Questo tutorial mostra come creare connessioni di rete virtuale privata (VPN) ad alta disponibilità tra Trusted Cloud by S3NS e Microsoft Azure. Puoi utilizzare questi servizi VPN ad alta disponibilità per la comunicazione diretta tra le reti VPC (Virtual Private Cloud) inTrusted Cloud by S3NS e i gateway di rete virtuale Microsoft Azure.
Questo documento presuppone che tu conosca i concetti di base di reti VPC, Border Gateway Protocol (BGP), VPN e tunnel Internet Protocol Security (IPsec).
Trusted Cloud fornisce un servizio VPN ad alta disponibilità per connettere la tua rete VPC a ambienti in esecuzione al di fuori di Trusted Cloud, ad esempio Microsoft Azure, tramite una connessione VPN IPsec. Una VPN ad alta disponibilità fornisce un accordo sul livello del servizio (SLA) con una disponibilità del servizio del 99,99% se configurata in base alle best practice di Google.
Panoramica dell'architettura
Il seguente diagramma mostra l'architettura descritta in questo documento.
L'architettura mostrata nel diagramma include i seguenti componenti:
- Router Cloud: un servizio Trusted Cloudcompletamente distribuito e gestito per fornire il routing dinamico utilizzando BGP per le tue reti VPC.
- Gateway VPN ad alta disponibilità: un gateway VPN gestito da Google in esecuzione su Trusted Cloud. Ogni gateway VPN ad alta disponibilità è una risorsa di regione con due interfacce: interface 0 e 1. Ciascuna di queste interfacce ha il proprio indirizzo IP esterno.
- Tunnel VPN: connessioni dal gateway VPN ad alta disponibilità su Trusted Cloud al gateway VPN peer su Azure attraverso cui passa il traffico criptato.
- Gateway di rete virtuale: due reti private definite nel servizio Azure Cloud.
Ogni connessione Virtual Network Gateway è dotata di due tunnel preconfigurati per puntare a un singolo gateway cliente, che in questo caso è un'interfaccia gateway VPN ad alta disponibilità in Trusted Cloud. Con questa configurazione, il numero minimo di tunnel Cloud VPN richiesti per soddisfare lo SLA con disponibilità del servizio del 99,99% è due.
Indirizzi IP necessari per le procedure
Per completare le procedure descritte in questo documento, utilizzi una serie di indirizzi IP sia in Trusted Cloud che in Azure. Alcuni di questi indirizzi IP vengono assegnati automaticamente quando crei una risorsa.
Per gli indirizzi non assegnati automaticamente, definisci questi indirizzi IP in base a quelli disponibili e alle esigenze della tua organizzazione.
Le risorseTrusted Cloud richiedono i seguenti indirizzi IP:
- La creazione di una subnet per una rete Virtual Private Cloud richiede un intervallo di indirizzi IP definito dall'utente.
- Dopo aver creato il gateway VPN ad alta disponibilità, Trusted Cloud assegna automaticamente due indirizzi IP esterni al gateway VPN ad alta disponibilità. Google assegna un indirizzo IP a ciascuna delle due interfacce del gateway. Per configurare i gateway di rete locale in Azure, devi disporre degli indirizzi IP di queste interfacce.
Quando crei tunnel VPN ad alta disponibilità in Trusted Cloud, ogni tunnel ha bisogno di un'interfaccia BGP per router Cloud e di un'interfaccia BGP per il gateway di rete virtuale attivo-attivo (gateway VPN) in Azure. Per ogni tunnel, scegli una coppia di indirizzi IPv4 di peering BGP link-local in un blocco /30 dagli intervalli
169.254.21.*e169.254.22.*. Questi intervalli sono validi per gli indirizzi IPv4 di peering BGP APIPA di Azure. Devi selezionare un totale di quattro indirizzi IP.Gli indirizzi IPv4 di peering BGP che selezioni devono essere univoci tra tutti i router Cloud.
Le risorse Azure richiedono i seguenti indirizzi IP:
- Quando crei la rete virtuale (VNet), questa richiede uno spazio di indirizzi IP per la rete e uno spazio di indirizzi IP per la subnet della rete. Puoi utilizzare gli spazi di indirizzi predefiniti o inserire spazi di indirizzi definiti dall'utente.
- Quando crei il gateway di rete virtuale (gateway VPN) attivo-attivo, il gateway richiede un intervallo di indirizzi di subnet. Puoi utilizzare l'intervallo predefinito o inserire un intervallo definito dall'utente.
- Quando configuri BGP per il gateway VPN attivo-attivo, il gateway richiede due indirizzi IP peering BGP APIPA. Come
accennato in precedenza, gli intervalli validi per gli indirizzi IP di peering BGP APIPA di Azure
sono
169.254.21.*e169.254.22.*. - Dopo aver creato un gateway VPN attivo-attivo, Azure assegna automaticamente un indirizzo IP esterno a ciascuna delle interfacce del gateway. Ti servono questi indirizzi IP per configurare il gateway VPN peer in Trusted Cloud.
