Panoramica di Cloud VPN

Questa pagina descrive i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta i Termini chiave.

Cloud VPN estende in modo sicuro la tua rete peer alla tua rete Virtual Private Cloud (VPC) tramite una connessione IPsec VPN. La connessione VPN cripta il traffico tra le reti e un gateway VPN gestisce la crittografia e l'altro la decriptazione. Questo processo protegge i dati durante la trasmissione. Puoi anche connettere due reti VPC collegando due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico alla rete internet pubblica; è progettato per la comunicazione sicura tra reti private.

Scegli una soluzione di networking ibrida

Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o router Cloud come connessione di rete ibrida a Google Cloud, consulta Scegliere un prodotto per la connettività di rete.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud VPN gratuitamente

Per migliorare la sicurezza della tua connessione Dedicated Interconnect o Partner Interconnect, utilizza la VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sui tuoi collegamenti VLAN.

Tipi di Cloud VPN

Google Cloud offre due tipi di gateway Cloud VPN:

VPN ad alta disponibilità

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA (accordo sul livello del servizio) con una disponibilità del servizio del 99,99% o del 99,9%.

Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ciascuna delle sue interfacce. Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoco per supportare l'alta disponibilità. Ognuna delle interfacce del gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP per il riutilizzo. Puoi configurare un gateway VPN ad alta disponibilità con una sola interfaccia attiva e un indirizzo IP esterno. Tuttavia, questa configurazione non fornisce uno SLA (accordo sul livello del servizio) sulla disponibilità.

Un'opzione per utilizzare la VPN ad alta disponibilità è quella di utilizzare la VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, ottieni la sicurezza della crittografia IPsec da Cloud VPN insieme alla maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il tuo traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico di Cloud Interconnect per soddisfare i requisiti di sicurezza e conformità dei dati durante la connessione a provider di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterna in Google Cloud per fornire a Google Cloud informazioni sul tuo gateway VPN peer o sui tuoi gateway.

Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità sono indicati come gateway VPN anziché gateway VPN di destinazione. Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.

La VPN ad alta disponibilità può offrire uno SLA con disponibilità del 99,99% o del 99,9%, a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA supportati, consulta Topologie VPN ad alta disponibilità.

Durante la configurazione della VPN ad alta disponibilità, tieni in considerazione le seguenti linee guida:

  • Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato su IPV4_IPV6.

  • Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:

    • Se disponi di due dispositivi gateway VPN peer, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
    • Se hai un unico dispositivo gateway VPN peer con due interfacce, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
    • Se hai un unico dispositivo gateway VPN peer con un'unica interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
  • Un dispositivo VPN peer deve essere configurato con ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Per i dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.

    Se sono richiesti due dispositivi peer, ogni dispositivo peer deve essere connesso a una diversa interfaccia del gateway VPN ad alta disponibilità. Se il lato peer è un altro provider cloud come AWS, le connessioni VPN devono essere configurate con una ridondanza adeguata anche sul lato AWS.

  • Il dispositivo gateway VPN peer deve supportare il routing dinamico BGP (Border Gateway Protocol).

    Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, mostrando una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità più dettagliate (scenari di configurazione), consulta Topologie VPN ad alta disponibilità.

    Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer.
    Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).

VPN classica

Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway VPN classica. Per informazioni su come passare dalla VPN classica alla VPN ad alta disponibilità, consulta Passaggio dalla VPN classica alla VPN ad alta disponibilità.

A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno un'unica interfaccia, un unico indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione su istanze VM Google Cloud.

I gateway VPN classica offrono uno SLA con una disponibilità del servizio del 99,9%.

I gateway VPN classica non supportano IPv6.

Per le topologie VPN classiche supportate, consulta la pagina Topologie VPN classica.

Le VPN classiche sono definite gateway VPN di destinazione nella documentazione dell'API e in Google Cloud CLI.

