Saiba como implementar a VPN de HA sobre os anexos de VLAN encriptados da sua ligação do Cloud Interconnect. Estes passos aplicam-se à VPN de alta disponibilidade para o Dedicated Interconnect e o Partner Interconnect.
Quando cria um gateway de VPN de alta disponibilidade para uma implementação de VPN de alta disponibilidade através do Cloud Interconnect, associa esse gateway de VPN de alta disponibilidade à sua associação de VLAN encriptada. Cada associação de VLAN que quer configurar tem de estar associada a uma interface de gateway de VPN de alta disponibilidade.
Só é necessária uma associação VLAN, mas para configurar a comutação por falha, tem de associar duas associações VLAN no seu domínio de disponibilidade de limite:
- A primeira associação VLAN em
zone1corresponde à interface de VPN de alta disponibilidade0. - A segunda associação VLAN em
zone2corresponde à interface de VPN de alta disponibilidade1.
Depois de criar as associações de VLAN encriptadas e os gateways de VPN de HA, pode criar os túneis de VPN de HA para os gateways de VPN de pares. Cada túnel de VPN de HA tem uma largura de banda de 3 Gbps. Por conseguinte, para corresponder à capacidade da sua associação VLAN, tem de criar vários túneis de VPN de alta disponibilidade.
Capacidade da VLAN e número recomendado de túneis
A secção fornece uma estimativa do número de túneis de que pode precisar com base na capacidade da sua ligação VLAN. A capacidade de anexos de VLAN abrange o tráfego de saída e de entrada, e o número de túneis na tabela pode não refletir os padrões de tráfego específicos da sua rede.
Use a tabela seguinte como ponto de partida e monitorize a utilização do tráfego dos seus túneis de VPN de alta disponibilidade. Para garantir uma capacidade adequada para a comutação por falha nos seus túneis, recomendamos que não exceda 50% do limite de largura de banda de 3 Gbps ou do limite de taxa de pacotes de 250 000 pps para um determinado túnel de VPN.
Para mais informações sobre a configuração da monitorização e dos alertas para túneis do Cloud VPN, consulte o artigo Veja registos e métricas.
| Capacidade da associação VLAN | Número de túneis para cada associação VLAN | Número total de túneis para 2 associações VLAN (failover) |
|---|---|---|
| 2 Gbps ou menos | 1 | 2 |
| 5 Gbps | 2 | 4 |
| 10 Gbps | 4 | 8 |
| 20 Gbps | 7 | 14 |
| 50 Gbps | 17 | 34 |
| 100 Gbps | 34 | 68 |
Mapeamento de gateways e túneis
Não precisa de ter um mapeamento individual de gateways de VPN de intercâmbio para gateways de VPN de HA. Pode adicionar vários túneis a cada interface do gateway de VPN de alta disponibilidade, desde que existam interfaces no gateway de VPN de pares que ainda não tenham sido mapeadas para essa interface específica do gateway de VPN de alta disponibilidade. Só pode existir um mapeamento ou um túnel exclusivo entre uma interface de gateway de VPN de alta disponibilidade específica e uma interface de gateway de VPN de pares específica.
Assim, pode ter as seguintes configurações:
- Vários gateways de VPN de alta disponibilidade que criam túneis para um único gateway de VPN de pares (com várias interfaces)
- Um único gateway de VPN de HA que cria túneis para vários gateways de VPN pares
- Vários gateways de VPN de alta disponibilidade que criam túneis para vários gateways de VPN pares
Como regra geral, o número de gateways de VPN de HA que tem de implementar é determinado pelo número de gateways de VPN de pares com interfaces não usadas que tem disponíveis na sua rede no local.
Os diagramas seguintes fornecem exemplos de mapeamentos de túneis entre a VPN de HA e gateways de VPN de pares.
Exemplo 1: uma VPN de alta disponibilidade para duas VPNs de pares
Exemplo 2: duas VPNs de alta disponibilidade para uma VPN de pares
Crie gateways de HA VPN
Este procedimento pressupõe que já criou e configurou os seus anexos de VLAN encriptados através da Google Cloud consola:
Para o Dedicated Interconnect, consulte o artigo Crie associações VLAN encriptadas.
Para a interconexão de parceiros, consulte o artigo Crie anexos de VLAN encriptados.
Consola
Este procedimento pressupõe que já criou e configurou os seus anexos de VLAN encriptados através da Google Cloud consola:
Para o Dedicated Interconnect, consulte o artigo Crie associações VLAN encriptadas.
Para a interconexão de parceiros, consulte o artigo Crie anexos de VLAN encriptados.
Para criar um gateway de VPN de HA, siga estes passos:
Na Google Cloud consola, continue para a secção seguinte do assistente de implementação de VPN de alta disponibilidade através do Cloud Interconnect.
Depois de concluir a configuração do Cloud Router para o Cloud Interconnect, é apresentada a página Criar gateways de VPN.
O assistente de configuração da VPN de alta disponibilidade através do Cloud Interconnect cria automaticamente gateways de VPN de alta disponibilidade com base na capacidade que configurou para as suas associações de VLAN. Por exemplo, se tiver especificado 5 Gbps como a capacidade de cada anexo de VLAN, o assistente cria dois gateways de VPN de HA.
Opcional: clique em Expandir para alterar o nome gerado de cada gateway de VPN de alta disponibilidade.
Opcional: se quiser adicionar mais gateways de VPN de HA, clique em Adicionar outro gateway. Especifique um Nome e uma Descrição opcional. Em seguida, clique em Concluído.
Clique em Criar e continuar.
gcloud
Use a tabela de capacidade e túneis de VLAN para estimar quantos túneis de VPN são necessários para corresponder à capacidade do seu anexo de VLAN. Tem de criar, pelo menos, uma gateway de VPN de alta disponibilidade para poder criar estes túneis de VPN de alta disponibilidade.
No exemplo seguinte, uma associação VLAN com uma capacidade de 5 Gbps pode requerer quatro túneis.
Crie os gateways de VPN de alta disponibilidade.
Por exemplo, os seguintes comandos criam dois gateways de VPN de alta disponibilidade e atribuem as interfaces de gateway aos seus anexos de VLAN encriptados:
gcloud compute vpn-gateways create vpn-gateway-a \ --network=network-a \ --region=REGION \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2gcloud compute vpn-gateways create vpn-gateway-b \ --network=network-a \ --region=REGION \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2Substitua
REGIONpela região onde o anexo da VLAN está localizado.
Para o parâmetro --interconnect-attachments, lista os anexos de VLAN. A primeira associação VLAN que listar é atribuída à interface 0 (if0) do gateway de VPN de alta disponibilidade e a segunda associação VLAN é atribuída à interface 1 (if1).
Configure o Cloud Router da VPN de alta disponibilidade, os recursos do gateway de VPN de intercâmbio e os túneis da VPN de alta disponibilidade
Consola
Na Google Cloud consola, continue para a secção seguinte do assistente de implementação de VPN de alta disponibilidade através do Cloud Interconnect.
Na secção Cloud Router, selecione um Cloud Router. Este router está dedicado à gestão das sessões BGP para todos os seus túneis de VPN de alta disponibilidade.
Pode usar um Cloud Router existente se o router ainda não gerir uma sessão BGP para uma associação de VLAN associada a uma ligação do Partner Interconnect.
Não pode usar o Cloud Router encriptado usado para o nível do Interconnect da sua implementação de VPN de alta disponibilidade através do Cloud Interconnect.
Se não tiver um Cloud Router disponível, selecione Criar novo router e especifique o seguinte:
- Um nome
- Uma descrição opcional
Um ASN da Google para o novo router
Pode usar qualquer ASN privado (
64512a65534,4200000000a4294967294) que não esteja a usar noutro local na sua rede. O ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode alterar o ASN posteriormente.
Para criar o novo router, clique em Criar.
Configure a versão do IKE selecionando IKEv1 ou IKEv2. Esta versão é usada em todos os túneis de VPN de HA na implementação.
Opcional: clique em Gerar chaves para gerar a chave pré-partilhada IKE para todos os túneis de VPN. Se selecionar esta opção, a mesma chave pré-partilhada IKE é preenchida para todos os túneis em todos os gateways de VPN de HA. Certifique-se de que regista a chave pré-partilhada num local seguro, uma vez que não é possível obtê-la depois de criar os túneis de VPN.
Na secção Configurações de VPN, clique numa configuração de VPN e, de seguida, especifique o seguinte:
Gateway de VPN de intercâmbio: selecione um gateway de VPN de intercâmbio existente ou crie um selecionando Criar um novo gateway de VPN de intercâmbio. Para criar um gateway de VPN paritário, especifique o seguinte:
- Um nome
Duas interfaces
Se precisar de especificar uma única interface ou quatro interfaces, não pode criar este gateway VPN de pares na consolaGoogle Cloud . Em alternativa, use a Google Cloud CLI. Em concreto, tem de atribuir quatro interfaces no seu gateway de VPN de pares se estiver a estabelecer ligação aos Amazon Web Services (AWS).
No campo Endereços IP, introduza os endereços IPv4 das duas interfaces do gateway de VPN de pares.
Clique em Criar.
Em Túnel de VPN através de
ENCRYPTED VLAN_ATTACHMENT_1e Túnel de VPN através deENCRYPTED VLAN_ATTACHMENT_2, configure os seguintes campos para cada túnel:- Nome: pode deixar o nome do túnel gerado ou modificá-lo.
- Descrição: opcional.
- Interface do gateway de VPN de pares associada: selecione a interface do gateway de VPN de pares e a combinação de endereço IP que quer associar a este túnel e interface de VPN de alta disponibilidade. Esta interface tem de corresponder à interface no seu router de pares real.
- Chave pré-partilhada IKE: se ainda não tiver gerado uma chave pré-partilhada para todos os túneis, especifique uma chave pré-partilhada IKE. Use a chave pré-partilhada (segredo partilhado) que corresponde à chave pré-partilhada que cria no gateway de pares. Se não tiver configurado uma chave pré-partilhada no gateway de VPN paritário e quiser gerar uma, clique em Gerar e copiar. Certifique-se de que regista a chave pré-partilhada num local seguro, uma vez que não é possível obtê-la depois de criar os túneis de VPN.
Clique em Concluído quando tiver concluído a configuração de ambos os túneis.
Repita os dois passos anteriores para cada gateway de VPN de HA até ter configurado todos os gateways e respetivos túneis.
Se precisar de adicionar mais túneis, clique em Adicionar configuração de VPN e configure os seguintes campos:
- Gateway de VPN: selecione um dos gateways de VPN de HA associados aos anexos de VLAN encriptados.
Gateway de VPN de intercâmbio: selecione um gateway de VPN de intercâmbio existente ou crie um novo selecionando Criar um novo gateway de VPN de intercâmbio. Para criar um novo gateway de VPN de intercâmbio, especifique o seguinte:
- Um nome
- Duas interfaces
Se precisar de especificar uma única interface ou quatro interfaces, não pode criar este gateway VPN de pares na consolaGoogle Cloud . Em alternativa, use a Google Cloud CLI. Especificamente, tem de atribuir quatro interfaces no seu gateway de VPN de pares se estiver a estabelecer ligação à AWS.
No campo Endereços IP, introduza os endereços IPv4 das duas interfaces do gateway de VPN de pares.
Clique em Criar.
Quando terminar de configurar todos os túneis de VPN de HA, clique em Criar e continuar.
gcloud
Este router está dedicado à gestão das sessões BGP para todos os seus túneis de VPN de alta disponibilidade.
Pode usar um Cloud Router existente se o router ainda não gerir uma sessão BGP para uma associação de VLAN associada a uma ligação do Partner Interconnect. Não pode usar o Cloud Router encriptado usado para o nível do Cloud Interconnect da sua implementação de VPN de alta disponibilidade através do Cloud Interconnect.
