Présentation de Cloud VPN

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page décrit les concepts liés à Google Cloud VPN. Pour connaître la définition des termes utilisés dans la documentation Cloud VPN, consultez la section Termes clés.

Cloud VPN connecte en toute sécurité votre réseau de pairs à votre réseau cloud privé virtuel (VPC, Virtual Private Cloud) via une connexion VPN Ipsec. Le trafic circulant entre les deux réseaux est chiffré par une passerelle VPN, puis déchiffré par l'autre passerelle VPN. Ce procédé protège les données lors des transferts via Internet. Vous pouvez également connecter deux instances de Cloud VPN entre elles.

Choisir une solution de mise en réseau hybride

Pour déterminer s'il convient d'utiliser Cloud VPN, l'interconnexion dédiée, l'interconnexion partenaire ou Cloud Router comme connexion réseau hybride à Google Cloud, consultez la page Choisir un produit de connectivité réseau.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud VPN en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Profiter d'un essai gratuit de Cloud VPN

Types de Cloud VPN

Google Cloud propose deux types de passerelles Cloud VPN : les passerelles VPN haute disponibilité et les passerelles VPN classiques. Cependant, certaines fonctionnalités des VPN classiques sont obsolètes. Pour en savoir plus, consultez la page Abandon partiel du VPN classique.

Pour savoir comment migrer vers un VPN haute disponibilité, consultez la page Passer à un VPN haute disponibilité.

VPN haute disponibilité

Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter en toute sécurité votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec située dans une seule région. Les VPN haute disponibilité garantissent un taux de disponibilité de 99,99 %.

Lorsque vous créez une passerelle VPN haute disponibilité, Google Cloud choisit automatiquement deux adresses IPv4 externes correspondant à chacune de ses deux interfaces (nombre fixe). Chaque adresse IPv4 est automatiquement sélectionnée parmi un pool d'adresses unique afin de garantir une disponibilité élevée. Chacune des interfaces de passerelle VPN haute disponibilité accepte plusieurs tunnels. Vous pouvez également créer plusieurs passerelles VPN haute disponibilité. Lorsque vous supprimez la passerelle VPN haute disponibilité, Google Cloud libère les adresses IP afin de les réutiliser. Une seule interface active et une seule adresse IP publique suffisent pour configurer une passerelle VPN haute disponibilité. Toutefois, cette configuration ne remplit pas le contrat de niveau de service de 99,99 % de disponibilité.

La compatibilité des VPN haute disponibilité avec l'échange de trafic IPv6 est disponible en version bêta.

Dans la documentation de l'API et dans les commandes gcloud, les passerelles VPN haute disponibilité sont appelées passerelles VPN, plutôt que passerelles VPN cibles. Vous n'avez pas à créer de règles de transfert pour les passerelles VPN haute disponibilité.

Les VPN haute disponibilité utilisent une ressource de passerelle VPN externe disponible dans Google Cloud pour fournir à celui-ci des informations sur votre ou vos passerelles VPN de pairs.

Configuration requise pour les VPN haute disponibilité

Pour atteindre un niveau de service disponible à 99,99 % pour les VPN haute disponibilité, votre configuration Cloud VPN doit répondre aux exigences suivantes :

  • Lorsque vous connectez une passerelle VPN haute disponibilité à votre passerelle homologue, la disponibilité à 99,99 % n'est garantie que du côté Google Cloud de la connexion. La disponibilité de bout en bout est soumise à une configuration appropriée de la passerelle VPN de pairs.

  • Une disponibilité de 99,99 % de bout en bout est garantie si les deux côtés sont des passerelles Google Cloud correctement configurées.

  • Pour garantir une disponibilité élevée lorsque les deux passerelles VPN sont situées dans des réseaux VPC, vous devez utiliser deux passerelles VPN haute disponibilité situées dans la même région.

