Descripción general de Cloud VPN

En esta página se describen conceptos relacionados con Google Cloud VPN. Para ver las definiciones de los términos que se usan en la documentación de Cloud VPN, consulta Términos clave.

Cloud VPN conecta de manera segura tu red de intercambio de tráfico a la red de nube privada virtual (VPC) mediante una conexión IPsec VPN. Una puerta de enlace de VPN encripta el tráfico que viaja entre las dos redes y la otra puerta de enlace de VPN lo desencripta. De esta forma, la acción protege a los datos mientras viajan por Internet. También puedes conectar dos instancias de Cloud VPN entre sí.

Elige una solución de red híbrida

Para determinar si deseas usar Cloud VPN, la interconexión dedicada, la interconexión de socio o Cloud Router como tu conexión de red híbrida a Google Cloud, consulta Cómo elegir un producto de conectividad de red.

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud VPN en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Cloud VPN gratis

Tipos de Cloud VPN

Google Cloud ofrece dos tipos de puertas de enlace de Cloud VPN: VPN con alta disponibilidad y VPN clásica.

Para obtener información acerca de cómo migrar a VPN con alta disponibilidad, consulta Migra a una VPN con alta disponibilidad desde una VPN clásica.

VPN con alta disponibilidad

La VPN con alta disponibilidad (HA) es una solución de Cloud VPN que te permite conectar de forma segura tu red local con la red de VPC a través de una conexión de VPN con IPsec en una sola región. La VPN con alta disponibilidad proporciona un ANS del 99.99% de disponibilidad del servicio.

Cuando creas una puerta de enlace de VPN con alta disponibilidad, Google Cloud elige de forma automática dos direcciones IP externas, una para cada una de las dos interfaces fijas. Cada dirección IP se elige de forma automática a partir de un grupo de direcciones único para admitir la alta disponibilidad. Cada una de las interfaces de puerta de enlace de VPN con alta disponibilidad admite varios túneles. También puedes crear varias puertas de enlace de VPN con alta disponibilidad. Cuando borras la puerta de enlace de VPN con alta disponibilidad, Google Cloud libera las direcciones IP para que puedan volver a usarse. Puedes configurar una puerta de enlace de VPN con alta disponibilidad con una sola interfaz activa y una dirección IP externa; sin embargo, esta configuración no proporciona un ANS de disponibilidad de servicio del 99.99%.

En la documentación de la API y en los comandos de gcloud, las puertas de enlace de VPN con alta disponibilidad se denominan puertas de enlace de VPN en lugar de puertas de enlace de VPN de destino. No es necesario crear ninguna regla de reenvío para las puertas de enlace de VPN con alta disponibilidad.

La VPN con alta disponibilidad usa un recurso de puerta de enlace de VPN externo en Google Cloud para proporcionarte información sobre la puerta de enlace de VPN de intercambio de tráfico o sobre las puertas de enlace.

Requisitos de VPN con alta disponibilidad

La configuración de Cloud VPN debe cumplir los siguientes requisitos a fin de lograr una disponibilidad en el nivel de servicio del 99.99% para la VPN con alta disponibilidad:

  • Cuando conectas una puerta de enlace de VPN con alta disponibilidad a la puerta de enlace de intercambio de tráfico, el 99.99% de la disponibilidad solo está garantizado en el lado de Google Cloud de la conexión. La disponibilidad de extremo a extremo está sujeta a la configuración adecuada de la puerta de enlace de VPN de intercambio de tráfico.

  • Si ambas partes son puertas de enlace de Google Cloud y están configuradas de forma correcta, se garantiza una disponibilidad del 99.99% de extremo a extremo.

  • Para lograr una alta disponibilidad cuando ambas puertas de enlace de VPN se encuentran en redes de VPC, debes usar dos puertas de enlace de VPN con alta disponibilidad ubicadas en la misma región.

    Aunque ambas puertas de enlace deben estar ubicadas en la misma región, si la red de VPC usa el modo de enrutamiento dinámico global, las rutas a las subredes que las puertas de enlace comparten entre sí pueden estar ubicadas. en cualquier región. Si tu red de VPC usa el modo de enrutamiento dinámico regional, solo las rutas a subredes de la misma región se comparten con la red de intercambio de tráfico. Las rutas aprendidas se aplican solo a las subredes en la misma región que el túnel VPN.

