VPN-Verbindungen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie Google Distributed Cloud-VPN-Verbindungsressourcen in einer Distributed Cloud-Zone erstellen und verwalten.

Diese Funktion ist nur für Distributed Cloud-Racks verfügbar. Distributed Cloud-Server unterstützen keine VPN-Verbindungsressourcen.

Weitere Informationen zu Distributed Cloud-VPN-Verbindungen finden Sie unter Funktionsweise von Distributed Cloud.

Beachten Sie Folgendes:

  • Sie müssen Ihr Netzwerk so konfigurieren, dass der für Distributed Cloud-VPN-Verbindungen erforderliche Traffic zugelassen wird.

  • Wenn Sie eine Distributed Cloud VPN-Verbindung erstellen, werden die erforderlichen Cloud VPN-Gateway- und Cloud Router-Ressourcen von Distributed Cloud erstellt. Der Name des Cloud VPN-Gateways hat das Präfix anthos-mcc. Dem Namen des Cloud Router wird gdce vorangestellt. Sie dürfen diese Ressourcen nicht ändern, da die Distributed Cloud VPN-Verbindung sonst möglicherweise nicht mehr funktioniert. Wenn Sie diese Ressourcen versehentlich ändern, müssen Sie die betroffene Distributed Cloud VPN-Verbindung löschen und neu erstellen.

  • Distributed Cloud erstellt einen einzelnen Cloud Router pro Google Cloud Projekt und Region, wenn Sie Ihre erste Distributed Cloud VPN-Verbindung in diesemGoogle Cloud Projekt und dieser Region erstellen. Alle VPN-Verbindungen, die anschließend in diesem Google Cloud Projekt und dieser Region erstellt werden, verwenden dieselbe Cloud Router-Ressource.

  • Eine Cloud Router-Ressource kann nur gelöscht werden, wenn keine sekundären Netzwerkschnittstellen daran angehängt sind. Distributed Cloud löscht einen Cloud Router automatisch, wenn Sie die letzte verbleibende VPN-Verbindung löschen, die daran angehängt ist.

  • Distributed Cloud VPN-Verbindungen unterstützen nur IPv4-Adressen.

  • Sie können pro Distributed Cloud-Cluster nur eine VPN-Verbindung erstellen.

  • Wenn Ihr lokales Netzwerk mehrere NAT-Gateways (Network Address Translation) verwendet, müssen Sie sie so konfigurieren, dass für Ihre Distributed Cloud-Installation eine einzelne IP-Adresse für ausgehenden Traffic zu Ihrem VPC-Netzwerk (Virtual Private Cloud) verwendet wird.

  • Standardmäßig konfiguriert Distributed Cloud einen einzelnen VPN-Client auf einem einzelnen Knoten, um über zwei VPN-Tunnel eine Verbindung zu Google Cloud herzustellen. Dies wird auch als HA VPN auf der Google Cloud Seite bezeichnet. Mit dem Flag --high-availability können Sie die Verfügbarkeit der VPN-Verbindung weiter erhöhen. Mit diesem Flag wird Distributed Cloud angewiesen, zwei VPN-Clients auf zwei separaten Knoten für insgesamt vier VPN-Tunnel zu konfigurieren.

  • Wenn Sie die Konfiguration einer VPN-Verbindung ändern möchten, müssen Sie sie löschen und neu erstellen.

  • Sie können VPN-Verbindungen mit der Google Cloud CLI oder der Distributed Cloud Edge Container API verwalten.

VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Distributed Cloud VPN-Verbindung zu erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Edge Container Admin (roles/edgecontainer.admin) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --router=ROUTER_NAME \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud -Region, in der die Zielzone für Distributed Cloud erstellt wird.
  • CLUSTER_NAME: Der Name des Distributed Cloud-Zielclusters.
  • VPC_NETWORK_NAME: der Name des Ziel-VPC-Netzwerk, auf das diese VPN-Verbindung verweist. Dieses Netzwerk muss sich im selben Google Cloud Projekt wie Ihre Distributed Cloud-Installation befinden.
  • NAT_GATEWAY_IP: die NAT-Gateway-IP-Adresse für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • ROUTER_NAME (optional): Gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls wird von Distributed Cloud automatisch ein Cloud Router erstellt, sofern noch keiner im Zielprojekt und in der Zielregion vorhanden ist.Google Cloud
  • --high-availability (optional): Konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf der Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Lassen Sie dieses Flag weg, um die Hochverfügbarkeit zu deaktivieren.

