Cloud VPN – Übersicht

Auf dieser Seite werden Konzepte im Zusammenhang mit Google Cloud VPN beschrieben. Definitionen der in der Cloud VPN-Dokumentation verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Mit Cloud VPN können Sie Ihr Peer-Netzwerk über eine IPsec-VPN-Verbindung sicher mit Ihrem Virtual Private Cloud-Netzwerk (VPC) verbinden. Der Traffic zwischen den beiden Netzwerken wird von dem einen VPN-Gateway verschlüsselt und vom anderen VPN-Gateway entschlüsselt. Dies schützt Ihre Daten, wenn sie über das Internet übertragen werden. Sie können auch zwei Instanzen von Cloud VPN miteinander verbinden.

Hybride Netzwerklösung auswählen

Bestimmen Sie anhand des Artikels Produkt für die Netzwerkverbindung auswählen, ob Sie Cloud VPN, Dedicated Interconnect, Partner Interconnect oder Cloud Router für die Verbindung Ihres hybriden Netzwerks zu Google Cloud verwenden sollten.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit von Cloud VPN in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Cloud VPN kostenlos testen

Cloud VPN-Typen

Google Cloud bietet zwei Arten von Cloud VPN-Gateways: HA VPN und klassisches VPN. Bestimmte Funktionen des klassischen VPN werden jedoch am 31. März 2022 verworfen. Weitere Informationen finden Sie unter Teilweise Einstellung des klassischen VPN.

Informationen zum Wechsel zu einem HA VPN finden Sie unter Von einem klassischen VPN auf ein HA VPN umstellen.

HA VPN

HA VPN ist eine Cloud VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung in einer einzelnen Region sicher mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden können. HA VPN bietet ein SLA mit einer Dienstverfügbarkeit von 99,99 %.

Wenn Sie ein HA VPN-Gateway erstellen, wählt Google Cloud automatisch zwei externe IP-Adressen aus: eine für jede festgelegte Anzahl von zwei Schnittstellen. Jede IP-Adresse wird automatisch aus einem eindeutigen Adresspool ausgewählt, um eine hohe Verfügbarkeit zu unterstützen. Jede HA VPN-Gateway-Schnittstelle unterstützt mehrere Tunnel. Sie können auch mehrere HA VPN-Gateways erstellen. Wenn Sie das HA VPN-Gateway löschen, gibt Google Cloud die IP-Adressen für die erneute Verwendung frei. Sie können ein HA VPN-Gateway mit nur einer aktiven Schnittstelle und einer externen IP-Adresse konfigurieren. Allerdings bietet diese Konfiguration kein SLA mit einer Dienstverfügbarkeit von 99,99 %.

In der API-Dokumentation und in gcloud-Befehlen werden HA VPN-Gateways als VPN-Gateways und nicht als Ziel-VPN-Gateways bezeichnet. Für HA VPN-Gateways müssen keine Weiterleitungsregeln erstellt werden.

HA VPN verwendet eine externe VPN-Gateway-Ressource in Google Cloud, um Google Cloud Informationen über Ihre Peer-VPN-Gateways oder Gateways bereitzustellen.

HA VPN-Anforderungen

Ihre Cloud VPN-Konfiguration muss die folgenden Anforderungen erfüllen, um eine Dienstverfügbarkeit von 99,99 % für HA VPN zu erreichen:

  • Wenn Sie ein HA VPN-Gateway mit Ihrem Peer-Gateway verbinden, ist eine Verfügbarkeit von 99,99 % nur auf der Google Cloud-Seite der Verbindung garantiert. Die End-to-End-Verfügbarkeit hängt von der richtigen Konfiguration des Peer-VPN-Gateways ab.

  • Wenn beide Seiten Google Cloud-Gateways sind und ordnungsgemäß konfiguriert wurden, ist eine End-to-End-Verfügbarkeit von 99,99 % garantiert.

  • Verwenden Sie zwei HA VPN-Gateways, die sich in derselben Region befinden müssen, um eine hohe Verfügbarkeit zu erreichen, wenn sich beide VPN-Gateways in VPC-Netzwerken befinden.