    Para obtener más información, consulta Modo de enrutamiento dinámico.

  • La VPN de HA rechaza las direcciones IP de Google Cloud cuando se configuran en un recurso de puerta de enlace VPN externo, por ejemplo, mediante la dirección IP externa de una instancia de VM como la dirección IP externa para el recurso de puerta de enlace VPN externa. La única topología admitida de VPN con alta disponibilidad entre las redes de Google Cloud es dónde se usa VPN con alta disponibilidad en ambos lados, como se documenta en Crea una VPN con alta disponibilidad entre redes de Google Cloud.

  • Configura dos túneles VPN desde la perspectiva de la puerta de enlace de Cloud VPN:

    • Si tienes dos dispositivos de puerta de enlace de VPN de intercambio de tráfico, cada uno de los túneles de cada interfaz en la puerta de enlace de Cloud VPN debe conectarse a su propia puerta de enlace de intercambio de tráfico.
    • Si tienes un único dispositivo de puerta de enlace de VPN de intercambio de tráfico con dos interfaces, cada uno de los túneles de cada interfaz en la puerta de enlace de Cloud VPN debe conectarse a su propia interfaz en la puerta de enlace de intercambio de tráfico.
    • Si tienes un solo dispositivo de puerta de enlace de VPN de intercambio de tráfico con una sola interfaz, ambos túneles de cada interfaz de la puerta de enlace de Cloud VPN deben conectarse a la misma interfaz en la puerta de enlace de intercambio de tráfico.
  • Un dispositivo VPN de intercambio de tráfico debe configurarse con la redundancia adecuada. El proveedor del dispositivo especifica los detalles de una configuración redundante adecuada, que puede incluir varias instancias de hardware. A fin de obtener más detalles, consulta la documentación del proveedor para el dispositivo VPN de intercambio de tráfico.

    Si se requieren dos dispositivos de intercambio de tráfico, cada uno de ellos debe estar conectado a una interfaz diferente de puerta de enlace de VPN con alta disponibilidad. Si el lado del intercambio de tráfico es otro proveedor de servicios en la nube, como AWS, las conexiones VPN también deben configurarse con la redundancia adecuada del lado de AWS.

  • El dispositivo de puerta de enlace de VPN de intercambio de tráfico debe admitir el enrutamiento dinámico (BGP).

En el siguiente diagrama, se muestra el concepto de VPN con alta disponibilidad con una topología que incluye las dos interfaces de una puerta de enlace de VPN con alta disponibilidad conectadas a dos puertas de enlace de VPN de intercambio de tráfico. Para obtener topologías de VPN con alta disponibilidad más detalladas (situaciones de configuración), consulta Topologías de Cloud VPN.

Una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico.
Una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico (haz clic para agrandar)

VPN clásica

En cambio, las puertas de enlace de VPN clásica tienen una única interfaz y una única dirección IP externa, y admiten túneles en los que se usa enrutamiento dinámico (BGP) o estático (basado en rutas o políticas). Estas proporcionan un ANS del 99.9% de disponibilidad del servicio.

Para ver las topologías de VPN clásica compatibles, consulta la página de topologías de VPN clásica.

Las VPN clásicas se denominan puertas de enlace de VPN de destino en la documentación de la API y en la herramienta de línea de comandos de gcloud.

Tabla de comparación

En la siguiente tabla, se comparan las funciones de la VPN con alta disponibilidad con las funciones de la VPN clásica.

Función VPN con alta disponibilidad VPN clásica
ANS Proporciona un ANS del 99.99% cuando se configura con dos interfaces y dos direcciones IP externas. Proporciona un ANS del 99.9%.
Creación de direcciones IP externas y reglas de reenvío Direcciones IP externas creadas a partir de un grupo; No se requieren reglas de reenvío. Se deben crear las direcciones IP externas y las reglas de reenvío.
Opciones de enrutamiento compatibles Solo enrutamiento dinámico (BGP). Enrutamiento estático (basado en políticas o rutas) o enrutamiento dinámico mediante BGP.
Dos túneles desde una puerta de enlace de Cloud VPN a la misma puerta de enlace de intercambio de tráfico Compatible No compatible
Recursos de la API Conocido como el recurso vpn-gateway. Conocido como el recurso target-vpn-gateway.

