Cloud VPN – Übersicht

Auf dieser Seite werden Konzepte im Zusammenhang mit Google Cloud VPN beschrieben.

Mit Cloud VPN können Sie Ihr Peer-Netzwerk über eine IPsec-VPN-Verbindung sicher mit Ihrem Virtual Private Cloud-Netzwerk (VPC) verbinden. Der Traffic zwischen den beiden Netzwerken wird von dem einen VPN-Gateway verschlüsselt und vom anderen VPN-Gateway entschlüsselt. Dies schützt Ihre Daten, wenn sie über das Internet übertragen werden. Sie können auch zwei Instanzen von Cloud VPN miteinander verbinden.

Informationen zum Erstellen eines virtuellen privaten Netzwerks (VPN) finden Sie unter VPN-Option auswählen.

Definitionen der in der Cloud VPN-Dokumentation verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Hybride Netzwerklösung auswählen

Ermitteln Sie anhand der folgenden Ressourcen, ob Sie Cloud VPN, Dedicated Interconnect oder Partner Interconnect für die Verbindung Ihres hybriden Netzwerks zu Google Cloud verwendet wird, finden Sie unter Network Connectivity-Produkt auswählen.

Cloud VPN-Typen

Google Cloud bietet zwei Arten von Cloud VPN-Gateways: HA VPN und klassisches VPN.

Informationen zum Wechsel zu einem HA VPN finden Sie unter Von einem klassischen VPN auf ein HA VPN umstellen.

HA VPN

HA VPN ist eine Cloud-VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung in einer einzelnen Region sicher mit Ihrem Virtual Private Cloud-Netzwerk verbinden können. HA VPN bietet ein SLA mit einer Dienstverfügbarkeit von 99,99 %.

Wenn Sie ein HA VPN-Gateway erstellen, wählt Google Cloud automatisch zwei externe IP-Adressen aus, eine für jede festgelegte Anzahl von zwei Schnittstellen. Jede IP-Adresse wird automatisch aus einem eindeutigen Adresspool ausgewählt, um eine hohe Verfügbarkeit zu unterstützen. Wenn Sie das HA VPN-Gateway löschen, gibt Google Cloud diese Adressen für die erneute Verwendung frei.

Jede HA VPN-Gateway-Schnittstelle unterstützt mehrere Tunnel. Sie können auch mehrere HA VPN-Gateways erstellen.

Sie können ein HA VPN-Gateway mit nur einer aktiven Schnittstelle und einer öffentlichen IP-Adresse konfigurieren. Allerdings bietet diese Konfiguration kein SLA mit einer Dienstverfügbarkeit von 99,99 %.

HA VPN-Gateways werden in der API-Dokumentation und in gcloud-Befehlen als VPN-Gateways statt Ziel-VPN-Gateways bezeichnet.

Für HA VPN-Gateways müssen keine Weiterleitungsregeln erstellt werden.

HA VPN verwendet eine externe VPN-Gateway-Ressource in Google Cloud, um Google Cloud Informationen über Ihre Peer-VPN-Gateways bereitzustellen. Weitere Informationen finden Sie in den Definitionen für die externe VPN-Gateway-Ressource und das Peer-VPN-Gateway.

HA VPN-Anforderungen

Ihre Cloud VPN-Konfiguration muss die folgenden Anforderungen erfüllen, um eine Dienstverfügbarkeit von 99,99 % für HA VPN zu erreichen:

  • Wenn Sie ein HA VPN-Gateway mit Ihrem Peer-Gateway verbinden, ist eine Verfügbarkeit von 99,99 % nur auf der Google Cloud-Seite der Verbindung garantiert. Die End-to-End-Verfügbarkeit hängt von der richtigen Konfiguration des Peer-VPN-Gateways ab.
  • Wenn beide Seiten Google Cloud-Gateways sind und ordnungsgemäß konfiguriert wurden, ist eine End-to-End-Verfügbarkeit von 99,99 % garantiert.
  • Verwenden Sie zwei HA VPN-Gateways, die sich in derselben Region befinden müssen, um eine hohe Verfügbarkeit zu erreichen, wenn sich beide VPN-Gateways in VPC-Netzwerken befinden. Auch wenn sich beide Gateways in derselben Region befinden müssen, können die Routen zu ihren gemeinsamen Subnetzen in einer beliebigen Region liegen, wenn Ihr Virtual Private Cloud-Netzwerk den Modus für globales dynamisches Routing verwendet. Wenn Ihr VPC-Netzwerk diesen Modus für globales dynamisches Routing verwendet, werden nur Routen zu Subnetzen in derselben Region für das Peer-Netzwerk freigegeben. Erkannte Routen werden nur auf Subnetze in derselben Region wie der VPN-Tunnel angewendet. Weitere Informationen zum Modus für dynamisches Routing eines VPC-Netzwerks finden Sie in der Übersicht über VPC-Netzwerke.
  • HA VPN lehnt Google Cloud-IP-Adressen ab, wenn diese in einer externen VPN-Gateway-Ressource konfiguriert sind. Ein Beispiel hierfür ist die Verwendung der externen IP-Adresse einer VM-Instanz als externe IP-Adresse für die externe VPN-Gateway-Ressource. Für Gateways zwischen Google Cloud und Google Cloud HA VPN wird nur die Topologie unterstützt, bei der HA VPN auf beiden Seiten verwendet wird, wie in Gateways zwischen Google Cloud und Google Cloud HA VPN erstellen beschrieben.
  • Sie müssen aus der Perspektive des Cloud VPN-Gateways zwei VPN-Tunnel konfigurieren:
    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.
  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Die Details einer ausreichend redundanten Konfiguration werden vom Gerätehersteller angegeben und können mehrere Hardwareinstanzen enthalten. Weitere Informationen finden Sie in der Herstellerdokumentation für das Peer-VPN-Gerät. Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.
  • Ihr Peer-VPN-Gateway-Gerät muss dynamisches Routing (BGP) unterstützen.

Das folgende Diagramm zeigt das HA VPN-Konzept mit einer Topologie, die die beiden Schnittstellen eines mit zwei Peer-VPN-Gateways verbundenen HA VPN-Gateways enthält. Ausführlichere HA VPN-Topologien (Konfigurationsszenarien) finden Sie auf der Seite mit den Cloud VPN-Topologien.

HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)
HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)

Klassisches VPN

Im Gegensatz dazu haben klassische VPN-Gateways eine einzelne Schnittstelle sowie eine einzelne externe IP-Adresse und unterstützen Tunnel mit dynamischem (BGP) oder statischem Routing (routenbasiert oder richtlinienbasiert). Sie bieten ein SLA mit einer Dienstverfügbarkeit von 99,9 %.

Informationen zu unterstützten Topologien für klassisches VPN finden Sie auf der Seite zu den Topologien für klassisches VPN.

Klassische VPNs werden in der API-Dokumentation und in gcloud-Befehlen als Ziel-VPN-Gateways bezeichnet.

Vergleichstabelle

In der folgenden Tabelle werden HA VPN-Funktionen mit denen für klassisches VPN verglichen.

Option HA VPN Klassisches VPN
SLA Bietet ein SLA von 99,99 %, wenn es mit zwei Schnittstellen und zwei externen IP-Adressen konfiguriert ist Bietet ein SLA von 99,9 %
Externe IP-Adressen und Weiterleitungsregeln erstellen Aus einem Pool erstellte externe IP-Adressen Es sind keine Weiterleitungsregeln erforderlich. Externe IP-Adressen und Weiterleitungsregeln müssen erstellt werden
Routingoptionen werden unterstützt. Nur dynamisches Routing (BGP) Statisches Routing (richtlinienbasiert, routenbasiert) oder dynamisches Routing mit BGP
Zwei Tunnel von einem Cloud VPN-Gateway zum selben Peer-Gateway Unterstützt Nicht unterstützt
API-Ressourcen Wird als VPN-Gateway-Ressource bezeichnet Wird als VPN-Ziel-Gateway-Ressource bezeichnet

HA VPN-Anforderungen

Ihre Cloud VPN-Konfiguration muss die folgenden Anforderungen erfüllen, um eine Dienstverfügbarkeit von 99,99 % für HA VPN zu erreichen:

  • Wenn Sie ein HA VPN-Gateway mit Ihrem Peer-Gateway verbinden, ist eine Verfügbarkeit von 99,99 % nur auf der Google Cloud-Seite der Verbindung garantiert. Die End-to-End-Verfügbarkeit hängt von der richtigen Konfiguration des Peer-VPN-Gateways ab.
  • Wenn beide Seiten Google Cloud-Gateways sind und ordnungsgemäß konfiguriert wurden, ist eine End-to-End-Verfügbarkeit von 99,99 % garantiert.
  • Verwenden Sie zwei HA VPN-Gateways, die sich in derselben Region befinden müssen, um eine hohe Verfügbarkeit zu erreichen, wenn sich beide VPN-Gateways in VPC-Netzwerken befinden. Auch wenn sich beide Gateways in derselben Region befinden müssen, können die Routen zu ihren gemeinsamen Subnetzen in einer beliebigen Region liegen, wenn Ihr Virtual Private Cloud-Netzwerk den Modus für globales dynamisches Routing verwendet. Wenn Ihr VPC-Netzwerk diesen Modus für globales dynamisches Routing verwendet, werden nur Routen zu Subnetzen in derselben Region für das Peer-Netzwerk freigegeben. Erkannte Routen werden nur auf Subnetze in derselben Region wie der VPN-Tunnel angewendet. Weitere Informationen zum Modus für dynamisches Routing eines VPC-Netzwerks finden Sie in der Übersicht über VPC-Netzwerke.
  • HA VPN lehnt Google Cloud-IP-Adressen ab, wenn diese in einer externen VPN-Gateway-Ressource konfiguriert sind. Ein Beispiel hierfür ist die Verwendung der externen IP-Adresse einer VM-Instanz als externe IP-Adresse für die externe VPN-Gateway-Ressource. Für Gateways zwischen Google Cloud und Google Cloud HA VPN wird nur die Topologie unterstützt, bei der HA VPN auf beiden Seiten verwendet wird, wie in Gateways zwischen Google Cloud und Google Cloud HA VPN erstellen beschrieben.
  • Sie müssen aus der Perspektive des Cloud VPN-Gateways zwei VPN-Tunnel konfigurieren:
    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.
  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Die Details einer ausreichend redundanten Konfiguration werden vom Gerätehersteller angegeben und können mehrere Hardwareinstanzen enthalten. Weitere Informationen finden Sie in der Herstellerdokumentation für das Peer-VPN-Gerät. Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.
  • Ihr Peer-VPN-Gateway-Gerät muss dynamisches Routing (BGP) unterstützen.

Spezifikationen

Für Cloud VPN gilt Folgendes:

  • Cloud VPN kann mit VPC-Netzwerken und Legacy-Netzwerken verwendet werden. Für VPC wird der benutzerdefinierte Modus empfohlen, damit Sie vollständige Kontrolle über die IP-Adressbereiche haben, die von den Subnetzen im Netzwerk verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu VPC-Netzwerke im Allgemeinen, Legacy-Netzwerke und Netzwerke im benutzerdefinierten Modus.

    • Klassische VPN- und HA VPN-Gateways verwenden externe (im Internet routingfähige) IPv4-Adressen. Für diese Adressen ist nur ESP-, UDP 500- und UDP 4500-Traffic zulässig. Dies gilt für Cloud VPN-Adressen, die Sie für klassisches VPN konfiguriert haben, oder für automatisch zugewiesene Adressen für HA VPN.

    • Wenn sich IP-Adressbereiche für lokale Subnetze mit den IP-Adressen von Subnetzen in Ihrem VPC-Netzwerk überschneiden, können Sie unter Reihenfolge der Routen erfahren, wie sich Routingkonflikte beheben lassen.

  • Cloud VPN kann in Verbindung mit Privatem Google-Zugriff für lokale Hosts verwendet werden. Weitere Informationen finden Sie unter Optionen für Privaten Google-Zugriff.

  • Jedes Cloud VPN-Gateway muss mit einem anderen Cloud VPN-Gateway oder einem Peer-VPN-Gateway verbunden sein.

  • Das Peer-VPN-Gateway muss eine statische externe (im Internet routingfähige) IPv4-Adresse haben. Sie benötigen diese IP-Adresse zum Konfigurieren von Cloud VPN.

    • Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass das ESP-Protokoll (IPsec) und IKE-Traffic (UDP 500 und UDP 4500) an das Gateway übertragen werden. Wenn die Firewall Network Address Translation (NAT) bietet, lesen Sie die Informationen im Abschnitt zu UDP-Kapselung und NAT-T.
  • Cloud VPN setzt voraus, dass das Peer-VPN-Gateway die Vorfragmentierung unterstützt. Pakete müssen vor dem Kapseln fragmentiert werden.

  • Cloud VPN verwendet die Wiedergabeerkennung mit einem Fenster von 4.096 Paketen. Dies ist nicht deaktivierbar.

Netzwerkbandbreite

Jeder Cloud VPN-Tunnel unterstützt bis zu 3 Gbit/s. Die tatsächliche Bandbreite hängt von mehreren Faktoren ab:

  • Die Netzwerkverbindung zwischen dem Cloud VPN-Gateway und Ihrem Peer-Gateway:
    • Netzwerkbandbreite zwischen den beiden Gateways. Der Durchsatz ist höher, wenn Sie eine Direct Peering-Beziehung mit Google hergestellt haben, im Vergleich zu VPN-Traffic, der über das öffentliche Internet gesendet wird.
    • Round Trip Time (RTT) und Paketverlust. Erhöhte RTT- und Paketverlustraten verringern die TCP-Leistung erheblich.
  • Funktionen Ihres Peer-VPN-Gateways. Weitere Informationen finden Sie in der Dokumentation Ihres Geräts.
  • Paketgröße. Cloud VPN verwendet eine maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 1.460 Byte. Peer-VPN-Gateways müssen so konfiguriert sein, dass sie eine MTU von maximal 1460 Byte verwenden. Da die Verarbeitung auf Paketbasis erfolgt, kann bei einer bestimmten Paketrate eine erhebliche Anzahl kleiner Pakete den Gesamtdurchsatz reduzieren. Zur Berücksichtigung des ESP-Aufwands müssen Sie möglicherweise die MTU-Werte auf Systemen festlegen, die Traffic durch VPN-Tunnel an Werte senden, die unter der MTU des Tunnels liegen. Unter Überlegungen zur MTU finden Sie ausführliche Informationen und Empfehlungen.
  • Paketrate. Für ein- und ausgehenden Traffic beträgt die empfohlene maximale Paketrate für jeden Cloud VPN-Tunnel 250.000 Pakete pro Sekunde (pps). Wenn es für Sie erforderlich ist, dass Pakete mit einer höheren Rate gesendet werden, müssen Sie weitere VPN-Tunnel erstellen.

Für die Messung der TCP-Bandbreite eines VPN-Tunnels empfiehlt es sich, mehrere gleichzeitige TCP-Streams zu messen. Wenn Sie das iperf-Tool nutzen, geben Sie mit dem Parameter -P die Anzahl der gleichzeitigen Streams an.

IPsec- und IKE-Support

Cloud VPN führt bei eingehenden Authentifizierungspaketen keine richtlinienbezogene Filterung durch. Ausgehende Pakete werden anhand des IP-Bereichs gefiltert, der im Cloud VPN-Gateway konfiguriert wurde.

  • Cloud VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel bzw. einen "gemeinsam genutzten Schlüssel". Sie müssen beim Erstellen des Cloud VPN-Tunnels einen gemeinsam genutzten Schlüssel angeben. Die Angabe desselben Schlüssels ist beim Erstellen des Tunnels am Peer-Gateway erforderlich. Weitere Informationen erhalten Sie unter Starkes vorinstalliertes Secret generieren.

  • Informationen zu den von Cloud VPN unterstützten Chiffren und Konfigurationsparametern finden Sie unter Unterstützte IKE-Chiffren.

UDP-Kapselung und NAT-T

Wie Sie Ihr Peer-Gerät für NAT-T mit Cloud VPN konfigurieren, erfahren Sie im Abschnitt zu UDP und NAT-T in der erweiterten Übersicht.

Cloud VPN als Transitnetzwerk

Lesen Sie sich die dienstspezifischen Nutzungsbedingungen von Google Cloud aufmerksam durch, bevor Sie Cloud VPN verwenden.

