In questa pagina vengono descritti i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, vedi Termini chiave.
Cloud VPN estende in modo sicuro la rete peer alla rete Virtual Private Cloud (VPC) tramite una connessione IPsec VPN. La connessione VPN cripta il traffico tra le reti, con una crittografia per la gestione del gateway VPN e l'altra per la decrittografia. Questo processo protegge i dati durante la trasmissione. Puoi anche connettere due reti VPC collegando due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico alla rete internet pubblica; è progettato per le comunicazioni sicure tra le reti private.
Scegli una soluzione di networking ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o router Cloud come connessione di rete ibrida a Google Cloud, consulta Scelta di un prodotto di connettività di rete.
Provalo
Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamentePer migliorare la sicurezza della tua connessione Dedicated Interconnect o Partner Interconnect, utilizza la VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sui tuoi collegamenti VLAN.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN:
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA (accordo sul livello del servizio) con una disponibilità del servizio del 99,99% o del 99,9%.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ciascuna interfaccia. Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce dei gateway VPN ad alta disponibilitàà supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilitàà, Google Cloud rilascia gli indirizzi IP per riusarli. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA con disponibilità.
Un'opzione per utilizzare la VPN ad alta disponibilità è quella di utilizzare la VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, puoi usufruire della sicurezza della crittografia IPsec da Cloud VPN insieme alla maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico Cloud Interconnect per soddisfare i requisiti di sicurezza e conformità dei dati quando ti connetti a provider di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire a Google Cloud informazioni sul gateway VPN peer o sui gateway.
Nella documentazione delle API e nei comandi gcloud, i gateway VPN ad alta disponibilità
ad alta disponibilità sono definiti gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità può fornire uno SLA con disponibilità del 99,99% o del 99,9%, a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA (accordi sul livello del servizio), consulta Topologie VPN ad alta disponibilità.
Segui queste linee guida per la configurazione della VPN ad alta disponibilità:
Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:
- Se disponi di due dispositivi gateway VPN peer, ciascuno dei tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascuno dei tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con un'unica interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Consulta la documentazione del fornitore per il dispositivo VPN peer.
Se sono necessari due dispositivi peer, ognuno deve essere connesso a un'interfaccia gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro cloud provider come AWS, le connessioni VPN devono essere configurate con ridondanza adeguata anche sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il routing dinamico BGP (Border Gateway Protocol).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, mostrando una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità più dettagliate (scenari di configurazione), consulta topologie VPN ad alta disponibilità.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway della VPN classica. Per informazioni su come passare dalla VPN classica alla VPN ad alta disponibilità, consulta Passare dalla VPN classica alla VPN ad alta disponibilità.
A differenza della VPN ad alta disponibilità, i gateway della VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud.
I gateway VPN classica offrono uno SLA con disponibilità del servizio del 99,9%.
I gateway VPN classica non supportano IPv6.
Per le topologie VPN classica supportate, consulta la pagina delle topologie VPN classica.
Le VPN classiche sono chiamate gateway VPN di destinazione nella documentazione delle API e in Google Cloud CLI.
Tabella di confronto
La tabella seguente confronta le funzionalità VPN ad alta disponibilità con quelle della VPN classica.
| Selezione delle | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per maggiori informazioni, consulta topologie VPN ad alta disponibilità. | Offre uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di forwarding | Indirizzi IP esterni creati da un pool; non sono richieste regole di forwarding. | Devi creare indirizzi IP esterni e regole di forwarding. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri e route). Il routing dinamico è supportato solo per i tunnel che si connettono a software gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Funzionalità non supportata |
| Connetti un gateway Cloud VPN alle VM di Compute Engine con indirizzi IP esterni. | Topologia supportata e consigliata. Per ulteriori informazioni, consulta topologie VPN ad alta disponibilità. | Supportata. |
| Risorse API | È nota come risorsa vpn-gateway. |
È nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportata (configurazione IPv4 e IPv6 a doppio stack) | Funzionalità non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, in base ai requisiti elencati in questa sezione. Non supporta gli scenari client-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di connettersi a una VPN utilizzando un software VPN client.
Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come la VPN SSL) non sono supportate.
Cloud VPN può essere utilizzato con le reti VPC e le reti legacy. Per le reti VPC, consigliamo le reti VPC in modalità personalizzata in modo da avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.
