Les VPN haute disponibilité sur Cloud Interconnect vous permettent de chiffrer le trafic qui traverse vos connexions Dedicated Interconnect ou Partner Interconnect. Pour utiliser un VPN haute disponibilité sur Cloud Interconnect, vous devez déployer des tunnels VPN haute disponibilité sur vos rattachements de VLAN.
Grâce à un VPN haute disponibilité via Cloud Interconnect, vous pouvez améliorer la sécurité globale de votre entreprise et assurer la conformité avec les réglementations du secteur existantes et à venir. Par exemple, vous devrez peut-être chiffrer le trafic sortant de vos applications ou vous assurer que les données sont chiffrées en transit sur des tiers.
De nombreuses possibilités s'offrent à vous pour répondre à ces exigences. Le chiffrement peut être effectué à plusieurs couches de la pile OSI et, à l'échelle de certaines couches, peut ne pas être accepté de façon universelle. Par exemple, TLS (Transport Layer Security) n'est pas compatible avec tous les protocoles basés sur TCP, et l'activation de Datagram TLS (DTLS) peut ne pas être compatible avec tous les protocoles basés sur UDP. Une solution consiste à mettre en œuvre le chiffrement au niveau de la couche réseau avec le protocole IPsec.
En tant que solution, le VPN haute disponibilité sur Cloud Interconnect présente l'avantage de fournir des outils de déploiement à l'aide de la console Google Cloud, de Google Cloud CLI et de l'API Compute Engine. Vos passerelles VPN haute disponibilité peuvent aussi avoir des adresses IP internes. Les rattachements de VLAN que vous créez pour un VPN haute disponibilité sur Cloud Interconnect acceptent les connexions aux points de terminaison Private Service Connect. Enfin, le VPN haute disponibilité sur Cloud Interconnect possède un contrat de niveau de service dérivé de ses composants sous-jacents, Cloud VPN et Cloud Interconnect. Pour en savoir plus, consultez le contrat de niveau de service.
Il est aussi possible de créer une passerelle VPN autogérée (autre que Google Cloud) dans votre réseau cloud privé virtuel (VPC) et d'attribuer une adresse IP interne à chaque passerelle. Par exemple, vous pouvez exécuter un VPN StrongSwan sur une instance Compute Engine. Vous arrêtez ensuite des tunnels IPsec vers ces passerelles VPN en utilisant Cloud Interconnect depuis un environnement sur site. Pour en savoir plus sur les options des VPN haute disponibilité, consultez la page Topologies des VPN haute disponibilité.
Vous ne pouvez pas déployer de passerelles et de tunnels VPN classiques sur Cloud Interconnect.
Architecture de déploiement
Lorsque vous déployez un VPN haute disponibilité sur Cloud Interconnect, vous créez deux niveaux opérationnels:
- Le niveau Cloud Interconnect, qui inclut les rattachements de VLAN et le routeur Cloud Router pour Cloud Interconnect.
- Le niveau VPN haute disponibilité, qui inclut les passerelles et les tunnels VPN haute disponibilité, ainsi que le routeur Cloud Router pour les VPN haute disponibilité.
Chaque niveau nécessite son propre routeur Cloud Router :
- Cloud Router pour Cloud Interconnect est utilisé exclusivement pour échanger des préfixes de passerelle VPN entre les rattachements de VLAN. Ce routeur Cloud Router n'est utilisé que par les rattachements de VLAN du niveau Cloud Interconnect. Il ne peut pas être utilisé au niveau du VPN haute disponibilité.
- Le routeur Cloud Router pour le VPN haute disponibilité échange des préfixes entre votre réseau VPC et votre réseau sur site. Vous configurez le routeur Cloud Router pour le VPN haute disponibilité et ses sessions BGP de la même manière que pour un déploiement VPN haute disponibilité standard.
