Mit HA VPN über Cloud Interconnect können Sie den Traffic verschlüsseln, der über Ihre Dedicated Interconnect- oder Partner Interconnect-Verbindungen geleitet wird. Wenn Sie HA VPN über Cloud Interconnect verwenden möchten, müssen Sie HA VPN-Tunnel mithilfe Ihrer VLAN-Anhänge bereitstellen.
Mit HA VPN über Cloud Interconnect können Sie die Sicherheit Ihres Unternehmens insgesamt verbessern sowie für die Einhaltung bestehender und künftiger Branchenvorschriften sorgen. Beispielsweise kann es sein, dass Sie den ausgehenden Traffic Ihrer Anwendungen verschlüsseln oder gewährleisten müssen, dass die Daten bei der Übertragung über Drittanbieter verschlüsselt werden.
Sie haben viele Möglichkeiten, diese Anforderungen zu erfüllen. Die Verschlüsselung kann im OSI-Stack auf mehreren Ebenen ausgeführt werden. Sie wird aber auf einigen Ebenen nicht universell unterstützt. Beispielsweise wird Transport Layer Security (TLS) nicht für alle TCP-basierten Protokolle unterstützt und die Aktivierung von Datagram TLS (DTLS) wird möglicherweise nicht für alle UDP-basierten Protokolle unterstützt. Eine Lösung besteht darin, mit dem IPsec-Protokoll eine Verschlüsselung auf Netzwerkebene zu implementieren.
HA VPN über Cloud Interconnect bietet dafür den Vorteil, Bereitstellungstools mit der Google Cloud Console, der Google Cloud CLI und der Compute Engine API nutzen zu können. Außerdem können Sie für Ihre HA VPN-Gateways interne IP-Adressen verwenden. Die VLAN-Anhänge, die Sie für HA VPN über Cloud Interconnect erstellen, unterstützen Verbindungen zu Private Service Connect-Endpunkten. Und schließlich hat HA VPN über Cloud Interconnect ein SLA, das auf den zugrunde liegenden Komponenten, auf Cloud VPN und Cloud Interconnect basiert. Weitere Informationen finden Sie unter SLA.
Eine weitere Option besteht darin, ein selbstverwaltetes (nicht Google Cloud-basiertes) VPN-Gateway in Ihrem VPC-Netzwerk (Virtual Private Cloud) zu erstellen und jedem Gateway eine interne IP-Adresse zuzuweisen. So können Sie beispielsweise ein strongSwan-VPN auf einer Compute Engine-Instanz ausführen. Anschließend beenden Sie die IPsec-Tunnel zu diesen VPN-Gateways mithilfe von Cloud Interconnect aus einer lokalen Umgebung. Weitere Informationen zu HA VPN-Optionen finden Sie unter HA VPN-Topologien.
Sie können über Cloud Interconnect keine klassischen VPN-Gateways und -Tunnel bereitstellen.
Bereitstellungsarchitektur
Wenn Sie HA VPN über Cloud Interconnect bereitstellen, müssen Sie zwei Betriebsebenen erstellen:
- Die Cloud Interconnect-Ebene mit den VLAN-Anhängen und dem Cloud Router für Cloud Interconnect.
- Die HA VPN-Ebene, die die HA VPN-Gateways und -Tunnel sowie den Cloud Router für HA VPN umfasst.
Jede Ebene benötigt einen eigenen Cloud Router:
- Der Cloud Router für Cloud Interconnect wird ausschließlich zum Austausch von VPN-Gateway-Präfixen zwischen den VLAN-Anhängen verwendet. Dieser Cloud Router wird nur von den VLAN-Anhängen der Cloud Interconnect-Ebene genutzt. Er kann nicht auf der HA VPN-Ebene angewendet werden.
- Der Cloud Router für HA VPN tauscht Präfixe zwischen Ihrem VPC-Netzwerk und Ihrem lokalen Netzwerk aus. Sie konfigurieren den Cloud Router für HA VPN und seine BGP-Sitzungen auf die gleiche Weise wie für eine reguläre HA VPN-Bereitstellung.
