Halaman ini menjelaskan jaringan Virtual Private Cloud (VPC) yang didukung dan opsi perutean.
Untuk mengetahui definisi istilah-istilah yang digunakan di halaman ini, lihat Istilah penting.
Jaringan yang didukung
Cloud VPN mendukung jaringan VPC mode kustom, jaringan VPC mode otomatis, dan jaringan lama. Namun, Anda harus mempertimbangkan praktik terbaik berikut:
Gunakan jaringan VPC sebagai pengganti jaringan lama. Jaringan lama tidak mendukung subnet; seluruh jaringan menggunakan satu rentang alamat IP. Jaringan lama tidak dapat dikonversi menjadi jaringan VPC.
Gunakan jaringan VPC mode kustom. Jaringan VPC dalam mode kustom memberi Anda kontrol penuh atas berbagai alamat IP yang digunakan oleh subnetnya.
Jika Anda menggunakan Cloud VPN untuk menghubungkan dua jaringan VPC, setidaknya satu jaringan harus berupa jaringan VPC mode kustom. Jaringan VPC mode otomatis menggunakan rentang alamat IP internal yang sama untuk subnetnya.
injau pertimbangan untuk jaringan VPC mode otomatis sebelum menggunakannya dengan Cloud VPN. Jaringan VPC mode otomatis akan secara otomatis membuat subnet di setiap region Google Cloud, termasuk membuat subnet baru di region baru saat ditambahkan secara otomatis Hindari penggunaan alamat IP internal dari rentang yang digunakan oleh jaringan VPC mode otomatis di jaringan yang terhubung dengan tunnel Cloud VPN.
Opsi perutean untuk tunnel VPN
VPN klasik mendukung opsi perutean statis untuk tunnel VPN, sedangkan VPN dengan ketersediaan tinggi (HA) mendukung opsi perutean dinamis. Anda dapat menggunakan tunnel VPN Klasik yang menggunakan perutean dinamis hanya jika gateway VPN Klasik terhubung ke software gateway VPN yang berjalan di dalam VM Compute Engine.
Perutean dinamis menggunakan Border Gateway Protocol (BGP).
Perutean dinamis (BGP)
Perutean dinamis menggunakan Cloud Router untuk mengelola pertukaran rute secara otomatis dengan menggunakan BGP. Antarmuka BGP pada Cloud Router di region yang sama dengan tunnel Cloud VPN yang sesuai mengelola pertukaran ini. Cloud Router menambahkan dan menghapus rute tanpa mengharuskan tunnel dihapus dan dibuat ulang.
Mode perutean dinamis pada jaringan VPC Anda mengontrol perilaku semua Cloud Routernya. Mode ini menentukan apakah rute yang dipelajari dari jaringan peer Anda diterapkan ke resource Google Cloud di region yang sama dengan tunnel VPN, atau apakah rute tersebut diterapkan di semua region. Anda mengontrol rute yang diberitahukan oleh gateway atau router peer Anda.
Mode perutean dinamis juga menentukan apakah rute subnet dari region tunnel saja atau semua region yang dibagi dengan gateway atau router peer Anda. Selain rute subnet ini, Anda dapat mengonfigurasi pemberitahuan rute kustom di Cloud Router.
Pemilihan rute statis
Tunnel VPN klasik mendukung opsi perutean statis berbasis kebijakan dan berbasis rute. Pertimbangkan opsi pemilihan rute statis hanya jika Anda tidak dapat menggunakan perutean dinamis (BGP) atau VPN dengan ketersediaan tinggi (HA).
Pemilihan rute berbasis kebijakan. Rentang IP lokal (sisi kiri) dan rentang IP jarak jauh (sisi kanan) ditentukan sebagai bagian dari proses pembuatan tunnel.
VPN berbasis rute. Saat menggunakan Google Cloud Console untuk membuat VPN berbasis rute, Anda hanya menentukan daftar rentang IP jarak jauh. Rentang tersebut hanya digunakan untuk membuat rute di jaringan VPC Anda ke resource peer.