    Bien que les deux passerelles doivent être situées dans la même région, si votre réseau VPC utilise le mode de routage dynamique global, les routes vers les sous-réseaux partagés par les passerelles peuvent être situées dans n'importe quelle région. Si votre réseau VPC utilise le mode de routage dynamique régional, seuls les routages vers les sous-réseaux sont partagés avec le réseau de pairs. Les routes apprises ne s'appliquent qu'aux sous-réseaux de la même région que le tunnel VPN.

    Pour plus d'informations, consultez la documentation relative au Mode de routage dynamique.

  • Lorsque vous connectez une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité, celles-ci doivent utiliser des types de piles IP identiques. Par exemple, si vous créez une passerelle VPN haute disponibilité avec le type de pile IPV4_IPV6, l'autre passerelle VPN haute disponibilité doit également être définie sur IPV4_IPV6.

  • Les VPN haute disponibilité rejettent les adresses IP Google Cloud configurées dans une ressource de passerelle VPN externe, par exemple en utilisant l'adresse IP externe d'une instance de VM en tant qu'adresse IP externe pour la ressource de passerelle VPN externe. C'est la seule topologie de VPN haute disponibilité entre les réseaux Google Cloud qui est utilisée de chaque côté, comme indiqué dans la section Créer un VPN haute disponibilité entre les réseaux Google Cloud.

  • Configurez deux tunnels VPN du point de vue de la passerelle Cloud VPN :

    • Si vous disposez de deux passerelles VPN de pairs, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à deux interfaces, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre interface sur la passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à une seule interface, vous devez connecter les deux tunnels de chaque interface de la passerelle Cloud VPN à la même interface sur la passerelle de pairs.
  • Les appareils de VPN de pairs doivent être configurés avec une redondance adéquate. Le fournisseur de l'appareil spécifie les détails d'une configuration suffisamment redondante, qui peut inclure plusieurs instances matérielles. Pour en savoir plus, reportez-vous à la documentation du fournisseur sur l'appareil du VPN de pairs.

    Si deux appareils de pairs sont requis, vous devez connecter chaque appareil à une passerelle VPN haute disponibilité différente. Si un côté appairé utilise un autre fournisseur de services cloud comme AWS, vous devez définir une redondance adéquate pour les connexions VPN du côté AWS.

  • Votre passerelle VPN de pairs doit accepter le routage dynamique (BGP).

Le schéma suivant illustre le concept de VPN haute disponibilité avec une topologie qui inclut la connexion de deux interfaces d'une passerelle VPN haute disponibilité à deux passerelles VPN de pairs. Pour accéder à des topologies de VPN haute disponibilité plus détaillées (incluant des scénarios de configuration), consultez la page Topologies Cloud VPN.

Une passerelle VPN haute disponibilité vers deux passerelles VPN de pairs.
Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)

VPN standard

Toutes les passerelles Cloud VPN créées avant le lancement des VPN haute disponibilité sont considérées comme des passerelles VPN classiques. Consultez les instructions détaillées pour savoir comment passer d'un VPN classique à un VPN haute disponibilité.

Contrairement au VPN haute disponibilité, les passerelles VPN classiques possèdent une interface unique et une seule adresse IP externe, et acceptent les tunnels qui utilisent un routage statique (basé sur des règles ou des routes). Vous pouvez également configurer le routage dynamique (BGP) pour le VPN classique, mais seulement pour les tunnels qui se connectent à un logiciel de passerelle VPN tierce s'exécutant sur des instances de VM Google Cloud.

Les passerelles VPN classiques fournissent un contrat de niveau de service garantissant une disponibilité du service de 99,9 %.

Les passerelles VPN classiques ne sont pas compatibles avec IPv6.

Pour en savoir plus sur les topologies de VPN classiques compatibles, consultez la page Topologies classiques des VPN.

Dans la documentation de l'API et dans la CLI Google Cloud, les VPN classiques sont appelés passerelles VPN cibles.

Tableau de comparaison

Le tableau suivant compare les fonctionnalités des VPN haute disponibilité avec les fonctionnalités des VPN classiques.