Especificaciones

Cloud VPN tiene las siguientes especificaciones:

  • Cloud VPN solo es compatible con la conectividad de VPN con IPsec de sitio a sitio, sujeta a los requisitos que se indican en esta sección. No es compatible con las situaciones cliente a puerta de enlace. En otras palabras, Cloud VPN no es compatible con los casos de uso en los que las computadoras de los clientes necesiten “conectarse” a una VPN mediante el software de VPN del cliente.

    Cloud VPN solo es compatible con IPsec. Otras tecnologías de VPN (como SSL VPN) no lo son.

  • Cloud VPN puede usarse con redes de VPC y heredadas. En el caso de las redes de VPC, recomendamos las redes de VPC en modo personalizado para que tengas control total sobre los rangos de direcciones IP que usan las subredes de la red.

    • Las puertas de enlace de VPN con alta disponibilidad y VPN clásica usan direcciones IPv4 externas (enrutables por Internet). Solo se permite el tráfico ESP, UDP 500 y UDP 4500 a estas direcciones. Esto aplica a las direcciones de Cloud VPN que configuras para la VPN clásica o a las direcciones IP asignadas de forma automática a VPN con alta disponibilidad.

    • Si los rangos de direcciones IP de las subredes locales se superponen con las direcciones IP que usan las subredes en tu red de VPC, para determinar cómo se resuelven los conflictos de enrutamiento, consulta Orden de las rutas.

  • El siguiente tráfico de Cloud VPN permanece dentro de la red de producción de Google:

    • Entre dos puertas de enlace de VPN con alta disponibilidad
    • Entre dos puertas de enlace de VPN clásica
    • Entre una puerta de enlace de VPN clásica y la dirección IP externa de una VM de Compute Engine que actúa como una puerta de enlace de VPN
  • Cloud VPN puede usarse con el Acceso privado a Google para hosts locales. Si deseas obtener más información, consulta Opciones de acceso privado a los servicios.

  • Cada puerta de enlace de Cloud VPN debe estar conectada a otra puerta de enlace de Cloud VPN o a una puerta de enlace de VPN de intercambio de tráfico.

  • La puerta de enlace de VPN de intercambio de tráfico debe tener una dirección IPv4 externa estática (enrutable por Internet). Necesitas esta dirección IP para configurar Cloud VPN.

    • Si tu puerta de enlace de VPN de intercambio de tráfico está detrás de un firewall, debes configurar el firewall para pasarle el protocolo ESP (IPSec) y el tráfico IKE (UDP 500 y UDP 4500). Si el firewall proporciona traducción de direcciones de red (NAT), consulta Encapsulamiento UDP y NAT-T.
  • Cloud VPN requiere que la puerta de enlace de VPN de intercambio de tráfico esté configurada para admitir la prefragmentación. Los paquetes deben estar fragmentados antes de encapsularse.

  • Cloud VPN usa la detección de repetición con una ventana de 4,096 paquetes. No puedes desactivarla.

  • Cloud VPN admite el tráfico de GRE. La compatibilidad con GRE te permite finalizar el tráfico de GRE en una VM desde Internet (dirección IP externa) y desde Cloud VPN o Cloud Interconnect (dirección IP interna). El tráfico descapsulado se puede reenviar a un destino accesible. GRE te permite usar servicios como el perímetro de servicio de acceso seguro (SASE) y SD-WAN. Debes crear una regla de firewall para permitir el tráfico de GRE.

Ancho de banda de red

Cada túnel de Cloud VPN puede admitir hasta 3 gigabits por segundo (Gbps) en total para la entrada y la salida de tráfico.

Las métricas relacionadas con este límite son Sent bytes y Received bytes, que se describen en Métricas de supervisión para Cloud VPN. Considera que la unidad para las métricas es bytes, si bien el límite de 3 Gbps se refiere a bits por segundo. Cuando se convierte en bytes, el límite es de 375 megabytes por segundo (MBps). Cuando midas el uso según el límite, compara la suma de Sent bytes y Received bytes con el límite convertido de 375 MBps.

Si necesitas información para crear políticas de alertas, consulta Define alertas para el ancho de banda del túnel VPN.

Para obtener información sobre el uso del recomendador de uso del túnel VPN, consulta Verifica el uso excesivo del túnel VPN.

