Présentation de Cloud VPN

Cette page décrit les concepts liés à Cloud VPN. Pour connaître la définition des termes utilisés dans la documentation Cloud VPN, consultez la section Termes clés.

Cloud VPN connecte votre réseau de pairs à votre réseau cloud privé virtuel (VPC) via une connexion VPN IPsec. La connexion VPN chiffre le trafic circulant entre les réseaux, une passerelle VPN gérant le chiffrement et l'autre traitant le déchiffrement. Ce processus protège vos données pendant leur transmission. Vous pouvez également connecter deux réseaux VPC en connectant deux instances Cloud VPN. Vous ne pouvez pas utiliser Cloud VPN pour acheminer le trafic vers l'Internet public. Il est conçu pour permettre une communication sécurisée entre les réseaux privés.

Choisir une solution de mise en réseau hybride

Pour déterminer s'il convient d'utiliser Cloud VPN, l'interconnexion dédiée, l'interconnexion partenaire ou Cloud Router comme connexion réseau hybride à Google Cloud, consultez la page Choisir un produit de connectivité réseau.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud VPN en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Profiter d'un essai gratuit de Cloud VPN

Pour améliorer la sécurité de votre connexion par interconnexion dédiée ou partenaire, utilisez un VPN haute disponibilité sur Cloud Interconnect. Cette solution établit des tunnels VPN haute disponibilité chiffrés sur vos rattachements de VLAN.

Types de Cloud VPN

Google Cloud propose deux types de passerelles VPN :

VPN haute disponibilité

Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter en toute sécurité votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec située. Selon la topologie et la configuration, le VPN haute disponibilité peut fournir un contrat de niveau de service garantissant une disponibilité du service de 99,99 % ou 99,9 %.

Lorsque vous créez une passerelle VPN haute disponibilité, Google Cloud choisit automatiquement deux adresses IPv4 externes correspondant à chacune de ses interfaces. Chaque adresse IPv4 est automatiquement sélectionnée parmi un pool d'adresses unique afin de garantir une disponibilité élevée. Chacune des interfaces de passerelle VPN haute disponibilité accepte plusieurs tunnels. Vous pouvez également créer plusieurs passerelles VPN haute disponibilité. Lorsque vous supprimez la passerelle VPN haute disponibilité, Google Cloud libère les adresses IP afin de les réutiliser. Une seule interface active et une seule adresse IP publique suffisent pour configurer une passerelle VPN haute disponibilité. Toutefois, cette configuration ne garantit pas de disponibilité dans le contrat de service.

Une option pour utiliser un VPN haute disponibilité consiste à utiliser un VPN haute disponibilité sur Cloud Interconnect. Avec un VPN haute disponibilité via Cloud Interconnect, vous bénéficiez de la sécurité du chiffrement IPsec de Cloud VPN ainsi que de la capacité accrue de Cloud Interconnect. De plus, comme vous utilisez Cloud Interconnect, votre trafic réseau ne transite jamais par l'Internet public. Si vous utilisez une interconnexion partenaire, vous devez ajouter le chiffrement IPsec à votre trafic Cloud Interconnect afin de répondre aux exigences de sécurité et de conformité des données lors de la connexion à des fournisseurs tiers. Les VPN haute disponibilité utilisent une ressource de passerelle VPN externe disponible dans Google Cloud pour fournir à celui-ci des informations sur votre ou vos passerelles VPN de pairs.

Dans la documentation de l'API et dans les commandes gcloud, les passerelles VPN haute disponibilité sont appelées passerelles VPN, plutôt que passerelles VPN cibles. Vous n'avez pas à créer de règles de transfert pour les passerelles VPN haute disponibilité.

Les VPN haute disponibilité peuvent fournir un contrat de niveau de service garantissant une disponibilité de 99,99 % ou 99,9 % en fonction des topologies ou des scénarios de configuration. Pour en savoir plus sur les topologies des VPN haute disponibilité et les contrats de niveau de service acceptés, consultez Topologies des VPN haute disponibilité.