Verwenden Sie Cloud VPN-Tunnel nicht, um zwei oder mehr lokale Netzwerke ausschließlich zu dem Zweck zu verbinden, den Traffic über ein VPC-Netzwerk als Transitnetzwerk weiterzuleiten. Hub-and-Spoke-Konfigurationen wie diese stellen einen Verstoß gegen die dienstspezifischen Nutzungsbedingungen von Google Cloud dar.

Aktiv/Aktiv- und Aktiv/Passiv-Routingoptionen für HA VPN

Fällt ein Cloud VPN-Tunnel aus, wird er automatisch neu gestartet. Fällt ein komplettes virtuelles Gerät aus, initiiert Cloud VPN automatisch ein neues Gerät mit derselben Konfiguration. Das neue Gateway und der neue Tunnel werden automatisch verbunden.

VPN-Tunnel, die mit HA VPN-Gateways verbunden sind, müssen dynamisches Routing (BGP) verwenden. Je nach Konfiguration der Routenprioritäten für HA VPN-Tunnel können Sie eine Aktiv/Aktiv- oder Aktiv/Passiv-Routingkonfiguration erstellen. Bei beiden Routingkonfigurationen bleiben jeweils beide VPN-Tunnel aktiv.

In der folgenden Tabelle werden die Features einer Aktiv/Aktiv- mit denen einer Aktiv/Passiv-Routingkonfiguration verglichen.

Option Aktiv/Aktiv Aktiv/Passiv
Durchsatz Der effektive aggregierte Durchsatz ist der kombinierte Durchsatz beider Tunnel. Durch die Reduzierung von zwei aktiven Tunneln auf einen halbiert sich der effektive Gesamtdurchsatz, wodurch Verbindungen verlangsamt werden oder Pakete verloren gehen können.
Route Advertisement Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit identischen MED-Werten für jeden Tunnel. Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit identischen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet Equal Cost Multi-Path-Routing (ECMP). Derselbe Cloud Router bewirbt auch Routen für Ihr VPC-Netzwerk mit identischen Prioritäten. Ihr Peer-Gateway kann diese Routen verwenden, um ebenfalls mithilfe von ECMP ausgehenden Traffic an Google Cloud zu senden.
Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit unterschiedlichen MED-Werten für jeden Tunnel. Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit unterschiedlichen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet die Route mit der höchsten Priorität, solange der zugehörige Tunnel verfügbar ist. Derselbe Cloud Router bewirbt auch Routen für Ihr VPC-Netzwerk mit unterschiedlichen Prioritäten für jeden Tunnel. Ihr Peer-Gateway kann Traffic an Google Cloud nur über den Tunnel mit der höchsten Priorität senden.
Failover Wenn ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die erlernten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist. Verwendet maximal einen Tunnel auf einmal, sodass der zweite Tunnel die gesamte ausgehende Bandbreite verarbeiten kann, falls der erste Tunnel ausfällt und für ihn ein Failover durchgeführt werden muss.

Wenn ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die erlernten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist.

Mehrere Tunnel oder Gateways verwenden

Je nach Konfiguration des Peer-Gateways ist es möglich, Routen so zu erstellen, dass ein Teil des Traffics einen Tunnel durchquert und ein anderer Teil des Traffics aufgrund von Routenprioritäten (MED-Werte) einen anderen Tunnel durchquert. Ebenso können Sie die Basispriorität anpassen, die der Cloud Router verwendet, um Ihre VPC-Netzwerkrouten freizugeben. Diese Fälle zeigen mögliche Routingkonfigurationen auf, die weder rein aktiv/aktiv noch rein aktiv/passiv sind.

Bei Verwendung eines einzelnen HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Passiv-Routingkonfiguration. Bei dieser Konfiguration stimmt die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs mit der Bandbreitenkapazität überein, die während des Failovers beobachtet wird. Diese Art der Konfiguration ist einfacher zu verwalten, da das beobachtete Bandbreitenlimit konstant bleibt, mit der Ausnahme des oben beschriebenen Szenarios mit mehreren Gateways.

