Ringkasan

VPN dengan ketersediaan tinggi (HA) adalah solusi Cloud VPN yang memungkinkan Anda menghubungkan jaringan lokal ke jaringan VPC dengan aman melalui koneksi VPN IPsec di satu region. VPN dengan ketersediaan tinggi (HA) menyediakan SLA ketersediaan layanan 99,99%.

VPN dengan ketersediaan tinggi (HA) adalah solusi VPN regional per VPC. Gateway VPN dengan ketersediaan tinggi (HA) memiliki dua antarmuka, masing-masing dengan alamat IP publiknya sendiri. Saat Anda membuat gateway VPN dengan ketersediaan tinggi (HA), kedua alamat IP publik akan dipilih secara otomatis dari berbagai kumpulan alamat. Saat VPN dengan ketersediaan tinggi (HA) dikonfigurasi dengan dua tunnel, Cloud VPN menawarkan waktu beroperasi ketersediaan layanan 99,99%.

Di lab ini, Anda akan membuat VPC global yang disebut vpc-demo, dengan dua subnet kustom di dan . Di VPC ini, Anda akan menambahkan instance Compute Engine di setiap region. Kemudian, Anda akan membuat VPC kedua yang disebut on-prem untuk menyimulasikan pusat data lokal milik pelanggan. Di VPC kedua ini, Anda akan menambahkan subnet di region dan instance Compute Engine yang berjalan di region ini. Terakhir, Anda akan menambahkan VPN dengan ketersediaan tinggi (HA) dan router cloud di tiap VPC serta menjalankan dua tunnel dari tiap gateway VPN dengan ketersediaan tinggi (HA) sebelum menguji konfigurasi untuk memverifikasi SLA 99,99%.

Tujuan

Di lab ini, Anda akan mempelajari cara melakukan tugas berikut:

• Membuat dua instance dan jaringan VPC.
• Mengonfigurasi gateway VPN dengan ketersediaan tinggi (HA).
• Mengonfigurasi pemilihan rute dinamis dengan tunnel VPN.
• Mengonfigurasi mode pemilihan rute dinamis global.
• Memverifikasi dan menguji konfigurasi gateway VPN dengan ketersediaan tinggi (HA).

Penyiapan dan persyaratan

Untuk setiap lab, Anda akan memperoleh project Google Cloud baru serta serangkaian resource selama jangka waktu tertentu, tanpa biaya.

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, jendela pop-up akan terbuka untuk memilih metode pembayaran. Di sebelah kiri adalah panel Lab Details yang memuat sebagai berikut:

   • Tombol Open Google Cloud console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Cloud console (atau klik kanan dan pilih Open Link in Incognito Window jika Anda menjalankan browser Chrome).

   Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Sign in.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username di bawah dan tempel ke dialog Sign in.

   {{{user_0.username | "Username"}}}

   Anda juga dapat menemukan Username di panel Lab Details.

4. Klik Next.

5. Salin Password di bawah dan tempel ke dialog Welcome.

   {{{user_0.password | "Password"}}}

   Anda juga dapat menemukan Password di panel Lab Details.

6. Klik Next.

   Penting: Anda harus menggunakan kredensial yang diberikan lab. Jangan menggunakan kredensial akun Google Cloud Anda. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

7. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan mendaftar uji coba gratis.

Setelah beberapa saat, Konsol Google Cloud akan terbuka di tab ini.

Catatan: Untuk melihat menu yang berisi daftar produk dan layanan Google Cloud, klik Navigation menu di kiri atas, atau ketik nama layanan atau produk di kolom Search.

Mengaktifkan Google Cloud Shell

Google Cloud Shell adalah virtual machine yang dilengkapi dengan berbagai fitur pengembangan. Virtual machine ini menawarkan direktori beranda persisten berkapasitas 5 GB dan berjalan di Google Cloud.

Google Cloud Shell menyediakan akses command line untuk resource Google Cloud Anda.

1. Di Cloud Console, pada toolbar di kanan atas, klik tombol Open Cloud Shell.

   

2. Klik Continue.

Proses menyediakan dan menghubungkan ke lingkungan memerlukan waktu beberapa saat. Setelah terhubung, Anda sudah diautentikasi, dan project ditetapkan ke PROJECT_ID Anda. Contoh:

gcloud adalah alat command line untuk Google Cloud. Alat ini sudah terinstal di Cloud Shell dan mendukung pelengkapan command line.

• Anda dapat menampilkan daftar nama akun yang aktif dengan perintah ini:

gcloud auth list

Output:

Akun berkredensial: - @.com (aktif)

Contoh output:

Akun berkredensial: - google1623327_student@qwiklabs.net

• Anda dapat menampilkan daftar project ID dengan perintah ini:

gcloud config list project

Output:

[core] project =

Contoh output:

[core] project = qwiklabs-gcp-44776a13dea667a6 Catatan: Dokumentasi lengkap gcloud tersedia dalam panduan ringkasan gcloud CLI .