Lors de la configuration d'un VPN haute disponibilité, tenez compte des instructions suivantes :

  • Lorsque vous connectez une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité, celles-ci doivent utiliser des types de piles IP identiques. Par exemple, si vous créez une passerelle VPN haute disponibilité avec le type de pile IPV4_IPV6, l'autre passerelle VPN haute disponibilité doit également être définie sur IPV4_IPV6.

  • Configurez deux tunnels VPN du point de vue de la passerelle Cloud VPN :

    • Si vous disposez de deux passerelles VPN de pairs, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à deux interfaces, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre interface sur la passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à une seule interface, vous devez connecter les deux tunnels de chaque interface de la passerelle Cloud VPN à la même interface sur la passerelle de pairs.
  • Les appareils de VPN de pairs doivent être configurés avec une redondance adéquate. Le fournisseur de l'appareil spécifie les détails d'une configuration suffisamment redondante, qui peut inclure plusieurs instances matérielles. Pour en savoir plus, reportez-vous à la documentation du fournisseur sur l'appareil du VPN de pairs.

    Si deux appareils de pairs sont requis, vous devez connecter chaque appareil à une passerelle VPN haute disponibilité différente. Si un côté appairé utilise un autre fournisseur de services cloud comme AWS, vous devez définir une redondance adéquate pour les connexions VPN du côté AWS.

  • Votre passerelle VPN de pairs doit accepter le routage BGP (Border Gateway Protocol) dynamique.

    Le schéma suivant illustre le concept de VPN haute disponibilité avec une topologie qui inclut la connexion de deux interfaces d'une passerelle VPN haute disponibilité à deux passerelles VPN de pairs. Pour accéder à des topologies de VPN haute disponibilité plus détaillées (incluant des scénarios de configuration), consultez Topologies des VPN haute disponibilité.

    Une passerelle VPN haute disponibilité vers deux passerelles VPN de pairs.
    Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)

VPN classique

Toutes les passerelles Cloud VPN créées avant le lancement des VPN haute disponibilité sont considérées comme des passerelles VPN classiques. Pour savoir comment passer d'un VPN classique à un VPN haute disponibilité, consultez Passer d'un VPN classique à un VPN haute disponibilité.

Contrairement au VPN haute disponibilité, les passerelles VPN classiques possèdent une interface unique et une seule adresse IP externe, et acceptent les tunnels qui utilisent un routage statique (basé sur des règles ou des routes). Vous pouvez également configurer le routage dynamique (BGP) pour le VPN classique, mais seulement pour les tunnels qui se connectent à un logiciel de passerelle VPN tierce s'exécutant sur des instances de VM Google Cloud.

Les passerelles VPN classiques fournissent un contrat de niveau de service garantissant une disponibilité du service de 99,9 %.

Les passerelles VPN classiques ne sont pas compatibles avec IPv6.

Pour en savoir plus sur les topologies de VPN classiques compatibles, consultez la page Topologies classiques des VPN.

Dans la documentation de l'API et dans la CLI Google Cloud, les VPN classiques sont appelés passerelles VPN cibles.

Tableau de comparaison

Le tableau suivant compare les fonctionnalités des VPN haute disponibilité avec les fonctionnalités des VPN classiques.