Tabella di confronto

La tabella seguente mette a confronto le funzionalità della VPN ad alta disponibilità con le funzionalità della VPN classica.

Selezione delle VPN ad alta disponibilità VPN classica
SLA Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per maggiori informazioni, consulta Topologie VPN ad alta disponibilità. Fornisce uno SLA del 99,9%.
Creazione di indirizzi IP esterni e regole di forwarding Indirizzi IP esterni creati da un pool; non sono necessarie regole di forwarding. È necessario creare gli indirizzi IP esterni e le regole di forwarding.
Opzioni di routing supportate Solo routing dinamico (BGP). Routing statico (basato su criteri, basato su route). Il routing dinamico è supportato solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud.
Due tunnel da un gateway Cloud VPN allo stesso gateway peer Supportato Non supportata
Connetti un gateway Cloud VPN alle VM di Compute Engine con indirizzi IP esterni. Topologia supportata e consigliata. Per ulteriori informazioni, consulta Topologie VPN ad alta disponibilità. Supportato.
Risorse API Noto come risorsa vpn-gateway. Noto come risorsa target-vpn-gateway.
Traffico IPv6 Supportata (configurazione IPv4 e IPv6 a doppio stack) Non supportata

Specifiche

Cloud VPN ha le seguenti specifiche:

  • Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetti ai requisiti elencati in questa sezione. Non supporta scenari client-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client devono "connettersi" a una VPN utilizzando un software VPN client.

    Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come SSL VPN) non sono supportate.

  • Cloud VPN può essere utilizzato con le reti VPC e le reti legacy. Per le reti VPC, consigliamo le reti VPC in modalità personalizzata per avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.

    • I gateway VPN classica e ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili su internet). È consentito solo il traffico ESP, UDP 500 e UDP 4500 verso questi indirizzi. Questo si applica agli indirizzi Cloud VPN configurati da te per la VPN classica o agli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.

    • Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella tua rete VPC, per determinare come vengono risolti i conflitti di routing, consulta Ordine delle route.

  • Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:

    • Tra due gateway VPN ad alta disponibilità
    • Tra due gateway VPN classica
    • tra VPN classica o VPN ad alta disponibilità e l'indirizzo IP esterno di una VM Compute Engine che funge da gateway VPN
  • Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per maggiori informazioni, consulta Opzioni di accesso privato per i servizi.

  • Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.

  • Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile da internet). Questo indirizzo IP è necessario per configurare Cloud VPN.

    • Se il gateway VPN peer è protetto da una regola firewall, devi configurare la regola firewall in modo che passi il traffico ESP (IPsec) e IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce il NAT (Network Address Translation), consulta Incapsulamento UDP e NAT-T.
  • Cloud VPN richiede che il gateway VPN peer sia configurato in modo da supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.

  • Cloud VPN utilizza il rilevamento delle repliche con una finestra di 4096 pacchetti. Non puoi disattivare questa opzione.

  • Cloud VPN supporta il traffico di incapsulamento del routing generico (GRE). Il supporto per GRE consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi come Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.

  • I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, a differenza dei tunnel VPN classica.

Larghezza di banda della rete

Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. A seconda della dimensione media dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a tra 1 Gbps e 3 Gbps di larghezza di banda.

Le metriche relative a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e metriche. Considera che l'unità per le metriche è byte, mentre il limite di 3 Gbps si riferisce a bit al secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps). Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e Received bytes rispetto al limite convertito di 375 MBps.

Per informazioni su come creare criteri di avviso, consulta Definire gli avvisi per la larghezza di banda dei tunnel VPN.

Per informazioni sull'utilizzo del motore per suggerimenti sull'utilizzo dei tunnel VPN, consulta Verificare l'utilizzo eccessivo dei tunnel VPN.

