這個頁面說明支援的虛擬私有雲 (VPC) 網路和轉送選項。
如需本頁面使用的術語定義,請參閱「重要術語」。
支援的網路
Cloud VPN 支援自訂模式虛擬私有雲網路、自動模式虛擬私有雲網路,以及舊版網路。不過,建議您採取下列最佳做法:
使用虛擬私有雲網路,而不是舊版網路。舊版網路不支援子網路;整個網路都使用單一 IP 位址範圍。舊版網路無法轉換為虛擬私人雲端網路。
使用自訂模式虛擬私有雲網路。自訂模式的虛擬私人雲端網路可讓您完全控制其子網路使用的 IP 位址範圍。
如果您使用 Cloud VPN 連線兩個虛擬私有雲端網路,至少其中一個網路「必須」是自訂模式虛擬私有雲端網路。自動模式虛擬私有雲網路會針對子網路使用相同的內部 IP 位址範圍。
請先參閱自動模式虛擬私有雲網路的考量事項,然後再將此類網路與 Cloud VPN 搭配使用。自動模式 VPC 網路會在每個 Google Cloud 區域自動建立子網路,包括在新增區域時,在這些新區域自動建立新的子網路。請避免在連結 Cloud VPN 通道的網路中,使用自動模式虛擬私有雲端網路所使用範圍中的內部 IP 位址。
VPN 通道的轉送選項
傳統版 VPN 支援 VPN 通道的靜態轉送選項,高可用性 VPN 則支援動態轉送選項。只有在傳統版 VPN 閘道連線至在 Compute Engine VM 中執行的 VPN 閘道軟體時,才能使用採用動態轉送的傳統版 VPN 通道。
動態轉送使用邊界閘道通訊協定 (BGP)。
動態 (BGP) 轉送
動態轉送使用 Cloud Router,透過 BGP 自動管理路徑交換作業。與對應 Cloud VPN 通道位於相同地區的 Cloud Router 上的 BGP 介面,會管理這項交換作業。Cloud Router 會新增及移除路徑,而不需要刪除及重新建立通道。
虛擬私有雲網路的「動態轉送模式」會控管所有雲端路由器的行為。這個模式會決定從對等互連網路取得的路徑,是套用至與 VPN 通道位於相同區域的 Google Cloud 資源,還是套用至所有區域。您可以控制對等路由器或閘道通告的路徑。
動態轉送模式也會決定要與對等互連路由器或閘道共用哪些子網路路徑,是僅限通道所在區域,還是所有區域的子網路路徑。除了這些子網路路徑,您還可以在 Cloud Router 上設定自訂路徑通告。
靜態轉送
傳統版 VPN 通道支援依據政策和依據路徑的靜態轉送選項。只有在您無法使用動態 (BGP) 轉送或高可用性 VPN 時,才考慮使用靜態轉送選項。
策略路由。系統會將本機 IP 範圍 (左側) 與遠端 IP 範圍 (右側) 定義為通道建立程序的一部分。
依據路徑的 VPN。使用 Google Cloud 控制台建立依據路徑的 VPN 時,您只需指定遠端 IP 範圍清單。這些範圍「只會」用來在虛擬私人雲端網路中建立對等互連資源的路徑。
如要進一步瞭解這兩個靜態轉送選項,請參閱下一節。
流量選取器
流量選取器可定義用來建立 VPN 通道的一組 IP 位址範圍或 CIDR 區塊。這些範圍做為通道 IKE 交涉的一部分使用。部分文獻將流量選取器稱為「加密網域」。
流量選取器分為兩種:
本機流量選取器會從發出 VPN 通道的 VPN 閘道角度,定義一組本機 IP 範圍 (CIDR 區塊)。針對 Cloud VPN 通道,本機流量選取器可為虛擬私人雲端網路中的子網路定義一組主要與次要子網路 CIDR,藉以表示通道的左側。
遠端流量選取器會從發出 VPN 通道的 VPN 閘道角度,定義一組遠端 IP 範圍 (CIDR 區塊)。針對 Cloud VPN 通道,遠端流量選取器是右側或對等互連網路。
流量選取器是 VPN 通道的固有部分,用來建立 IKE 交握。如果本機或遠端 CIDR 需要變更,Cloud VPN 通道及其對等互連對應通道都必須刪除並重新建立。
轉送選項與流量選取器
本機與遠端流量選取器的 IP 範圍 (CIDR 區塊) 值,取決於 Cloud VPN 通道使用的轉送選項。
| 高可用性 VPN 通道 | |||||
|---|---|---|---|---|---|
| 通道 轉送選項 |
當地 流量選取器 |
遠端 流量選取器 |
VPC 網路的路徑 |
對等互連網路的路徑 |
|
| 需要 動態 (BGP) 轉送 |
一律0.0.0.0/0適用於 IPv4 (單一堆疊)或 0.0.0.0/0,::/0適用於 IPv4 和 IPv6 (雙重堆疊),或::/0適用於 IPv6 (單一堆疊) |
一律0.0.0.0/0適用於 IPv4 (單一堆疊)或 0.0.0.0/0,::/0適用於 IPv4 和 IPv6 (雙重堆疊),或::/0適用於 IPv6 (單一堆疊) |
