Esta página descreve conceitos relacionados com a Cloud VPN. Para ver as definições dos termos usados na documentação da Cloud VPN, consulte Termos principais.
A Cloud VPN estende em segurança a sua rede de pares à sua rede de nuvem virtual privada (VPC) através de uma ligação IPsec VPN. A ligação VPN encripta o tráfego que viaja entre as redes, com um gateway VPN a processar a encriptação e o outro a processar a desencriptação. Este processo protege os seus dados durante a transmissão. Também pode ligar duas redes VPC através da ligação de duas instâncias do Cloud VPN. Não pode usar a Cloud VPN para encaminhar tráfego para a Internet pública. Esta foi concebida para uma comunicação segura entre redes privadas.
Escolha uma solução de rede híbrida
Para determinar se deve usar a Cloud VPN, a Interligação dedicada, a Interligação de parceiros ou o Cloud Router como ligação de rede híbrida para o Google Cloud, consulte o artigo Escolher um produto de conetividade de rede.
Experimente
Se está a usar o Google Cloud pela primeira vez, crie uma conta para avaliar o desempenho da Cloud VPN em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.
Experimente a Cloud VPN gratuitamentePara melhorar a segurança da sua ligação Dedicated Interconnect ou Partner Interconnect, use a VPN de alta disponibilidade através do Cloud Interconnect. Esta solução estabelece túneis de VPN de HA encriptados através das suas associações de VLAN.
Tipos de Cloud VPN
Google Cloud oferece dois tipos de gateways do Cloud VPN:
A tabela seguinte compara as funcionalidades da VPN de HA com as funcionalidades da VPN clássica.
| Funcionalidade | HA VPN | VPN clássica |
|---|---|---|
| SLA | Oferece um SLA de 99,99% para a maioria das topologias, com algumas exceções. Para mais informações, consulte as topologias de HA VPN. | Oferece um SLA de 99,9%. |
| Criação de endereços IP externos e regras de encaminhamento | Endereços IP externos criados a partir de um conjunto; não são necessárias regras de encaminhamento. | Os endereços IP externos e as regras de encaminhamento têm de ser criados. |
| Opções de planeamento de trajeto suportadas | Apenas encaminhamento dinâmico (BGP). | Apenas encaminhamento estático (baseado em políticas e em rotas). |
| Dois túneis de um gateway do Cloud VPN para o mesmo gateway de intercâmbio | Suportado | Não suportado |
| Ligue um gateway de VPN do Google Cloud a VMs do Compute Engine com endereços IP externos. | Topologia suportada e recomendada. Para mais informações, consulte as topologias de HA VPN. | Compatível. |
| Recursos da API | Conhecido como o recurso vpn-gateway. |
Conhecido como o recurso target-vpn-gateway. |
| Tráfego IPv6 | Suporta pilha dupla (IPv4 e IPv6) e configuração apenas IPv6 | Não suportado |
Para obter informações sobre como mudar da VPN clássica para a VPN de alta disponibilidade, consulte o artigo Mude da VPN clássica para a VPN de alta disponibilidade.
HA VPN
A VPN de alta disponibilidade (HA) é uma solução de Cloud VPN de alta disponibilidade que lhe permite ligar em segurança a sua rede no local à sua rede VPC através de uma ligação VPN IPsec. Com base na topologia e na configuração, a VPN de HA pode oferecer um SLA de 99,99% ou 99,9% de disponibilidade do serviço.
Quando cria um gateway de VPN de alta disponibilidade,o Google Cloud Google Cloud escolhe automaticamente dois endereços IP externos, um para cada uma das respetivas interfaces. Cada endereço IP é escolhido automaticamente a partir de um conjunto de endereços exclusivo para suportar a elevada disponibilidade. Cada uma das interfaces do gateway de VPN de HA suporta vários túneis. Também pode criar vários gateways de HA VPN. Quando elimina o gateway de VPN de alta disponibilidade, Google Cloud liberta os endereços IP para reutilização. Pode configurar um gateway de VPN de HA com apenas uma interface ativa e um endereço IP externo; no entanto, esta configuração não oferece um SLA de disponibilidade.
