gcloud не может создать VPN на основе маршрутов

tag-icon tag-icon google-cloud-platform gcloud
gcloud не может создать VPN на основе маршрутов

В документации Google Cloud это описанокак создать VPN на основе маршрутов с помощью gcloud. Когда я следую инструкциям, он всегда создает vpn-туннель соснованная на политикеМаршрутизация. Она отличается от той, что создается через консоль.

Я использую следующий вызов для создания VPN-туннеля и соответствующего маршрута

gcloud compute vpn-tunnels create my-vpn-tunnel \
--peer-address=[IP OF MY ON PREMISES NW GATEWAY] \
--ike-version=1 \
--shared-secret=[MY SECRET KEY] \
--local-traffic-selector=10.132.0.0/24 \
--remote-traffic-selector=10.25.101.0/24 \
--target-vpn-gateway=vpn-data-gateway \
--region=europe-west1 \
--project=[MY PROJECT NAME] 

gcloud compute routes create my-vpn-tunnel-route \
--destination-range 10.25.101.0/24 \
--next-hop-vpn-tunnel my-vpn-tunnel \
--network default \
--next-hop-vpn-tunnel-region europe-west1 \
--project [MY PROJECT NAME]

Итоговая маршрутизация в VPN-туннеле показана на рисунке ниже.

информация о маршрутизации для туннеля, созданного через gcloud

Когда я вручную создаю VPN на основе маршрутов через консоль, результат показан на рисунке ниже.

информация о маршрутизации для туннеля, созданного через консоль

Знаете ли вы, есть линедокументированный параметрчтобы указать, что туннель должен быть основан на маршрутах или результирующий VPN на основе политик функционирует как VPN на основе маршрутов?

решение1

Я думаю, что вы используете неправильную команду, согласно документации GCP«Создание VPN на основе маршрутизации»команда должна быть такой:

gcloud compute vpn-tunnels create [ИМЯ_ТУННЕЛЯ] \ --peer-address [IP_ON_PREM] \ --ike-version [ВЕРСИЯ_IKE] \ --shared-secret [ОБЩИЙ_СЕКРЕТ] \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=[ДИАПАЗОНЫ_УДАЛЕННЫХ_IP-адресов] \ --target-vpn-gateway [ИМЯ_GW] \ --region [РЕГИОН] \ --project [ИД_ПРОЕКТА]

--local-traffic-selector установлен на 0.0.0.0/0. Для сетей VPC с автоматическим режимом и устаревших сетей вы можете опустить опцию --local-traffic-selector, поскольку эти сети имеютселекторы локального трафика по умолчанию.

решение2

Документация Google Cloud была обновлена ​​следующим образом:

Оба --local-traffic-selectorи --remote-traffic-selectorустановлены на любое (0.0.0.0/0). Для VPN на основе маршрутов селекторы трафика остаются «широко открытыми», оставляя маршрутам в каждой сети возможность направлять трафик в туннель VPN.,

Таким образом, проблема была связана с отсутствием документации и была решена.

Связанный контент