    Auch wenn sich beide Gateways in derselben Region befinden müssen, können sich die Routen zu den Subnetzen, die die Gateways gemeinsam nutzen, in jeder beliebigen Region befinden, vorausgesetzt Ihr VPC-Netzwerk verwendet den Modus für globales dynamisches Routing. Wenn Ihr VPC-Netzwerk den Modus für regionales dynamisches Routing verwendet, werden nur Routen zu Subnetzen in derselben Region für das Peer-Netzwerk freigegeben. Erkannte Routen werden nur auf Subnetze in derselben Region wie der VPN-Tunnel angewendet.

    Weitere Informationen finden Sie unter Modus für dynamisches Routing.

  • HA VPN lehnt Google Cloud-IP-Adressen ab, wenn diese in einer externen VPN-Gateway-Ressource konfiguriert sind, z. B. Verwendung der externen IP-Adresse einer VM-Instanz als externe IP-Adresse für die externe VPN-Gateway-Ressource. Die einzige unterstützte HA VPN-Topologie zwischen Google Cloud-Netzwerken ist die Verwendung von HA VPN auf beiden Seiten, wie unter HA VPN zwischen Google Cloud-Netzwerken erstellen beschrieben.

  • Konfigurieren Sie zwei VPN-Tunnel aus der Perspektive des Cloud VPN-Gateways:

    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.
  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Der Geräteanbieter gibt die Details einer ausreichend redundanten Konfiguration an, die mehrere Hardwareinstanzen enthalten kann. Weitere Informationen finden Sie in der Anbieterdokumentation für das Peer-VPN-Gerät.

    Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.

  • Ihr Peer-VPN-Gateway-Gerät muss dynamisches Routing (BGP) unterstützen.

Das folgende Diagramm zeigt das HA VPN-Konzept mit einer Topologie, die die beiden Schnittstellen eines mit zwei Peer-VPN-Gateways verbundenen HA VPN-Gateways enthält. Ausführlichere HA VPN-Topologien (Konfigurationsszenarien) finden Sie unter Cloud VPN-Topologien.

Ein HA VPN-Gateway zu zwei Peer-VPN-Gateways.
HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)

Klassisches VPN

Im Gegensatz zu HA VPN haben klassische VPN-Gateways eine einzelne Schnittstelle sowie eine einzelne externe IP-Adresse und unterstützen Tunnel, die dynamisches (BGP) oder statisches Routing (richtlinien- oder routenbasiert) verwenden. Sie bieten ein SLA mit einer Dienstverfügbarkeit von 99,9 %.

Informationen zu unterstützten Topologien für klassisches VPN finden Sie auf der Seite zu den Topologien für klassisches VPN.

Klassische VPNs werden in der API-Dokumentation und im gcloud-Befehlszeilentool als Ziel-VPN-Gateways bezeichnet.

Vergleichstabelle

In der folgenden Tabelle werden HA VPN-Features mit klassischen VPN-Features verglichen.

Feature HA VPN Klassisches VPN
SLA Bietet ein SLA von 99,99 %, wenn es mit zwei Schnittstellen und zwei externen IP-Adressen konfiguriert ist. Bietet ein SLA von 99,9 %.
Externe IP-Adressen und Weiterleitungsregeln erstellen Externe IP-Adressen, die aus einem Pool erstellt wurden; keine Weiterleitungsregeln erforderlich. Externe IP-Adressen und Weiterleitungsregeln müssen erstellt werden.
Unterstützte Routingoptionen Nur dynamisches Routing (BGP). Statisches Routing (richtlinienbasiert, routenbasiert) und dynamisches Routing. Bestimmte dynamische Routingfunktionen werden am 31. März 2022 verworfen. Weitere Informationen finden Sie unter Teilweise Einstellung des klassischen VPN.
Zwei Tunnel von einem Cloud VPN-Gateway zum selben Peer-Gateway Unterstützt Nicht unterstützt
API-Ressourcen Wird als Ressource vpn-gateway bezeichnet. Wird als Ressource target-vpn-gateway bezeichnet.