API

Stellen Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID
  "enableHighAvailability": HA_ENABLE,
  "router": ROUTER_NAME,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: Die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: Der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des Ziel-VPC-Netzwerks.
  • HA_ENABLE: Gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn der Wert auf TRUE festgelegt ist, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.
  • ROUTER_NAME (optional): Gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls wird von Distributed Cloud automatisch ein Cloud Router erstellt, sofern noch keiner im Zielprojekt und in der Zielregion vorhanden ist.Google Cloud

VPN-Verbindungen auflisten

Wenn Sie die für einen Distributed Cloud-Cluster bereitgestellten VPN-Verbindungen auflisten möchten, führen Sie die Schritte in diesem Abschnitt aus.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container Viewer“ (roles/edgecontainer.viewer) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections list aus:

gcloud edge-cloud container vpn-connections list \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.list:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections?filter=FILTER&pageSize=PAGE_SIZE&orderBy=SORT_BY&pageToken=PAGE_TOKEN

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.
  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY: Eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem gewünschten Feld ~ voran.
  • PAGE_TOKEN: Ein Token, das in der Antwort auf die letzte Listenanfrage im Feld nextPageToken in der Antwort empfangen wurde. Senden Sie dieses Token, um eine Seite mit Ergebnissen zu erhalten.

Informationen zu einer VPN-Verbindung abrufen

Führen Sie die Schritte in diesem Abschnitt aus, um Informationen zu einer Distributed Cloud VPN-Verbindung abzurufen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container Viewer“ (roles/edgecontainer.viewer) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections describe aus:

gcloud edge-cloud container vpn-connections describe VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.

API

Stellen Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.get:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.

VPN-Verbindung löschen

Wenn Sie eine Distributed Cloud VPN-Verbindung löschen möchten, führen Sie die Schritte in diesem Abschnitt aus.

Wenn Sie die letzte verbleibende VPN-Verbindung löschen, die einer Cloud Router-Ressource zugeordnet ist, die Distributed Cloud zuvor im Google Cloud -Projekt erstellt hat, wird die zugehörige Cloud Router-Ressource automatisch gelöscht. In diesem Fall werden jedoch nur Cloud Router-Ressourcen, die automatisch von Distributed Cloud erstellt werden, automatisch gelöscht. Mit Distributed Cloud werden keine vorhandenen Cloud Router-Ressourcen gelöscht, die mit dem Flag --router angegeben werden.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Edge Container Admin (roles/edgecontainer.admin) in Ihrem Google Cloud -Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections delete aus:

gcloud edge-cloud container vpn-connections delete VPN_CONNECTION_NAME \
    --location=REGION \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • REGION: die Google Cloud -Region, in der die Zielzone für Distributed Cloud erstellt wird.
  • PROJECT_ID: die ID des Zielprojekts Google Cloud .

API

Stellen Sie eine DELETE-Anfrage an die Methode projects.locations.vpnConnections.delete:

DELETE /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME?requestId=REQUEST_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.

Projektübergreifende VPN-Verbindungen verwalten

Mit Distributed Cloud können Sie auch VPN-Verbindungen zu VPC-Netzwerken in einem Google Cloud -Projekt erstellen, das sich von dem Google Cloud -Projekt unterscheidet, das Ihren Distributed Cloud-Cluster enthält.

Vorbereitung

Sie müssen die Voraussetzungen in diesem Abschnitt erfüllen, bevor Sie projektübergreifende VPN-Verbindungen erstellen können.

Berechtigungen für das Konto des Anrufers

Das Nutzerkonto des Aufrufers im Ziel-VPC-Projekt muss die folgenden Berechtigungen haben. Diese Berechtigungen sind in der IAM-Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) enthalten:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Informationen zum Festlegen von IAM-Rollen und -Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Berechtigungen für Distributed Cloud-Dienstkonten

Damit Distributed Cloud die Cloud Router- und Cloud VPN-Ressourcen im Ziel-VPC-Projekt erstellen kann, die die projektübergreifende VPN-Verbindung ermöglichen, müssen Sie dem Distributed Cloud-Dienstkonto in Ihrem Distributed Cloud-Cluster die Rolle Compute Network Admin (roles/compute.networkAdmin) zuweisen.

