前言
又在搞新的東西了,這次要把騰訊雲(TKE)跟Google雲(GCP),做VPN對連,
這次一樣又弄了幾天…最後還是找了GOOGLE工程師協助。
主要卡在IKEAv1的設定以及路由的追蹤上面,
有東西,google上找到的,跟工程師跟我說的不一樣。
像是 IKE配置的協商模式
正文
下面的步驟,基本上都是TKE跟GCP,互相切換設定。
-
騰訊雲設定網關IP
私有網路-> VPN連接->VPN網關
(Fig.1)
內容就照想輸入的打,輸入完成後會看到公網IP,為了方便溝通,就稱呼他為TKE的閘道IP。
-
GCP設定VPN閘道
這邊的選項比較繁瑣,因為騰訊雲不支援IKEv2,同時也不支援BGP的協定,所以Google要使用傳統VPN。
高可用性的VPN有些要求才能使用,請參考轉為高可用性 VPN
(Fig.2)
(Fig.3)
從Fig.3 有連結可以切到 傳統VPN設定,
再來終於要開始設定GCP閘道IP了。
建立IP,這邊建立的就是GCP的閘道ip,這組就是要與 TKE的閘道IP 對聯的IP。
(Fig.4)
其他的選項,
- 名稱: 自填
- 網路: VPN 要連結的 Compute Engine 網路
- 區域: 連結至 Compute Engine 網路的閘道所在地區
-
GCP的通道設定
- 名稱: 隨意
- 遠端對等互連IP: TKE的閘道IP
- IKE版本:這邊選 IKEv1
-
IKE預先共用金鑰: 可以自行輸入 或是 由系統產生,但要注意騰訊雲不支援
特殊符號(. / 之類的),
所以要注意自行產生的金鑰 -
導向選項: 這邊選擇 『依據政策』
遠端網路ip範圍:輸入TKE的私有網路範圍,可以從『騰訊雲的私有網路->私有網路』 看到 IPv4 CIDR (Fig.6)。
(Fig.6)
GCP的防火牆設定
可能需要配置防火牆規則,不確定。
ref.
配置防火牆規則
-
騰訊雲的對端網關設定
(Fig.7)
- 名稱: 隨意
- 公網IP: 這邊就是輸入 GCP的閘道ip
- 標籤: 可以不打
-
騰訊雲的VPN通道設定
- 通道名稱:隨意
- 地域: 連結至網路的區域
- VPN網關類型: 私有網路。 雲聯網指的是 騰訊雲內部各區域的私有網路互聯(ref.雲聯網產品概述)
- 私有網路: 請看(Fig.6)
- VPN網關: 請看(Fig.1)
- 對端網關: 請看(Fig.7)
- 預共享金鑰: 請看(Fig.5) 的預先共享金鑰
-
SPD策略
- 本端網段: 請看(Fig.6)
- 對端網段: 請看(Fig.4)的網段
-
IKE、IPsec配置
(Fig.10)
ref.
支持的 IKE 加密方式,此文內(IKEv1 加密方式的第二階段,指的就是 IPsec配置)
IKE 配置
- 版本: IKEv1
- 加密算法: AES-128
- 認證算法: SHA1
- 協商模式: main
- DH group: DH2
- IKE SA Lifetime: 36600
IPsec 配置
- 加密算法:AES-128
- 認證算法:SHA1
- PFS: DH-GROUP2
- IPsec sa Lifetime:10800
-
結尾(不,還有路由要設定)
(Fig.11)
這邊會先看到VPN的通道狀態是 已聯通, 但如果實際去Ping機器,會發現還是不通。
-
騰訊雲路由表設定
(Fig.12)
新增路由策略(Fig.13)
(Fig.13)
新增路由(Fig.14)
- 新增路由:這邊是從騰訊雲要跳去GCP的網段,所以這邊要輸入的是(Fig.9)的對端網段
- 下一跳類型:選擇VPN網關
(Fig.14)
-
結論
而GCP不用設定路由。
因為在設定(Fig.5)的時候,就已經幫你設定好了。
但如果走的是 依據路徑,那這塊就必須要自行設定了。
如果想要看路由表,可以到
GCP->VPC網路->路徑
0 意見:
張貼留言