Spezifikationen

Für Cloud VPN gilt Folgendes:

  • Cloud VPN unterstützt ausschließlich Site-to-Site-IPsec-VPN-Verbindungen, für die die Voraussetzungen in diesem Abschnitt erfüllt werden müssen. Client-zu-Gateway-Szenarien werden nicht unterstützt. Mit anderen Worten: Cloud VPN unterstützt keine Anwendungsfälle, bei denen sich Clientcomputer mithilfe von Client-VPN-Software bei einem VPN "einwählen" müssen.

    Cloud VPN unterstützt nur IPSec. Andere VPN-Technologien (wie SSL-VPN) werden nicht unterstützt.

  • Cloud VPN kann mit VPC-Netzwerken und Legacy-Netzwerken verwendet werden. Für VPC-Netzwerke empfehlen wir VPC-Netzwerke im benutzerdefinierten Modus, damit Sie vollständige Kontrolle über die IP-Adressbereiche haben, die von den Subnetzen im Netzwerk verwendet werden.

    • Klassische VPN- und HA VPN-Gateways verwenden externe (im Internet routingfähige) IPv4-Adressen. Für diese Adressen ist nur ESP-, UDP 500- und UDP 4500-Traffic zulässig. Dies gilt für Cloud VPN-Adressen, die Sie für klassisches VPN konfiguriert haben, oder für automatisch zugewiesene Adressen für HA VPN.

    • Wenn sich IP-Adressbereiche für lokale Subnetze mit den IP-Adressen von Subnetzen in Ihrem VPC-Netzwerk überschneiden, können Sie unter Reihenfolge der Routen erfahren, wie sich Routingkonflikte beheben lassen.

  • Der folgende Cloud VPN-Traffic verbleibt im Produktionsnetzwerk von Google:

    • Zwischen zwei HA VPN-Gateways
    • Zwischen zwei klassischen VPN-Gateways
    • Zwischen einem klassischen VPN-Gateway und der externen IP-Adresse einer Compute Engine-VM, die als VPN-Gateway fungiert
  • Cloud VPN kann mit privatem Google-Zugriff für lokale Hosts verwendet werden. Weitere Informationen finden Sie unter Private Zugriffsoptionen für Dienste.

  • Jedes Cloud VPN-Gateway muss mit einem anderen Cloud VPN-Gateway oder einem Peer-VPN-Gateway verbunden sein.

  • Das Peer-VPN-Gateway muss eine statische externe (im Internet routingfähige) IPv4-Adresse haben. Sie benötigen diese IP-Adresse, um Cloud VPN zu konfigurieren.

    • Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass das ESP-Protokoll (IPsec) und IKE-Traffic (UDP 500 und UDP 4500) an das Gateway übertragen werden. Wenn die Firewall Network Address Translation (NAT) bietet, finden Sie weitere Informationen im Abschnitt zu UDP-Kapselung und NAT-T.
  • Cloud VPN setzt voraus, dass das Peer-VPN-Gateway die Vorfragmentierung unterstützt. Pakete müssen vor dem Kapseln fragmentiert werden.

  • Cloud VPN verwendet die Wiedergabeerkennung mit einem Fenster von 4.096 Paketen. Dies ist nicht deaktivierbar.

  • Cloud VPN unterstützt GRE-Traffic. Dank der Unterstützung für GRE können Sie den GRE-Traffic auf einer VM aus dem Internet (externe IP-Adresse) und Cloud VPN oder Cloud Interconnect (interne IP-Adresse) beenden. Der gekapselte Traffic kann dann an ein erreichbares Ziel weitergeleitet werden. GRE ermöglicht es Ihnen, Dienste wie SASE (Secure Access Service Edge) und SD-WAN zu verwenden. Sie müssen eine Firewallregel erstellen, um GRE-Traffic zuzulassen.

Netzwerkbandbreite

Jeder Cloud-VPN-Tunnel kann für eingehenden und ausgehenden Traffic insgesamt bis zu 3 Gbit/s unterstützen.