Quando definisci gli indirizzi IP, assicurati di utilizzare un insieme univoco di indirizzi IP per ogni rete.
Obiettivi
- Crea una rete virtuale Azure e un gateway di rete virtuale (gateway VPN) attivo-attivo.
- Crea i componenti necessari su Trusted Cloud: una rete VPC, un router Cloud, un gateway VPN ad alta disponibilità, un gateway VPN peer e due tunnel VPN ad alta disponibilità con sessioni BGP.
- Crea due gateway di rete locale e due connessioni VPN in Azure. Verifica la configurazione del router Cloud e controlla lo stato dei tunnel VPN ad alta disponibilità in Trusted Cloud.
- Testa la connessione Cloud VPN tra la rete VPC su Trusted Cloud e la rete virtuale (VNet) su Azure.
Costi
Le procedure descritte in questo documento utilizzano componenti fatturabili di Trusted Cloud, tra cui:
Per una stima dei costi dei componenti Trusted Cloud , utilizza il Calcolatore prezzi di Google Cloud.
Le procedure descritte in questo documento utilizzano componenti fatturabili dei servizi cloud Microsoft Azure, tra cui:
- Gateway VPN
- Gateway di rete locale
Per una stima dei costi dei componenti Azure, utilizza il Calcolatore prezzi di Azure.
Prima di iniziare
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Compute Engine API.
-
In the Trusted Cloud console, activate Cloud Shell.
-
Assicurati di disporre dei ruoli amministrativi richiesti per configurare i componenti di rete:
- Amministratore di rete:
compute.networkAdmin - Amministratore sicurezza:
compute.securityAdmin - Compute Admin:
compute.admin
Per saperne di più sugli scopi di questi ruoli, consulta Ruoli IAM per mansioni relative al networking.
- Amministratore di rete:
- Una rete virtuale (VNet) di Azure che consente alle risorse Azure di comunicare con la tua VPN Google Cloud.
- Un gateway di rete virtuale (gateway VPN) attivo-attivo che consente a entrambe le istanze delle macchine virtuali (VM) del gateway di stabilire tunnel VPN alla tua VPN Google Cloud.
- Accedi al portale Azure.
- Nella casella Cerca risorse, servizi e documenti (G+/),
digita
virtual network. - Nell'elenco dei risultati di Marketplace, seleziona Rete virtuale.
- Nella pagina Rete virtuale, seleziona Crea.
Nella scheda Informazioni di base della pagina Crea rete virtuale, configura le seguenti impostazioni VNet per Dettagli progetto e Dettagli istanza:
- Nella casella Abbonamento, verifica che l'abbonamento elencato sia quello corretto. Per modificare l'abbonamento, selezionalo dall'elenco .
- Per specificare il gruppo di risorse, fai clic su Crea nuovo per creare
un nuovo gruppo e inserisci un nome come
azure‑to‑google‑resgroupper il nome del gruppo di risorse. - Nella casella Nome, inserisci il nome della VNet, ad esempio
azure‑to‑google‑network. Nella casella Regione, seleziona una località per la tua VNet.
La località che selezioni determina la posizione di archiviazione delle risorse che distribuisci in questa rete virtuale.
Nella scheda Indirizzi IP, nella casella Spazio di indirizzi IPv4, utilizza lo spazio di indirizzi e la subnet predefiniti creati da Azure.
Nella scheda Sicurezza, lascia i valori per BastionHost, DDos Protection Standard e Firewall impostati sul valore predefinito Disattiva.
Per convalidare le impostazioni della rete virtuale, seleziona Rivedi e crea.
Una volta convalidate le impostazioni, seleziona Crea.
- La prima procedura definisce i dettagli del progetto e dell'istanza
- La seconda procedura specifica l'indirizzo IP del gateway.
- Accedi al portale Azure.
- In Cerca risorse, servizi e documenti (G+/),
digita
virtual network gateway. - Nella sezione Servizi dei risultati di ricerca, individua e seleziona Gateway di rete virtuale.
- Nella pagina Gateway di rete virtuale, seleziona Crea.
Nella scheda Informazioni di base della pagina Crea gateway di rete virtuale, specifica i seguenti valori per le opzioni nelle sezioni Dettagli progetto e Dettagli istanza:
- Nell'elenco Abbonamento, seleziona l'abbonamento che vuoi utilizzare.
- (Facoltativo) Nella casella Intervallo di indirizzi subnet gateway, inserisci l'intervallo di indirizzi per la subnet.
- Verifica che in Gruppo di risorse venga visualizzato il gruppo di risorse che corrisponde alla rete virtuale selezionata in questa pagina.
- In Nome, inserisci il nome del gateway, ad esempio
azure‑to‑google‑gateway. - Per Regione, seleziona la stessa regione che hai utilizzato quando hai creato la tua VNET.
- In Tipo di gateway, seleziona VPN.
Per Tipo VPN, seleziona il tipo di VPN Basata su route.
Nell'elenco SKU, seleziona lo SKU del gateway che vuoi utilizzare.
