VPN-Verbindungen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie Google Distributed Cloud Connected-VPN-Verbindungsressourcen in einer Distributed Cloud Connected-Zone erstellen und verwalten.

Diese Funktion ist nur für mit Distributed Cloud verbundene Racks verfügbar. Distributed Cloud Connected Servers unterstützen keine VPN-Verbindungsressourcen.

Weitere Informationen zu Distributed Cloud VPN-Verbindungen finden Sie unter Funktionsweise von Distributed Cloud Connected.

Beachten Sie Folgendes:

  • Sie müssen Ihr Netzwerk so konfigurieren, dass der für Distributed Cloud-VPN-Verbindungen erforderliche Traffic zugelassen wird.

  • Wenn Sie eine Distributed Cloud VPN-Verbindung erstellen, werden die erforderlichen Cloud VPN-Gateway- und Cloud Router-Ressourcen von Distributed Cloud Connected erstellt. Der Name des Cloud VPN-Gateways hat das Präfix anthos-mcc. Dem Namen des Cloud Router wird gdce vorangestellt. Sie dürfen diese Ressourcen nicht ändern, da die Distributed Cloud VPN-Verbindung sonst möglicherweise nicht mehr funktioniert. Wenn Sie diese Ressourcen versehentlich ändern, müssen Sie die betroffene Distributed Cloud VPN-Verbindung löschen und neu erstellen.

  • Bei Distributed Cloud Connected wird ein einzelner Cloud Router pro Google Cloud Projekt und Region erstellt, wenn Sie Ihre erste Distributed Cloud VPN-Verbindung in diesemGoogle Cloud Projekt und dieser Region erstellen. Alle VPN-Verbindungen, die anschließend in diesem Google Cloud Projekt und dieser Region erstellt werden, verwenden dieselbe Cloud Router-Ressource.

  • Eine Cloud Router-Ressource kann nur gelöscht werden, wenn keine sekundären Netzwerkschnittstellen daran angehängt sind. In Distributed Cloud Connected wird ein Cloud Router automatisch gelöscht, wenn Sie die letzte verbleibende VPN-Verbindung löschen, die daran angehängt ist.

  • Distributed Cloud VPN-Verbindungen unterstützen nur IPv4-Adressen.

  • Sie können nur eine VPN-Verbindung pro mit Distributed Cloud verbundenem Cluster erstellen.

  • Wenn in Ihrem lokalen Netzwerk mehrere NAT-Gateways (Network Address Translation) verwendet werden, müssen Sie sie so konfigurieren, dass für ausgehenden Traffic zu Ihrem VPC-Netzwerk (Virtual Private Cloud) eine einzelne IP-Adresse verwendet wird.

  • Standardmäßig konfiguriert Distributed Cloud Connected einen einzelnen VPN-Client auf einem einzelnen Knoten, um über zwei VPN-Tunnel eine Verbindung zu Google Cloud herzustellen. Dies wird auch als HA VPN am Google Cloud Ende bezeichnet. Mit dem Flag --high-availability können Sie die Verfügbarkeit der VPN-Verbindung weiter erhöhen. Mit diesem Flag wird Distributed Cloud Connected angewiesen, zwei VPN-Clients auf zwei separaten Knoten für insgesamt vier VPN-Tunnel zu konfigurieren.

  • Wenn Sie die Konfiguration einer VPN-Verbindung ändern möchten, müssen Sie sie löschen und neu erstellen.

  • Sie können VPN-Verbindungen mit der Google Cloud CLI oder der Distributed Cloud Edge Container API verwalten.

VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Distributed Cloud VPN-Verbindung zu erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Edge Container Admin (roles/edgecontainer.admin) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --router=ROUTER_NAME \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Zielzone für Distributed Cloud Connected erstellt wird.
  • CLUSTER_NAME: der Name des verbundenen Zielclusters von Distributed Cloud.
  • VPC_NETWORK_NAME: der Name des Ziel-VPC-Netzwerk, auf das diese VPN-Verbindung verweist. Dieses Netzwerk muss sich im selben Google Cloud Projekt wie Ihre mit Distributed Cloud verbundene Installation befinden.
  • NAT_GATEWAY_IP: die NAT-Gateway-IP-Adresse für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • ROUTER_NAME (optional): Gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls wird durch Distributed Cloud Connected automatisch ein Cloud Router erstellt, wenn noch keiner im ZielprojektGoogle Cloud und in der Zielregion vorhanden ist.
  • --high-availability (optional): Konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf der Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Lassen Sie dieses Flag weg, um die Hochverfügbarkeit zu deaktivieren.