Die mit diesem Limit verbundenen Messwerte sind Sent bytes und Received bytes. Sie werden unter Messwerte für Cloud VPN überwachen beschrieben. Die Einheit für die Messwerte ist Byte. Das Limit von 3 Gbit/s bezieht sich auf Bits pro Sekunde. Bei der Konvertierung in Byte beträgt das Limit 375 Megabyte pro Sekunde (Mbit/s). Wenn Sie die Nutzung mit dem Limit vergleichen, verwenden Sie die Summe von Sent bytes und Received bytes und vergleichen Sie sie mit dem konvertierten Limit von 375 Mbit/s.

Informationen zum Erstellen von Benachrichtigungsrichtlinien finden Sie unter Benachrichtigungen für die Bandbreite des VPN-Tunnels definieren.

Informationen zur Verwendung des Recommenders der VPN-Tunnel-Nutzung finden Sie unter Überauslastung des VPN-Tunnels prüfen.

Faktoren, die sich auf die Bandbreite auswirken

Die tatsächliche Bandbreite hängt von mehreren Faktoren ab:

  • Die Netzwerkverbindung zwischen dem Cloud VPN-Gateway und Ihrem Peer-Gateway:

    • Netzwerkbandbreite zwischen den beiden Gateways. Wenn Sie eine Direct Peering-Beziehung mit Google eingerichtet haben, ist der Durchsatz höher, als wenn Ihr VPN-Traffic über das öffentliche Internet gesendet wird.

    • Umlaufzeit (Round Trip Time, RTT) und Paketverlust. Erhöhte RTT- und Paketverlustraten verringern die TCP-Leistung erheblich.

  • Funktionen Ihres Peer-VPN-Gateways. Weitere Informationen finden Sie in der Dokumentation Ihres Geräts.

  • Paketgröße. Cloud VPN verwendet eine maximale Übertragungseinheit (MTU) von 1.460 Byte. Peer-VPN-Gateways müssen so konfiguriert sein, dass sie eine MTU von maximal 1460 Byte verwenden. Da die Verarbeitung auf Paketbasis erfolgt, kann bei einer bestimmten Paketrate eine erhebliche Anzahl kleiner Pakete den Gesamtdurchsatz reduzieren. Zur Berücksichtigung des ESP-Aufwands müssen Sie möglicherweise die MTU-Werte auf Systemen festlegen, die Traffic durch VPN-Tunnel an Werte senden, die unter der MTU des Tunnels liegen. Für eine ausführliche Diskussion und Empfehlungen, siehe Überlegungen zu MTU.

  • Paketrate. Für ein- und ausgehenden Traffic beträgt die empfohlene maximale Paketrate für jeden Cloud VPN-Tunnel 250.000 Pakete pro Sekunde (pps). Wenn es für Sie erforderlich ist, dass Pakete mit einer höheren Rate gesendet werden, müssen Sie weitere VPN-Tunnel erstellen.

Für die Messung der TCP-Bandbreite eines VPN-Tunnels empfiehlt es sich, mehrere gleichzeitige TCP-Streams zu messen. Wenn Sie das iperf-Tool nutzen, geben Sie mit dem Parameter -P die Anzahl der gleichzeitigen Streams an.

Tunnel-MTU

Cloud VPN verwendet immer eine MTU von 1.460 Byte. Wenn die VMs und Netzwerke auf einer Seite des Tunnels höhere MTUs haben, verwendet Cloud VPN MSS Clamping, um die TCP-MTU auf 1460 zu reduzieren. Die VPN-Gateways können auch ICMP-Fehlermeldungen verwenden, um Path MTU Discovery (PMTUD) zu aktivieren. Dabei wird auch eine niedrigere MTU für UDP-Pakete festgelegt.

Wenn UDP-Pakete verloren gehen, können Sie die MTU der spezifischen VMs reduzieren, die über den Tunnel kommunizieren. Für Windows-VMs und vom Nutzer bereitgestellte Images reicht es aus, einen niedrigeren MTU-Wert festzulegen. Bei von Google bereitgestellten Linux-Images müssen Sie für diese VMs außerdem DHCP-MTU-Updates deaktivieren.