Gli SKU elencati nel menu a discesa dipendono dal tipo di VPN selezionato.
Nell'elenco Generazione, seleziona la generazione che vuoi utilizzare.
Nell'elenco Rete virtuale, seleziona la VNet creata in precedenza.
Rimani su questa pagina per la procedura successiva.
Nella scheda Informazioni di base della pagina Crea gateway di rete virtuale, segui questi passaggi per creare gli indirizzi IP esterni utilizzati dal gateway VPN attivo-attivo:
Per Indirizzo IP pubblico, seleziona Crea nuovo.
Azure assegna automaticamente l'indirizzo IP esterno al gateway VPN active-active.
Nella casella Nome indirizzo IP pubblico, digita un nome per l'istanza dell'indirizzo IP esterno, ad esempio
azure‑to‑google‑network‑ip1.Per Attiva modalità active-active, seleziona Attivato.
(Facoltativo) Se disponibile per la tua regione, configura la zona di disponibilità. Ad esempio, puoi selezionare Ridondanza di zona.
Per Secondo indirizzo IP pubblico, seleziona Crea nuovo.
Nella casella Nome indirizzo IP pubblico, digita il nome del secondo indirizzo IP esterno, ad esempio
azure‑to‑google‑network‑ip2.In Configura BGP, seleziona Attivato.
Per gli Autonomous System Number (ASN), imposta l'ASN su un valore consentito e valido.
Utilizzi questo valore ASN quando configuri le sessioni BGP per i tunnel in Trusted Cloud. Registra questo valore come
AZURE_ASNper fare riferimento a questo gateway VPN attivo-attivo.Per Indirizzo IP BGP APIPA Azure personalizzato, inserisci il primo indirizzo IP BGP APIPA e registra il valore come
AZURE_BGP_IP_0. Gli intervalli validi per gli indirizzi IP BGP APIPA di Azure sono169.254.21.*e169.254.22.*.Per Secondo indirizzo IP BGP APIPA Azure personalizzato, inserisci il secondo indirizzo IP BGP APIPA e registra il valore come
AZURE_BGP_IP_1. Utilizzerai queste variabili quando configurerai le sessioni BGP in Trusted Cloud.
Per eseguire la convalida, seleziona Rivedi e crea.
Al termine della convalida, seleziona Crea per eseguire il deployment del gateway VPN.
- Nella pagina Panoramica del gateway attivo-attivo che hai appena creato, individua gli indirizzi IP esterni del gateway.
- Registra gli indirizzi IP visualizzati sullo schermo:
- Registra il primo indirizzo IP esterno come
AZURE_GW_IP_0. - Registra il secondo indirizzo IP esterno come
AZURE_GW_IP_1.
- Registra il primo indirizzo IP esterno come
- Una rete VPC.
- Un gateway VPN ad alta disponibilità.
- Un router Cloud.
- Un gateway VPN peer.
- Tunnel VPN ad alta disponibilità con sessioni BGP.
In Trusted Cloud Shell, assicurati di lavorare nel progetto Cloud che hai creato o selezionato:
gcloud config set project YOUR_PROJECT_ID export PROJECT_ID=`gcloud config list --format="value(core.project)"`
Sostituisci
YOUR_PROJECT_IDcon l'ID progetto Cloud.Crea una rete VPC personalizzata con una singola subnet:
gcloud compute networks create NETWORK \ --subnet-mode SUBNET_MODE \ --bgp-routing-mode BGP_ROUTING_MODE
Sostituisci quanto segue:
NETWORK: il nome della rete, ad esempiogoogle‑to‑azure‑vpc.SUBNET_MODE: la modalità subnet impostata sucustom.
BGP_ROUTING_MODE: la modalità di routing BGP impostata suglobal.Il comando dovrebbe essere simile al seguente esempio:
gcloud compute networks create google-to-azure-vpc \ --subnet-mode custom \ --bgp-routing-mode global
Crea una subnet per ospitare le VM di test:
gcloud compute networks subnets create SUBNET_NAME \ --network NETWORK \ --region SUBNET_REGION \ --range SUBNET_IP_ADDRESS_RANGE
Sostituisci quanto segue:
SUBNET_NAME: il nome della subnet.SUBNET_REGION: La regione in cui creare la subnet.SUBNET_IP_ADDRESS_RANGE: l'intervallo di indirizzi IP per la subnet.
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute networks subnets create subnet-central1 \ --network google-to-azure-vpc \ --region us-central1 \ --range 10.1.1.0/24Crea il gateway VPN ad alta disponibilità:
gcloud compute vpn-gateways create HA_VPN_GATEWAY_NAME \ --network NETWORK \ --region REGION
Sostituisci
HA_VPN_GATEWAY_NAMEcon il nome del gateway VPN ad alta disponibilità.Il comando dovrebbe essere simile al seguente esempio:
gcloud compute vpn-gateways create ha-vpn-gw-a \ --network google-to-azure-vpc \ --region us-central1
Il gateway che crei dovrebbe essere simile all'output di esempio seguente:
Created [https://www.googleapis.com/compute/v1/projects/YOUR_PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.1 203.0.113.2 google-to-azure-vpc us-central1
L'output elenca gli indirizzi IPv4 esterni che sono stati assegnati automaticamente a ogni interfaccia del gateway (
INTERFACE0eINTERFACE1). Hai bisogno di questi indirizzi IP quando configuri i gateway di rete locali su Azure:- Registra l'indirizzo IP per
INTERFACE0inHA_VPN_INT_0. - Registra l'indirizzo IP per
INTERFACE1inHA_VPN_INT_1.
