Présentation de Cloud VPN

Cette page décrit les concepts liés à Google Cloud VPN.

Cloud VPN connecte en toute sécurité votre réseau pair à votre réseau cloud privé virtuel (VPC, Virtual Private Cloud) via une connexion VPN Ipsec. Le trafic circulant entre les deux réseaux est chiffré par une passerelle VPN, puis déchiffré par l'autre passerelle VPN. Ce procédé protège les données lors des transferts via Internet. Vous pouvez également connecter deux instances de Cloud VPN entre elles.

Pour connaître la définition des termes utilisés dans la documentation Cloud VPN, consultez la section Termes clés.

Choisir une solution de mise en réseau hybride

Pour déterminer s'il convient d'utiliser Cloud VPN, l'interconnexion dédiée, l'interconnexion partenaire ou Cloud Router comme connexion réseau hybride à Google Cloud, consultez la page Choisir un produit de connectivité réseau.

Types de Cloud VPN

Google Cloud propose deux types de passerelles Cloud VPN : les passerelles VPN haute disponibilité et les passerelles VPN classiques.

Pour savoir comment migrer vers un VPN haute disponibilité, consultez la page Passer d'un VPN classique à un VPN haute disponibilité.

VPN haute disponibilité

Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter en toute sécurité votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec située dans une seule région. Les VPN haute disponibilité garantissent un taux de disponibilité de 99,99 %.

Lorsque vous créez une passerelle VPN haute disponibilité, Google Cloud choisit automatiquement deux adresses IP externes correspondant à chacune de ses deux interfaces (nombre fixe). Chaque adresse IP est automatiquement sélectionnée parmi un pool d'adresses unique afin de garantir une disponibilité élevée. Chacune des interfaces de passerelle VPN haute disponibilité accepte plusieurs tunnels. Vous pouvez également créer plusieurs passerelles VPN haute disponibilité. Lorsque vous supprimez la passerelle VPN haute disponibilité, Google Cloud libère les adresses IP afin de les réutiliser. Une seule interface active et une seule adresse IP publique suffisent pour configurer une passerelle VPN haute disponibilité. Toutefois, cette configuration ne remplit pas le contrat de niveau de service de 99,99 % de disponibilité.

Dans la documentation de l'API et dans les commandes gcloud, les passerelles VPN haute disponibilité sont appelées passerelles VPN, plutôt que passerelles VPN cibles. Vous n'avez pas à créer de règles de transfert pour les passerelles VPN haute disponibilité.

Les VPN haute disponibilité utilisent une ressource de passerelle VPN externe disponible dans Google Cloud pour fournir à celui-ci des informations sur votre ou vos passerelles VPN de pairs.

Configuration requise pour les VPN haute disponibilité

Pour atteindre un niveau de service disponible à 99,99 % pour les VPN haute disponibilité, votre configuration Cloud VPN doit répondre aux exigences suivantes :

  • Lorsque vous connectez une passerelle VPN haute disponibilité à votre passerelle homologue, la disponibilité à 99,99 % n'est garantie que du côté Google Cloud de la connexion. La disponibilité de bout en bout est soumise à une configuration appropriée de la passerelle VPN de pairs.

  • Une disponibilité de 99,99 % de bout en bout est garantie si les deux côtés sont des passerelles Google Cloud correctement configurées.

  • Pour garantir une disponibilité élevée lorsque les deux passerelles VPN sont situées dans des réseaux VPC, vous devez utiliser deux passerelles VPN haute disponibilité situées dans la même région.

    Bien que les deux passerelles doivent être situées dans la même région, les routes dirigées vers leurs sous-réseaux peuvent être situées dans n'importe quelle région, à la condition que votre réseau de cloud privé virtuel utilise le mode de routage dynamique global. Si votre réseau VPC utilise le mode de routage dynamique régional, seuls les routages vers les sous-réseaux sont partagés avec le réseau de pairs. Les routes apprises ne s'appliquent qu'aux sous-réseaux situés dans la même région que le tunnel VPN.

    Pour plus d'informations sur le mode de routage dynamique, consultez la présentation du réseau VPC.