Sélection VPN haute disponibilité VPN classique
SLA Fournit un contrat de niveau de service de 99,99 % pour la plupart des topologies, à quelques exceptions près. Pour en savoir plus, consultez Topologies des VPN haute disponibilité. Fournit un contrat de niveau de service de 99,9 %.
Création d'adresses IP externes et de règles de transfert Adresses IP externes créées à partir d'un pool : aucune règle de transfert requise. Les adresses IP externes et les règles de transfert doivent être créées.
Options de routage acceptées Routage dynamique uniquement (BGP). Routage statique (basé sur des règles ou sur des routes). Le routage dynamique n'est disponible que pour les tunnels qui se connectent à des logiciels de passerelle VPN tiers s'exécutant sur des instances de VM Google Cloud.
Deux tunnels entre une passerelle Cloud VPN et la même passerelle de pairs Compatible Non compatible
Connectez une passerelle Cloud VPN aux VM Compute Engine avec des adresses IP externes. Topologie compatible et recommandée. Pour en savoir plus, consultez Topologies des VPN haute disponibilité. Compatible
Ressources de l'API Appelée ressource vpn-gateway. Appelée ressource target-vpn-gateway.
Trafic IPv6 Compatible (configuration double pile IPv4 et IPv6) Non compatible

Spécifications

Cloud VPN est soumis aux spécifications ci-dessous.

  • Cloud VPN n'accepte que la connectivité VPN IPsec de site à site, sous réserve du respect des exigences répertoriées dans cette section. Cloud VPN n'est pas compatible avec les scénarios de client à passerelle. En d'autres termes, Cloud VPN n'est pas adapté aux cas d'utilisation où les ordinateurs clients doivent se connecter à un VPN à l'aide d'un logiciel VPN client.

    Cloud VPN n'accepte que le protocole IPSec. Les autres technologies VPN (telles que les VPN SSL) ne sont pas compatibles.

  • Cloud VPN peut être utilisé avec des réseaux VPC et les anciens réseaux. Pour les réseaux VPC, nous vous recommandons d'utiliser les réseaux VPC en mode personnalisé afin de bénéficier d'un contrôle total sur les plages d'adresses IP utilisées par les sous-réseaux du réseau.

    • Les passerelles de VPN classique et de VPN haute disponibilité utilisent des adresses IPv4 externes (routables sur Internet). Seuls les trafics ESP, UDP 500 et UDP 4500 sont autorisés vers ces adresses. Cela s'applique aux adresses Cloud VPN configurées pour le VPN classique ou aux adresses IP attribuées automatiquement pour le VPN haute disponibilité.

    • Si les plages d'adresses IP des sous-réseaux sur site chevauchent les adresses IP utilisées par les sous-réseaux du réseau VPC, consultez la page Ordre de priorité des routes pour savoir comment résoudre les conflits liés au routage.

  • Le trafic Cloud VPN suivant reste au sein du réseau de production de Google :

    • Entre deux passerelles VPN haute disponibilité
    • Entre deux passerelles VPN classiques
    • Entre une passerelle VPN classique ou VPN haute disponibilité et l'adresse IP externe d'une VM Compute Engine faisant office de passerelle VPN
  • Cloud VPN peut être utilisé avec l'accès privé à Google pour les hôtes sur site. Pour en savoir plus, consultez la section Options d'accès privé pour les services.

  • Chaque passerelle Cloud VPN doit être connectée à une autre passerelle Cloud VPN ou à une passerelle VPN de pairs.

  • La passerelle VPN de pairs doit posséder une adresse IPv4 externe statique (routable sur Internet). Vous avez besoin de cette adresse IP pour configurer Cloud VPN.

    • Si votre passerelle VPN de pairs se situe derrière une règle de pare-feu, vous devez configurer cette dernière pour qu'elle lui transmette le trafic du protocole ESP (IPSec) et IKE (UDP 500 et UDP 4500). Si le pare-feu assure la traduction des adresses réseau (NAT), consultez la section Encapsulation du protocole UDP et mode NAT-T.
  • Cloud VPN requiert que la passerelle VPN de pairs soit configurée pour accepter la préfragmentation. Les paquets doivent être fragmentés avant d'être encapsulés.

  • Cloud VPN utilise la détection de répétition avec un intervalle de 4 096 paquets. Vous ne pouvez pas désactiver cette fonctionnalité.