Para criar um Cloud Router, execute o seguinte comando:
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASNSubstitua o seguinte:
ROUTER_NAME: o nome do Cloud Router na mesma região que o gateway do Cloud VPNREGION: a Google Cloud região onde cria o gateway e o túnelNETWORK: o nome da sua Google Cloud redeGOOGLE_ASN: qualquer ASN privado (64512a65534,4200000000a4294967294) que ainda não esteja a usar na rede de pares. O ASN da Google é usado para todas as sessões BGP no mesmo Cloud Router e não pode ser alterado posteriormente
O router que criar deve ser semelhante ao seguinte exemplo de resultado:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
Crie, pelo menos, um gateway de VPN de intercâmbio externo.
gcloud compute external-vpn-gateways create peer-gw \ --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1Substitua o seguinte:
ON_PREM_GW_IP_0: o endereço IP atribuído à interface0no seu gateway de VPN de intercâmbioON_PREM_GW_IP_1: o endereço IP atribuído à interface1no seu gateway de VPN de intercâmbio
Crie tantos gateways de VPN de intercâmbio externos quantos forem necessários na sua implementação.
Para cada gateway de VPN de alta disponibilidade que criou em Criar gateways de VPN de alta disponibilidade, crie um túnel de VPN para cada interface,
0e1. Em cada comando, especifica o lado de intercâmbio do túnel de VPN como o gateway de VPN externo e a interface que criou anteriormente.Por exemplo, para criar quatro túneis para os dois gateways de VPN de HA de exemplo criados em Crie gateways de VPN de HA, execute os seguintes comandos:
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \ --peer-external-gateway=peer-gw \ --peer-external-gateway-interface=0 \ --region=REGION \ --ike-version=2 \ --shared-secret=SHARED_SECRET \ --router=vpn-router \ --vpn-gateway=vpn-gateway-a \ --interface=0gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \ --peer-external-gateway=peer-gw \ --peer-external-gateway-interface=1 \ --region=REGION \ --ike-version=2 \ --shared-secret=SHARED_SECRET \ --router=vpn-router \ --vpn-gateway=vpn-gateway-a \ --interface=1gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region=REGION \ --ike-version=2 \ --shared-secret=SHARED_SECRET \ --router=vpn-router \ --vpn-gateway=vpn-gateway-b \ --interface=0gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region=REGION \ --ike-version=2 \ --shared-secret=SHARED_SECRET \ --router=vpn-router \ --vpn-gateway=vpn-gateway-b \ --interface=1
Configure sessões de BGP
Consola
Na Google Cloud consola, continue para a secção seguinte do assistente de implementação de VPN de alta disponibilidade através do Cloud Interconnect.
Depois de criar todos os túneis de VPN de HA, tem de configurar as sessões de BGP para cada túnel.
Junto a cada túnel, clique em Configurar sessão de BGP.
Siga as instruções em Crie sessões BGP para configurar o BGP para cada túnel de VPN.
gcloud
Depois de criar todos os túneis de VPN de HA, tem de configurar as sessões de BGP para cada túnel.
Para cada túnel, siga as instruções em Crie sessões BGP.
Conclua a configuração da VPN de HA
Antes de poder usar os novos gateways de VPN da Cloud e os respetivos túneis de VPN associados, conclua os seguintes passos:
- Configure os gateways de VPN de pares para as suas redes no local
e configure os túneis correspondentes. Para ver instruções, consulte o seguinte:
- Para orientações de configuração específicas para determinados dispositivos VPN ponto a ponto, consulte o artigo Use VPNs de terceiros.
- Para parâmetros de configuração gerais, consulte o artigo Configure o gateway de VPN paritário.
- Configure regras de firewall no Google Cloud e na sua rede de pares, conforme necessário.
- Verifique o estado dos seus túneis de VPN. Este passo inclui a verificação da configuração de alta disponibilidade do gateway de VPN de alta disponibilidade.
O que se segue?
Se precisar de adicionar mais túneis de VPN de alta disponibilidade, consulte o artigo Adicione um túnel de VPN.
Para saber mais sobre a monitorização da HA VPN, consulte o artigo Ver registos e métricas.