- Registra l'indirizzo IP per
Crea un router Cloud:
gcloud compute routers create ROUTER_NAME \ --region REGION \ --network NETWORK \ --asn GOOGLE_ASN \
Sostituisci quanto segue:
ROUTER_NAME: il nome del router Cloud.REGION: la regione in cui stai creando il gateway VPN ad alta disponibilità e i tunnel.GOOGLE_ASN: il numero di sistema autonomo (ASN) privato per il router Cloud che stai creando. Può essere qualsiasi ASN privato nell'intervallo64512-65534o4200000000-4294967294che non stai già utilizzando come ASN peer nella stessa regione e nella stessa rete.
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers create cloud-router \ --region us-central1 \ --network google-to-azure-vpc \ --asn 65534AZURE_GW_NAME: il nome del tuo gateway VPN Azure attivo-attivoAZURE_GW_IP_0: l'indirizzo IP esterno per un'interfaccia dal gateway peerAZURE_GW_IP_1: l'indirizzo IP esterno per un'altra interfaccia del gateway peerTUNNEL_NAME_IF0eTUNNEL_NAME_IF1: un nome per il tunnel; assegnare un nome ai tunnel includendo il nome dell'interfaccia del gateway può aiutare a identificarli in un secondo momento.AZURE_GW_NAME: il nome del gateway peer esterno creato in precedenzaAZURE_GW_INT_NUM_0eAZURE_GW_INT_NUM_1: i numeri di interfaccia configurati in precedenza sul gateway peer esterno.IKE_VERS: utilizza2per IKEv2.SHARED_SECRET: la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa specificata quando configuri le connessioni VPN in Azure. Per i consigli, vedi Generazione di una chiave precondivisa efficace.HA_VPN_GATEWAY_NAME: il nome del gateway VPN ad alta disponibilità.INT_NUM_0: il numero0per la prima interfaccia del gateway VPN ad alta disponibilità che hai creato in precedenza.INT_NUM_1: il numero1per la seconda interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza.Crea il tunnel VPN per l'interfaccia 0:
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \ --peer-external-gateway=AZURE_GW_NAME \ --peer-external-gateway-interface=AZURE_GW_INT_NUM_0 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=HA_VPN_GATEWAY_NAME \ --interface=INT_NUM_0
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute vpn-tunnels create azure-tunnel-1 \ --peer-external-gateway azure-peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \ --router cloud-router \ --vpn-gateway ha-vpn-gw-a \ --interface 0
Crea il tunnel VPN per l'interfaccia 1:
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \ --peer-external-gateway=AZURE_GW_NAME \ --peer-external-gateway-interface=AZURE_GW_INT_NUM_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME \ --vpn-gateway=HA_VPN_GATEWAY_NAME \ --interface=INT_NUM_1
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute vpn-tunnels create azure-tunnel-2 \ --peer-external-gateway azure-peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret xo2aTKHipD/oE1GAXgj3lMwjBmJXZjqD \ --router cloud-router \ --vpn-gateway ha-vpn-gw-a \ --interface 1
ROUTER_NAME: il nome che hai assegnato al router Cloud.ROUTER_INTERFACE_NAME_0eROUTER_INTERFACE_NAME_1: il nome dell'interfaccia BGP del router Cloud. Può essere utile utilizzare nomi correlati ai nomi dei tunnel configurati in precedenza.MASK_LENGTH: specifica30; ogni sessione BGP sullo stesso router Cloud deve utilizzare un/30CIDR univoco dal blocco169.254.0.0/16.GOOGLE_BGP_IP_0eGOOGLE_BGP_IP_1: gli indirizzi IP di peering BGP per le interfacce del gateway VPN ad alta disponibilità che configuri; ogni tunnel utilizza un'interfaccia del gateway diversa. Poiché gli intervalli consentiti per gli indirizzi IP di peering BGP APIPA di Azure sono169.254.21.*e169.254.22.*, devi selezionare un indirizzo IP disponibile nel CIDR/30di questi intervalli per gli indirizzi IP di peering BGP di Cloud Router.AZURE_BGP_IP_0eAZURE_BGP_IP_1: gli indirizzi IP di peering BGP APIPA che hai già configurato sul gateway VPN active-active di Azure; ogni tunnel utilizza un indirizzo diverso.TUNNEL_NAME_IF0eTUNNEL_NAME_IF1: i tunnel associati all'interfaccia del gateway VPN ad alta disponibilità che hai configurato.AZURE_ASN: l'ASN che hai configurato per il gateway VPN peer attivo-attivo in Azure.BGP_PEER_NAME_1eBGP_PEER_NAME_2con nomi univoci per ogni peer BGP. Ad esempio,azure‑bgp‑peer‑1eazure‑bgp‑peer‑2.Per il primo tunnel VPN, aggiungi un'interfaccia BGP al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_0 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_IF0 \ --ip-address=GOOGLE_BGP_IP_0 \ --region=REGION
