Panoramica della VPN ad alta disponibilità su Cloud Interconnect

La VPN ad alta disponibilità su Cloud Interconnect consente di criptare il traffico che attraversa le tue connessioni Dedicated Interconnect o Partner Interconnect. Per utilizzare la VPN ad alta disponibilità su Cloud Interconnect, devi eseguire il deployment dei tunnel VPN ad alta disponibilità sui collegamenti VLAN.

Con la VPN ad alta disponibilità su Cloud Interconnect, puoi migliorare la sicurezza complessiva della tua azienda e mantenere la conformità alle normative di settore esistenti e future. Ad esempio, potrebbe esserti richiesto di criptare il traffico in uscita dalle applicazioni o di assicurarti che i dati siano criptati in transito su terze parti.

Hai a disposizione molte opzioni per soddisfare questi requisiti. La crittografia può essere eseguita su più livelli nello stack OSI e su alcuni livelli potrebbe non essere universalmente supportata. Ad esempio, TLS (Transport Layer Security) non è supportato per tutti i protocolli basati su TCP e l'attivazione di Datagram TLS (DTLS) potrebbe non essere supportata per tutti i protocolli basati su UDP. Una soluzione è implementare la crittografia a livello di rete con il protocollo IPsec.

Come soluzione, la VPN ad alta disponibilità su Cloud Interconnect ha il vantaggio di fornire strumenti di deployment utilizzando la console Google Cloud, Google Cloud CLI e l'API Compute Engine. Puoi anche utilizzare gli indirizzi IP interni per i gateway VPN ad alta disponibilità. I collegamenti VLAN che crei per la VPN ad alta disponibilità su Cloud Interconnect supportano le connessioni agli endpoint Private Service Connect. Infine, la VPN ad alta disponibilità su Cloud Interconnect ha uno SLA che deriva dai componenti sottostanti, Cloud VPN e Cloud Interconnect. Per ulteriori informazioni, consulta la sezione SLA.

Un'altra opzione è creare un gateway VPN autogestito (non Google Cloud) nella tua rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP interno a ciascun gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza di Compute Engine. Puoi quindi terminare i tunnel IPsec a questi gateway VPN utilizzando Cloud Interconnect da un ambiente on-premise. Per ulteriori informazioni sulle opzioni VPN ad alta disponibilità, consulta Topologie VPN ad alta disponibilità.

Non puoi eseguire il deployment di gateway e tunnel VPN classica su Cloud Interconnect.

Architettura di deployment

Quando esegui il deployment della VPN ad alta disponibilità su Cloud Interconnect, crei due livelli operativi:

  • Il livello Cloud Interconnect, che include i collegamenti VLAN e il router Cloud per Cloud Interconnect.
  • Il livello VPN ad alta disponibilità, che include gateway e tunnel VPN ad alta disponibilità e il router Cloud per la VPN ad alta disponibilità.

Ogni livello richiede il proprio router Cloud:

  • Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi del gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità.
  • Il router Cloud per gli scambi VPN ad alta disponibilità aggiunge un prefisso tra la rete VPC e la rete on-premise. Puoi configurare il router Cloud per la VPN ad alta disponibilità e le relative sessioni BGP come faresti per un normale deployment VPN ad alta disponibilità.

Puoi creare il livello VPN ad alta disponibilità in base al livello Cloud Interconnect. Di conseguenza, il livello VPN ad alta disponibilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato correttamente e operativo.

Il seguente diagramma mostra una VPN ad alta disponibilità tramite il deployment di Cloud Interconnect.

Architettura di deployment per VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 1. Architettura di deployment per VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Gli intervalli di indirizzi IP appresi dal router Cloud nel livello Cloud Interconnect vengono utilizzati per selezionare il traffico interno inviato ai gateway VPN ad alta disponibilità e ai collegamenti VLAN.

Failover

Le seguenti sezioni descrivono i diversi tipi di VPN ad alta disponibilità tramite il failover di Cloud Interconnect.

Failover di Cloud Interconnect

Quando la sessione BGP sul livello Cloud Interconnect non è disponibile, la VPN ad alta disponibilità corrispondente alle route Cloud Interconnect viene ritirata. Questo ritiro porta all'interruzione del tunnel VPN ad alta disponibilità. Di conseguenza, le route vengono spostate agli altri tunnel VPN ad alta disponibilità ospitati sull'altro collegamento VLAN.

Il seguente diagramma illustra il failover di Cloud Interconnect.

Failover del collegamento VLAN di Cloud Interconnect per VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 2. Failover del collegamento VLAN di Cloud Interconnect per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Failover del tunnel VPN ad alta disponibilità

Quando una sessione BGP sul livello VPN ad alta disponibilità non funziona, si verifica il normale failover BGP e il traffico del tunnel VPN ad alta disponibilità viene instradato ad altri tunnel VPN ad alta disponibilità disponibili. Le sessioni BGP del livello Cloud Interconnect non sono interessate.

