在当今企业数字化转型的浪潮中，跨地域网络连接成为关键基础设施，谷歌云平台（Google Cloud Platform, GCP）作为全球领先的云服务商之一，提供了稳定、安全且可扩展的虚拟私有网络（VPC）服务，对于希望在本地数据中心与GCP VPC之间建立加密通信的企业用户，配置IPsec类型的站点到站点（Site-to-Site）VPN是标准方案，本文将详细介绍如何使用Google Cloud Console和gcloud命令行工具，在GCP上部署并配置一个基于IPsec的站点到站点VPN网关,并附带完整的配置代码示例。

确保你已创建一个GCP项目，并启用Compute Engine API、Cloud DNS API以及VPC Network API,你需要准备以下资源：

• 一个位于GCP的VPC网络（例如名为my-vpc）
• 一个静态公网IP地址（用于VPN网关入口）
• 本地网络设备（如Cisco ASA或Linux IPsec客户端）支持IKEv2协议
• 本地网络的公网IP地址（即你的防火墙/路由器公网IP）

第一步：创建VPC和子网
使用gcloud命令行工具创建一个VPC并添加子网：

gcloud compute networks create my-vpc \
    --subnet-mode=auto
gcloud compute networks subnets create us-central1-subnet \
    --network=my-vpc \
    --region=us-central1

第二步：分配静态IP地址给VPN网关

gcloud compute addresses create vpn-gateway-ip \
    --region=us-central1

第三步：创建IPsec隧道（通过gcloud命令或Console界面）
使用gcloud命令创建IPsec隧道时，需提供对端信息（本地网络的公网IP）、预共享密钥（PSK），以及加密参数,以下是典型配置脚本片段：

gcloud compute vpn-tunnels create my-vpn-tunnel \
    --peer-address=192.0.2.100 \              # 本地网络公网IP
    --region=us-central1 \
    --ike-version=2 \
    --shared-secret=MyStrongPSK123! \
    --network=my-vpc \
    --local-traffic-selector=10.0.0.0/8 \
    --remote-traffic-selector=192.168.0.0/16

• --peer-address 是你本地防火墙或路由器的公网IP；
• --shared-secret 是双方协商用的预共享密钥（必须一致）；
• --local-traffic-selector 表示GCP侧要保护的数据流；
• --remote-traffic-selector 表示本地网络需要访问的子网。

第四步：设置路由规则
为了让流量正确导向VPN网关,需创建一条自定义路由：

gcloud compute routes create vpn-route \
    --network=my-vpc \
    --destination-range=192.168.0.0/16 \
    --next-hop-vpn-tunnel=my-vpn-tunnel

第五步：验证状态
通过控制台查看vpn-tunnels的状态是否为“READY”，同时检查日志和健康检查结果，若一切正常,本地网络即可通过IPsec隧道安全访问GCP内的资源。

补充说明：如果使用OpenSwan、StrongSwan等开源IPsec软件配置本地端，务必确保IKEv2协议版本兼容，并正确设置SA生命周期、加密算法（如AES-GCM）及DH组，建议启用日志监控和警报机制,以便及时发现连接异常。

借助GCP提供的原生IPsec功能，你可以快速构建高可用、低延迟的混合云网络架构，本文提供的代码片段覆盖了从网络初始化到隧道建立的全流程，适合企业IT团队直接集成至自动化部署流程（如Terraform或CI/CD管道）,从而提升运维效率与安全性。