  • Cloud VPN accepte le trafic GRE (encapsulation de routage générique). Grâce à la compatibilité GRE, vous pouvez interrompre le trafic GRE sur une VM depuis Internet (adresse IP externe), et Cloud VPN ou Cloud Interconnect (adresse IP interne). Le trafic déchiffré peut alors être transmis à une destination accessible. GRE vous permet d'utiliser des services tels que SASE (Secure Service Access Edge) et SD-WAN. Vous devez créer une règle de pare-feu pour autoriser le trafic GRE.

  • Les tunnels VPN haute disponibilité acceptent l'échange de trafic IPv6, contrairement aux tunnels VPN classiques.

Bande passante réseau

Chaque tunnel Cloud VPN accepte jusqu'à 250 000 paquets par seconde pour la somme du trafic entrant et sortant. En fonction de la taille moyenne des paquets dans le tunnel, 250 000 paquets par seconde équivaut à entre 1 et 3 Gbit/s de bande passante.

Les métriques associées à cette limite sont Sent bytes et Received bytes, qui sont décrites dans la section Afficher les journaux et les métriques. Notez bien que les métriques sont exprimées en octets tandis que la limite de 3 Gbit/s fait référence à des bits par seconde. Une fois convertie en octets, la limite est de 375 mégaoctets par seconde (Mo/s). Lorsque vous comparez l'utilisation à la limite, utilisez la somme de Sent bytes et de Received bytes, et comparez cette valeur à la limite après conversion, soit 375 Mo/s.

Pour plus d'informations sur la création de règles d'alerte, consultez la section Définir des alertes pour la bande passante des tunnels VPN.

Facteurs ayant une incidence sur la bande passante

La bande passante réelle dépend de plusieurs facteurs :

  • La connexion réseau entre la passerelle Cloud VPN et votre passerelle de pairs :

    • Bande passante réseau entre les deux passerelles : si vous avez établi une relation d'appairage direct avec Google, le débit est plus élevé que si votre trafic VPN était envoyé via l'Internet public.

    • Délai aller-retour (DAR) et perte de paquets : les taux élevés de DAR ou de perte de paquets réduisent considérablement les performances TCP.

  • Fonctionnalités de votre passerelle VPN de pairs : pour plus d'informations, consultez la documentation de votre appareil.

  • Taille de paquet : Cloud VPN utilise le protocole IPsec en mode tunnel : il encapsule et chiffre les paquets IP entiers dans Extensible Service Proxy (ESP), puis stocke les données ESP dans un deuxième paquet IP externe. Par conséquent, il existe à la fois une MTU de passerelle pour les paquets encapsulés IPsec et une MTU de charge utile pour les paquets avant et après l'encapsulation IPsec. Pour en savoir plus, consultez la section Considérations relatives aux MTU.

  • Débit de paquet : Pour les entrées et les sorties, le débit de paquets maximal recommandé pour chaque tunnel Cloud VPN est de 250 000 paquets par seconde (pps). Pour envoyer des paquets à une vitesse supérieure, vous devez créer d'autres tunnels VPN.

Lorsque vous mesurez la bande passante TCP d'un tunnel VPN, vous devez mesurer plusieurs flux TCP simultanés. Si vous utilisez l'outil iperf, utilisez le paramètre -P pour spécifier le nombre de flux simultanés.

Compatibilité IPv6

Cloud VPN est compatible avec le protocole IPv6 dans les VPN haute disponibilité, mais pas dans les VPN classiques.

Pour accepter le trafic IPv6 dans les tunnels VPN haute disponibilité, procédez comme suit :

  • Utilisez le type de pile IPV6_ONLY (bêta) ou IPV4_IPV6 lorsque vous créez une passerelle VPN haute disponibilité et des tunnels qui connectent des réseaux VPC compatibles IPv6 à d'autres réseaux compatibles IPv6. Il peut s'agir de réseaux sur site, de réseaux multicloud ou d'autres réseaux VPC.

