通过 Cloud Interconnect 实现的高可用性 VPN 概览

借助通过 Cloud Interconnect 实现的高可用性 VPN，您可以加密遍历专用互连连接或合作伙伴互连连接的流量。如需使用通过 Cloud Interconnect 实现的高可用性 VPN，请通过 VLAN 连接部署高可用性 VPN 隧道。

借助通过 Cloud Interconnect 实现的高可用性 VPN，您可以提高业务的整体安全性，并确保遵守现有和即将推出的行业法规。例如，您可能需要加密来自应用的传出流量，或者确保数据在传输过程中通过第三方进行加密。

您可以通过多种方式满足这些要求。您可以在 OSI 栈中的多个层执行加密，但某些层的加密可能无法获得全面支持。例如，所有基于 TCP 的协议都不支持传输层安全协议 (TLS)，并且所有基于 UDP 的协议都可能无法支持启用数据报 TLS (DTLS)。一种解决方案是使用 IPsec 协议在网络层实现加密。

作为解决方案，通过 Cloud Interconnect 实现的高可用性 VPN 的优势在于可使用 Google Cloud 控制台、Google Cloud CLI 和 Compute Engine API 提供部署工具。您还可以将内部 IP 地址用于高可用性 VPN 网关。您为通过 Cloud Interconnect 实现的高可用性 VPN 创建的 VLAN 连接支持与 Private Service Connect 端点的连接。最后，通过 Cloud Interconnect 实现的高可用性 VPN 具有派生自其底层组件（即 Cloud VPN 和 Cloud Interconnect）的服务等级协议 (SLA)。如需了解详情，请参阅 SLA。

另一种方法是在 Virtual Private Cloud (VPC) 网络中创建自行管理（非 Google Cloud）的 VPN 网关，并为每个网关分配一个内部 IP 地址。例如，您可以在 Compute Engine 实例上运行 strongSwan VPN。然后，在本地环境中使用 Cloud Interconnect 终止通往这些 VPN 网关的 IPsec 隧道。如需详细了解高可用性 VPN 选项，请参阅高可用性 VPN 拓扑。

您无法通过 Cloud Interconnect 部署传统 VPN 网关和隧道。

部署架构

部署通过 Cloud Interconnect 实现的高可用性 VPN 时，您需要创建两个操作层级：

Cloud Interconnect 层级，包括 VLAN 连接和适用于 Cloud Interconnect 的 Cloud Router 路由器。
高可用性 VPN 层级，包括高可用性 VPN 网关和隧道以及适用于高可用性 VPN 的 Cloud Router 路由器。

每个层级都需要有自己的 Cloud Router 路由器：

适用于 Cloud Interconnect 的 Cloud Router 路由器专门用于在 VLAN 连接之间交换 VPN 网关前缀。此 Cloud Router 路由器仅供 Cloud Interconnect 层级的 VLAN 连接使用。它不能用于高可用性 VPN 层级。
适用于高可用性 VPN 的 Cloud Router 路由器会在 VPC 网络和本地网络之间交换前缀。您可以按照针对常规高可用性 VPN 部署相同的方式配置适用于高可用性 VPN 的 Cloud Router 路由器及其 BGP 会话。

您可以在 Cloud Interconnect 层级之上构建高可用性 VPN 层级。因此，高可用性 VPN 层级要求基于专用互连或合作伙伴互连的 Cloud Interconnect 层级已正确配置且正常运行。

下图展示了通过 Cloud Interconnect 实现的高可用性 VPN 部署。

**图 1.** 通过 Cloud Interconnect 实现的高可用性 VPN 的部署架构（点击可放大）。

Cloud Interconnect 层级上的 Cloud Router 路由器获知的 IP 地址范围用于选择发送到高可用性 VPN 网关和 VLAN 连接的内部流量。

故障切换

以下部分介绍了通过 Cloud Interconnect 实现的高可用性 VPN 故障切换的不同类型。

Cloud Interconnect 故障切换

当 Cloud Interconnect 层级上的 BGP 会话关闭时，对应的高可用性 VPN 到 Cloud Interconnect 的路由会被撤消。此撤消操作会导致高可用性 VPN 隧道中断。因此，路由会转移到托管在其他 VLAN 连接上的其他高可用性 VPN 隧道。

下图展示了 Cloud Interconnect 故障切换。

**图 2.** 通过 Cloud Interconnect 实现的高可用性 VPN 的 Cloud Interconnect VLAN 连接故障切换（点击可放大）。

高可用性 VPN 隧道故障切换

当高可用性 VPN 层级上的 BGP 会话关闭时，会发生正常的 BGP 故障切换，并且高可用性 VPN 隧道流量会路由到其他可用的高可用性 VPN 隧道。 Cloud Interconnect 层级的 BGP 会话不会受影响。

下图展示了高可用性 VPN 隧道故障切换。

**图 3.** 通过 Cloud Interconnect 实现的高可用性 VPN 的高可用性 VPN 隧道故障切换（点击可放大）。

SLA

高可用性 VPN 是一种高可用性 (HA) Cloud VPN 解决方案，可让您在单个区域中使用 IPsec VPN 连接将您的本地网络安全地连接到 VPC 网络。高可用性 VPN 自行部署，在正确配置后具有自己的 SLA。