API

Stellen Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID
  "enableHighAvailability": HA_ENABLE,
  "router": ROUTER_NAME,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: Die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: Der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des Ziel-VPC-Netzwerks.
  • HA_ENABLE: Gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn der Wert auf TRUE festgelegt ist, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.
  • ROUTER_NAME (optional): Gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls wird durch Distributed Cloud Connected automatisch ein Cloud Router erstellt, wenn noch keiner im ZielprojektGoogle Cloud und in der Zielregion vorhanden ist.

VPN-Verbindungen auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die für einen verbundenen Distributed Cloud-Cluster bereitgestellten VPN-Verbindungen aufzulisten.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container Viewer“ (roles/edgecontainer.viewer) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections list aus:

gcloud edge-cloud container vpn-connections list \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.list:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections?filter=FILTER&pageSize=PAGE_SIZE&orderBy=SORT_BY&pageToken=PAGE_TOKEN

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.
  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY: Eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem gewünschten Feld ~ voran.
  • PAGE_TOKEN: Ein Token, das in der Antwort auf die letzte Listenanfrage im Feld nextPageToken in der Antwort empfangen wurde. Senden Sie dieses Token, um eine Seite mit Ergebnissen zu erhalten.

Informationen zu einer VPN-Verbindung abrufen

Führen Sie die Schritte in diesem Abschnitt aus, um Informationen zu einer Distributed Cloud VPN-Verbindung abzurufen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container Viewer“ (roles/edgecontainer.viewer) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections describe aus:

gcloud edge-cloud container vpn-connections describe VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.get:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.

VPN-Verbindung löschen

Wenn Sie eine Distributed Cloud VPN-Verbindung löschen möchten, führen Sie die Schritte in diesem Abschnitt aus.

Wenn Sie die letzte verbleibende VPN-Verbindung löschen, die einer Cloud Router-Ressource zugeordnet ist, die Distributed Cloud zuvor im Google Cloud -Projekt erstellt hat, wird die zugehörige Cloud Router-Ressource automatisch gelöscht. In diesem Fall werden jedoch nur Cloud Router-Ressourcen automatisch gelöscht, die automatisch von Distributed Cloud Connected erstellt wurden. Bei Distributed Cloud Connected werden keine vorhandenen Cloud Router-Ressourcen gelöscht, die mit dem Flag --router angegeben werden.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Edge Container Admin (roles/edgecontainer.admin) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections delete aus:

gcloud edge-cloud container vpn-connections delete VPN_CONNECTION_NAME \
    --location=REGION \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • REGION: die Google Cloud Region, in der die Zielzone für Distributed Cloud Connected erstellt wird.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .

API

Stellen Sie eine DELETE-Anfrage an die Methode projects.locations.vpnConnections.delete:

DELETE /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME?requestId=REQUEST_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.

Projektübergreifende VPN-Verbindungen verwalten

Mit Distributed Cloud Connected können Sie auch VPN-Verbindungen zu VPC-Netzwerken in einem Google Cloud -Projekt erstellen, das sich von dem Google Cloud -Projekt unterscheidet, das Ihren Distributed Cloud Connected-Cluster enthält.

Vorbereitung

Sie müssen die Voraussetzungen in diesem Abschnitt erfüllen, bevor Sie projektübergreifende VPN-Verbindungen erstellen können.

Berechtigungen für das Konto des Anrufers

Das Nutzerkonto des Aufrufers im Ziel-VPC-Projekt muss die folgenden Berechtigungen haben. Diese Berechtigungen sind in der IAM-Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) enthalten:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Informationen zum Festlegen von IAM-Rollen und -Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Berechtigungen für Distributed Cloud-Dienstkonten

Damit Distributed Cloud Connected die Cloud Router- und Cloud VPN-Ressourcen im Ziel-VPC-Projekt erstellen kann, die die projektübergreifende VPN-Verbindung ermöglichen, müssen Sie dem Distributed Cloud-Dienstkonto in Ihrem Distributed Cloud-Cluster die Compute Network Admin-Rolle (roles/compute.networkAdmin) zuweisen.