Uma opção para usar a VPN de alta disponibilidade é usar a VPN de alta disponibilidade através do Cloud Interconnect. Com a VPN de alta disponibilidade através do Cloud Interconnect, tem a segurança da encriptação IPsec do Cloud VPN, juntamente com a capacidade aumentada do Cloud Interconnect. Além disso, uma vez que está a usar o Cloud Interconnect, o tráfego de rede nunca atravessa a Internet pública. Se usar o Partner Interconnect, tem de adicionar a encriptação IPsec ao seu tráfego do Cloud Interconnect para cumprir os requisitos de conformidade e segurança de dados quando se ligar a fornecedores externos. A VPN de alta disponibilidade usa um recurso de gateway de VPN externo em Google Cloud para fornecer informações a Google Cloud acerca do seu gateway de VPN de intercâmbio ou gateways.
Na documentação da API e nos comandos gcloud, os gateways de VPN de HA são referidos como gateways de VPN e não como gateways de VPN de destino.
Não tem de criar regras de encaminhamento para gateways de VPN de HA.
A VPN de alta disponibilidade pode oferecer um SLA de disponibilidade de 99,99% ou 99,9%, consoante as topologias ou os cenários de configuração. Para mais informações acerca das topologias de HA VPN e dos SLAs suportados, consulte o artigo Topologias de HA VPN.
Ao configurar a VPN de HA, considere as seguintes diretrizes:
Quando liga um gateway de VPN de HA a outro gateway de VPN de HA, os gateways têm de usar tipos de pilha de IP idênticos. Por exemplo, se criar um gateway de VPN de HA com o tipo de pilha
IPV4_IPV6, o outro gateway de VPN de HA também tem de estar definido comoIPV4_IPV6.Configure dois túneis VPN na perspetiva do gateway do Cloud VPN:
- Se tiver dois dispositivos de gateway VPN de pares, cada um dos túneis de cada interface no gateway da Cloud VPN tem de estar ligado ao seu próprio gateway de pares.
- Se tiver um único dispositivo de gateway de VPN de pares com duas interfaces, cada um dos túneis de cada interface no gateway de VPN do Google Cloud tem de estar ligado à sua própria interface no gateway de pares.
- Se tiver um único dispositivo de gateway de VPN de pares com uma única interface, ambos os túneis de cada interface no gateway de VPN do Google Cloud têm de estar ligados à mesma interface no gateway de pares.
Um dispositivo VPN de pares tem de ser configurado com redundância adequada. O fornecedor do dispositivo especifica os detalhes de uma configuração adequadamente redundante, que pode incluir várias instâncias de hardware. Para obter detalhes, consulte a documentação do fornecedor do dispositivo VPN de pares.
Se forem necessários dois dispositivos de pares, cada dispositivo de par tem de estar ligado a uma interface de gateway de VPN de HA diferente. Se o lado do par for outro fornecedor de nuvem, como a AWS, as ligações VPN têm de ser configuradas com uma redundância adequada também no lado da AWS.
O seu dispositivo de gateway VPN de pares tem de suportar o encaminhamento dinâmico do protocolo de gateway de limites (BGP).
O diagrama seguinte mostra o conceito de VPN de alta disponibilidade, apresentando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade ligado a dois gateways de VPN de pares. Para topologias de HA VPN mais detalhadas (cenários de configuração), consulte o artigo Topologias de HA VPN.
Um gateway de HA VPN para dois gateways de VPN de intercâmbio (clique para aumentar).
VPN clássica
Ao contrário da VPN de HA, os gateways da VPN clássica têm uma única interface, um único endereço IP externo e suportam túneis que usam o encaminhamento estático (com base em políticas ou com base em rotas).
Os gateways de VPN clássicos oferecem um SLA de 99,9% de disponibilidade do serviço.
Os gateways de VPN clássicos não suportam IPv6.
Para topologias de VPN clássica suportadas, consulte a página de topologias de VPN clássica.
As VPNs clássicas são referidas como gateways VPN de destino na documentação da API e na CLI do Google Cloud.
Especificações
O Cloud VPN tem as seguintes especificações:
- Cada gateway do Cloud VPN é um recurso regional. Quando cria um gateway de VPN na nuvem, pode selecionar uma Google Cloud região específica para a respetiva localização. Não pode escolher uma zona, apenas uma região.
