Cloud VPN – Übersicht

Auf dieser Seite werden Konzepte im Zusammenhang mit Google Cloud VPN beschrieben. Definitionen der in der Cloud VPN-Dokumentation verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Mit Cloud VPN können Sie Ihr Peer-Netzwerk über eine IPsec-VPN-Verbindung sicher auf Ihr Virtual Private Cloud-Netzwerk (VPC) erweitern. Die VPN-Verbindung verschlüsselt den Traffic, der zwischen den Netzwerken übertragen wird. Ein VPN-Gateway übernimmt die Verschlüsselung und das andere die Entschlüsselung. Dadurch werden Ihre Daten während der Übertragung geschützt. Sie können auch zwei VPC-Netzwerke miteinander verbinden, indem Sie zwei Cloud VPN-Instanzen verbinden. Sie können Cloud VPN nicht verwenden, um Traffic an das öffentliche Internet weiterzuleiten. Es ist für eine sichere Kommunikation zwischen privaten Netzwerken ausgelegt.

Hybride Netzwerklösung auswählen

Bestimmen Sie anhand des Artikels Produkt für die Netzwerkverbindung auswählen, ob Sie Cloud VPN, Dedicated Interconnect, Partner Interconnect oder Cloud Router für die Verbindung Ihres hybriden Netzwerks zu Google Cloud verwenden sollten.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von Cloud VPN in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Cloud VPN kostenlos testen

Verwenden Sie HA VPN über Cloud Interconnect, um die Sicherheit Ihrer Dedicated Interconnect- oder Partner Interconnect-Verbindung zu erhöhen. Mit dieser Lösung werden verschlüsselte HA VPN-Tunnel über Ihre VLAN-Anhänge eingerichtet.

Cloud VPN-Typen

Google Cloud bietet zwei Arten von Cloud VPN-Gateways:

HA VPN

HA VPN ist eine Cloud VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung sicher mit Ihrem VPC-Netzwerk verbinden können. Basierend auf der Topologie und Konfiguration kann HA VPN ein SLA mit einer Dienstverfügbarkeit von 99,99% oder 99,9 % bereitstellen.

Wenn Sie ein HA VPN-Gateway erstellen, wählt Google Cloud automatisch zwei externe IPv4-Adressen aus: eine für jede Schnittstelle. Jede IPv4-Adresse wird automatisch aus einem eindeutigen Adresspool ausgewählt, um eine hohe Verfügbarkeit zu unterstützen. Jede HA VPN-Gateway-Schnittstelle unterstützt mehrere Tunnel. Sie können auch mehrere HA VPN-Gateways erstellen. Wenn Sie das HA VPN-Gateway löschen, gibt Google Cloud die IP-Adressen für die erneute Verwendung frei. Sie können ein HA VPN-Gateway mit nur einer aktiven Schnittstelle und einer externen IP-Adresse konfigurieren. Allerdings bietet diese Konfiguration kein Verfügbarkeits-SLA.

Eine Möglichkeit zur Verwendung von HA VPN ist die Verwendung von HA VPN über Cloud Interconnect. Mit HA VPN über Cloud Interconnect erhalten Sie zusätzlich zu der erhöhten Kapazität von Cloud Interconnect die Sicherheit der IPsec-Verschlüsselung von Cloud VPN. Da Sie Cloud Interconnect verwenden, durchläuft Ihr Netzwerkverkehr auch nie das öffentliche Internet. Wenn Sie Partner Interconnect verwenden, müssen Sie Ihrem Cloud Interconnect-Traffic eine IPsec-Verschlüsselung hinzufügen, um die Anforderungen an die Datensicherheit und Compliance beim Herstellen einer Verbindung zu Drittanbietern zu erfüllen. HA VPN verwendet eine externe VPN-Gateway-Ressource in Google Cloud, um Google Cloud Informationen über Ihr Peer-VPN-Gateway oder Ihre Gateways bereitzustellen.

In der API-Dokumentation und in gcloud-Befehlen werden HA VPN-Gateways als VPN-Gateways und nicht als Ziel-VPN-Gateways bezeichnet. Für HA VPN-Gateways müssen keine Weiterleitungsregeln erstellt werden.

