在现代企业网络架构中,安全可靠的远程访问至关重要,谷歌云平台(Google Cloud Platform, GCP)提供了强大的虚拟私有网络(VPC)服务和IPsec协议支持,帮助用户构建跨地域、高可用的站点到站点(Site-to-Site)或远程访问(Remote Access)型VPN连接,本文将详细介绍如何使用GCP控制台和命令行工具(gcloud CLI)快速部署一个基于IPsec的站点到站点VPN网关,并提供完整的代码示例和配置逻辑。
确保你已在GCP中创建了一个VPC网络,例如名为my-vpc,并配置了子网(如us-central1区域的subnet-1),你需要准备两台虚拟机作为本地网络端点(假设为本地数据中心服务器),以及一台运行在GCP上的实例用于测试连通性。
第一步:创建静态IP地址
gcloud compute addresses create vpn-gateway-ip \ --region=us-central1 \ --project=my-project
此命令为你的GCP侧VPN网关分配一个静态公网IP,确保其不会因重启而改变。
第二步:创建IPsec加密隧道配置
使用以下脚本定义IPsec参数:
gcloud compute vpn-tunnels create my-vpn-tunnel \ --peer-address=203.0.113.10 \ # 本地数据中心公网IP --ike-version=2 \ --shared-secret=MySecureKey123! \ --region=us-central1 \ --project=my-project
--peer-address是你本地网络的公网IP,--shared-secret是预共享密钥(PSK),必须与本地设备一致。
第三步:配置路由表与防火墙规则
为了允许IPsec流量通过,需添加防火墙规则:
gcloud compute firewall-rules create allow-ike \ --direction=INGRESS \ --priority=1000 \ --network=my-vpc \ --action=ALLOW \ --rules=tcp:500,tcp:4500,udp:500,udp:4500 \ --source-ranges=203.0.113.10/32
此规则允许来自本地数据中心的IKE协议通信(UDP 500、UDP 4500、TCP 500、TCP 4500)。
第四步:创建路由条目
将目标子网通过VPN隧道转发:
gcloud compute routes create route-to-local-network \ --network=my-vpc \ --destination-range=192.168.1.0/24 \ --next-hop-vpn-tunnel=my-vpn-tunnel \ --region=us-central1
这里假设本地网络为168.1.0/24,流量将被引导至该VPN隧道。
第五步:验证与调试
使用以下命令检查隧道状态:
gcloud compute vpn-tunnels describe my-vpn-tunnel \ --region=us-central1 \ --project=my-project
输出应包含status: ACTIVE表示连接成功,若失败,请检查PSK是否匹配、防火墙是否放行、对端设备是否正确配置。
建议在本地路由器(如Cisco ASA、FortiGate或Linux strongSwan)上配置相同参数(Peer IP、PSK、IKE版本等),确保两端协商一致,整个过程可通过自动化脚本批量部署,提升运维效率。
通过以上代码和步骤,你可以快速在GCP上搭建一个稳定、安全的IPsec站点到站点VPN,实现多云或多数据中心之间的安全互通,这不仅适用于企业混合云场景,也适合开发团队进行安全测试环境的隔离部署。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