A VPN na nuvem só suporta a conetividade VPN IPsec site a site, sujeita aos requisitos indicados nesta secção. Não suporta cenários de cliente para gateway. Por outras palavras, a Cloud VPN não suporta exemplos de utilização em que os computadores cliente têm de "ligar" a uma VPN através de software de VPN cliente.
A VPN na nuvem só suporta IPsec. Outras tecnologias de VPN (como a VPN SSL) não são suportadas.
O Cloud VPN pode ser usado com redes VPC e redes antigas. Para as redes VPC, recomendamos as redes VPC no modo personalizado para que tenha controlo total sobre os intervalos de endereços IP usados pelas sub-redes na rede.
Os gateways de VPN clássica e VPN de alta disponibilidade usam endereços IPv4 externos (encaminháveis pela Internet). Apenas o tráfego ESP, UDP 500 e UDP 4500 é permitido para estas moradas. Isto aplica-se aos endereços da VPN na nuvem configurados por si para a VPN clássica ou aos endereços IP atribuídos automaticamente para a VPN de alta disponibilidade.
Se os intervalos de endereços IP para sub-redes no local se sobrepuserem aos endereços IP usados por sub-redes na sua rede VPC, para determinar como os conflitos de encaminhamento são resolvidos, consulte a Ordem das rotas.
O seguinte tráfego da VPN do Google Cloud permanece na rede de produção da Google:
- Entre dois gateways de VPN de alta disponibilidade
- Entre dois gateways do Classic VPN
- Entre um gateway de VPN clássica ou VPN de alta disponibilidade e o endereço IP externo de uma VM do Compute Engine que atua como um gateway de VPN
A Cloud VPN pode ser usada com o acesso privado à Google para anfitriões no local. Para mais informações, consulte o artigo Opções de acesso privado para serviços.
Cada gateway do Cloud VPN tem de estar ligado a outro gateway do Cloud VPN ou a um gateway do VPN de pares.
O gateway de VPN de pares tem de ter um endereço IPv4 externo estático (encaminhável pela Internet). Precisa deste endereço IP para configurar o Cloud VPN.
- Se o seu gateway de VPN de pares estiver protegido por uma regra de firewall, tem de configurar a regra de firewall para transmitir o protocolo ESP (IPsec) e o tráfego IKE (UDP 500 e UDP 4500) para o mesmo. Se a regra de firewall fornecer tradução de endereços de rede (NAT), consulte Encapsulamento UDP e NAT-T.
O Cloud VPN requer que o gateway de VPN de intercâmbio esteja configurado para suportar a pré-fragmentação. Os pacotes têm de ser fragmentados antes de serem encapsulados.
A VPN na nuvem usa a deteção de repetição com uma janela de 4096 pacotes. Não pode desativar esta opção.
A VPN na nuvem suporta tráfego de encapsulamento de encaminhamento genérico (GRE). O suporte para GRE permite-lhe terminar o tráfego GRE numa VM a partir da Internet (endereço IP externo) e do Cloud VPN ou Cloud Interconnect (endereço IP interno). O tráfego desencapsulado pode, em seguida, ser encaminhado para um destino acessível. O GRE permite-lhe usar serviços como o Secure Access Service Edge (SASE) e a SD-WAN. Tem de criar uma regra de firewall para permitir o tráfego GRE.
Os túneis de VPN de HA suportam a troca de tráfego IPv6, mas os túneis de VPN clássica não.
Largura de banda da rede
Cada túnel do Cloud VPN suporta até 250 000 pacotes por segundo para a soma do tráfego de entrada e saída. Consoante o tamanho médio dos pacotes no túnel, 250 000 pacotes por segundo equivalem a uma largura de banda entre 1 Gbps e 3 Gbps.
As métricas relacionadas com este limite são Sent bytes e Received bytes, que são descritas em Ver registos e métricas. Tenha em atenção que a unidade das métricas é bytes, enquanto o limite de 3 Gbps se refere a bits por segundo. Quando convertido em bytes, o limite é de 375 megabytes por segundo (MBps).
Ao medir a utilização em função do limite, use a soma de Sent bytes e Received bytes em comparação com o limite convertido de 375 MBps.