Vous créez le niveau VPN haute disponibilité au-dessus du niveau Cloud Interconnect. Par conséquent, le niveau de VPN haute disponibilité nécessite que le niveau Cloud Interconnect, qui repose sur l'interconnexion dédiée ou partenaire, soit correctement configuré et opérationnel.
Le schéma suivant illustre un déploiement VPN haute disponibilité sur Cloud Interconnect.
Les plages d'adresses IP apprises par Cloud Router au niveau de Cloud Interconnect permettent de sélectionner le trafic interne envoyé aux passerelles VPN haute disponibilité et aux rattachements de VLAN.
Basculement
Les sections suivantes décrivent différents types de VPN haute disponibilité via le basculement Cloud Interconnect.
Basculement Cloud Interconnect
Lorsque la session BGP au niveau de Cloud Interconnect est interrompue, le routage du VPN haute disponibilité vers les routes Cloud Interconnect est supprimé. Cette révocation entraîne une interruption du tunnel VPN haute disponibilité. Par conséquent, les routes sont déplacées vers les autres tunnels VPN haute disponibilité hébergés sur l'autre rattachement de VLAN.
Le schéma suivant illustre le basculement Cloud Interconnect.
Basculement des tunnels VPN haute disponibilité
Lorsqu'une session BGP au niveau du VPN haute disponibilité tombe en panne, le basculement BGP normal se produit et le trafic du tunnel VPN haute disponibilité est acheminé vers d'autres tunnels VPN haute disponibilité disponibles. Les sessions BGP du niveau Cloud Interconnect ne sont pas affectées.
Le schéma suivant illustre le basculement d'un tunnel VPN haute disponibilité.
dans le contrat de niveau de service
Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter en toute sécurité votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec située dans une seule région. Lorsqu'il est configuré correctement, le VPN haute disponibilité, déployé seul, dispose de son propre contrat de niveau de service.
Toutefois, étant donné que le VPN haute disponibilité est déployé sur Cloud Interconnect, le contrat de niveau de service global du VPN haute disponibilité sur Cloud Interconnect correspond au contrat de niveau de service de la topologie Cloud Interconnect que vous choisissez de déployer.
Le contrat de niveau de service pour les VPN haute disponibilité via Cloud Interconnect dépend de la topologie Cloud Interconnect que vous choisissez de déployer.
Déploiement multirégional pour les applications en production
Si le déploiement utilise une topologie Cloud Interconnect multirégionale, le déploiement VPN haute disponibilité via Cloud Interconnect a un contrat de niveau de service de 99,99%.
- Pour l'interconnexion dédiée, consultez la section Établir une disponibilité de 99,99% pour l'interconnexion dédiée.
- Pour l'interconnexion partenaire, consultez la page Établir une disponibilité de 99,99% pour l'interconnexion partenaire.
Déploiement dans une seule région pour les applications non critiques
Si le déploiement utilise une topologie Cloud Interconnect dans une seule région, le déploiement du VPN haute disponibilité via Cloud Interconnect a un contrat de niveau de service de 99,9%.
- Pour l'interconnexion dédiée, consultez la section Établir une disponibilité de 99,9% pour l'interconnexion dédiée.
- Pour l'interconnexion partenaire, consultez la page Établir une disponibilité de 99,9% pour l'interconnexion partenaire.
Synthèse des tarifs
Pour les déploiements VPN haute disponibilité via Cloud Interconnect, les composants suivants vous sont facturés:
- Votre connexion par interconnexion dédiée, si vous utilisez l'interconnexion dédiée.
- Chaque rattachement de VLAN
- Chaque tunnel VPN.
- Trafic de sortie Cloud Interconnect uniquement. Le trafic de sortie de Cloud VPN acheminé par vos tunnels VPN haute disponibilité ne vous est pas facturé.
- Adresses IP externes régionales attribuées à vos passerelles VPN haute disponibilité, si vous choisissez d'utiliser des adresses IP externes. Toutefois, vous ne payez que pour les adresses IP qui ne sont pas utilisées par les tunnels VPN.
