我正在为我们的办公室设置带有点对点VPN的谷歌计算引擎虚拟机
我希望虚拟机通过VPN隧道发送/接收所有流量。默认情况下,它通过VPN隧道与本地主机通信,但它直接与互联网主机通信(不通过VPN隧道)。我不想在网上直接交流
如何将VPN隧道作为虚拟机的默认网关
谢谢你的帮助。
-
注意,VPC网络最初有一个默认路由;即具有以下特征的路由:
目的地:0.0.0.0/0
下一跳:默认互联网网关 -
您可以删除默认路由,并将其替换为自定义路由,以将流量(包括"Internet"流量)引导到其他地方。具体而言:
- 如果使用具有静态路由的VPN隧道(基于路由的VPN或基于策略的VPN),您只需创建一个具有以下特征的新的自定义静态路由:
目的地:0.0.0.0/0
下一跳:所需的VPN隧道,按名称
- 如果使用具有静态路由的VPN隧道(基于路由的VPN或基于策略的VPN),您只需创建一个具有以下特征的新的自定义静态路由:
只需确保远程流量选择器(在Google端配置)为0.0.0.0/0。这必须与远程(对等网络)端的本地流量选择器相匹配。
您可以在创建VPN隧道时手动创建路由;请参阅这些指南的gcloud版本:基于策略和基于路由。
对于现有的隧道,您总是可以简单地添加一个自定义静态路由,请查看以下文档,这些文档可以帮助您:
静态路由参数
添加静态路由
- 如果使用具有动态(BGP)路由的VPN隧道,默认情况下流量选择器为0.0.0.0/0,但您需要配置对等网络的路由器,以向与VPN隧道相关联的云路由器通告具有0.0.0.0/0.0目标的路由。然后云路由器会自动将自定义的动态路由应用到VPC网络。对于要应用于网络所有区域的所有虚拟机的自定义动态路由,请确保VPC网络的动态路由模式为全局动态路由
有关动态路由模式及其如何影响自定义动态路由的详细信息,请查看以下链接:(routing_for_hybrid_networks and switch dynamic routing)。
- 一旦他们有了目标为0.0.0.0/0的自定义路由和适当的下一跳,他们就可以删除默认路由;即具有以下特征的:
目的地:0.0.0.0/0
下一跳:默认Internet网关
请注意,自定义静态路由的路由优先级可以在VPC网络中配置,但自定义动态路由的优先级基于对等路由器路由的MED。
如何使VPN隧道成为虚拟机的默认网关机器
通过VPC中的VPN端点创建一个到网络的VPC路由(0.0.0.0/0)。给它一个比默认网关更高的优先级(更低的数字)。对于下一跳,请指定IP地址或实例ID(如果您有自己的软件VPN)或VPN隧道(如果是Google VPN网关)。
您也可以使用Instance tags只为特定实例路由流量,而不是为整个VPC网络路由流量。