GCP: Маршрутизация к псевдониму IP через IKEv1 VPN без BGP
У меня есть частный кластер GKE, работающий в одной подсети и одной области. Узлы в кластере используют CIDR подсети 10.60.0.0/16 . Кластер имеет два дополнительных диапазона CIDR для своих модулей и служб ( 172.24.0.0/19 и 172.24.32.0/20 соответственно).
Локально у меня есть маршрутизатор Meraki с установленным VPN-туннелем IKEv1 в единственную подсеть. Маршрутизатор не поддерживает IKEv2, и в настоящее время я не могу настроить BGP (однако я думаю, что это возможно, и обращаюсь к нашему представителю). Я считаю, что Meraki рассчитывает справиться с этой ситуацией, указав несколько селекторов трафика, однако GCP не поддерживает это для статической маршрутизации, поскольку это противоречит стандарту. Я могу подключиться к узлам, используя их внутренние IP-адреса в подсети, но я не могу подключиться к каким-либо модулям или службам, работающим во вторичных CIDR, локально.
У меня очень мало опыта в этой области, поэтому я извиняюсь на предмет любых несоответствий, но вот то, что я пробовал до сих пор, и то, что я думаю, может сработать:
Я пробовал второе VPN-соединение специально для CIDR службы GKE. Я могу подключить туннель, но все равно не могу подключиться к службам. Я создал это с помощью модуля terraform [1], который я также использовал для других своих VPN. Не уверен, что мне нужно добавить какие-то правила межсетевого экрана?
Если я смогу заставить мой маршрутизатор поддерживать BGP, то это может сработать из того, что я вижу в руководствах Google [2]. Можно ли даже использовать BGP поверх IKEv1?
Используя одну VPN, создайте внутренний балансировщик нагрузки, работающий в подсети. Однако это будет иметь некоторые недостатки и, я думаю, увеличило бы сложность.
Если я не могу заставить свой маршрутизатор поддерживать BGP, а это единственный способ сделать это, я мог бы развернуть отдельный VPN-сервер на месте, если бы я должен был. Однако я бы предпочел не делать этого.
Ссылки:
Какой вариант VPN-туннеля вы используете? Вы пробовали VPN на основе маршрутов?
Несколько селекторов трафика поддерживаются в GCP только для IKEv2 . Поскольку вы используете IKEv1, я предлагаю вам настроить VPN на основе маршрута. Имейте в виду, что, возможно, отсутствует правило брандмауэра, разрешающее вам локальную связь с GCP, вы можете добавить правила брандмауэра в GCP, чтобы разрешить входящий трафик с вашего локального компьютера достигать первичного и вторичного CIDR колеблется от ГКЭ.
Если вы создаете VPN на основе политик или маршрутов и хотите отредактировать любой селектор трафика после его создания. Вам необходимо удалить VPN-туннель, а затем воссоздать его, пожалуйста, проверьте следующую ссылку , чтобы узнать о том, что нужно сделать для селекторов трафика.
Относительно вашего вопроса о BGP в туннеле VPN с IKEv1. GCP поддерживает BGP с IKEv1, но предпочтительнее IKEv2.
Если у вас по-прежнему возникают проблемы с доступом к модулям, я предлагаю вам проверить параметр BGP в вашем VPN-туннеле. Как вы упомянули, адреса псевдонимов IP (первичный и вторичный диапазоны CIDR) могут быть объявлены облачным маршрутизатором в локальной сети, подключенной через VPN. Если облачный маршрутизатор настроен на использование Cloud VPN, он автоматически объявляет диапазоны дополнительных подсетей 172.24.0.0/19 и 172.24.32.0/20 на ваше локальное устройство VPN.