Questa pagina descrive i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta Termini chiave.
Cloud VPN estende in modo sicuro la rete peer alla rete Virtual Private Cloud (VPC) tramite una connessione VPN IPsec VPN. La connessione VPN cripta il traffico tra le reti, con un gateway VPN che gestisce la crittografia e l'altro la decrittografia. Questo processo protegge i tuoi dati durante la trasmissione. Puoi anche connettere due reti VPC tra loro collegando due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico verso internet pubblico, in quanto è progettata per la comunicazione sicura tra reti private.
Scegliere una soluzione di rete ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o router Cloud come connessione di rete ibrida a Google Cloud, consulta Scegliere un prodotto per la connettività di rete.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamentePer migliorare la sicurezza della connessione Dedicated Interconnect o Partner Interconnect, utilizza la VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sui tuoi attacchi VLAN.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN:
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA con una disponibilità del servizio del 99,99% o del 99,9%.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IP esterni, uno per ogni interfaccia. Ogni indirizzo IP viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce dei gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP affinché possano essere riutilizzati. Puoi configurare un gateway VPN ad alta disponibilità con una sola interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA di disponibilità.
Un'opzione per utilizzare la VPN ad alta disponibilità è la VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, puoi usufruire della sicurezza della crittografia IPsec di Cloud VPN insieme all'aumento della capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico di Cloud Interconnect per soddisfare i requisiti di conformità e sicurezza dei dati quando ti connetti a fornitori di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire a Google Cloud informazioni sui tuoi gateway VPN peer.
Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità vengono chiamati gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di inoltro per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità può fornire uno SLA di disponibilità del 99,99% o del 99,9%, a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA supportati, consulta Topologie VPN ad alta disponibilità.
Durante la configurazione della VPN ad alta disponibilità, tieni conto delle seguenti linee guida:
Quando colleghi un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:
- Se hai due dispositivi gateway VPN peer, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con un'unica interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Per maggiori dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.
Se sono necessari due dispositivi peer, ogni dispositivo peer deve essere connesso a un'interfaccia diversa del gateway VPN ad alta disponibilità. Se il lato peer è un altro provider cloud come AWS, le connessioni VPN devono essere configurate con una ridondanza adeguata anche sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il routing dinamico Border Gateway Protocol (BGP).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, illustrando una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità (scenari di configurazione) più dettagliate, consulta Topologie VPN ad alta disponibilità.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway VPN classica. Per informazioni su come passare dalla VPN classica alla VPN ad alta disponibilità, consulta Passaggio dalla VPN classica alla VPN ad alta disponibilità.
A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (in base alle norme o ai percorsi). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono a software di gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud.
I gateway VPN classica forniscono uno SLA con una disponibilità del servizio del 99,9%.
I gateway VPN classica non supportano IPv6.
Per le topologie VPN classica supportate, consulta la pagina Topologie VPN classica.
Le VPN classiche sono indicate come gateway VPN di destinazione nella documentazione dell'API e in Google Cloud CLI.
Tabella di confronto
La tabella seguente mette a confronto le funzionalità della VPN ad alta disponibilità con quelle della VPN classica.
| Funzionalità | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per ulteriori informazioni, consulta Topologie VPN ad alta disponibilità. | Fornisce uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di inoltro | Indirizzi IP esterni creati da un pool; non sono necessarie regole di inoltro. | Devono essere creati indirizzi IP esterni e regole di inoltro. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri, basato su route). Il routing dinamico è supportato solo per i tunnel che si connettono a software di gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Non supportata |
| Connetti un gateway Cloud VPN alle VM Compute Engine con indirizzi IP esterni. | Topologia supportata e consigliata. Per ulteriori informazioni, consulta le topologie VPN ad alta disponibilità. | Supportato. |
| Risorse API | Nota come risorsa vpn-gateway. |
Nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportato (configurazione IPv4 e IPv6 a doppio stack) | Non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, in base ai requisiti elencati in questa sezione. Non supporta gli scenari client-to-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client devono "collegarsi" a una VPN utilizzando un software VPN client.
Cloud VPN supporta solo IPsec. Altre tecnologie VPN (ad esempio SSL VPN) non sono supportate.
Cloud VPN può essere utilizzata con reti VPC e reti legacy. Per le reti VPC, consigliamo di utilizzare le reti VPC in modalità personalizzata in modo da avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.
I gateway VPN classica e VPN ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili su internet). Per questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi Cloud VPN configurati per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella rete VPC, per determinare in che modo vengono risolti i conflitti di routing, consulta Ordine dei route.
Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classica
- Tra un gateway VPN classica o VPN ad alta disponibilità e l'indirizzo IP esterno di una VM Compute Engine che funge da gateway VPN
Cloud VPN può essere utilizzata con l'accesso privato Google per gli host on-premise. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.
Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.
Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile su internet). Per configurare Cloud VPN, hai bisogno di questo indirizzo IP.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurare la regola firewall in modo che trasferisca il traffico del protocollo ESP (IPsec) e IKE (UDP 500 e UDP 4500). Se la regola del firewall fornisce la Network Address Translation (NAT), consulta Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato per supportare la prefragmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento di replay con una finestra di 4096 pacchetti. Non puoi disattivare questa opzione.
Cloud VPN supporta il traffico GRE (Generic Routing Encapsulation). Il supporto di GRE ti consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e da Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE ti consente di utilizzare servizi come SASE (Secure Access Service Edge) e SD-WAN. Devi creare una regola del firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, mentre i tunnel VPN classica no.
Larghezza di banda della rete
Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. A seconda delle dimensioni medie dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a una larghezza di banda compresa tra 1 e 3 Gbps.
Le metriche relative a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e
metriche. Tieni presente che
l'unità di misura delle metriche è byte, mentre il limite di 3 Gbps si riferisce a bit per
secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps).
Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e
Received bytes rispetto al limite convertito di 375 MB/s.
Per informazioni su come creare criteri di avviso, consulta Definire avvisi per la larghezza di banda del tunnel VPN.
Fattori che influiscono sulla larghezza di banda
La larghezza di banda è influenzata da una serie di fattori, tra cui:
La connessione di rete tra il gateway Cloud VPN e il gateway peer:
Larghezza di banda della rete tra i due gateway. Se hai stabilito un rapporto di peering diretto con Google, il throughput è superiore rispetto al caso in cui il traffico VPN venga inviato tramite internet pubblico.
Tempo di round trip (RTT) e perdita di pacchetti. Un RTT elevato o tassi di perdita di pacchetti riducono notevolmente le prestazioni del TCP.
Funzionalità del gateway VPN peer. Per saperne di più, consulta la documentazione del dispositivo.
Dimensioni dei pacchetti. Cloud VPN utilizza il protocollo IPsec in modalità tunnel, incapsulando e criptando interi pacchetti IP in ESP (Encapsulating Security Payload) e poi memorizzando i dati ESP in un secondo pacchetto IP esterno. Di conseguenza, esiste sia un MTU del gateway per i pacchetti incapsulati IPsec sia un MTU del carico utile per i pacchetti prima e dopo l'incapsulamento IPsec. Per maggiori dettagli, consulta le considerazioni sulla dimensione massima del pacchetto.
Velocità pacchetti. Per l'ingresso e l'uscita, la frequenza massima consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una frequenza più elevata, devi creare più tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un
flusso TCP simultaneo. Se utilizzi lo strumento iperf, utilizza il parametro -P per specificare il numero di stream simultanei.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.
Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità, segui questi passaggi:
Utilizza il tipo di stack
IPV6_ONLYoIPV4_IPV6quando crei un gateway VPN ad alta disponibilità e tunnel che connettono reti VPC con supporto IPv6 con altre reti con supporto IPv6. Queste reti possono essere reti on-premise, reti multicloud o altre reti VPC.Includi subnet a doppio stack nelle tue reti VPC abilitate per IPv6. Inoltre, assicurati di assegnare intervalli IPv6 interni alle subnet.
La tabella seguente riassume gli indirizzi IP esterni consentiti per ogni tipo di stack del gateway VPN ad alta disponibilità.
| Tipo di stack | Indirizzi IP esterni del gateway supportati |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Vincoli dei criteri dell'organizzazione per IPv6
Puoi disattivare la creazione di tutte le risorse ibride IPv6 nel tuo progetto impostando su true il seguente criterio dell'organizzazione:
constraints/compute.disableHybridCloudIpv6
Per la VPN ad alta disponibilità, questo impedisce la creazione di gateway VPN ad alta disponibilità dual-stack e gateway VPN ad alta disponibilità solo IPv6 nel progetto.
Tipi di stack e sessioni BGP
I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Il tipo di impilamento di un gateway VPN ad alta disponibilità determina quale versione del traffico IP è consentita nei tunnel VPN ad alta disponibilità.
Quando crei i tunnel VPN ad alta disponibilità per un gateway VPN ad alta disponibilità a doppio stack, puoi creare una sessione BGP IPv6 per lo scambio di route IPv6 o una sessione BGP IPv4 che scambia route IPv6 utilizzando BGP multiprotocollo (MP-BGP).
