Configurar VPN de alta disponibilidade pelo Cloud Interconnect

Este documento apresenta as etapas necessárias para implantar a VPN de alta disponibilidade sobre os anexos da VLAN criptografados da sua conexão do Cloud Interconnect. Estas etapas se aplicam à VPN de alta disponibilidade paa Interconexão dedicada e Interconexão por parceiro.

Ao criar um gateway de VPN de alta disponibilidade para uma VPN de alta disponibilidade pelo Cloud Interconnect, você associa esse gateway de VPN de alta disponibilidade aos dois anexos da VLAN criptografados. Você associa cada anexo da VLAN a uma interface de gateway da VPN de alta disponibilidade. O primeiro anexo da VLAN no primeiro domínio de disponibilidade de borda, zone1, corresponde à interface de VPN de alta disponibilidade 0. O segundo anexo da VLAN em zone2 corresponde à interface de VPN de alta disponibilidade 1.

Depois de criar anexos de VLAN criptografados e gateways de VPN de alta disponibilidade, é possível criar os túneis de VPN de alta disponibilidade para os gateways de VPN de peering. Cada túnel de VPN de alta disponibilidade tem uma largura de banda de 3 Gbps. Portanto, para corresponder à capacidade do anexo da VLAN, é necessário criar vários túneis de VPN de alta disponibilidade.

Capacidade da VLAN e número recomendado de túneis

A seção fornece uma estimativa do número de túneis que podem ser necessários com base na capacidade do anexo da VLAN. A capacidade de anexos da VLAN cobre o tráfego de entrada e saída, e o número de túneis na tabela pode não refletir os padrões de tráfego específicos da rede.

Use a tabela a seguir como ponto de partida e monitore a utilização do tráfego dos túneis da VPN de alta disponibilidade. Para garantir a capacidade adequada para o failover nos túneis, recomendamos não exceder 50% do limite de largura de banda de 3 Gbps ou do limite de taxa de pacotes de 250.000 pps para um determinado túnel de VPN.

Para mais informações sobre como configurar o monitoramento e alertas para túneis do Cloud VPN, consulte Visualizar registros e métricas.

Capacidade de anexo da VLAN Número de túneis para cada anexo da VLAN Número total de túneis para toda a implantação
2 Gbps ou menos 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34

Mapeamento de gateway e túnel

Não é necessário ter um mapeamento de gateways de VPN de peering para um gateway de VPN de alta disponibilidade. É possível adicionar vários túneis a cada interface do gateway da VPN de alta disponibilidade, desde que haja interfaces no gateway da VPN de peering que ainda não foram associadas a essa interface de gateway da VPN de alta disponibilidade. Só pode haver um mapeamento ou túnel exclusivo entre uma interface de gateway de VPN de alta disponibilidade específica e uma interface de gateway de VPN de peering específica.

Assim, você pode ter as seguintes configurações:

  • Vários gateways de VPN de alta disponibilidade que fazem encapsulamento para um único gateway de VPN de peering (com várias interfaces)
  • Um único gateway de VPN de alta disponibilidade que encapsula para vários gateways de VPN de peering.
  • Vários gateways de VPN de alta disponibilidade que fazem encapsulamento para vários gateways de VPN de peering

Como regra geral, o número de gateways da VPN de alta disponibilidade que você precisa implantar é determinado por quantos gateways de VPN de peering com interfaces não usadas estão disponíveis na rede local.

Os diagramas a seguir fornecem exemplos de mapeamentos de túneis entre a VPN de alta disponibilidade e gateways de VPN de peering.

Exemplo 1: uma VPN de alta disponibilidade para uma VPN de peering

Exemplo de um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar).
Figura 1:exemplo de um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering. (clique para ampliar).

Exemplo 2: duas VPNs de alta disponibilidade para uma VPN de peering

Exemplo de dois gateways de VPN de alta disponibilidade para um gateway de VPN de peering (clique para ampliar).
Figura 2: exemplo de dois gateways de VPN de alta disponibilidade para um gateway de VPN de peering. (clique para ampliar).

Criar gateways de VPN de alta disponibilidade

Console

Para este procedimento, presumimos que você já tenha criado e configurado seus anexos da VLAN criptografados usando o console do Google Cloud:

Para criar um gateway de VPN de alta disponibilidade, siga estas etapas:

  1. No console do Google Cloud, prossiga para a próxima seção da VPN de alta disponibilidade pelo assistente de implantação do Cloud Interconnect.

    Depois de concluir a configuração do Cloud Router para Cloud Interconnect, a página Criar gateways da VPN será exibida.

    O assistente de configuração de VPN de alta disponibilidade sobre o Cloud Interconnect cria automaticamente gateways de VPN de alta disponibilidade com base na capacidade que você definiu para os anexos da VLAN. Por exemplo, se você especificar 5 Gbps como a capacidade de cada anexo da VLAN, o assistente criará dois gateways de VPN de alta disponibilidade.

