהגדרתם למנהרת ה-HA VPN הראשונה.
   5. בוחרים באפשרות הפעלת BGP.
   6. בשדה IKE Protocol, בוחרים באפשרות IKEv2.
   7. לוחצים על OK.
   8. בדף Connections (חיבורים), לוחצים על +Add (הוספה) כדי להוסיף חיבור שני עם הערכים הבאים:
   9. בשדה Name (שם), מזינים שם לחיבור, לדוגמה azure-vnet-to-google2.
   10. בקטע סוג החיבור, בוחרים באפשרות Site-to-site (IPsec) (אתר לאתר (IPsec)).
   11. בקטע Local network gateway (שער לרשת מקומית), מציינים את השער השני לרשת המקומית שיצרתם, למשל azure-to-google-locgateway2.
   12. בקטע מפתח משותף (PSK), מציינים את המפתח המשותף שהגדרתם עבור מנהרת ה-HA VPN השנייה.
   13. בוחרים באפשרות הפעלת BGP.
   14. בשדה IKE Protocol, בוחרים באפשרות IKEv2.
   15. לוחצים על OK.
5. בדף Connections (חיבורים), מוודאים שהסטטוס של שני החיבורים הוא Connected (מחובר).

אימות ההגדרה

ב- Cloud de Confiance, אפשר לאמת את הגדרות ה-HA VPN על ידי בדיקה (רישום) של הגדרות Cloud Router ואז בדיקת הסטטוס של מנהרות ה-HA VPN.

1. ב-Cloud Shell, מציגים את רשימת כתובות ה-IP של BGP Peering שנבחרו על ידי Cloud Router:

   gcloud compute routers get-status ROUTER_NAME \
      --region=REGION \
      --format='flattened(result.bgpPeerStatus[].name,
        result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute routers get-status cloud-router \
       --region us-central1 \
   --format='flattened(result.bgpPeerStatus[].name,result.bgpPeerStatus[].ipAddress,result.bgpPeerStatus[].peerIpAddress)'
   

   הפלט הצפוי של Cloud Router שמנהל שתי מנהרות HA VPN (אינדקס 0 ואינדקס 1) צריך להיראות כמו בדוגמה הבאה:

   result.bgpPeerStatus[0].ipAddress:     169.254.21.2
   result.bgpPeerStatus[0].name:          azure-bgp-peer-1
   result.bgpPeerStatus[0].peerIpAddress: 169.254.21.1
   result.bgpPeerStatus[1].ipAddress:     169.254.22.2
   result.bgpPeerStatus[1].name:          azure-bgp-peer-2
   result.bgpPeerStatus[1].peerIpAddress: 169.254.22.1
   

2. ב-Cloud Shell, בודקים את הסטטוס של מנהרת ה-HA VPN הראשונה:

   gcloud compute vpn-tunnels describe TUNNEL_NAME_IF0 \
      --region=REGION

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫TUNNEL_NAME_IF0: המנהרה שמשויכת לממשק הראשון של שער ה-HA VPN שהגדרתם.
   • ‫REGION: האזור שבו פרסתם את שער HA VPN.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute vpn-tunnels describe azure-tunnel-1 -–region=us-central1
   

   הפלט הצפוי של המנהרה אמור להיראות כמו בדוגמה הבאה:

   creationTimestamp: '2022-09-28T17:13:21.592-07:00'
   description: ''
   detailedStatus: Tunnel is up and running.
   id: '278561789474069966'
   ikeVersion: 2
   kind: compute#vpnTunnel
   localTrafficSelector:
   -   0.0.0.0/0
   name: azure-tunnel-1
   peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
   peerExternalGatewayInterface: 0
   peerIp: 203.0.113.1
   region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
   remoteTrafficSelector:
   -   0.0.0.0/0
   router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
   selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-1
   sharedSecret: '*************'
   sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9paz
   status: ESTABLISHED
   vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnGateways/ha-vpn-gw-a
   vpnGatewayInterface: 0
   