IPsec- und IKE-Support

Cloud VPN unterstützt IKEv1 und IKEv2. Dazu werden ein vorinstallierter IKE-Schlüssel (gemeinsames Secret) und IKE-Chiffren verwendet. Cloud VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel. Geben Sie beim Erstellen des Cloud VPN-Tunnels einen vorinstallierten Schlüssel an. Wenn Sie den Tunnel am Peer-Gateway erstellen, geben Sie denselben vorinstallierten Schlüssel an.

Cloud VPN unterstützt ESP im Tunnelmodus mit Authentifizierung, jedoch nicht AH oder ESP im Transportmodus.

Eingehende Authentifizierungspakete werden von Cloud VPN nicht nach bestimmten Richtlinien gefiltert. Ausgehende Pakete werden anhand des IP-Bereichs gefiltert, der im Cloud VPN-Gateway konfiguriert wurde.

Richtlinien zum Erstellen eines starken vorinstallierten Schlüssels finden Sie unter Starken vorinstallierten Schlüssel generieren. Informationen zu den von Cloud VPN unterstützten Chiffren und Konfigurationsparametern finden Sie unter Unterstützte IKE-Chiffren.

UDP-Kapselung und NAT-T

Informationen zur Konfiguration des Peer-Geräts, um NAT-Traversal (NAT-T) mit Cloud VPN zu unterstützen, finden Sie unter UDP-Kapselung in der erweiterten Übersicht.

Cloud VPN als Datenübertragungsnetzwerk

Gehen Sie den Abschnitt 2 der allgemeinen Dienstbedingungen für Google Cloud sorgfältig durch, bevor Sie Cloud VPN verwenden.

Mit dem Network Connectivity Center können Sie HA VPN-Tunnel verwenden, um lokale Netzwerke miteinander zu verbinden und den Traffic zwischen ihnen als Datenübertragungsnetzwerk weiterzuleiten. Sie verbinden die Netzwerke, indem Sie für jeden lokalen Standort ein Paar Tunnel an ein Netzwerk Connectivity Center anhängen. Anschließend verbinden Sie alle Spokes mit einem Network Connectivity Center-Hub.

Weitere Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.

Aktiv/Aktiv- und Aktiv/Passiv-Routingoptionen für HA VPN

Fällt ein Cloud VPN-Tunnel aus, wird er automatisch neu gestartet. Fällt ein komplettes virtuelles VPN-Gerät aus, initiiert Cloud VPN automatisch ein neues Gerät mit derselben Konfiguration. Das neue Gateway und der neue Tunnel werden automatisch verbunden.

VPN-Tunnel, die mit HA VPN-Gateways verbunden sind, müssen dynamisches Routing (BGP) verwenden. Je nachdem, wie Sie Routenprioritäten für HA VPN-Tunnel konfigurieren, können Sie eine Aktiv/Aktiv- oder Aktiv/Passiv-Routingkonfiguration erstellen. Bei beiden Routingkonfigurationen bleiben jeweils beide VPN-Tunnel aktiv.

In der folgenden Tabelle werden die Features einer Aktiv/Aktiv- mit denen einer Aktiv/Passiv-Routingkonfiguration verglichen.

Feature Aktiv/Aktiv Aktiv/Passiv
Durchsatz Der effektive aggregierte Durchsatz ist der kombinierte Durchsatz beider Tunnel. Durch die Reduzierung von zwei aktiven Tunneln auf einen halbiert sich der effektive Gesamtdurchsatz, wodurch Verbindungen verlangsamt werden oder Pakete verloren gehen können.
Route Advertisement

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit identischen MED-Werten für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit identischen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet Equal Cost Multi-Path-Routing (ECMP).

Derselbe Cloud Router verwendet identische Prioritäten, um Routen zu Ihrem VPC-Netzwerk zu bewerben.