Tugas 1. Menyiapkan lingkungan VPC Global

Dalam tugas ini, Anda akan menyiapkan VPC Global dengan dua subnet kustom dan dua instance VM yang berjalan di setiap zona.

1. Di Cloud Shell, buat jaringan VPC yang disebut vpc-demo:

gcloud compute networks create vpc-demo --subnet-mode custom

Output-nya akan terlihat seperti ini:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/vpc-demo]. NAME: vpc-demo SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

2. Di Cloud Shell, buat subnet vpc-demo-subnet1 di region :

gcloud compute networks subnets create vpc-demo-subnet1 \ --network vpc-demo --range 10.1.1.0/24 --region "{{{project_0.default_region| REGION}}}"

3. Buat subnet vpc-demo-subnet2 di region :

gcloud compute networks subnets create vpc-demo-subnet2 \ --network vpc-demo --range 10.2.1.0/24 --region {{{project_0.default_region_2 | REGION 2}}}

4. Buat aturan firewall untuk mengizinkan semua traffic kustom dalam jaringan:

gcloud compute firewall-rules create vpc-demo-allow-custom \ --network vpc-demo \ --allow tcp:0-65535,udp:0-65535,icmp \ --source-ranges 10.0.0.0/8

Output-nya akan terlihat seperti ini:

Creating firewall...working..Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/firewalls/vpc-demo-allow-custom]. Creating firewall...done. NAME: vpc-demo-allow-custom NETWORK: vpc-demo DIRECTION: INGRESS PRIORITY: 1000 ALLOW: tcp:0-65535,udp:0-65535,icmp DENY: DISABLED: False

5. Buat aturan firewall untuk mengizinkan traffic SSH dan ICMP dari mana saja:

gcloud compute firewall-rules create vpc-demo-allow-ssh-icmp \ --network vpc-demo \ --allow tcp:22,icmp

6. Buat instance VM vpc-demo-instance1 di zona :

gcloud compute instances create vpc-demo-instance1 --machine-type=e2-medium --zone {{{ project_0.default_zone | "ZONE" }}} --subnet vpc-demo-subnet1

Output-nya akan terlihat seperti ini:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/zones/{{{ project_0.default_zone | "ZONE" }}}/instances/vpc-demo-instance1]. NAME: vpc-demo-instance1 ZONE: {{{ project_0.default_zone | "ZONE" }}} MACHINE_TYPE: e2-standard-2 PREEMPTIBLE: INTERNAL_IP: 10.1.1.2 EXTERNAL_IP: 34.71.135.218 STATUS: RUNNING

7. Buat instance VM vpc-demo-instance2 di zona :

gcloud compute instances create vpc-demo-instance2 --machine-type=e2-medium --zone {{{project_0.default_zone_2 | ZONE2}}} --subnet vpc-demo-subnet2

Tugas 2. Menyiapkan lingkungan lokal tersimulasi

Dalam tugas ini, Anda akan membuat VPC yang disebut on-prem yang menyimulasikan lingkungan lokal dari tempat pelanggan terhubung ke lingkungan cloud Google.

1. Di Cloud Shell, buat jaringan VPC yang disebut on-prem:

gcloud compute networks create on-prem --subnet-mode custom

Output-nya akan terlihat seperti ini:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/on-prem]. NAME: on-prem SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

2. Buat subnet yang disebut on-prem-subnet1:

gcloud compute networks subnets create on-prem-subnet1 \ --network on-prem --range 192.168.1.0/24 --region {{{ project_0.default_region | "REGION" }}}

3. Buat aturan firewall untuk mengizinkan semua traffic kustom dalam jaringan:

gcloud compute firewall-rules create on-prem-allow-custom \ --network on-prem \ --allow tcp:0-65535,udp:0-65535,icmp \ --source-ranges 192.168.0.0/16

4. Buat aturan firewall untuk mengizinkan traffic SSH, RDP, HTTP, dan ICMP ke instance:

gcloud compute firewall-rules create on-prem-allow-ssh-icmp \ --network on-prem \ --allow tcp:22,icmp

5. Buat instance yang disebut on-prem-instance1 di region .

Catatan: Pada perintah di bawah ini, ganti dengan zona di tetapi pilih yang berbeda dari yang digunakan untuk membuat vpc-demo-instance1 di vpc-demo-subnet1 . gcloud compute instances create on-prem-instance1 --machine-type=e2-medium --zone zone_name --subnet on-prem-subnet1

Tugas 3. Menyiapkan gateway VPN dengan ketersediaan tinggi (HA)

Dalam tugas ini, Anda akan membuat gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan VPC, kemudian membuat tunnel VPN dengan ketersediaan tinggi (HA) di setiap gateway Cloud VPN.