Factores que afectan el ancho de banda

El ancho de banda real depende de varios factores:

  • La conexión de red entre la puerta de enlace de Cloud VPN y tu puerta de enlace de intercambio de tráfico:

    • Ancho de banda de red entre las dos puertas de enlace. Si estableciste una relación de Intercambio de tráfico directo con Google, la capacidad de procesamiento es mayor que si tu tráfico de VPN se enviara a través de la Internet pública.

    • Tiempo de ida y vuelta (RTT) y pérdida de paquetes. Las tasas de RTT o de pérdida de paquetes elevadas reducen el rendimiento del TCP.

  • Capacidades de tu puerta de enlace de VPN de intercambio de tráfico. Para obtener más información, consulta la documentación de tu dispositivo.

  • El tamaño del paquete. Cloud VPN usa una unidad de transmisión máxima (MTU) de 1,460 bytes. Las puertas de enlace de VPN de intercambio de tráfico deben configurarse para usar una MTU de no más de 1,460 bytes. Debido a que el procesamiento se realiza por paquete, una cantidad significativa de paquetes más pequeños puede reducir la capacidad de procesamiento general para una frecuencia de paquetes determinada. A fin de tener en cuenta la sobrecarga del ESP, es posible que también debas establecer los valores de MTU para los sistemas que envían tráfico a través de túneles VPN a valores inferiores a la MTU del túnel. Para obtener un análisis detallado y recomendaciones, consulta Consideraciones de MTU.

  • Frecuencia de paquetes. En cuanto a la entrada y la salida, la frecuencia de paquetes máxima recomendada para cada túnel de Cloud VPN es de 250,000 paquetes por segundo (pps). Si necesitas enviar paquetes con una frecuencia mayor, debes crear más túneles VPN.

Durante la medición del ancho de banda de TCP de un túnel VPN, debes medir más de una transmisión TCP simultánea. Si usas la herramienta de iperf, utiliza el parámetro -P para especificar la cantidad de transmisiones simultáneas.

MTU del túnel

Cloud VPN siempre usa una MTU de 1,460 bytes. Si las VM y las redes que se comunican por el túnel tienen MTU más altas, Cloud VPN usa la fragmentación de MSS para reducir la MTU de TCP a 1460. Las puertas de enlace de VPN también pueden usar mensajes de error ICMP para habilitar el descubrimiento de la MTU de la ruta (PMTUD), lo que también permite establecer una MTU menor para los paquetes UDP.

Si se descartan paquetes UDP, puedes reducir la MTU de las VM específicas que se comunican por el túnel. Para las VM de Windows y las imágenes proporcionadas por el usuario, basta con establecer una MTU menor. En las imágenes de Linux que proporciona Google, también debes inhabilitar las actualizaciones de la MTU para DHCP en esas VM.

Compatibilidad con IPsec e IKE

Cloud VPN es compatible con IKEv1 y con IKEv2 mediante el uso de una clave precompartida del IKE (secreto compartido) y algoritmos de cifrado IKE. Cloud VPN solo admite una clave compartida previamente para la autenticación. Cuando crees el túnel de Cloud VPN, especifica una clave precompartida. Cuando crees el túnel en la puerta de enlace de intercambio de tráfico, especifica esta misma clave precompartida.

Cloud VPN es compatible con ESP en modo de túnel con autenticación, pero no es compatible con AH ni ESP en modo de transporte.

Cloud VPN no realiza el filtrado relacionado con políticas en los paquetes de autenticación entrantes. Los paquetes salientes se filtran según el rango de IP configurado en la puerta de enlace de Cloud VPN.

Para obtener instrucciones sobre cómo crear una clave precompartida segura, consulta Genera una clave precompartida segura. Para algoritmos de cifrado y parámetros de configuración compatibles con Cloud VPN, consulta Algoritmos de cifrado IKE admitidos.

Encapsulación UDP y NAT-T

Si deseas obtener información sobre cómo configurar tu dispositivo de intercambio de tráfico para admitir NAT-Traversal (NAT-T) con Cloud VPN, consulta Encapsulamiento UDP en la descripción general avanzada.

Cloud VPN como red de transferencia de datos

Antes de usar Cloud VPN, revisa con atención la sección 2 de las Condiciones del Servicio Generales de Google Cloud.

Con Network Connectivity Center, puedes usar túneles VPN con alta disponibilidad para conectar redes locales y configurar el tráfico entre ellas como una red de transferencia de datos. Conectas un par de túneles a un radio del Network Connectivity Center para cada ubicación local. Luego, debes conectar cada radio a un centro de Network Connectivity Center.