Caractéristique VPN haute disponibilité VPN classique
Contrat de niveau de service Fournit un contrat de niveau de service de 99,99 %, à condition qu'il soit configuré avec deux interfaces et deux adresses IP externes. Fournit un contrat de niveau de service de 99,9 %.
Création d'adresses IP externes et de règles de transfert Adresses IP externes créées à partir d'un pool : aucune règle de transfert requise. Les adresses IP externes et les règles de transfert doivent être créées.
Options de routage acceptées Routage dynamique uniquement (BGP). Routage statique (basé sur des règles ou sur des routes). Le routage dynamique n'est disponible que pour les tunnels qui se connectent à des logiciels de passerelle VPN tiers s'exécutant sur des instances de VM Google Cloud.
Deux tunnels entre une passerelle Cloud VPN et la même passerelle de pairs Compatible Incompatible
Ressources liées aux API Appelée ressource vpn-gateway. Appelée ressource target-vpn-gateway.
Trafic IPv6 Compatibilité assurée en version bêta
(configuration à double pile IPv4 et IPv6)
Incompatible

Spécifications

Cloud VPN est soumis aux spécifications ci-dessous.

  • Cloud VPN n'accepte que la connectivité VPN IPsec de site à site, sous réserve du respect des exigences répertoriées dans cette section. Il n'est pas compatible avec les scénarios de client à passerelle. En d'autres termes, Cloud VPN n'est pas adapté aux cas d'utilisation où les ordinateurs clients doivent se connecter à un VPN à l'aide d'un logiciel VPN client.

    Cloud VPN n'accepte que le protocole IPSec. Les autres technologies VPN (telles que les VPN SSL) ne sont pas compatibles.

  • Cloud VPN peut être utilisé avec des réseaux VPC et les anciens réseaux. Pour les réseaux VPC, nous vous recommandons d'utiliser les réseaux VPC en mode personnalisé afin de bénéficier d'un contrôle total sur les plages d'adresses IP utilisées par les sous-réseaux du réseau.

    • Les passerelles de VPN classique et de VPN haute disponibilité utilisent des adresses IPv4 externes (routables sur Internet). Seuls les trafics ESP, UDP 500 et UDP 4500 sont autorisés vers ces adresses. Cela s'applique aux adresses Cloud VPN configurées pour le VPN classique ou aux adresses IP attribuées automatiquement pour le VPN haute disponibilité.

    • Si les plages d'adresses IP des sous-réseaux sur site chevauchent les adresses IP utilisées par les sous-réseaux du réseau VPC, consultez la page Ordre de priorité des routes pour savoir comment résoudre les conflits liés au routage.

  • Le trafic Cloud VPN suivant reste au sein du réseau de production de Google :

    • Entre deux passerelles VPN haute disponibilité
    • Entre deux passerelles VPN classiques
    • Entre une passerelle VPN classique et l'adresse IP externe d'une VM Compute Engine faisant office de passerelle VPN
  • Cloud VPN peut être utilisé avec l'accès privé à Google pour les hôtes sur site. Pour en savoir plus, consultez la page Options d'accès privé pour les services.

  • Chaque passerelle Cloud VPN doit être connectée à une autre passerelle Cloud VPN ou à une passerelle VPN de pairs.

  • La passerelle VPN de pairs doit posséder une adresse IPv4 externe statique (routable sur Internet). Vous avez besoin de cette adresse IP pour configurer Cloud VPN.

    • Si votre passerelle VPN de pairs se situe derrière une règle de pare-feu, vous devez configurer cette dernière pour qu'elle lui transmette le trafic du protocole ESP (IPSec) et IKE (UDP 500 et UDP 4500). Si le pare-feu assure la traduction des adresses réseau (NAT), consultez la section Encapsulation du protocole UDP et mode NAT-T.
  • Cloud VPN requiert que la passerelle VPN de pairs soit configurée pour accepter la préfragmentation. Les paquets doivent être fragmentés avant d'être encapsulés.

  • Cloud VPN utilise la détection de répétition avec un intervalle de 4 096 paquets. Vous ne pouvez pas désactiver cette fonctionnalité.