HA VPN kann je nach Topologien oder Konfigurationsszenarien ein Verfügbarkeits-SLA von 99,99% oder 99,9 % bereitstellen. Weitere Informationen zu HA VPN-Topologien und unterstützten SLAs finden Sie unter HA VPN-Topologien.

Beim Einrichten von HA VPN gelten die folgenden Richtlinien:

  • Wenn Sie ein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, müssen die Gateways identische IP-Stack-Typen verwenden. Wenn Sie beispielsweise ein HA VPN-Gateway mit dem Stacktyp IPV4_IPV6 erstellen, muss das andere HA VPN-Gateway auch auf IPV4_IPV6 gesetzt sein.

  • Konfigurieren Sie zwei VPN-Tunnel aus der Perspektive des Cloud VPN-Gateways:

    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.
  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Der Geräteanbieter gibt die Details einer ausreichend redundanten Konfiguration an, die mehrere Hardwareinstanzen enthalten kann. Weitere Informationen finden Sie in der Anbieterdokumentation für das Peer-VPN-Gerät.

    Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.

  • Ihr Peer-VPN-Gateway-Gerät muss das dynamische Border Gateway Protocol-Routing (BGP) unterstützen.

    Das folgende Diagramm zeigt das HA VPN-Konzept mit einer Topologie, die die beiden Schnittstellen eines mit zwei Peer-VPN-Gateways verbundenen HA VPN-Gateways enthält. Ausführlichere HA VPN-Topologien (Konfigurationsszenarien) finden Sie unter HA VPN-Topologien.

    Ein HA VPN-Gateway zu zwei Peer-VPN-Gateways.
    HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)

Klassisches VPN

Alle Cloud VPN-Gateways, die vor der Einführung von HA VPN erstellt wurden, werden als klassische VPN-Gateways betrachtet. Informationen zum Wechsel vom klassischen VPN zu HA VPN finden Sie unter Von einem klassischen VPN zu HA VPN wechseln.

Im Gegensatz zu HA VPN haben Gateways für das klassische VPN eine einzige Schnittstelle sowie eine einzige externe IP-Adresse und unterstützen Tunnel, die statisches Routing (richtlinien- oder routenbasiert) verwenden. Sie können auch dynamisches Routing (BGP) für klassisches VPN konfigurieren, jedoch nur für Tunnel, die eine Verbindung zu VPN-Gateway-Software von Drittanbietern herstellen, die auf Google Cloud-VM-Instanzen ausgeführt wird.

Gateways für das klassische VPN bieten ein SLA mit einer Dienstverfügbarkeit von 99,9 %.

Klassische VPN-Gateways unterstützen IPv6 nicht.

Informationen zu unterstützten Topologien für klassisches VPN finden Sie auf der Seite zu den Topologien für klassisches VPN.

Klassische VPNs werden in der API-Dokumentation und im Google Cloud CLI als Ziel-VPN-Gateways bezeichnet.

Vergleichstabelle

In der folgenden Tabelle werden HA VPN-Features mit klassischen VPN-Features verglichen.

Funktion HA VPN Klassisches VPN
SLA Bietet ein SLA von 99, 99% für die meisten Topologien mit einigen Ausnahmen. Weitere Informationen finden Sie unter HA VPN-Topologien. Bietet ein SLA von 99,9 %.
Externe IP-Adressen und Weiterleitungsregeln erstellen Externe IP-Adressen, die aus einem Pool erstellt wurden; keine Weiterleitungsregeln erforderlich. Externe IP-Adressen und Weiterleitungsregeln müssen erstellt werden.
Unterstützte Routingoptionen Nur dynamisches Routing (BGP). Statisches Routing (richtlinienbasiert, routenbasiert). Dynamisches Routing wird nur für Tunnel unterstützt, die eine Verbindung zu VPN-Gateway-Software von Drittanbietern herstellen, die auf Google Cloud-VM-Instanzen ausgeführt wird.
Zwei Tunnel von einem Cloud VPN-Gateway zum selben Peer-Gateway Unterstützt Nicht unterstützt
Cloud VPN-Gateway mit Compute Engine-VMs mit externen IP-Adressen verbinden Unterstützte und empfohlene Topologie. Weitere Informationen finden Sie unter HA VPN-Topologien. Unterstützt.
API-Ressourcen Wird als Ressource vpn-gateway bezeichnet. Wird als Ressource target-vpn-gateway bezeichnet.
IPv6-Traffic Unterstützt (Dual-Stack-IPv4- und IPv6-Konfiguration) Nicht unterstützt