Sie erstellen die HA VPN-Ebene zusätzlich zur Cloud Interconnect-Ebene. Voraussetzung für die HA VPN-Ebene ist daher, dass die Cloud Interconnect-Ebene, die entweder auf Dedicated Interconnect oder Partner Interconnect basiert, ordnungsgemäß konfiguriert und betriebsbereit ist.
Das folgende Diagramm zeigt eine HA VPN über eine Cloud Interconnect-Bereitstellung.
Über die IP-Adressbereiche, die vom Cloud Router auf der Cloud Interconnect-Ebene ermittelt werden, wird der interne Traffic ausgewählt, der an die HA VPN-Gateways und die VLAN-Anhänge gesendet wird.
Failover
In den folgenden Abschnitten werden verschiedene Arten von HA VPN über Cloud Interconnect-Failover dargestellt.
Cloud Interconnect-Failover
Wenn die BGP-Sitzung auf der Cloud Interconnect-Ebene ausfällt, sind die entsprechenden HA VPN- zu Cloud Interconnect-Routen nicht mehr gültig. Dies führt zu einer Unterbrechung des HA VPN-Tunnels. Die Routen werden dann zu den anderen HA VPN-Tunneln verschoben, die im anderen VLAN-Anhang gehostet werden.
Im folgenden Diagramm ist ein Cloud Interconnect-Failover dargestellt.
Failover für HA VPN-Tunnel
Wenn eine BGP-Sitzung auf der HA VPN-Ebene ausfällt, erfolgt ein normales BGP-Failover und der HA VPN-Tunnel-Traffic wird an andere verfügbare HA VPN-Tunnel weitergeleitet. Die BGP-Sitzungen der Cloud Interconnect-Ebene sind davon nicht betroffen.
Im folgenden Diagramm ist ein Failover des HA VPN-Tunnels dargestellt.
SLA
HA VPN ist eine Cloud VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung in einer einzelnen Region sicher mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden können. Ein separat bereitgestelltes HA VPN hat bei korrekter Konfiguration ein eigenes SLA.
Wenn HA VPN jedoch über Cloud Interconnect bereitgestellt wird, entspricht das Gesamt-SLA für HA VPN über Cloud Interconnect dem SLA der Cloud Interconnect-Topologie, die Sie bereitstellen.
Das SLA für HA VPN über Cloud Interconnect hängt also von der bereitgestellten Cloud Interconnect-Topologie ab.
Multiregionale Bereitstellung für Anwendungen auf Produktionsebene
Wenn für die Bereitstellung eine multiregionale Cloud Interconnect-Topologie verwendet wird, hat die HA VPN über Cloud Interconnect-Bereitstellung ein SLA von 99,99 %.
- Informationen zu Dedicated Interconnect finden Sie unter 99,99 % Verfügbarkeit für Dedicated Interconnect einrichten.
- Informationen zu Partner Interconnect erhalten Sie unter 99,99 % Verfügbarkeit für Partner Interconnect einrichten.
Bereitstellung in einer Region für nicht kritische Anwendungen
Wenn für die Bereitstellung eine Cloud Interconnect-Topologie mit einer einzigen Region verwendet wird, hat die HA VPN über Cloud Interconnect-Bereitstellung ein SLA von 99,9 %.
- Informationen zu Dedicated Interconnect finden Sie unter 99,9 % Verfügbarkeit für Dedicated Interconnect einrichten.
- Informationen zu Partner Interconnect erhalten Sie unter 99,9 % Verfügbarkeit für Partner Interconnect einrichten.
Preismodelle
Für HA VPN über Cloud Interconnect-Bereitstellungen werden Ihnen die folgenden Komponenten in Rechnung gestellt:
- Ihre Dedicated Interconnect-Verbindung, wenn Sie Dedicated Interconnect nutzen.
- Alle VLAN-Anhänge.
- Alle VPN-Tunnel.
- Nur ausgehender Cloud Interconnect-Traffic. Für ausgehenden Cloud VPN-Traffic von Ihren HA VPN-Tunneln werden keine Gebühren erhoben.
- Regionale externe IP-Adressen, die Ihren HA VPN-Gateways zugewiesen sind, wenn Sie externe IP-Adressen verwenden. Es werden Ihnen aber nur die IP-Adressen in Rechnung gestellt, die nicht von VPN-Tunneln genutzt werden.