  • Cloud VPN accepte le trafic GRE. Grâce à la compatibilité GRE, vous pouvez interrompre le trafic GRE sur une VM depuis Internet (adresse IP externe), et Cloud VPN ou Cloud Interconnect (adresse IP interne). Le trafic déchiffré peut alors être transmis à une destination accessible. GRE vous permet d'utiliser des services tels que SASE (Secure Access Service Edge) et SD-WAN. Vous devez créer une règle de pare-feu pour autoriser le trafic GRE.

  • Les tunnels VPN haute disponibilité acceptent l'échange de trafic IPv6, contrairement aux tunnels VPN classiques. La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Bande passante réseau

Chaque tunnel Cloud VPN peut accepter jusqu'à trois gigabits par seconde (Gbit/s) au total pour le trafic entrant et sortant.

Les métriques associées à cette limite sont Sent bytes et Received bytes, qui sont décrites dans la section Afficher les journaux et les métriques. Notez bien que les métriques sont exprimées en octets tandis que la limite de 3 Gbit/s fait référence à des bits par seconde. Une fois convertie en octets, la limite est de 375 mégaoctets par seconde (Mo/s). Lorsque vous comparez l'utilisation à la limite, utilisez la somme de Sent bytes et de Received bytes, et comparez cette valeur à la limite après conversion, soit 375 Mo/s.

Pour plus d'informations sur la création de règles d'alerte, consultez la section Définir des alertes pour la bande passante des tunnels VPN.

Pour plus d'informations sur l'utilisation de l'outil de recommandation d'utilisation du tunnel VPN, consultez la section Vérifier la surutilisation du tunnel VPN.

Facteurs ayant une incidence sur la bande passante

La bande passante réelle dépend de plusieurs facteurs :

  • La connexion réseau entre la passerelle Cloud VPN et votre passerelle de pairs :

    • Bande passante réseau entre les deux passerelles. Le débit est plus élevé si vous avez établi une relation d'appairage direct avec Google que si votre trafic VPN était envoyé via l'Internet public.

    • Délai aller-retour (DAR) et perte de paquets. Les taux élevés de DAR ou de perte de paquets réduisent considérablement les performances TCP.

  • Fonctionnalités de votre passerelle VPN de pairs. Pour en savoir plus, consultez la documentation sur votre appareil.

  • Taille des paquets. Cloud VPN utilise une unité de transmission maximale (MTU) de 1 460 octets. Les passerelles VPN de pairs doivent être configurées pour utiliser une MTU qui ne dépasse pas 1 460 octets. Comme le traitement s'effectue par paquet, pour un débit de paquets donné, un nombre important de petits paquets peut réduire le débit global. Pour tenir compte de la surcharge ESP, vous devrez peut-être définir des valeurs MTU pour les systèmes envoyant le trafic via des tunnels VPN à des valeurs inférieures à la MTU du tunnel. Pour obtenir des informations détaillées et des recommandations, consultez la page Considérations relatives aux MTU.

  • Débit de paquets. Pour les entrées et les sorties, le débit de paquets maximal recommandé pour chaque tunnel Cloud VPN est de 250 000 paquets par seconde (pps). Pour envoyer des paquets à une vitesse supérieure, vous devez créer d'autres tunnels VPN.

Lorsque vous mesurez la bande passante TCP d'un tunnel VPN, vous devez mesurer plusieurs flux TCP simultanés. Si vous utilisez l'outil iperf, utilisez le paramètre -P pour spécifier le nombre de flux simultanés.

MTU du tunnel

Cloud VPN utilise toujours un MTU de 1 460 octets. Si les VM et les réseaux de chaque côté du tunnel ont des MTU supérieures, Cloud VPN utilise le processus de limitation de la taille MSS pour réduire la valeur de la MTU TCP à 1460. Les passerelles VPN peuvent également utiliser les messages d'erreur ICMP pour activer le processus de détection de MTU de chemin (PMTUD, Path MTU Discovery), ce qui définit une MTU inférieure pour les paquets UDP.

Si des paquets UDP sont supprimés, vous pouvez réduire la MTU des VM spécifiques qui communiquent dans le tunnel. Dans le cas des VM Windows et des images fournies par l'utilisateur, le fait de définir une valeur MTU moindre est suffisant. Dans le cas d'images Linux fournies par Google, vous devez également désactiver les mises à jour de MTU DHCP pour ces VM.