Spezifikationen

Für Cloud VPN gilt Folgendes:

  • Cloud VPN unterstützt ausschließlich Site-to-Site-IPsec-VPN-Verbindungen, für die die Voraussetzungen in diesem Abschnitt erfüllt werden müssen. Client-zu-Gateway-Szenarien werden nicht unterstützt. Mit anderen Worten: Cloud VPN unterstützt keine Anwendungsfälle, bei denen sich Clientcomputer mithilfe von Client-VPN-Software bei einem VPN "einwählen" müssen.

    Cloud VPN unterstützt nur IPSec. Andere VPN-Technologien (wie SSL-VPN) werden nicht unterstützt.

  • Cloud VPN kann mit VPC-Netzwerken und Legacy-Netzwerken verwendet werden. Für VPC-Netzwerke empfehlen wir VPC-Netzwerke im benutzerdefinierten Modus, damit Sie vollständige Kontrolle über die IP-Adressbereiche haben, die von den Subnetzen im Netzwerk verwendet werden.

    • Klassische VPN- und HA VPN-Gateways verwenden externe (im Internet routingfähige) IPv4-Adressen. Für diese Adressen ist nur ESP-, UDP 500- und UDP 4500-Traffic zulässig. Dies gilt für Cloud VPN-Adressen, die Sie für klassisches VPN konfiguriert haben, oder für automatisch zugewiesene Adressen für HA VPN.

    • Wenn sich IP-Adressbereiche für lokale Subnetze mit den IP-Adressen von Subnetzen in Ihrem VPC-Netzwerk überschneiden, können Sie unter Reihenfolge der Routen erfahren, wie sich Routingkonflikte beheben lassen.

  • Der folgende Cloud VPN-Traffic verbleibt im Produktionsnetzwerk von Google:

    • Zwischen zwei HA VPN-Gateways
    • Zwischen zwei klassischen VPN-Gateways
    • Zwischen einem klassischen VPN- oder HA VPN-Gateway und der externen IP-Adresse einer Compute Engine-VM, die als VPN-Gateway fungiert
  • Cloud VPN kann mit privatem Google-Zugriff für lokale Hosts verwendet werden. Weitere Informationen finden Sie unter Private Zugriffsoptionen für Dienste.

  • Jedes Cloud VPN-Gateway muss mit einem anderen Cloud VPN-Gateway oder einem Peer-VPN-Gateway verbunden sein.

  • Das Peer-VPN-Gateway muss eine statische externe (im Internet routingfähige) IPv4-Adresse haben. Sie benötigen diese IP-Adresse, um Cloud VPN zu konfigurieren.

    • Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass das ESP-Protokoll (IPsec) und IKE-Traffic (UDP 500 und UDP 4500) an das Gateway übertragen werden. Wenn die Firewall Network Address Translation (NAT) bietet, finden Sie weitere Informationen im Abschnitt zu UDP-Kapselung und NAT-T.
  • Cloud VPN setzt voraus, dass das Peer-VPN-Gateway die Vorfragmentierung unterstützt. Pakete müssen vor dem Kapseln fragmentiert werden.

  • Cloud VPN verwendet die Wiedergabeerkennung mit einem Fenster von 4.096 Paketen. Dies ist nicht deaktivierbar.

  • Cloud VPN unterstützt Traffic für generischen Routingkapselung (GRE). Dank der Unterstützung für GRE können Sie den GRE-Traffic auf einer VM aus dem Internet (externe IP-Adresse) und Cloud VPN oder Cloud Interconnect (interne IP-Adresse) beenden. Der gekapselte Traffic kann dann an ein erreichbares Ziel weitergeleitet werden. GRE ermöglicht es Ihnen, Dienste wie SASE (Secure Access Service Edge) und SD-WAN zu verwenden. Sie müssen eine Firewallregel erstellen, um GRE-Traffic zuzulassen.

  • HA VPN-Tunnel unterstützen den Austausch von IPv6-Traffic, klassische VPN-Tunnel jedoch nicht.

