Configura la VPN con alta disponibilidad en Cloud Interconnect

En este documento, se proporcionan los pasos necesarios para implementar una VPN con alta disponibilidad además de los adjuntos de VLAN encriptados de tu conexión de Cloud Interconnect. Estos pasos se aplican a la VPN con alta disponibilidad para la interconexión dedicada y la interconexión de socio.

Cuando creas una puerta de enlace de VPN con alta disponibilidad para una implementación de VPN con alta disponibilidad en Cloud Interconnect, debes asociar esa puerta de enlace de VPN con alta disponibilidad a tus dos adjuntos de VLAN encriptados. El usuario asocia cada adjunto de VLAN con una interfaz de puerta de enlace de VPN con alta disponibilidad. El primer adjunto de VLAN en el primer dominio de disponibilidad perimetral, zone1, corresponde a la interfaz de VPN con alta disponibilidad 0. El segundo adjunto de VLAN en zone2 corresponde a la interfaz de VPN con alta disponibilidad 1.

Después de crear los adjuntos de VLAN encriptados y las puertas de enlace de VPN con alta disponibilidad, puedes crear los túneles VPN con alta disponibilidad a las puertas de enlace de VPN de intercambio de tráfico. Cada túnel VPN con alta disponibilidad tiene un ancho de banda de 3 Gbps. Por lo tanto, para hacer coincidir la capacidad de tu adjunto de VLAN, debes crear varios túneles VPN con alta disponibilidad.

Capacidad de VLAN y cantidad de túneles recomendadas

En esta sección, se proporciona una estimación sobre la cantidad de túneles que podrías necesitar según la capacidad de tu adjunto de VLAN. La capacidad del adjunto de VLAN cubre tanto el tráfico de entrada como el de salida, y la cantidad de túneles de la tabla podría no reflejar los patrones de tráfico particulares de tu red.

Usa la siguiente tabla como punto de partida y supervisa el uso del tráfico de tus túneles VPN con alta disponibilidad. Si deseas garantizar la capacidad adecuada para la conmutación por error en tus túneles, te recomendamos que no excedas el 50% del límite de ancho de banda de 3 Gbps o el límite de frecuencia de paquetes de 250,000 pps para un túnel VPN dado.

Si deseas obtener más información sobre la configuración de la supervisión y las alertas para los túneles de Cloud VPN, consulta Visualiza registros y métricas.

Capacidad del adjunto de VLAN Cantidad de túneles para cada adjunto de VLAN Cantidad total de túneles para toda la implementación
2 Gbps o menos 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Asignación de túneles y puertas de enlace

No necesitas tener una asignación de uno a uno de las puertas de enlace de VPN de intercambio de tráfico a las puertas de enlace de VPN con alta disponibilidad. Puedes agregar varios túneles a cada interfaz de la puerta de enlace de VPN con alta disponibilidad, siempre que haya interfaces en la puerta de enlace de VPN con alta disponibilidad que aún no se hayan asignado a esa interfaz de puerta de enlace de VPN con alta disponibilidad en particular. Solo puede haber una asignación o un túnel único entre una interfaz de puerta de enlace de VPN con alta disponibilidad específica y una interfaz de puerta de enlace de VPN de intercambio de tráfico específica.

Por lo tanto, puedes tener las siguientes configuraciones:

  • Varias puertas de enlace de VPN con alta disponibilidad que realizan un túnel a una sola puerta de enlace de VPN de intercambio de tráfico (con varias interfaces)
  • Una puerta de enlace de VPN con alta disponibilidad única que se conecta a varias puertas de enlace de VPN de intercambio de tráfico
  • Varias puertas de enlace de VPN con alta disponibilidad que se conectan a varias puertas de enlace de VPN de intercambio de tráfico

Como regla general, la cantidad de puertas de enlace de VPN con alta disponibilidad que necesitas implementar se determina según la cantidad de puertas de enlace de VPN de intercambio de tráfico con interfaces que no se usaron y que tienes disponibles en tu red local.

En los siguientes diagramas, se proporcionan ejemplos de asignaciones de túneles entre VPN con alta disponibilidad y puertas de enlace de VPN de intercambio de tráfico.

Ejemplo 1: Una VPN con alta disponibilidad a dos VPN de intercambio de tráfico

Ejemplo de una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico (haz clic para agrandar).
Figura 1: Ejemplo de una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico (haz clic para agrandar).

Ejemplo 2: Dos VPN con alta disponibilidad a una VPN de intercambio de tráfico

Ejemplo de dos puertas de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (haz clic para agrandar).
Figura 2: Ejemplo de dos puertas de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (haz clic para agrandar).

Crea puertas de enlace de VPN con alta disponibilidad

Consola

En este procedimiento, se supone que ya creaste y configuraste tus adjuntos de VLAN encriptados mediante la consola de Google Cloud:

Para crear una puerta de enlace de VPN con alta disponibilidad, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

    Después de completar la configuración de Cloud Router para Cloud Interconnect, aparecerá la página Crea puertas de enlace de VPN.

    El asistente de configuración de VPN con alta disponibilidad sobre Cloud Interconnect crea automáticamente puertas de enlace de VPN con alta disponibilidad según la capacidad que configuraste para tus adjuntos de VLAN. Por ejemplo, si especificaste 5 Gbps como capacidad de cada adjunto de VLAN, el asistente crea dos puertas de enlace de VPN con alta disponibilidad.

  2. Opcional: Haz clic en Expandir para cambiar el nombre generado de cada puerta de enlace de VPN con alta disponibilidad.

  3. Si deseas agregar más puertas de enlace de VPN con alta disponibilidad, haz clic en Agregar otra puerta de enlace (opcional). Especifica un Nombre y una Descripción opcional. Luego, haga clic en Listo.

  4. Haga clic en Crear y continuar.

gcloud

  1. Usa la tabla de capacidad y túneles de VLAN para estimar cuántos túneles VPN se necesitan a fin de coincidir con la capacidad de tu adjunto de VLAN. Debes crear al menos una puerta de enlace de VPN con alta disponibilidad para poder crear estos túneles VPN con alta disponibilidad.

    En el siguiente ejemplo, un adjunto de VLAN de capacidad de 5 Gbps puede requerir cuatro túneles.

  2. Crea las puertas de enlace de VPN con alta disponibilidad.

    Por ejemplo, el siguiente comando crea dos puertas de enlace de VPN con alta disponibilidad y asigna las interfaces de puerta de enlace a tus adjuntos de VLAN encriptados.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Para el parámetro --interconnect-attachments, debes enumerar ambos adjuntos de VLAN. El primer adjunto de VLAN que enumeres a la interfaz 0 (if0) de la puerta de enlace de VPN con alta disponibilidad y el segundo adjunto de VLAN se asigna a la interfaz 1 (if1).

Configura el Cloud Router de VPN con alta disponibilidad, los recursos de puerta de enlace de VPN de intercambio de tráfico y los túneles VPN con alta disponibilidad

Consola

  1. En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

  2. En la sección Cloud Router, selecciona un Cloud Router. Este router está dedicado a administrar las sesiones de BGP para todos los túneles VPN con alta disponibilidad.

    Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio.

    No puedes usar el Cloud Router encriptado que se usa para el nivel de interconexión de tu VPN con alta disponibilidad en la implementación de Cloud Interconnect.

  3. Si no tienes un Cloud Router disponible, selecciona Crear router nuevo y especifica lo siguiente:

    • Un nombre
    • Una descripción opcional

    • Un ASN de Google para el router nuevo

      Puedes usar cualquier ASN privado (desde 64512 hasta 65534 y desde 4200000000 hasta 4294967294) que no uses en ningún otro lugar de la red. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no puedes cambiar el ASN más adelante.

    Para crear el router nuevo, haz clic en Crear.

  4. Para configurar la versión de IKE, selecciona IKEv1 o IKEv2. Esta versión se usa en todos los túneles VPN con alta disponibilidad en la implementación.

  5. Opcional: Haz clic en Generar claves a fin de generar la clave precompartida de IKE para todos los túneles VPN. Si seleccionas esta opción, se propaga la misma clave precompartida del IKE para todos los túneles en todas las puertas de enlace de VPN con alta disponibilidad. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.

  6. En la sección Opciones de configuración de VPN, haz clic en una configuración de VPN y, luego, especifica lo siguiente:

    1. Puerta de enlace de VPN de intercambio de tráfico: Selecciona una puerta de enlace de VPN de intercambio de tráfico existente o selecciona Crear una nueva puerta de enlace de VPN de intercambio de tráfico. Para crear una puerta de enlace de VPN de intercambio de tráfico, especifica lo siguiente:

      • Un nombre

      • Dos interfaces

        Si necesitas especificar una sola interfaz o cuatro interfaces, no puedes crear esta puerta de enlace de VPN de intercambio de tráfico en la consola de Google Cloud. En su lugar, usa Google Cloud CLI. En particular, debes asignar cuatro interfaces en la puerta de enlace de VPN de intercambio de tráfico si te conectas a Amazon Web Services (AWS).

    2. En el campo Direcciones IP, ingresa las direcciones IPv4 de las dos interfaces de puerta de enlace de VPN de intercambio de tráfico.

    3. Haz clic en Crear.

  7. En Túnel VPN en ENCRYPTED VLAN_ATTACHMENT_1 y Túnel VPN en ENCRYPTED VLAN_ATTACHMENT_2, configura los siguientes campos para cada túnel:

    • Nombre: Puedes dejar el nombre del túnel generado o modificarlo.
    • Descripción: (opcional)
    • Interfaz de puerta de enlace de VPN de intercambio de tráfico asociada: selecciona la combinación de interfaz de puerta de enlace de VPN de intercambio de tráfico y dirección IP que deseas asociar con este túnel y con la interfaz de VPN con alta disponibilidad. Esta interfaz debe coincidir con la interfaz del router de intercambio de tráfico real.
    • Clave precompartida IKE: Si aún no generaste una clave precompartida para todos los túneles, especifica una clave precompartida IKE. Usa la clave precompartida (secreto compartido) que corresponde a la clave precompartida que creas en tu puerta de enlace de intercambio de tráfico. Si no configuraste una clave precompartida en tu puerta de enlace de VPN de intercambio de tráfico y quieres generar una, haz clic en Generar y copiar. Asegúrate de guardar la clave precompartida en una ubicación segura, ya que no se puede recuperar una vez que creas los túneles VPN.