  2. Opcional: clique em Expandir para alterar o nome gerado de cada gateway de VPN de alta disponibilidade.

  3. Opcional: se você quiser adicionar mais gateways de VPN de alta disponibilidade, clique em Adicionar outro gateway. Especifique um Nome e, se quiser, uma Descrição. Clique em Concluído.

  4. Clique em Criar e continuar.

gcloud

  1. Use a tabela de capacidade e túneis da VLAN para estimar quantos túneis de VPN são necessários para corresponder à capacidade do anexo da VLAN. Você precisa criar pelo menos um gateway de VPN de alta disponibilidade para criar esses túneis de VPN de alta disponibilidade.

    No exemplo a seguir, um anexo da VLAN de capacidade de 5 Gbps pode exigir quatro túneis.

  2. Criar os gateways de VPN de alta disponibilidade

    Por exemplo, o comando a seguir cria dois gateways de VPN de alta disponibilidade e atribui as interfaces de gateway aos anexos da VLAN criptografados.

    gcloud compute vpn-gateways create vpn-gateway-a \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
  --network network-a \
  --region us-central1 \
  --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

Para o parâmetro --interconnect-attachments, liste os dois anexos da VLAN. O primeiro anexo da VLAN que você lista é atribuído à interface 0 (if0) do gateway da VPN de alta disponibilidade, e o segundo anexo da VLAN é atribuído à interface 1 (if1).

Configurar o Cloud Router de VPN de alta disponibilidade, recursos de gateway de VPN de peering e túneis de VPN de alta disponibilidade

Console

  1. No console do Google Cloud, prossiga para a próxima seção da VPN de alta disponibilidade pelo assistente de implantação do Cloud Interconnect.

  2. Na seção Cloud Router, selecione um Cloud Router. Esse roteador é dedicado a gerenciar as sessões do BGP para todos os túneis de VPN de alta disponibilidade.

    É possível usar um Cloud Router existente se o roteador ainda não gerenciar uma sessão do BGP para um anexo da VLAN associado a uma conexão do Partner Interconnect.

    Não é possível usar o Cloud Router criptografado usado para o nível de interconexão da VPN de alta disponibilidade na implantação do Cloud Interconnect.

  3. Se você não tiver um Cloud Router disponível, selecione Criar novo roteador e especifique o seguinte:

    • Um nome
    • Uma descrição opcional.

    • Um ASN do Google para o novo roteador

      É possível usar qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que não estiver usando em outro lugar da rede. O ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterar o ASN posteriormente.

    Para criar o novo roteador, clique em Criar.

  4. Configure a versão IKE selecionando IKEv1 ou IKEv2. Essa versão é usada em todos os túneis de VPN de alta disponibilidade na implantação.

  5. Opcional: clique em Gerar chaves para gerar a chave pré-compartilhada do IKE para todos os túneis de VPN. Se você selecionar essa opção, a mesma chave pré-compartilhada IKE será preenchida para todos os túneis em todos os gateways de VPN de alta disponibilidade. Salve a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.

  6. Na seção Configurações de VPN, clique em uma configuração de VPN e especifique o seguinte:

    1. Gateway de VPN de peering: selecione um gateway de VPN de peering atual ou crie um selecionando Criar um novo gateway de VPN de peering. Para criar um gateway de VPN de peering, especifique o seguinte:

      • Um nome

      • Duas interfaces

        Se você precisar especificar uma ou quatro interfaces, não será possível criar esse gateway de VPN de peering no console do Google Cloud. Use a Google Cloud CLI. Especificamente, você precisará atribuir quatro interfaces ao gateway da VPN de peering se estiver conectando à Amazon Web Services (AWS).

    2. No campo Endereços IP, insira os endereços IPv4 das duas interfaces de gateway da VPN de peering.

    3. Clique em Criar.

  7. Em Túnel da VPN sobre ENCRYPTED VLAN_ATTACHMENT_1 e Túnel VPN sobre ENCRYPTED VLAN_ATTACHMENT_2, configure os seguintes campos para cada túnel:

    • Nome: é possível deixar o nome do túnel gerado ou modificá-lo.
    • Descrição: opcional.
    • Em Interface do gateway de VPN de peering associado, selecione a combinação de interface de gateway de VPN de peering e do endereço IP que você quer associar a este túnel e à interface de VPN de alta disponibilidade. Essa interface precisa corresponder à interface do roteador de peering real.
    • Chave IKE pré-compartilhada: se você ainda não gerou uma chave pré-compartilhada para todos os túneis, especifique uma chave pré-compartilhada IKE. Use a chave pré-compartilhada (chave secreta compartilhada) que corresponde à chave pré-compartilhada que você criou no gateway de peering. Se você não tiver configurado uma chave pré-compartilhada no gateway da VPN de peering e quiser gerar uma, clique em Gerar e copiar. Salve a chave pré-compartilhada em um local seguro, porque ela não poderá ser recuperada depois que você criar os túneis de VPN.

