延續上篇 Cloud VPN 建置方式,我們了解到如何建立 GCP VPC 及 Google Compute Engine (GCE),本篇架構師將針對 GCP VPN Gateway、Azure 相關服務,及確認 GCP VM 網路環境與 Azure 網路環境可以相通為重點,一步步帶您操作應用喔!
Step.1 建立好VM後,再來建立GCP VPN。
Step.2 選擇符合您需求的VPN類型。
第一個關卡我們就遇到了該怎麼選擇適合我們的VPN類型?是高可用性(HA)VPN,還是傳統型VPN呢?
快速的介紹一下這兩種不同的VPN類型:
1) 高可用性(HA)VPN:
高可用性VPN 是一種高可用性(HA) Cloud VPN 解決方案,可讓您在單個區域中通過IPsec VPN 連接您的本地 Virtual Private Cloud 網絡。高可用性 VPN 提供可用性服務達99.99% 的服務等級協議(SLA)。建立高可用性 VPN Gateway 時,Google Cloud 會自動選擇兩個外部IP 地址,兩個固定的接口各對應一個地址。
另外,您也可以將高可用性 VPN Gateway 配置為一個可使用的介面和一個對外公開 IP 地址;但是,此配置不會提供服務可用性達99.99%的SLA。當然使用的情境也可以一個當主要的線路,另一個當作備用的線路,以防服務中斷。
2) 傳統型 VPN:
相比之下,傳統VPN Gateway 具有單個接口、單個外部IP地址,甚至 VPN 是透過 IPsec 建立一條加密過後安全的網路通道,相較高可用性(HA)VPN,傳統型的 VPN 架構和設定來說較為簡單,也是初學者非常容易上手的。
而在這裡我們使用傳統型 VPN 示範,輸入VPN Gateway 內容後,得需要配置對外服務的一個固定外部IP。而在連線的通道地方,則是需要您將另一端的網路環境資訊互相填入。
Step.3 填入 Azure VPN Gateway 服務相關資訊。
- 遠端對等戶連IP位址:輸入Azure VPN Gateway的對外IP
- IKE預先共用金鑰:GCP產生的KEY需提供給Azure VPN 連線
- 導向選項:您可以選擇“依據路徑”或“依照政策”,兩者差異差別於依照政策可以指定本地端的IP範圍符合條件才執行
- 遠端網路IP範圍:輸入 Azure VPN Gateway 所使用的IP範圍
- 本機IP範圍:輸入GCP 本機端的 IP範圍
Step.4 為了快速佈建一個 Domain Services 來示範 ,因此我們直接使用 Azure Domain Services,並且也已經準備好了Azure Active Directory,其中也已建立了幾組帳號。
- Domain Name:microfusion.tw
- IP address on virtual network:10.1.1.4, 10.1.1.5
Step.5 Azure 環境準備好後,建立 Azure VPN Gateway。
Step.6 建立好兩邊的 VPN Gateway 後,並且也將兩邊的IP和網段都有對應好後,GCP就會自動的嘗試建立此通道。GCP VPN Gateway Tunel 顯示已建立,有出現綠色打勾表示此通道為正在連線中,如沒有會顯示紅色驚嘆號。
Step.7 為了確認此VPN 通道是有通,我們在 GCP 環境與 Azure 環境各建立了一台VM,並且嘗試將兩台VM互Ping。回到 Google Compute Engine VM,在 Windows 作業系統中打開 “Network and Sharing Center”,點選 “Ethernet” 網卡。
Step.8 這時,我們可以先嘗試解析Azure AD Domain Services 的網域,解析的到,表示這台 VM 與 Azure AD Domain Services 在同一個網路環境了。
Step.9 另外,我們也嘗試 Ping 在 Azure 環境的 VM ,而 Azure VM 的內網 IP 為 10.1.3.5。