Netzwerkbandbreite

Jeder Cloud VPN-Tunnel unterstützt bis zu 250.000 Pakete pro Sekunde für die Summe des ein- und ausgehenden Traffics. Je nach durchschnittlicher Paketgröße im Tunnel entsprechen 250.000 Pakete pro Sekunde einer Bandbreite von 1 Gbit/s bis 3 Gbit/s.

Die mit diesem Limit verbundenen Messwerte sind Sent bytes und Received bytes. Sie werden unter Logs und Messwerte anzeigen beschrieben. Die Einheit für die Messwerte ist Byte. Das Limit von 3 Gbit/s bezieht sich auf Bits pro Sekunde. Bei der Konvertierung in Byte beträgt das Limit 375 Megabyte pro Sekunde (Mbit/s). Wenn Sie die Nutzung mit dem Limit vergleichen, verwenden Sie die Summe von Sent bytes und Received bytes und vergleichen Sie sie mit dem konvertierten Limit von 375 Mbit/s.

Informationen zum Erstellen von Benachrichtigungsrichtlinien finden Sie unter Benachrichtigungen für die Bandbreite des VPN-Tunnels definieren.

Informationen zur Verwendung des Recommenders der VPN-Tunnel-Nutzung finden Sie unter Überauslastung des VPN-Tunnels prüfen.

Faktoren, die sich auf die Bandbreite auswirken

Die tatsächliche Bandbreite hängt von mehreren Faktoren ab:

  • Die Netzwerkverbindung zwischen dem Cloud VPN-Gateway und Ihrem Peer-Gateway:

    • Netzwerkbandbreite zwischen den beiden Gateways. Wenn Sie eine Direct Peering-Beziehung mit Google eingerichtet haben, ist der Durchsatz höher, als wenn Ihr VPN-Traffic über das öffentliche Internet gesendet wird.

    • Umlaufzeit (Round Trip Time, RTT) und Paketverlust. Erhöhte RTT- und Paketverlustraten verringern die TCP-Leistung erheblich.

  • Funktionen Ihres Peer-VPN-Gateways. Weitere Informationen finden Sie in der Dokumentation Ihres Geräts.

  • Paketgröße. Cloud VPN verwendet das IPsec-Protokoll im Tunnelmodus, kapselt und verschlüsselt ganze IP-Pakete in Extensible Service Proxy (ESP) und speichert sie dann in einem zweiten, äußeren IP-Paket. Daher gibt es sowohl eine Gateway-MTU für die IPsec-gekapselten Pakete als auch eine Nutzlast-MTU für Pakete vor und nach der IPsec-Kapselung. Weitere Informationen finden Sie unter Überlegungen zur MTU.

  • Paketrate. Für ein- und ausgehenden Traffic beträgt die empfohlene maximale Paketrate für jeden Cloud VPN-Tunnel 250.000 Pakete pro Sekunde (pps). Wenn es für Sie erforderlich ist, dass Pakete mit einer höheren Rate gesendet werden, müssen Sie weitere VPN-Tunnel erstellen.

Für die Messung der TCP-Bandbreite eines VPN-Tunnels empfiehlt es sich, mehrere gleichzeitige TCP-Streams zu messen. Wenn Sie das iperf-Tool nutzen, geben Sie mit dem Parameter -P die Anzahl der gleichzeitigen Streams an.

IPv6-Unterstützung

Cloud VPN unterstützt IPv6 in HA VPN, jedoch nicht im klassischen VPN.

So unterstützen Sie IPv6-Traffic in HA VPN-Tunneln:

  • Verwenden Sie den Stacktyp IPV6_ONLY (Vorschau) oder IPV4_IPV6, wenn Sie ein HA VPN-Gateway und Tunnel erstellen, die IPv6-fähige VPC-Netzwerke mit anderen IPv6-fähigen Netzwerken verbinden. Diese Netzwerke können lokale Netzwerke, Multi-Cloud-Netzwerke oder andere VPC-Netzwerke sein.

  • Fügen Sie Dual-Stack-Subnetze in Ihre IPv6-fähigen VPC-Netzwerke ein. Außerdem müssen Sie den Subnetzen interne IPv6-Bereiche zuweisen.