除非透過自訂通告修改,否則管理 Cloud VPN 通道 BGP 介面的 Cloud Router 會根據網路的動態轉送模式和 Cloud Router 的配額與限制,分享虛擬私有雲網路中子網路的路徑。 | 受自訂路徑限制,以及Cloud Router 的配額和限制影響,管理 Cloud VPN 通道 BGP 介面的 Cloud Router 會取得對等互連 VPN 閘道傳送的路徑,並以自訂動態路徑的形式新增至虛擬私有雲網路。 | |
| 傳統版 VPN 通道 | |||||
| 通道 轉送選項 |
當地 流量選取器 |
遠端 流量選取器 |
VPC 網路的路徑 |
對等互連網路的路徑 |
|
| 策略路由 | 可設定。 請參閱依據政策的通道與流量選取器。 |
必填。 請參閱依據政策的通道與流量選取器。 |
您必須在對等互連路由器手動建立及維護虛擬私有雲網路中的子網路路徑。 | 如果您使用 Google Cloud 主控台建立依據政策的 VPN 通道,系統會自動建立自訂靜態路徑。如果您使用 gcloud CLI 建立通道,必須使用其他 gcloud 指令才能建立路徑。如需操作說明,請參閱使用靜態轉送建立傳統版 VPN。
|
|
| 依據路徑的 VPN | 一律0.0.0.0/0 |
一律0.0.0.0/0 |
您必須在對等互連路由器手動建立及維護虛擬私有雲網路中的子網路路徑。 | 如果您使用 Google Cloud 主控台建立依據路徑的 VPN 通道,系統會自動建立自訂靜態路徑。如果您使用 gcloud CLI 建立通道,必須使用其他 gcloud 指令才能建立路徑。如需操作說明,請參閱使用靜態轉送建立傳統版 VPN。
|
|
依據政策的通道與流量選取器
本節說明您建立依據政策的傳統 VPN 通道時,有關流量選取器的特別注意事項。不適用於任何其他類型的傳統版 VPN 或高可用性 VPN 通道。
您可以選擇在建立依據政策的 Cloud VPN 通道時指定本機流量選取器:
自訂本機流量選取器。您可以將本機流量選取器定義為虛擬私人雲端網路中的子網路,或是在虛擬私人雲端網路中包含指定子網路 IP 範圍的內部 IP 位址。IKEv1 會將本機流量選取器限制為單一 CIDR。
自訂模式虛擬私有雲網路。指定自訂本機流量選取器,其中包含一系列內部 IP 位址。
自動模式虛擬私有雲網路。如未指定,本機流量選取器是自動建立之子網路的主要 IP 範圍 (CIDR 區塊),且該子網路與 Cloud VPN 通道位於相同地區。自動模式 VPC 網路在每個地區都有一個明確定義 IP 範圍的子網路。
舊版網路。如未指定,本機流量選取器將自動定義為舊版網路的整個 RFC 1918 IP 位址範圍。
建立依據政策的 Cloud VPN 通道時,請指定遠端流量選取器。如果您使用 Google Cloud 主控台建立 Cloud VPN 通道,系統會自動建立自訂的靜態路徑,該路徑的目的地會對應到遠端流量選取器的 CIDR。IKEv1 會將遠端流量選取器限制為單一 CIDR。如需操作說明,請參閱「使用靜態轉送建立傳統版 VPN」。
流量選取器的重要注意事項
建立 Cloud VPN 依據政策的通道前,請考慮下列事項:
如果封包的來源 IP 位址符合通道的本機流量選取器設定,且封包的目的地 IP 位址符合通道的遠端流量選取器設定,則大多數 VPN 閘道只會透過 VPN 通道傳送流量。某些 VPN 裝置不會強制執行此要求。
Cloud VPN 支援
0.0.0.0/0或::/0(任何 IP 位址) 的流量選取器 CIDR。如要確認對等互連 VPN 閘道是否亦提供相關支援,請參閱對等互連 VPN 閘道隨附的說明文件。建立依據政策的 VPN 通道時,若將兩個流量選取器都設為0.0.0.0/0或::/0,該通道的功能會等同於建立依據路徑的 VPN。詳閱每個流量選取器多個 CIDR 一節,瞭解 Cloud VPN 如何執行 IKEv1 和 IKEv2 通訊協定。
建立 VPN 後,Cloud VPN 不允許再編輯任何流量選取器。如要變更 Cloud VPN 通道的本機或遠端流量選取器,您必須刪除並重新建立通道。不過,您不必刪除 Cloud VPN 閘道。
如果您將自動模式虛擬私有雲網路轉換為自訂模式虛擬私有雲網路,可能需要刪除並重新建立 Cloud VPN 通道 (而不是閘道)。如果您新增自訂子網路、移除任何自動建立的子網路,或是修改任何子網路的次要 IP 範圍,可能就會發生這種情況。請避免切換使用現有 Cloud VPN 通道的虛擬私人雲端網路模式。如需建議,請參閱自動模式虛擬私有雲網路的考量事項。