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers add-interface cloud-router \ --interface-name azure-tunnel-1-int-0 \ --mask-length 30 \ --vpn-tunnel azure-tunnel-1 \ --ip-address 169.254.21.2 \ --region us-central1
Per il primo tunnel VPN, aggiungi un peer BGP all'interfaccia:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=BGP_PEER_NAME_1 \ --peer-asn=AZURE_ASN \ --interface=ROUTER_INTERFACE_NAME_0 \ --peer-ip-address=AZURE_BGP_IP_0 \ --region=REGION
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers add-bgp-peer cloud-router \ --peer-name azure-bgp-peer-1 \ --peer-asn 65515 \ --interface azure-tunnel-1-int-0 \ --peer-ip-address 169.254.21.1 \ --region us-central1
Per il secondo tunnel VPN, aggiungi un'interfaccia BGP al router Cloud:
gcloud compute routers add-interface ROUTER_NAME \ --interface-name=ROUTER_INTERFACE_NAME_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_IF1 \ --ip-address=GOOGLE_BGP_IP_1 \ --region=REGION
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers add-interface cloud-router \ --interface-name azure-tunnel-2-int-1 \ --mask-length 30 \ --vpn-tunnel azure-tunnel-2 \ --ip-address 169.254.22.2 \ --region us-central1
Per il secondo tunnel VPN, aggiungi un peer BGP all'interfaccia:
gcloud compute routers add-bgp-peer ROUTER_NAME \ --peer-name=BGP_PEER_NAME_2 \ --peer-asn=AZURE_ASN \ --interface=ROUTER_INTERFACE_NAME_1 \ --peer-ip-address=AZURE_BGP_IP_1 \ --region=REGION
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers add-bgp-peer cloud-router \ --peer-name azure-bgp-peer-2 \ --peer-asn 65515 \ --interface azure-tunnel-2-int-1 \ --peer-ip-address 169.254.22.1 \ --region us-central1
- Due gateway di rete locale che rappresentano la tua VPN Google Cloud in Azure.
- Due connessioni VPN che corrispondono ai due tunnel VPN ad alta disponibilità che hai configurato in Trusted Cloud.
- Un nome per il gateway di rete locale.
- L'indirizzo IP dell'interfaccia VPN ad alta disponibilità da utilizzare nella connessione.
- L'indirizzo IP del router Google Cloud a cui vuoi creare una connessione.
- I prefissi degli indirizzi IP instradati tramite il gateway VPN al router Cloud. I prefissi degli indirizzi che specifichi sono quelli che si trovano nella tua Cloud VPN. Se la tua rete privata virtuale cloud cambia o devi modificare l'indirizzo IP esterno per il router Cloud, puoi aggiornare i valori in un secondo momento.
- Accedi al portale Azure.
- In Cerca risorse, servizi e documenti (G+/), digita gateway di rete locale.
- Nei risultati di ricerca in Marketplace, individua e seleziona gateway di rete locale.
- Fai clic su Crea.
Nella scheda Informazioni di base della pagina Crea gateway di rete locale, specifica i seguenti valori per il gateway di rete locale:
- Nell'elenco Abbonamento, verifica che venga visualizzato l'abbonamento corretto.
- Nell'elenco Gruppo di risorse, seleziona lo stesso gruppo di risorse che hai creato per la VNet in precedenza in questo documento.
- Per Regione, seleziona la stessa località in cui si trova la tua VNet.
- In Nome, inserisci un nome per il gateway di rete locale, ad esempio
azure-to-google-locgateway1. - In Endpoint, seleziona Indirizzo IP.
- Nella casella Indirizzo IP, inserisci l'indirizzo IP di
INTERFACE0della tua VPN ad alta disponibilità (ovvero inserisciHA_VPN_INT_0). Per Spazio di indirizzi,inserisci gli intervalli di indirizzi per la rete rappresentata da questa rete locale.
Puoi aggiungere più intervalli di spazio degli indirizzi. Assicurati che gli intervalli che specifichi qui non si sovrappongano agli intervalli di altre reti a cui vuoi connetterti.
Nella scheda Avanzate, configura le impostazioni BGP nel seguente modo:
- In Configura impostazioni BGP, seleziona Sì.
- Per Numero di sistema autonomo (ASN), inserisci l'ASN del router Cloud (ovvero inserisci
GOOGLE_ASN). - In Indirizzo IP peer BGP, inserisci l'indirizzo IP BGP per il router Cloud nel tunnel 1 (ovvero inserisci
GOOGLE_BGP_IP_0).
