我们与合作伙伴建立了 GCP VPN,但连接出现了一些问题。VPN 会定期中断,到目前为止,我们发现的唯一解决方法是强制重新协商两个 IPSec 阶段。
目前,我们必须要求我们的合作伙伴为我们做这件事,因为我们找不到一个好的方法来触发我们这边的重新谈判,我们有办法吗?
我尝试过销毁并重新创建 VPN。我们将配置存储在 terraform 中,通过 terraform 重新创建具有相同名称的 VPN 似乎实际上不会导致 VPN 被销毁。使用不同名称重新创建它很麻烦,因为它需要更改我们的 terraform 配置,然后必须将其提交给 git。
答案1
回答您的主要问题,您无法重新启动 Cloud VPN。本文介绍了 Cloud VPN 启动并运行时可以执行的操作关联
无法强制重新协商,因为这是由 GCP 端自动完成的,并且它会不断重试直到成功。
然而,我们首先需要了解的是为什么 VPN 无法顺利重新协商。为此,您可以查看Stackdriver 日志查看崩溃日志报告。使用该报告,您将更好地了解需要修复的内容。
实施 VPN 时最重要的部分之一是确保 VPN 配置正确并遵循我们的互操作性指南。
如果需要,有两种方法可以实现 VPN 故障转移,第一种方法称为冗余传统 VPN 配置,第二种方法是 HA VPN。但是,建议使用高可用性 VPN 隧道。这是使用隧道对创建故障转移的设计。BGP 配置文档可以找到这里。