1. Di Cloud Shell, buat VPN dengan ketersediaan tinggi (HA) di jaringan vpc-demo:

gcloud compute vpn-gateways create vpc-demo-vpn-gw1 --network vpc-demo --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

Creating VPN Gateway...done. NAME: vpc-demo-vpn-gw1 INTERFACE0: 35.242.117.95 INTERFACE1: 35.220.73.93 NETWORK: vpc-demo REGION: {{{ project_0.default_region | "REGION" }}}

2. Buat VPN dengan ketersediaan tinggi (HA) di jaringan lokal:

gcloud compute vpn-gateways create on-prem-vpn-gw1 --network on-prem --region {{{ project_0.default_region | "REGION" }}}

3. Lihat detail gateway vpc-demo-vpn-gw1 untuk memverifikasi setelannya:

gcloud compute vpn-gateways describe vpc-demo-vpn-gw1 --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

creationTimestamp: '2022-01-25T03:02:20.983-08:00' id: '7306781839576950355' kind: compute#vpnGateway labelFingerprint: 42WmSpB8rSM= name: vpc-demo-vpn-gw1 network: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/vpc-demo region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/vpc-demo-vpn-gw1 vpnInterfaces: - id: 0 ipAddress: 35.242.117.95 - id: 1 ipAddress: 35.220.73.93

4. Lihat detail vpn-gateway on-prem-vpn-gw1 untuk memverifikasi setelannya:

gcloud compute vpn-gateways describe on-prem-vpn-gw1 --region {{{ project_0.default_region | "Region" }}}

Output-nya akan terlihat seperti ini:

creationTimestamp: '2022-01-25T03:03:34.305-08:00' id: '3697047034868688873' kind: compute#vpnGateway labelFingerprint: 42WmSpB8rSM= name: on-prem-vpn-gw1 network: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/on-prem region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/on-prem-vpn-gw1 vpnInterfaces: - id: 0 ipAddress: 35.242.106.234 - id: 1 ipAddress: 35.220.88.140

Membuat router cloud

1. Buat router cloud di jaringan vpc-demo:

gcloud compute routers create vpc-demo-router1 \ --region {{{ project_0.default_region | "REGION" }}} \ --network vpc-demo \ --asn 65001

Output-nya akan terlihat seperti ini:

Creating router [vpc-demo-router1]...done. NAME: vpc-demo-router1 REGION: {{{ project_0.default_region | "REGION" }}} NETWORK: vpc-demo

2. Buat router cloud di jaringan lokal:

gcloud compute routers create on-prem-router1 \ --region {{{ project_0.default_region | "REGION" }}} \ --network on-prem \ --asn 65002

Tugas 4. Membuat dua tunnel VPN

Dalam tugas ini, Anda akan membuat tunnel VPN di antara kedua gateway. Untuk penyiapan VPN dengan ketersediaan tinggi (HA), Anda dapat menambahkan dua tunnel dari setiap gateway ke penyiapan jarak jauh. Anda akan membuat tunnel di interface0 dan menghubungkan ke interface0 di gateway jarak jauh. Selanjutnya, Anda akan membuat tunnel lain di interface1 dan menghubungkan ke interface1 di gateway jarak jauh.

Saat menjalankan tunnel VPN dengan ketersediaan tinggi (HA) di antara dua VPC Google Cloud, Anda harus memastikan bahwa tunnel di interface0 terhubung ke interface0 di gateway VPN jarak jauh. Demikian pula, tunnel di interface1 harus terhubung ke interface1 di gateway VPN jarak jauh.

Catatan: Di lingkungan Anda sendiri, jika menjalankan VPN dengan ketersediaan tinggi (HA) ke gateway VPN jarak jauh secara lokal untuk pelanggan, Anda dapat menghubungkannya dengan salah satu cara berikut:

• Dua perangkat gateway VPN lokal: Setiap tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke gateway peer-nya masing-masing.
• Satu perangkat gateway VPN lokal dengan dua antarmuka: Setiap tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke antarmuka di gateway peer-nya masing-masing.
• Satu perangkat gateway VPN lokal dengan satu antarmuka: Kedua tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke antarmuka yang sama di gateway peer.

Di lab ini, Anda akan menyimulasikan penyiapan lokal dengan kedua gateway VPN di Google Cloud. Anda perlu memastikan bahwa interface0 dari satu gateway terhubung ke interface0 dari gateway lainnya, dan interface1 terhubung ke interface1 dari gateway jarak jauh.

