本页面简要介绍了 Google Distributed Cloud (GDC) 的气隙 VPN 功能,并说明了受支持的规范和隧道协议。
GDC VPN 通过互联网协议安全 (IPsec) VPN 连接将对等互连网络安全地扩展到 GDC 区域的组织中用户的虚拟机 (VM)。
使用 Networking API 中的 VPNGateway、PeerGateway、VPNBGPPeer 和 VPNTunnel 资源配置 GDC VPN。
规格
GDC VPN 具有以下规范:
- GDC VPN 仅支持站点到站点的 IPsec VPN 连接。IPsec 是一套旨在保护 IP 网络通信安全的协议。不支持其他 VPN 技术,例如 SSL 和 VPN。
- 对等 VPN 网关必须具有静态外部 IPv4 地址。您需要使用此 IP 地址来配置 VPN。
- 如果您的对等 VPN 网关受防火墙规则保护,则必须配置防火墙规则,使封装安全负载 (ESP) IPsec 协议和 Internet 密钥交换 (IKE) UDP 500 及 UDP 4500 流量可以传送至该网关。
- GDC VPN 仅支持通过 UDP 封装进行 NAT-遍历 (NAT-T) 的一对一 NAT。对等 VPN 网关必须配置为使用其静态外部 IPv4 地址(而非其内部专用 IP)来标识自己。
- 不支持 IPv6 流量。
IPsec 和 IKE 支持
GDC VPN 使用 IKE 预共享密钥(共享密钥)和 IKE 加密支持 IKEv2。GDC VPN 仅支持用于身份验证的预共享密钥。创建 GDC VPN 隧道时,请指定预共享密钥。在对等 VPN 网关上创建隧道时,请指定相同的预共享密钥。如需了解详情,请参阅使用 PSK 创建 Secret。
GDC VPN 支持将隧道模式下的 ESP 与身份验证一起使用,但不支持传输模式下的 AH 或 ESP。