Configura la VPN con alta disponibilidad en Cloud Interconnect

En este documento, se proporcionan los pasos necesarios para implementar una VPN con alta disponibilidad además de los adjuntos de VLAN encriptados de tu conexión de Cloud Interconnect. Estos pasos se aplican a la VPN con alta disponibilidad para la interconexión dedicada y la interconexión de socio.

Cuando creas una puerta de enlace de VPN con alta disponibilidad para una implementación de VPN con alta disponibilidad en Cloud Interconnect, debes asociar esa puerta de enlace de VPN con alta disponibilidad a tus dos adjuntos de VLAN encriptados. Debes asociar cada adjunto de VLAN con una interfaz de puerta de enlace de VPN con alta disponibilidad. El primer adjunto de VLAN del primer dominio de disponibilidad perimetral, zone1, corresponde a la interfaz de VPN con alta disponibilidad 0. El segundo adjunto de VLAN en zone2 corresponde a una interfaz 1 de VPN con alta disponibilidad.

Después de crear los adjuntos de VLAN encriptados y las puertas de enlace de VPN con alta disponibilidad, puedes crear los túneles VPN con alta disponibilidad para las puertas de enlace de VPN de intercambio de tráfico. Cada túnel VPN con alta disponibilidad tiene un ancho de banda de 3 Gbps. Por lo tanto, para que coincida con la capacidad de tu adjunto de VLAN, debes crear varios túneles VPN con alta disponibilidad.

Capacidad de VLAN y cantidad recomendada de túneles

En esta sección, se proporciona una estimación de la cantidad de túneles que podrías necesitar según la capacidad de tu adjunto de VLAN. La capacidad del adjunto de VLAN abarca tráfico de entrada y salida, y la cantidad de túneles de la tabla podrían no reflejar los patrones de tráfico particulares de tu red.

Usa la siguiente tabla como punto de partida y supervisa el uso del tráfico de tus túneles VPN con alta disponibilidad. Si deseas garantizar la capacidad adecuada para la conmutación por error en tus túneles, te recomendamos que no excedas el 50% del límite de ancho de banda de 3 Gbps o el límite de frecuencia de paquetes de 250,000 pps para un túnel VPN dado.

Si deseas obtener más información sobre la configuración de la supervisión y las alertas para los túneles de Cloud VPN, consulta Visualiza registros y métricas.

Capacidad del adjunto de VLAN Cantidad de túneles para cada adjunto de VLAN Cantidad total de túneles para toda la implementación
2 Gbps o menos 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Asignación de puertas de enlace y túneles

No es necesario tener una asignación uno a uno de puertas de enlace de VPN de intercambio de tráfico a puertas de enlace de VPN con alta disponibilidad. Puedes agregar varios túneles a cada interfaz de la puerta de enlace de VPN con alta disponibilidad siempre que haya interfaces en la puerta de enlace de VPN de intercambio de tráfico que aún no se hayan asignado a esa interfaz de puerta de enlace de VPN con alta disponibilidad en particular. Solo puede haber una asignación o un túnel únicos entre una interfaz específica de puerta de enlace de VPN con alta disponibilidad y una interfaz específica de puerta de enlace de VPN de intercambio de tráfico.

Por lo tanto, puedes tener las siguientes configuraciones:

  • Varias puertas de enlace de VPN con alta disponibilidad que vinculan a una sola puerta de enlace de VPN de intercambio de tráfico (con varias interfaces)
  • Una única puerta de enlace de VPN con alta disponibilidad que envía túneles a varias puertas de enlace de VPN de intercambio de tráfico
  • Múltiples puertas de enlace de VPN con alta disponibilidad que vinculan a varias puertas de enlace de VPN de intercambio de tráfico

Como regla general, la cantidad de puertas de enlace de VPN con alta disponibilidad que necesites implementar depende de la cantidad de puertas de enlace de VPN de intercambio de tráfico con interfaces sin usar que tienes disponibles en la red local.

En los siguientes diagramas, se proporcionan ejemplos de asignaciones de túneles entre las puertas de enlace de VPN con alta disponibilidad y las de VPN de intercambio de tráfico.

Ejemplo 1: Una VPN con alta disponibilidad a dos VPN de intercambio de tráfico

Ejemplo de una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico (haz clic para ampliar).
Figura 1: Ejemplo de una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico (haz clic para agrandar).

Ejemplo 2: Dos VPN con alta disponibilidad a una VPN de intercambio de tráfico

<img <="" alt="Ejemplo de dos puertas de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (haz clic para ampliar)" border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg"
Figura 2: Ejemplo de dos puertas de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (haz clic para ampliar).

Crea puertas de enlace de VPN con alta disponibilidad

Consola

En este procedimiento, se da por sentado que ya creaste y configuraste tus adjuntos de VLAN encriptados mediante la consola de Google Cloud:

Para crear una puerta de enlace de VPN con alta disponibilidad, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

    Después de completar la configuración de Cloud Router para Cloud Interconnect, aparecerá la página Crea puertas de enlace de VPN.