  • Les VPN haute disponibilité rejettent les adresses IP Google Cloud configurées dans une ressource de passerelle VPN externe, par exemple lorsque l'adresse IP externe d'une instance de VM fait office d'adresse IP externe pour la ressource de passerelle VPN externe. Seule une topologie de VPN haute disponibilité "de Google Cloud vers Google Cloud" est acceptée : les deux côtés du réseau doivent disposer d'un VPN haute disponibilité, comme indiqué dans la section Créer des passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud.

  • Vous devez configurer deux tunnels VPN du point de vue de la passerelle Cloud VPN :

    • Si vous disposez de deux passerelles VPN de pairs, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à deux interfaces, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre interface sur la passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à une seule interface, vous devez connecter les deux tunnels de chaque interface de la passerelle Cloud VPN à la même interface sur la passerelle de pairs.
  • Les appareils de VPN de pairs doivent être configurés avec une redondance adéquate. Le fournisseur de l'appareil spécifie les critères d'une configuration suffisamment redondante, qui peut éventuellement nécessiter plusieurs instances matérielles. Pour en savoir plus, reportez-vous à la documentation du fournisseur sur l'appareil du VPN de pairs.

    Si deux appareils de pairs sont requis, vous devez connecter chaque appareil à une passerelle VPN haute disponibilité différente. Si un côté appairé utilise un autre fournisseur de services cloud comme AWS, vous devez définir une redondance adéquate pour les connexions VPN du côté AWS.

  • Votre passerelle VPN de pairs doit accepter le routage dynamique (BGP).

Le schéma suivant illustre le concept de VPN haute disponibilité avec une topologie qui inclut la connexion de deux interfaces d'une passerelle VPN haute disponibilité à deux passerelles VPN de pairs. Pour accéder à des topologies de VPN haute disponibilité plus détaillées (incluant des scénarios de configuration), consultez la page Topologies Cloud VPN.

Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)
Graphique représentant une passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir)

VPN classique

Contrairement aux passerelles VPN haute disponibilité, les passerelles VPN classiques présentent une seule interface et une seule adresse IP externe. Elles acceptent les tunnels qui utilisent le routage dynamique (BGP) ou statique (basé sur des routes ou sur des règles). Leur contrat de niveau de service garantit une disponibilité de 99,9 %.

Pour en savoir plus sur les topologies de VPN classiques compatibles, consultez la page Topologies classiques des VPN.

Dans la documentation de l'API et dans les commandes gcloud, les VPN classiques sont appelés passerelles VPN cibles.

Tableau de comparaison

Le tableau suivant compare les fonctionnalités des VPN haute disponibilité avec celles des VPN classiques.

Fonctionnalité VPN haute disponibilité VPN classique
Contrat de niveau de service Fournit un contrat de niveau de service de 99,99 %, à la condition qu'il soit configuré avec deux interfaces et deux adresses IP externes Fournit un contrat de niveau de service de 99,9 %
Création d'adresses IP externes et de règles de transfert Adresses IP externes créées à partir d'un pool. Aucune règle de transfert requise Les adresses IP externes et les règles de transfert doivent être créées
Options de routage acceptées Routage dynamique uniquement Routage statique basé sur des règles ou sur des routes, ou routage dynamique utilisant BGP
Deux tunnels entre une passerelle Cloud VPN et la même passerelle de pairs Compatible Incompatible
Ressources liées aux API Appelées "ressources vpn-gateway" Appelées "ressources target-vpn-gateway"

Spécifications

Cloud VPN est soumis aux spécifications ci-dessous.

  • Cloud VPN n'accepte que la connectivité VPN IPsec de site à site, sous réserve du respect des exigences répertoriées dans cette section. Il n'est pas compatible avec les scénarios de client à passerelle (de type nomade). En d'autres termes, Cloud VPN n'est pas adapté aux cas d'utilisation où les ordinateurs clients doivent se connecter à un VPN à l'aide d'un logiciel VPN client.

    Cloud VPN n'accepte que le protocole IPSec. Les autres technologies VPN (telles que les VPN SSL) ne sont pas compatibles.

