Ringkasan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect

VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect memungkinkan Anda mengenkripsi traffic yang melintasi koneksi Dedicated Interconnect atau Partner Interconnect. Untuk menggunakan VPN dengan ketersediaan tinggi (HA) di Cloud Interconnect, Anda men-deploy tunnel VPN dengan ketersediaan tinggi (HA) di lampiran VLAN Anda.

Dengan VPN dengan ketersediaan tinggi (HA) di Cloud Interconnect, Anda dapat meningkatkan keamanan bisnis secara keseluruhan dan menjaga kepatuhan terhadap peraturan industri yang ada dan yang akan datang. Misalnya, Anda mungkin diminta untuk mengenkripsi traffic keluar dari aplikasi Anda atau memastikan bahwa data dienkripsi saat dalam pengiriman melalui pihak ketiga.

Anda memiliki banyak pilihan dalam memenuhi persyaratan ini. Enkripsi dapat dilakukan pada beberapa lapisan dalam tumpukan OSI dan pada beberapa lapisan mungkin tidak didukung secara universal. Misalnya, Transport Layer Security (TLS) tidak didukung untuk semua protokol berbasis TCP, dan pengaktifan Datagram TLS (DTLS) mungkin tidak didukung untuk semua protokol berbasis UDP. Salah satu solusinya adalah menerapkan enkripsi di lapisan jaringan dengan protokol IPsec.

Sebagai solusinya, VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect memiliki keunggulan dalam menyediakan alat deployment menggunakan Konsol Google Cloud, Google Cloud CLI, dan Compute Engine API. Anda juga dapat menggunakan alamat IP internal untuk gateway VPN dengan ketersediaan tinggi (HA). Lampiran VLAN yang Anda buat untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect mendukung koneksi ke endpoint Private Service Connect. Terakhir, VPN dengan ketersediaan tinggi (HA) di Cloud Interconnect memiliki SLA yang berasal dari komponen dasarnya, yaitu Cloud VPN dan Cloud Interconnect. Untuk mengetahui informasi selengkapnya, lihat SLA.

Opsi lainnya adalah membuat gateway VPN yang dikelola sendiri (non-Google Cloud) di jaringan Virtual Private Cloud (VPC) Anda dan menetapkan alamat IP internal ke setiap gateway. Misalnya, Anda dapat menjalankan strongSwan VPN pada instance Compute Engine. Kemudian, Anda dapat menghentikan tunnel IPsec ke gateway VPN tersebut menggunakan Cloud Interconnect dari lingkungan lokal. Untuk mengetahui informasi selengkapnya tentang opsi VPN dengan ketersediaan tinggi (HA), lihat topologi VPN dengan ketersediaan tinggi (HA).

Anda tidak dapat men-deploy gateway dan tunnel VPN Klasik melalui Cloud Interconnect.

Arsitektur deployment

Saat men-deploy VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect, Anda membuat dua tingkat operasional:

  • Tingkat Cloud Interconnect, yang mencakup lampiran VLAN dan Cloud Router untuk Cloud Interconnect.
  • Tingkat VPN dengan ketersediaan tinggi (HA), yang mencakup gateway dan tunnel VPN dengan ketersediaan tinggi (HA) dan Cloud Router untuk VPN dengan ketersediaan tinggi (HA).

Setiap tingkat memerlukan Cloud Router-nya sendiri:

  • Cloud Router untuk Cloud Interconnect digunakan secara eksklusif untuk pertukaran awalan gateway VPN di antara lampiran VLAN. Cloud Router ini hanya digunakan oleh lampiran VLAN tingkat Cloud Interconnect. Opsi ini tidak dapat digunakan di tingkat VPN dengan ketersediaan tinggi (HA).
  • Cloud Router untuk VPN dengan ketersediaan tinggi (HA) menukar awalan antara jaringan VPC dan jaringan lokal Anda. Cloud Router untuk VPN dengan ketersediaan tinggi (HA) dan sesi BGP-nya dikonfigurasi dengan cara yang sama seperti mengonfigurasi deployment VPN dengan ketersediaan tinggi (HA) reguler.

Anda mem-build tingkat VPN dengan ketersediaan tinggi (HA) di atas tingkat Cloud Interconnect. Oleh karena itu, tingkat VPN dengan ketersediaan tinggi (HA) mengharuskan tingkat Cloud Interconnect, yang didasarkan pada Dedicated Interconnect atau Partner Interconnect, dikonfigurasi dan beroperasi dengan benar.

Diagram berikut menggambarkan VPN dengan ketersediaan tinggi (HA) melalui deployment Cloud Interconnect.

Arsitektur deployment untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).
Gambar 1. Arsitektur deployment untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).

Rentang alamat IP yang dipelajari oleh Cloud Router pada tingkat Cloud Interconnect digunakan untuk memilih traffic internal yang dikirim ke gateway VPN dengan ketersediaan tinggi (HA) dan lampiran VLAN.

Failover

Bagian berikut menjelaskan berbagai jenis VPN dengan ketersediaan tinggi (HA) pada failover Cloud Interconnect.

Failover Cloud Interconnect

Saat sesi BGP di tingkat Cloud Interconnect turun, rute VPN dengan ketersediaan tinggi (HA) ke Cloud Interconnect yang sesuai akan ditarik. Penarikan ini menyebabkan gangguan tunnel VPN dengan ketersediaan tinggi (HA). Sehingga rute dialihkan ke tunnel VPN dengan ketersediaan tinggi (HA) lainnya yang dihosting di lampiran VLAN lainnya.