但是，由于高可用性 VPN 部署在 Cloud Interconnect 之上，因此通过 Cloud Interconnect 实现的高可用性 VPN 的整体 SLA 与您选择部署的 Cloud Interconnect 拓扑的 SLA 匹配。

通过 Cloud Interconnect 实现的高可用性 VPN 的 SLA 取决于您选择部署的 Cloud Interconnect 拓扑。

生产级应用的多区域部署

如果部署使用多区域 Cloud Interconnect 拓扑，则通过 Cloud Interconnect 实现的高可用性 VPN 部署的 SLA 可承诺 99.99% 可用性。
- 对于专用互连，请参阅为专用互连建立 99.99% 可用性。
- 对于合作伙伴互连，请参阅为合作伙伴互连建立 99.99% 可用性配置。
适用于非关键应用的单区域部署

如果部署使用单区域 Cloud Interconnect 拓扑，则通过 Cloud Interconnect 实现的高可用性 VPN 部署的 SLA 可承诺 99.9% 可用性。
- 对于专用互连，请参阅为专用互连建立 99.9% 可用性配置。
- 对于合作伙伴互连，请参阅为合作伙伴互连建立 99.9% 可用性配置。

价格摘要

对于通过 Cloud Interconnect 实现的高可用性 VPN 部署，您需要为以下组件付费：

专用互连连接（如果您使用专用互连）。
每个 VLAN 连接。
每个 VPN 隧道。
仅限 Cloud Interconnect 出站流量。您不需要为高可用性 VPN 隧道传输的 Cloud VPN 出站流量付费。
分配给高可用性 VPN 网关的区域级外部 IP 地址（如果您选择使用外部 IP 地址）。但是，您只需为 VPN 隧道未使用的 IP 地址付费。

如需了解详情，请参阅 Cloud VPN 价格和 Cloud Interconnect 价格。

限制

通过 Cloud Interconnect 实现的高可用性 VPN 要求 VLAN 连接在 Dataplane v2 上运行。如需查看经过 Dataplane v2 验证的区域列表，请参阅位置表（对于专用互连）或服务提供商列表（对于合作伙伴互连）。
通过 Cloud Interconnect 实现的高可用性 VPN 区分以下最大传输单元 (MTU) 值：
- 通过 Cloud Interconnect 实现的高可用性 VPN 网关 MTU：1440 字节。
- 通过 Cloud Interconnect 实现的高可用性 VPN 载荷 MTU：1354 到 1386 字节之间，具体取决于所使用的加密方式。如需了解详情，请参阅加密流量 MTU 值。
每个高可用性 VPN 隧道最多可支持每秒 25 万个数据包，用于入站流量和出站流量之和。这是高可用性 VPN 的限制。如需了解详情，请参阅 Cloud VPN 文档中的限制。
对于启用了加密的单个 VLAN 连接，入站和出站吞吐量总和不能超过 50 Gbps。
就延迟时间而言，向 Cloud Interconnect 流量添加 IPsec 加密

会增加一些延迟时间。在正常操作期间，增加的延迟时间不到 5 毫秒。
您必须在创建 VLAN 连接时选择 IPsec 加密。您之后无法向现有连接添加加密。
您可以在两个不同的本地物理设备上终止 VLAN 连接和 IPsec 隧道。每个 VLAN 连接上的 BGP 会话（通告和协商 VPN 网关前缀）应在本地 VLAN 连接设备上终止。每个 VPN 隧道上的 BGP 会话（像平常一样通告云前缀）应在 VPN 设备上终止。
两个 Cloud Router 路由器的 ASN 可以不同。您不能为与本地设备对等互连的 Cloud Router 路由器接口分配 RFC 1918（专用）IP 地址。
对于每个 VLAN 连接，您只能为高可用性 VPN 网关接口预留一个内部 IP 地址范围。
启用双向转发检测 (BFD) 不能加快对通过 Cloud Interconnect 实现的高可用性 VPN 部署的故障检测。
通过 Cloud Interconnect 实现的高可用性 VPN 支持 IPv4 和 IPv6（双栈）高可用性 VPN 网关。如需创建双栈高可用性 VPN 网关，您必须使用 Google Cloud CLI 或 Cloud Interconnect API。您无法在 Google Cloud 控制台中使用通过 Cloud Interconnect 实现的高可用性 VPN 部署向导。

后续步骤

如需按照部署通过 Cloud Interconnect 实现的高可用性 VPN 所需的步骤操作，请参阅通过 Cloud Interconnect 实现的高可用性 VPN 部署过程。
如需使用 Terraform 部署通过 Cloud Interconnect 实现的高可用性 VPN，

请参阅通过 Cloud Interconnect 实现的高可用性 VPN 的 Terraform 示例。
如需配置通过 Cloud Interconnect 实现的高可用性 VPN，请参阅配置通过 Cloud Interconnect 实现的高可用性 VPN。