VPN-Verbindungen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie VPN-Verbindungsressourcen für Google Distributed Cloud Connected in einer Distributed Cloud Connected-Zone erstellen und verwalten.

Diese Funktion ist nur auf Distributed Cloud Connected-Racks verfügbar. Distributed Cloud Connected-Server unterstützen keine VPN-Verbindungsressourcen.

Weitere Informationen zu Distributed Cloud VPN Verbindungen finden Sie unter Funktionsweise von Distributed Cloud Connected.

Beachten Sie Folgendes:

  • Sie müssen Ihr Netzwerk so konfigurieren, dass der für Distributed Cloud VPN-Verbindungen erforderliche Traffic zugelassen wird.

  • Wenn Sie eine Distributed Cloud VPN-Verbindung erstellen, werden von Distributed Cloud Connected die erforderlichen Cloud VPN-Gateway- und Cloud Router-Ressourcen erstellt. Der Name des Cloud VPN-Gateways hat das Präfix anthos-mcc. Der Name des Cloud Router hat das Präfix gdce. Sie dürfen diese Ressourcen nicht ändern, da sonst die Distributed Cloud VPN-Verbindung möglicherweise nicht mehr funktioniert. Wenn Sie diese Ressourcen versehentlich ändern, müssen Sie die betroffene Distributed Cloud VPN-Verbindung löschen und neu erstellen.

  • Distributed Cloud Connected erstellt einen einzelnen Cloud Router pro Google Cloud Projekt und Region, wenn Sie die erste Distributed Cloud VPN-Verbindung in diesem Google Cloud Projekt und in dieser Region erstellen. Alle VPN-Verbindungen, die anschließend in diesem Google Cloud Projekt und in dieser Region erstellt werden, verwenden dieselbe Cloud Router Ressource.

  • Eine Cloud Router-Ressource kann nur gelöscht werden, wenn keine sekundären Netzwerkschnittstellen daran angehängt sind. Distributed Cloud Connected löscht einen Cloud Router automatisch, wenn Sie die letzte verbleibende VPN-Verbindung löschen, die daran angehängt ist.

  • Distributed Cloud VPN-Verbindungen unterstützen nur IPv4-Adressen.

  • Sie können nur eine VPN-Verbindung pro Distributed Cloud Connected-Cluster erstellen.

  • Wenn Ihr lokales Netzwerk mehrere NAT-Gateways (Network Address Translation) verwendet, müssen Sie sie so konfigurieren, dass Ihre Distributed Cloud Connected-Installation eine einzelne IP-Adresse für ausgehenden Traffic zu Ihrem VPC-Netzwerk (Virtual Private Cloud) verwendet.

  • Standardmäßig konfiguriert Distributed Cloud Connected einen einzelnen VPN Client auf einem einzelnen Knoten, um eine Verbindung über zwei VPN Tunnel herzustellen. Dies wird auch als HA VPN am Google Cloud Ende bezeichnet. Google Cloud Sie können die Verfügbarkeit der VPN-Verbindung weiter erhöhen, indem Sie das Flag --high-availability verwenden. Dieses Flag weist Distributed Cloud Connected an, zwei VPN-Clients auf zwei separaten Knoten für insgesamt vier VPN-Tunnel zu konfigurieren.

  • Wenn Sie die Konfiguration einer VPN-Verbindung ändern möchten, müssen Sie sie löschen und neu erstellen.

  • Sie können VPN-Verbindungen mit der Google Cloud CLI oder der Distributed Cloud Edge Container API verwalten.

VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Distributed Cloud VPN-Verbindung zu erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container-Administrator“ (roles/edgecontainer.admin) in Ihrem Google Cloud Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --router=ROUTER_NAME \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • CLUSTER_NAME: der Name des Distributed Cloud Connected-Zielclusters.
  • VPC_NETWORK_NAME: der Name des VPC-Netzwerk, auf das diese VPN-Verbindung verweist. Dieses Netzwerk muss sich im selben Google Cloud Projekt wie Ihre Distributed Cloud Connected-Installation befinden.
  • NAT_GATEWAY_IP: die IP-Adresse des NAT-Gateways für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • ROUTER_NAME (optional): gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls erstellt Distributed Cloud Connected automatisch einen Cloud Router, wenn noch keiner im Zielprojekt und in der Zielregion vorhanden ist.Google Cloud
  • --high-availability (optional): konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Wenn Sie die Hochverfügbarkeit deaktivieren möchten, lassen Sie dieses Flag weg.

API

Senden Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID
  "enableHighAvailability": HA_ENABLE,
  "router": ROUTER_NAME,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: eine eindeutige programmatische ID, die diese Anfrage identifiziert.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des VPC-Zielnetzwerks.
  • HA_ENABLE: gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn auf TRUE gesetzt, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.
  • ROUTER_NAME (optional): gibt eine vorhandene Cloud Router-Ressource an, die für diese VPN-Verbindung verwendet werden soll. Andernfalls erstellt Distributed Cloud Connected automatisch einen Cloud Router, wenn noch keiner im Zielprojekt und in der Zielregion vorhanden ist.Google Cloud

VPN-Verbindungen auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die VPN-Verbindungen aufzulisten, die für einen Distributed Cloud Connected-Cluster bereitgestellt wurden.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container-Betrachter“ (roles/edgecontainer.viewer) in Ihrem Google Cloud Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections list aus:

gcloud edge-cloud container vpn-connections list \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud-Zielzone erstellt wird.