  8. Haz clic en Listo cuando hayas completado la configuración de ambos túneles.

  9. Repite los dos pasos anteriores para cada puerta de enlace de VPN con alta disponibilidad hasta que hayas configurado todas las puertas de enlace y sus túneles.

  10. Si necesitas agregar más túneles, haz clic en Agregar configuración de VPN y configura los siguientes campos:

    1. Puerta de enlace de VPN: Selecciona una de las puertas de enlace de VPN con alta disponibilidad asociadas con los adjuntos de VLAN encriptados.

    2. Puerta de enlace de VPN de intercambio de tráfico: Selecciona una puerta de enlace de VPN de intercambio de tráfico existente o crea una nueva seleccionando Crear una nueva puerta de enlace de VPN de intercambio de tráfico. Para crear una nueva puerta de enlace de VPN de intercambio de tráfico, especifica lo siguiente:

      • Un nombre
      • Dos interfaces

      Si necesitas especificar una sola interfaz o cuatro interfaces, no puedes crear esta puerta de enlace de VPN de intercambio de tráfico en la consola de Google Cloud. En su lugar, usa Google Cloud CLI. En particular, debes asignar cuatro interfaces en la puerta de enlace de VPN de intercambio de tráfico si te conectas a AWS.

    3. En el campo Direcciones IP, ingresa las direcciones IPv4 de las dos interfaces de puerta de enlace de VPN de intercambio de tráfico.

    4. Haz clic en Crear.

  11. Cuando termines de configurar todos los túneles VPN con alta disponibilidad, haz clic en Crear y continuar.

gcloud

Este router está dedicado a administrar las sesiones de BGP para todos los túneles VPN con alta disponibilidad.

Puedes usar un Cloud Router existente si el router no administra una sesión de BGP para un adjunto de VLAN asociado a una conexión de interconexión de socio. No puedes usar el Cloud Router encriptado que se usa para el nivel Cloud Interconnect de tu VPN con alta disponibilidad en la implementación de Cloud Interconnect.

  1. Para crear un Cloud Router, ingresa el siguiente comando:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Reemplaza lo siguiente:

    • ROUTER_NAME: El nombre del Cloud Router en la misma región que la puerta de enlace de Cloud VPN
    • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
    • NETWORK: El nombre de tu red de Google Cloud
    • GOOGLE_ASN: Cualquier ASN privado (de 64512 a 65534, de 4200000000 a 4294967294) que no estés usando en la red de intercambio de tráfico. El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.

    El router que crees debe ser similar al siguiente resultado de ejemplo:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea al menos una puerta de enlace de VPN de intercambio de tráfico externa.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Reemplaza lo siguiente:

    • ON_PREM_GW_IP_0: La dirección IP asignada a la interfaz 0 en tu puerta de enlace de VPN de intercambio de tráfico
    • ON_PREM_GW_IP_1: La dirección IP asignada a la interfaz 1 en tu puerta de enlace de VPN de intercambio de tráfico

    Crea tantas puertas de enlace de VPN de intercambio de tráfico externas como sea necesario en la implementación.

  3. Para cada puerta de enlace de VPN con alta disponibilidad que creaste en Crea puertas de enlace de VPN con alta disponibilidad, crea un túnel VPN para cada interfaz, 0 y 1. En cada comando, debes especificar el lado del intercambio de tráfico del túnel VPN como la interfaz y la puerta de enlace de VPN externa que creaste antes.

    Por ejemplo, a fin de crear cuatro túneles para las dos puertas de enlace de VPN con alta disponibilidad de ejemplo que se crean en Crea puertas de enlace de VPN con alta disponibilidad, ejecuta los siguientes comandos:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Configura sesiones de BGP

Consola

En la consola de Google Cloud, ve a la siguiente sección del asistente de implementación de VPN con alta disponibilidad en Cloud Interconnect.

Después de crear todos los túneles VPN con alta disponibilidad, debes configurar las sesiones de BGP para cada túnel.

Junto a cada túnel, haz clic en Configurar sesión de BGP.

Sigue las instrucciones en Crea sesiones de BGP a fin de configurar BGP para cada túnel VPN.

gcloud

Después de crear todos los túneles VPN con alta disponibilidad, debes configurar las sesiones de BGP para cada túnel.

Para cada túnel, sigue las instrucciones en Crea sesiones de BGP.

Completa la configuración de VPN con alta disponibilidad

Para poder usar las nuevas puertas de enlace de Cloud VPN y sus túneles VPN asociados, completa los siguientes pasos:

  1. Configura las puertas de enlace de VPN de intercambio de tráfico para tus redes locales y configura los túneles correspondientes allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado de los túneles VPN.. En este paso, se verifica la configuración de alta disponibilidad de la puerta de enlace de VPN con alta disponibilidad.

Próximos pasos