Configura la VPN ad alta disponibilità su Cloud Interconnect

Questo documento illustra i passaggi necessari per eseguire il deployment della VPN ad alta disponibilità in aggiunta ai collegamenti VLAN criptati della tua connessione Cloud Interconnect. Questi passaggi si applicano alla VPN ad alta disponibilità sia per Dedicated Interconnect che per Partner Interconnect.

Quando crei un gateway VPN ad alta disponibilità per una VPN ad alta disponibilità su un deployment Cloud Interconnect, lo associ ai due collegamenti VLAN criptati. Devi associare ogni collegamento VLAN a un'interfaccia gateway VPN ad alta disponibilità. Il primo collegamento VLAN nel primo dominio di disponibilità perimetrale, zone1, corrisponde all'interfaccia VPN ad alta disponibilità 0. Il secondo collegamento VLAN in zone2 corrisponde all'interfaccia VPN ad alta disponibilità 1.

Dopo aver creato i collegamenti VLAN criptati e i gateway VPN ad alta disponibilità, puoi creare i tunnel VPN ad alta disponibilità verso i gateway VPN peer. Ogni tunnel VPN ad alta disponibilità ha una larghezza di banda di 3 Gbps. Di conseguenza, per soddisfare la capacità del collegamento VLAN, devi creare più tunnel VPN ad alta disponibilità.

Capacità VLAN e numero di tunnel consigliato

La sezione fornisce una stima del numero di tunnel di cui potresti aver bisogno in base alla capacità del collegamento VLAN. La capacità di collegamento VLAN copre sia il traffico in entrata che quello in uscita e il numero di tunnel nella tabella potrebbe non riflettere i particolari pattern di traffico della tua rete.

Utilizza la tabella seguente come punto di partenza e monitora l'utilizzo del traffico dei tunnel VPN ad alta disponibilità. Per garantire una capacità adeguata per il failover nei tunnel, ti consigliamo di non superare il 50% del limite di larghezza di banda di 3 Gbps o di 250.000 pps per un determinato tunnel VPN.

Per saperne di più sulla configurazione del monitoraggio e degli avvisi per i tunnel Cloud VPN, consulta Visualizzare log e metriche.

Capacità collegamento VLAN Numero di tunnel per ogni collegamento VLAN Numero totale di tunnel per l'intero deployment
2 Gbps o meno 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Mappatura di gateway e tunnel

Non è necessario disporre di una mappatura one-to-one tra gateway VPN peer e gateway VPN ad alta disponibilità. Puoi aggiungere più tunnel a ogni interfaccia del gateway VPN ad alta disponibilità, purché sul gateway VPN peer siano presenti interfacce non ancora mappate a quella specifica interfaccia del gateway VPN ad alta disponibilità. Può esistere un solo mapping o tunnel univoco tra una specifica interfaccia gateway VPN ad alta disponibilità e una specifica interfaccia gateway VPN peer.

Pertanto, puoi avere le seguenti configurazioni:

  • Più gateway VPN ad alta disponibilità che eseguono il tunnel su un singolo gateway VPN peer (con più interfacce)
  • Un singolo gateway VPN ad alta disponibilità che esegue il tunnel su più gateway VPN peer
  • Più gateway VPN ad alta disponibilità che eseguono il tunnel su più gateway VPN peer

Come regola generale, il numero di gateway VPN ad alta disponibilità di cui hai bisogno per eseguire il deployment è determinato dal numero di gateway VPN peer con interfacce inutilizzate disponibili nella rete on-premise.

I seguenti diagrammi forniscono esempi di mappature di tunnel tra VPN ad alta disponibilità e gateway VPN peer.

Esempio 1: da una VPN ad alta disponibilità a due VPN peer

Esempio di un gateway VPN ad alta disponibilità verso due gateway VPN peer (fai clic per ingrandire).
Figura 1: esempio di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).

