Visão geral da VPN de alta disponibilidade no Cloud Interconnect

Com a VPN de alta disponibilidade no Cloud Interconnect, é possível criptografar o tráfego que passa pelas suas conexões da Interconexão dedicada ou da Interconexão por parceiro. Para usar a VPN de alta disponibilidade pelo Cloud Interconnect, é necessário implantar túneis de VPN de alta disponibilidade nos anexos da VLAN.

Com a VPN de alta disponibilidade no Cloud Interconnect, é possível melhorar a segurança geral da sua empresa e manter a conformidade com regulamentações atuais e futuras do setor. Por exemplo, talvez seja necessário criptografar o tráfego de saída dos seus aplicativos ou garantir que os dados sejam criptografados em trânsito por terceiros.

Você tem muitas opções para atender a esses requisitos. A criptografia pode ser realizada em várias camadas na pilha OSI e em algumas camadas pode não ser aceita universalmente. Por exemplo, o Transport Layer Security (TLS) não é compatível com todos os protocolos baseados em TCP e a ativação do Datagram TLS (DTLS) pode não ser compatível com todos os protocolos baseados em UDP. Uma solução é implementar a criptografia na camada da rede com o protocolo IPsec.

Como solução, a VPN de alta disponibilidade do Cloud Interconnect tem a vantagem de fornecer ferramentas de implantação usando o console do Google Cloud, a CLI do Google Cloud e a API Compute Engine. Também é possível usar endereços IP particulares para os gateways de VPN de alta disponibilidade. Os anexos da VLAN que você criar para a VPN de alta disponibilidade pelo Cloud Interconnect vão oferecer suporte a conexões com endpoints do Private Service Connect. Por fim, a VPN de alta disponibilidade no Cloud Interconnect tem um SLA derivado dos componentes subjacentes, Cloud VPN e Cloud Interconnect. Para mais informações, consulte SLA.

Outra opção é criar gateways de VPN autogerenciados (que não sejam do Google Cloud) na rede de nuvem privada virtual (VPC) e atribuir um endereço IP particular a cada um deles. Por exemplo, é possível executar uma VPN strongSwan em uma instância do Compute Engine. Depois, encerre os túneis IPsec para esses gateways de VPN usando o Cloud Interconnect de um ambiente local. Para mais informações sobre as opções de VPN de alta disponibilidade, consulte Topologias de VPN de alta disponibilidade.

Não é possível implantar gateways e túneis de VPN clássica no Cloud Interconnect.

Arquitetura de implantação

Ao implantar a VPN de alta disponibilidade pelo Cloud Interconnect, você cria dois níveis operacionais:

  • O nível do Cloud Interconnect, que inclui os anexos da VLAN e o Cloud Router para Cloud Interconnect.
  • O nível da VPN de alta disponibilidade, que inclui gateways e túneis de VPN de alta disponibilidade e o Cloud Router para VPN de alta disponibilidade.

Cada nível requer um Cloud Router próprio:

  • O Cloud Router do Cloud Interconnect é usado exclusivamente para trocar prefixos de gateway da VPN entre os anexos da VLAN. Esse Cloud Router é usado apenas pelos anexos da VLAN do nível do Cloud Interconnect. Ele não pode ser usado no nível da VPN de alta disponibilidade.
  • O Cloud Router para VPN de alta disponibilidade troca prefixos entre a rede VPC e a rede local. Você configura o Cloud Router para VPN de alta disponibilidade e suas sessões do BGP da mesma forma que para uma implantação regular de VPN de alta disponibilidade.

Crie o nível de VPN de alta disponibilidade com base no nível do Cloud Interconnect. Portanto, o nível da VPN de alta disponibilidade exige que o nível do Cloud Interconnect, baseado em uma Interconexão dedicada ou em uma Interconexão por parceiro, esteja configurado e operacional corretamente.

O diagrama a seguir mostra uma VPN de alta disponibilidade na implantação do Cloud Interconnect.

Arquitetura de implantação para VPN de alta disponibilidade no
Cloud Interconnect (clique para ampliar).
Figura 1. Arquitetura de implantação para VPN de alta disponibilidade no Cloud Interconnect (clique para ampliar).

Os intervalos de endereços IP aprendidos pelo Cloud Router no nível do Cloud Interconnect são usados para selecionar o tráfego interno enviado para os gateways de VPN de alta disponibilidade e os anexos da VLAN.

Failover

As seções a seguir descrevem diferentes tipos de VPN de alta disponibilidade no failover do Cloud Interconnect.

Failover do Cloud Interconnect

Quando a sessão do BGP no nível do Cloud Interconnect cai, a VPN de alta disponibilidade correspondente para as rotas do Cloud Interconnect é retirada. Essa retirada leva à interrupção do túnel da VPN de alta disponibilidade. Como resultado, as rotas são deslocadas para os outros túneis de VPN de alta disponibilidade que são hospedados no outro anexo da VLAN.

O diagrama a seguir mostra o failover do Cloud Interconnect.