  • Incluez des sous-réseaux à double pile dans vos réseaux VPC compatibles avec IPv6. Assurez-vous également d'attribuer des plages IPv6 internes aux sous-réseaux.

Le tableau suivant récapitule les adresses IP externes autorisées pour chaque type de pile de passerelle VPN haute disponibilité.

Type de pile Adresses IP externes de passerelle compatibles
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY (bêta) IPv6

Contraintes applicables aux règles d'administration pour IPv6

Vous pouvez désactiver la création de ressources IPv6 hybrides dans votre projet en définissant la règle d'administration suivante sur "true" :

  • constraints/compute.disableHybridCloudIpv6

Pour les VPN haute disponibilité, cela empêche la création de passerelles VPN haute disponibilité double pile et de passerelles VPN haute disponibilité IPv6 uniquement (bêta) dans le projet.

Types de piles et sessions BGP

Les passerelles VPN haute disponibilité acceptent différents types de piles. Le type de pile d'une passerelle VPN haute disponibilité détermine la version du trafic IP autorisée dans vos tunnels VPN haute disponibilité.

Lorsque vous créez les tunnels VPN haute disponibilité pour une passerelle VPN haute disponibilité à double pile, vous pouvez créer une session BGP IPv6 pour l'échange de route IPv6 ou une session BGP IPv4 qui échange des routes IPv6 via le protocole BGP multiprotocole (MP-BGP).

Le tableau suivant récapitule les types de sessions BGP compatibles avec chaque type de pile.

Type de pile Sessions BGP compatibles Adresses IP externes de la passerelle
Pile unique (IPv4 uniquement) IPv4 BGP, pas de MP-BGP IPv4
Double pile (IPv4 et IPv6)
  • IPv4 BGP, avec ou sans MP-BGP
  • IPv6 BGP, avec ou sans MP-BGP
  • IPv4 BGP et IPv6 BGP, pas MP-BGP
IPv4

Pour en savoir plus sur les sessions BGP, consultez la section Établir des sessions BGP dans la documentation de Cloud Router.

Passerelles IPv4 uniquement à pile unique

Par défaut, une passerelle VPN haute disponibilité se voit attribuer le type de pile IPv4 uniquement et se voit automatiquement attribuer deux adresses IPv4 externes.

Une passerelle VPN haute disponibilité IPv4 uniquement n'accepte que le trafic IPv4.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité IPv4 uniquement et des sessions IPv4 BGP.

Passerelles IPv4 et IPv6 à double pile

Une passerelle VPN haute disponibilité configurée avec les types de piles double pile (IPv4 et IPv6) peut accepter aussi bien le trafic IPv4 que le trafic IPv6.

Pour une passerelle VPN haute disponibilité à double pile, vous pouvez configurer votre routeur Cloud Router avec une session IPv4 BGP, une session IPv6 BGP ou les deux. Si vous ne configurez qu'une seule session BGP, vous pouvez activer MP-BGP pour permettre à cette session d'échanger des routes IPv4 et IPv6. Si vous créez une session IPv4 BGP et une session IPv6 BGP, vous ne pouvez pas activer MP-BGP sur les deux sessions.

Pour échanger des routes IPv6 sur une session IPv4 BGP à l'aide de MP-BGP, vous devez configurer cette session avec des adresses de saut suivant IPv6. De même, pour échanger des routes IPv4 sur une session IPv6 BGP à l'aide de MP-BGP, vous devez configurer cette session avec des adresses de saut suivant IPv4. Vous pouvez configurer ces adresses de saut suivant manuellement ou automatiquement.

Si vous configurez les adresses de saut suivant manuellement, vous devez les sélectionner dans la plage d'adresses unicast globales (GUA) IPv6 de Google 2600:2d00:0:2::/63, ou dans la plage d'adresses IPv4 de liaison locale 169.254.0.0./16. Ces plages d'adresses IP sont préallouées par Google. Les adresses IP de saut suivant que vous sélectionnez doivent être uniques pour tous les routeurs Cloud Router de votre réseau VPC.