In der folgenden Tabelle sind die für jeden Stack-Typ des HA VPN-Gateways zulässigen externen IP-Adressen zusammengefasst.

Stacktyp Unterstützte externe Gateway-IP-Adressen
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY (Vorschau) IPv6

Einschränkungen der Organisationsrichtlinien für IPv6

Sie können die Erstellung aller IPv6-Hybridressourcen in Ihrem Projekt deaktivieren. Setzen Sie dazu die folgende Organisationsrichtlinie auf "true":

  • constraints/compute.disableHybridCloudIpv6

Für HA VPN wird dadurch die Erstellung von Dual-Stack-HA VPN-Gateways und reinen IPv6-Gateways (Vorschau) im Projekt verhindert.

Stacktypen und BGP-Sitzungen

HA VPN-Gateways unterstützen verschiedene Stack-Typen. Der Stacktyp eines HA VPN-Gateways bestimmt, welche Version des IP-Traffics in Ihren HA VPN-Tunneln zulässig ist.

Wenn Sie die HA VPN-Tunnel für ein Dual-Stack-HA VPN-Gateway erstellen, haben Sie zwei Möglichkeiten für den IPv6-Routenaustausch.

Sie können entweder eine IPv6-BGP-Sitzung (Vorschau) oder eine IPv4-BGP-Sitzung erstellen, die mithilfe von Multiprotokoll-BGP (MP-BGP).

  • Single-Stack (nur IPv4)
  • Dual-Stack (IPv4 und IPv6)

In der folgenden Tabelle sind die für jedes HA VPN-Gateway zulässigen Typen von BGP-Sitzungen zusammengefasst.

Stacktyp Unterstützte BGP-Sitzungen Externe Gateway-IP-Adressen
Nur IPv4 IPv4-BGP, kein MP-BGP IPv4
IPv4 und IPv6
  • IPv4-BGP mit oder ohne MP-BGP
  • IPv6-BGP mit oder ohne MP-BGP (Vorschau)
  • Sowohl IPv4- als auch IPv6-BGP, kein MP-BGP (Vorschau)
IPv4

Weitere Informationen zu BGP-Sitzungen finden Sie in der Cloud Router-Dokumentation unter BGP-Sitzungen erstellen.

Nur-Stack-IPv4-Gateways

Standardmäßig wird einem HA VPN-Gateway der reine IPv4-Stack-Typ zugewiesen und ihm werden automatisch zwei externe IPv4-Adressen zugewiesen.

Ein reines IPv4-HA VPN-Gateway unterstützt nur IPv4-Traffic.

Mit den folgenden Verfahren erstellen Sie ausschließlich IPv4-HA VPN-Gateways und IPv4-BGP-Sitzungen.

Dual-Stack-IPv4- und IPv6-Gateways

Ein HA VPN-Gateway, das mit dem Dual-Stack-Stacktyp (IPv4 und IPv6) konfiguriert ist, kann sowohl IPv4- als auch IPv6-Traffic unterstützen.

Bei einem Dual-Stack-HA VPN-Gateway können Sie Ihren Cloud Router mit einer IPv4-BGP-Sitzung, einer IPv6-BGP-Sitzung oder beidem konfigurieren. Wenn Sie nur eine BGP-Sitzung konfigurieren, können Sie MP-BGP aktivieren, damit diese Sitzung sowohl IPv4- als auch IPv6-Routen austauschen kann. Wenn Sie eine IPv4-BGP-Sitzung und eine IPv6-BGP-Sitzung erstellen, können Sie MP-BGP in keiner der Sitzungen aktivieren.

Um IPv6-Routen in einer IPv4-BGP-Sitzung über MP-BGP auszutauschen, müssen Sie diese Sitzung mit IPv6-Adressen für den nächsten Hop konfigurieren. Ebenso müssen Sie für den Austausch von IPv4-Routen in einer IPv6-BGP-Sitzung mithilfe von MP-BGP diese Sitzung mit den IPv4-Adressen des nächsten Hops konfigurieren. Sie können diese Adressen des nächsten Hops entweder manuell oder automatisch konfigurieren.