Esempio 2: due VPN ad alta disponibilità in una VPN peer

Esempio di due gateway VPN ad alta disponibilità verso un gateway VPN peer (fai clic per ingrandire).
Figura 2: esempio di due gateway VPN ad alta disponibilità collegati a un gateway VPN peer (fai clic per ingrandire).

Creazione di gateway VPN ad alta disponibilità

Console

Questa procedura presuppone che tu abbia già creato e configurato i collegamenti VLAN criptati utilizzando la console Google Cloud:

Per creare un gateway VPN ad alta disponibilità:

  1. Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

    Dopo aver completato la configurazione del router Cloud per Cloud Interconnect, viene visualizzata la pagina Crea gateway VPN.

    La procedura guidata di configurazione della VPN ad alta disponibilità su Cloud Interconnect crea automaticamente gateway VPN ad alta disponibilità in base alla capacità configurata per i collegamenti VLAN. Ad esempio, se hai specificato 5 Gbps come capacità di ogni collegamento VLAN, la procedura guidata crea due gateway VPN ad alta disponibilità.

  2. (Facoltativo) Fai clic su Espandi per modificare il nome generato di ciascun gateway VPN ad alta disponibilità.

  3. (Facoltativo) Se vuoi aggiungere altri gateway VPN ad alta disponibilità, fai clic su Aggiungi un altro gateway. Specifica un Nome e una Descrizione facoltativa. Poi, fai clic su Fine.

  4. Fai clic su Crea e continua.

gcloud

  1. Utilizza la tabella Capacità e tunnel VPN per stimare il numero di tunnel VPN necessari per soddisfare la capacità del collegamento VLAN. Devi creare almeno un gateway VPN ad alta disponibilità per poter creare questi tunnel VPN ad alta disponibilità.

    Nell'esempio seguente, un collegamento VLAN con capacità di 5 Gbps potrebbe richiedere quattro tunnel.

  2. Creare i gateway VPN ad alta disponibilità.

    Ad esempio, il seguente comando crea due gateway VPN ad alta disponibilità e assegna le interfacce gateway ai collegamenti VLAN criptati.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Per il parametro --interconnect-attachments, elenchi entrambi i collegamenti VLAN. Il primo collegamento VLAN che elenchi è assegnato all'interfaccia 0 (if0) del gateway VPN ad alta disponibilità, mentre il secondo collegamento VLAN viene assegnato all'interfaccia 1 (if1).

Configura il router Cloud VPN ad alta disponibilità, le risorse gateway VPN peer e i tunnel VPN ad alta disponibilità

Console

  1. Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

  2. Nella sezione Router Cloud, seleziona un router Cloud. Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.

    Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect.

    Non puoi utilizzare il router Cloud criptato utilizzato per il livello di interconnessione della VPN ad alta disponibilità su deployment Cloud Interconnect.

  3. Se non hai un router Cloud disponibile, seleziona Crea nuovo router e specifica quanto segue:

    • Nome
    • Una descrizione facoltativa

    • Un ASN Google per il nuovo router

      Puoi utilizzare qualsiasi ASN privato (64512 tramite 65534, 4200000000 fino a 4294967294) che non usi altrove nella tua rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non è possibile modificarlo in un secondo momento.

    Per creare il nuovo router, fai clic su Crea.

  4. Configura la versione IKE selezionando IKEv1 o IKEv2. Questa versione viene utilizzata in tutti i tunnel VPN ad alta disponibilità nel deployment.

  5. (Facoltativo) Fai clic su Genera chiavi per generare la chiave IKE precondivisa per tutti i tunnel VPN. Se selezioni questa opzione, la stessa chiave IKE precondivisa viene compilata per tutti i tunnel in tutti i gateway VPN ad alta disponibilità. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.

  6. Nella sezione Configurazioni VPN, fai clic su una configurazione VPN e specifica quanto segue:

    1. Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno selezionando Crea un nuovo gateway VPN peer. Per creare un gateway VPN peer, specifica quanto segue:

      • Nome

      • Due interfacce

        Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad Amazon Web Services (AWS).

