Aperçu

Cette page présente la fonctionnalité VPN air-gapped de Google Distributed Cloud (GDC), ainsi que les spécifications et les protocoles de tunneling compatibles.

Le VPN GDC étend de manière sécurisée un réseau de pairs à la machine virtuelle (VM) d'un utilisateur dans une organisation d'une zone GDC via une connexion VPN IPsec (Internet Protocol Security).

Configurez le VPN GDC à l'aide des ressources VPNGateway, PeerGateway, VPNBGPPeer et VPNTunnel de l'API Networking.

Spécifications

Le VPN GDC présente les spécifications suivantes :

• Le VPN GDC n'accepte que la connectivité VPN IPsec de site à site. IPsec est une suite de protocoles conçus pour sécuriser la communication sur les réseaux IP. Les autres technologies VPN, telles que SSL et VPN, ne sont pas compatibles.
• La passerelle VPN de pairs doit posséder une adresse IPv4 externe statique. Vous avez besoin de cette adresse IP pour configurer le VPN.
• Si votre passerelle VPN de pairs se situe derrière une règle de pare-feu, vous devez configurer cette dernière pour qu'elle lui transmette le trafic du protocole IPsec ESP (Encapsulating Security Payload) et IKE (Internet Key Exchange) UDP 500 et UDP 4500.
• GDC VPN n'accepte que la fonctionnalité NAT "un à un" via l'encapsulation du protocole UDP pour NAT-Traversal (NAT-T). La passerelle VPN de pairs doit être configurée pour s'identifier à l'aide de son adresse IPv4 externe statique, et non de son adresse IP privée interne.
• Le trafic IPv6 n'est pas accepté.

Compatibilité IPsec et IKE

GDC VPN accepte IKEv2 avec une clé pré-partagée IKE (secret partagé) et des algorithmes de chiffrement IKE. Le VPN GDC n'accepte qu'une clé pré-partagée pour l'authentification. Lorsque vous créez le tunnel VPN GDC, spécifiez une clé pré-partagée. Lorsque vous créez le tunnel sur la passerelle VPN de pairs, spécifiez cette même clé pré-partagée. Pour en savoir plus, consultez Créer le secret avec une clé PSK.

GDC VPN est compatible avec ESP en mode tunnel avec authentification, mais pas avec AH ni ESP en mode transport.

Étapes suivantes

• Créer une passerelle VPN et une passerelle de pairs