La tabella seguente riassume i tipi di sessioni BGP supportati per ciascun tipo di stack.
| Tipo di stack | Sessioni BGP supportate | Indirizzi IP esterni del gateway |
|---|---|---|
| Stack singolo (solo IPv4) | BGP IPv4, nessun MP-BGP | IPv4 |
| Stack singolo (solo IPv6) | BGP IPv6, nessun MP-BGP | IPv6 |
| Doppio stack (IPv4 e IPv6) |
|
IPv4 e IPv6 |
Per ulteriori informazioni sulle sessioni BGP, consulta Creare sessioni BGP nella documentazione del router Cloud.
Gateway solo IPv4 a stack singolo
Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato il tipo di stack solo IPv4 e vengono assegnati automaticamente due indirizzi IPv4 esterni.
Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità con un altro gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
Gateway solo IPv6 a stack singolo
Un gateway VPN ad alta disponibilità solo IPv6 supporta solo il traffico IPv6. Per impostazione predefinita, a un gateway VPN ad alta disponibilità solo IPv6 vengono assegnati due indirizzi IPv6 esterni.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità con un altro gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
Gateway IPv4 e IPv6 a doppio stack
Un gateway VPN ad alta disponibilità configurato con il tipo di stack a doppio (IPv4 e IPv6) può supportare sia il traffico IPv4 che IPv6.
Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare il tuo router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configurerai una sola sessione BGP, puoi attivare MP-BGP per consentire a questa sessione di scambiare route IPv4 e IPv6. Se crei una sessione BGP IPv4 e una sessione BGP IPv6, non puoi attivare MP-BGP in nessuna delle due sessioni.
Per scambiare route IPv6 in una sessione BGP IPv4 utilizzando MP-BGP, devi configurare la sessione con gli indirizzi hop successivo IPv6. Analogamente, per scambiare route IPv4 in una sessione BGP IPv6 utilizzando MP-BGP, devi configurare la sessione con indirizzi di hop successivo IPv4. Puoi configurare questi indirizzi di hop successivo manualmente o automaticamente.
Se configuri manualmente gli indirizzi hop successivo, devi selezionarli dall'intervallo di indirizzi GUA (Global Unicast Address) IPv6 di proprietà di Google2600:2d00:0:2::/63 o dall'intervallo di indirizzi IPv4 link-local 169.254.0.0./16. Questi intervalli di indirizzi IP sono preallocati da Google. Gli indirizzi IP di hop successivo selezionati devono essere univoci in tutti i router Cloud all'interno della rete VPC.
Se selezioni la configurazione automatica, Google Cloud seleziona per te gli indirizzi IP del successivo hop.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità dual-stack e tutte le sessioni BGP supportate.
- Sessioni BGP IPv4, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità con un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Sessioni BGP IPv6, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità con un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Entrambe le sessioni BGP IPv4 e IPv6
- Per la configurazione di un gateway VPN ad alta disponibilità con un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP: sessioni BGP IPv4 e IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP: sessioni BGP sia IPv4 che IPv6.
Supporto di IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave IKE precondivisa (segreto condiviso) e le crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue il filtraggio in base alle norme sui pacchetti di autenticazione in entrata. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.
Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta Generare una chiave pre-condivisa. Per le crittografie e i parametri di configurazione supportati da Cloud VPN, consulta Crittografie IKE supportate.
Rilevamento di IKE e peer non attivi
Cloud VPN supporta il rilevamento dei peer inattivi (DPD), come indicato nella sezione Protocollo DPD del RFC 3706.
Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD in qualsiasi momento, in base a RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è in stato operativo. Il tunnel VPN non funzionante causa a sua volta la rimozione delle route che utilizzano questo tunnel come hop successivo (route BGP o statiche), attivando un failover del traffico VM su altri tunnel VPN funzionanti.
L'intervallo DPD non è configurabile in Cloud VPN.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il dispositivo peer in modo da supportare il traversale NAT (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella panoramica avanzata.
Cloud VPN come rete di trasferimento dati
Prima di utilizzare Cloud VPN, esamina attentamente la Sezione 2 dei Termini di servizio generali di Google Cloud.
Con Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere le reti on-premise tra loro, passando il traffico tra di esse come rete di trasferimento dati. Collega le reti collegando una coppia di tunnel a uno spoke di Network Connectivity Center per ogni sede on-premise. Collega poi ogni spoke a un hub di Network Connectivity Center.
