延續上篇 Cloud VPN 建置方式,我們了解到如何建立 GCP VPC 及 Google Compute Engine (GCE),本篇架構師將針對 GCP VPN Gateway、Azure 相關服務,及確認 GCP VM 網路環境與 Azure 網路環境可以相通為重點,一步步帶您操作應用喔!

 

Step.1 建立好VM後,再來建立GCP VPN。

GCP VM_8

GCP VM_10

 

Step.2 選擇符合您需求的VPN類型。

第一個關卡我們就遇到了該怎麼選擇適合我們的VPN類型?是高可用性(HA)VPN,還是傳統型VPN呢?

快速的介紹一下這兩種不同的VPN類型:


1) 高可用性(HA)VPN:
高可用性VPN 是一種高可用性(HA) Cloud VPN 解決方案,可讓您在單個區域中通過IPsec VPN 連接您的本地 Virtual Private Cloud 網絡。高可用性 VPN 提供可用性服務達99.99% 的服務等級協議(SLA)。建立高可用性 VPN Gateway 時,Google Cloud 會自動選擇兩個外部IP 地址,兩個固定的接口各對應一個地址。

另外,您也可以將高可用性 VPN Gateway 配置為一個可使用的介面和一個對外公開 IP 地址;但是,此配置不會提供服務可用性達99.99%的SLA。當然使用的情境也可以一個當主要的線路,另一個當作備用的線路,以防服務中斷。

2) 傳統型 VPN:
相比之下,傳統VPN Gateway 具有單個接口、單個外部IP地址,甚至 VPN 是透過 IPsec 建立一條加密過後安全的網路通道,相較高可用性(HA)VPN,傳統型的 VPN 架構和設定來說較為簡單,也是初學者非常容易上手的。

而在這裡我們使用傳統型 VPN 示範,輸入VPN Gateway 內容後,得需要配置對外服務的一個固定外部IP。而在連線的通道地方,則是需要您將另一端的網路環境資訊互相填入。

GCP VM_11

 

Step.3 填入 Azure VPN Gateway 服務相關資訊。

GCP VM_12

  • 遠端對等戶連IP位址:輸入Azure VPN Gateway的對外IP
  • IKE預先共用金鑰:GCP產生的KEY需提供給Azure VPN 連線
  • 導向選項:您可以選擇“依據路徑”或“依照政策”,兩者差異差別於依照政策可以指定本地端的IP範圍符合條件才執行
  • 遠端網路IP範圍:輸入 Azure VPN Gateway 所使用的IP範圍
  • 本機IP範圍:輸入GCP 本機端的 IP範圍

 

Step.4 為了快速佈建一個 Domain Services 來示範 ,因此我們直接使用 Azure Domain Services,並且也已經準備好了Azure Active Directory,其中也已建立了幾組帳號。

  • Domain Name:microfusion.tw
  • IP address on virtual network:10.1.1.4, 10.1.1.5

GCP VM_13

 

Step.5 Azure 環境準備好後,建立 Azure VPN Gateway。

GCP VM_14

GCP VM_15

 

Step.6 建立好兩邊的 VPN Gateway 後,並且也將兩邊的IP和網段都有對應好後,GCP就會自動的嘗試建立此通道。GCP VPN Gateway Tunel 顯示已建立,有出現綠色打勾表示此通道為正在連線中,如沒有會顯示紅色驚嘆號。

GCP VM_16

GCP VM_17

 

Step.7 為了確認此VPN 通道是有通,我們在 GCP 環境與 Azure 環境各建立了一台VM,並且嘗試將兩台VM互Ping。回到 Google Compute Engine VM,在 Windows 作業系統中打開 “Network and Sharing Center”,點選 “Ethernet” 網卡。

GCP VM_18

GCP VM_19

GCP VM_20

GCP VM_21

 

Step.8 這時,我們可以先嘗試解析Azure AD Domain Services 的網域,解析的到,表示這台 VM 與 Azure AD Domain Services 在同一個網路環境了。

 

Step.9 另外,我們也嘗試 Ping 在 Azure 環境的 VM ,而 Azure VM 的內網 IP 為 10.1.3.5。