Si vous sélectionnez la configuration automatique, Google Cloud sélectionne les adresses IP de saut suivant pour vous.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité à double pile et toutes les sessions BGP compatibles.

Passerelles IPv6 uniquement à simple pile

Par défaut, une passerelle VPN haute disponibilité se voit attribuer le type de pile IPv6-only (bêta) et deux adresses IPv6 externes lui sont automatiquement attribuées.

Une passerelle VPN haute disponibilité IPv6-only (bêta) n'accepte que le trafic IPv6.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité IPv6-only et des sessions BGP IPv6.

Compatibilité IPsec et IKE

Cloud VPN accepte IKEv1 et IKEv2 avec une clé pré-partagée IKE (secret partagé) et des algorithmes de chiffrement IKE. Cloud VPN n'accepte qu'une clé pré-partagée pour l'authentification. Lorsque vous créez le tunnel Cloud VPN, spécifiez une clé pré-partagée. Lorsque vous créez le tunnel sur la passerelle de pairs, spécifiez cette même clé pré-partagée.

Cloud VPN est compatible avec ESP en mode tunnel avec authentification, mais n'est pas compatible avec AH ou ESP en mode de transport.

Vous devez utiliser IKEv2 pour activer le trafic IPv6 dans les VPN haute disponibilité.

Il n'applique pas de filtrage lié aux règles aux paquets d'authentification entrants. Les paquets sortants sont filtrés en fonction de la plage d'adresses IP qui est configurée sur la passerelle Cloud VPN.

Pour en savoir plus sur la création d'une clé pré-partagée sécurisée, consultez la section Générer une clé pré-partagée sécurisée. Pour les algorithmes de chiffrement et les paramètres de configuration compatibles avec Cloud VPN, consultez la section Algorithmes de chiffrement IKE compatibles.

IKE et détection des pairs morts

Cloud VPN est compatible avec la détection des pairs morts (DPD), comme décrit dans la section Protocole DPD de la RFC 3706.

Pour vérifier que le pair est actif, Cloud VPN peut envoyer des paquets DPD à tout moment, conformément à la RFC 3706. Si les requêtes DPD ne sont pas renvoyées après plusieurs tentatives, Cloud VPN reconnaît que le tunnel VPN n'est pas opérationnel. Le tunnel VPN non opérationnel est à son tour la suppression des routes qui utilisent ce tunnel comme saut suivant (routes BGP ou routes statiques) ce qui déclenche un basculement de trafic de VM vers d'autres tunnels VPN opérationnels.

L'intervalle DPD n'est pas configurable dans Cloud VPN.

Encapsulation du protocole UDP et mode NAT-T

Pour plus d'informations sur la configuration de votre appareil pair pour prendre en charge NAT-Traversal (NAT-T) avec Cloud VPN, consultez la section Encapsulation UDP dans la présentation avancée.

Cloud VPN en tant que réseau de transfert de données

Avant d'utiliser Cloud VPN, examinez attentivement la section 2 des conditions générales de service de Google Cloud.

À l'aide de Network Connectivity Center, vous pouvez utiliser des tunnels VPN haute disponibilité pour connecter des réseaux sur site, en transmettant du trafic entre eux comme réseau de transfert de données. Vous connectez les réseaux en associant une paire de tunnels à Network Connectivity Center pour chaque emplacement sur site. Ensuite, vous devez connecter chaque spoke à un hub de centre de connectivité réseau.

Pour en savoir plus sur le centre de connectivité réseau, consultez la section Présentation du centre de connectivité réseau.

Compatibilité avec l'utilisation de vos propres adresses IP (BYOIP)

Pour plus d'informations sur l'utilisation des adresses BYOIP avec Cloud VPN, consultez la section Compatibilité avec les adresses BYOIP.