API

Senden Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.list:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections?filter=FILTER&pageSize=PAGE_SIZE&orderBy=SORT_BY&pageToken=PAGE_TOKEN

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.
  • PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Für eine absteigende Sortierreihenfolge stellen Sie dem gewünschten Feld ein ~ voran.
  • PAGE_TOKEN: ein Token, das in der Antwort auf die letzte Listenanfrage im Feld nextPageToken enthalten ist. Senden Sie dieses Token, um eine Seite mit Ergebnissen zu erhalten.

Informationen zu einer VPN-Verbindung abrufen

Führen Sie die Schritte in diesem Abschnitt aus, um Informationen zu einer Distributed Cloud VPN-Verbindung abzurufen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container-Betrachter“ (roles/edgecontainer.viewer) in Ihrem Google Cloud Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections describe aus:

gcloud edge-cloud container vpn-connections describe VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.

API

Senden Sie eine GET-Anfrage an die Methode projects.locations.vpnConnections.get:

GET /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.

VPN-Verbindung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Distributed Cloud VPN-Verbindung zu löschen.

Wenn Sie die letzte verbleibende VPN-Verbindung löschen, die mit einer Cloud Router-Ressource verknüpft ist, die zuvor von Distributed Cloud im Google Cloud Projekt erstellt wurde, wird durch das Löschen der VPN-Verbindung automatisch die zugehörige Cloud Router-Ressource gelöscht. In dieser Situation werden jedoch nur Cloud Router-Ressourcen automatisch gelöscht, die von Distributed Cloud Connected automatisch erstellt wurden. Distributed Cloud Connected löscht keine vorhandenen Cloud Router-Ressourcen, die mit dem Flag --router angegeben werden.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Edge Container-Administrator“ (roles/edgecontainer.admin) in Ihrem Google Cloud Projekt.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections delete aus:

gcloud edge-cloud container vpn-connections delete VPN_CONNECTION_NAME \
    --location=REGION \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • PROJECT_ID: die ID des Ziel Google Cloud projekts.

API

Senden Sie eine DELETE-Anfrage an die Methode projects.locations.vpnConnections.delete:

DELETE /v1/PROJECT_ID/locations/REGION/vpnConnections/VPN_CONNECTION_NAME?requestId=REQUEST_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • VPN_CONNECTION_NAME: der Name der Ziel-VPN-Verbindung.
  • REQUEST_ID: eine eindeutige programmatische ID, die diese Anfrage identifiziert.

Projektübergreifende VPN-Verbindungen verwalten

Mit Distributed Cloud Connected können Sie auch VPN-Verbindungen zu VPC-Netzwerken in einem Google Cloud Projekt erstellen, das sich von dem Google Cloud Projekt unterscheidet, das Ihren Distributed Cloud Connected-Cluster enthält.

Vorbereitung

Sie müssen die Voraussetzungen in diesem Abschnitt erfüllen, bevor Sie projektübergreifende VPN-Verbindungen erstellen können.

Berechtigungen für das Aufruferkonto

Das Aufrufernutzerkonto im VPC-Zielprojekt muss die folgenden Berechtigungen haben. Diese Berechtigungen sind in der Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) enthalten:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Informationen zum Festlegen von IAM-Rollen und -Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Berechtigungen für das Distributed Cloud-Dienstkonto

Damit Distributed Cloud Connected die Cloud Router- und Cloud VPN-Ressourcen im VPC-Zielprojekt erstellen kann, die die projektübergreifende VPN-Verbindung ermöglichen, müssen Sie dem Distributed Cloud-Dienstkonto in Ihrem Distributed Cloud-Cluster die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin) gewähren.

So gewähren Sie die Rolle „Compute-Netzwerkadministrator“:

gcloud

Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
    --member="serviceAccount:service-PROJECT_NUM@gcp-sa-edgecontainer.iam.gserviceaccount.com" \
    --role="roles/compute.networkAdmin" \
    --project=VPC_PROJECT_ID

Ersetzen Sie Folgendes:

  • VPC_PROJECT_ID: die ID des VPC-Zielprojekts.
  • PROJECT_NUM: die Nummer des Distributed Cloud-Zielprojekts. Google Cloud

Projektübergreifende VPN-Verbindung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine VPN-Verbindung zu einem VPC-Netzwerk in einem anderen Google Cloud Projekt zu erstellen.

gcloud

Führen Sie den Befehl gcloud edge-cloud container vpn-connections create aus:

gcloud edge-cloud container vpn-connections create VPN_CONNECTION_NAME \
    --project=PROJECT_ID \
    --location=REGION \
    --cluster=CLUSTER_NAME \
    --vpc-project=VPC_PROJECT_ID \
    --vpc-network=VPC_NETWORK_NAME \
    --nat-gateway-ip=NAT_GATEWAY_IP \
    --high-availability