Il seguente diagramma illustra il failover del tunnel VPN ad alta disponibilità.

Failover del tunnel VPN ad alta disponibilità per VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 3. Failover del tunnel VPN ad alta disponibilità per VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

SLA

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC utilizzando una connessione VPN IPsec in una singola regione. La VPN ad alta disponibilità, distribuita autonomamente, ha il proprio SLA, se configurata correttamente.

Tuttavia, poiché il deployment della VPN ad alta disponibilità viene eseguito su Cloud Interconnect, lo SLA (accordo sul livello del servizio) complessivo per la VPN ad alta disponibilità su Cloud Interconnect corrisponde allo SLA (accordo sul livello del servizio) della topologia Cloud Interconnect che scegli di eseguire il deployment.

Lo SLA per la VPN ad alta disponibilità su Cloud Interconnect dipende dalla topologia Cloud Interconnect che scegli di eseguire il deployment.

Riepilogo dei prezzi

Per i deployment della VPN ad alta disponibilità su Cloud Interconnect, ti vengono addebitati i seguenti componenti:

  • La tua connessione Dedicated Interconnect, se utilizzi Dedicated Interconnect.
  • Ogni collegamento VLAN.
  • Ogni tunnel VPN.
  • Solo traffico in uscita di Cloud Interconnect. Non ti viene addebitato il traffico in uscita da Cloud VPN portato dai tunnel VPN ad alta disponibilità.
  • Indirizzi IP esterni a livello di regione assegnati ai gateway VPN ad alta disponibilità, se scegli di utilizzare indirizzi IP esterni. Tuttavia, ti vengono addebitati solo gli indirizzi IP che non sono utilizzati dai tunnel VPN.

Per ulteriori informazioni, consulta i prezzi di Cloud VPN e i prezzi di Cloud Interconnect.

Limitazioni

  • La VPN ad alta disponibilità su Cloud Interconnect richiede che i collegamenti VLAN vengano eseguiti su Dataplane v2. Per l'elenco delle regioni convalidate per Dataplane v2, consulta la tabella Località per Dedicated Interconnect o l'elenco dei Fornitori di servizi per Partner Interconnect.

  • La VPN ad alta disponibilità su Cloud Interconnect distingue tra i seguenti valori massimi di unità di trasmissione (MTU):

  • Ogni tunnel VPN ad alta disponibilità può supportare fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. Questo è un limite della VPN ad alta disponibilità. Per ulteriori informazioni, consulta la sezione Limiti nella documentazione di Cloud VPN.

  • Per un singolo collegamento VLAN con crittografia abilitata, la velocità effettiva combinata in entrata e in uscita è limitata a 50 Gbps.

  • In termini di latenza, l'aggiunta della crittografia IPsec a Cloud Interconnect

    aggiunge un po' di ritardo. Durante le normali operazioni, la latenza aggiuntiva è inferiore a 5 millisecondi.

  • Devi selezionare la crittografia IPsec quando crei il collegamento VLAN. Non puoi aggiungere la crittografia a un allegato esistente in un secondo momento.

  • Puoi terminare i collegamenti VLAN e i tunnel IPsec su due diversi dispositivi fisici on-premise. Le sessioni BGP su ogni collegamento VLAN, che pubblicizzano e negoziano i prefissi del gateway VPN, devono terminare sul dispositivo di collegamento VLAN on-premise. Le sessioni BGP su ogni tunnel VPN, che pubblicizzano i prefissi cloud (come di consueto), dovrebbero terminare sul dispositivo VPN.

  • Gli ASN dei due router Cloud possono essere diversi. Alle interfacce del router Cloud il peering con dispositivi on-premise non può essere assegnato a indirizzi IP (privati) RFC 1918.

  • Per ogni collegamento VLAN, puoi prenotare un solo intervallo di indirizzi IP interno per le interfacce gateway VPN ad alta disponibilità.

  • L'abilitazione del Bidirectional Forwarding Detection (BFD) non consente un rilevamento più rapido degli errori per la VPN ad alta disponibilità sui deployment di Cloud Interconnect.

  • La VPN ad alta disponibilità su Cloud Interconnect supporta i gateway VPN ad alta disponibilità IPv4 e IPv6 (doppio stack). Per creare gateway VPN ad alta disponibilità a doppio stack, devi utilizzare Google Cloud CLI o l'API Cloud Interconnect. Non puoi utilizzare la VPN ad alta disponibilità sulla procedura guidata di deployment di Cloud Interconnect nella console Google Cloud.

Che cosa succede dopo?