Per ulteriori informazioni su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
Supporto Bring Your Own IP (BYOIP)
Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, consulta Supporto per gli indirizzi BYOIP.
Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità
Se un tunnel Cloud VPN si arresta in modo anomalo, si riavvia automaticamente. Se un intero dispositivo VPN virtuale non funziona, Cloud VPN ne esegue automaticamente la nuova istanza con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). In base al modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attiva/attiva o attiva/passiva. Per entrambe queste configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente mette a confronto le funzionalità di una configurazione di routing attiva/attiva o attiva/passiva.
| Funzionalità | Attivo-attivo | Attiva-passiva |
|---|---|---|
| Velocità effettiva | La larghezza di banda aggregata effettiva è la larghezza di banda combinata di entrambi i tunnel. | Dopo aver ridotto da due a uno i tunnel attivi, il throughput complessivo effettivo viene dimezzato, il che può comportare una connettività più lenta o pacchetti persi. |
| Annuncio di route | Il gateway peer pubblicizza i percorsi della rete peer con valori MED (Multi-Exit Discriminator) identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella rete VPC con priorità identiche. Il traffico in uscita inviato alla rete peer utilizza il routing ECMP (Equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per annunci route alla rete VPC. Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud. |
Il gateway peer pubblicizza i percorsi della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella rete VPC con priorità diverse. Il traffico in uscita inviato alla rete peer utilizza la route con la priorità più alta, a condizione che il tunnel associato sia disponibile. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per annunciarle alla rete VPC. Il gateway peer può utilizzare solo il tunnel con la priorità più alta per inviare traffico a Google Cloud. |
| Failover | Se il tunnel non è più in stato operativo, ad esempio perché DPD è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un arresto anomalo della sessione BGP, router Cloud rimuove le route acquisite i cui hop successivi sono il tunnel non disponibile, senza causare un malfunzionamento del tunnel. La procedura di recesso può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. |
Se il tunnel non è più in stato operativo, ad esempio perché DPD è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un arresto anomalo della sessione BGP, router Cloud rimuove le route acquisite i cui hop successivi sono il tunnel non disponibile, senza causare un malfunzionamento del tunnel. La procedura di recesso può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. Utilizza al massimo un tunnel alla volta in modo che il secondo tunnel sia in grado di gestire tutta la larghezza di banda in uscita se il primo tunnel non funziona e deve essere eseguito il failover. |
Routing attivo/passivo nelle topologie a maglia completa
Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Gli altri percorsi inattivi non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se il percorso con la priorità più alta non è disponibile, router Cloud lo ritira e importa automaticamente il percorso migliore successivo nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile creare route in modo che parte del traffico attraversi un tunnel e un'altra parte un altro tunnel a causa delle priorità delle route (valori MED). Analogamente, puoi modificare la priorità di base utilizzata dal router Cloud per condividere le route della rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attive/attive né puramente attive/passive.
Opzione di routing consigliata
Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità della larghezza di banda osservata durante il normale funzionamento del tunnel corrisponde alla capacità della larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.
Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attiva/attiva. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel è il doppio della capacità di larghezza di banda massima. Tuttavia, questa configurazione sottostima i tunnel e può causare la perdita di traffico in caso di failover.
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
Se sei un Amministratore dei criteri dell'organizzazione
(roles/orgpolicy.policyAdmin),
puoi creare un vincolo dei criteri che limiti gli indirizzi IP che gli utenti
possono specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.
Per la procedura che descrive come limitare gli indirizzi IP, consulta Limita gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida verso e dalle tue reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella visualizzazione Network Topology.
Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse tramite una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, vengono aggregate tutte le entità di base nella gerarchia di primo livello.
Ad esempio, Network Topology aggrega i tunnel VPN nella connessione del gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone dei gateway VPN.
Per saperne di più, consulta la panoramica della topologia di rete.
Manutenzione e disponibilità
Cloud VPN viene sottoposto a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN vengono messi offline, con temporanei cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono reintegrati automaticamente.
La manutenzione di Cloud VPN è una normale attività operativa che può avvenire in qualsiasi momento e senza preavviso. I periodi di manutenzione sono progettati per essere sufficientemente brevi in modo che lo SLA Cloud VPN non venga interessato.
La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina Topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per opzioni di ridondanza e throughput elevato, consulta la pagina Topologie VPN classica.
Best practice
Per creare Cloud VPN in modo efficace, segui queste best practice.
Passaggi successivi
Per utilizzare scenari di alta disponibilità e ad alto throughput o più scenari di sottorete, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.
Scopri di più sulle topologie consigliate per la VPN ad alta disponibilità.