1. Buat tunnel VPN pertama di jaringan vpc-demo:

gcloud compute vpn-tunnels create vpc-demo-tunnel0 \ --peer-gcp-gateway on-prem-vpn-gw1 \ --region {{{ project_0.default_region | "REGION" }}} \ --ike-version 2 \ --shared-secret [SHARED_SECRET] \ --router vpc-demo-router1 \ --vpn-gateway vpc-demo-vpn-gw1 \ --interface 0

Output-nya akan terlihat seperti ini:

Creating VPN tunnel...done. NAME: vpc-demo-tunnel0 REGION: {{{ project_0.default_region | "REGION" }}} GATEWAY: vpc-demo-vpn-gw1 VPN_INTERFACE: 0 PEER_ADDRESS: 35.242.106.234

2. Buat tunnel VPN kedua di jaringan vpc-demo:

gcloud compute vpn-tunnels create vpc-demo-tunnel1 \ --peer-gcp-gateway on-prem-vpn-gw1 \ --region {{{ project_0.default_region | "REGION" }}} \ --ike-version 2 \ --shared-secret [SHARED_SECRET] \ --router vpc-demo-router1 \ --vpn-gateway vpc-demo-vpn-gw1 \ --interface 1

3. Buat tunnel VPN pertama di jaringan lokal:

gcloud compute vpn-tunnels create on-prem-tunnel0 \ --peer-gcp-gateway vpc-demo-vpn-gw1 \ --region {{{ project_0.default_region | "REGION" }}} \ --ike-version 2 \ --shared-secret [SHARED_SECRET] \ --router on-prem-router1 \ --vpn-gateway on-prem-vpn-gw1 \ --interface 0

4. Buat tunnel VPN kedua di jaringan lokal:

gcloud compute vpn-tunnels create on-prem-tunnel1 \ --peer-gcp-gateway vpc-demo-vpn-gw1 \ --region {{{ project_0.default_region | "REGION" }}} \ --ike-version 2 \ --shared-secret [SHARED_SECRET] \ --router on-prem-router1 \ --vpn-gateway on-prem-vpn-gw1 \ --interface 1

Tugas 5. Membuat peering Border Gateway Protocol (BGP) untuk setiap tunnel

Dalam tugas ini, Anda akan mengonfigurasi peering BGP untuk setiap tunnel VPN antara vpc-demo dan VPC on-prem. VPN dengan ketersediaan tinggi (HA) memerlukan pemilihan rute dinamis untuk memungkinkan ketersediaan 99,99%.

1. Buat antarmuka router untuk tunnel0 di jaringan vpc-demo:

gcloud compute routers add-interface vpc-demo-router1 \ --interface-name if-tunnel0-to-on-prem \ --ip-address 169.254.0.1 \ --mask-length 30 \ --vpn-tunnel vpc-demo-tunnel0 \ --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

Updated [https://www.googleapis.com/compute/v1/projects/binal-sandbox/regions/{{{ project_0.default_region | "REGION" }}}/routers/vpc-demo-router1].

2. Buat peer BGP untuk tunnel0 di jaringan vpc-demo:

gcloud compute routers add-bgp-peer vpc-demo-router1 \ --peer-name bgp-on-prem-tunnel0 \ --interface if-tunnel0-to-on-prem \ --peer-ip-address 169.254.0.2 \ --peer-asn 65002 \ --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

Creating peer [bgp-on-prem-tunnel0] in router [vpc-demo-router1]...done.

3. Buat antarmuka router untuk tunnel1 di jaringan vpc-demo:

gcloud compute routers add-interface vpc-demo-router1 \ --interface-name if-tunnel1-to-on-prem \ --ip-address 169.254.1.1 \ --mask-length 30 \ --vpn-tunnel vpc-demo-tunnel1 \ --region {{{ project_0.default_region | "REGION" }}}

4. Buat peer BGP untuk tunnel1 di jaringan vpc-demo:

gcloud compute routers add-bgp-peer vpc-demo-router1 \ --peer-name bgp-on-prem-tunnel1 \ --interface if-tunnel1-to-on-prem \ --peer-ip-address 169.254.1.2 \ --peer-asn 65002 \ --region {{{ project_0.default_region | "REGION" }}}

5. Buat antarmuka router untuk tunnel0 di jaringan lokal:

gcloud compute routers add-interface on-prem-router1 \ --interface-name if-tunnel0-to-vpc-demo \ --ip-address 169.254.0.2 \ --mask-length 30 \ --vpn-tunnel on-prem-tunnel0 \ --region {{{ project_0.default_region | "REGION" }}}

6. Buat peer BGP untuk tunnel0 di jaringan lokal:

gcloud compute routers add-bgp-peer on-prem-router1 \ --peer-name bgp-vpc-demo-tunnel0 \ --interface if-tunnel0-to-vpc-demo \ --peer-ip-address 169.254.0.1 \ --peer-asn 65001 \ --region {{{ project_0.default_region | "REGION" }}}