Wenn Sie die Adressen des nächsten Hops manuell konfigurieren, müssen Sie sie aus den IPv6-GA-Bereichen 2600:2d00:0:2::/63 von Google oder aus dem IPv4-Link-Local-Bereich 169.254.0.0./16 auswählen. Diese Bereiche wurden von Google vorab zugewiesen. Die von Ihnen ausgewählten nächsten Hop-Adressen müssen für alle Cloud Router in allen Regionen Ihres VPC-Netzwerks eindeutig sein.

Wenn Sie die automatische Konfiguration auswählen, wählt Google Cloud die Adressen des nächsten Hops aus diesen Bereichen aus.

Verwenden Sie die folgenden Verfahren, um Dual-Stack-HA VPN-Gateways und alle unterstützten BGP-Sitzungen zu erstellen.

Nur-Stack-IPv6-Gateways

Standardmäßig wird einem HA VPN-Gateway der reine IPv6-Stack-Typ (Vorschau) zugewiesen und ihm werden automatisch zwei externe IPv6-Adressen zugewiesen.

Ein reines IPv6-Gateway (Vorschau) unterstützt nur IPv6-Traffic.

Mit den folgenden Verfahren erstellen Sie ausschließlich IPv6-HA VPN-Gateways und IPv6-BGP-Sitzungen.

IPsec- und IKE-Support

Cloud VPN unterstützt IKEv1 und IKEv2. Dazu werden ein vorinstallierter IKE-Schlüssel (gemeinsames Secret) und IKE-Chiffren verwendet. Cloud VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel. Geben Sie beim Erstellen des Cloud VPN-Tunnels einen vorinstallierten Schlüssel an. Wenn Sie den Tunnel am Peer-Gateway erstellen, geben Sie denselben vorinstallierten Schlüssel an.

Cloud VPN unterstützt ESP im Tunnelmodus mit Authentifizierung, jedoch nicht AH oder ESP im Transportmodus.

Sie müssen IKEv2 verwenden, um IPv6-Traffic in HA VPN zu aktivieren.

Eingehende Authentifizierungspakete werden von Cloud VPN nicht nach bestimmten Richtlinien gefiltert. Ausgehende Pakete werden anhand des IP-Bereichs gefiltert, der im Cloud VPN-Gateway konfiguriert wurde.

Richtlinien zum Erstellen eines starken vorinstallierten Schlüssels finden Sie unter Starken vorinstallierten Schlüssel generieren. Informationen zu den von Cloud VPN unterstützten Chiffren und Konfigurationsparametern finden Sie unter Unterstützte IKE-Chiffren.

IKE und Dead-Peer-Erkennung

Cloud VPN unterstützt die Dead-Peer-Erkennung (DPD) gemäß dem Abschnitt DPD-Protokoll von RFC 3706.

Um zu überprüfen, ob der Peer aktiv ist, kann Cloud VPN jederzeit DPD-Pakete gemäß RFC 3706 senden. Wenn die DPD-Anfragen nach mehreren Versuchen nicht zurückgegeben werden, erkennt Cloud VPN, dass der VPN-Tunnel fehlerhaft ist. Der fehlerhafte VPN-Tunnel führt wiederum dazu, dass die Routen mit diesem Tunnel als nächster Hop (BGP-Routen oder statische Routen) entfernt werden. Dies führt zu einem Failover des VM-Traffics zu anderen VPN-Tunneln, die fehlerfrei sind.

Das DPD-Intervall kann in Cloud VPN nicht konfiguriert werden.

UDP-Kapselung und NAT-T

Informationen zur Konfiguration des Peer-Geräts, um NAT-Traversal (NAT-T) mit Cloud VPN zu unterstützen, finden Sie unter UDP-Kapselung in der erweiterten Übersicht.

Cloud VPN als Datenübertragungsnetzwerk

Gehen Sie den Abschnitt 2 der allgemeinen Dienstbedingungen für Google Cloud sorgfältig durch, bevor Sie Cloud VPN verwenden.

Mit dem Network Connectivity Center können Sie HA VPN-Tunnel verwenden, um lokale Netzwerke miteinander zu verbinden und den Traffic zwischen ihnen als Datenübertragungsnetzwerk weiterzuleiten. Sie verbinden die Netzwerke, indem Sie für jeden lokalen Standort ein Paar Tunnel an ein Netzwerk Connectivity Center anhängen. Anschließend verbinden Sie alle Spokes mit einem Network Connectivity Center-Hub.

