gcloud kann kein routenbasiertes VPN erstellen

tag-icon tag-icon google-cloud-platform gcloud
gcloud kann kein routenbasiertes VPN erstellen

In der Google Cloud-Dokumentation wird beschriebenSo erstellen Sie ein routenbasiertes VPN mit gcloud. Wenn ich den Anweisungen folge, wird immer ein VPN-Tunnel mitRichtlinienbasiertRouting. Es unterscheidet sich von denen, die über die Konsole erstellt werden.

Ich verwende den folgenden Anruf, um einen VPN-Tunnel und die zugehörige Route zu erstellen

gcloud compute vpn-tunnels create my-vpn-tunnel \
--peer-address=[IP OF MY ON PREMISES NW GATEWAY] \
--ike-version=1 \
--shared-secret=[MY SECRET KEY] \
--local-traffic-selector=10.132.0.0/24 \
--remote-traffic-selector=10.25.101.0/24 \
--target-vpn-gateway=vpn-data-gateway \
--region=europe-west1 \
--project=[MY PROJECT NAME] 

gcloud compute routes create my-vpn-tunnel-route \
--destination-range 10.25.101.0/24 \
--next-hop-vpn-tunnel my-vpn-tunnel \
--network default \
--next-hop-vpn-tunnel-region europe-west1 \
--project [MY PROJECT NAME]

Das resultierende Routing im VPN-Tunnel ist in der Abbildung unten dargestellt

Routing-Informationen für über gcloud erstellte Tunnel

Wenn ich ein routenbasiertes VPN manuell über die Konsole erstelle, wird das Ergebnis in der folgenden Abbildung angezeigt.

Routing-Informationen für über die Konsole erstellte Tunnel

Wissen Sie, ob es eineundokumentierter Parameterum anzugeben, dass der Tunnel routenbasiert sein soll oder ob das resultierende richtlinienbasierte VPN als routenbasiertes VPN fungiert?

Antwort1

Ich denke, Sie verwenden den falschen Befehl, gemäß der GCP-Dokumentation auf„Erstellen eines routenbasierten VPN“der Befehl sollte wie folgt lauten:

gcloud compute vpn-tunnels erstellen [TUNNELNAME] \ --peer-address [ON_PREM_IP] \ --ike-version [IKE_VERS] \ --shared-secret [SHARED_SECRET] \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=[REMOTE_IP_RANGES] \ --target-vpn-gateway [GW_NAME] \ --region [REGION] \ --project [PROJEKT-ID]

Der --local-traffic-selector ist auf 0.0.0.0/0 eingestellt. Für VPC-Netzwerke im Auto-Modus und Legacy-Netzwerke können Sie die Option --local-traffic-selector weglassen, da diese NetzwerkeStandardmäßige Auswahl für lokalen Datenverkehr.

Antwort2

Die Google Cloud-Dokumentation wurde wie folgt aktualisiert:

Sowohl --local-traffic-selectorals auch --remote-traffic-selectorsind auf beliebig (0.0.0.0/0) eingestellt. Bei routenbasierten VPNs bleiben die Verkehrsselektoren „weit offen“, sodass es den Routen in jedem Netzwerk überlassen bleibt, den Verkehr zum VPN-Tunnel zu leiten.

Das Problem lag also an fehlender Dokumentation und wurde behoben.

verwandte Informationen