Anda dapat menemukan informasi selengkapnya tentang kedua opsi perutean statis ini di bagian berikutnya.
Pemilih traffic
Pemilih traffic menentukan kumpulan rentang alamat IP atau blok CIDR yang digunakan untuk membuat tunnel VPN. Rentang ini digunakan sebagai bagian dari negosiasi IKE untuk tunnel. Beberapa literatur menyebut pemilih traffic sebagai domain enkripsi.
Ada dua jenis pemilih traffic:
Pemilih traffic lokal menentukan kumpulan rentang IP lokal (blok CIDR) dari perspektif gateway VPN yang memunculkan tunnel VPN. Untuk tunnel Cloud VPN, pemilih traffic lokal menentukan kumpulan CIDR subnet primer dan sekunder untuk subnet di jaringan VPC, yang mewakili bagian kiri sisi terowongan.
Pemilih traffic jarak jauh menentukan kumpulan rentang IP jarak jauh (blok CIDR) dari perspektif gateway VPN yang memunculkan tunnel VPN. Untuk tunnel Cloud VPN, pemilih traffic jarak jauh adalah sisi kanan atau jaringan peer.
Pemilih traffic adalah bagian intrinsik dari tunnel VPN, yang digunakan untuk membuat penukar IKE. Jika CIDR lokal atau jarak jauh perlu diubah, tunnel Cloud VPN dan tunnel pasangan pembandingnya harus dihancurkan dan dibuat ulang.
Opsi perutean dan pemilih traffic
Nilai rentang IP (blok CIDR) untuk pemilih traffic lokal dan jarak jauh bergantung pada opsi perutean yang digunakan oleh tunnel Cloud VPN.
| Tunnel VPN dengan ketersediaan tinggi (HA) | |||||
|---|---|---|---|---|---|
| Opsi perutean terowongan |
Pemilih traffic lokal |
Pemilih traffic jarak jauh |
Merutekan ke jaringan VPC |
Merutekan ke jaringan peer |
|
| Memerlukan perutean dinamis (BGP) |
Selalu0.0.0.0/0 untuk IPv4atau 0.0.0.0/0,::/0 untuk IPv4 dan IPv6 |
Selalu0.0.0.0/0 untuk IPv4atau 0.0.0.0/0,::/0 untuk IPv4 dan IPv6 |
Kecuali diubah oleh pemberitahuan kustom, Cloud Router yang mengelola antarmuka BGP untuk tunnel Cloud VPN membagikan rute ke subnet di jaringan VPC sesuai dengan mode perutean dinamis dari jaringan serta kuota dan batas untuk Cloud Router. | Dengan tunduk pada pembatasan rute kustom serta kuota dan batas untuk Cloud Router, Router Cloud yang mengelola antarmuka BGP untuk Tunnel Cloud VPN mempelajari rute yang dikirim ke sana oleh gateway VPN peer, dan menambahkannya ke jaringan VPC sebagai rute dinamis kustom. | |
| Tunnel VPN klasik | |||||
| Opsi perutean terowongan |
Pemilih traffic lokal |
Pemilih traffic jarak jauh |
Merutekan ke jaringan VPC |
Merutekan ke jaringan peer |
|
| Perutean dinamis (BGP) | Selalu0.0.0.0/0 |
Selalu0.0.0.0/0 |
Kecuali diubah oleh pemberitahuan kustom, Cloud Router yang mengelola antarmuka BGP untuk tunnel Cloud VPN, membagikan rute ke subnet di jaringan VPC sesuai dengan mode perutean dinamis jaringan serta kuota dan batas untuk Cloud Router. | Tunduk pada pembatasan rute kustom serta kuota dan batas untuk Cloud Router, Cloud Router yang mengelola antarmuka BGP untuk tunnel Cloud VPN mempelajari rute yang dikirim ke sana oleh gateway VPN peer dan menambahkannya ke jaringan VPC sebagai rute dinamis kustom. | |
| Pemilihan rute berbasis kebijakan | Dapat Dikonfigurasi. Lihat pemilih traffic dan tunnel berbasis kebijakan. |
Wajib. Lihat pemilih traffic dan tunnel berbasis kebijakan. |
Anda harus membuat dan mengelola rute ke subnet di jaringan VPC secara manual pada router peer. | Jika Anda menggunakan Google Cloud Console untuk membuat tunnel VPN berbasis
kebijakan, rute statis kustom
akan dibuat secara otomatis. Jika menggunakan gcloud CLI untuk membuat
tunnel, Anda harus menggunakan perintah gcloud tambahan untuk membuat
rute. Untuk mengetahui petunjuknya, lihat
Membuat
VPN Klasik menggunakan perutean statis.
