Vista geral da HA VPN através do Cloud Interconnect

A VPN de alta disponibilidade através do Cloud Interconnect permite-lhe encriptar o tráfego que atravessa as suas ligações de Interligação dedicada ou Interligação de parceiro. Para usar a VPN de alta disponibilidade através do Cloud Interconnect, implemente túneis de VPN de alta disponibilidade nos seus anexos de VLAN.

Com a VPN de alta disponibilidade através do Cloud Interconnect, pode melhorar a segurança geral da sua empresa e manter a conformidade com os regulamentos da indústria existentes e futuros. Por exemplo, pode ter de encriptar o tráfego de saída das suas aplicações ou garantir que os dados são encriptados em trânsito através de terceiros.

Tem muitas opções para cumprir estes requisitos. A encriptação pode ser realizada em várias camadas na pilha OSI e, em algumas camadas, pode não ser suportada universalmente. Por exemplo, o Transport Layer Security (TLS) não é suportado para todos os protocolos baseados em TCP, e a ativação do Datagram TLS (DTLS) pode não ser suportada para todos os protocolos baseados em UDP. Uma solução consiste em implementar a encriptação na camada de rede com o protocolo IPsec.

Como solução, a VPN de alta disponibilidade através do Cloud Interconnect tem a vantagem de fornecer ferramentas de implementação através da Google Cloud consola, da Google Cloud CLI e da API Compute Engine. Também pode usar endereços IP internos para os gateways de VPN de HA. As associações de VLANs que criar para a VPN de alta disponibilidade sobre o Cloud Interconnect suportam ligações a pontos finais do Private Service Connect. Por último, a VPN de alta disponibilidade através do Cloud Interconnect tem um SLA derivado dos respetivos componentes subjacentes, o Cloud VPN e o Cloud Interconnect. Para mais informações, consulte o ANS.

Outra opção é criar um gateway de VPN autogerido (nãoGoogle Cloud) na sua rede de nuvem virtual privada (VPC) e atribuir um endereço IP interno a cada gateway. Por exemplo, pode executar uma VPN strongSwan numa instância do Compute Engine. Em seguida, termina os túneis IPsec para esses gateways de VPN através do Cloud Interconnect a partir de um ambiente no local. Para mais informações sobre as opções de HA VPN, consulte as topologias de HA VPN.

Não pode implementar gateways e túneis de VPN clássica através do Cloud Interconnect.

Arquitetura de implementação

Quando implementa a VPN de alta disponibilidade através do Cloud Interconnect, cria dois níveis operacionais:

  • O nível do Cloud Interconnect, que inclui as associações de VLAN e o Cloud Router para o Cloud Interconnect.
  • O nível da HA VPN, que inclui os gateways e os túneis da HA VPN, bem como o Cloud Router para a HA VPN.

Cada nível requer o seu próprio Cloud Router:

  • O Cloud Router para o Cloud Interconnect é usado exclusivamente para trocar prefixos de gateway de VPN entre os anexos de VLAN. Este Cloud Router é usado apenas pelos anexos de VLAN do nível do Cloud Interconnect. Não pode ser usado no nível de VPN de alta disponibilidade.
  • O Cloud Router para a VPN de HA troca prefixos entre a sua rede da VPC e a sua rede nas instalações. Configura o Cloud Router para a VPN de alta disponibilidade e as respetivas sessões BGP da mesma forma que faria para uma implementação de VPN de alta disponibilidade normal.

Cria o nível de VPN de HA com base no nível do Cloud Interconnect. Por conseguinte, o nível de VPN de alta disponibilidade requer que o nível do Cloud Interconnect, baseado no Dedicated Interconnect ou no Partner Interconnect, esteja configurado e operacional corretamente.

O diagrama seguinte representa uma implementação de VPN de alta disponibilidade através do Cloud Interconnect.

Arquitetura de implementação para a VPN de alta disponibilidade através do Cloud Interconnect (clique para aumentar).
Figura 1. Arquitetura de implementação para a VPN de alta disponibilidade através do Cloud Interconnect (clique para aumentar).

Os intervalos de endereços IP aprendidos pelo Cloud Router no nível do Cloud Interconnect são usados para selecionar o tráfego interno enviado para os gateways de VPN de alta disponibilidade e os anexos de VLAN.

Failover

As secções seguintes descrevem diferentes tipos de HA VPN sobre a comutação por falha do Cloud Interconnect.

Comutação por falha do Cloud Interconnect

Quando a sessão BGP no nível do Cloud Interconnect é desativada, os encaminhamentos da VPN de alta disponibilidade correspondente para o Cloud Interconnect são retirados. Esta retratação leva à interrupção do túnel de HA VPN. Como tal, as rotas são transferidas para os outros túneis de VPN de HA alojados no outro anexo de VLAN.

O diagrama seguinte representa a comutação por falha do Cloud Interconnect.

Failover da associação VLAN do Cloud Interconnect para VPN de HA através do Cloud Interconnect (clique para aumentar).
Figura 2. Comutação por falha da associação VLAN do Cloud Interconnect para a VPN de alta disponibilidade através do Cloud Interconnect (clique para aumentar).

