Visão geral do Cloud VPN

Nesta página, descrevemos os conceitos relacionados ao Google Cloud VPN. No documento Como criar uma VPN, mostramos as etapas para criar uma rede privada virtual (VPN, na sigla em inglês).

Introdução

O Google Cloud VPN proporciona um método seguro de conexão entre sua rede e a rede de nuvem privada virtual (VPC, na sigla em inglês) do Google Cloud Platform (GCP) por meio de VPN IPsec. O tráfego entre as duas redes é criptografado por um gateway de VPN e depois decodificado por outro gateway desse tipo. Isso protege os dados enquanto eles trafegam pela Internet.

Quando usar o Cloud VPN

Você pode usar o Cloud VPN para conectar duas redes VPC ou regiões diferentes.

O Cloud VPN só é compatível com cenários de gateway para gateway IPsec. No lado do cliente, é necessário que haja um gateway de VPN IPsec físico ou virtual. Atualmente, o Cloud VPN não é compatível com cenários de cliente para gateway ("road warrior"). Em outras palavras, ele não funciona com software de cliente em um laptop, apenas com software completo de gateway de VPN IPsec. O Cloud VPN não é compatível com tecnologias de VPN que não sejam IPsec.

Terminologia

Os seguintes termos são utilizados neste documento:

Gateway do Cloud VPN
O gateway de VPN virtual em execução no GCP. Esse dispositivo virtual é gerenciado pelo Google, mas usado apenas por você.
Gateway de VPN de par
O outro lado da conexão. Frequentemente, este é um dispositivo físico em suas instalações. No entanto, ele pode ser um segundo gateway do Cloud VPN ou um gateway virtual em execução na rede de outro provedor.
As instruções são escritas do ponto de vista da rede VPC, de modo que o "ponto remoto" é o gateway que se conecta ao Cloud VPN.
Código do projeto
Trata-se do código do projeto gerado pelo GCP, não do nome de projeto especificado por você.

Seletor de tráfego da VPN

Ao criar um túnel de VPN, é necessário especificar quais faixas de endereços IP de destino ele permitirá, e é necessário criar rotas para encaminhar os pacotes destinados a esse intervalo de IP para o túnel.

O seletor de tráfego é um acordo entre pares IKE para permitir o tráfego por meio de um túnel se o tráfego corresponder aos endereços especificados. Com sub-redes, você precisa especificar quais intervalos CIDR do Google Cloud Platform são válidos para um túnel de VPN. Esses intervalos são especificados no campo Intervalos de IP local no Console do Cloud Platform e no campo --local_traffic_selector na ferramenta de linha de comando gcloud. Esses intervalos são configurados quando o túnel é criado e não podem ser alterados posteriormente porque são usados durante o handshake de IKE na conexão.

O número máximo de intervalos CIDR especificados no seletor de tráfego é 128.

Em algumas configurações de VPN, gateways permitem a passagem de tráfego que não foi especificado no seletor de tráfego durante o handshake de IKE. Para ter um comportamento consistente e previsível da VPN, verifique se as rotas destinadas ao túnel correspondem aos prefixos especificados durante a criação do túnel.

Seletor de tráfego e redes VPC de modo automático

Se a rede do gateway da VPN for uma rede VPC de modo automático, o intervalo CIDR da sub-rede na mesma região que o gateway da VPN será anunciada automaticamente para a VPN do par. Se você quer apenas que a sub-rede use o túnel, não precisa especificar o seletor de tráfego. Você tem que especificar uma rota como mostrado nas etapas abaixo.

Se você tem uma rede VPC de modo automático e quer que outras sub-redes usem o túnel além daquela que contém o gateway, especifique esses intervalos e crie rotas para eles. Se usar esse campo, você tem até que especificar o local da sub-rede ao gateway.

Se você estiver usando uma rede VPC de modo automático e não especificar o seletor de tráfego, a sub-rede local para o gateway Cloud VPN será usada para criar o túnel, o que é o comportamento padrão.

Seletor de tráfego e redes VPC de modo personalizado

Se a rede do gateway da VPN for uma rede VPC de modo personalizado, por padrão nenhum prefixo IP será anunciado para a VPN de par. Você precisa usar o seletor de tráfego para especificar os prefixos de IP para as sub-redes que serão encaminhadas por meio do túnel. Também é preciso especificar rotas para que o tráfego alcance o túnel.

Diagrama da VPN

Este diagrama mostra uma conexão de VPN simples entre o gateway do Cloud VPN e o gateway de VPN de par.

Diagrama

Requisitos

Veja a seguir os requisitos para usar a VPN.

  • É necessário que haja um gateway de VPN de par para o outro lado do túnel.
  • O gateway de VPN de par precisa ter um endereço IP externo estático. Você precisa saber o endereço IP ao configurar o Cloud VPN. Se o gateway de VPN de par estiver protegido por um firewall, configure esse firewall para autorizar o tráfego de ESP e IKE.
  • O intervalo CIDR da rede VPC não pode entrar em conflito com os intervalos CIDR das redes no lado da VPN.
  • É necessário disponibilizar uma chave secreta compartilhada para a VPN. Ela pode ser fornecida pelo gateway da VPN de par existente ou você pode criar uma.
  • O Cloud VPN é compatível com IKEv2 (recomendado) e IKEv1. Determine quais dessas versões são compatíveis com o gateway do VPN de par.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine