La VPN con alta disponibilidad a través de Cloud Interconnect te permite encriptar el tráfico que recorre tus conexiones de interconexión dedicada o de socio. Para usar la VPN con alta disponibilidad en Cloud Interconnect, implementa los túneles VPN con alta disponibilidad en los adjuntos de VLAN.
Con la VPN con alta disponibilidad en Cloud Interconnect, puedes mejorar la seguridad general de tu empresa y mantener el cumplimiento de las regulaciones existentes y futuras de la industria. Por ejemplo, es posible que debas encriptar el tráfico saliente de tus aplicaciones o asegurarte de que los datos estén encriptados en tránsito a través de terceros.
Tienes muchas opciones para cumplir con estos requisitos. La encriptación se puede realizar en varias capas de la pila de OSI y es posible que algunas no sean compatibles de forma universal. Por ejemplo, la seguridad de la capa de transporte (TLS) no es compatible con todos los protocolos basados en TCP, y es posible que no se admita habilitar TLS de datagrama (DTLS) para todos los protocolos basados en UDP. Una solución es implementar la encriptación en la capa de red con el protocolo IPsec.
Como solución, la VPN con alta disponibilidad sobre Cloud Interconnect tiene la ventaja de proporcionar herramientas de implementación con la consola de Google Cloud, Google Cloud CLI y la API de Compute Engine. También puedes usar direcciones IP internas para tus puertas de enlace de VPN con alta disponibilidad. Los adjuntos de VLAN que creas para las VPN con alta disponibilidad con Cloud Interconnect admiten conexiones a los extremos de Private Service Connect. Por último, la VPN con alta disponibilidad en Cloud Interconnect tiene un ANS que deriva de sus componentes subyacentes, Cloud VPN y Cloud Interconnect. Para obtener más información, consulta ANS.
Otra opción es crear una puerta de enlace de VPN autoadministrada (no relacionada con Google Cloud) en tu red de nube privada virtual (VPC) y asignar una dirección IP interna a cada puerta de enlace. Por ejemplo, puedes ejecutar una VPN de strongSwan en una instancia de Compute Engine. Luego, finalizas los túneles IPsec a esas puertas de enlace de VPN con Cloud Interconnect desde un entorno local. Para obtener más información sobre las opciones de VPN con alta disponibilidad, consulta Topologías de VPN con alta disponibilidad.
No se pueden implementar puertas de enlace de VPN clásica ni túneles en Cloud Interconnect.
Arquitectura de implementación
Cuando implementas una VPN con alta disponibilidad en Cloud Interconnect, creas dos niveles operativos:
- El nivel de Cloud Interconnect, que incluye los adjuntos de VLAN y el Cloud Router para Cloud Interconnect.
- El nivel de VPN con alta disponibilidad, que incluye las puertas de enlace y los túneles de VPN con alta disponibilidad, y el Cloud Router para las VPN con alta disponibilidad.
Cada nivel requiere su propio Cloud Router:
- El Cloud Router para Cloud Interconnect se usa exclusivamente para intercambiar prefijos de puerta de enlace de VPN entre los adjuntos de VLAN. Solo los adjuntos de VLAN del nivel de Cloud Interconnect usan este Cloud Router. No se puede usar en el nivel de VPN con alta disponibilidad.
- El Cloud Router para VPN con alta disponibilidad intercambia prefijos entre tu red de VPC y tu red local. Configura el Cloud Router para la VPN con alta disponibilidad y sus sesiones de BGP de la misma manera que lo harías para una implementación normal de VPN con alta disponibilidad.
Debes compilar el nivel de VPN con alta disponibilidad sobre el nivel de Cloud Interconnect. Por lo tanto, el nivel de VPN con alta disponibilidad requiere que el nivel de Cloud Interconnect, basado en la interconexión dedicada o la interconexión de socio, esté configurado y esté en funcionamiento de forma correcta.
En el siguiente diagrama, se muestra una VPN con alta disponibilidad sobre la implementación de Cloud Interconnect.
Los rangos de direcciones IP que aprendió el Cloud Router en el nivel de Cloud Interconnect se usan para seleccionar el tráfico interno enviado a las puertas de enlace de VPN con alta disponibilidad y los adjuntos de VLAN.
Conmutación por error
En las siguientes secciones, se describen diferentes tipos de VPN con alta disponibilidad sobre la conmutación por error de Cloud Interconnect.
Conmutación por error de Cloud Interconnect
Cuando la sesión de BGP en el nivel de Cloud Interconnect falla, se revierten las VPN con alta disponibilidad correspondientes a las rutas de Cloud Interconnect. Esta retractación genera una interrupción del túnel VPN con alta disponibilidad. Como resultado, las rutas se cambian a los otros túneles VPN con alta disponibilidad alojados en el otro adjunto de VLAN.
En el siguiente diagrama, se muestra la conmutación por error de Cloud Interconnect.
Conmutación por error del túnel VPN con alta disponibilidad
Cuando una sesión de BGP en el nivel de VPN con alta disponibilidad falla, se produce una conmutación por error normal de BGP y el tráfico del túnel VPN con alta disponibilidad se enruta a otros túneles VPN con alta disponibilidad disponibles. Las sesiones de BGP del nivel de Cloud Interconnect no se ven afectadas.
En el siguiente diagrama, se muestra la conmutación por error del túnel VPN con alta disponibilidad.
ANS
La VPN con alta disponibilidad (HA) es una solución de Cloud VPN que te permite establecer comunicación de forma segura entre tu red local y la red de VPC mediante una conexión de VPN con IPsec en una sola región. La VPN con alta disponibilidad, que se implementa por sí sola, tiene su propio ANS cuando se configura de forma correcta.
