Best practice per Cloud VPN

Le seguenti best practice possono essere utili durante la pianificazione e la configurazione di Cloud VPN.

Utilizza progetti Google Cloud separati per le risorse di networking

Per semplificare la configurazione dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) ove possibile, mantieni le risorse Cloud VPN e il router Cloud in un progetto separato dalle altre risorse Google Cloud.

Routing e failover

Scegli il routing dinamico

Scegli un gateway Cloud VPN che utilizzi il routing dinamico e il protocollo BGP (Border Gateway Protocol). Google consiglia di utilizzare VPN ad alta disponibilità e di eseguire il deployment dei dispositivi on-premise che supportano BGP.

Utilizza la VPN ad alta disponibilità quando possibile

Per ottenere il massimo livello di disponibilità, utilizza la VPN ad alta disponibilità quando possibile.

Per ulteriori informazioni, consulta i tipi di VPN nella panoramica di Cloud VPN.

Scegli la configurazione del tunnel appropriata

Scegli la configurazione del tunnel appropriata in base al numero di tunnel VPN ad alta disponibilità:

• Se disponi di due tunnel VPN ad alta disponibilità, utilizza una configurazione tunnel attivo/passivo.

• Se hai più di due tunnel VPN ad alta disponibilità, utilizza una configurazione tunnel attiva/attiva.

Per saperne di più, consulta le sezioni seguenti della panoramica di Cloud VPN:

• Opzioni di routing attivo/attivo e attivo/passivo per VPN ad alta disponibilità
• Opzione di routing consigliata

Affidabilità

Configura il gateway VPN peer con una sola crittografia per ogni ruolo di crittografia

Cloud VPN può agire da iniziatore o da risponditore alle richieste IKE, a seconda dell'origine del traffico, quando è necessaria una nuova associazione di sicurezza.

Quando Cloud VPN avvia una connessione VPN, Cloud VPN propone gli algoritmi nell'ordine indicato nelle tabelle di crittografia supportate per ciascun ruolo di crittografia. Il lato peer che riceve la proposta seleziona un algoritmo.

Se il lato peer avvia la connessione, Cloud VPN seleziona una crittografia dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ciascun ruolo di crittografia.

A seconda di quale lato è l'iniziatore o chi risponde, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe anche cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza (SA) durante la rotazione della chiave. Poiché una modifica alla selezione della crittografia può influire su caratteristiche importanti del tunnel, come le prestazioni o la MTU, assicurati che la selezione della crittografia sia stabile. Per ulteriori informazioni sulla MTU, consulta le considerazioni sulla MTU.

Per evitare modifiche frequenti nella selezione della crittografia, configura il gateway VPN peer in modo da proporre e accettare una sola crittografia per ogni ruolo di crittografia. Questa crittografia deve essere supportata sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di crittografie per ogni ruolo di crittografia. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre la stessa crittografia IKE durante la negoziazione IKE.

Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo che utilizzino la stessa crittografia e i lifetime value IKE di fase 2.

Sicurezza

Configura le regole firewall per i gateway VPN

Crea regole firewall sicure per il traffico che viaggia su Cloud VPN. Per ulteriori informazioni, consulta la panoramica delle regole firewall VPC.

Utilizza chiavi precondivise efficaci

Google consiglia di generare una chiave precondivisa efficace per i tunnel Cloud VPN.

Limita gli indirizzi IP per i gateway VPN peer

Se limiti gli indirizzi IP che possono essere specificati per un gateway VPN peer, puoi impedire la creazione di tunnel VPN non autorizzati.

Per saperne di più, consulta Limitare gli indirizzi IP per i gateway VPN peer.

Configura la crittografia più efficace sul gateway VPN peer

Quando configuri il gateway VPN peer, scegli la crittografia più efficace per ogni ruolo di crittografia supportato sia dal gateway VPN peer sia da Cloud VPN.

L'ordine delle proposte elencato per Cloud VPN non è ordinato in base alla sicurezza.

Per un elenco delle crittografie IKE supportate, consulta Cifrari IKE supportati.

Passaggi successivi

• Per utilizzare scenari di alta disponibilità e velocità effettiva o scenari di più subnet, consulta Configurazioni avanzate.
• Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.