  • Cloud VPN peut être utilisé avec des réseaux VPC et des anciens réseaux. Pour le VPC, le mode personnalisé est recommandé afin de disposer d'un contrôle total sur les plages d'adresses IP utilisées par les sous-réseaux du réseau. Pour plus d'informations, consultez la documentation relative aux réseaux VPC en général, aux anciens réseaux et aux réseaux en mode personnalisé.

    • Les passerelles de VPN classique et de VPN haute disponibilité utilisent des adresses IPv4 externes (routables sur Internet). Seuls les trafics ESP, UDP 500 et UDP 4500 sont autorisés vers ces adresses. Cela s'applique aux adresses Cloud VPN configurées pour le VPN classique ou aux adresses attribuées automatiquement pour le VPN haute disponibilité.

    • Si les plages d'adresses IP des sous-réseaux sur site chevauchent les adresses IP utilisées par les sous-réseaux du réseau VPC, consultez la page Ordre de priorité des routes pour savoir comment résoudre les conflits liés au routage.

  • Le trafic Cloud VPN suivant reste au sein du réseau de production de Google :

    • Entre deux passerelles VPN haute disponibilité
    • Entre deux passerelles VPN classiques
    • Entre une passerelle VPN classique et l'adresse IP externe d'une VM Compute Engine faisant office de passerelle VPN
  • Cloud VPN peut être utilisé conjointement avec un accès privé à Google pour les hôtes sur site. Pour plus d'informations, consultez la section Options d'accès privé à Google.

  • Chaque passerelle Cloud VPN doit être connectée à une autre passerelle Cloud VPN ou à une passerelle VPN de pairs.

  • La passerelle VPN de pairs doit posséder une adresse IPv4 externe statique (routable sur Internet). Pour configurer le Cloud VPN, vous devez connaître son adresse IP.

    • Si votre passerelle VPN de pairs se situe derrière un pare-feu, vous devez configurer ce dernier pour qu'il lui transmette le trafic du protocole ESP (IPSec) et IKE (UDP 500 et UDP 4500). Si le pare-feu assure la traduction des adresses réseau (NAT), consultez la section Encapsulation du protocole UDP et mode NAT-T.
  • Cloud VPN requiert que la passerelle VPN de pairs soit configurée pour accepter la préfragmentation. Les paquets doivent être fragmentés avant d'être encapsulés.

  • Cloud VPN utilise la détection de répétition avec un intervalle de 4 096 paquets. Vous ne pouvez pas désactiver cette fonctionnalité.

Bande passante réseau

Chaque tunnel Cloud VPN peut accepter jusqu'à trois gigabits par seconde (Gbit/s) au total pour le trafic entrant et sortant.

Les métriques associées à cette limite sont Sent bytes et Received bytes, qui sont décrites dans la section Métriques de surveillance de Cloud VPN. Notez bien que les métriques sont exprimées en octets tandis que la limite de 3 Gbit/s fait référence à des bits par seconde. Une fois convertie en octets, la limite est de 375 mégaoctets par seconde (Mo/s). Lorsque vous comparez l'utilisation à la limite, utilisez la somme de Sent bytes et de Received bytes, et comparez cette valeur à la limite après conversion, soit 375 Mo/s.

Pour plus d'informations sur la création de règles d'alerte, consultez la section Définir des alertes pour la bande passante des tunnels VPN.

Facteurs ayant une incidence sur la bande passante

La bande passante réelle dépend de plusieurs facteurs :