|
|
| VPN berbasis rute | Selalu0.0.0.0/0 |
Selalu0.0.0.0/0 |
Anda harus membuat dan mengelola rute ke subnet di jaringan VPC secara manual pada router peer. | Jika Anda menggunakan Google Cloud Console untuk membuat tunnel VPN berbasis
rute, rute statis kustom akan dibuat secara otomatis. Jika menggunakan
gcloud CLI untuk membuat
tunnel, Anda harus menggunakan perintah gcloud tambahan untuk membuat
rute. Untuk mengetahui petunjuknya, lihat
Membuat
VPN Klasik menggunakan perutean statis.
|
|
Tunnel berbasis kebijakan dan pemilih traffic
Bagian ini menjelaskan pertimbangan khusus untuk pemilih traffic saat Anda membuat tunnel VPN Klasik berbasis kebijakan. Kebijakan ini tidak berlaku untuk jenis VPN Klasik atau tunnel VPN dengan ketersediaan tinggi lainnya.
Anda dapat memilih untuk menentukan pemilih traffic lokal tunnel Cloud VPN berbasis kebijakan saat membuatnya:
Pemilih traffic lokal kustom. Anda dapat menentukan pemilih traffic lokal sebagai kumpulan subnet di jaringan VPC atau kumpulan alamat IP internal yang mencakup rentang IP subnet yang diinginkan dalam jaringan VPC. IKEv1 membatasi pemilih traffic lokal ke CIDR tunggal.
Jaringan VPC mode kustom. Tentukan pemilih traffic lokal kustom yang terdiri dari rentang alamat IP internal.
Jaringan VPC mode otomatis. Jika tidak ditentukan, pemilih traffic lokal adalah rentang IP utama (blok CIDR) dari subnet yang dibuat secara otomatis di region yang sama dengan tunnel Cloud VPN. Jaringan VPC mode otomatis memiliki satu subnet per region dengan rentang IP yang ditentukan dengan baik.
Jaringan lama. Jika tidak ditentukan, pemilih traffic lokal akan ditetapkan sebagai keseluruhan rentang alamat IP RFC 1918 jaringan lama.
Tentukan pemilih traffic jarak jauh dari tunnel Cloud VPN berbasis kebijakan saat Anda membuatnya. Jika Anda menggunakan Google Cloud Console untuk membuat tunnel Cloud VPN, rute statis kustom yang tujuannya sesuai dengan CIDR pemilih traffic jarak jauh akan dibuat secara otomatis. IKEv1 membatasi pemilih traffic jarak jauh untuk satu CIDR. Untuk mengetahui petunjuknya, lihat Membuat VPN Klasik menggunakan pemilihan rute statis.
Pertimbangan penting untuk pemilih traffic
Sebelum Anda membuat tunnel berbasis kebijakan Cloud VPN, pertimbangkan hal berikut:
Sebagian besar gateway VPN hanya meneruskan traffic melalui tunnel VPN jika alamat IP sumber paket sesuai dengan pemilih traffic lokal tunnel, dan jika alamat IP tujuan paket sesuai dengan pemilih traffic jarak jauh tunnel. Beberapa perangkat VPN tidak menerapkan persyaratan ini.