La VPN classica e i gateway VPN ad alta disponibilitàà usano indirizzi IPv4 esterni (instradabili su internet). A questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi Cloud VPN configurati da te per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella tua rete VPC, per determinare come vengono risolti i conflitti di routing, consulta Ordine delle route.
Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classica
- Tra un gateway VPN classica o VPN ad alta disponibilità e l'indirizzo IP esterno di una VM di Compute Engine che funge da gateway VPN
Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per ulteriori informazioni, vedi Opzioni di accesso privato per i servizi.
Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.
Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile su internet). Questo indirizzo IP è necessario per configurare Cloud VPN.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurare la regola firewall in modo da passare il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce la traduzione degli indirizzi di rete (NAT), consulta Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato per supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento della ripetizione con una finestra di 4096 pacchetti. Non puoi disattivare questa opzione.
Cloud VPN supporta il traffico di incapsulamento generico di routing (GRE). Il supporto per GRE consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi come Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, ma non la VPN classica.
Larghezza di banda della rete
Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. A seconda delle dimensioni medie dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a una larghezza di banda compresa tra 1 e 3 Gbps.
Le metriche correlate a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e
metriche. Considera che l'unità delle metriche è byte, mentre il limite di 3 Gbps si riferisce ai bit al secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps).
Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e
Received bytes rispetto al limite convertito di 375 MBps.
Per informazioni su come creare criteri di avviso, consulta Definire avvisi per la larghezza di banda del tunnel VPN.
Fattori che influenzano la larghezza di banda
La larghezza di banda è influenzata da diversi fattori, tra cui:
La connessione di rete tra il gateway Cloud VPN e il gateway peer:
Larghezza di banda della rete tra i due gateway. Se hai stabilito una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quando il traffico VPN viene inviato sulla rete internet pubblica.
Tempo di round trip (RTT) e perdita di pacchetti. Velocità elevate di RTT o perdita di pacchetti riducono notevolmente le prestazioni TCP.
Funzionalità del gateway VPN peer. Per ulteriori informazioni, consulta la documentazione del dispositivo.
Dimensioni della confezione. Cloud VPN utilizza il protocollo IPsec in modalità tunnel, incapsulando e criptando interi pacchetti IP in Encapsulating Security Payload (ESP) e quindi archivia i dati ESP in un secondo pacchetto IP esterno. Di conseguenza, esistono sia una MTU gateway per i pacchetti incapsulati IPsec e una MTU di payload per i pacchetti prima e dopo l'incapsulamento IPsec. Per maggiori dettagli, consulta le considerazioni relative alla MTU.
Tariffa pacchetto. Per il traffico in entrata e in uscita, la velocità massima consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare altri tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se usi lo strumento iperf, usa il parametro -P per specificare il numero di stream simultanei.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.
Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità, segui questi passaggi:
Utilizza il tipo di stack
IPV6_ONLYoIPV4_IPV6quando crei un gateway VPN ad alta disponibilità e tunnel che connettono le reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste possono essere reti on-premise, reti multi-cloud o altre reti VPC.Includi subnet a doppio stack nelle reti VPC abilitate per IPv6. Inoltre, assicurati di assegnare intervalli IPv6 interni alle subnet.
La tabella seguente riassume gli indirizzi IP esterni consentiti per ogni tipo di stack del gateway VPN ad alta disponibilità.
| Tipo di stack | Indirizzi IP esterni gateway supportati |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Vincoli dei criteri dell'organizzazione per IPv6
Puoi disabilitare la creazione di tutte le risorse ibride IPv6 nel progetto impostando il seguente criterio dell'organizzazione su true:
constraints/compute.disableHybridCloudIpv6
Per la VPN ad alta disponibilità, questo impedisce la creazione di gateway VPN ad alta disponibilità a doppio stack e gateway VPN ad alta disponibilità solo IPv6 nel progetto.
Tipi di stack e sessioni BGP
I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Il tipo di stack di un gateway VPN ad alta disponibilità determina la versione del traffico IP consentita nei tunnel VPN ad alta disponibilità.
Quando crei tunnel VPN ad alta disponibilità per un gateway VPN ad alta disponibilità, puoi creare una sessione BGP IPv6 per lo scambio di route IPv6 o una sessione BGP IPv4 che scambia route IPv6 utilizzando BGP multiprotocollo (MP-BGP).
