GCP: Маршрутизация к псевдониму ip через IKEv1 VPN без BGP

У меня есть частный кластер GKE, работающий в одной подсети и регионе. Узлы в кластере используют CIDR подсети 10.60.0.0/16, Кластер имеет два вторичных диапазона CIDR для своих модулей и служб (172.24.0.0/19 а также 172.24.32.0/20 соответственно).

Сначала у меня есть маршрутизатор Meraki с установленным VPN-туннелем IKEv1 к одной подсети. Маршрутизатор не поддерживает IKEv2, и в настоящее время я не могу настроить BGP (однако я думаю, что это возможно, и я обращаюсь к нашему представителю). Я полагаю, что Meraki рассчитывает справиться с этой ситуацией, указав несколько селекторов трафика, однако GCP не поддерживает это для статической маршрутизации, поскольку это идет вразрез со стандартом. Я могу подключиться к узлам, используя их внутренние IP-адреса в подсети, но не могу подключиться ни к одному из модулей или служб, работающих во вторичных CIDR, с предварительной установки.

Я очень неопытен в этой области, поэтому я прошу прощения за любые несоответствия, но вот что я пробовал до сих пор, и что я думаю, может работать:

  1. Я пробовал второе VPN-соединение специально для CIDR службы GKE. Я могу подключиться к туннелю, но все равно не могу подключиться к сервисам. Я создал это, используя модуль terraform [1], который я также использовал для моего другого VPN. Не уверен, что есть какие-то правила брандмауэра, которые мне нужно добавить?

  2. Если я смогу заставить мой маршрутизатор поддерживать BGP, это может сработать из того, что я вижу в руководствах Google [2]. Можете ли вы использовать BGP поверх IKEv1?

  3. Используя один VPN, создайте внутренний балансировщик нагрузки, работающий в подсети. Однако это будет иметь некоторые недостатки и увеличит сложность, я думаю.

  4. Если я не могу заставить свой маршрутизатор поддерживать BGP, и это единственный способ заставить это работать, я мог бы в случае необходимости развернуть отдельный VPN-сервер. Я бы предпочел не делать этого, хотя.

Рекомендации:

  1. https://registry.terraform.io/modules/terraform-google-modules/vpn/google/0.3.0

  2. https://cloud.google.com/vpc/docs/alias-ip

Источник

1 ответ

Какой вариант VPN-туннеля вы используете? Вы пробовали VPN на основе маршрутов?

Множество селекторов трафика поддерживаются в GCP только для IKEv2. Поскольку вы используете IKEv1, я предлагаю вам настроить VPN на основе маршрутов. Имейте в виду, что, возможно, отсутствует пропущенное правило брандмауэра, которое разрешает вам локальную связь с GCP, вы можете добавить в GCP правила брандмауэра, чтобы позволить входящему трафику из вашей локальной сети достигать первичного и вторичного диапазонов CIDR из GKE.

Если вы создаете VPN на основе политик или маршрутов и хотите изменить любой селектор трафика после его создания. Вам необходимо удалить VPN-туннель, а затем заново создать его, пожалуйста, проверьте следующую ссылку о соображениях для селекторов трафика.

Относительно вашего вопроса о BGP в VPN-туннеле с IKEv1. GCP поддерживает BGP с IKEv1, но IKEv2 предпочтительнее.

Если у вас все еще есть проблемы с подключением к модулю, я предлагаю вам проверить опцию BGP в вашем VPN-туннеле. Как вы упоминали, IP-адреса Alias ​​(основной и дополнительный диапазоны CIDR) могут быть объявлены облачным маршрутизатором в локальной сети, подключенной через VPN. Если Cloud Router настроен на Cloud VPN, он автоматически объявляет вторичные диапазоны подсетей 172.24.0.0/19 и 172.24.32.0/20 на локальное VPN-устройство.

Источник
Другие вопросы по тегам