Configurare la VPN ad alta disponibilità su Cloud Interconnect

Questo documento fornisce i passaggi necessari per eseguire il deployment della VPN ad alta disponibilità in cima ai collegamenti VLAN criptati della connessione Cloud Interconnect. Questi passaggi si applicano alla VPN ad alta disponibilità per Dedicated Interconnect e Partner Interconnect.

Quando crei un gateway VPN ad alta disponibilità il deployment della VPN ad alta disponibilità su Cloud Interconnect associare il gateway VPN ad alta disponibilità ai tuoi servizi Collegamenti VLAN. Associa ogni collegamento VLAN a un l'interfaccia del gateway VPN ad alta disponibilità. Il primo collegamento VLAN nel primo dominio di disponibilità perimetrale, zone1, corrisponde all'interfaccia VPN ad alta disponibilità 0. Il secondo collegamento VLAN in zone2 corrisponde alla VPN ad alta disponibilità dell'interfaccia 1.

Dopo aver creato i collegamenti VLAN criptati e la VPN ad alta disponibilità puoi creare tunnel VPN ad alta disponibilità gateway VPN peer. Ogni tunnel VPN ad alta disponibilità ha una 3 Gbit/s. Pertanto, per far corrispondere la capacità del collegamento VLAN, devi e creare più tunnel VPN ad alta disponibilità.

Capacità VLAN e numero consigliato di tunnel

Questa sezione fornisce una stima del numero di tunnel che potresti aver bisogno in base alla capacità del collegamento VLAN. Copertura della capacità collegamento VLAN sia in uscita che in entrata e il numero di tunnel nella tabella potrebbero non riflettere i modelli di traffico specifici della tua rete.

Utilizza la seguente tabella come punto di partenza e monitora l'utilizzo del traffico di nei tunnel VPN ad alta disponibilità. garantire una capacità adeguata per il failover nei tunnel, ti consigliamo di non superare il 50% il limite di larghezza di banda di 3 Gbps o il limite di velocità di 250.000 pps per una data VPN tunnel.

Per ulteriori informazioni sulla configurazione del monitoraggio e degli avvisi per Cloud VPN tunnel, consulta Visualizzare i log e le metriche.

Capacità collegamento VLAN Numero di tunnel per ogni collegamento VLAN Numero totale di tunnel per l'intero deployment
Massimo 2 Gbit/s 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Mappatura di gateway e tunnel

Non è necessario disporre di una mappatura one-to-one dei gateway VPN peer gateway VPN ad alta disponibilità. Puoi aggiungere più tunnel a ogni del gateway VPN ad alta disponibilità, purché ci sono interfacce sul gateway VPN peer che non sono ancora state mappate a quella specifica interfaccia gateway VPN ad alta disponibilità. È possibile Essere una mappatura o un tunnel univoci tra uno specifico Interfaccia gateway VPN ad alta disponibilità e un gateway VPN peer specifico a riga di comando.

Di conseguenza, puoi avere le seguenti configurazioni:

  • Più gateway VPN ad alta disponibilità connettono a un tunnel gateway VPN peer singolo (con più interfacce)
  • Un singolo gateway VPN ad alta disponibilità che esegue il tunneling a più VPN peer gateway
  • Più gateway VPN ad alta disponibilità che eseguono il tunneling a gateway VPN peer

Come regola generale, il numero di gateway VPN ad alta disponibilità il deployment è determinato dal numero di gateway VPN peer con interfacce inutilizzate a tua disposizione nella rete on-premise.

I seguenti diagrammi forniscono esempi di mappature di tunnel tra VPN ad alta disponibilità e gateway VPN peer.

Esempio 1: una VPN ad alta disponibilità su due VPN peer

Esempio di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
Figura 1: esempio di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).

Esempio 2: due VPN ad alta disponibilità su una VPN peer

<img <="" alt="Esempio di due gateway VPN ad alta disponibilità a un gateway VPN peer (fai clic per ingrandire)" border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg" />
Figura 2: esempio di due gateway VPN ad alta disponibilità a un gateway VPN peer (fai clic per ingrandire).

Crea gateway VPN ad alta disponibilità

.

Console

Questa procedura presuppone che tu abbia già creato e configurato i collegamenti VLAN criptati utilizzando la console Google Cloud:

Per creare un gateway VPN ad alta disponibilità, segui questi passaggi:

  1. Nella console Google Cloud, vai alla sezione successiva della Configurazione guidata della VPN ad alta disponibilità su Cloud Interconnect.

    Dopo aver completato il router Cloud per Cloud Interconnect viene visualizzata la pagina Crea gateway VPN.

    La VPN ad alta disponibilità su Cloud Interconnect crea automaticamente gateway VPN ad alta disponibilità in base configurata per i collegamenti VLAN. Ad esempio, se specificati come 5 Gbps come capacità di ogni collegamento VLAN, e crea due gateway VPN ad alta disponibilità.

  2. (Facoltativo) Fai clic su Espandi per modificare il nome generato di ciascun gateway VPN ad alta disponibilità.

  3. (Facoltativo) Se vuoi aggiungere altri gateway VPN ad alta disponibilità, Fai clic su Aggiungi un altro gateway. Specifica un Nome e un campo Descrizione facoltativa. Poi, fai clic su Fine.

  4. Fai clic su Crea e continua.

gcloud

  1. Utilizza la tabella relativa a capacità e tunnel delle VLAN per effettuare una stima quanti tunnel VPN sono necessari per corrispondere alla capacità della tua VLAN allegato. Devi creare almeno una VPN ad alta disponibilità gateway VPN ad alta disponibilità per creare tunnel VPN ad alta disponibilità.

    Nell'esempio seguente, un collegamento VLAN con capacità di 5 Gbps richiedono quattro tunnel.

  2. Creare i gateway VPN ad alta disponibilità.

    Ad esempio, il comando seguente crea due VPN ad alta disponibilità gateway VPN ad alta disponibilità e assegna le interfacce dei gateway ai collegamenti VLAN criptati.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Per il parametro --interconnect-attachments, vengono elencati entrambi i collegamenti VLAN. Il primo collegamento VLAN elencato è assegnato all'interfaccia 0 (if0) del gateway VPN ad alta disponibilità e il secondo collegamento VLAN assegnato all'interfaccia 1 (if1).

Configurare il router Cloud VPN ad alta disponibilità, le risorse gateway VPN peer e i tunnel VPN ad alta disponibilità

Console

  1. Nella console Google Cloud, vai alla sezione successiva della Configurazione guidata della VPN ad alta disponibilità su Cloud Interconnect.

  2. Nella sezione Router Cloud, seleziona un router Cloud. Questo router è dedicato alla gestione delle sessioni BGP per tutti i tuoi tunnel VPN ad alta disponibilità.

    Puoi utilizzare un router Cloud esistente se il router non gestisce già una sessione BGP per un collegamento VLAN associate a una connessione Partner Interconnect.

    Non puoi utilizzare il router Cloud criptato usato per Livello di interconnessione del deployment VPN ad alta disponibilità su Cloud Interconnect.

  3. Se non hai un router Cloud disponibile, seleziona Crea un nuovo router e specifica quanto segue:

    • Un nome
    • Una descrizione facoltativa

    • Un ASN Google per il nuovo router

      Puoi utilizzare qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai utilizzando altrove nella tua rete. L'ASN di Google è utilizzata per tutte le sessioni BGP sullo stesso router Cloud non può modificare l'ASN in un secondo momento.

    Per creare il nuovo router, fai clic su Crea.

  4. Configura la versione IKE selezionando IKEv1 o IKEv2. Questa versione viene utilizzata in tutti i tunnel VPN ad alta disponibilità nel e deployment continuo.

  5. (Facoltativo) Fai clic su Genera chiavi per generare la chiave precondivisa IKE per tutti i tunnel VPN. Se selezioni questa opzione, viene applicata la stessa chiave precondivisa IKE compilato per tutti i tunnel in tutti i gateway VPN ad alta disponibilità. Assicurati di registrare la chiave precondivisa in un luogo sicuro, non può essere recuperato dopo la creazione dei tunnel VPN.

  6. Nella sezione Configurazioni VPN, fai clic su una configurazione VPN, quindi specificare quanto segue:

    1. Gateway VPN peer: seleziona un gateway VPN peer esistente oppure crea uno selezionando Crea un nuovo gateway VPN peer. Per creare un un gateway VPN peer, specifica quanto segue:

      • Un nome

      • Due interfacce

        Se devi specificare una singola interfaccia con quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce sul gateway VPN peer se si connettono ad Amazon Web Services (AWS).

    2. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 dei due peer le interfacce dei gateway VPN.

    3. Fai clic su Crea.

  7. In Tunnel VPN su ENCRYPTED VLAN_ATTACHMENT_1 e Tunnel VPN su ENCRYPTED VLAN_ATTACHMENT_2, configura seguenti campi per ogni tunnel:

    • Nome: puoi lasciare o modificare il nome del tunnel generato.
    • Descrizione: facoltativa.
    • Interfaccia gateway VPN peer associata: seleziona la VPN peer tra l'interfaccia del gateway e l'indirizzo IP che desideri associare con questo tunnel e con l'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere a quella del router peer effettivo.
    • Chiave precondivisa IKE: se non hai già generato una chiave precondivisa. per tutti i tunnel, specifica una chiave precondivisa IKE. Utilizza la chiave precondivisa (segreto condiviso) che corrisponde alla chiave precondivisa che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul tuo un gateway VPN peer e vuoi generarne uno, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in un luogo sicuro, non può essere recuperato dopo la creazione dei tunnel VPN.