Compatibilité IPv6

Cloud VPN est compatible avec le protocole IPv6 dans les VPN haute disponibilité, mais pas dans les VPN classiques.

Vous pouvez créer des passerelles et des tunnels VPN haute disponibilité qui connectent des réseaux VPC compatibles avec IPv6 à d'autres réseaux compatibles IPv6. Il peut s'agir de réseaux sur site, de réseaux multicloud ou d'autres réseaux VPC. Pour acheminer le trafic IPv6 dans vos tunnels VPN haute disponibilité, vos réseaux VPC compatibles IPv6 doivent inclure des sous-réseaux à deux piles. De plus, les sous-réseaux doivent disposer de plages IPv6 internes.

Les tunnels VPN haute disponibilité n'acceptent que le routage régional du trafic IPv6. Le routage du trafic IPv6 s'effectue au sein de la région attribuée à la passerelle VPN haute disponibilité. Le routage global du trafic IPv6 dans les tunnels VPN haute disponibilité n'est pas disponible.

Lorsque vous créez les tunnels VPN pour une passerelle VPN haute disponibilité compatible avec IPv6, vous devez également configurer le routeur Cloud Router associé pour activer l'échange de préfixes IPv6 dans les sessions BGP. Cloud Router utilise le protocole MP-BGP (Multiprotocole BGP) et annonce les préfixes IPv6 via les adresses IPv4 BGP. Pour annoncer des préfixes IPv6, les sessions BGP du routeur Cloud Router nécessitent la configuration des adresses de saut suivant IPv6. Vous pouvez configurer automatiquement ou manuellement les adresses de saut suivant IPv6 pour les sessions BGP.

Lorsque vous configurez manuellement les adresses de saut suivant IPv6, vous devez les sélectionner dans la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64. Ces plages ont été préallouées par Google. Les adresses de saut suivant IPv6 que vous spécifiez doivent être uniques parmi tous les routeurs cloud de toutes les régions d'un réseau VPC.

Si vous sélectionnez la configuration automatique, Google Cloud crée les adresses de saut suivant IPv6 à partir de la plage 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.

Bien que les sessions BGP puissent échanger des préfixes IPv6, des adresses IPv4 des pairs du routeur Cloud Router BGP et BGP doivent être attribuées automatiquement ou manuellement. Les sessions BGP uniquement IPv6 ne sont pas compatibles. Pour en savoir plus sur la compatibilité IPv6, consultez la page À propos de Cloud Router.

Compatibilité IPsec et IKE

Cloud VPN accepte IKEv1 et IKEv2 avec une clé pré-partagée IKE (secret partagé) et des algorithmes de chiffrement IKE. Cloud VPN n'accepte qu'une clé pré-partagée pour l'authentification. Lorsque vous créez le tunnel Cloud VPN, spécifiez une clé pré-partagée. Lorsque vous créez le tunnel sur la passerelle de pairs, spécifiez cette même clé pré-partagée.

Cloud VPN est compatible avec ESP en mode tunnel avec authentification, mais n'est pas compatible avec AH ou ESP en mode de transport.

Vous devez utiliser IKEv2 pour activer le trafic IPv6 dans les VPN haute disponibilité. La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Il n'applique pas de filtrage lié aux règles aux paquets d'authentification entrants. Les paquets sortants sont filtrés en fonction de la plage d'adresses IP qui est configurée sur la passerelle Cloud VPN.

Pour en savoir plus sur la création d'une clé pré-partagée sécurisée, consultez la section Générer une clé pré-partagée sécurisée. Pour les algorithmes de chiffrement et les paramètres de configuration compatibles avec Cloud VPN, consultez la section Algorithmes de chiffrement IKE compatibles.

Encapsulation du protocole UDP et mode NAT-T

Pour plus d'informations sur la configuration de votre appareil pair pour prendre en charge NAT-Traversal (NAT-T) avec Cloud VPN, consultez la section Encapsulation UDP dans la présentation avancée.