Weitere Informationen finden Sie unter Cloud VPN-Preise und Cloud Interconnect-Preise.
Beschränkungen
Bei HA VPN über Cloud Interconnect müssen Ihre VLAN-Anhänge auf Dataplane v2 ausgeführt werden. Die für Dataplanev2 validierten Regionen finden Sie in der Standorttabelle für Dedicated Interconnect oder in der Liste der Dienstanbieter für Partner Interconnect.
HA VPN über Cloud Interconnect unterscheidet zwischen den folgenden Werten für die maximale Übertragungseinheit (MTU):
HA VPN über Cloud Interconnect-Gateway-MTU: 1.440 Byte.
HA VPN über Cloud Interconnect-Nutzlast: Liegt zwischen 1.354 bis 1.386 Byte, je nach verwendeter Chiffre. Weitere Informationen finden Sie unter Verschlüsselte Traffic-MTU-Werte.
Jeder HA VPN-Tunnel kann für die Summe des ein- und ausgehenden Traffics bis zu 250.000 Pakete pro Sekunde unterstützen. Dies ist eine Einschränkung von HA VPN. Weitere Informationen finden Sie in der Cloud VPN-Dokumentation unter Einschränkungen.
Bei einem einzelnen VLAN-Anhang mit aktivierter Verschlüsselung ist der kombinierte eingehende und ausgehende Durchsatz auf 50 Gbit/s beschränkt.
In Bezug auf die Latenz wird durch das Hinzufügen einer IPsec-Verschlüsselung zu Cloud Interconnect
der Traffic etwas verzögert. Im Normalbetrieb beträgt die zusätzliche Latenz aber weniger als 5 Millisekunden.
Sie müssen die IPsec-Verschlüsselung beim Erstellen des VLAN-Anhangs auswählen. Einem bereits vorhandenen Anhang kann später keine Verschlüsselung mehr hinzugefügt werden.
Sie können die VLAN-Anhänge und IPsec-Tunnel auf zwei verschiedenen physischen lokalen Geräten beenden. Die BGP-Sitzungen mit dem jeweiligen VLAN-Anhang, der für das Advertising und das Aushandeln der VPN-Gateway-Präfixe sorgt, sollten auf dem lokalen VLAN-Anhangsgerät beendet werden. Die BGP-Sitzungen mit dem jeweiligen VPN-Tunnel, der die Cloud-Präfixe wie gewohnt bewirbt, sollten auf dem VPN-Gerät beendet werden.
Die ASNs der beiden Cloud Router können verschieden sein. Cloud Router-Schnittstellen, die ein Peering mit lokalen Geräten ausführen, können keine privaten RFC-1918-IP-Adressen zugewiesen werden.
Für jeden VLAN-Anhang lässt sich für Ihre HA VPN-Gateway-Schnittstellen nur ein interner IP-Adressbereich reservieren.
Das Aktivieren von Bidirectional Forwarding Detection (BFD) ermöglicht keine schnellere Fehlererkennung für HA VPN über Cloud Interconnect-Bereitstellungen.
HA VPN über Cloud Interconnect unterstützt IPv4- und IPv6-Gateways für HA VPN (Dual-Stack). Zum Erstellen von Dual-Stack-HA VPN-Gateways müssen Sie die Google Cloud CLI oder die Cloud Interconnect API verwenden. Der Assistent für HA VPN über Cloud Interconnect-Bereitstellungen in der Google Cloud Console kann dafür nicht verwendet werden.
Nächste Schritte
Informationen zu den erforderlichen Schritten für das Bereitstellen von HA VPN über Cloud Interconnect finden Sie unter HA VPN über Cloud Interconnect-Bereitstellungsprozess.
So stellen Sie HA VPN über Cloud Interconnect bereit:
Informationen zur Verwendung von Terraform finden Sie unter Terraform-Beispiele für HA VPN über Cloud Interconnect.
Informationen zum Konfigurieren von HA VPN über Cloud Interconnect finden Sie unter HA VPN über Cloud Interconnect konfigurieren.