Best practice per Cloud VPN

Le seguenti best practice possono essere utili per la pianificazione e la configurazione di Cloud VPN.

Utilizzare progetti Google Cloud separati per le risorse di rete

Per semplificare la configurazione dei ruoli e delle autorizzazioni di Identity and Access Management (IAM), se possibile, mantieni le risorse Cloud VPN e router Cloud in un progetto separato dalle altre risorse Google Cloud.

Routing e failover

Scegliere il routing dinamico

Scegli un gateway Cloud VPN che utilizzi il routing dinamico e il protocollo BGP (Border Gateway Protocol). Google consiglia di utilizzare VPN ad alta disponibilità e di implementare dispositivi on-premise che supportano BGP.

Utilizza la VPN ad alta disponibilità, se possibile

Per ottenere il massimo livello di disponibilità, utilizza la VPN ad alta disponibilità se possibile.

Per ulteriori informazioni, consulta i tipi di VPN nella panoramica di Cloud VPN.

Scegli la configurazione del tunnel appropriata

Scegli la configurazione del tunnel appropriata in base al numero di tunnel VPN ad alta disponibilità:

• Se hai due tunnel VPN ad alta disponibilità, utilizza una configurazione del tunnel attiva/passiva.

• Se hai più di due tunnel VPN ad alta disponibilità, utilizza una configurazione del tunnel attiva/attiva.

Per ulteriori informazioni, consulta le seguenti sezioni della panoramica di Cloud VPN:

• Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità
• Opzione di elaborazione del percorso consigliata

Affidabilità

Configura il gateway VPN peer con un solo cifrario per ogni ruolo

Cloud VPN può agire come iniziatore o come rispondente alle richieste IKE, a seconda dell'origine del traffico, quando è necessaria una nuova associazione di sicurezza (SA).

Quando Cloud VPN avvia una connessione VPN, propone gli algoritmi nell'ordine mostrato nelle tabelle di crittografia supportate per ogni ruolo di crittografia. Il peer che riceve la proposta seleziona un algoritmo.

Se è il lato peer ad avviare la connessione, Cloud VPN seleziona un cifrario dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ogni ruolo del cifrario.

A seconda di quale lato è l'iniziatore o il rispondente, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe persino cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza (SA) durante rotazione della chiave. Poiché una modifica della selezione del cifrario può influire su caratteristiche importanti del tunnel come le prestazioni o l'MTU, assicurati che la selezione del cifrario sia stabile. Per ulteriori informazioni sull'MTU, consulta Considerazioni su MTU.

Per evitare modifiche frequenti nella selezione dei cifrari, configura il gateway VPN peer in modo che proponga e accetti un solo cifrario per ogni ruolo. Questo cifrario deve essere supportato sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di crittografi per ogni ruolo. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre lo stesso cifrario IKE durante la negoziazione IKE.

Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo che utilizzino gli stessi valori di crittografia e della durata della fase 2 di IKE.

Sicurezza

Configura le regole firewall per i gateway VPN

Crea regole firewall sicure per il traffico che passa attraverso Cloud VPN. Per ulteriori informazioni, consulta la panoramica delle regole firewall VPC.

Utilizza chiavi precondivise efficaci

Google consiglia di generare una chiave precondivisa efficace per i tunnel Cloud VPN.

Limita gli indirizzi IP per i gateway VPN peer

Se limiti gli indirizzi IP che possono essere specificati per un gateway VPN peer, puoi impedire la creazione di tunnel VPN non autorizzati.

Per ulteriori informazioni, consulta Limita gli indirizzi IP per i gateway VPN peer.

Configura la crittografia più avanzata sul gateway VPN peer

Quando configuri il gateway VPN peer, scegli la crittografia più avanzata per ogni ruolo di crittografia supportato sia dal gateway VPN peer sia da Cloud VPN.

L'ordine delle proposte elencate per Cloud VPN non è in ordine di sicurezza.

Per un elenco dei tipi di crittografia IKE supportati, consulta Tipi di crittografia IKE supportati.

Passaggi successivi

• Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più reti private virtuali, consulta Configurazioni avanzate.
• Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.