Para obtener más información sobre Network Connectivity Center, consulta la descripción general de Network Connectivity Center.

Opciones de enrutamiento activo/activo y activo/pasivo para VPN con alta disponibilidad

Si un túnel de Cloud VPN falla, se reinicia de forma automática. Si un dispositivo de VPN virtual completo falla, Cloud VPN crea una instancia nueva de forma automática con la misma configuración. La puerta de enlace nueva y el túnel se conectan de forma automática.

Los túneles VPN conectados a las puertas de enlace de VPN con alta disponibilidad deben usar el enrutamiento dinámico (BGP). Según el método de configuración de las prioridades de ruta para los túneles VPN con alta disponibilidad, puedes crear una configuración de enrutamiento activa/activa o activa/pasiva. Para ambas configuraciones de enrutamiento, los dos túneles VPN permanecen activos.

En la siguiente tabla, se comparan las funciones de una configuración de enrutamiento activa/activa o activa/pasiva.

Función Activa/activa Activa/pasiva
Capacidad de procesamiento La capacidad de procesamiento de agregada efectiva es la capacidad de procesamiento combinada de ambos túneles. Después de reducir de dos túneles activos a uno, la capacidad de procesamiento general efectiva se reduce a la mitad, lo que puede dar como resultado una conectividad más lenta o la pérdida de paquetes.
Anuncio de ruta

La puerta de enlace de intercambio de tráfico anuncia las rutas de la red de intercambio de tráfico con valores MED idénticos para cada túnel.

El Cloud Router que administra los túneles de Cloud VPN los importa como rutas dinámicas personalizadas en tu red de VPC con prioridades idénticas.

El tráfico de salida enviado a tu red de intercambio de tráfico usa el enrutamiento de múltiples rutas de igual costo (ECMP).

El mismo Cloud Router usa prioridades idénticas para anunciar rutas a tu red de VPC.

La puerta de enlace de intercambio de tráfico usa ECMP para usar estas rutas a fin de enviar tráfico de salida a Google Cloud.

La puerta de enlace de intercambio de tráfico anuncia las rutas de la red de intercambio de tráfico con valores MED diferentes para cada túnel.

El Cloud Router que administra los túneles de Cloud VPN los importa como rutas dinámicas personalizadas en tu red de VPC con prioridades diferentes.

El tráfico de salida que se envía a tu red de intercambio de tráfico usa la ruta con mayor prioridad, siempre que el túnel asociado esté disponible.

El mismo Cloud Router usa prioridades diferentes para cada túnel a fin de anunciar rutas a tu red de VPC.

La puerta de enlace de intercambio de tráfico solo puede usar el túnel con mayor prioridad para enviar tráfico a Google Cloud.

Conmutación por error

Si un túnel deja de estar disponible, Cloud Router retira las rutas dinámicas personalizadas conocidas cuyos próximos saltos son el túnel no disponible. Este proceso de extracción puede demorar hasta 40 segundos, durante el cual se espera una pérdida de paquetes.

Si un túnel deja de estar disponible, Cloud Router retira las rutas dinámicas personalizadas conocidas cuyos próximos saltos son el túnel no disponible. Este proceso de extracción puede demorar hasta 40 segundos, durante el cual se espera una pérdida de paquetes.

Usa un máximo de un túnel a la vez para que el segundo túnel pueda controlar todo el ancho de banda de salida si el primero falla y necesita realizar una conmutación por error.

Enrutamiento activo/pasivo en topologías de malla completa

Si Cloud Router recibe el mismo prefijo con diferentes valores MED a través de una interfaz determinada de Cloud VPN, el servicio solo importa la ruta con la prioridad más alta a la red de VPC. Las demás rutas inactivas no se pueden ver en Google Cloud Console ni a través de la herramienta de línea de comandos de gcloud. Si la ruta con la prioridad más alta deja de estar disponible, Cloud Router la retira y, luego, importa automáticamente la siguiente mejor ruta a la red de VPC.

Usa varios túneles o puertas de enlace

Según la configuración de la puerta de enlace de intercambio de tráfico, es posible crear rutas de modo que parte del tráfico recorra un túnel y parte recorra otro por prioridades de ruta (valores MED). De manera similar, puedes ajustar la prioridad de base que Cloud Router usa para compartir las rutas de red de VPC. En estas situaciones se demuestran posibles opciones de configuración de enrutamiento que no son activas/activas ni activas/pasivas en su totalidad.