Pour en savoir plus, consultez les pages Tarifs de Cloud VPN et Tarifs de Cloud Interconnect.
Limites
Les VPN haute disponibilité via Cloud Interconnect requièrent l'exécution de vos rattachements de VLAN sur Dataplane v2. Pour obtenir la liste des régions validées pour Dataplane v2, consultez la table des emplacements pour l'interconnexion dédiée ou la liste des fournisseurs de services pour l'interconnexion partenaire.
Le VPN haute disponibilité via Cloud Interconnect fait la distinction entre les valeurs d'unité de transmission maximale (MTU) suivantes:
MTU de passerelle VPN haute disponibilité sur Cloud Interconnect : 1 440 octets.
MTU de charge utile VPN haute disponibilité sur Cloud Interconnect : entre 1 354 et 1 386 octets, selon l'algorithme de chiffrement utilisé. Pour en savoir plus, consultez la section Valeurs MTU du trafic chiffré.
Chaque tunnel VPN haute disponibilité peut accepter jusqu'à 250 000 paquets par seconde au total pour le trafic entrant et sortant. Il s'agit d'une limitation liée au VPN haute disponibilité. Pour en savoir plus, consultez la page Limites de la documentation Cloud VPN.
Pour un seul rattachement de VLAN avec le chiffrement activé, le débit entrant et sortant combiné est limité à 50 Gbit/s.
En termes de latence, l'ajout du chiffrement IPsec à Cloud Interconnect
Le trafic ajoute un certain délai. En situation normale, la latence ajoutée est inférieure à 5 millisecondes.
Vous devez sélectionner le chiffrement IPsec lorsque vous créez le rattachement de VLAN. Vous ne pourrez pas ajouter le chiffrement à un rattachement existant ultérieurement.
Vous pouvez interrompre les rattachements de VLAN et les tunnels IPsec sur deux appareils physiques sur site différents. Les sessions BGP sur chaque rattachement de VLAN, qui annoncent et négocient les préfixes de la passerelle VPN, doivent se terminer sur l'appareil de rattachement de VLAN sur site. Les sessions BGP sur chaque tunnel VPN, annonçant les préfixes cloud (comme d'habitude), doivent se terminer sur l'appareil VPN.
Les numéros ASN des deux routeurs cloud peuvent être différents. Les interfaces Cloud Router qui sont appairées à des appareils sur site ne peuvent pas se voir attribuer des adresses IP RFC 1918 (privées).
Pour chaque rattachement de VLAN, vous ne pouvez réserver qu'une plage d'adresses IP interne pour vos interfaces de passerelle VPN haute disponibilité.
L'activation de la détection de transfert bidirectionnel (BFD) ne permet pas de détecter plus rapidement les échecs pour les déploiements VPN haute disponibilité via Cloud Interconnect.
Le VPN haute disponibilité sur Cloud Interconnect est compatible avec les passerelles VPN haute disponibilité IPv4 et IPv6 (double pile). Pour créer des passerelles VPN haute disponibilité à double pile, vous devez utiliser Google Cloud CLI ou l'API Cloud Interconnect. Vous ne pouvez pas utiliser le VPN haute disponibilité via l'assistant de déploiement de Cloud Interconnect dans la console Google Cloud.
Étape suivante
Pour suivre la procédure de déploiement d'un VPN haute disponibilité sur Cloud Interconnect, consultez la page Processus de déploiement d'un VPN haute disponibilité via Cloud Interconnect.
Pour déployer un VPN haute disponibilité sur Cloud Interconnect
à l'aide de Terraform, consultez la page Exemples Terraform pour les VPN haute disponibilité sur Cloud Interconnect.
Pour configurer un VPN haute disponibilité sur Cloud Interconnect, consultez la page Configurer un VPN haute disponibilité sur Cloud Interconnect.