Per convalidare la configurazione del gateway di rete locale, fai clic su Rivedi e crea in fondo alla pagina.
Una volta superata la convalida, fai clic su Crea per creare il gateway di rete locale.
- Nel Portale di Azure, in Cerca risorse, servizi e documenti (G+/), digita
local network gateway. - In Marketplace, nei risultati di ricerca, individua e seleziona gateway di rete locale.
Nella scheda Informazioni di base della pagina Crea gateway di rete locale, specifica i seguenti valori per il gateway di rete locale:
- Nell'elenco Abbonamento, verifica che venga visualizzato l'abbonamento corretto.
- Nell'elenco Gruppo di risorse, seleziona lo stesso gruppo di risorse di quello creato per la VNet in precedenza in questo documento.
- In Regione, seleziona la stessa regione della tua VNet.
- In Nome, inserisci un nome per il gateway di rete locale, ad esempio
azure-to-google-locgateway2. - In Endpoint, seleziona Indirizzo IP.
- Nella casella Indirizzo IP, inserisci l'indirizzo IP per
INTERFACE1della tua VPN ad alta disponibilità (ovvero inserisciHA_VPN_INT_1). - Per Spazio di indirizzi,inserisci gli intervalli di indirizzi per la rete che questa rete locale rappresenta.
Puoi aggiungere più intervalli di spazio degli indirizzi. Assicurati che gli intervalli che specifichi qui non si sovrappongano agli intervalli di altre reti a cui vuoi connetterti.
Nella scheda Avanzate, configura le impostazioni BGP nel seguente modo:
- In Configura impostazioni BGP, seleziona Sì.
- Per Numero di sistema autonomo (ASN), inserisci l'ASN del router Cloud (ovvero inserisci
GOOGLE_ASN). - In Indirizzo IP peer BGP, inserisci l'indirizzo IP BGP per il router Cloud nel tunnel 1 (ovvero inserisci
GOOGLE_BGP_IP_1).
Per convalidare la configurazione del gateway di rete locale, fai clic su Rivedi e crea nella parte inferiore della pagina.
Una volta superata la convalida, fai clic su Crea per creare il gateway di rete locale.
- Nel portale Azure, individua il gateway VPN active-active che hai creato in Crea un gateway VPN active-active.
- Seleziona Connessioni.
- Nella parte superiore della pagina Connessioni, seleziona +Aggiungi.
- Nella pagina Aggiungi connessione, specifica i seguenti valori per la prima connessione:
- In Name (Nome), inserisci un nome per la connessione, ad esempio
azure-vnet-to-google1. - Per Tipo di connessione, seleziona Da sito a sito (IPsec).
- Per Gateway di rete locale, specifica il primo gateway di rete locale
che hai creato, ad esempio
azure-to-google-locgateway1. - Per la chiave condivisa (PSK), specifica la chiave condivisa che hai configurato per il primo tunnel VPN ad alta disponibilità.
- Seleziona Attiva BGP.
- In Protocollo IKE, seleziona IKEv2.
- Fai clic su OK.
- Nella pagina Connessioni, seleziona +Aggiungi per aggiungere una seconda connessione con i seguenti valori:
- In Name (Nome), inserisci un nome per la connessione, ad esempio
azure-vnet-to-google2. - Per Tipo di connessione, seleziona Da sito a sito (IPsec).
- Per Gateway di rete locale, specifica il secondo gateway di rete locale
che hai creato, ad esempio
azure-to-google-locgateway2. - Per la chiave condivisa (PSK), specifica la chiave condivisa che hai configurato per il secondo tunnel VPN ad alta disponibilità.
- Seleziona Attiva BGP.
- In Protocollo IKE, seleziona IKEv2.
- Fai clic su OK.
- In Name (Nome), inserisci un nome per la connessione, ad esempio
- Nella pagina Connessioni, verifica che lo stato di entrambe le connessioni sia Connesso.
In Cloud Shell, elenca gli indirizzi IP di peering BGP scelti dal router Cloud:
gcloud compute routers get-status ROUTER_NAME \ --region=REGION \ --format='flattened(result.bgpPeerStatus[].name, result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute routers get-status cloud-router \ --region us-central1 \ --format='flattened(result.bgpPeerStatus[].name,result.bgpPeerStatus[].ipAddress,result.bgpPeerStatus[].peerIpAddress)'L'output previsto per un router Cloud che gestisce due tunnel VPN ad alta disponibilità (indice
0e indice1) dovrebbe essere simile all'esempio seguente:result.bgpPeerStatus[0].ipAddress: 169.254.21.2 result.bgpPeerStatus[0].name: azure-bgp-peer-1 result.bgpPeerStatus[0].peerIpAddress: 169.254.21.1 result.bgpPeerStatus[1].ipAddress: 169.254.22.2 result.bgpPeerStatus[1].name: azure-bgp-peer-2 result.bgpPeerStatus[1].peerIpAddress: 169.254.22.1
In Cloud Shell, visualizza lo stato del primo tunnel VPN ad alta disponibilità:
gcloud compute vpn-tunnels describe TUNNEL_NAME_IF0 \ --region=REGION
Sostituisci quanto segue:
TUNNEL_NAME_IF0: il tunnel associato alla prima interfaccia del gateway VPN ad alta disponibilità che hai configurato.REGION: la regione in cui hai eseguito il deployment del gateway VPN ad alta disponibilità.
