Google Cloudのドキュメントでは次のように説明されていますgcloud を使用してルートベースの VPN を作成する方法指示に従うと、常にVPNトンネルが作成されます政策に基づくルーティング。コンソール経由で作成されたものとは異なります。
私はVPNトンネルと関連ルートを作成するために次の呼び出しを使用しています
gcloud compute vpn-tunnels create my-vpn-tunnel \
--peer-address=[IP OF MY ON PREMISES NW GATEWAY] \
--ike-version=1 \
--shared-secret=[MY SECRET KEY] \
--local-traffic-selector=10.132.0.0/24 \
--remote-traffic-selector=10.25.101.0/24 \
--target-vpn-gateway=vpn-data-gateway \
--region=europe-west1 \
--project=[MY PROJECT NAME]
gcloud compute routes create my-vpn-tunnel-route \
--destination-range 10.25.101.0/24 \
--next-hop-vpn-tunnel my-vpn-tunnel \
--network default \
--next-hop-vpn-tunnel-region europe-west1 \
--project [MY PROJECT NAME]
VPNトンネルでのルーティングの結果は下の図に示されています。
コンソール経由でルートベースのVPNを手動で作成すると、結果は下の図のようになります。
ご存知ですか?文書化されていないパラメータトンネルがルートベースである必要があるか、または結果として得られるポリシーベースの VPN がルートベースの VPN として機能するかどうかを示します。
答え1
GCPのドキュメントによると、間違ったコマンドを使用していると思います。「ルートベース VPN の作成」コマンドは次のようになります:
gcloud compute vpn-tunnels create [TUNNEL_NAME] \ --peer-address [ON_PREM_IP] \ --ike-version [IKE_VERS] \ --shared-secret [SHARED_SECRET] \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=[REMOTE_IP_RANGES] \ --target-vpn-gateway [GW_NAME] \ --region [REGION] \ --project [PROJECT_ID]
--local-traffic-selectorは0.0.0.0/0に設定されています。自動モードのVPCネットワークとレガシーネットワークの場合、これらのネットワークには--local-traffic-selectorオプションがないため、省略できます。デフォルトのローカル トラフィック セレクター。
答え2
Google Cloud ドキュメントが次のように更新されました。
--local-traffic-selectorと は両方とも--remote-traffic-selectorany (0.0.0.0/0) に設定されています。ルート ベースの VPN の場合、トラフィック セレクタは「完全にオープン」のままであり、トラフィックを VPN トンネルに誘導するかどうかは各ネットワークのルートに委ねられます。,
したがって、問題はドキュメントの不足が原因であり、解決されました。