Ersetzen Sie Folgendes:

  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • PROJECT_ID: die ID des Distributed Cloud Connected-Zielcluster projekts Google Cloud .
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • CLUSTER_NAME: der Name des Distributed Cloud Connected-Zielclusters.
  • VPC_PROJECT_ID: die ID des Ziel Google Cloud projekts, das das VPC-Netzwerk enthält.
  • VPC_NETWORK_NAME: der Name des VPC-Netzwerk, auf das diese VPN-Verbindung verweist.
  • NAT_GATEWAY_IP: die IP-Adresse des NAT-Gateways für den Zielcluster. Lassen Sie dieses Flag weg, wenn Sie NAT nicht verwenden.
  • --high-availability (optional): konfiguriert diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite, indem zwei separate VPN-Clients eingerichtet werden, die auf zwei separaten Knoten ausgeführt werden. Wenn Sie die Hochverfügbarkeit deaktivieren möchten, lassen Sie dieses Flag weg.

API

Senden Sie eine POST-Anfrage an die Methode projects.locations.vpnConnections.create:

POST /v1/PROJECT_ID/locations/REGION/vpnConnections?vpnConnectionId=VPN_CONNECTION_ID&requestId=REQUEST_ID
{
  "name": string,
  "labels": {
   },
  "natGatewayIp": NAT_GATEWAY,
  "cluster": CLUSTER_PATH,
  "vpc": VPC_NETWORK_ID,
  "vpcProject": VPC_PROJECT_ID,
  "vpcServiceAccount": var>VPC_PROJECT_SERVICE_ACCOUNT,
  "enableHighAvailability": HA_ENABLE,
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel Google Cloud projekts.
  • REGION: die Google Cloud Region, in der die Distributed Cloud Connected-Zielzone erstellt wird.
  • VPN_CONNECTION_ID: eine eindeutige programmatische ID, die diese Knotenpoolressource identifiziert.
  • REQUEST_ID: eine eindeutige programmatische ID, die diese Anfrage identifiziert.
  • VPN_CONNECTION_NAME: ein beschreibender Name, der diese VPN-Verbindung eindeutig identifiziert.
  • NAT_GATEWAY: die IP-Adresse Ihres NAT-Gateways.
  • CLUSTER_PATH: der vollständige kanonische Pfad zum Zielcluster.
  • VPC_NETWORK_ID: die ID des VPC-Zielnetzwerks.
  • VPC_PROJECT_ID: die ID des Ziel Google Cloud projekts, das das VPC-Netzwerk enthält.
  • HA_ENABLE: gibt an, ob diese VPN-Verbindung für Hochverfügbarkeit auf Clusterseite konfiguriert werden soll. Wenn auf TRUE gesetzt, werden zwei separate VPN-Clients konfiguriert, die auf zwei separaten Knoten ausgeführt werden.

Cloud-Audit-Logs für projektübergreifende VPN-Verbindungen

Wenn Sie eine projektübergreifende VPN-Verbindung erstellen, werden Cloud-Audit-Logs wie folgt geschrieben:

  • In den Audit-Logs für Ihren Distributed Cloud Connected-Cluster werden der Vorgang mit langer Ausführungszeit, die Authentifizierung und die Autorisierungsinformationen für die projektübergreifende VPN-Verbindung aufgezeichnet. Diese Informationen umfassen den Aufrufer des Erstellungsvorgangs und die Berechtigungen, die dem Aufrufer gewährt oder verweigert wurden.
  • In den Audit-Logs für das VPC-Zielprojekt werden Informationen zu den Google Cloud Ressourcen aufgezeichnet, die die projektübergreifende VPN Verbindung ermöglichen, z. B. die Cloud Router- und Cloud VPN Ressourcen. Der Aufrufer, der auf diese Ressourcen zugreift, ist das Distributed Cloud Connected-Dienstkonto, dem Sie die Rolle „Edge Container Service Agent“ (roles/edgecontainer.serviceAgent) gewährt haben.

Einschränkungen von VPN-Verbindungen

Wenn Sie den Knotenpool des Clusters ändern, in dem Sie eine bestimmte VPN-Verbindung erstellt haben, müssen Sie diese VPN-Verbindung löschen und neu erstellen. Andernfalls kann es zu unerwartetem Verhalten kommen, z. B.:

  • Zeitweiliger Verlust der VPN-Verbindung
  • VPN-Verbindungen können nicht in den anderen Clustern in der Distributed Cloud Connected-Zone erstellt werden.

Einschränkungen von projektübergreifenden VPN-Verbindungen

Außerdem gelten für projektübergreifende VPN-Verbindungen die folgenden Einschränkungen:

  • Die projektübergreifende VPN-Verbindungsressource ist nur in Ihrem Distributed Cloud Connected-Cluster vorhanden.
  • Wenn Sie die Berechtigungen für das Distributed Cloud Connected-Dienstkonto im VPC-Zielprojekt ändern, können Sie die projektübergreifende VPN-Verbindung nicht aus Ihrem Distributed Cloud Connected-Cluster löschen.

Nächste Schritte