Fattori che influiscono sulla larghezza di banda

La larghezza di banda effettiva dipende da diversi fattori:

  • La connessione di rete tra il gateway Cloud VPN e il gateway peer:

    • Larghezza di banda di rete tra i due gateway. Se hai stabilito una relazione di peering diretto con Google, la velocità effettiva è superiore a quella effettiva se il traffico VPN viene inviato tramite la rete internet pubblica.

    • Tempo di round trip (RTT) e perdita di pacchetti. RTT elevati o tassi di perdita di pacchetti riducono notevolmente le prestazioni di TCP.

  • Funzionalità del gateway VPN peer. Per ulteriori informazioni, consulta la documentazione del dispositivo.

  • Dimensioni pacchetto. Cloud VPN utilizza il protocollo IPsec in modalità tunnel, incapsulando e criptando interi pacchetti IP in Extensible Service Proxy (ESP), archiviando quindi i dati ESP in un secondo pacchetto IP esterno. Di conseguenza, è presente sia una MTU del gateway per i pacchetti incapsulati IPsec sia una MTU del payload per i pacchetti prima e dopo l'incapsulamento di IPsec. Per i dettagli, consulta le considerazioni sulla MTU.

  • Tariffa pacchetto. Per il traffico in entrata e in uscita, la frequenza massima consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.

Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se usi lo strumento iperf, usa il parametro -P per specificare il numero di stream simultanei.

Supporto IPv6

Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.

Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità:

  • Utilizza il tipo di stack IPV6_ONLY (anteprima) o IPV4_IPV6 quando crei un gateway VPN ad alta disponibilità e tunnel che connettono le reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Possono essere reti on-premise, reti multi-cloud o altre reti VPC.

  • Includi subnet a doppio stack nelle tue reti VPC abilitate per IPv6. Inoltre, assicurati di assegnare intervalli IPv6 interni alle subnet.

La seguente tabella riassume gli indirizzi IP esterni consentiti per ciascun tipo di stack del gateway VPN ad alta disponibilità.

Tipo di stack Indirizzi IP esterni del gateway supportati
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY (anteprima) IPv6

Vincoli dei criteri dell'organizzazione per IPv6

Puoi disabilitare la creazione di tutte le risorse ibride IPv6 nel progetto impostando il seguente criterio dell'organizzazione su true:

  • constraints/compute.disableHybridCloudIpv6

Per la VPN ad alta disponibilità, questo impedisce la creazione di gateway VPN ad alta disponibilità a doppio stack e gateway VPN ad alta disponibilità solo IPv6 (anteprima) nel progetto.

Tipi di stack e sessioni BGP

I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Il tipo di stack di un gateway VPN ad alta disponibilità determina la versione del traffico IP consentita nei tunnel VPN ad alta disponibilità.

Quando crei tunnel VPN ad alta disponibilità per un gateway VPN ad alta disponibilità a doppio stack, hai a disposizione due opzioni per lo scambio di route IPv6.

Puoi creare una sessione BGP IPv6 (anteprima) oppure una sessione BGP IPv4 che scambia le route IPv6 utilizzando BGP multiprotocollo (MP-BGP).

  • Stack singolo (solo IPv4)
  • Dual stack (IPv4 e IPv6)

La seguente tabella riassume i tipi di sessioni BGP consentite per ciascun gateway VPN ad alta disponibilità.

Tipo di stack Sessioni BGP supportate Indirizzi IP esterni del gateway
Solo IPv4 BGP IPv4, nessun MP-BGP IPv4
IPv4 e IPv6
  • BGP IPv4, con o senza MP-BGP
  • BGP IPv6, con o senza MP-BGP (anteprima)
  • BGP IPv4 e BGP IPv6, nessun MP-BGP (anteprima)
IPv4

Per ulteriori informazioni sulle sessioni BGP, consulta Stabilire sessioni BGP nella documentazione sul router Cloud.

Gateway solo IPv4 a stack singolo

Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato il tipo di stack solo IPv4, a cui vengono assegnati automaticamente due indirizzi IPv4 esterni.

Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.

Gateway IPv4 e IPv6 a doppio stack

Un gateway VPN ad alta disponibilità configurato con il tipo di stack a doppio stack (IPv4 e IPv6) può supportare il traffico sia IPv4 sia IPv6.

Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare il tuo router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configuri una sola sessione BGP, puoi abilitare MP-BGP per consentire a quella sessione di scambiare sia le route IPv4 sia quelle IPv6. Se crei una sessione BGP IPv4 e una sessione BGP IPv6, non puoi abilitare MP-BGP in nessuna delle due sessioni.

Per scambiare le route IPv6 su una sessione BGP IPv4 utilizzando MP-BGP, devi configurare quella sessione con gli indirizzi dell'hop successivo IPv6. Analogamente, per scambiare le route IPv4 su una sessione BGP IPv6 utilizzando MP-BGP, devi configurare quella sessione con gli indirizzi dell'hop successivo IPv4. Puoi configurare questi indirizzi di hop successivi manualmente o automaticamente.

Se configuri manualmente gli indirizzi dell'hop successivo, devi selezionarli dagli intervalli GUA IPv6 di proprietà di Google 2600:2d00:0:2::/63 o dall'intervallo IPv4 locale rispetto al collegamento 169.254.0.0./16. Questi intervalli sono stati preallocati da Google. Gli indirizzi dell'hop successivo selezionati devono essere univoci tra tutti i router Cloud in tutte le regioni della rete VPC.

Se selezioni la configurazione automatica, Google Cloud seleziona automaticamente gli indirizzi dell'hop successivi da questi intervalli.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità a doppio stack e tutte le sessioni BGP supportate.

Gateway solo IPv6 a stack singolo

Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato il tipo di stack solo IPv6 (anteprima) e automaticamente due indirizzi IPv6 esterni.

Un gateway VPN ad alta disponibilità solo IPv6 (anteprima) può supportare solo il traffico IPv6.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.

Supporto di IPsec e IKE

Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave precondivisa IKE (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica questa stessa chiave precondivisa.

Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.

Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.

Cloud VPN non esegue filtri relativi ai criteri per i pacchetti di autenticazione in arrivo. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato nel gateway Cloud VPN.

Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta Generare una chiave precondivisa efficace. Per le crittografie e i parametri di configurazione supportati da Cloud VPN, consulta Cifrari IKE supportati.

Rilevamento IKE e dispositivi inattivi

Cloud VPN supporta il rilevamento dei peer inattivi (DPD), in base alla sezione relativa al protocollo DPD di RFC 3706.

Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD in qualsiasi momento, secondo RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. Il tunnel VPN non integro a sua volta causa la rimozione delle route che lo utilizzano come hop successivo (route BGP o route statiche) che attiva un failover del traffico delle VM ad altri tunnel VPN integri.

L'intervallo DPD non è configurabile in Cloud VPN.

Incapsulamento UDP e NAT-T

Per informazioni su come configurare il tuo dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella Panoramica avanzata.

Cloud VPN come rete Data Transfer

Prima di utilizzare Cloud VPN, consulta attentamente la Sezione 2 dei Termini di servizio generali per Google Cloud.

Con Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere le reti on-premise, passando il traffico tra di loro come una rete Data Transfer. Puoi connettere le reti collegando una coppia di tunnel a uno spoke di Network Connectivity Center per ogni località on-premise. Quindi connetti ciascuno spoke a un hub di Network Connectivity Center.

Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.

Supporto Bring Your Own IP (BYOIP)

Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, consulta il supporto per gli indirizzi BYOIP.

Opzioni di routing attivo-attivo e attivo-passivo per VPN ad alta disponibilità

Se un tunnel Cloud VPN non funziona, si riavvia automaticamente. In caso di errore di un intero dispositivo VPN virtuale, Cloud VPN crea automaticamente un'istanza di un nuovo dispositivo VPN con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.