Diagram berikut menggambarkan failover Cloud Interconnect.

Failover lampiran VLAN Cloud Interconnect untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).
Gambar 2. Failover lampiran VLAN Cloud Interconnect untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).

Failover tunnel VPN dengan ketersediaan tinggi (HA)

Saat sesi BGP di tingkat VPN dengan ketersediaan tinggi (HA) turun, failover BGP normal terjadi, dan traffic tunnel VPN dengan ketersediaan tinggi (HA) akan dirutekan ke tunnel VPN dengan ketersediaan tinggi (HA) lain yang tersedia. Sesi BGP tingkat Cloud Interconnect tidak terpengaruh.

Diagram berikut menunjukkan failover tunnel VPN dengan ketersediaan tinggi (HA).

Failover tunnel VPN dengan ketersediaan tinggi (HA) untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).
Gambar 3. Failover tunnel VPN dengan ketersediaan tinggi (HA) untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect (klik untuk memperbesar).

SLA

VPN dengan ketersediaan tinggi (HA) adalah solusi Cloud VPN ketersediaan tinggi (HA) yang memungkinkan Anda menghubungkan jaringan lokal ke jaringan VPC dengan aman melalui koneksi VPN IPsec di satu region. VPN dengan ketersediaan tinggi (HA) yang di-deploy sendiri, memiliki SLA sendiri saat dikonfigurasi dengan benar.

Namun, karena VPN dengan ketersediaan tinggi (HA) di-deploy di atas Cloud Interconnect, keseluruhan SLA untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect cocok dengan SLA topologi Cloud Interconnect yang Anda pilih untuk di-deploy.

SLA untuk VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect bergantung pada topologi Cloud Interconnect yang Anda pilih untuk di-deploy.

Ringkasan harga

Untuk deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect, Anda dikenai biaya untuk komponen berikut:

  • Koneksi Dedicated Interconnect Anda, jika menggunakan Dedicated Interconnect.
  • Setiap lampiran VLAN.
  • Setiap tunnel VPN.
  • Hanya traffic keluar Cloud Interconnect. Anda tidak dikenai biaya untuk traffic keluar Cloud VPN yang dibawa oleh tunnel VPN dengan ketersediaan tinggi (HA) Anda.
  • Alamat IP eksternal regional yang ditetapkan ke gateway VPN dengan ketersediaan tinggi (HA), jika Anda memilih menggunakan alamat IP eksternal. Namun, Anda hanya dikenai biaya untuk alamat IP yang tidak digunakan oleh tunnel VPN.

Untuk mengetahui informasi lebih lanjut, lihat Harga Cloud VPN dan Harga Cloud Interconnect.

Batasan

  • VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect mengharuskan lampiran VLAN Anda berjalan di Dataplane v2. Untuk daftar region yang divalidasi untuk Dataplane v2, lihat Tabel lokasi untuk Dedicated Interconnect atau daftar Penyedia layanan untuk Partner Interconnect.

  • VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect membedakan antara nilai unit transmisi maksimum (MTU) berikut:

  • Setiap tunnel VPN dengan ketersediaan tinggi (HA) dapat mendukung hingga 250.000 paket per detik untuk jumlah traffic masuk dan keluar. Ini adalah batasan VPN dengan ketersediaan tinggi (HA). Untuk informasi lebih lanjut, lihat Batasan di dokumentasi Cloud VPN.

  • Untuk lampiran VLAN tunggal dengan enkripsi yang diaktifkan, gabungan throughput masuk dan keluar dibatasi hingga 50 Gbps.

  • Dalam hal latensi, tambahkan enkripsi IPsec ke Cloud Interconnect

    traffic akan menambah penundaan. Selama operasi normal, latensi yang ditambahkan di bawah 5 milidetik.

  • Anda harus memilih enkripsi IPsec saat membuat lampiran VLAN. Anda tidak dapat menambahkan enkripsi ke lampiran yang ada di lain waktu.

  • Anda dapat menghentikan lampiran VLAN dan tunnel IPsec di dua perangkat fisik lokal yang berbeda. Sesi BGP pada setiap lampiran VLAN, yang mengiklankan, dan menegosiasikan awalan gateway VPN, harus dihentikan di perangkat lampiran VLAN lokal. Sesi BGP pada setiap tunnel VPN, yang mengiklankan awalan cloud (seperti biasa), harus dihentikan di perangkat VPN.

  • ASN dari kedua Cloud Router bisa berbeda. Antarmuka Cloud Router yang melakukan peering dengan perangkat lokal tidak dapat diberi alamat IP RFC 1918 (pribadi).

  • Untuk setiap lampiran VLAN, Anda hanya dapat mencadangkan satu rentang alamat IP internal untuk antarmuka gateway VPN dengan ketersediaan tinggi (HA) Anda.

  • Mengaktifkan Bidirectional Forwarding Detection (BFD) tidak memberikan deteksi kegagalan yang lebih cepat untuk deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.

  • VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect mendukung gateway VPN dengan ketersediaan tinggi (HA) IPv4 dan IPv6 (dual-stack). Untuk membuat gateway VPN dengan ketersediaan tinggi (HA) dual-stack, Anda harus menggunakan Google Cloud CLI atau Cloud Interconnect API. Anda tidak dapat menggunakan VPN dengan ketersediaan tinggi (HA) melalui wizard deployment Cloud Interconnect di konsol Google Cloud.

Apa langkah selanjutnya?