3. ב-Cloud Shell, בודקים את הסטטוס של מנהרת ה-HA VPN השנייה:

   gcloud compute vpn-tunnels describe TUNNEL_NAME_IF1 \
      --region=REGION

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫TUNNEL_NAME_IF1: המנהרה שמשויכת לממשק השני של שער ה-HA VPN שהגדרתם.
   • ‫REGION: האזור שבו פרסתם את שער HA VPN.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute vpn-tunnels describe azure-tunnel-2 --region=us-central1
   

   הפלט הצפוי של המנהרה אמור להיראות כמו בדוגמה הבאה:

   creationTimestamp: '2022-09-28T17:13:21.592-07:00'
   description: ''
   detailedStatus: Tunnel is up and running.
   id: '5665972275117479944'
   ikeVersion: 2
   kind: compute#vpnTunnel
   localTrafficSelector:
   -   0.0.0.0/0
   name: azure-tunnel-2
   peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw
   peerExternalGatewayInterface: 1
   peerIp: 203.0.113.2
   region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1
   remoteTrafficSelector:
   -   0.0.0.0/0
   router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router
   selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-2
   sharedSecret: '*************'
   sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9ddd
   

בדיקת הקישוריות

כדי לבדוק חיבורי HA VPN, צריך קודם ליצור מכונות וירטואליות בכל צד של המנהרה.

בשלב הבא, צריך לוודא שהגדרתם ב- Cloud de Confiance כללי חומת אש שמאפשרים תנועת נתונים נכנסת (ingress) של ICMP מתת-רשתות של רשת Azure. אחרי שיוצרים את המכונות הווירטואליות ואת כללי חומת האש, אפשר לבדוק את הקישוריות באמצעות ping ואת רוחב הפס באמצעות iperf.

1. יוצרים מכונות וירטואליות לבדיקה בכל צד של המנהרות כדי לבדוק בקשות פינג.

   בנוסף, צריך להגדיר את חומת האש בין רשתות של Azure כך שתאפשר תנועה נכנסת מקידומות רשת המשנה שמשמשות בענן הווירטואלי הפרטי.

2. ב- Cloud de Confiance, מגדירים כלל חומת אש שמאפשר תעבורת נתוני ICMP נכנסת מ-Azure VPN:

   gcloud compute firewall-rules create RULE_NAME \
       --network NETWORK \
       --direction ingress \
       --action allow \
       --source-ranges AZURE_VNET_RANGE \
       --rules icmp \

   מחליפים את AZURE_VNET_RANGE בטווח כתובות ה-IP שהוקצה ל-VNet שלכם ב-Azure.

   הפקודה צריכה להיראות כמו בדוגמה הבאה:

   gcloud compute firewall-rules create allow-azure-icmp \
     --network google-to-azure-vpc \
     --direction ingress \
     --action allow \
     --source-ranges 10.0.0.0/16 \
     --rules icmp
   

3. בודקים את החיבור באמצעות הפקודה ping.

4. מודדים את רוחב הפס בין מכונות הבדיקה באמצעות iperf.

הסרת המשאבים

מוחקים את המשאבים של Cloud de Confiance ו-Azure שנוצרו במהלך המדריך הזה.

מחיקת הפרויקט Cloud de Confiance by S3NS

כדי להימנע מחיובים בחשבון Cloud de Confiance בגלל השימוש במשאבים שנעשה במסגרת מדריך זה, אפשר למחוק את הפרויקט:

1. In the Cloud de Confiance console, go to the Manage resources page.

   Go to Manage resources

2. In the project list, select the project that you want to delete, and then click Delete.
3. In the dialog, type the project ID, and then click Shut down to delete the project.

מחיקת קבוצת משאבים ב-Azure

מוחקים את קבוצת המשאבים של Azure Manager שיצרתם כשנוצר ה-VNet. במדריך הזה, השם של קבוצת המשאבים לדוגמה הוא azure-to-google-resgroup.

מידע נוסף זמין במאמר מחיקת קבוצת משאבים ומשאבים ב-Azure Resource Manager.

המאמרים הבאים

• מידע נוסף על Google Cloud VPN
• מידע נוסף על שיטות מומלצות ודוגמאות לארכיטקטורות לתכנון VPC