Para obter informações sobre como criar políticas de alerta, consulte o artigo Defina alertas para a largura de banda do túnel VPN.
Fatores que afetam a largura de banda
A largura de banda é influenciada por vários fatores, incluindo os seguintes:
A ligação de rede entre o gateway da Cloud VPN e o seu gateway paritário:
Largura de banda da rede entre os dois gateways. Se tiver estabelecido uma relação de intercâmbio direto com a Google, a taxa de transferência é superior à do tráfego da VPN enviado através da Internet pública.
Tempo de ida e volta (RTT) e perda de pacotes. As taxas elevadas de RTT ou de perda de pacotes reduzem significativamente o desempenho do TCP.
Capacidades do seu gateway de VPN de intercâmbio. Para mais informações, consulte a documentação do dispositivo.
Tamanho do pacote. A VPN na nuvem usa o protocolo IPsec no modo de túnel, encapsulando e encriptando pacotes IP inteiros no Encapsulating Security Payload (ESP) e, em seguida, armazenando os dados ESP num segundo pacote IP externo. Consequentemente, existe um MTU de gateway para os pacotes encapsulados IPsec e um MTU de carga útil para os pacotes antes e depois do encapsulamento IPsec. Para ver detalhes, consulte as considerações sobre a MTU.
Taxa de pacotes. Para a entrada e a saída, a taxa máxima de pacotes recomendada para cada túnel de VPN na nuvem é de 250 000 pacotes por segundo (pps). Se precisar de enviar pacotes a uma taxa mais elevada, tem de criar mais túneis de VPN.
Ao medir a largura de banda TCP de um túnel VPN, deve medir mais do que um fluxo TCP simultâneo. Se estiver a usar a iperfferramenta, use o parâmetro -P para especificar o número de streams simultâneas.
Suporte de IPv6
O Cloud VPN suporta IPv6 na VPN de alta disponibilidade, mas não na VPN clássica.
Para suportar o tráfego IPv6 em túneis de VPN de HA, faça o seguinte:
Use o tipo de pilha
IPV6_ONLYouIPV4_IPV6quando criar um gateway de VPN de alta disponibilidade e túneis que ligam redes VPC com IPv6 ativado a outras redes com IPv6 ativado. Estas redes podem ser redes nas instalações, redes multinuvem ou outras redes da VPC.Inclua sub-redes de pilha dupla ou sub-redes apenas IPv6 nas suas redes de VPC com IPv6 ativado. Além disso, atribua intervalos IPv6 internos às sub-redes.
A tabela seguinte resume os endereços IP externos permitidos para cada tipo de pilha do gateway de VPN de alta disponibilidade.
| Tipo de pilha | Endereços IP externos do gateway suportados |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Restrições de políticas da organização para IPv6
Pode desativar a criação de todos os recursos híbridos de IPv6 no seu projeto definindo a seguinte política da organização como verdadeira:
constraints/compute.disableHybridCloudIpv6
Para a VPN de alta disponibilidade, esta restrição da política da organização impede a criação de gateways de VPN de alta disponibilidade de pilha dupla e gateways de VPN de alta disponibilidade apenas IPv6 no projeto. Esta política também impede a criação de sessões BGP IPv6 e anexos de VLAN de interconexão dedicada de pilha dupla.
Tipos de pilha e sessões de BGP
Os gateways de VPN de alta disponibilidade suportam diferentes tipos de stacks. O tipo de pilha de um gateway de VPN de alta disponibilidade determina que versão do tráfego de IP é permitida nos seus túneis de VPN de alta disponibilidade.
Quando cria os túneis de VPN de alta disponibilidade para um gateway de VPN de alta disponibilidade de pilha dupla, pode criar uma sessão BGP IPv6 para a troca de rotas IPv6 ou uma sessão BGP IPv4 que troca rotas IPv6 através do BGP multiprotocolo (MP-BGP).
A tabela seguinte resume os tipos de sessões BGP suportados para cada tipo de pilha.
| Tipo de pilha | Sessões de BGP suportadas | Endereços IP externos do gateway |
|---|---|---|
| Pilha única (apenas IPv4) | BGP IPv4, sem MP-BGP | IPv4 |
| Pilha única (apenas IPv6) | BGP IPv6, sem MP-BGP | IPv6 |
| Pilha dupla (IPv4 e IPv6) |
|
IPv4 e IPv6 |
Para mais informações sobre sessões BGP, consulte o artigo Estabeleça sessões BGP na documentação do Cloud Router.