Bei Verwendung mehrerer HA VPN-Gateways wird eine Aktiv/Aktiv-Konfiguration empfohlen. Bei dieser Konfiguration ist die beobachtete Bandbreitenkapazität während des normalen Betriebs doppelt so hoch wie die garantierte Bandbreitenkapazität. Durch diese Konfiguration werden jedoch die Tunnel faktisch nicht ausreichend verwaltet und es kann bei einem Failover zu einem Rückgang des Traffics kommen.

Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken

Als Organisationsrichtlinienadministrator können Sie eine Organisationsrichtlinieneinschränkung erstellen, um eine Reihe von Peer-IP-Adressen zu definieren, die ein Nutzer beim Erstellen neuer Cloud VPN-Tunnel in einem bestimmten Projekt, Ordner oder einer Organisation angeben darf.

Die IP-Adressen des Peer-Gateways können entweder die IP-Adressen lokaler Gateways oder anderer Cloud VPN-Gateways sein.

Verwenden Sie die Einschränkung des Resource Managers constraints/compute.restrictVpnPeerIPs, um die Liste der Peer-IP-Adressen zu steuern, die Nutzer beim Erstellen neuer Cloud VPN-Tunnel angeben können.

Im folgenden Beispiel erstellt ein Administrator für Organisationsrichtlinien eine Organisationsrichtlinieneinschränkung, die die zulässige IP-Adresse des Peer-VPN-Gateways definiert. Diese Einschränkung hat ein allowList, das nur aus der IP-Adresse 100.1.1.1 besteht.

Netzwerkadministratoren in dem Projekt, das das network-a VPC-Netzwerk enthält, können nur neue Cloud VPN-Tunnel erstellen, die eine Verbindung zur Peer-Gateway-IP-Adresse 100.1.1.1 herstellen. Die Einschränkung verhindert die Erstellung neuer Cloud VPN-Tunnel mit einer anderen Peer-Gateway-IP-Adresse.

Organisationsrichtlinie zur Einschränkung von VPN-Peers (zum Vergrößern klicken)
Organisationsrichtlinie zur Einschränkung von VPN-Peers (zum Vergrößern klicken)

Eine Anleitung zum Einschränken von IP-Adressen finden Sie auf den folgenden Seiten:

Hinweise

  • Die Organisationsrichtlinieneinschränkung, die IP-Adressen von Peer-Gateways beschränkt, gilt nur für neue Cloud VPN-Tunnel. Cloud VPN-Tunnel, die nach Anwendung der Einschränkung erstellt wurden, sind durch die Einschränkung verboten. Weitere Informationen finden Sie unter Informationen zur Hierarchie des Resource Managers.

  • Sie können diese Einschränkung auf klassische VPN-Tunnel anwenden, die statisches oder dynamisches Routing mit BGP oder HA-VPN-Tunnel verwenden.

  • Sie können in einer Richtlinie mehrere allowedList- oder deniedList-Einträge angeben. Sie können jedoch nicht beide gleichzeitig verwenden.

  • Sie oder ein Netzwerkadministrator mit den entsprechenden Berechtigungen müssen den Lebenszyklus und die Integrität Ihrer VPN-Tunnel verwalten und verwalten.

Wartung und Verfügbarkeit

Cloud VPN wird regelmäßig gewartet. Während der Wartungsarbeiten werden Cloud VPN-Tunnel offline geschaltet, was zu einem kurzzeitigen Rückgang des Netzwerktraffics führt. Die Cloud VPN-Tunnel werden im Anschluss an die Wartungsarbeiten automatisch wiederhergestellt.

Die Wartung von Cloud VPN zählt zu den normalen betrieblichen Aufgaben, die jederzeit ohne vorherige Ankündigung erfolgen können. Die Wartungszeiträume werden entsprechend kurz gehalten, sodass es nicht zu Verletzungen des Cloud VPN-SLA kommt.

HA VPN ist die empfohlene Methode zum Konfigurieren von hochverfügbaren VPNs. Informationen zu Konfigurationsoptionen finden Sie auf der Seite "HA VPN-Topologien". Wenn Sie aus Gründen der Redundanz und für Optionen mit hohem Durchsatz klassisches VPN verwenden, lesen Sie die Informationen auf der Seite "Klassische VPN-Topologien".

Best Practices

Mit diesen Best Practices können Sie Cloud VPN effektiv konfigurieren.

Nächste Schritte