Praktik terbaik untuk Cloud VPN

Praktik terbaik berikut dapat bermanfaat ketika merencanakan dan mengonfigurasi Cloud VPN.

Menggunakan project Google Cloud terpisah untuk resource jaringan

Untuk mempermudah konfigurasi peran dan izin Identity and Access Management (IAM) jika memungkinkan, usahakan agar resource Cloud VPN dan Cloud Router Anda berada di project yang terpisah dari resource Google Cloud Anda yang lain.

Pemilihan rute dan failover

Pilih pemilihan rute dinamis

Pilih gateway Cloud VPN yang menggunakan pemilihan rute dinamis dan Border Gateway Protocol (BGP). Google merekomendasikan penggunaan VPN dengan ketersediaan tinggi (HA) dan men-deploy perangkat lokal yang mendukung BGP.

Gunakan VPN dengan ketersediaan tinggi (HA) jika memungkinkan

Untuk mencapai ketersediaan tertinggi, gunakan VPN dengan ketersediaan tinggi (HA) jika memungkinkan.

Untuk informasi lebih lanjut, lihatjenis-jenis VPN di ringkasan Cloud VPN.

Memilih konfigurasi tunnel yang sesuai

Pilih konfigurasi tunnel yang sesuai berdasarkan jumlah tunnel VPN dengan ketersediaan tinggi (HA):

• Jika Anda memiliki dua tunnel VPN dengan ketersediaan tinggi (HA), gunakan konfigurasi tunnel aktif/pasif.

• Jika Anda memiliki lebih dari dua tunnel VPN dengan ketersediaan tinggi (HA), gunakan konfigurasi tunnel aktif/aktif.

Untuk mengetahui informasi lebih lanjut, lihat bagian berikut dalam ringkasan Cloud VPN:

• Opsi pemilihan rute aktif/aktif dan aktif/pasif untuk VPN dengan ketersediaan tinggi (HA)
• Opsi pemilihan rute yang direkomendasikan

Keandalan

Mengonfigurasi gateway VPN peer Anda hanya dengan satu cipher untuk setiap peran cipher

Cloud VPN dapat bertindak sebagai inisiator atau penerima respons atas permintaan IKE bergantung pada asal traffic saat pengaitan keamanan (SA) dibutuhkan.

Ketika CLoud VPN menginisasi koneksi VPN, Cloud VPN mengusulkan algoritme sesuai urutan yang ditampilkan pada tabel cipher yang didukung untuk setiap peran cipher. Sisi pembanding yang menerima usulan akan memilih algoritme.

Jika sisi peer yang menginisiasi koneksi, maka Cloud VPN akan memilih cipher dari usulan menggunakan urutan yang sama seperti yang ditampilkan dalam tabel untuk setiap peran cipher.

Bergantung pada sisi mana yang merupakan inisiator atau penerima respons, cipher yang dipilih dapat berbeda. Misalnya, cipher yang dipilih bahkan dapat berubah seiring waktu saat pengaitan keamanan (SA) baru dibuat selama rotasi kunci. Karena perubahan pemilihan cipher dapat memengaruhi karakteristik tunnel penting, seperti performa atau MTU, pastikan pemilihan cipher Anda stabil. Untuk mengetahui informasi lebih lanjut tentang MTU, lihat pertimbangan MTU.

Agar tidak sering mengubah pemilihan cipher, konfigurasikan gateway VPN peer Anda untuk mengusulkan dan hanya menerima satu cipher untuk setiap peran cipher. Cipher ini harus didukung oleh Cloud VPN dan gateway VPN peer Anda. Jangan berikan daftar cipher untuk setiap peran cipher. Praktik terbaik ini memastikan bahwa kedua sisi tunnel Cloud VPN Anda selalu memilih cipher IKE yang sama selama negosiasi IKE.

Untuk sambungan tunnel VPN dengan ketersediaan tinggi (HA), konfigurasikan tunnel VPN dengan ketersediaan tinggi (HA) pada gateway VPN peer untuk menggunakan cipher dan nilai masa aktif Fase 2 IKE yang sama.

Keamanan

Menyiapkan aturan firewall untuk gateway VPN Anda

Buat aturan firewall aman untuk traffic yang melalui Cloud VPN. Untuk informasi lebih lanjut, lihat Ringkasan aturan VPC firewall.

Menggunakan pre-shared key yang kuat

Google menyarankan agar membuat pre-shared key yang kuat untuk tunnel Cloud VPN Anda.

Membatasi alamat IP untuk gateway VPN pembanding

Dengan membatasi manakah alamat IP yang dapat ditentukan oleh gateway VPN peer, Anda dapat mencegah pembuatan tunnel VPN yang tidak sah.

Untuk informasi lebih lanjut, lihat Membatasi alamat IP untuk gateway VPN peer.

Mengonfigurasi cipher paling kuat di gateway VPN peer Anda

Ketika mengonfigurasi gateway VPN peer, pilih cipher paling kuat untuk setiap peran cipher yang didukung oleh gateway VPN peer dan Cloud VPN Anda.

Perintah usulan yang tercantum untuk Cloud VPN tidak diurutkan berdasarkan kekuatan.

Untuk daftar cipher IKE yang didukung, lihat Cipher IKE yang didukung.

Langkah selanjutnya

• Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
• Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.