Questo documento illustra i passaggi necessari per eseguire il deployment della VPN ad alta disponibilità in aggiunta ai collegamenti VLAN criptati della tua connessione Cloud Interconnect. Questi passaggi si applicano alla VPN ad alta disponibilità sia per Dedicated Interconnect che per Partner Interconnect.
Quando crei un gateway VPN ad alta disponibilità per una VPN ad alta disponibilità su un deployment Cloud Interconnect, lo associ ai due collegamenti VLAN criptati. Devi associare ogni collegamento VLAN a un'interfaccia gateway VPN ad alta disponibilità.
Il primo collegamento VLAN nel primo dominio di disponibilità perimetrale, zone1
,
corrisponde all'interfaccia VPN ad alta disponibilità 0
.
Il secondo collegamento VLAN in zone2
corrisponde all'interfaccia VPN ad alta disponibilità 1
.
Dopo aver creato i collegamenti VLAN criptati e i gateway VPN ad alta disponibilità, puoi creare i tunnel VPN ad alta disponibilità verso i gateway VPN peer. Ogni tunnel VPN ad alta disponibilità ha una larghezza di banda di 3 Gbps. Di conseguenza, per soddisfare la capacità del collegamento VLAN, devi creare più tunnel VPN ad alta disponibilità.
Capacità VLAN e numero di tunnel consigliato
La sezione fornisce una stima del numero di tunnel di cui potresti aver bisogno in base alla capacità del collegamento VLAN. La capacità di collegamento VLAN copre sia il traffico in entrata che quello in uscita e il numero di tunnel nella tabella potrebbe non riflettere i particolari pattern di traffico della tua rete.
Utilizza la tabella seguente come punto di partenza e monitora l'utilizzo del traffico dei tunnel VPN ad alta disponibilità. Per garantire una capacità adeguata per il failover nei tunnel, ti consigliamo di non superare il 50% del limite di larghezza di banda di 3 Gbps o di 250.000 pps per un determinato tunnel VPN.
Per saperne di più sulla configurazione del monitoraggio e degli avvisi per i tunnel Cloud VPN, consulta Visualizzare log e metriche.
Capacità collegamento VLAN | Numero di tunnel per ogni collegamento VLAN | Numero totale di tunnel per l'intero deployment |
---|---|---|
2 Gbps o meno | 1 | 2 |
5 Gbps | 2 | 4 |
10 Gbps | 4 | 8 |
20 Gbps | 7 | 14 |
50 Gbps | 17 | 34 |
Mappatura di gateway e tunnel
Non è necessario disporre di una mappatura one-to-one tra gateway VPN peer e gateway VPN ad alta disponibilità. Puoi aggiungere più tunnel a ogni interfaccia del gateway VPN ad alta disponibilità, purché sul gateway VPN peer siano presenti interfacce non ancora mappate a quella specifica interfaccia del gateway VPN ad alta disponibilità. Può esistere un solo mapping o tunnel univoco tra una specifica interfaccia gateway VPN ad alta disponibilità e una specifica interfaccia gateway VPN peer.
Pertanto, puoi avere le seguenti configurazioni:
- Più gateway VPN ad alta disponibilità che eseguono il tunnel su un singolo gateway VPN peer (con più interfacce)
- Un singolo gateway VPN ad alta disponibilità che esegue il tunnel su più gateway VPN peer
- Più gateway VPN ad alta disponibilità che eseguono il tunnel su più gateway VPN peer
Come regola generale, il numero di gateway VPN ad alta disponibilità di cui hai bisogno per eseguire il deployment è determinato dal numero di gateway VPN peer con interfacce inutilizzate disponibili nella rete on-premise.
I seguenti diagrammi forniscono esempi di mappature di tunnel tra VPN ad alta disponibilità e gateway VPN peer.
Esempio 1: da una VPN ad alta disponibilità a due VPN peer
Esempio 2: due VPN ad alta disponibilità in una VPN peer
Creazione di gateway VPN ad alta disponibilità
Console
Questa procedura presuppone che tu abbia già creato e configurato i collegamenti VLAN criptati utilizzando la console Google Cloud:
Per Dedicated Interconnect, consulta Creare collegamenti VLAN criptati.