  8. Fai clic su Fine quando hai completato la configurazione di entrambi i tunnel.

  9. Ripeti i due passaggi precedenti per ogni gateway VPN ad alta disponibilità finché non avrai configurato tutti i gateway e i relativi tunnel.

  10. Se devi aggiungere altri tunnel, fai clic su Aggiungi configurazione VPN e configurare i seguenti campi:

    1. Gateway VPN: seleziona uno dei gateway VPN ad alta disponibilità associate ai collegamenti VLAN criptati.

    2. Gateway VPN peer: seleziona un gateway VPN peer esistente o crea un uno nuovo selezionando Crea un nuovo gateway VPN peer. Per creare un nuovo gateway VPN peer, specifica quanto segue:

      • Un nome
      • Due interfacce

      Se devi specificare una singola interfaccia con quattro interfacce, non puoi creare questo gateway VPN peer nella console Google Cloud. Utilizza Google Cloud CLI. In particolare, devi assegnare quattro interfacce sul gateway VPN peer se si stanno connettendo ad AWS.

    3. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 dei due peer le interfacce dei gateway VPN.

    4. Fai clic su Crea.

  11. Dopo aver configurato tutta la VPN ad alta disponibilità, fai clic su Crea e continua.

gcloud

Questo router è dedicato alla gestione delle sessioni BGP per tutti i tuoi tunnel VPN ad alta disponibilità.

Puoi utilizzare un router Cloud esistente se il router non gestisce già una sessione BGP per un collegamento VLAN associate a una connessione Partner Interconnect. Non puoi utilizzare il router Cloud criptato usato per Livello Cloud Interconnect della VPN ad alta disponibilità su Cloud Interconnect e deployment continuo.

  1. Per creare un router Cloud, esegui questo comando:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Sostituisci quanto segue:

    • ROUTER_NAME: il nome del router Cloud che si trovano nella stessa regione del gateway Cloud VPN
    • REGION: la piattaforma Google Cloud regione in cui crei gateway e tunnel
    • NETWORK: il nome della tua rete Google Cloud
    • GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN di Google utilizzata per tutte le sessioni BGP sullo stesso router Cloud non può essere modificato in un secondo momento

    Il router che crei dovrebbe avere un aspetto simile all'esempio seguente :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea almeno un gateway VPN peer esterno.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Sostituisci quanto segue:

    • ON_PREM_GW_IP_0: l'indirizzo IP assegnato all'interfaccia 0 sul gateway VPN peer
    • ON_PREM_GW_IP_1: l'indirizzo IP assegnato all'interfaccia 1 sul gateway VPN peer

    Crea tutti i gateway VPN peer esterni necessari nel deployment.

  3. Per ogni gateway VPN ad alta disponibilità creato Crea gateway VPN ad alta disponibilità, crea un tunnel VPN per ogni interfaccia, 0 e 1. In ogni comando, specifichi il lato peer del tunnel VPN come gateway VPN esterno che hai creato in precedenza.

    Ad esempio, per creare quattro tunnel per i due tipi gateway VPN ad alta disponibilità creati in Crea gateway VPN ad alta disponibilità, esegui seguenti comandi:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Configura sessioni BGP

Console

Nella console Google Cloud, vai alla sezione successiva della Configurazione guidata della VPN ad alta disponibilità su Cloud Interconnect.

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi e configurare le sessioni BGP per ogni tunnel.

Accanto a ciascun tunnel, fai clic su Configura sessione BGP.

Segui le istruzioni in Crea sessioni BGP per configurare il BGP per ogni tunnel VPN.

gcloud

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi e configurare le sessioni BGP per ogni tunnel.

Per ogni tunnel, segui le istruzioni in Crea sessioni BGP.

Completa la configurazione VPN ad alta disponibilità

Prima di poter utilizzare i nuovi gateway Cloud VPN e la VPN associata tunnel, completa questi passaggi:

  1. Configura i gateway VPN peer per le tue reti on-premise e configurare i tunnel corrispondenti. Per istruzioni, consulta quanto segue:
  2. Configura le regole firewall in Google Cloud e nella rete peer, se necessario.
  3. Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione dell'alta disponibilità dal gateway VPN ad alta disponibilità.

Passaggi successivi