為保持一致且可預測的 VPN 行為,請執行下列操作:
儘可能保持本機與遠端流量選取器的明確性。
確保 Cloud VPN 本機流量選取器與對等互連 VPN 閘道上的對應通道設定的遠端流量選取器相同。
確保 Cloud VPN 遠端流量選取器與內部部署 VPN 閘道上的對應通道設定的本機流量選取器相同。
每個流量選取器多個 CIDR
建立依據政策的傳統 VPN 通道時,如果您使用 IKEv2,可以針對每個流量選取器指定多個 CIDR。無論您使用的 IKE 版本為何,Cloud VPN「一律」使用單一子項安全性關聯 (SA)。
下表大致列出了 Cloud VPN 是否針對依據政策的 VPN 通道,支援每個流量選取器多個 CIDR:
| IKE 版本 | 每個流量選取器多個 CIDR |
|---|---|
| IKEv1 | 否 根據 RFC 2407 和 RFC 2409 的定義,IKEv1 通訊協定僅支援每個子項 SA 有一個 CIDR。由於 Cloud VPN 規定每個 VPN 通道只能有單一子項 SA,因此當您使用 IKEv1 時,只能針對本機流量選取器提供一個 CIDR,以及針對遠端流量選取器提供一個 CIDR。 Cloud VPN 不支援使用有多個子項 SA (且每個 SA 有一個 CIDR) 的 IKEv1 建立 VPN 通道。 |
| IKEv2 | 是,但須符合下列條件:
最佳做法是每個流量選取器使用 30 個或更少的 CIDR,以防您建立超過 MTU 上限的 IKE 提議封包。 |
流量選取器策略
如果您的內部部署 VPN 閘道會針對每個 VPN 通道建立多個子項 SA,或是如果每個流量選取器有多個 CIDR 會導致 IKEv2 的 IKE 提議超出 1460 位元組 (詳情請參閱「轉送選項和流量選取器」),則請考慮使用下列策略:
針對 VPN 通道使用動態轉送。如果對等互連 VPN 閘道支援 BGP,請設定 VPN 通道的本機和遠端流量選取器,允許任何 IP 位址。僅使用 IPv4 時,請使用
0.0.0.0/0;使用 IPv4 和 IPv6 流量時,請使用0.0.0.0/0,::/0。系統會在對等互連 VPN 閘道與 Cloud VPN 通道的關聯 Cloud Router 之間自動交換路徑。如果可以使用動態轉送,建議採用高可用性 VPN。使用廣泛、單一 CIDR 流量選取器與靜態通道轉送:
使用依據路徑的 VPN。根據定義,針對依據路徑的 VPN,兩個流量選取器均為
0.0.0.0/0。您可以建立比流量選取器更明確的路徑。使用依據政策的轉送,並將本機和遠端流量選取器設定為儘可能廣泛。針對依據政策的 Cloud VPN 通道,您可以在虛擬私有雲網路中建立內部部署網路的路徑,且路徑的目的地比遠端流量選取器中指定的 CIDR 區塊更明確。按照「使用靜態轉送建立傳統版 VPN」一文中的步驟,使用 gcloud CLI 從 VPN 通道單獨建立路徑。
使用依據政策的轉送建立多個 Cloud VPN 通道,以便每個通道的本機流量選取器只有一個 CIDR 區塊,且其遠端流量選取器只有一個 CIDR 區塊。以類似方式設定內部部署對應通道。Cloud VPN 支援每個閘道多個通道;但是,使用多個通道時有一些注意事項:
- 對等互連 VPN 閘道必須提供個別的外部 IP 位址,供每個 Cloud VPN 通道連線。相同傳統版 VPN 閘道上的通道必須連線至不重複的對等互連閘道 IP 位址。對等互連 VPN 閘道也可能要求通道連線至不重複的 IP 位址。在某些情況下,您必須為每個 Cloud VPN 通道建立個別的 Cloud VPN 閘道。
- 使用 Google Cloud 主控台建立依據路徑或依據政策的 Cloud VPN 通道時,除了通道以外,也會自動建立對等互連網路的路徑。如果為多個 VPN 通道自動建立路徑,且每個通道都使用相同的遠端流量選取器 (如果您建立依據路徑的 VPN 就會如此),您可以在虛擬私有雲網路中擁有多個路徑,且所有路徑的目的地都相同,但下一個躍點不同。這可能會導致產生無法預測或非預期的行為,因為系統會根據路徑的適用性與順序將流量傳送至 VPN 通道。如果您並未使用動態 (BGP) 通道轉送,則必須在虛擬私有雲端網路與對等互連網路中建立及查看靜態路徑。
後續步驟
- 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽。
- 如要使用高可用性和高總處理量情境或多個子網路情境,請參閱進階設定。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱「疑難排解」。