Best practice per Cloud VPN

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Le seguenti best practice possono essere utili per pianificare e configurare Cloud VPN.

Usa progetti Google Cloud separati per le risorse di networking

Per semplificare la configurazione dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) e, se possibile, mantenere le risorse di Cloud VPN e del router Cloud in un progetto separato dalle altre risorse di Google Cloud.

Routing e failover

Scegli il routing dinamico

Scegli un gateway Cloud VPN che utilizza il routing dinamico e il protocollo BGP (Border Gateway Protocol). Google consiglia di utilizzare la VPN ad alta disponibilità e di eseguire il deployment dei dispositivi on-premise che supportano BGP.

Se possibile, usa la VPN ad alta disponibilità

Per ottenere il massimo livello di disponibilità, utilizza la VPN ad alta disponibilità ogni volta che è possibile.

Per scoprire di più, consulta i tipi di VPN nella panoramica di Cloud VPN.

Scegli la configurazione del tunnel appropriata

Scegli la configurazione del tunnel appropriata in base al numero di gateway VPN ad alta disponibilità:

  • Se hai un singolo gateway VPN ad alta disponibilità, utilizza una configurazione del tunnel attiva/passiva.

  • Se hai più di un gateway VPN ad alta disponibilità, utilizza una configurazione del tunnel attiva/attiva.

Per saperne di più, consulta le seguenti sezioni della panoramica Cloud VPN:

Affidabilità

Configura il gateway VPN peer con una sola crittografia per ogni ruolo di crittografia

Cloud VPN può agire da iniziatore o risponditore alle richieste IKE in base all'origine del traffico quando è necessaria una nuova associazione di sicurezza (SA).

Quando Cloud VPN avvia una connessione VPN, Cloud VPN propone gli algoritmi nell'ordine mostrato nelle tabelle di crittografia supportate per ogni ruolo di crittografia. La parte peer che riceve la proposta seleziona un algoritmo.

Se il lato peer avvia la connessione, Cloud VPN seleziona una crittografia dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ciascun ruolo di crittografia.

A seconda del lato dell'iniziatore o del risponditore, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe perfino cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza durante la rotazione delle chiavi. Poiché un cambiamento nella selezione della crittografia può influire su caratteristiche del tunnel importanti, come le prestazioni o le MTU, assicurati che la selezione della crittografia sia stabile.

Per evitare modifiche frequenti alla selezione dei crittografia, configura il gateway VPN peer per proporre e accettare un solo crittografia per ogni ruolo di crittografia. Questa crittografia deve essere supportata sia da Cloud VPN sia dal gateway della VPN peer. Non fornire un elenco di crittografia per ogni ruolo di crittografia. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre la stessa crittografia IKE durante la negoziazione IKE.

Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo da utilizzare gli stessi valori di durata della fase 2 e di crittografia IKE.

Sicurezza

Configura le regole firewall per i gateway VPN

Crea regole firewall sicure per il traffico su Cloud VPN. Per ulteriori informazioni, consulta la panoramica sulle regole firewall VPC.

Utilizzare solide chiavi precondivise

Google consiglia di generare una chiave precondivisa efficace per i tunnel Cloud VPN.

Limita gli indirizzi IP per i gateway VPN peer

Limitando gli indirizzi IP che possono essere specificati per un gateway VPN peer, puoi impedire la creazione di tunnel VPN non autorizzati.

Per ulteriori informazioni, consulta la pagina Limitare gli indirizzi IP per i gateway VPN peer.

Configura la crittografia più efficace sul gateway VPN peer

Quando configuri il gateway VPN peer, scegli la crittografia più efficace per ogni ruolo di crittografia supportato sia dal gateway VPN peer sia da Cloud VPN.

L'ordine della proposta elencato per Cloud VPN non è ordinato in base alla forza.

Per un elenco delle crittografie IKE supportate, vedi Crittografia IKE supportata.

Passaggi successivi

  • Per utilizzare scenari ad alta disponibilità e alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.
  • Per risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.