Panoramica della VPN ad alta disponibilità su Cloud Interconnect

La VPN ad alta disponibilità su Cloud Interconnect ti consente di criptare il traffico che attraversa le connessioni Dedicated Interconnect o Partner Interconnect. Per utilizzare la VPN ad alta disponibilità su Cloud Interconnect, esegui il deployment di tunnel VPN ad alta disponibilità sui tuoi collegamenti VLAN.

Con la VPN ad alta disponibilità su Cloud Interconnect, puoi migliorare la sicurezza complessiva della tua attività e mantenere la conformità alle normative di settore esistenti e future. Ad esempio, potresti dover criptare il traffico in uscita dalle tue applicazioni o assicurarti che i dati siano criptati in transito tramite terze parti.

Hai a disposizione molte opzioni per soddisfare questi requisiti. La crittografia può essere eseguita su diversi livelli dello stack OSI e in alcuni livelli potrebbe non essere supportata universalmente. Ad esempio, Transport Layer Security (TLS) non è supportato per tutti i protocolli basati su TCP e l'attivazione di TLS (Datagram Transport Layer Security) potrebbe non essere supportata per tutti i protocolli basati su UDP. Una soluzione è implementare la crittografia a livello di livello di rete con il protocollo IPsec.

La VPN ad alta disponibilità su Cloud Interconnect ha il vantaggio di fornire strumenti di deployment utilizzando la console Google Cloud, Google Cloud CLI e l'API Compute Engine. Puoi anche utilizzare indirizzi IP interni per i gateway VPN ad alta disponibilità. I collegamenti VLAN che crei per la VPN ad alta disponibilità su Cloud Interconnect supportano le connessioni agli endpoint Private Service Connect. Infine, la VPN ad alta disponibilità su Cloud Interconnect ha uno SLA dedotto dai suoi componenti di base, Cloud VPN e Cloud Interconnect. Per ulteriori informazioni, consulta l'SLA.

Un'altra opzione è creare un gateway VPN autogestito (non Google Cloud) nella rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP interno a ogni gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Termina quindi i tunnel IPsec su questi gateway VPN utilizzando Cloud Interconnect da un ambiente on-premise. Per ulteriori informazioni sulle opzioni VPN ad alta disponibilità, consulta le topologie VPN ad alta disponibilità.

Non puoi implementare gateway e tunnel VPN classica su Cloud Interconnect.

Architettura di deployment

Quando esegui il deployment della VPN ad alta disponibilità su Cloud Interconnect, crei due livelli operativi:

  • Il livello Cloud Interconnect, che include i collegamenti VLAN e il router Cloud per Cloud Interconnect.
  • Il livello VPN ad alta disponibilità, che include i gateway e i tunnel VPN ad alta disponibilità e il router Cloud per la VPN ad alta disponibilità.

Ogni livello richiede un proprio router Cloud:

  • Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi dei gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità.
  • Il router Cloud per la VPN ad alta disponibilità scambia i prefissi tra la tua rete VPC e la tua rete on-premise. Configura il router Cloud per la VPN ad alta disponibilità e le relative sessioni BGP nello stesso modo in cui faresti per un normale deployment VPN ad alta disponibilità.

Devi creare il livello VPN ad alta disponibilità sopra il livello Cloud Interconnect. Pertanto, il livello VPN ad alta disponibilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato e operativo correttamente.

Il seguente diagramma mostra un deployment di VPN ad alta disponibilità su Cloud Interconnect.

Architettura di deployment per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 1. Architettura di deployment per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Gli intervalli di indirizzi IP appresi dal router cloud nel livello Cloud Interconnect vengono utilizzati per selezionare il traffico interno inviato ai gateway VPN ad alta disponibilità e ai collegamenti VLAN.

Failover

Le sezioni seguenti descrivono diversi tipi di failover VPN ad alta disponibilità su Cloud Interconnect.

Failover di Cloud Interconnect

Quando la sessione BGP nel livello Cloud Interconnect si arresta, le route VPN ad alta disponibilità corrispondenti a Cloud Interconnect vengono ritirate. Questo ritiro comporta l'interruzione del tunnel VPN ad alta disponibilità. Di conseguenza, le route vengono spostate negli altri tunnel VPN ad alta disponibilità ospitati sull'altro collegamento VLAN.

Il seguente diagramma mostra il failover di Cloud Interconnect.