Cloud VPN en tant que réseau de transfert de données

Avant d'utiliser Cloud VPN, examinez attentivement la section 2 des conditions générales de service de Google Cloud.

À l'aide de Network Connectivity Center, vous pouvez utiliser des tunnels VPN haute disponibilité pour connecter des réseaux sur site, en transmettant du trafic entre eux comme réseau de transfert de données. Vous connectez les réseaux en associant une paire de tunnels à Network Connectivity Center pour chaque emplacement sur site. Ensuite, vous devez connecter chaque spoke à un hub de centre de connectivité réseau.

Pour en savoir plus sur le centre de connectivité réseau, consultez la section Présentation du centre de connectivité réseau.

Options de routage actif/actif et actif/passif pour le VPN haute disponibilité

Si un tunnel Cloud VPN devient indisponible, il redémarre automatiquement. En cas de défaillance complète d'un appareil VPN virtuel, Cloud VPN en instancie automatiquement un nouveau avec la même configuration. La nouvelle passerelle et le nouveau tunnel se connectent automatiquement.

Les tunnels VPN connectés à des passerelles VPN haute disponibilité doivent utiliser un routage dynamique (BGP). Selon la façon dont vous configurez les priorités de routes pour les tunnels VPN haute disponibilité, vous pouvez créer une configuration de routage actif/actif ou actif/passif. Pour ces deux configurations de routage, les deux tunnels VPN restent actifs.

Le tableau suivant compare les fonctionnalités d'une configuration de routage actif/actif ou actif/passif.

Fonctionnalité Actif/Actif Actif/Passif
Débit Le débit global effectif est le débit combiné des deux tunnels. Après réduction de deux tunnels actifs à un, le débit global effectif est réduit de moitié, ce qui peut ralentir la connexion ou entraîner la perte de paquets.
Annonce de routage

Votre passerelle de pairs annonce les routes du réseau pair avec des valeurs MED identiques pour chaque tunnel.

Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités identiques.

Le trafic de sortie envoyé à votre réseau de pairs utilise le routage ECMP (Equal Cost Multi-Path).

Le même routeur Cloud Router utilise des priorités identiques pour annoncer des routes à votre réseau VPC.

Votre passerelle de pairs utilise ECMP pour utiliser ces routes afin d'envoyer le trafic de sortie vers Google Cloud.

Votre passerelle de pairs annonce les routes du réseau pair avec différentes valeurs MED pour chaque tunnel.

Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités différentes.

Le trafic de sortie envoyé à votre réseau de pairs utilise la route ayant la priorité la plus élevée, tant que le tunnel associé est disponible.

Le même routeur Cloud Router utilise différentes priorités pour chaque tunnel pour annoncer les routes vers votre réseau VPC.

Votre passerelle de pairs ne peut utiliser le tunnel avec la priorité la plus élevée que pour envoyer du trafic vers Google Cloud.

Basculement

Si un tunnel devient indisponible, Cloud Router retire les routes dynamiques personnalisées apprises dont les sauts suivants sont le tunnel indisponible. Ce processus de retrait peut prendre jusqu'à 40 secondes, au cours desquelles une perte de paquets est attendue.

Si un tunnel devient indisponible, Cloud Router retire les routes dynamiques personnalisées apprises dont les sauts suivants sont le tunnel indisponible. Ce processus de retrait peut prendre jusqu'à 40 secondes, au cours desquelles une perte de paquets est attendue.

Utilise un tunnel à la fois, afin que le deuxième tunnel puisse gérer l'intégralité de votre bande passante de sortie en cas d'échec du premier tunnel nécessitant son basculement.

Routage actif/passif dans les topologies de réseau maillé complet

Si Cloud Router reçoit le même préfixe avec des valeurs MED différentes via une interface Cloud VPN donnée, seule la route ayant la priorité la plus élevée dans le réseau VPC est importée. Les autres routes inactives ne sont pas visibles dans Google Cloud Console ou via la CLI Google Cloud. Si la route présentant la priorité la plus élevée devient indisponible, Cloud Router la retire et importe automatiquement la meilleure route suivante dans le réseau VPC.