La seguente tabella riassume i tipi di sessioni BGP supportati per ogni tipo di stack.
| Tipo di stack | Sessioni BGP supportate | Indirizzi IP esterni del gateway |
|---|---|---|
| stack singolo (solo IPv4) | BGP IPv4, nessun MP-BGP | IPv4 |
| Dual stack (IPv4 e IPv6) |
|
IPv4 |
Per ulteriori informazioni sulle sessioni BGP, consulta Stabilire sessioni BGP nella documentazione sul router Cloud.
Gateway solo IPv4 a stack singolo
Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato il tipo di stack solo IPv4 e vengono assegnati automaticamente due indirizzi IPv4 esterni.
Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità su VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per la configurazione di gateway da VPN ad alta disponibilità a VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
Gateway IPv4 e IPv6 a doppio stack
Un gateway VPN ad alta disponibilità configurato con il tipo di stack doppio (IPv4 e IPv6) può supportare il traffico IPv4 e IPv6.
Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare il router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configuri una sola sessione BGP, puoi abilitare MP-BGP per consentire alla sessione di scambiare route IPv4 e IPv6. Se crei una sessione BGP IPv4 e una sessione BGP IPv6, non puoi abilitare MP-BGP in nessuna delle due sessioni.
Per scambiare le route IPv6 su una sessione BGP IPv4 utilizzando MP-BGP, devi configurare la sessione con indirizzi dell'hop successivo IPv6. Analogamente, per scambiare le route IPv4 in una sessione BGP IPv6 utilizzando MP-BGP, devi configurare la sessione con indirizzi dell'hop successivo IPv4. Puoi configurare gli indirizzi dell'hop successivo in modo manuale o automatico.
Se configuri manualmente gli indirizzi dell'hop successivo, devi selezionarli dall'intervallo
GUA (Global Unicast Address) IPv6 di proprietà di Google
2600:2d00:0:2::/63
o dall'intervallo di indirizzi locali rispetto al collegamento IPv4 169.254.0.0./16. Questi intervalli di indirizzi IP sono preallocati da Google. Gli indirizzi IP dell'hop successivo selezionati devono essere univoci in tutti i router Cloud all'interno della tua rete VPC.
Se selezioni la configurazione automatica, Google Cloud seleziona gli indirizzi IP dell'hop successivo per te.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità a doppio stack e tutte le sessioni BGP supportate.
- Sessioni BGP IPv4, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per un gateway VPN ad alta disponibilità per la configurazione di gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Sessioni BGP IPv6, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Per un gateway VPN ad alta disponibilità per la configurazione di gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Sessioni BGP IPv4 e IPv6
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP: sessioni BGP IPv4 e BGP IPv6.
- Per un gateway VPN ad alta disponibilità per la configurazione di gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP: sessioni BGP IPv4 e IPv6.
Gateway solo IPv6 a stack singolo
Un gateway VPN ad alta disponibilità solo IPv6 supporta solo il traffico IPv6. Per impostazione predefinita, a un gateway VPN ad alta disponibilitàa disponibilità solo IPv6 vengono assegnati due indirizzi IPv6 esterni.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità su VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Per la configurazione di gateway da VPN ad alta disponibilità a VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
Supporto IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 tramite una chiave precondivisa IKE (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue filtri correlati ai criteri sui pacchetti di autenticazione in entrata. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.
Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta Generare una chiave precondivisa efficace. Per le crittografie e i parametri di configurazione supportati da Cloud VPN, consulta Crittografia IKE supportata.
IKE e rilevamento di peer morti
Cloud VPN supporta il rilevamento dei peer (DPD), secondo la sezione Protocollo DPD di RFC 3706.
Per verificare che il peer sia attivo, Cloud VPN può inviare pacchetti DPD in qualsiasi momento, secondo RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. Il tunnel VPN non integro a sua volta causa la rimozione delle route che utilizzano questo tunnel come hop successivo (route BGP o route statiche) che attiva un failover del traffico delle VM verso altri tunnel VPN in stato integro.
L'intervallo DPD non è configurabile in Cloud VPN.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella panoramica avanzata.
Cloud VPN come rete per il trasferimento di dati
Prima di utilizzare Cloud VPN, leggi attentamente la Sezione 2 dei Termini di servizio generali per Google Cloud.
Utilizzando Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere insieme reti on-premise, trasmettendo il traffico tra di loro come una rete per il trasferimento di dati. Puoi connettere le reti collegando una coppia di tunnel a una spoke del Network Connectivity Center per ogni località on-premise. Quindi puoi connettere ogni spoke a un hub di Network Connectivity Center.