Weitere Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.

Eigene IP-Unterstützung (Bring your own IP, BYOIP)

Informationen zur Verwendung von BYOIP-Adressen mit Cloud VPN finden Sie unter Unterstützung von BYOIP-Adressen.

Aktiv/Aktiv- und Aktiv/Passiv-Routingoptionen für HA VPN

Fällt ein Cloud VPN-Tunnel aus, wird er automatisch neu gestartet. Fällt ein komplettes virtuelles VPN-Gerät aus, initiiert Cloud VPN automatisch ein neues Gerät mit derselben Konfiguration. Das neue Gateway und der neue Tunnel werden automatisch verbunden.

VPN-Tunnel, die mit HA VPN-Gateways verbunden sind, müssen dynamisches Routing (BGP) verwenden. Je nachdem, wie Sie Routenprioritäten für HA VPN-Tunnel konfigurieren, können Sie eine Aktiv/Aktiv- oder Aktiv/Passiv-Routingkonfiguration erstellen. Bei beiden Routingkonfigurationen bleiben jeweils beide VPN-Tunnel aktiv.

In der folgenden Tabelle werden die Features einer Aktiv/Aktiv- mit denen einer Aktiv/Passiv-Routingkonfiguration verglichen.

Funktion Aktiv/Aktiv Aktiv/Passiv
Durchsatz Der effektive aggregierte Durchsatz ist der kombinierte Durchsatz beider Tunnel. Durch die Reduzierung von zwei aktiven Tunneln auf einen halbiert sich der effektive Gesamtdurchsatz, wodurch Verbindungen verlangsamt werden oder Pakete verloren gehen können.
Route Advertisement

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit identischen Multi-Exit-Diskriminator-Werten (MED) für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit identischen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet Equal Cost Multi-Path-Routing (ECMP).

Derselbe Cloud Router verwendet identische Prioritäten, um Routen zu Ihrem VPC-Netzwerk zu bewerben.

Ihr Peer-Gateway verwendet ECMP, um diese Routen zum Senden von ausgehendem Traffic an Google Cloud zu verwenden.

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit unterschiedlichen MED-Werten für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit unterschiedlichen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet die Route mit der höchsten Priorität, solange der zugehörige Tunnel verfügbar ist.

Derselbe Cloud Router verwendet unterschiedliche Prioritäten für jeden Tunnel, um Routen zu Ihrem VPC-Netzwerk anzubieten.

Ihr Peer-Gateway kann nur den Tunnel mit der höchsten Priorität verwenden, um Traffic an Google Cloud zu senden.

Failover

Wenn der Tunnel fehlerhaft wird, z. B. weil DPD ausgefallen ist, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind.

Wenn eine BGP-Sitzung ausfällt, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind, ohne dass ein Tunnel fehlerhaft wird.

Während des Entfernungsvorgangs, der 40 bis 60 Sekunden dauern kann, ist ein Paketverlust zu erwarten.

Wenn der Tunnel fehlerhaft wird, z. B. weil DPD ausgefallen ist, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind.

Wenn eine BGP-Sitzung ausfällt, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind, ohne dass ein Tunnel fehlerhaft wird.

Während der Entfernungsvorgangs, der 40 bis 60 Sekunden dauern kann, ist ein Paketverlust zu erwarten.

Verwendet maximal einen Tunnel auf einmal, sodass der zweite Tunnel Ihre gesamte ausgehende Bandbreite verarbeiten kann, wenn der erste Tunnel ausfällt und für ihn ein Failover durchgeführt werden muss.

Aktiv/Passiv-Routing in vollständigen Mesh-Topologien

Wenn Cloud Router über eine bestimmte Cloud VPN-Schnittstelle das gleiche Präfix mit unterschiedlichen MED-Werten empfängt, wird nur die Route mit der höchsten Priorität in das VPC-Netzwerk importiert. Die anderen inaktiven Routen sind in der Google Cloud Console oder über das Google Cloud CLI nicht sichtbar. Wenn die Route mit der höchsten Priorität nicht mehr verfügbar ist, wird sie vom Cloud Router zurückgezogen und die nächstbeste Route wird automatisch in das VPC-Netzwerk importiert.