I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda di come configuri le priorità di route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attivo-attivo o attivo-passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.

La tabella seguente confronta le funzionalità di una configurazione di routing attivo-attivo o attivo-passivo.

Selezione delle Attivo-attivo Attivo-passivo
Velocità effettiva La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. Dopo aver ridotto da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, il che può comportare una connettività più lenta o la perdita di pacchetti.
Annuncio di percorso

Il tuo gateway peer pubblicizza le route della rete peer con valori MED (multi-exit discriminator) identici per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella rete VPC con priorità identiche.

Il traffico in uscita inviato alla rete peer utilizza il routing multipath a costo uguale (ECMP).

Lo stesso router Cloud utilizza priorità identiche per pubblicizzare le route alla tua rete VPC.

Il tuo gateway peer utilizza la tecnologia ECMP per usare queste route al fine di inviare il traffico in uscita a Google Cloud.

Il gateway peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella rete VPC con priorità diverse.

Il traffico in uscita inviato alla rete peer utilizza la route con la priorità più alta, purché il tunnel associato sia disponibile.

Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route alla tua rete VPC.

Il tuo gateway peer può utilizzare solo il tunnel con la massima priorità per inviare traffico a Google Cloud.

Esegui il failover

Se il tunnel non è integro, ad esempio perché DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile.

Se si verifica una sessione BGP non disponibile, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza che il tunnel sia in stato non integro.

Il processo di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti.

Se il tunnel non è integro, ad esempio perché DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile.

Se si verifica una sessione BGP non disponibile, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza che il tunnel sia in stato non integro.

Il processo di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti.

Utilizza un massimo di un tunnel alla volta, in modo che il secondo tunnel sia in grado di gestire tutta la larghezza di banda in uscita in caso di errore del primo tunnel ed è necessario eseguire il failover.

Routing attivo-passivo in topologie mesh complete

Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Le altre route inattive non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è più disponibile, il router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.

Utilizzo di più tunnel o gateway

A seconda della configurazione del gateway peer, è possibile creare route in modo che una parte del traffico attraversi un tunnel e un altro traffico ad un altro tunnel a causa delle priorità delle route (valori MED). Allo stesso modo, puoi regolare la priorità di base utilizzata dal router Cloud per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono puramente attivo-attivo né puramente attivo-passivo.

Se utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.

Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-attivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel è il doppio di quella massima. Tuttavia, questa configurazione esegue in modo efficace il provisioning dei tunnel e può causare la perdita di traffico in caso di failover.

Limitazione degli indirizzi IP peer attraverso un tunnel Cloud VPN

Se sei un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin), puoi creare un vincolo del criterio che limita gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.

La limitazione si applica a tutti i tunnel Cloud VPN (sia VPN classica che VPN ad alta disponibilità) in un progetto, una cartella o un'organizzazione specifici.

Per le istruzioni su come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.

Visualizzazione e monitoraggio delle connessioni Cloud VPN

Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida da e verso le tue reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella vista Network Topology.

Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa in grado di comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, aggrega tutte le entità di base nella rispettiva gerarchia di primo livello.

Ad esempio, Network Topology aggrega i tunnel VPN nella loro connessione gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone dei gateway VPN.

Per ulteriori informazioni, consulta la panoramica di Network Topology.

Manutenzione e disponibilità

Cloud VPN viene sottoposto a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN vengono scollegati, con conseguenti brevi cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ripristinati automaticamente.

La manutenzione di Cloud VPN è una normale attività operativa che può avvenire in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere sufficientemente brevi in modo che lo SLA di Cloud VPN non sia interessato.

La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi VPN classica per opzioni di ridondanza e velocità effettiva elevata, consulta la pagina delle topologie VPN classica.

best practice

Per creare efficacemente la tua Cloud VPN, segui queste best practice.

Passaggi successivi