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute vpn-tunnels describe azure-tunnel-1 -–region=us-central1
L'output previsto per il tunnel dovrebbe essere simile al seguente esempio:
creationTimestamp: '2022-09-28T17:13:21.592-07:00' description: '' detailedStatus: Tunnel is up and running. id: '278561789474069966' ikeVersion: 2 kind: compute#vpnTunnel localTrafficSelector: - 0.0.0.0/0 name: azure-tunnel-1 peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw peerExternalGatewayInterface: 0 peerIp: 203.0.113.1 region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1 remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-1 sharedSecret: '*************' sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9paz status: ESTABLISHED vpnGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnGateways/ha-vpn-gw-a vpnGatewayInterface: 0
In Cloud Shell, visualizza lo stato del secondo tunnel VPN ad alta disponibilità:
gcloud compute vpn-tunnels describe TUNNEL_NAME_IF1 \ --region=REGION
Sostituisci quanto segue:
TUNNEL_NAME_IF1: il tunnel associato alla seconda interfaccia del gateway VPN ad alta disponibilità che hai configurato.REGION: la regione in cui hai eseguito il deployment del gateway VPN ad alta disponibilità.
Il comando dovrebbe essere simile al seguente esempio:
gcloud compute vpn-tunnels describe azure-tunnel-2 --region=us-central1
L'output previsto per il tunnel dovrebbe essere simile al seguente esempio:
creationTimestamp: '2022-09-28T17:13:21.592-07:00' description: '' detailedStatus: Tunnel is up and running. id: '5665972275117479944' ikeVersion: 2 kind: compute#vpnTunnel localTrafficSelector: - 0.0.0.0/0 name: azure-tunnel-2 peerExternalGateway: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/global/externalVpnGateways/azure-peer-gw peerExternalGatewayInterface: 1 peerIp: 203.0.113.2 region: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1 remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/routers/cloud-router selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT-ID/regions/us-central1/vpnTunnels/azure-tunnel-2 sharedSecret: '*************' sharedSecretHash: ALDZGgSMUxj8KFahMoG_L0Fz9ddd
Crea VM di test su ogni lato dei tunnel per testare le richieste ping.
Devi anche configurare il firewall di rete Azure per consentire il traffico in entrata dai prefissi di subnet utilizzati nel tuo Virtual Private Cloud.
Su Trusted Cloud, configura una regola firewall che consenta il traffico ICMP in entrata dalla tua VPN Azure:
gcloud compute firewall-rules create RULE_NAME \ --network NETWORK \ --direction ingress \ --action allow \ --source-ranges AZURE_VNET_RANGE \ --rules icmp \
Sostituisci
AZURE_VNET_RANGEcon l'intervallo di indirizzi IP assegnato alla tua VNet Azure.Il comando dovrebbe essere simile al seguente esempio:
gcloud compute firewall-rules create allow-azure-icmp \ --network google-to-azure-vpc \ --direction ingress \ --action allow \ --source-ranges 10.0.0.0/16 \ --rules icmp
Verifica la connessione utilizzando il comando ping.
Misura la larghezza di banda tra le macchine di test utilizzando iperf.
- In the Trusted Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
- Scopri di più su Google Cloud VPN.
- Scopri di più su best practice e architetture di riferimento per la progettazione di VPC.
Crea una VNet e un gateway VPN attivo-attivo su Azure
In Azure devi configurare i seguenti componenti:
Crea una VNet
Una VNet consente alle risorse Azure di comunicare in modo sicuro tra loro, con internet e con altre reti (come Cloud VPN). Per ulteriori informazioni sulla creazione di una VNet, consulta la documentazione di Azure sulla creazione di una VNet.
Crea un gateway VPN attivo-attivo
Le seguenti procedure creano il gateway VPN attivo-attivo:
Al momento crei solo il gateway VPN attivo-attivo. Devi creare i componenti Trusted Cloud prima di poter configurare i tunnel necessari in Azure. Per ulteriori informazioni sulla creazione di un gateway VPN attivo-attivo, consulta l'argomento Configurare i gateway VPN attivo-attivo utilizzando il portale nella documentazione di Azure.
Definisci i dettagli del gateway
Definisci gli indirizzi IP del gateway
Visualizza e registra gli indirizzi IP esterni per il gateway VPN attivo-attivo
Hai bisogno degli indirizzi IP esterni che Azure ha assegnato automaticamente al gateway VPN active-active. Utilizzi questi indirizzi IP per creare la risorsa gateway VPN peer in Trusted Cloud.
In seguito, questo documento fa riferimento a questi indirizzi IP come
AZURE_GW_IP_0 e AZURE_GW_IP_1.
