#GCP手把手 #gcp-handsOn #vpn #vpntunnel #BGP
今天來打個vpn tunnel吧~
情境:projectA 的vm要可以ping到 projectB的vm
參考文件:https://cloud.google.com/network-connectivity/docs/vpn/how-to/creating-ha-vpn2
從projectA先開始打VPN tunnel
Step1. Click VPN SETUP WIZARD,choose HA VPN
Continue
Step2. 再來就是新增一個VPN gateway,給名字,選定vpc and region
這裡按下create & continue後,其實回到vpn list的地方就會看到已經新增好一個VPN gateway了。
Continue
Step3. create VPN tunnel
由於這裡是要跟projectB通,所以這裡選擇Google Cloud
至於下面的vpn gateway怎麼來?
就是重複上方step2去projectB先new一個vpn gateway,這樣才選得到
選定好projectB的VPN gateway後,要選擇HA的方式
這裡偷懶選single tunnel,理論上應該要選a pair of VPN tunnel才對~
Continue
Step4. 選擇Cloud Router
一樣,給個名稱,選定vpn and region
這裡有個 Google ASN,就給如同說明的隨便一串數字即可
此範例使用 64512 (這很重要等等會用到)
Continue
Step5. 繼續設定 VPN tunnel
給定tunnel name後,選擇認證方式(IKEv2)
還有一欄 IKE pre-shared key這裡直接按Generate and copy
然後就會自動幫你產生一組了(這很重要等等會用到)
Continue
Step6. Configure BGP,就點那個 Configure
要填的有
Peer ASN:規則同Step4說明的,但又跟Step4的數字不能一樣。
Cloud Router BGP ip / BGP peer ip:同網段即可,這裡用建議的XD
(這三個欄位等等也會用到)
到這裡,projectA原則上已經設定完成。
projectB的VPN gateway原則上應該已經在Step3中也完成了。
設定ProjectB的VPN tunnel
由於VPN gateway已經在上面設定完成,
因此進到VPN頁面後,只需要點選 CREATE VPN TUNNEL
重複上方的Step3~6
但!
差異說明如下:
Step4. 在設定 Google ASN時,需要用到的Step6的 Peer ASN(1)
Step5.在設定 IKE pre-shared key 時,直接跟Step5的貼一樣的key就好
Step6.在設定 Peer ASN 時,請使用 projectA Step4的Google ASN
且 Cloud Router BGP ip / BGP peer ip 分別對應 projectA Step6的(3)及(2) (要反過來對應)
Check status
Testing
接下來就在 projectA & projectB 各開一台vm,兩邊ping看看就可以囉~
記得firewall 記得要開唷~
以上,有問題歡迎討論 :)