Ihr Peer-Gateway verwendet ECMP, um diese Routen zum Senden von ausgehendem Traffic an Google Cloud zu verwenden.

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit unterschiedlichen MED-Werten für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit unterschiedlichen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet die Route mit der höchsten Priorität, solange der zugehörige Tunnel verfügbar ist.

Derselbe Cloud Router verwendet unterschiedliche Prioritäten für jeden Tunnel, um Routen zu Ihrem VPC-Netzwerk anzubieten.

Ihr Peer-Gateway kann nur den Tunnel mit der höchsten Priorität verwenden, um Traffic an Google Cloud zu senden.

Failover

Falls ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die erkannten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist.

Falls ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die erkannten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist.

Verwendet maximal einen Tunnel auf einmal, sodass der zweite Tunnel Ihre gesamte ausgehende Bandbreite verarbeiten kann, wenn der erste Tunnel ausfällt und für ihn ein Failover durchgeführt werden muss.

Aktiv/Passiv-Routing in vollständigen Mesh-Topologien

Wenn Cloud Router über eine bestimmte Cloud VPN-Schnittstelle das gleiche Präfix mit unterschiedlichen MED-Werten empfängt, wird nur die Route mit der höchsten Priorität in das VPC-Netzwerk importiert. Die anderen inaktiven Routen sind in der Google Cloud Console oder über das gcloud-Befehlszeilentool nicht sichtbar. Wenn die Route mit der höchsten Priorität nicht mehr verfügbar ist, wird sie vom Cloud Router zurückgezogen und die nächstbeste Route wird automatisch in das VPC-Netzwerk importiert.

Mehrere Tunnel oder Gateways verwenden

Je nach Konfiguration des Peer-Gateways ist es möglich, Routen so zu erstellen, dass ein Teil des Traffics einen Tunnel durchquert und ein anderer Teil des Traffics aufgrund von Routenprioritäten (MED-Werte) einen anderen Tunnel durchquert. Ebenso können Sie die Basispriorität anpassen, die der Cloud Router verwendet, um Ihre VPC-Netzwerkrouten freizugeben. Diese Fälle zeigen mögliche Routingkonfigurationen auf, die weder rein aktiv/aktiv noch rein aktiv/passiv sind.

Bei Verwendung eines einzelnen HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Passiv-Routingkonfiguration. Bei dieser Konfiguration stimmt die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs mit der Bandbreitenkapazität überein, die während des Failovers beobachtet wird. Diese Art der Konfiguration ist einfacher zu verwalten, da das beobachtete Bandbreitenlimit konstant bleibt, mit der Ausnahme des oben beschriebenen Szenarios mit mehreren Gateways.

Bei der Verwendung mehrerer HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Aktiv-Routingkonfiguration. Bei dieser Konfiguration ist die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs doppelt so hoch wie die garantierte Bandbreitenkapazität. Durch diese Konfiguration werden jedoch die Tunnel faktisch nicht ausreichend verwaltet und es kann bei einem Failover zu Rückgang des Traffics kommen.

Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken

Als Organisationsrichtlinienadministrator können Sie eine Organisationsrichtlinieneinschränkung erstellen, um eine Reihe von Peer-IP-Adressen zu definieren, die ein Nutzer beim Erstellen neuer Cloud VPN-Tunnel in einem bestimmten Projekt, Ordner oder einer Organisation angeben darf.

Die IP-Adressen des Peer-Gateways können die IP-Adressen lokaler Gateways oder anderer Cloud VPN-Gateways sein.

Wenn Sie die Liste der Peer-IP-Adressen steuern möchten, die Nutzer beim Erstellen neuer Cloud VPN-Tunnel angeben können, verwenden Sie die Einschränkung des Resource Managers constraints/compute.restrictVpnPeerIPs.

Im folgenden Beispiel erstellt ein Organisationsrichtlinienadministrator eine Organisationsrichtlinieneinschränkung, die die zulässige IP-Adresse des Peer-VPN-Gateways definiert. Diese Einschränkung hat eine allowList, die nur aus der IP-Adresse 100.1.1.1 besteht.

