Google，GC站点到站点VPN，OpenVPN，不同的子网:连接A到B的最佳方式？

Question

抱歉，标题不太好.

我在A区有一个Google (GC) VPC子网10.1.1.0/24，它的OpenVPN访问服务器位于10.1.1.2。OpenVpn访问服务器为云之外的客户端提供远程访问。客户端从192.168.3.0/24子网分配IP，路由方法可以是NAT，也可以是路由(Open访问服务器设置)。

我在B区有一个GC VPN网关(经典)，在C区有另一个GC VPN网关(经典)。

从远程站点到GC VPN网关的隧道是由远程站点“指定”的，即路由方法是基于策略的，远程站点决定云(本地)子网必须是什么。所以：

从远程站点B到GC VPN网关B的隧道策略是10.2.2.0/24 (远程) <-> 172.18.22.0/24

从远程侧C到GC VPN网关C的隧道策略是10.3.3.0/24 (远程) <-> 172.18.23.0/24

因此，如果交通要前往远程B/站点C，则需要在172.18.22.0/24 / 172.18.23.0/24内分别有一个源。

那么，问题是，远程客户端访问远程网络B和C的最佳方式是什么？我考虑过在子网B和C中引入运行OpenVPN客户端的实例，这些实例可以通过NAT提供对远程网络的访问。但我还需要远程网络才能到达子网A。我已经考虑将A、B和C放在不同的VPC中，这样OpenVPN访问服务器就可以有到每个VPC的网络接口，并通过NAT路由通信。这有一些规模问题..。实例仅限于8个接口。另外，每个子网/隧道必须有一个GC。我相信还有其他问题我还没有考虑过。老实说，真是一团糟。不幸的是，我不能请求与远程站点(B和C)不同的路由方法，我也不能为基于策略的隧道的云端请求特定的子网。

任何帮助都将不胜感激！

Answer 1

所描述的问题不清楚所尝试连接的类型或所需流量的来源、目的地和方向，这导致我假设以下情况-

设想1：

(i)上述GCP子网位于同一个VPC中，并试图从远程客户端和远程站点连接。

(2)通过OpenVPN连接连接到子网A的远程客户端。

(iii)分别连接到子网B&C的远程站点B和C。

(4)试图连接到B& C子网的远程客户端。

在这种情况下，您必须确保允许网络内部通信的防火墙规则具有以下配置-

方向-对匹配的操作- Allow IP范围- 您的GCP的IP范围协议和端口- tcp:0-65535 Udp:0-65535 Icmp优先级-65534 强制执行

此防火墙规则将允许您的VPC内子网之间的通信流量，而不考虑区域，这将方便您设置远程客户端可以通过子网A到达子网B或子网C的位置，而远程prem站点可以通过子网B或子网C到达子网A。

设想2：

(i)所述的GCP子网位于来自远程客户端&远程站点的相同不同的VPC和连接中。

(2)通过OpenVPN连接连接到子网A的远程客户端。

(iii)分别连接到子网B&C的远程站点B和C。

(4)试图连接到B& C子网的远程客户端。

在这种情况下，首先需要使用以下任何GCP服务连接VPCs

VPC对等- VPC网络对等使您能够连接VPC网络，以便不同VPC网络中的工作负载能够在内部进行通信。有关创建VPC peering - https://cloud.google.com/vpc/docs/using-vpc-peering的说明，请参阅此处。 云VPN --虽然主要用于将现场网络与GCP VPC连接起来，但云VPN也可以用来连接不同的GCP VPC。有关在GCP VPCs https://cloud.google.com/network-connectivity/docs/vpn/how-to/creating-ha-vpn2之间建立VPN连接的说明，请参阅此处。

通过连接VPCs，您的远程客户端可以通过子网A到达子网B或子网C，而您的远程在线站点可以通过子网B或子网C到达子网A。

请看看这些场景中的任何一个是否符合您正在使用的要求，以及补救是否适合您的需要。如果没有，请提供任何缺失元素的详细信息。