Cloud VPN mendukung CIDR pemilih traffic
0.0.0.0/0(alamat IP apa pun). Untuk mengetahui apakah gateway VPN peer Anda berfungsi dengan baik, bacalah dokumentasi yang disertakan dengan gateway VPN peer. Membuat tunnel VPN berbasis kebijakan dengan kedua pemilih traffic yang ditetapkan ke0.0.0.0/0secara fungsional setara dengan membuat VPN berbasis rute.Tinjau beberapa CIDR per pemilih traffic dengan cermat untuk mempelajari cara Cloud VPN menerapkan protokol IKEv1 dan IKEv2.
Cloud VPN tidak mengizinkan pengeditan pemilih traffic setelah Anda membuat VPN. Untuk mengubah pemilih traffic lokal atau jarak jauh untuk tunnel Cloud VPN, Anda harus menghapus tunnel, lalu membuat ulang tunnel tersebut. Namun, Anda tidak perlu menghapus gateway Cloud VPN
Jika mengonversi jaringan VPC mode otomatis menjadi jaringan VPC mode kustom, Anda mungkin perlu menghapus dan membuat ulang tunnel Cloud VPN (tetapi bukan gateway). Hal ini dapat terjadi jika Anda menambahkan subnet kustom, menghapus subnet yang dibuat secara otomatis, atau mengubah rentang IP sekunder dari subnet apa pun. Hindari mengganti mode jaringan VPC yang sudah memiliki tunnel Cloud VPN. Sebagai saran, tinjau pertimbangan untuk jaringan VPC mode otomatis.
Untuk perilaku VPN yang konsisten dan dapat diprediksi, lakukan hal berikut:
Buat pemilih traffic lokal dan jarak jauh sespesifik mungkin.
Buat pemilih traffic lokal Cloud VPN sama dengan pemilih traffic jarak jauh yang dikonfigurasi untuk tunnel yang sesuai di gateway VPN peer.
Buat pemilih traffic jarak jauh Cloud VPN sama dengan pemilih traffic lokal yang dikonfigurasi untuk tunnel terkait di gateway VPN lokal.
Lebih dari satu CIDR per pemilih traffic
Saat membuat tunnel VPN Klasik berbasis kebijakan dan menggunakan IKEv2, Anda dapat menentukan lebih dari satu CIDR per pemilih traffic. Cloud VPN selalu menggunakan satu Asosiasi Keamanan Turunan (SA), apa pun versi IKE-nya.
Tabel berikut merangkum dukungan Cloud VPN untuk beberapa CIDR per pemilih traffic di tunnel VPN berbasis kebijakan.