Per Partner Interconnect, consulta Creare collegamenti VLAN criptati.
Per creare un gateway VPN ad alta disponibilità:
Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.
Dopo aver completato la configurazione del router Cloud per Cloud Interconnect, viene visualizzata la pagina Crea gateway VPN.
La procedura guidata di configurazione della VPN ad alta disponibilità su Cloud Interconnect crea automaticamente gateway VPN ad alta disponibilità in base alla capacità configurata per i collegamenti VLAN. Ad esempio, se hai specificato 5 Gbps come capacità di ogni collegamento VLAN, la procedura guidata crea due gateway VPN ad alta disponibilità.
(Facoltativo) Fai clic su
Espandi per modificare il nome generato di ciascun gateway VPN ad alta disponibilità.(Facoltativo) Se vuoi aggiungere altri gateway VPN ad alta disponibilità, fai clic su Aggiungi un altro gateway. Specifica un Nome e una Descrizione facoltativa. Poi, fai clic su Fine.
Fai clic su Crea e continua.
gcloud
Utilizza la tabella Capacità e tunnel VPN per stimare il numero di tunnel VPN necessari per soddisfare la capacità del collegamento VLAN. Devi creare almeno un gateway VPN ad alta disponibilità per poter creare questi tunnel VPN ad alta disponibilità.
Nell'esempio seguente, un collegamento VLAN con capacità di 5 Gbps potrebbe richiedere quattro tunnel.
Creare i gateway VPN ad alta disponibilità.
Ad esempio, il seguente comando crea due gateway VPN ad alta disponibilità e assegna le interfacce gateway ai collegamenti VLAN criptati.
gcloud compute vpn-gateways create vpn-gateway-a \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
gcloud compute vpn-gateways create vpn-gateway-b \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
Per il parametro --interconnect-attachments
, elenchi entrambi i collegamenti VLAN.
Il primo collegamento VLAN che elenchi è assegnato all'interfaccia 0 (if0
)
del gateway VPN ad alta disponibilità, mentre il secondo collegamento VLAN
viene assegnato all'interfaccia 1 (if1
).
Configura il router Cloud VPN ad alta disponibilità, le risorse gateway VPN peer e i tunnel VPN ad alta disponibilità
Console
Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.
Nella sezione Router Cloud, seleziona un router Cloud. Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.
Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect.
Non puoi utilizzare il router Cloud criptato utilizzato per il livello di interconnessione della VPN ad alta disponibilità su deployment Cloud Interconnect.
Se non hai un router Cloud disponibile, seleziona Crea nuovo router e specifica quanto segue:
- Nome
- Una descrizione facoltativa
Un ASN Google per il nuovo router
Puoi utilizzare qualsiasi ASN privato (
64512
tramite65534
,4200000000
fino a4294967294
) che non usi altrove nella tua rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non è possibile modificarlo in un secondo momento.
Per creare il nuovo router, fai clic su Crea.
Configura la versione IKE selezionando IKEv1 o IKEv2. Questa versione viene utilizzata in tutti i tunnel VPN ad alta disponibilità nel deployment.
(Facoltativo) Fai clic su Genera chiavi per generare la chiave IKE precondivisa per tutti i tunnel VPN. Se selezioni questa opzione, la stessa chiave IKE precondivisa viene compilata per tutti i tunnel in tutti i gateway VPN ad alta disponibilità. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.
Nella sezione Configurazioni VPN, fai clic su una configurazione VPN e specifica quanto segue:
Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno selezionando Crea un nuovo gateway VPN peer. Per creare un gateway VPN peer, specifica quanto segue:
- Nome
Due interfacce
Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad Amazon Web Services (AWS).
Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce gateway VPN peer.
Fai clic su Crea.
In Tunnel VPN su
ENCRYPTED VLAN_ATTACHMENT_1
e Tunnel VPN suENCRYPTED VLAN_ATTACHMENT_2
, configura i seguenti campi per ogni tunnel:- Nome: puoi lasciare il nome del tunnel generato o modificarlo.