7. Buat antarmuka router untuk tunnel1 di jaringan lokal:

gcloud compute routers add-interface on-prem-router1 \ --interface-name if-tunnel1-to-vpc-demo \ --ip-address 169.254.1.2 \ --mask-length 30 \ --vpn-tunnel on-prem-tunnel1 \ --region {{{ project_0.default_region | "REGION" }}}

8. Buat peer BGP untuk tunnel1 di jaringan lokal:

gcloud compute routers add-bgp-peer on-prem-router1 \ --peer-name bgp-vpc-demo-tunnel1 \ --interface if-tunnel1-to-vpc-demo \ --peer-ip-address 169.254.1.1 \ --peer-asn 65001 \ --region {{{ project_0.default_region | "REGION" }}}

Tugas 6. Memverifikasi konfigurasi router

Dalam tugas ini, Anda memverifikasi konfigurasi router di kedua VPC. Anda mengonfigurasi aturan firewall untuk mengizinkan traffic di antara setiap VPC dan memverifikasi status tunnel. Anda juga memverifikasi konektivitas pribadi melalui VPN di antara setiap VPC dan mengaktifkan mode perutean global untuk VPC tersebut.

1. Lihat detail vpc-demo-router1 Cloud Router untuk memverifikasi setelannya:

gcloud compute routers describe vpc-demo-router1 \ --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

bgp: advertiseMode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: - bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel0-to-on-prem ipAddress: 169.254.0.1 name: bgp-on-prem-tunnel0 peerAsn: 65002 peerIpAddress: 169.254.0.2 - bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel1-to-on-prem ipAddress: 169.254.1.1 name: bgp-on-prem-tunnel1 peerAsn: 65002 peerIpAddress: 169.254.1.2 creationTimestamp: '2022-01-25T03:06:23.370-08:00' id: '2408056426544129856' interfaces: - ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/vpc-demo-tunnel0 name: if-tunnel0-to-on-prem - ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/vpc-demo-tunnel1 name: if-tunnel1-to-on-prem kind: compute#router name: vpc-demo-router1 network: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/vpc-demo region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/routers/vpc-demo-router1

2. Lihat detail on-prem-router1 Cloud Router untuk memverifikasi setelannya:

gcloud compute routers describe on-prem-router1 \ --region {{{ project_0.default_region | "REGION" }}}

Output-nya akan terlihat seperti ini:

bgp: advertiseMode: DEFAULT asn: 65002 keepaliveInterval: 20 bgpPeers: - bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel0-to-vpc-demo ipAddress: 169.254.0.2 name: bgp-vpc-demo-tunnel0 peerAsn: 65001 peerIpAddress: 169.254.0.1 - bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel1-to-vpc-demo ipAddress: 169.254.1.2 name: bgp-vpc-demo-tunnel1 peerAsn: 65001 peerIpAddress: 169.254.1.1 creationTimestamp: '2022-01-25T03:07:40.360-08:00' id: '3252882979067946771' interfaces: - ipRange: 169.254.0.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/on-prem-tunnel0 name: if-tunnel0-to-vpc-demo - ipRange: 169.254.1.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/on-prem-tunnel1 name: if-tunnel1-to-vpc-demo kind: compute#router name: on-prem-router1 network: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/on-prem region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/routers/on-prem-router1

Mengonfigurasi aturan firewall untuk mengizinkan traffic dari VPC jarak jauh

Konfigurasi aturan firewall untuk mengizinkan traffic dari rentang IP pribadi pada VPN peer.

1. Izinkan traffic dari jaringan VPC on-prem ke vpc-demo:

gcloud compute firewall-rules create vpc-demo-allow-subnets-from-on-prem \ --network vpc-demo \ --allow tcp,udp,icmp \ --source-ranges 192.168.1.0/24

Output-nya akan terlihat seperti ini:

Creating firewall...working..Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/firewalls/vpc-demo-allow-subnets-from-on-prem]. Creating firewall...done. NAME: vpc-demo-allow-subnets-from-on-prem NETWORK: vpc-demo DIRECTION: INGRESS PRIORITY: 1000 ALLOW: tcp,udp,icmp DENY: DISABLED: False

2. Izinkan traffic dari vpc-demo ke jaringan VPC on-prem:

gcloud compute firewall-rules create on-prem-allow-subnets-from-vpc-demo \ --network on-prem \ --allow tcp,udp,icmp \ --source-ranges 10.1.1.0/24,10.2.1.0/24

Memverifikasi status tunnel

1. Daftar tunnel VPN yang baru saja dibuat:

gcloud compute vpn-tunnels list

Harus ada empat tunnel VPN (dua tunnel untuk setiap gateway VPN). Output-nya akan terlihat seperti ini:

NAME: on-prem-tunnel0 REGION: {{{ project_0.default_region | "REGION" }}} GATEWAY: on-prem-vpn-gw1 PEER_ADDRESS: 35.242.117.95 NAME: on-prem-tunnel1 REGION: {{{ project_0.default_region | "REGION" }}} GATEWAY: on-prem-vpn-gw1 PEER_ADDRESS: 35.220.73.93 NAME: vpc-demo-tunnel0 REGION: {{{ project_0.default_region | "REGION" }}} GATEWAY: vpc-demo-vpn-gw1 PEER_ADDRESS: 35.242.106.234 NAME: vpc-demo-tunnel1 REGION: {{{ project_0.default_region | "REGION" }}} GATEWAY: vpc-demo-vpn-gw1 PEER_ADDRESS: 35.220.88.140

2. Verifikasi bahwa tunnel vpc-demo-tunnel0 sudah aktif:

gcloud compute vpn-tunnels describe vpc-demo-tunnel0 \ --region {{{ project_0.default_region | "REGION" }}}

Output tunnel harus menunjukkan status mendetail yaitu Tunnel is up and running.

creationTimestamp: '2022-01-25T03:21:05.238-08:00' description: '' detailedStatus: Tunnel is up and running. id: '3268990180169769934' ikeVersion: 2 kind: compute#vpnTunnel labelFingerprint: 42WmSpB8rSM= localTrafficSelector: - 0.0.0.0/0 name: vpc-demo-tunnel0 peerGcpGateway: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/on-prem-vpn-gw1 peerIp: 35.242.106.234 region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/routers/vpc-demo-router1 selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/vpc-demo-tunnel0 sharedSecret: '*************' sharedSecretHash: AOs4oVY4bX91gba6DIeg1DbtzWTj status: ESTABLISHED vpnGateway: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/vpc-demo-vpn-gw1 vpnGatewayInterface: 0

3. Verifikasi bahwa tunnel vpc-demo-tunnel1 sudah aktif:

gcloud compute vpn-tunnels describe vpc-demo-tunnel1 \ --region {{{ project_0.default_region | "REGION" }}}

Output tunnel harus menunjukkan status mendetail yaitu Tunnel is up and running.

4. Verifikasi bahwa tunnel on-prem-tunnel0 sudah aktif:

gcloud compute vpn-tunnels describe on-prem-tunnel0 \ --region {{{ project_0.default_region | "REGION" }}}

Output tunnel harus menunjukkan status mendetail yaitu Tunnel is up and running.

5. Verifikasi bahwa tunnel on-prem-tunnel1 sudah aktif:

gcloud compute vpn-tunnels describe on-prem-tunnel1 \ --region {{{ project_0.default_region | "REGION" }}}

Output tunnel harus menunjukkan status mendetail yaitu Tunnel is up and running.

Memverifikasi konektivitas pribadi melalui VPN

1. Buka Compute Engine dan catat zona tempat on-prem-instance1 dibuat.

2. Buka tab Cloud Shell yang baru dan ketik perintah berikut untuk terhubung melalui SSH ke instance on-prem-instance1: Ganti <zone_name> dengan zona tempat on-prem-instance1 dibuat.

   gcloud compute ssh on-prem-instance1 --zone zone_name

3. Ketik "y" untuk mengonfirmasi bahwa Anda ingin melanjutkan.

4. Tekan Enter dua kali untuk melewati pembuatan sandi.

5. Dari instance on-prem-instance1 di jaringan on-prem, untuk menjangkau instance di jaringan vpc-demo, lakukan ping ke 10.1.1.2:

ping -c 4 10.1.1.2

Ping berhasil. Output-nya akan terlihat seperti ini:

PING 10.1.1.2 (10.1.1.2) 56(84) bytes of data. 64 bytes from 10.1.1.2: icmp_seq=1 ttl=62 time=9.65 ms 64 bytes from 10.1.1.2: icmp_seq=2 ttl=62 time=2.01 ms 64 bytes from 10.1.1.2: icmp_seq=3 ttl=62 time=1.71 ms 64 bytes from 10.1.1.2: icmp_seq=4 ttl=62 time=1.77 ms --- 10.1.1.2 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 8ms rtt min/avg/max/mdev = 1.707/3.783/9.653/3.391 ms

Perutean global dengan VPN

VPN dengan ketersediaan tinggi (HA) adalah resource regional dan router cloud yang secara default hanya melihat rute di region tempatnya di-deploy. Untuk menjangkau instance di region yang berbeda dengan router cloud, Anda perlu mengaktifkan mode perutean global untuk VPC. Cara ini memungkinkan router cloud untuk melihat dan memberitahukan rute dari region lain.