Utiliser plusieurs tunnels ou passerelles

En fonction de la configuration de la passerelle de pairs, il est possible de créer des routes de sorte qu'un trafic traverse un tunnel et un autre trafic traverse un autre tunnel en raison de priorités de routage (valeurs MED). De même, vous pouvez ajuster la priorité de base que Cloud Router utilise pour partager vos routes de réseau VPC. Ces situations indiquent des configurations de routage qui ne sont ni purement actives/actives, ni purement actives/passives.

Lorsque vous utilisez une seule passerelle VPN haute disponibilité, nous vous recommandons d'utiliser une configuration de routage actif/passif. Avec cette configuration, la capacité de bande passante observée au moment du fonctionnement normal du tunnel correspond à la capacité de bande passante observée lors du basculement. Ce type de configuration est plus facile à gérer, car la limite de bande passante observée reste constante, à l'exception du scénario de passerelle multiple décrit précédemment.

Lorsque vous utilisez plusieurs passerelles VPN haute disponibilité, nous vous recommandons d'utiliser une configuration de routage actif/actif. Avec cette configuration, la capacité de bande passante observée en temps de fonctionnement normal du tunnel est le double de celle de la bande passante garantie. Toutefois, dans les faits, cette configuration sous-estime les tunnels et peut entraîner une baisse du trafic en cas de basculement.

Restreindre les adresses IP d'appairage via un tunnel Cloud VPN

Si vous êtes administrateur de règles d'administration, vous pouvez créer une contrainte de règle qui limite les adresses IP que les utilisateurs peuvent spécifier pour les passerelles VPN de pairs.

La restriction s'applique à tous les tunnels Cloud VPN, qu'il s'agisse de VPN classiques ou de VPN haute disponibilité, dans un projet, un dossier ou une organisation spécifique.

Pour connaître la procédure à suivre pour restreindre les adresses IP, consultez la page Restreindre les adresses IP pour les passerelles VPN de pairs.

Visualiser et surveiller les connexions Cloud VPN

Network Topology est un outil de visualisation qui montre la topologie de vos réseaux VPC, la connectivité hybride vers et depuis vos réseaux sur site, et les métriques associées. Vous pouvez afficher vos passerelles et vos tunnels VPN Cloud en tant qu'entités dans Network Topology.

Une entité de base constitue le niveau le plus bas d'une hiérarchie particulière et représente une ressource qui peut communiquer directement avec d'autres ressources sur un réseau. Network Topology agrège les entités de base dans des entités hiérarchiques que vous pouvez développer ou réduire. Lorsque vous affichez un graphique Network Topology pour la première fois, il agrège toutes les entités de base dans leur hiérarchie de premier niveau.

Par exemple, Network Topology agrège les tunnels VPN dans leur connexion de passerelle VPN. Vous pouvez afficher la hiérarchie en développant ou en réduisant les icônes de passerelle VPN.

Pour plus d'informations, consultez la page Présentation de Network Topology.

Maintenance et disponibilité

Cloud VPN fait l'objet d'une maintenance périodique. Pendant la maintenance, les tunnels Cloud VPN sont désactivés, ce qui entraîne de courtes baisses du trafic réseau. Une fois la maintenance terminée, les tunnels Cloud VPN sont automatiquement rétablis.

La maintenance de Cloud VPN est une tâche opérationnelle normale pouvant survenir à tout moment sans préavis. Les périodes de maintenance sont suffisamment courtes pour que le contrat de niveau de service Cloud VPN ne soit pas affecté.

Le VPN haute disponibilité est la méthode recommandée pour configurer des VPN haute disponibilité. Pour en savoir plus sur les options de configuration, consultez la page Topologies des VPN haute disponibilité. Si vous utilisez le VPN classique pour les options de redondance et de haut débit, consultez la page Topologies des VPN classiques.

Bonnes pratiques

Pour créer efficacement un Cloud VPN, suivez ces bonnes pratiques.

Étape suivante

  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.

  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.