Gateways de pilha única apenas IPv4
Por predefinição, é atribuído a um gateway de VPN de alta disponibilidade o tipo de pilha apenas IPv4 e são-lhe atribuídos automaticamente dois endereços IPv4 externos.
Um gateway de VPN de alta disponibilidade apenas IPv4 só pode suportar tráfego IPv4.
Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade apenas IPv4 e sessões BGP IPv4.
- Para uma configuração de gateway de VPN de HA para VPN de pares, consulte os artigos Criar um gateway de VPN de HA e Criar sessões BGP - sessões BGP IPv4.
- Para uma configuração de gateway de VPN de HA para VPN de HA, consulte os artigos Crie os gateways de VPN de HA e Crie sessões de BGP - sessões de BGP IPv4.
Gateways de pilha única apenas IPv6
Um gateway de VPN de alta disponibilidade apenas IPv6 suporta apenas tráfego IPv6. Por predefinição, a um gateway de VPN de alta disponibilidade apenas IPv6 são atribuídos dois endereços IPv6 externos.
Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade apenas IPv6 e sessões BGP IPv6.
- Para uma configuração de gateway de VPN de pares de VPN de HA, consulte os artigos Criar um gateway de VPN de HA e Criar sessões de BGP - sessões de BGP IPv6.
- Para uma configuração de gateway de VPN de alta disponibilidade para VPN de alta disponibilidade, consulte os artigos Crie os gateways de VPN de alta disponibilidade e Crie sessões de BGP - sessões de BGP IPv6.
Gateways IPv4 e IPv6 de pilha dupla
Um gateway de VPN de alta disponibilidade configurado com o tipo de pilha de pilha dupla (IPv4 e IPv6) pode suportar tráfego IPv4 e IPv6.
Para um gateway de VPN de HA de pilha dupla, pode configurar o seu Cloud Router com uma sessão BGP IPv4, uma sessão BGP IPv6 ou ambas. Se configurar apenas uma sessão BGP, pode ativar o MP-BGP para permitir que essa sessão troque rotas IPv4 e IPv6. Se criar uma sessão de BGP IPv4 e uma sessão de BGP IPv6, não pode ativar o MP-BGP em nenhuma das sessões.
Para trocar rotas IPv6 numa sessão BGP IPv4 através do MP-BGP, tem de configurar essa sessão com endereços de salto seguinte IPv6. Da mesma forma, para trocar rotas IPv4 numa sessão BGP IPv6 com MP-BGP, tem de configurar essa sessão com endereços de próximo salto IPv4. Pode configurar estes endereços de próximo salto de forma manual ou automática.
Se configurar manualmente os endereços do próximo salto, tem de os selecionar no intervalo de
endereços de unicast global (GUA) IPv6 pertencentes à Google
2600:2d00:0:2::/63,
ou no intervalo de endereços locais de ligação IPv4 169.254.0.0./16. Estes intervalos de endereços IP são pré-atribuídos pela Google. Os endereços IP do próximo salto que selecionar têm de ser únicos em todos os Cloud Routers na sua rede VPC.
Se selecionar a configuração automática,o sistema Google Cloud seleciona os endereços IP do próximo salto por si.
Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade de pilha dupla e todas as sessões BGP suportadas.
- Sessões de BGP IPv4, com ou sem MP-BGP
- Para uma configuração de gateway de VPN de alta disponibilidade para gateway de VPN de intercâmbio, consulte os artigos Criar um gateway de VPN de alta disponibilidade e Criar sessões de BGP - Sessões de BGP IPv4.
- Para uma configuração de gateway de VPN de HA, consulte Crie os gateways de VPN de HA e Crie sessões BGP - sessões BGP IPv4.
- Sessões de BGP IPv6, com ou sem MP-BGP
- Para uma configuração de gateway de VPN de alta disponibilidade para gateway de VPN de intercâmbio, consulte os artigos Criar um gateway de VPN de alta disponibilidade e Criar sessões de BGP - Sessões de BGP IPv6.