1. Buka tab Cloud Shell baru dan ubah bgp-routing mode dari vpc-demo ke GLOBAL:

gcloud compute networks update vpc-demo --bgp-routing-mode GLOBAL

2. Verifikasi perubahan tersebut:

gcloud compute networks describe vpc-demo

Output-nya akan terlihat seperti ini:

autoCreateSubnetworks: false creationTimestamp: '2022-01-25T02:52:58.553-08:00' id: '4735939730452146277' kind: compute#network name: vpc-demo routingConfig: routingMode: GLOBAL selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/global/networks/vpc-demo subnetworks: - https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/subnetworks/vpc-demo-subnet1 - https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/us-west1/subnetworks/vpc-demo-subnet2 x_gcloud_bgp_routing_mode: GLOBAL x_gcloud_subnet_mode: CUSTOM

3. Dari tab Cloud Shell yang saat ini terhubung ke instance di jaringan lokal melalui ssh, lakukan ping ke instance vpc-demo-instance2 di region :

ping -c 2 10.2.1.2

Ping berhasil. Output-nya akan terlihat seperti ini:

PING 10.2.1.2 (10.2.1.2) 56(84) bytes of data. 64 bytes from 10.2.1.2: icmp_seq=1 ttl=62 time=34.9 ms 64 bytes from 10.2.1.2: icmp_seq=2 ttl=62 time=32.2 ms --- 10.2.1.2 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 2ms rtt min/avg/max/mdev = 32.189/33.528/34.867/1.339 ms

Tugas 7. Memverifikasi dan menguji konfigurasi tunnel VPN dengan ketersediaan tinggi (HA)

Dalam tugas ini, Anda akan menguji dan memverifikasi bahwa konfigurasi ketersediaan tinggi pada setiap tunnel VPN dengan ketersediaan tinggi (HA) sudah berhasil.

1. Buka tab Cloud Shell baru.

2. Hapus tunnel0 di jaringan vpc-demo:

gcloud compute vpn-tunnels delete vpc-demo-tunnel0 --region {{{ project_0.default_region | "REGION" }}}

Ketik "y" saat diminta untuk memverifikasi penghapusan. Setiap tunnel0 di jaringan on-prem akan dihapus.

3. Verifikasi bahwa tunnel tersebut telah dihapus:

gcloud compute vpn-tunnels describe on-prem-tunnel0 --region {{{ project_0.default_region | "REGION" }}}

Status mendetail akan menampilkan Handshake_with_peer_broken.

creationTimestamp: '2022-01-25T03:22:33.581-08:00' description: '' detailedStatus: Handshake with peer broken for unknown reason. Trying again soon. id: '4116279561430393750' ikeVersion: 2 kind: compute#vpnTunnel localTrafficSelector: - 0.0.0.0/0 name: on-prem-tunnel0 peerGcpGateway: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/vpc-demo-vpn-gw1 peerIp: 35.242.117.95 region: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}} remoteTrafficSelector: - 0.0.0.0/0 router: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/routers/on-prem-router1 selfLink: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnTunnels/on-prem-tunnel0 sharedSecret: '*************' sharedSecretHash: AO3jeFtewmjvTMO7JEM5RuyCtqaa status: FIRST_HANDSHAKE vpnGateway: https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-cdb29e18d20d/regions/{{{ project_0.default_region | "REGION" }}}/vpnGateways/on-prem-vpn-gw1 vpnGatewayInterface: 0

4. Buka tab Cloud Shell sebelumnya yang menampilkan sesi ssh sedang berjalan, lalu verifikasi ping di antara instance di jaringan vpc-demo dan jaringan lokal:

ping -c 3 10.1.1.2

Output-nya akan terlihat seperti ini:

PING 10.1.1.2 (10.1.1.2) 56(84) bytes of data. 64 bytes from 10.1.1.2: icmp_seq=1 ttl=62 time=6.31 ms 64 bytes from 10.1.1.2: icmp_seq=2 ttl=62 time=1.13 ms 64 bytes from 10.1.1.2: icmp_seq=3 ttl=62 time=1.20 ms --- 10.1.1.2 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 5ms rtt min/avg/max/mdev = 1.132/2.882/6.312/2.425 ms

Ping masih berhasil karena traffic saat ini dikirim melalui tunnel kedua. Anda telah berhasil mengonfigurasi tunnel VPN dengan ketersediaan tinggi (HA).

Tugas 8. (Opsional) Membersihkan lingkungan lab

Dalam tugas ini, Anda membersihkan resource yang telah digunakan. Tugas ini opsional. Saat mengakhiri lab, semua resource dan project Anda akan dibersihkan dan dihapus secara otomatis. Namun, Anda sebaiknya mengetahui cara membersihkan resource di lingkungan sendiri untuk menghemat biaya dan mengurangi penggunaan resource.