    2. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce gateway VPN peer.

    3. Fai clic su Crea.

  7. In Tunnel VPN su ENCRYPTED VLAN_ATTACHMENT_1 e Tunnel VPN su ENCRYPTED VLAN_ATTACHMENT_2, configura i seguenti campi per ogni tunnel:

    • Nome: puoi lasciare il nome del tunnel generato o modificarlo.
    • Descrizione: facoltativa.
    • Interfaccia gateway VPN peer associata: seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare a questo tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere all'interfaccia del router peer effettivo.
    • Chiave precondivisa IKE: se non hai già generato una chiave precondivisa per tutti i tunnel, specifica una chiave IKE precondivisa. Utilizza la chiave precondivisa (secret condiviso) corrispondente alla chiave precondivisa che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.

  8. Fai clic su Fine quando hai completato la configurazione di entrambi i tunnel.

  9. Ripeti i due passaggi precedenti per ogni gateway VPN ad alta disponibilità finché non hai configurato tutti i gateway e i relativi tunnel.

  10. Se devi aggiungere altri tunnel, fai clic su Aggiungi configurazione VPN e configura i seguenti campi:

    1. Gateway VPN: seleziona uno dei gateway VPN ad alta disponibilità associati ai collegamenti VLAN criptati.

    2. Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno nuovo selezionando Crea un nuovo gateway VPN peer. Per creare un nuovo gateway VPN peer, specifica quanto segue:

      • Nome
      • Due interfacce

      Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad AWS.

    3. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce gateway VPN peer.

    4. Fai clic su Crea.

  11. Dopo aver configurato tutti i tunnel VPN ad alta disponibilità, fai clic su Crea e continua.

gcloud

Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.

Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect. Non puoi utilizzare il router Cloud criptato utilizzato per il livello Cloud Interconnect della VPN ad alta disponibilità sul deployment di Cloud Interconnect.

  1. Per creare un router Cloud, esegui questo comando:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Sostituisci quanto segue:

    • ROUTER_NAME: il nome del router Cloud nella stessa regione del gateway Cloud VPN
    • REGION: l'area geografica Google Cloud in cui crei il gateway e il tunnel
    • NETWORK: il nome della tua rete Google Cloud
    • GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento

    Il router che crei dovrebbe essere simile all'output di esempio che segue:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea almeno un gateway VPN peer esterno.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Sostituisci quanto segue:

    • ON_PREM_GW_IP_0: l'indirizzo IP assegnato all'interfaccia 0 sul gateway VPN peer
    • ON_PREM_GW_IP_1: l'indirizzo IP assegnato all'interfaccia 1 sul gateway VPN peer

    Crea tutti i gateway VPN peer esterni necessari nel deployment.

  3. Per ogni gateway VPN ad alta disponibilità creato in Creare gateway VPN ad alta disponibilità, crea un tunnel VPN per ogni interfaccia, 0 e 1. In ogni comando, specifichi il lato peer del tunnel VPN come interfaccia e gateway VPN esterni che hai creato in precedenza.

    Ad esempio, per creare quattro tunnel per i due gateway VPN ad alta disponibilità creati in Creare gateway VPN ad alta disponibilità, esegui questi comandi:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Configura sessioni BGP

Console

Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ciascun tunnel.

Accanto a ogni tunnel, fai clic su Configura sessione BGP.

Segui le istruzioni in Creare sessioni BGP per configurare BGP per ogni tunnel VPN.

gcloud

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ciascun tunnel.

Per ogni tunnel, segui le istruzioni in Creare sessioni BGP.

Completa la configurazione VPN ad alta disponibilità

Prima di poter utilizzare i nuovi gateway Cloud VPN e i tunnel VPN associati, completa questi passaggi:

  1. Configura i gateway VPN peer per le reti on-premise e configura i tunnel corrispondenti lì. Per le istruzioni, consulta le seguenti risorse:
  2. Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
  3. Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.

Che cosa succede dopo?