Failover dell'attacco collegamento VLAN Cloud Interconnect per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 2. Failover del collegamento VLAN Cloud Interconnect per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Failover del tunnel VPN ad alta disponibilità

Quando una sessione BGP nel livello VPN ad alta disponibilità si arresta, si verifica il normale failover BGP e il traffico del tunnel VPN ad alta disponibilità viene indirizzato ad altri tunnel VPN ad alta disponibilità disponibili. Le sessioni BGP del livello Cloud Interconnect non sono interessate.

Il seguente diagramma mostra il failover del tunnel VPN ad alta disponibilità.

Failover del tunnel VPN ad alta disponibilità per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 3. Failover del tunnel VPN ad alta disponibilità per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

SLA

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC utilizzando una connessione VPN IPsec in una singola regione. La VPN ad alta disponibilità, se eseguita da sola, ha un proprio SLA se configurata correttamente.

Tuttavia, poiché la VPN ad alta disponibilità viene eseguita su Cloud Interconnect, l'SLA complessivo per la VPN ad alta disponibilità su Cloud Interconnect corrisponde all'SLA della topologia Cloud Interconnect che scegli di implementare.

L'SLA per la VPN ad alta disponibilità su Cloud Interconnect dipende dalla topology di Cloud Interconnect che scegli di implementare.

Riepilogo dei prezzi

Per i deployment VPN ad alta disponibilità su Cloud Interconnect, ti vengono addebitati i seguenti componenti:

  • La connessione Dedicated Interconnect, se utilizzi Dedicated Interconnect.
  • Ogni collegamento VLAN.
  • Ogni tunnel VPN.
  • Solo traffico in uscita di Cloud Interconnect. Non ti viene addebitato alcun costo per il traffico in uscita di Cloud VPN trasportato dai tunnel VPN ad alta disponibilità.
  • Indirizzi IP esterni regionali assegnati ai gateway VPN ad alta disponibilità, se scegli di utilizzare indirizzi IP esterni. Tuttavia, ti verrà addebitato solo il costo per gli indirizzi IP non in uso dai tunnel VPN.

Per ulteriori informazioni, consulta la pagina Prezzi di Cloud VPN e Prezzi di Cloud Interconnect.

Limitazioni

  • La VPN ad alta disponibilità su Cloud Interconnect distingue i seguenti valori dell'unità massima di trasmissione (MTU):

  • Ogni tunnel VPN ad alta disponibilità può supportare fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. Si tratta di una limitazione della VPN ad alta disponibilità. Per ulteriori informazioni, consulta la sezione Limiti della documentazione di Cloud VPN.

  • Per un singolo collegamento VLAN con la crittografia abilitata, la velocità in entrata e in uscita combinata è limitata a 50 Gbps.

  • In termini di latenza, l'aggiunta della crittografia IPsec a Cloud Interconnect

    il traffico aggiunge un po' di ritardo. Durante il normale funzionamento, la latenza aggiunta è inferiore a 5 millisecondi.

  • Devi selezionare la crittografia IPsec quando crei il collegamento VLAN. Non puoi aggiungere la crittografia a un allegato esistente in un secondo momento.

  • Puoi terminare i collegamenti VLAN e i tunnel IPsec su due diversi dispositivi on-premise fisici. Le sessioni BGP su ogni collegamento VLAN, che pubblicizzano e negoziano i prefissi del gateway VPN, devono terminare sul dispositivo di collegamento VLAN on-premise. Le sessioni BGP su ogni tunnel VPN, che pubblicizzano i prefissi cloud (come di consueto), devono terminare sul dispositivo VPN.

  • Gli ASN dei due router Cloud possono essere diversi. Alle interfacce del router Cloud che eseguono il peering con i dispositivi on-premise non è possibile assegnare indirizzi IP RFC 1918 (privati).

  • Per ogni collegamento VLAN, puoi prenotare un solo intervallo di indirizzi IP interni per le interfacce del gateway VPN ad alta disponibilità.

  • L'attivazione di Bidirectional Forwarding Detection (BFD) non consente un rilevamento degli errori più rapido per i deployment VPN ad alta disponibilità su Cloud Interconnect.

  • La VPN ad alta disponibilità su Cloud Interconnect supporta gateway VPN ad alta disponibilità IPv4 e IPv6 (a doppio stack). Per creare gateway VPN ad alta disponibilità dual-stack, devi utilizzare Google Cloud CLI o l'API Cloud Interconnect. Non puoi utilizzare la procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect nella console Google Cloud.

Passaggi successivi