Mehrere Tunnel oder Gateways verwenden

Je nach Konfiguration des Peer-Gateways ist es möglich, Routen so zu erstellen, dass ein Teil des Traffics einen Tunnel durchquert und ein anderer Teil des Traffics aufgrund von Routenprioritäten (MED-Werte) einen anderen Tunnel durchquert. Ebenso können Sie die Basispriorität anpassen, die der Cloud Router verwendet, um Ihre VPC-Netzwerkrouten freizugeben. Diese Fälle zeigen mögliche Routingkonfigurationen auf, die weder rein aktiv/aktiv noch rein aktiv/passiv sind.

Bei Verwendung eines einzelnen HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Passiv-Routingkonfiguration. Bei dieser Konfiguration stimmt die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs mit der Bandbreitenkapazität überein, die während des Failovers beobachtet wird. Diese Art der Konfiguration ist einfacher zu verwalten, da das beobachtete Bandbreitenlimit konstant bleibt, mit der Ausnahme des oben beschriebenen Szenarios mit mehreren Gateways.

Bei der Verwendung mehrerer HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Aktiv-Routingkonfiguration. Bei dieser Konfiguration ist die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs doppelt so hoch wie die maximale Bandbreitenkapazität. Durch diese Konfiguration werden jedoch die Tunnel faktisch nicht ausreichend verwaltet und es kann bei einem Failover zu Rückgang des Traffics kommen.

Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken

Als Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) können Sie eine Richtlinieneinschränkung erstellen, die die IP-Adressen einschränkt, die Nutzer für Peer-VPN-Gateways angeben können.

Die Einschränkung gilt für alle Cloud VPN-Tunnel – sowohl klassisches VPN als auch HA VPN – in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation.

Eine Anleitung zum Einschränken von IP-Adressen finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.

Cloud VPN-Verbindungen visualisieren und überwachen

Netzwerktopologie ist ein Visualisierungstool, das die Topologie Ihrer VPC-Netzwerke, die Hybridkonnektivität zu und von Ihren lokalen Netzwerken sowie die zugehörigen Messwerte zeigt. Sie können Ihre Cloud VPN-Gateways und VPN-Tunnel als Entitäten in der Netzwerktopologie-Ansicht sehen.

Eine Basisentität ist die unterste Ebene einer bestimmten Hierarchie und stellt eine Ressource dar, die direkt über ein Netzwerk mit anderen Ressourcen kommunizieren kann. Netzwerktopologie fasst Basisentitäten in hierarchischen Entitäten zusammen, die Sie maximieren oder minimieren können. Wenn Sie zum ersten Mal ein Diagramm von Netzwerktopologie aufrufen, werden alle Basisentitäten in ihrer übergeordneten Hierarchie zusammengefasst.

Netzwerktopologie fasst beispielsweise VPN-Tunnel in ihrer VPN-Gateway-Verbindung zusammen. Sie können die Hierarchie sehen, indem Sie die VPN-Gateway-Symbole maximieren oder minimieren.

Weitere Informationen finden Sie in der Übersicht zu Netzwerktopologie.

Wartung und Verfügbarkeit

Cloud VPN wird regelmäßig gewartet. Während der Wartungsarbeiten werden Cloud VPN-Tunnel offline geschaltet, was zu einem kurzzeitigen Rückgang des Netzwerktraffics führt. Die Cloud VPN-Tunnel werden im Anschluss an die Wartungsarbeiten automatisch wiederhergestellt.

Die Wartung von Cloud VPN zählt zu den normalen betrieblichen Aufgaben, die jederzeit ohne vorherige Ankündigung erfolgen können. Die Wartungszeiträume werden entsprechend kurz gehalten, sodass es nicht zu Verletzungen des Cloud VPN-SLA kommt.

HA VPN ist die empfohlene Methode zum Konfigurieren von VPNs mit Hochverfügbarkeit. Informationen zu Konfigurationsoptionen finden Sie auf der Seite "HA VPN-Topologien". Wenn Sie aus Gründen der Redundanz und für Optionen mit hohem Durchsatz klassisches VPN verwenden, finden Sie weitere Informationen auf der Seite "Klassische VPN-Topologien".

Best Practices

Mit diesen Best Practices können Sie Ihr Cloud VPN effektiv erstellen.

Nächste Schritte