  8. Clique em Concluído quando você tiver concluído a configuração dos dois túneis.

  9. Repita as duas etapas anteriores para cada gateway da VPN de alta disponibilidade até ter configurado todos os gateways e os respectivos túneis.

  10. Se precisar adicionar mais túneis, clique em Adicionar configuração da VPN e defina os seguintes campos:

    1. Gateway da VPN: selecione um dos gateways de VPN de alta disponibilidade associados aos anexos da VLAN criptografados.

    2. Gateway de VPN de peering: selecione um gateway de VPN de peering atual ou crie um novo selecionando Criar um novo gateway de VPN de peering. Para criar um novo gateway de VPN de peering, especifique o seguinte:

      • Um nome
      • Duas interfaces

      Se você precisar especificar uma ou quatro interfaces, não será possível criar esse gateway de VPN de peering no console do Google Cloud. Use a Google Cloud CLI. Especificamente, você precisará atribuir quatro interfaces ao gateway de VPN de peering se estiver conectando à AWS.

    3. No campo Endereços IP, insira os endereços IPv4 das duas interfaces de gateway da VPN de peering.

    4. Clique em Criar.

  11. Quando terminar de configurar todos os túneis de VPN de alta disponibilidade, clique em Criar e continuar.

gcloud

Esse roteador é dedicado a gerenciar as sessões do BGP para todos os túneis de VPN de alta disponibilidade.

É possível usar um Cloud Router existente se o roteador ainda não gerenciar uma sessão do BGP para um anexo da VLAN associado a uma conexão do Partner Interconnect. Não é possível usar o Cloud Router criptografado usado para o nível do Cloud Interconnect da sua VPN de alta disponibilidade na implantação do Cloud Interconnect.

  1. Para criar um Cloud Router, execute o seguinte comando:

    gcloud compute routers create ROUTER_NAME \
   --region=REGION \
   --network=NETWORK \
   --asn=GOOGLE_ASN

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router na mesma região do gateway do Cloud VPN.
    • REGION: a região do Google Cloud em que você cria o gateway e o túnel
    • NETWORK: o nome da sua rede do Google Cloud.
    • GOOGLE_ASN: qualquer ASN particular (64512 a 65534, 4200000000 a 4294967294) que você ainda não esteja usando na rede de peering. o ASN do Google é usado para todas as sessões do BGP no mesmo Cloud Router e não é possível alterá-lo depois.

    O roteador criado precisa ser semelhante ao exemplo de saída a seguir:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crie pelo menos um gateway de VPN de peering externo.

    gcloud compute external-vpn-gateways create peer-gw \
   --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Substitua:

    • ON_PREM_GW_IP_0: o endereço IP atribuído à interface 0 no gateway da VPN de peering.
    • ON_PREM_GW_IP_1: o endereço IP atribuído à interface 1 no gateway da VPN de peering.

    Crie quantos gateways de VPN de peering externos forem necessários na implantação.

  3. Para cada gateway de VPN de alta disponibilidade que você criou em Criar gateways de VPN de alta disponibilidade, crie um túnel de VPN para cada interface, 0 e 1. Em cada comando, especifique o lado do peering do túnel de VPN como o gateway e a interface de VPN externa criados anteriormente.

    Por exemplo, para criar quatro túneis para os dois exemplos de gateways de VPN de alta disponibilidade criados em Criar gateways de VPN de alta disponibilidade, execute os seguintes comandos:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-a \
 --interface 1

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 0 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 0

    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
 --peer-external-gateway peer-gw \
 --peer-external-gateway-interface 1 \
 --region us-central1 \
 --ike-version 2 \
 --shared-secret SHARED_SECRET \
 --router vpn-router \
 --vpn-gateway vpn-gateway-b \
 --interface 1

Configurar sessões do BGP

Console

No console do Google Cloud, prossiga para a próxima seção da VPN de alta disponibilidade pelo assistente de implantação do Cloud Interconnect.

Depois de criar todos os túneis de VPN de alta disponibilidade, configure as sessões do BGP para cada túnel.

Ao lado de cada túnel, clique em Configurar sessão do BGP.

Siga as instruções em Criar sessões do BGP para configurar o BGP para cada túnel de VPN.

gcloud

Depois de criar todos os túneis de VPN de alta disponibilidade, configure as sessões do BGP para cada túnel.

Para cada túnel, siga as instruções em Criar sessões do BGP.

Concluir a configuração da VPN de alta disponibilidade

Antes de usar os novos gateways do Cloud VPN e os túneis de VPN associados, siga estas etapas:

  1. Configure os gateways de VPN de peering para suas redes locais e configure os túneis correspondentes lá. Para ver instruções, consulte os links a seguir:
  2. Configure regras de firewallno Google Cloud e na rede de peering, conforme necessário.
  3. Verifique o status dos túneis de VPN. Observação: esta etapa inclui a verificação da configuração de alta disponibilidade do seu gateway de VPN de alta disponibilidade.

A seguir