Tweet
Cấu hình Site-to-Site VPN Classic trong GCP – Hiểu từ gốc tới ngọn
Trong thực tế triển khai hệ thống hybrid cloud, nhiều doanh nghiệp cần kết nối on-premises datacenter với tài nguyên chạy trên Google Cloud Platform (GCP). Giải pháp phổ biến là sử dụng Site-to-Site VPN dựa trên IPsec.
Trong GCP, bạn có 2 kiến trúc VPN chính:
Bài viết này tập trung vào Classic VPN để bạn dễ làm quen trước.
Các bước triển khai Classic VPN trong GCP
Bước 1 – Cấu hình VPN Gateway
Trong GCP Console, truy cập Hybrid Connectivity > VPN. Chọn Classic VPN để bắt đầu wizard tạo kết nối.
Bước 2 – Tạo địa chỉ IP công cộng
VPN Gateway cần một địa chỉ IP công cộng. Bạn có thể:
Bước 3 – Cấu hình đường hầm IPsec
Trong mục Tunnels, bạn nhập:
Sau khi bấm Create, GCP sẽ dựng cả Gateway lẫn Tunnel.
Bước 4 – Cấu hình thiết bị biên on-premises
Khác với AWS/Azure, GCP không cung cấp file cấu hình tự động cho Classic VPN.
Bạn phải tự viết cấu hình cho thiết bị VPN (ví dụ router Cisco IOS XE hoặc firewall ASA) dựa trên tài liệu chính thức:
Trong cấu hình on-premises, bạn dùng:
Kiến thức mở rộng
Câu hỏi ôn tập
Hỏi: Một VPN Gateway có tính sẵn sàng cao (HA VPN) trong GCP có bao nhiêu giao diện với địa chỉ IP công cộng để thiết lập IPsec tunnels?
A. 8
B. 4
C. 1
D. 2
Đáp án: D. 2
Trong thực tế triển khai hệ thống hybrid cloud, nhiều doanh nghiệp cần kết nối on-premises datacenter với tài nguyên chạy trên Google Cloud Platform (GCP). Giải pháp phổ biến là sử dụng Site-to-Site VPN dựa trên IPsec.
Trong GCP, bạn có 2 kiến trúc VPN chính:
- Classic VPN – đơn giản, dễ cấu hình, nhưng chỉ hỗ trợ IPv4 và static routing.
- HA VPN – hiện đại hơn, hỗ trợ BGP và SLA 99,99%.
Bài viết này tập trung vào Classic VPN để bạn dễ làm quen trước.
Các bước triển khai Classic VPN trong GCP
Bước 1 – Cấu hình VPN Gateway
Trong GCP Console, truy cập Hybrid Connectivity > VPN. Chọn Classic VPN để bắt đầu wizard tạo kết nối.
- Đặt tên dễ nhớ cho Gateway.
- Chọn Region triển khai.
- Chọn VPC network mà Gateway sẽ kết nối vào (đây là mạng chứa các VM/Service bạn muốn truy cập qua VPN).
Bước 2 – Tạo địa chỉ IP công cộng
VPN Gateway cần một địa chỉ IP công cộng. Bạn có thể:
- Dự phòng trước (reserved).
- Hoặc tạo mới ngay trong wizard.
Bước 3 – Cấu hình đường hầm IPsec
Trong mục Tunnels, bạn nhập:
- Tên thân thiện cho tunnel.
- Địa chỉ IP công cộng của thiết bị VPN on-premises (thường là firewall hoặc router).
- Phiên bản IKE (v1/v2) và Pre-Shared Key (có thể tự nhập hoặc để Google sinh tự động).
- Chọn chế độ Route-based và khai báo các prefix mạng nội bộ để định tuyến tĩnh.
Sau khi bấm Create, GCP sẽ dựng cả Gateway lẫn Tunnel.
Bước 4 – Cấu hình thiết bị biên on-premises
Khác với AWS/Azure, GCP không cung cấp file cấu hình tự động cho Classic VPN.
Bạn phải tự viết cấu hình cho thiết bị VPN (ví dụ router Cisco IOS XE hoặc firewall ASA) dựa trên tài liệu chính thức:
Trong cấu hình on-premises, bạn dùng:
- Địa chỉ IP công cộng mà GCP cấp cho VPN Gateway làm đích tunnel.
- PSK đã định nghĩa hoặc được GCP sinh ra để đặt trong cấu hình IKE.
Kiến thức mở rộng
- Classic VPN phù hợp cho lab, PoC, hoặc các kết nối đơn giản.
- Nếu cần độ ổn định cao, redundancy, hoặc dynamic routing (BGP) → bạn nên chọn HA VPN.
- Một HA VPN Gateway trong GCP có hai giao diện với hai địa chỉ IP công cộng để triển khai tunnel dự phòng.
Câu hỏi ôn tập
Hỏi: Một VPN Gateway có tính sẵn sàng cao (HA VPN) trong GCP có bao nhiêu giao diện với địa chỉ IP công cộng để thiết lập IPsec tunnels?
A. 8
B. 4
C. 1
D. 2
Đáp án: D. 2
Attached Files