- Para uma configuração de gateway de VPN de HA, consulte Crie os gateways de VPN de HA e Crie sessões BGP - sessões BGP IPv6.
- Sessões de BGP IPv4 e IPv6
- Para uma configuração de gateway de VPN de alta disponibilidade para gateway de VPN paritário, consulte os artigos Criar um gateway de VPN de alta disponibilidade e Criar sessões BGP - Sessões BGP IPv4 e BGP IPv6.
- Para uma configuração de gateway de VPN de HA, consulte Criar os gateways de VPN de HA e Criar sessões BGP – Sessões BGP IPv4 e IPv6.
Compatibilidade com IPsec e IKE
A VPN Cloud suporta IKEv1 e IKEv2 através de uma chave pré-partilhada IKE (segredo partilhado) e cifras IKE. O Cloud VPN só suporta uma chave pré-partilhada para autenticação. Quando criar o túnel do Cloud VPN, especifique uma chave pré-partilhada. Quando criar o túnel no gateway de pares, especifique esta mesma chave pré-partilhada. Para obter informações sobre como criar uma chave pré-partilhada forte, consulte o artigo Gere uma chave pré-partilhada forte.
A VPN do Google Cloud suporta o ESP no modo de túnel com autenticação, mas não suporta o AH nem o ESP no modo de transporte.
Tem de usar o IKEv2 para ativar o tráfego IPv6 na VPN de alta disponibilidade.
A VPN na nuvem não realiza filtragem relacionada com políticas em pacotes de autenticação recebidos. Os pacotes de saída são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.
Configure cifras no túnel do Cloud VPN
Com a Cloud VPN, pode configurar cifras que ajudam a personalizar as suas ligações VPN para satisfazer as necessidades de conformidade e segurança.
Pode configurar opções de cifragem quando cria túneis de VPN na nuvem. No entanto, depois de configuradas, não pode modificar as opções de cifragem selecionadas mais tarde; tem de eliminar e recriar o túnel. A seleção de cifras só está disponível com o IKEv2 e não com o IKEv1.
Pode configurar cifras para a negociação de SAs IKE (fase 1) e a negociação de SAs IPsec (fase 2). Se não configurar uma opção de cifragem para uma fase, a Cloud VPN usa a cifragem predefinida para essa opção.
Tem de configurar cifras a partir da lista de cifras suportadas que cumprem os seguintes critérios:
Se especificar cifras AEAD para a encriptação, não pode especificar cifras separadas para a integridade porque a VPN do Google Cloud usa as mesmas cifras de encriptação para processar a integridade.
Se especificar cifras não AEAD para a encriptação, também pode especificar cifras para a integridade. Se não especificar cifras de integridade, a Cloud VPN usa as opções de cifras predefinidas para integridade.
Se especificar uma combinação de cifras AEAD e não AEAD para encriptação, tem de listar as cifras AEAD antes das cifras não AEAD. A VPN do Google Cloud usa as mesmas cifras de encriptação para processar a integridade das cifras AEAD.
Para cifras não AEAD, pode especificar as cifras de integridade. Se não especificar cifras de integridade, a Cloud VPN usa as opções de cifras predefinidas para integridade.
Para saber mais sobre as cifras suportadas, a ordem das cifras predefinida e os parâmetros de configuração suportados pela VPN na nuvem, consulte o artigo Cifras IKE suportadas.
Use os procedimentos seguintes para configurar as opções de cifragem (Pré-visualização) para os vários gateways de VPN na nuvem:
Para configurar opções de cifragem para a VPN clássica através do encaminhamento estático, consulte o artigo Crie um gateway e um túnel.
Para configurar opções de cifragem para a VPN de HA para um gateway de VPN paritário, consulte o artigo Crie túneis de VPN.
IKE e deteção de pares inativos
A VPN na nuvem suporta a deteção de pares inativos (DPD), de acordo com a secção DPD Protocol da RFC 3706.
Para verificar se o par está ativo, a VPN na nuvem pode enviar pacotes DPD em qualquer altura, de acordo com a RFC 3706. Se os pedidos DPD não forem devolvidos após várias tentativas, a VPN do Google Cloud reconhece que o túnel de VPN não está em bom estado. Por sua vez, o túnel de VPN não saudável faz com que as rotas que usam este túnel como um salto seguinte (rotas BGP ou rotas estáticas) sejam removidas, o que aciona uma comutação por falha do tráfego de VM para outros túneis de VPN saudáveis.
