GCP:在没有BGP的IKEv1 VPN上路由到ip别名

Question

我在一个子网和区域中运行了一个私有GKE集群。集群中的节点利用子网的10.60.0.0/16的CIDR。该集群对其豆荚和服务有两个二级CIDR范围(分别为172.24.0.0/19和172.24.32.0/20 )。

On我有一个梅拉基路由器与一个建立的IKEv1隧道到单个子网.路由器不支持IKEv2，我目前无法配置BGP (不过，我认为这可能是一种可能性，并正在与我们的代表联系)。我相信Meraki期望通过指定多个流量选择器来处理这种情况，但是GCP不支持静态路由，因为它违背了标准。我能够使用子网中的节点内部I连接到节点，但我无法从on连接到二级CIDR中运行的任何豆荚或服务。

我对这个领域非常缺乏经验，所以我对任何不一致之处表示歉意，但以下是我迄今为止所尝试过的，我的想法可能会奏效：

1. 我已经尝试了专门针对GKE服务CIDR的第二个VPN连接。我可以连接隧道，但仍然不能连接到服务。我使用一个terraform模块1创建了这个虚拟专用网，该模块也用于我的其他虚拟专用网。不确定我是否需要添加防火墙规则？
2. 如果我能让我的路由器支持BGP，那么从我在Google指南2中可以看到的内容来看，这可能是可行的。您甚至可以在IKEv1上使用BGP吗？
3. 使用单个VPN，创建运行在子网中的内部负载均衡器。然而，这将有一些缺点，并将增加复杂性，我认为。
4. 如果我不能让我的路由器支持BGP，这是唯一的办法，使这个工作，我可以拆分一个单独的VPN服务器在prem上，如果我需要。不过，我不想这么做。

参考文献：

1. https://registry.terraform.io/modules/terraform-google-modules/vpn/google/0.3.0
2. https://cloud.google.com/vpc/docs/alias-ip#example_配置_容器_使用_别名_ip地址_范围

Answer 1

您使用哪种VPN隧道选项？您尝试过基于路由的VPN吗？

GCP中只支持用于IKEv2 .As的多个流量选择器，您正在使用IKEv1，我建议您配置基于路由的虚拟专用网。请记住，可能存在允许从ingress到GCP的通信的防火墙规则，您可以在GCP中添加防火墙规则，以允许从您的on进入从GKE到主和次CIDR范围的流量。

如果您创建了基于策略的VPN或基于路由的VPN，并且希望在创建它之后编辑任何流量选择器。您需要删除VPN隧道，然后重新创建它，请检查下一个链接关于流量选择器的注意事项。

关于您关于IKEv1隧道中的BGP的问题。GCP支持带IKEv1的BGP，但首选是IKEv2。

如果您仍然有问题到达吊舱，我建议您检查您的VPN隧道的BGP选项。正如您所提到的，Alias (主和次要CIDR范围)地址可以由云路由器向通过VPN连接的现场网络宣布。如果云路由器配置了Cloud，它将自动将次要子网范围172.24.0.0/19和172.24.32.0/20发布到您的现场VPN设备上。