Options de routage actif-actif et actif-passif pour VPN haute disponibilité

Si un tunnel Cloud VPN devient indisponible, il redémarre automatiquement. En cas de défaillance complète d'un appareil VPN virtuel, Cloud VPN en instancie automatiquement un nouveau avec la même configuration. La nouvelle passerelle et le nouveau tunnel se connectent automatiquement.

Les tunnels VPN connectés à des passerelles VPN haute disponibilité doivent utiliser un routage dynamique (BGP). Selon la façon dont vous configurez les priorités de routes pour les tunnels VPN haute disponibilité, vous pouvez créer une configuration de routage actif-actif ou actif-passif. Pour ces deux configurations de routage, les deux tunnels VPN restent actifs.

Le tableau suivant compare les fonctionnalités des configurations de routage actif-actif ou actif-passif.

Sélection Actif-Actif Actif-Passif
Débit Le débit global effectif est le débit combiné des deux tunnels. Après réduction de deux tunnels actifs à un, le débit global effectif est réduit de moitié, ce qui peut ralentir la connexion ou entraîner la perte de paquets.
Annonce de routage

Votre passerelle de pairs annonce les routes du réseau appairé avec des valeurs MED (Multi-Exit Discriminator) identiques pour chaque tunnel.

Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités identiques.

Le trafic de sortie envoyé à votre réseau de pairs utilise le routage ECMP (Equal Cost Multi-Path).

Le même routeur Cloud Router utilise des priorités identiques pour annoncer des routes à votre réseau VPC.

Votre passerelle de pairs utilise ECMP pour utiliser ces routes afin d'envoyer le trafic de sortie vers Google Cloud.

Votre passerelle de pairs annonce les routes du réseau pair avec différentes valeurs MED pour chaque tunnel.

Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités différentes.

Le trafic de sortie envoyé à votre réseau de pairs utilise la route ayant la priorité la plus élevée, tant que le tunnel associé est disponible.

Le même routeur Cloud Router utilise différentes priorités pour chaque tunnel pour annoncer les routes vers votre réseau VPC.

Votre passerelle de pairs ne peut utiliser le tunnel avec la priorité la plus élevée que pour envoyer du trafic vers Google Cloud.

Basculement

Si le tunnel n'est plus opérationnel, par exemple en raison d'une panne de DPD, Cloud Router retire les routes apprises dont les sauts suivants sont le tunnel indisponible.

Si une session BGP est interrompue, Cloud Router supprime les routes apprises dont les sauts suivants sont le tunnel indisponible, sans provoquer de défaillance d'un tunnel.

Le processus de retrait peut prendre 40 à 60 secondes, au cours desquelles une perte de paquets est attendue.

Si le tunnel n'est plus opérationnel, par exemple en raison d'une panne de DPD, Cloud Router retire les routes apprises dont les sauts suivants sont le tunnel indisponible.

Si une session BGP est interrompue, Cloud Router supprime les routes apprises dont les sauts suivants sont le tunnel indisponible, sans provoquer de défaillance d'un tunnel.

Le processus de retrait peut prendre entre 40 et 60 secondes, au cours desquelles une perte de paquets est attendue.

Utilise un tunnel à la fois, afin que le deuxième tunnel puisse gérer l'intégralité de votre bande passante de sortie en cas d'échec du premier tunnel nécessitant son basculement.

Routage actif-passif dans les topologies de réseau maillé complet

Si Cloud Router reçoit le même préfixe avec des valeurs MED différentes via une interface Cloud VPN donnée, seule la route ayant la priorité la plus élevée dans le réseau VPC est importée. Les autres routes inactives ne sont pas visibles dans la console Google Cloud ou via la CLI Google Cloud. Si la route présentant la priorité la plus élevée devient indisponible, Cloud Router la retire et importe automatiquement la meilleure route suivante dans le réseau VPC.