Comutação por falha do túnel de HA VPN

Quando uma sessão BGP no nível de VPN de HA fica inativa, ocorre uma comutação por falha de BGP normal e o tráfego do túnel de VPN de HA é encaminhado para outros túneis de VPN de HA disponíveis. As sessões de BGP do nível do Cloud Interconnect não são afetadas.

O diagrama seguinte representa a comutação em caso de falha do túnel de VPN de HA.

Comutação por falha do túnel de VPN de alta disponibilidade para VPN de alta disponibilidade através do Cloud Interconnect (clique para aumentar).
Figura 3. Failover do túnel de VPN de alta disponibilidade para VPN de alta disponibilidade através do Cloud Interconnect (clique para aumentar).

SLA

A VPN de alta disponibilidade é uma solução de VPN do Google Cloud de alta disponibilidade (HA) que lhe permite ligar em segurança a sua rede no local à sua rede VPC através de uma ligação VPN IPsec numa única Google Cloud região. A VPN de HA, implementada autonomamente, tem o seu próprio ANS quando está devidamente configurada.

No entanto, uma vez que a VPN de alta disponibilidade é implementada sobre o Cloud Interconnect, o SLA geral da VPN de alta disponibilidade sobre o Cloud Interconnect corresponde ao SLA da topologia do Cloud Interconnect que optar por implementar.

O SLA para a VPN de alta disponibilidade através do Cloud Interconnect depende da topologia do Cloud Interconnect que optar por implementar. Para ser elegível para um SLA, as suas implementações têm de ter um gateway com 2 associações VLAN associadas (failover).

Resumo dos preços

Para implementações de VPN de alta disponibilidade através do Cloud Interconnect, são-lhe cobrados os seguintes componentes:

  • A sua ligação de interligação dedicada, se usar a interligação dedicada.
  • Cada associação VLAN.
  • Cada túnel de VPN.
  • Apenas tráfego de saída do Cloud Interconnect. Não lhe é cobrado o tráfego de saída da VPN na nuvem transportado pelos seus túneis de VPN de alta disponibilidade.
  • Endereços IP externos regionais atribuídos aos seus gateways de VPN de alta disponibilidade, se optar por usar endereços IP externos. No entanto, apenas lhe é cobrado o valor pelos endereços IP que não estão a ser usados por túneis VPN.

Para mais informações, consulte os preços do Cloud VPN e os preços do Cloud Interconnect.

Limitações

  • Configuração:

    • O gateway de VPN de alta disponibilidade é um recurso imutável. Depois de criar e associar uma associação de VLAN, não pode alterar as associações entre a associação e as interfaces da gateway de VPN de alta disponibilidade.

      Por exemplo, se decidir mais tarde que precisa de configurar a comutação por falha, tem de criar um novo gateway de VPN de alta disponibilidade e, em seguida, eliminar o gateway original e os respetivos túneis.

    • Tem de selecionar a encriptação IPsec quando criar a associação de VLAN. Não pode adicionar encriptação a um anexo existente mais tarde.

    • Para cada anexo de VLAN, só pode reservar um intervalo de endereços IP internos para as interfaces do gateway de VPN de alta disponibilidade.

    • A ativação da deteção de encaminhamento bidirecional (BFD) não oferece uma deteção de falhas mais rápida para implementações de VPN de alta disponibilidade através do Cloud Interconnect.

    • A VPN de alta disponibilidade sobre o Cloud Interconnect suporta IPv4 e IPv6 (duplo stack) gateways de VPN de alta disponibilidade. Para criar gateways de VPN de alta disponibilidade de pilha dupla, tem de usar a CLI do Google Cloud ou a API Cloud Interconnect. Não pode usar o assistente de implementação da VPN de alta disponibilidade através do Cloud Interconnect na Google Cloud consola.

  • Payload e latência:

    • A VPN de alta disponibilidade através do Cloud Interconnect distingue os seguintes valores da unidade de transmissão máxima (MTU):

    • Cada túnel de VPN de HA pode suportar até 250 000 pacotes por segundo para a soma do tráfego de entrada e saída. Esta é uma limitação da VPN de alta disponibilidade. Para mais informações, consulte a secção Limites na documentação da VPN Cloud.

    • Para uma associação de VLAN com a encriptação ativada, a taxa de transferência de entrada e saída combinada está limitada a 50 Gbps.

    • Em termos de latência, a adição da encriptação IPsec ao Cloud Interconnect

      o trânsito adiciona algum atraso. Durante as operações normais, a latência adicionada é inferior a 5 milissegundos.

  • Pode terminar as associações de VLAN e os túneis IPsec em dois dispositivos físicos no local diferentes. As sessões BGP em cada anexo de VLAN, que anunciam e negociam os prefixos do gateway de VPN, devem terminar no dispositivo de anexo de VLAN no local. As sessões BGP em cada túnel VPN, que anunciam os prefixos da nuvem (como habitualmente), devem terminar no dispositivo VPN.

  • Os ASNs dos dois Cloud Routers podem ser diferentes. Não é possível atribuir endereços IP RFC 1918 (privados) às interfaces do Cloud Router que estabelecem peering com dispositivos no local.

O que se segue?