So weisen Sie die Rolle „Compute-Netzwerkadministrator“ zu:

gcloud

Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUM@gcp-sa-edgecontainer.iam.gserviceaccount.com" \
    --role="roles/compute.networkAdmin" \
    --project=VPC_PROJECT_ID

Ersetzen Sie Folgendes:

  • VPC_PROJECT_ID: die ID des Ziel-VPC-Projekts.
  • PROJECT_NUM: Die Nummer des Zielprojekts für Distributed Cloud Google Cloud .

Projektübergreifende VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine VPN-Verbindung zu einem VPC-Netzwerk in einem anderenGoogle Cloud -Projekt herzustellen.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-project=VPC_PROJECT_ID \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: Die ID des Zielprojekts für den Distributed Cloud-Cluster Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • CLUSTER_NAME: Der Name des Distributed Cloud-Zielclusters.
  • VPC_PROJECT_ID: die ID desGoogle Cloud Zielprojekts, das das Ziel-VPC-Netzwerk enthält.
  • VPC_NETWORK_NAME: der Name des Ziel-VPC-Netzwerk, auf das diese VPN-Verbindung verweist.
  • NAT_GATEWAY_IP: die NAT-Gateway-IP-Adresse für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • --high-availability (optional): Konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf der Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Lassen Sie dieses Flag weg, um die Hochverfügbarkeit zu deaktivieren.

API

Stellen Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID,
  "vpcProject": VPC_PROJECT_ID,
  "vpcServiceAccount": var>VPC_PROJECT_SERVICE_ACCOUNT,
  "enableHighAvailability": HA_ENABLE,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Zielprojekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: Eine eindeutige programmatische ID zur Identifizierung dieser Anfrage.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: Die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: Der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des Ziel-VPC-Netzwerks.
  • VPC_PROJECT_ID: die ID desGoogle Cloud Zielprojekts, das das Ziel-VPC-Netzwerk enthält.
  • HA_ENABLE: Gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn der Wert auf TRUE festgelegt ist, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.

Cloud-Audit-Logs für projektübergreifende VPN-Verbindungen

Wenn Sie eine projektübergreifende VPN-Verbindung erstellen, werden Cloud-Audit-Logs so geschrieben:

  • In den Audit-Logs für Ihren Distributed Cloud-Cluster werden Informationen zu Vorgängen mit langer Ausführungszeit, zur Authentifizierung und zur Autorisierung für die projektübergreifende VPN-Verbindung aufgezeichnet. Diese Informationen umfassen den Aufrufer des Erstellungsvorgangs und die Berechtigungen, die dem Aufrufer erteilt oder verweigert wurden.
  • Die Audit-Logs für das Ziel-VPC-Projekt enthalten Informationen zu den Google Cloud Ressourcen, die die projektübergreifende VPN-Verbindung ermöglichen, z. B. die Cloud Router- und Cloud VPN-Ressourcen. Der Aufrufer, der auf diese Ressourcen zugreift, ist das Distributed Cloud-Dienstkonto, dem Sie die Edge Container-Dienst-Agent-Rolle (roles/edgecontainer.serviceAgent) zugewiesen haben.

Einschränkungen von VPN-Verbindungen

Wenn Sie den Knotenpool des Clusters ändern, in dem Sie eine bestimmte VPN-Verbindung erstellt haben, müssen Sie diese VPN-Verbindung löschen und neu erstellen. Andernfalls kann es zu unerwartetem Verhalten kommen, z. B.:

  • Zeitweiser Verlust der VPN-Verbindung
  • Es ist nicht möglich, VPN-Verbindungen in den anderen Clustern in der Distributed Cloud-Zone zu erstellen.

Einschränkungen von projektübergreifenden VPN-Verbindungen

Außerdem gelten für projektübergreifende VPN-Verbindungen die folgenden Einschränkungen:

  • Die projektübergreifende VPN-Verbindungsressource ist nur in Ihrem Distributed Cloud-Cluster vorhanden.
  • Wenn Sie die Berechtigungen für das Distributed Cloud-Dienstkonto im Ziel-VPC-Projekt ändern, können Sie die projektübergreifende VPN-Verbindung nicht aus Ihrem Distributed Cloud-Cluster löschen.

Nächste Schritte