- Descrizione: facoltativa.
- Interfaccia gateway VPN peer associata: seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare a questo tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere all'interfaccia del router peer effettivo.
- Chiave precondivisa IKE: se non hai già generato una chiave precondivisa per tutti i tunnel, specifica una chiave IKE precondivisa. Utilizza la chiave precondivisa (secret condiviso) corrispondente alla chiave precondivisa che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.
Fai clic su Fine quando hai completato la configurazione di entrambi i tunnel.
Ripeti i due passaggi precedenti per ogni gateway VPN ad alta disponibilità finché non hai configurato tutti i gateway e i relativi tunnel.
Se devi aggiungere altri tunnel, fai clic su Aggiungi configurazione VPN e configura i seguenti campi:
- Gateway VPN: seleziona uno dei gateway VPN ad alta disponibilità associati ai collegamenti VLAN criptati.
Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno nuovo selezionando Crea un nuovo gateway VPN peer. Per creare un nuovo gateway VPN peer, specifica quanto segue:
- Nome
- Due interfacce
Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad AWS.
Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce gateway VPN peer.
Fai clic su Crea.
Dopo aver configurato tutti i tunnel VPN ad alta disponibilità, fai clic su Crea e continua.
gcloud
Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.
Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect. Non puoi utilizzare il router Cloud criptato utilizzato per il livello Cloud Interconnect della VPN ad alta disponibilità sul deployment di Cloud Interconnect.
Per creare un router Cloud, esegui questo comando:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
Sostituisci quanto segue:
ROUTER_NAME
: il nome del router Cloud nella stessa regione del gateway Cloud VPNREGION
: l'area geografica Google Cloud in cui crei il gateway e il tunnelNETWORK
: il nome della tua rete Google CloudGOOGLE_ASN
: qualsiasi ASN privato (da64512
a65534
, da4200000000
a4294967294
) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento
Il router che crei dovrebbe essere simile all'output di esempio che segue:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
Crea almeno un gateway VPN peer esterno.
gcloud compute external-vpn-gateways create peer-gw \ --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1
Sostituisci quanto segue:
ON_PREM_GW_IP_0
: l'indirizzo IP assegnato all'interfaccia0
sul gateway VPN peerON_PREM_GW_IP_1
: l'indirizzo IP assegnato all'interfaccia1
sul gateway VPN peer
Crea tutti i gateway VPN peer esterni necessari nel deployment.
Per ogni gateway VPN ad alta disponibilità creato in Creare gateway VPN ad alta disponibilità, crea un tunnel VPN per ogni interfaccia,
0
e1
. In ogni comando, specifichi il lato peer del tunnel VPN come interfaccia e gateway VPN esterni che hai creato in precedenza.Ad esempio, per creare quattro tunnel per i due gateway VPN ad alta disponibilità creati in Creare gateway VPN ad alta disponibilità, esegui questi comandi:
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 0
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 1
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 0
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 1
Configura sessioni BGP
Console
Nella console Google Cloud, passa alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.
Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ciascun tunnel.
Accanto a ogni tunnel, fai clic su Configura sessione BGP.
Segui le istruzioni in Creare sessioni BGP per configurare BGP per ogni tunnel VPN.
gcloud
Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ciascun tunnel.
Per ogni tunnel, segui le istruzioni in Creare sessioni BGP.
Completa la configurazione VPN ad alta disponibilità
Prima di poter utilizzare i nuovi gateway Cloud VPN e i tunnel VPN associati, completa questi passaggi:
- Configura i gateway VPN peer per le reti on-premise
e configura i tunnel corrispondenti lì. Per le istruzioni, consulta le seguenti risorse:
- Per indicazioni specifiche sulla configurazione di determinati dispositivi VPN peer, consulta Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, consulta Configurare il gateway VPN peer.
- Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
- Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.
Che cosa succede dopo?
Se devi aggiungere altri tunnel VPN ad alta disponibilità, consulta Aggiungere un tunnel VPN.
Per scoprire di più sul monitoraggio della VPN ad alta disponibilità, consulta Visualizzare log e metriche.