Sin embargo, debido a que la VPN con alta disponibilidad se implementa sobre Cloud Interconnect, el ANS general de la VPN con alta disponibilidad sobre Cloud Interconnect coincide con el ANS de la topología de Cloud Interconnect que elijas implementar.
El ANS de la VPN con alta disponibilidad en Cloud Interconnect depende de la topología de Cloud Interconnect que elijas implementar.
Implementación multirregional para aplicaciones de nivel de producción
Si la implementación usa una topología de Cloud Interconnect multirregional, la implementación de VPN con alta disponibilidad en Cloud Interconnect tiene un ANS del 99.99%.
- A fin de obtener la interconexión dedicada, consulta Establece una disponibilidad del 99.99% para la interconexión dedicada.
- En el caso de la interconexión de socio, consulta Establece el 99.99% de disponibilidad para la interconexión de socio.
Implementación de una sola región para aplicaciones no críticas
Si la implementación usa una topología de Cloud Interconnect de una sola región, la implementación de la VPN con alta disponibilidad en Cloud Interconnect tiene un ANS del 99.9%.
- A fin de obtener la interconexión dedicada, consulta Establece una disponibilidad del 99.9% para la interconexión dedicada.
- En el caso de la interconexión de socio, consulta Establece el 99.9% de disponibilidad para la interconexión de socio.
Resumen de precios
En el caso de las implementaciones de VPN con alta disponibilidad en Cloud Interconnect, se te cobra por los siguientes componentes:
- Tu conexión de interconexión, si usas la interconexión dedicada
- Cada adjunto de VLAN.
- Cada túnel VPN.
- Solo el tráfico de salida de Cloud Interconnect. No se te cobra por el tráfico de salida de Cloud VPN que llevan tus túneles VPN con alta disponibilidad.
- Direcciones IP externas regionales asignadas a tus puertas de enlace de VPN con alta disponibilidad, si eliges usar direcciones IP externas. Sin embargo, solo se te cobrará por las direcciones IP que no usen los túneles VPN.
Para obtener más información, consulta Precios de Cloud VPN y Precios de Cloud Interconnect.
Limitaciones
La VPN con alta disponibilidad en Cloud Interconnect requiere que tus adjuntos de VLAN se ejecuten en Dataplane v2. Para ver la lista de regiones validadas para Dataplane v2, consulta la tabla de ubicaciones para la interconexión dedicada o la lista de proveedores de servicios para la interconexión de socio.
La VPN con alta disponibilidad en Cloud Interconnect diferencia entre los siguientes valores de unidad de transmisión máxima (MTU):
MTU de la puerta de enlace de VPN con alta disponibilidad en Cloud Interconnect: 1,440 bytes.
MTU de la carga útil de VPN con alta disponibilidad en Cloud Interconnect está entre 1354 y 1386 bytes, según el algoritmo de cifrado que se usa. Para obtener más información, consulta Valores de MTU de tráfico encriptado.
Cada túnel VPN con alta disponibilidad puede admitir hasta 250,000 paquetes por segundo para la suma del tráfico de entrada y salida. Esta es una limitación de las VPN con alta disponibilidad. Para obtener más información, consulta Límites en la documentación de Cloud VPN.
Para un solo adjunto de VLAN con encriptación habilitada, la capacidad de procesamiento de entrada y salida combinada se limita a 50 Gbps.
En términos de latencia, agregar encriptación de IPsec al tráfico de Cloud Interconnect
agrega demoras. Durante las operaciones normales, la latencia agregada es inferior a 5 milisegundos.
Debes seleccionar la encriptación IPsec cuando creas el adjunto de VLAN. No puedes agregar encriptación a un adjunto existente más adelante.
Puedes finalizar los adjuntos de VLAN y los túneles IPsec en dos dispositivos físicos locales diferentes. Las sesiones de BGP sobre cada adjunto de VLAN, publicidad y negociación de los prefijos de puerta de enlace de VPN deben finalizar en el dispositivo de adjunto de VLAN local. Las sesiones de BGP sobre cada túnel VPN, que anuncian los prefijos de nube (como de costumbre), deben finalizar en el dispositivo VPN.
Los ASN de los dos Cloud Routers pueden ser diferentes. A las interfaces de Cloud Router que intercambian tráfico con dispositivos locales no se les pueden asignar direcciones IP RFC 1918 (privados).
Para cada adjunto de VLAN, solo puedes reservar un rango de direcciones IP internas para tus interfaces de puerta de enlace de VPN con alta disponibilidad.
Habilitar la detección de reenvío bidireccional (BFD) no proporciona una detección de fallas más rápida para las implementaciones de VPN con alta disponibilidad en Cloud Interconnect.
La VPN con alta disponibilidad mediante Cloud Interconnect admite puertas de enlace de VPN con alta disponibilidad de IPv4 y de IPv6 (pila doble). Para crear puertas de enlace de VPN con alta disponibilidad de pila doble, debes usar la CLI de Google Cloud o la API de Cloud Interconnect. No puedes usar la VPN con alta disponibilidad sobre el asistente de implementación de Cloud Interconnect en la consola de Google Cloud.
Próximos pasos
Para seguir los pasos necesarios a fin de implementar una VPN con alta disponibilidad en Cloud Interconnect, consulta VPN con alta disponibilidad sobre el proceso de implementación de Cloud Interconnect.
Para implementar una VPN con alta disponibilidad en Cloud Interconnect
mediante Terraform, consulta los ejemplos de Terraform para VPN con alta disponibilidad sobre Cloud Interconnect.
Para configurar la VPN con alta disponibilidad en Cloud Interconnect, consulta Configura la VPN con alta disponibilidad en Cloud Interconnect.