    El asistente de configuración de VPN con alta disponibilidad sobre Cloud Interconnect crea automáticamente puertas de enlace de VPN con alta disponibilidad según la capacidad que configuraste para tus adjuntos de VLAN. Por ejemplo, si especificaste 5 Gbps como capacidad de cada adjunto de VLAN, el asistente crea dos puertas de enlace de VPN con alta disponibilidad.

  2. Opcional: Haz clic en Expandir para cambiar el nombre generado de cada puerta de enlace de VPN con alta disponibilidad.

  3. Opcional: Si quieres agregar más puertas de enlace de VPN con alta disponibilidad, haz lo siguiente: Haz clic en Agregar otra puerta de enlace. Especifica un Nombre y una Descripción opcional. Luego, haga clic en Listo.

  4. Haga clic en Crear y continuar.

gcloud

  1. Usa la tabla de capacidad de VLAN y túneles para estimar cuántos túneles VPN se necesitan para coincidir con la capacidad de tu VLAN archivo adjunto. Debes crear al menos una puerta de enlace de VPN con alta disponibilidad para poder crear estos túneles VPN con alta disponibilidad.

    En el siguiente ejemplo, un adjunto de VLAN de capacidad de 5 Gbps puede requerir cuatro túneles.

  2. Crea las puertas de enlace de VPN con alta disponibilidad.

    Por ejemplo, el siguiente comando crea dos puertas de enlace de VPN con alta disponibilidad y asigna las interfaces de puerta de enlace a tus adjuntos de VLAN encriptados.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Para el parámetro --interconnect-attachments, enumera ambos adjuntos de VLAN. El primer adjunto de VLAN que enumeras está asignado a la interfaz 0 (if0) de la puerta de enlace de VPN con alta disponibilidad y el segundo adjunto de VLAN se asignó a la interfaz 1 (if1).

Configura el Cloud Router de VPN con alta disponibilidad, los recursos de puerta de enlace de VPN de intercambio de tráfico y los túneles VPN con alta disponibilidad

Consola

  1. En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

  2. En la sección Cloud Router, selecciona un Cloud Router. Este router se usa con el fin de administrar las sesiones de BGP para todos tus túneles VPN con alta disponibilidad.

    Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio.

    No puedes usar el Cloud Router encriptado que se usa para el nivel de interconexión de tu VPN con alta disponibilidad en la implementación de Cloud Interconnect.

  3. Si no tienes un Cloud Router disponible, selecciona Crear router nuevo y especifica lo siguiente:

    • Un nombre
    • Una descripción opcional

    • Un ASN de Google para el router nuevo

      Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.

    Para crear el router nuevo, haz clic en Crear.

  4. Configura la Versión de IKE. Para ello, selecciona IKEv1 o IKEv2. Esta versión se usa en todos los túneles VPN con alta disponibilidad de la implementación.

  5. Opcional: Haz clic en Generar claves para generar la clave IKE precompartida para todos los túneles VPN. Si seleccionas esta opción, la misma clave precompartida de IKE se propaga para todos los túneles en todas las puertas de enlace de VPN con alta disponibilidad. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.

  6. En la sección Configuraciones de VPN, haz clic en una configuración de VPN y, luego, especifica lo siguiente:

    1. Puerta de enlace de VPN de intercambio de tráfico: Selecciona una puerta de enlace de VPN de intercambio de tráfico existente o crea una. Para ello, selecciona Crear una nueva puerta de enlace de VPN de intercambio de tráfico. Para crear una puerta de enlace de VPN de intercambio de tráfico, especifica lo siguiente:

      • Un nombre

      • Dos interfaces

        Si necesitas especificar una sola interfaz o cuatro interfaces, no puedes crear esta puerta de enlace de VPN de intercambio de tráfico en la consola de Google Cloud. En su lugar, usa Google Cloud CLI. En particular, debes asignar cuatro interfaces en la puerta de enlace de VPN de intercambio de tráfico si te conectas a Amazon Web Services (AWS).

    2. En el campo Direcciones IP, ingresa las direcciones IPv4 de las dos interfaces de puerta de enlace de VPN de intercambio de tráfico.

    3. Haz clic en Crear.

  7. En Túnel VPN mediante ENCRYPTED VLAN_ATTACHMENT_1 y Túnel VPN mediante ENCRYPTED VLAN_ATTACHMENT_2, configura los siguientes campos para cada túnel:

    • Nombre: Puedes dejar el nombre del túnel generado o modificarlo.
    • Descripción: (opcional)
    • Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada: selecciona la combinación de interfaz de puerta de enlace de VPN de intercambio de tráfico y dirección IP que deseas asociar con este túnel y con la interfaz de VPN con alta disponibilidad. Esta interfaz debe coincidir con la interfaz del router de intercambio de tráfico real.
    • Clave precompartida de IKE: Si todavía no generaste una clave precompartida para todos los túneles, especifica una clave IKE precompartida. Usa la clave precompartida (secreto compartido) que corresponde a la clave precompartida que creas en la puerta de enlace de intercambio de tráfico. Si no configuraste una clave precompartida en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar una, haz clic en Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.