So weisen Sie die Rolle „Compute-Netzwerkadministrator“ zu:

gcloud

Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUM@gcp-sa-edgecontainer.iam.gserviceaccount.com" \
    --role="roles/compute.networkAdmin" \
    --project=VPC_PROJECT_ID

Ersetzen Sie Folgendes:

  • VPC_PROJECT_ID: die ID des Ziel-VPC-Projekts.
  • PROJECT_NUM: Die Nummer des Zielprojekts für Distributed Cloud Google Cloud .

Projektübergreifende VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine VPN-Verbindung zu einem VPC-Netzwerk in einem anderenGoogle Cloud -Projekt herzustellen.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-project=VPC_PROJECT_ID \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: Die ID des Zielprojekts für den verbundenen Distributed Cloud-Cluster Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • CLUSTER_NAME: der Name des verbundenen Zielclusters von Distributed Cloud.
  • VPC_PROJECT_ID: die ID desGoogle Cloud Zielprojekts, das das Ziel-VPC-Netzwerk enthält.
  • VPC_NETWORK_NAME: der Name des Ziel-VPC-Netzwerk, auf das diese VPN-Verbindung verweist.
  • NAT_GATEWAY_IP: die NAT-Gateway-IP-Adresse für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • --high-availability (optional): Konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf der Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Lassen Sie dieses Flag weg, um die Hochverfügbarkeit zu deaktivieren.

API

Stellen Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID,
  "vpcProject": VPC_PROJECT_ID,
  "vpcServiceAccount": var>VPC_PROJECT_SERVICE_ACCOUNT,
  "enableHighAvailability": HA_ENABLE,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: Die Google Cloud Region, in der die verbundene Zielzone von Distributed Cloud erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: Die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: Der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des Ziel-VPC-Netzwerks.
  • VPC_PROJECT_ID: die ID desGoogle Cloud Zielprojekts, das das Ziel-VPC-Netzwerk enthält.
  • HA_ENABLE: Gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn der Wert auf TRUE festgelegt ist, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.

Cloud-Audit-Logs für projektübergreifende VPN-Verbindungen

Wenn Sie eine projektübergreifende VPN-Verbindung erstellen, werden Cloud-Audit-Logs so geschrieben:

  • In den Audit-Logs für Ihren verbundenen Distributed Cloud-Cluster werden die Informationen zu Vorgängen mit langer Ausführungszeit, Authentifizierung und Autorisierung für die projektübergreifende VPN-Verbindung aufgezeichnet. Diese Informationen umfassen den Aufrufer des Erstellungsvorgangs und die Berechtigungen, die dem Aufrufer erteilt oder verweigert wurden.
  • Die Audit-Logs für das Ziel-VPC-Projekt enthalten Informationen zu den Google Cloud Ressourcen, die die projektübergreifende VPN-Verbindung ermöglichen, z. B. die Cloud Router- und Cloud VPN-Ressourcen. Der Aufrufer, der auf diese Ressourcen zugreift, ist das Dienstkonto für verbundene Dienste von Distributed Cloud, dem Sie die Edge Container Service Agent-Rolle (roles/edgecontainer.serviceAgent) zugewiesen haben.

Einschränkungen von VPN-Verbindungen

Wenn Sie den Knotenpool des Clusters ändern, in dem Sie eine bestimmte VPN-Verbindung erstellt haben, müssen Sie diese VPN-Verbindung löschen und neu erstellen. Andernfalls kann es zu unerwartetem Verhalten kommen, z. B.:

  • Zeitweiser Verlust der VPN-Verbindung
  • Es können keine VPN-Verbindungen in den anderen Clustern in der mit Distributed Cloud verbundenen Zone erstellt werden.

Einschränkungen von projektübergreifenden VPN-Verbindungen

Außerdem gelten für projektübergreifende VPN-Verbindungen die folgenden Einschränkungen:

  • Die VPN-Verbindungsressource für mehrere Projekte ist nur in Ihrem mit Distributed Cloud verbundenen Cluster vorhanden.
  • Wenn Sie die Berechtigungen für das mit Distributed Cloud verbundene Dienstkonto im Ziel-VPC-Projekt ändern, können Sie die projektübergreifende VPN-Verbindung nicht aus Ihrem mit Distributed Cloud verbundenen Cluster löschen.

Nächste Schritte