Crea i tuoi Trusted Cloud componenti
Su Trusted Cloud, devi configurare i seguenti componenti:
Le seguenti procedure presuppongono che tu abbia configurato Trusted Cloud come descritto in Prima di iniziare. Se non hai completato questi passaggi, fallo ora.
Crea una rete VPC, una subnet, un gateway VPN ad alta disponibilità e un router Cloud su Trusted Cloud
Su Trusted Cloud, crea una rete VPC, un gateway VPN ad alta disponibilità, un router Cloud e poi configura le regole firewall su Trusted Cloud.
Crea un gateway VPN peer per la VPN Azure
In questa sezione, crei una risorsa gateway VPN esterno che fornisce informazioni a Trusted Cloud sul tuo gateway VPN attivo-attivo in Azure. Crea un singolo gateway VPN peer che utilizza due interfacce separate, ciascuna con il proprio indirizzo IP esterno.
Crea un singolo gateway VPN peer esterno con due interfacce:
gcloud compute external-vpn-gateways create AZURE_GW_NAME \ --interfaces 0=AZURE_GW_IP_0,1=AZURE_GW_IP_1
Sostituisci quanto segue:
La risorsa gateway VPN peer che hai creato dovrebbe essere simile all'esempio seguente, in cui AZURE_GW_IP_0 e AZURE_GW_IP_1 mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:
gcloud compute external-vpn-gateways create azure-peer-gw \
--interfaces 0=203.0.113.1,1=203.0.113.2
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME INTERFACE0 INTERFACE1
azure-peer-gw 203.0.113.1 203.0.113.2
Crea tunnel VPN
Devi creare due tunnel VPN: uno per ogni interfaccia nel gateway VPN peer. Quando configuri tunnel VPN ad Azure, utilizza il protocollo di crittografia IKEv2.
Per i comandi utilizzati in questa sezione, sostituisci quanto segue:
Per creare i tunnel VPN:
Crea sessioni BGP
Per il routing dinamico, utilizzi Cloud Router per stabilire sessioni BGP tra Trusted Cloud e Azure. Ti consigliamo di utilizzare il routing dinamico anziché quello statico, se possibile, come descritto in Panoramica di Cloud VPN e Routing di rete e tunnel Cloud VPN.
Devi creare una sessione BGP per ogni tunnel VPN. Ogni sessione BGP è costituita da un'interfaccia BGP per il router Cloud e da un peer BGP. Crea un peer BGP per ciascuno dei due tunnel VPN che hai appena creato.
Per i comandi utilizzati in questa sezione, sostituisci quanto segue:
Per creare sessioni BGP per i tunnel VPN:
Crea gateway di rete locale e connessioni VPN in Azure
Dopo aver creato e configurato i componenti Trusted Cloud , torna al tuo ambiente Azure per completare la connessione Trusted Cloud ad Azure. Per completare questa connessione, crea i seguenti componenti in Azure:
Crea due gateway di rete locale
Un gateway di rete locale è un oggetto specifico che rappresenta la tua VPN Google Cloud in Azure. Quando crei un gateway di rete locale, specifichi le seguenti informazioni:
Devi creare due gateway di rete locale: un gateway che si connette alla prima interfaccia del tunnel VPN ad alta disponibilità su Trusted Cloud e un altro gateway che si connette alla seconda interfaccia del tunnel VPN ad alta disponibilità.
Per ulteriori informazioni, consulta la sezione Creare un gateway di rete locale del tutorial Creare una connessione VPN da sito a sito nel portale Azure nella documentazione di Azure.
Per creare il primo gateway di rete locale:
Per creare il secondo gateway di rete locale:
Crea due connessioni VPN
Per creare le connessioni VPN in Azure, devi disporre delle chiavi precondivise o SHARED_SECRET che hai configurato quando hai impostato i tunnel VPN ad alta disponibilità su Trusted Cloud.
Verificare la configurazione
In Trusted Cloud, puoi verificare la configurazione della VPN ad alta disponibilità esaminando (elencando) prima la configurazione del router Cloud e poi controllando lo stato dei tunnel VPN ad alta disponibilità.
Testa la connettività
Per testare le connessioni VPN ad alta disponibilità, devi prima creare VM su ogni lato del tunnel.
Successivamente, devi assicurarti di aver definito regole firewall in Trusted Cloud che consentano il traffico ICMP in entrata dalle subnet di rete Azure. Con le VM e le regole firewall in posizione, puoi testare la connettività utilizzando ping e la larghezza di banda utilizzando iperf.
Esegui la pulizia
Elimina le risorse Trusted Cloud e Azure che hai creato durante questo tutorial.
Elimina il progetto Trusted Cloud by S3NS
Per evitare che al tuo account Trusted Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, puoi eliminare il progetto:
Elimina gruppo di risorse Azure
Elimina il gruppo di risorse Azure Manager che hai creato quando hai creato la
VNet. In questo tutorial, il nome del gruppo di risorse di esempio
è azure-to-google-resgroup.
Per ulteriori informazioni, consulta Eliminazione di gruppi di risorse e risorse di Azure Resource Manager.