Utiliser plusieurs tunnels ou passerelles

En fonction de la configuration de la passerelle de pairs, il est possible de créer des routes de sorte qu'un trafic traverse un tunnel et un autre trafic traverse un autre tunnel en raison de priorités de routage (valeurs MED). De même, vous pouvez ajuster la priorité de base que Cloud Router utilise pour partager vos routes de réseau VPC. Ces situations indiquent des configurations de routage qui ne sont ni purement actif-actif, ni purement actif-passif.

Lorsque vous utilisez une seule passerelle VPN haute disponibilité, nous vous recommandons d'utiliser une configuration de routage actif-passif. Avec cette configuration, la capacité de bande passante observée au moment du fonctionnement normal du tunnel correspond à la capacité de bande passante observée lors du basculement. Ce type de configuration est plus facile à gérer, car la limite de bande passante observée reste constante, à l'exception du scénario de passerelle multiple décrit précédemment.

Lorsque vous utilisez plusieurs passerelles VPN haute disponibilité, nous vous recommandons d'utiliser une configuration de routage actif-actif. Avec cette configuration, la capacité de bande passante observée en temps de fonctionnement normal du tunnel est le double de celle de la bande passante maximale. Toutefois, dans les faits, cette configuration sous-estime les tunnels et peut entraîner une baisse du trafic en cas de basculement.

Restreindre les adresses IP d'appairage via un tunnel Cloud VPN

Si vous êtes administrateur de règles d'administration roles/orgpolicy.policyAdmin, vous pouvez créer une contrainte de règle qui limite les adresses IP que les utilisateurs peuvent spécifier pour les passerelles VPN de pairs.

La restriction s'applique à tous les tunnels Cloud VPN, qu'il s'agisse de VPN classiques ou de VPN haute disponibilité, dans un projet, un dossier ou une organisation spécifique.

Pour connaître la procédure à suivre pour restreindre les adresses IP, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.

Visualiser et surveiller les connexions Cloud VPN

Network Topology est un outil de visualisation qui montre la topologie de vos réseaux VPC, la connectivité hybride vers et depuis vos réseaux sur site, et les métriques associées. Vous pouvez afficher vos passerelles et vos tunnels VPN Cloud en tant qu'entités dans Network Topology.

Une entité de base constitue le niveau le plus bas d'une hiérarchie particulière et représente une ressource qui peut communiquer directement avec d'autres ressources sur un réseau. Network Topology agrège les entités de base dans des entités hiérarchiques que vous pouvez développer ou réduire. Lorsque vous affichez un graphique Network Topology pour la première fois, il agrège toutes les entités de base dans leur hiérarchie de premier niveau.

Par exemple, Network Topology agrège les tunnels VPN dans leur connexion de passerelle VPN. Vous pouvez afficher la hiérarchie en développant ou en réduisant les icônes de passerelle VPN.

Pour plus d'informations, consultez la page Présentation de Network Topology.

Maintenance et disponibilité

Cloud VPN fait l'objet d'une maintenance périodique. Pendant la maintenance, les tunnels Cloud VPN sont désactivés, ce qui entraîne de courtes baisses du trafic réseau. Une fois la maintenance terminée, les tunnels Cloud VPN sont automatiquement rétablis.

La maintenance de Cloud VPN est une tâche opérationnelle normale pouvant survenir à tout moment sans préavis. Les périodes de maintenance sont suffisamment courtes pour que le contrat de niveau de service Cloud VPN ne soit pas affecté.

Le VPN haute disponibilité est la méthode recommandée pour configurer des VPN haute disponibilité. Pour en savoir plus sur les options de configuration, consultez la page Topologies des VPN haute disponibilité. Si vous utilisez le VPN classique pour les options de redondance et de haut débit, consultez la page Topologies des VPN classiques.

Bonnes pratiques

Pour créer efficacement un Cloud VPN, suivez ces bonnes pratiques.

Étapes suivantes