Menghapus tunnel VPN

• Dari Cloud Shell, ketik perintah berikut untuk menghapus tunnel yang tersisa. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute vpn-tunnels delete on-prem-tunnel0 --region {{{ project_0.default_region | "REGION" }}} gcloud compute vpn-tunnels delete vpc-demo-tunnel1 --region {{{ project_0.default_region | "REGION" }}} gcloud compute vpn-tunnels delete on-prem-tunnel1 --region {{{ project_0.default_region | "REGION" }}}

Menghapus peering BGP

• Ketik perintah berikut dari tiap peer BGP untuk menghapus peering:

gcloud compute routers remove-bgp-peer vpc-demo-router1 --peer-name bgp-on-prem-tunnel0 --region {{{ project_0.default_region | "REGION" }}} gcloud compute routers remove-bgp-peer vpc-demo-router1 --peer-name bgp-on-prem-tunnel1 --region {{{ project_0.default_region | "REGION" }}} gcloud compute routers remove-bgp-peer on-prem-router1 --peer-name bgp-vpc-demo-tunnel0 --region {{{ project_0.default_region | "REGION" }}} gcloud compute routers remove-bgp-peer on-prem-router1 --peer-name bgp-vpc-demo-tunnel1 --region {{{ project_0.default_region | "REGION" }}}

Menghapus router cloud

• Ketik setiap perintah untuk menghapus router. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute routers delete on-prem-router1 --region {{{ project_0.default_region | "REGION" }}} gcloud compute routers delete vpc-demo-router1 --region {{{ project_0.default_region | "REGION" }}}

Menghapus gateway VPN

• Ketik setiap perintah untuk menghapus gateway VPN. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute vpn-gateways delete vpc-demo-vpn-gw1 --region {{{ project_0.default_region | "REGION" }}} gcloud compute vpn-gateways delete on-prem-vpn-gw1 --region {{{ project_0.default_region | "REGION" }}}

Menghapus instance

• Ketik perintah berikut untuk menghapus setiap instance. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute instances delete vpc-demo-instance1 --zone {{{ project_0.default_zone | "ZONE" }}} gcloud compute instances delete vpc-demo-instance2 --zone {{{project_0.default_zone_2 | "ZONE"}}} gcloud compute instances delete on-prem-instance1 --zone zone_name CATATAN: Ganti dengan zona tempat on-prem-instance1 dibuat.

Menghapus aturan firewall

• Ketik perintah berikut untuk menghapus aturan firewall. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute firewall-rules delete vpc-demo-allow-custom gcloud compute firewall-rules delete on-prem-allow-subnets-from-vpc-demo gcloud compute firewall-rules delete on-prem-allow-ssh-icmp gcloud compute firewall-rules delete on-prem-allow-custom gcloud compute firewall-rules delete vpc-demo-allow-subnets-from-on-prem gcloud compute firewall-rules delete vpc-demo-allow-ssh-icmp

Menghapus subnet

• Ketik perintah berikut untuk menghapus subnet. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute networks subnets delete vpc-demo-subnet1 --region {{{ project_0.default_region | "REGION" }}} gcloud compute networks subnets delete vpc-demo-subnet2 --region {{{project_0.default_region_2 | REGION 2}}} gcloud compute networks subnets delete on-prem-subnet1 --region {{{ project_0.default_region | "REGION" }}}

Menghapus VPC

• Ketik perintah berikut untuk menghapus VPC. Ketik "y" untuk mengonfirmasi tiap tindakan saat diminta:

gcloud compute networks delete vpc-demo gcloud compute networks delete on-prem

Tugas 9: Tinjauan

Di lab ini, Anda telah mengonfigurasi gateway VPN dengan ketersediaan tinggi (HA). Anda juga telah mengonfigurasi perutean dinamis dengan tunnel VPN dan mengonfigurasi mode perutean dinamis global. Terakhir, Anda telah memverifikasi bahwa VPN dengan ketersediaan tinggi (HA) sudah dikonfigurasi dan berfungsi dengan benar.

Mengakhiri lab Anda

Setelah Anda menyelesaikan lab, klik Akhiri Lab. Google Cloud Skills Boost menghapus resource yang telah Anda gunakan dan membersihkan akun.

Anda akan diberi kesempatan untuk menilai pengalaman menggunakan lab. Pilih jumlah bintang yang sesuai, ketik komentar, lalu klik Submit.

Makna jumlah bintang:

• 1 bintang = Sangat tidak puas
• 2 bintang = Tidak puas
• 3 bintang = Netral
• 4 bintang = Puas
• 5 bintang = Sangat puas

Anda dapat menutup kotak dialog jika tidak ingin memberikan masukan.

Untuk masukan, saran, atau koreksi, gunakan tab Support.

Hak cipta 2020 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.