Per ulteriori informazioni su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
Supporto Bring Your Own IP (BYOIP)
Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, vedi Supporto per gli indirizzi BYOIP.
Opzioni di routing attivo-attivo e attivo-passivo per VPN ad alta disponibilità
Se un tunnel Cloud VPN si arresta, si riavvia automaticamente. In caso di errore di un intero dispositivo VPN virtuale, Cloud VPN ne crea automaticamente un'istanza con un nuovo dispositivo con la stessa configurazione. Il nuovo gateway e tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda del modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attiva-attiva o attiva-passiva. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente mette a confronto le funzionalità di una configurazione di routing attiva-attiva o attiva-passiva.
| Selezione delle | Attivo-attivo | Attivo-passivo |
|---|---|---|
| Velocità effettiva | La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. | Dopo aver ridotto di due tunnel attivi a uno, la velocità effettiva complessiva effettiva si dimezza, il che può comportare una connettività più lenta o la perdita di pacchetti. |
| Annuncio percorso | Il gateway peer pubblicizza le route della rete peer con valori del discriminatore di uscita multipla (MED) identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche. Il traffico in uscita inviato alla tua rete peer utilizza il routing ECMP (Equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per pubblicizzare le route alla tua rete VPC. Il gateway peer utilizza ECMP per utilizzare queste route al fine di inviare il traffico in uscita a Google Cloud. |
Il gateway peer annuncia le route della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse. Il traffico in uscita inviato alla tua rete peer utilizza la route con la priorità più alta, purché il tunnel associato sia disponibile. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route alla tua rete VPC. Il gateway peer può utilizzare solo il tunnel con la massima priorità per inviare traffico a Google Cloud. |
| Failover | Se il tunnel non è integro, ad esempio perché DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un'inattività di una sessione BGP, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare lo stato non integro di un tunnel. Il processo di recesso può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. |
Se il tunnel non è integro, ad esempio perché DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un'inattività di una sessione BGP, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare lo stato non integro di un tunnel. Il processo di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. Utilizza al massimo un tunnel alla volta affinché il secondo tunnel sia in grado di gestire tutta la larghezza di banda in uscita in caso di errore e di failover del primo tunnel. |
Routing attivo-passivo in topologie full mesh
Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Le altre route inattive non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è disponibile, il router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile creare route in modo che una parte del traffico attraversi un tunnel e un altro traffico un altro tunnel a causa delle priorità delle route (valori MED). Allo stesso modo, puoi regolare la priorità di base utilizzata dal router Cloud per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attivo-attivo né puramente attivo-passivo.
Opzione di routing consigliata
Se utilizzi un singolo gateway VPN ad alta disponibilità, consigliamo di usare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel corrisponde alla capacità della larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.
Se utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di usare una configurazione di routing attivo-attivo. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel è il doppio della capacità massima di larghezza di banda. Tuttavia, questa configurazione esegue efficacemente il provisioning dei tunnel e può causare la perdita di traffico in caso di failover.
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
Se sei un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin), puoi creare un vincolo di criterio che limita gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.
Per la procedura che descrive come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia delle reti VPC, la connettività ibrida da e verso le reti on-premise e le metriche associate. Puoi visualizzare i gateway e i tunnel VPN Cloud VPN come entità nella visualizzazione Network Topology.
Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico Network Topology, aggrega tutte le entità di base nella rispettiva gerarchia di primo livello.
Ad esempio, Network Topology aggrega i tunnel VPN nella connessione gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone dei gateway VPN.
Per ulteriori informazioni, consulta la panoramica di Network Topology.
Manutenzione e disponibilità
Cloud VPN è sottoposto a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN vengono scollegati, con conseguenti brevi cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ristabiliti automaticamente.
La manutenzione per Cloud VPN è una normale attività operativa che può avvenire in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere abbastanza brevi, in modo da non influire sullo SLA di Cloud VPN.
La VPN ad alta disponibilità è il metodo consigliato per configurare le VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per le opzioni di ridondanza e velocità effettiva elevata, consulta la pagina delle topologie della VPN classica.
Best practice
Per creare Cloud VPN in modo efficace, utilizza queste best practice.
Passaggi successivi
Per utilizzare scenari con disponibilità elevata e velocità effettiva elevata, o più scenari di subnet, consulta Configurazioni avanzate.
Per risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta Risoluzione dei problemi.
Scopri di più sulle topologie consigliate per VPN ad alta disponibilità.