  8. Haz clic en Listo cuando hayas completado la configuración de ambos túneles.

  9. Repite los dos pasos anteriores para cada puerta de enlace de VPN con alta disponibilidad hasta que hayas configurado todas las puertas de enlace y sus túneles.

  10. Si necesitas agregar más túneles, haz clic en Agregar configuración de VPN y configura los siguientes campos:

    1. Puerta de enlace de VPN: Selecciona una de las puertas de enlace de VPN con alta disponibilidad asociadas con los adjuntos de VLAN encriptados.

    2. Puerta de enlace de VPN de intercambio de tráfico: Selecciona una puerta de enlace de VPN de intercambio de tráfico existente o crea una nueva mediante la opción Crear una nueva puerta de enlace de VPN de intercambio de tráfico. Para crear una nueva puerta de enlace de VPN de intercambio de tráfico, especifica lo siguiente:

      • Un nombre
      • Dos interfaces

      Si necesitas especificar una sola interfaz o cuatro interfaces, no puedes crear esta puerta de enlace de VPN de intercambio de tráfico en la consola de Google Cloud. En su lugar, usa Google Cloud CLI. En particular, debes asignar cuatro interfaces en la puerta de enlace de VPN de intercambio de tráfico si te conectas a AWS.

    3. En el campo Direcciones IP, ingresa las direcciones IPv4 de las dos interfaces de puerta de enlace de VPN de intercambio de tráfico.

    4. Haz clic en Crear.

  11. Cuando termines de configurar todos los túneles VPN con alta disponibilidad, haz clic en Crear y continuar.

gcloud

Este router se usa con el fin de administrar las sesiones de BGP para todos tus túneles VPN con alta disponibilidad.

Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio. No puedes usar el Cloud Router encriptado que se usa para el nivel Cloud Interconnect de tu VPN con alta disponibilidad en la implementación de Cloud Interconnect.

  1. Para crear un Cloud Router, ingresa el siguiente comando:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Reemplaza lo siguiente:

    • ROUTER_NAME: El nombre del Cloud Router en la misma región que la puerta de enlace de Cloud VPN
    • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
    • NETWORK: El nombre de tu red de Google Cloud
    • GOOGLE_ASN: Cualquier ASN privado (de 64512 a 65534, de 4200000000 a 4294967294) que no estés usando en la red de intercambio de tráfico. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.

    El router que crees debe ser similar al siguiente resultado de ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea al menos una puerta de enlace de VPN de intercambio de tráfico externa.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Reemplaza lo siguiente:

    • ON_PREM_GW_IP_0: la dirección IP asignada a la interfaz 0 en la puerta de enlace de VPN de intercambio de tráfico
    • ON_PREM_GW_IP_1: la dirección IP asignada a la interfaz 1 en la puerta de enlace de VPN de intercambio de tráfico

    Crea tantas puertas de enlace de VPN de intercambio de tráfico externas como sea necesario en tu implementación.

  3. Para cada puerta de enlace de VPN con alta disponibilidad que creaste en Crea puertas de enlace de VPN con alta disponibilidad, crea un túnel VPN para cada interfaz, 0 y 1. En cada comando, debes especificar el lado de intercambio de tráfico del túnel VPN como la puerta de enlace de VPN externa y la interfaz que creaste antes.

    Por ejemplo, para crear cuatro túneles para los dos ejemplos de las puertas de enlace de VPN con alta disponibilidad creadas en Crea puertas de enlace de VPN con alta disponibilidad, ejecuta los siguientes comandos:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Configura sesiones de BGP

Consola

En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

Después de crear todos los túneles VPN con alta disponibilidad, debes configurar las sesiones de BGP para cada túnel.

Junto a cada túnel, haz clic en Configurar sesión de BGP.

Sigue las instrucciones que se indican en Crea sesiones de BGP y así configurarás el BGP para cada túnel VPN.

gcloud

Después de crear todos los túneles VPN con alta disponibilidad, debes configurar las sesiones de BGP para cada túnel.

Para cada túnel, sigue las instrucciones en Crea sesiones de BGP.

Completa la configuración de VPN con alta disponibilidad

Para poder usar las nuevas puertas de enlace de Cloud VPN y sus túneles VPN asociados, completa los siguientes pasos:

  1. Configura las puertas de enlace de VPN de intercambio de tráfico para tus redes locales y configura los túneles correspondientes allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado de los túneles VPN.. En este paso, se verifica la configuración de alta disponibilidad de la puerta de enlace de VPN con alta disponibilidad.

Próximos pasos