| Versi IKE | Lebih dari satu CIDR per pemilih traffic |
|---|---|
| IKEv1 | Tidak Protokol IKEv1 hanya mendukung satu CIDR per SA Turunan sebagaimana didefinisikan dalam RFC 2407 dan RFC 2409. Karena Cloud VPN memerlukan satu SA Turunan per tunnel VPN, saat menggunakan IKEv1, Anda hanya dapat menyediakan satu CIDR untuk pemilih traffic lokal dan satu CIDR untuk pemilih traffic jarak jauh. Cloud VPN tidak mendukung pembuatan tunnel VPN menggunakan IKEv1 dengan beberapa SA Turunan, masing-masing dengan satu CIDR. |
| IKEv2 | Ya, jika kondisi berikut terpenuhi:
Praktik terbaiknya adalah menggunakan 30 CIDR atau kurang per pemilih traffic sehingga Anda tidak membuat paket proposal IKE yang melebihi MTU maksimum. |
Strategi pemilih traffic
Pertimbangkan strategi berikut jika gateway VPN lokal Anda membuat beberapa SA Turunan per tunnel VPN, atau jika beberapa CIDR per pemilih traffic akan menyebabkan proposal IKE untuk IKEv2 melebihi 1.460 byte (untuk detailnya, lihat Opsi perutean dan pemilih traffic):
Gunakan perutean dinamis untuk tunnel VPN. Jika gateway VPN peer Anda mendukung BGP, konfigurasikan pemilih traffic lokal dan jarak jauh untuk tunnel VPN guna mengizinkan alamat IP apa pun. Gunakan
0.0.0.0/0hanya untuk IPv4 atau gunakan0.0.0.0/0,::/0untuk traffic IPv4 dan IPv6. Rute dipertukarkan secara otomatis antara gateway VPN peer dan Cloud Router yang terkait dengan tunnel Cloud VPN Anda. Jika Anda dapat menggunakan perutean dinamis, pertimbangkan VPN dengan ketersediaan tinggi (HA).Gunakan pemilih traffic CIDR tunggal yang luas dan perutean tunnel statis:
Menggunakan VPN berbasis rute. Kedua pemilih traffic adalah
0.0.0.0/0menurut definisi untuk VPN berbasis rute. Anda dapat membuat rute yang lebih spesifik daripada pemilih traffic.Gunakan pemilihan rute berbasis kebijakan dan konfigurasikan pemilih traffic lokal dan jarak jauh seluas mungkin. Untuk tunnel Cloud VPN berbasis kebijakan, Anda dapat membuat rute ke jaringan lokal di jaringan VPC yang tujuannya lebih spesifik daripada blok CIDR yang ditentukan dalam pemilih traffic jarak jauh. Gunakan gcloud CLI untuk membuat rute secara terpisah dari tunnel VPN dengan mengikuti langkah-langkah di bagian Membuat VPN klasik menggunakan perutean statis.
Gunakan pemilihan rute berbasis kebijakan untuk membuat beberapa tunnel Cloud VPN sehingga setiap tunnel hanya memiliki satu blok CIDR untuk pemilih traffic lokal dan satu blok CIDR untuk pemilih traffic jarak jauhnya. Konfigurasikan tunnel pasangan lokal dengan cara serupa. Cloud VPN mendukung beberapa tunnel per gateway. Namun, menggunakan beberapa tunnel memiliki beberapa implikasi:
- Gateway VPN peer Anda harus menawarkan alamat IP eksternal terpisah yang dapat terhubung dengan setiap tunnel Cloud VPN. Tunnel di gateway VPN Klasik yang sama harus terhubung ke alamat IP gateway peer yang unik. Gateway VPN peer Anda mungkin juga mengharuskan tunnel-nya terhubung ke alamat IP yang unik. Dalam beberapa situasi, Anda perlu membuat gateway VPN Cloud terpisah per tunnel Cloud VPN.
- Saat Anda menggunakan Google Cloud Console untuk membuat tunnel Cloud VPN berbasis rute atau berbasis kebijakan, rute ke jaringan peer akan otomatis dibuat sebagai tambahan dari tunnel. Jika rute dibuat secara otomatis untuk beberapa tunnel VPN yang masing-masingnya menggunakan pemilih traffic jarak jauh yang sama, seperti halnya jika Anda membuat VPN berbasis rute, Anda dapat memiliki beberapa rute di jaringan VPC, semua dengan tujuan identik tetapi hop berikutnya yang berbeda. Hal ini dapat menyebabkan perilaku yang tidak dapat diprediksi atau tidak terduga karena traffic dikirim ke tunnel VPN sesuai dengan penerapan dan urutan rute. Jika Anda tidak menggunakan perutean tunnel dinamis (BGP), buat dan tinjau rute statis di jaringan VPC dan jaringan peer Anda.
Langkah selanjutnya
- Untuk mempelajari konsep dasar Cloud VPN, lihat ringkasan Cloud VPN.
- Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
- Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.