Cuando se usa una única puerta de enlace de VPN con alta disponibilidad, recomendamos usar una configuración de enrutamiento activa/pasiva. Con esta configuración la capacidad del ancho de banda observada en el momento de la operación normal del túnel coincide con la capacidad del ancho de banda observada durante la conmutación por error. Este tipo de configuración es más fácil de administrar, ya que el límite del ancho de banda observado se mantiene constante, excepto en la situación de varias puertas de enlace descrita antes.

Cuando se usan varias puertas de enlace de VPN con alta disponibilidad, recomendamos usar una configuración de enrutamiento activa/activa. Con esta configuración la capacidad del ancho de banda observada en el momento de la operación del túnel normal es el doble que la capacidad del ancho de banda garantizada. Sin embargo, esta configuración subprovisiona de manera eficaz los túneles y puede provocar la caída del tráfico en caso de conmutación por error.

Restringe direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN

Si eres un administrador de políticas de la organización, puedes crear una restricción de política de la organización para definir un conjunto de direcciones IP de intercambio de tráfico que un usuario puede especificar cuando crea túneles nuevos de Cloud VPN en una organización, una carpeta o un proyecto específico.

Las direcciones IP de la puerta de enlace de intercambio de tráfico pueden ser las de las puertas de enlace locales o de otras puertas de enlace de Cloud VPN.

Para controlar la lista de direcciones IP de par que los usuarios pueden especificar cuando crean túneles nuevos de Cloud VPN, usa la restricción constraints/compute.restrictVpnPeerIPs de Resource Manager.

En el siguiente ejemplo, un administrador de políticas de la organización crea una restricción de política de la organización que define la dirección IP de la puerta de enlace de VPN de intercambio de tráfico permitida. Esta restricción tiene una allowList que consta solo de la dirección IP 100.1.1.1.

Los administradores de red en el proyecto que contiene la red de VPC network-a solo pueden crear túneles nuevos de Cloud VPN que se conectan a la dirección IP 100.1.1.1 de la puerta de enlace de intercambio de tráfico. La restricción no permite la creación de túneles nuevos de Cloud VPN en una dirección IP de puerta de enlace de intercambio de tráfico diferente.

Política de la organización para restringir los intercambios de tráfico de VPN.
Política de la organización para restringir el intercambio de tráfico de VPN (haz clic a fin de ampliar)

Para ver los pasos en los que se describe cómo restringir direcciones IP, consulta lo siguiente:

Consideraciones

  • La restricción de la política de la organización que restringe las direcciones IP de la puerta de enlace de intercambio de tráfico solo se aplica a los túneles nuevos de Cloud VPN. La restricción prohíbe los túneles de Cloud VPN creados después de aplicar la restricción. Para obtener más información, consulta Comprende la jerarquía de Resource Manager.

  • Puedes aplicar esta restricción a los túneles de VPN clásica que usan el enrutamiento estático o dinámico con BGP o a túneles VPN con alta disponibilidad.

  • Puedes especificar varias entradas allowedList o deniedList en una política determinada, pero no puedes usar ambas al mismo tiempo.

  • Tú o un administrador de red con los permisos correctos deben administrar y mantener el ciclo de vida y la integridad de los túneles VPN.

Mantenimiento y disponibilidad

Cloud VPN se somete a un mantenimiento periódico. Durante el mantenimiento los túneles de Cloud VPN se desconectan, lo que provoca una breve caída en el tráfico de red. Cuando se completa el mantenimiento, los túneles de Cloud VPN se restablecen automáticamente.

El mantenimiento de Cloud VPN es una tarea operativa normal que puede realizarse en cualquier momento sin previo aviso. Los períodos de mantenimiento están diseñados para ser lo suficientemente cortos, de modo que el ANS de Cloud VPN no se vea afectado.

La VPN con alta disponibilidad es el método recomendado para configurar las VPN con alta disponibilidad. Para ver las opciones de configuración, consulta la página de topologías de VPN con alta disponibilidad. Si usas la VPN clásica para obtener opciones de redundancia y alta capacidad de procesamiento, consulta la página de topologías de VPN clásica.

Prácticas recomendadas

Para compilar Cloud VPN de manera eficaz, usa estas prácticas recomendadas.

¿Qué sigue?