Failover de anexo da VLAN do Cloud Interconnect para VPN de alta disponibilidade pelo Cloud Interconnect (clique para ampliar).
Figura 2. Failover de anexo da VLAN do Cloud Interconnect para VPN de alta disponibilidade pelo Cloud Interconnect (clique para ampliar).

Failover de túnel de VPN de alta disponibilidade

Quando uma sessão do BGP no nível da VPN de alta disponibilidade ficar inativa, o failover normal do BGP ocorrerá e o tráfego do túnel da VPN de alta disponibilidade será roteado para outros túneis de VPN de alta disponibilidade disponíveis. As sessões do BGP do nível do Cloud Interconnect não são afetadas.

No diagrama a seguir, mostramos o failover do túnel de VPN de alta disponibilidade.

Failover de túnel de VPN de alta disponibilidade para VPN de alta disponibilidade pelo Cloud Interconnect (clique para ampliar).
Figura 3. Failover de túnel de VPN de alta disponibilidade para VPN de alta disponibilidade pelo Cloud Interconnect (clique para ampliar).

SLA

A VPN de alta disponibilidade (HA, na sigla em inglês) é uma solução do Cloud VPN de alta disponibilidade que permite conectar sua rede local à rede VPC com segurança usando uma conexão VPN IPsec em uma única região. A VPN de alta disponibilidade, implantada por conta própria, tem o próprio SLA quando configurada corretamente.

No entanto, como a VPN de alta disponibilidade é implantada no Cloud Interconnect, o SLA geral da VPN de alta disponibilidade sobre o Cloud Interconnect corresponde ao SLA da topologia do Cloud Interconnect que você escolhe implantar.

O SLA da VPN de alta disponibilidade sobre o Cloud Interconnect depende da topologia do Cloud Interconnect que você escolher implantar.

Resumo de preços

Para VPN de alta disponibilidade sobre implantações do Cloud Interconnect, os seguintes componentes são cobrados:

  • Sua conexão da Interconexão dedicada, se você usa a Interconexão dedicada.
  • Cada anexo da VLAN.
  • Cada túnel de VPN.
  • Apenas o tráfego de saída do Cloud Interconnect. Você não recebe cobranças pelo tráfego de saída do Cloud VPN carregado pelos túneis de alta disponibilidade.
  • Endereços IP externos regionais atribuídos aos gateways de VPN de alta disponibilidade, se você optar por usar endereços IP externos. No entanto, você só recebe cobranças pelos endereços IP que não são usados pelos túneis de VPN.

Para mais informações, consulte Preços do Cloud VPN e Preços do Cloud Interconnect.

Limitações

  • A VPN de alta disponibilidade pelo Cloud Interconnect diferencia os seguintes valores de unidade de transmissão máxima (MTU, na sigla em inglês):

  • Cada túnel de VPN de alta disponibilidade aceita até 250.000 pacotes por segundo para a soma do tráfego de entrada e saída. Essa é uma limitação da VPN de alta disponibilidade. Para mais informações, consulte Limites na documentação do Cloud VPN.

  • Para um único anexo da VLAN com criptografia ativada, a capacidade combinada de entrada e saída é limitada a 50 Gbps.

  • Em termos de latência, adicionar a criptografia IPsec ao Cloud Interconnect

    O tráfego adiciona algum atraso. Durante as operações normais, a latência adicionada é inferior a cinco milissegundos.

  • É preciso selecionar a criptografia IPsec ao criar o anexo da VLAN. Não é possível adicionar criptografia a um anexo atual posteriormente.

  • É possível encerrar os anexos da VLAN e os túneis IPsec em dois dispositivos físicos locais diferentes. As sessões do BGP em cada anexo da VLAN, que anunciam e negociam os prefixos de gateway da VPN, precisam ser encerradas no dispositivo de anexo da VLAN local. As sessões do BGP em cada túnel de VPN, divulgando os prefixos de nuvem (como de costume), precisam ser encerradas no dispositivo VPN.

  • Os ASNs dos dois Cloud Routers podem ser diferentes. Não é possível atribuir endereços IP RFC 1918 (privados) às interfaces do Cloud Router que fazem peering com dispositivos locais.

  • Para cada anexo da VLAN, é possível reservar apenas um intervalo de endereços IP internos para suas interfaces de gateway de VPN de alta disponibilidade.

  • Ativar a detecção de encaminhamento bidirecional (BFD, na sigla em inglês) não fornece detecção de falhas mais rápida para VPN de alta disponibilidade em implantações do Cloud Interconnect.

  • A VPN de alta disponibilidade no Cloud Interconnect é compatível com gateways de VPN de alta disponibilidade IPv4 e IPv6 (pilha dupla). Para criar gateways de VPN de alta disponibilidade de duas pilhas, você precisa usar a CLI do Google Cloud ou a API Cloud Interconnect. Não é possível usar a VPN de alta disponibilidade no assistente de implantação do Cloud Interconnect no console do Google Cloud.

A seguir