O intervalo DPD não é configurável no Cloud VPN.
Encapsulamento UDP e NAT-T
Para informações sobre como configurar o seu dispositivo de pares para suportar a NAT-Traversal (NAT-T) com a VPN na nuvem, consulte o artigo Encapsulamento UDP na vista geral avançada.
O Cloud VPN como uma rede de transferência de dados
Antes de usar a VPN do Google Cloud, reveja cuidadosamente a Secção 2 dos Termos de Utilização Gerais para Google Cloud.
Com o Network Connectivity Center, pode usar túneis de VPN de alta disponibilidade para ligar redes no local e transmitir tráfego entre elas como uma rede de transferência de dados. Liga as redes anexando um par de túneis a um spoke do Network Connectivity Center para cada localização no local. Em seguida, liga cada spoke a um hub do Network Connectivity Center.
Para mais informações sobre o Network Connectivity Center, consulte a vista geral do Network Connectivity Center.
Compatibilidade com a funcionalidade Traga o seu próprio IP (BYOIP)
Para obter informações sobre a utilização de endereços BYOIP com a VPN do Google Cloud, consulte o artigo Apoio técnico para endereços BYOIP.
Restringir endereços IP de pares através de um túnel do Cloud VPN
Se for um administrador da política da organização
(roles/orgpolicy.policyAdmin),
pode criar uma restrição de política que restrinja os endereços IP que os utilizadores
podem especificar para gateways de VPNs de pares.
A restrição aplica-se a todos os túneis de VPN do Cloud, tanto a VPN clássica como a VPN de alta disponibilidade, num projeto, numa pasta ou numa organização específicos.
Para ver os passos que descrevem como restringir endereços IP, consulte o artigo Restrinja endereços IP para gateways de VPNs de pares.
Visualizar e monitorizar ligações Cloud VPN
A topologia de rede é uma ferramenta de visualização que mostra a topologia das suas redes VPC, a conetividade híbrida de e para as suas redes no local e as métricas associadas. Pode ver os gateways de VPN do Google Cloud e os túneis de VPN como entidades na vista de topologia de rede.
Uma entidade base é o nível mais baixo de uma hierarquia específica e representa um recurso que pode comunicar diretamente com outros recursos através de uma rede. A topologia de rede agrega entidades base em entidades hierárquicas que pode expandir ou reduzir. Quando vê um gráfico de topologia de rede pela primeira vez, este agrega todas as entidades base na respetiva hierarquia de nível superior.
Por exemplo, a topologia de rede agrega túneis de VPN na respetiva ligação de gateway de VPN. Pode ver a hierarquia expandindo ou reduzindo os ícones do gateway de VPN.
Para mais informações, consulte a vista geral da topologia de rede.
Manutenção e disponibilidade
A VPN na nuvem é submetida a manutenção periódica durante a qual os túneis da VPN na nuvem permanecem online e o tráfego de rede não é afetado. Em cenários raros, os túneis podem ficar brevemente offline, o que pode causar uma diminuição momentânea no tráfego de rede. Após a conclusão da manutenção, os túneis da VPN na nuvem são restabelecidos automaticamente. Estes incidentes são investigados para implementar ações corretivas e melhorar os procedimentos de manutenção futuros.
A manutenção da Cloud VPN é uma tarefa operacional normal que pode ocorrer em qualquer altura sem aviso prévio. Os períodos de manutenção foram concebidos para serem suficientemente curtos para que o SLA da VPN do Google Cloud não seja afetado.
A VPN de alta disponibilidade é o método recomendado para configurar VPNs de alta disponibilidade. Para ver as opções de configuração, consulte a página de topologias de VPN de alta disponibilidade. Se estiver a usar a VPN clássica para opções de redundância e débito elevado, consulte a página Topologias de VPN clássica.
Práticas recomendadas
Para criar a sua VPN do Google Cloud de forma eficaz, use estas práticas recomendadas.
O que se segue?
Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.
Saiba mais sobre as topologias recomendadas para a VPN de HA.