Netzwerkadministratoren in dem Projekt, das das network-a-VPC-Netzwerk enthält, können nur neue Cloud VPN-Tunnel erstellen, die eine Verbindung zur Peer-Gateway-IP-Adresse 100.1.1.1 herstellen. Die Einschränkung verhindert das Erstellen neuer Cloud VPN-Tunnel mit einer anderen Peer-Gateway-IP-Adresse.

Organisationsrichtlinie zum Einschränken von VPN-Peer-Geräten.
Organisationsrichtlinie zum Einschränken von VPN-Peer-Systemen (zum Vergrößern klicken)

Eine Anleitung zum Einschränken von IP-Adressen finden Sie auf den folgenden Seiten:

Hinweise

  • Die Organisationsrichtlinieneinschränkung, die IP-Adressen von Peer-Gateways einschränkt, gilt nur für neue Cloud VPN-Tunnel. Die Einschränkung verbietet Cloud VPN-Tunnel, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie unter Informationen zur Hierarchie des Resource Managers.

  • Sie können diese Einschränkung auf klassische VPN-Tunnel anwenden, die statisches oder dynamisches Routing mit BGP oder zu HA VPN-Tunneln verwenden.

  • Sie können in einer Richtlinie mehrere allowedList- oder deniedList-Einträge angeben. Sie können jedoch nicht beide gleichzeitig verwenden.

  • Sie oder ein Netzwerkadministrator mit den entsprechenden Berechtigungen müssen den Lebenszyklus und die Integrität Ihrer VPN-Tunnel verwalten.

Cloud VPN-Verbindungen visualisieren und überwachen

Netzwerktopologie ist ein Visualisierungstool, das die Topologie Ihrer VPC-Netzwerke, die Hybridkonnektivität zu und von Ihren lokalen Netzwerken sowie die zugehörigen Messwerte zeigt. Sie können Ihre Cloud VPN-Gateways und VPN-Tunnel als Entitäten in der Netzwerktopologie-Ansicht sehen.

Eine Basisentität ist die unterste Ebene einer bestimmten Hierarchie und stellt eine Ressource dar, die direkt über ein Netzwerk mit anderen Ressourcen kommunizieren kann. Netzwerktopologie fasst Basisentitäten in hierarchischen Entitäten zusammen, die Sie maximieren oder minimieren können. Wenn Sie zum ersten Mal ein Diagramm von Netzwerktopologie aufrufen, werden alle Basisentitäten in ihrer übergeordneten Hierarchie zusammengefasst.

Netzwerktopologie fasst beispielsweise VPN-Tunnel in ihrer VPN-Gateway-Verbindung zusammen. Sie können die Hierarchie sehen, indem Sie die VPN-Gateway-Symbole maximieren oder minimieren.

Weitere Informationen finden Sie in der Übersicht zu Netzwerktopologie.

Wartung und Verfügbarkeit

Cloud VPN wird regelmäßig gewartet. Während der Wartungsarbeiten werden Cloud VPN-Tunnel offline geschaltet, was zu einem kurzzeitigen Rückgang des Netzwerktraffics führt. Die Cloud VPN-Tunnel werden im Anschluss an die Wartungsarbeiten automatisch wiederhergestellt.

Die Wartung von Cloud VPN zählt zu den normalen betrieblichen Aufgaben, die jederzeit ohne vorherige Ankündigung erfolgen können. Die Wartungszeiträume werden entsprechend kurz gehalten, sodass es nicht zu Verletzungen des Cloud VPN-SLA kommt.

HA VPN ist die empfohlene Methode zum Konfigurieren von VPNs mit Hochverfügbarkeit. Informationen zu Konfigurationsoptionen finden Sie auf der Seite "HA VPN-Topologien". Wenn Sie aus Gründen der Redundanz und für Optionen mit hohem Durchsatz klassisches VPN verwenden, finden Sie weitere Informationen auf der Seite "Klassische VPN-Topologien".

Best Practices

Mit diesen Best Practices können Sie Ihr Cloud VPN effektiv erstellen.

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.

  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.