  • La connexion réseau entre la passerelle Cloud VPN et votre passerelle de pairs :
    • Bande passante réseau entre les deux passerelles. Le débit est plus élevé si vous avez établi une relation d'appairage direct avec Google que si votre trafic VPN était envoyé via Internet public.
    • Délai aller-retour (DAR) et perte de paquets. Les taux élevés de DAR et/ou de perte de paquets réduisent considérablement les performances TCP.
  • Fonctionnalités de votre passerelle VPN de pairs. Pour en savoir plus, consultez la documentation concernant ce dernier.
  • Taille des paquets. Cloud VPN utilise une unité de transmission maximale (MTU) de 1 460 octets. Les passerelles VPN de pairs doivent être configurées pour utiliser une MTU qui ne dépasse pas 1 460 octets. Comme le traitement s'effectue par paquet, pour un débit de paquets donné, un nombre important de petits paquets peut réduire le débit global. Pour tenir compte de la surcharge ESP, vous devrez peut-être définir des valeurs MTU pour les systèmes envoyant le trafic via des tunnels VPN à des valeurs inférieures à la MTU du tunnel. Consultez les considérations relatives aux MTU pour obtenir des informations détaillées et des recommandations.
  • Débit de paquets. Pour les entrées et les sorties, le débit de paquets maximal recommandé pour chaque tunnel Cloud VPN est de 250 000 paquets par seconde (pps). Pour envoyer des paquets à une vitesse supérieure, vous devez créer d'autres tunnels VPN.

Lorsque vous mesurez la bande passante TCP d'un tunnel VPN, vous devez mesurer plusieurs flux TCP simultanés. Si vous utilisez l'outil iperf, utilisez le paramètre -P pour spécifier le nombre de flux simultanés.

MTU du tunnel

Cloud VPN utilise toujours une MTU de 1460. Si les VM et les réseaux de chaque côté du tunnel ont des MTU supérieures, Cloud VPN utilise le processus de limitation de la taille MSS pour réduire la valeur de la MTU TCP à 1460. Les passerelles VPN peuvent également utiliser les messages d'erreur ICMP pour activer le processus de détection de MTU de chemin (PMTUD, Path MTU Discovery), ce qui définit également une MTU inférieure pour les paquets UDP.

Si des paquets UDP sont supprimés, vous pouvez réduire la MTU des VM spécifiques qui communiquent dans le tunnel. Dans le cas des VM Windows Google Cloud et des images fournies par l'utilisateur, le fait de définir une valeur MTU moindre est suffisant. Dans le cas d'images Linux fournies par Google, vous devez également désactiver les mises à jour de MTU DHCP pour ces VM.

Compatibilité IPsec et IKE

Notez qu'il n'applique pas de filtrage lié aux règles aux paquets d'authentification entrants. Les paquets sortants sont filtrés en fonction de la plage d'adresses IP qui est configurée sur la passerelle Cloud VPN.

Encapsulation du protocole UDP et mode NAT-T

Pour plus d'informations sur la configuration de votre dispositif pair pour accepter NAT-T avec Cloud VPN, consultez la section UDP et NAT-T dans la présentation avancée.

Cloud VPN en tant que réseau de transit

Avant d'utiliser Cloud VPN, examinez attentivement les conditions d'utilisation spécifiques aux services Google Cloud.

N'utilisez pas les tunnels Cloud VPN pour connecter deux ou plusieurs réseaux sur site dans le seul but de transmettre le trafic via un réseau VPC en tant que réseau de transit. Les configurations de réseau en étoile telles que celles-ci constituent une violation des conditions d'utilisation spécifiques aux services Google Cloud.

Options de routage actif/actif et actif/passif pour le VPN haute disponibilité

Si un tunnel Cloud VPN devient indisponible, il redémarre automatiquement. En cas de défaillance complète d'un appareil VPN virtuel, Cloud VPN en instancie automatiquement un nouveau avec la même configuration. La nouvelle passerelle et le nouveau tunnel se connectent automatiquement.

Les tunnels VPN connectés à des passerelles VPN haute disponibilité doivent utiliser un routage dynamique (BGP). Selon la façon dont vous configurez les priorités de routes pour les tunnels VPN haute disponibilité, vous pouvez créer une configuration de routage actif/actif ou actif/passif. Pour ces deux configurations de routage, les deux tunnels VPN restent actifs.

Le tableau suivant compare les fonctionnalités d'une configuration de routage actif/actif ou actif/passif.

Fonctionnalité Actif/Actif Actif/Passif
Débit Le débit global effectif est le débit combiné des deux tunnels. Après réduction de deux tunnels actifs à un, le débit global effectif est réduit de moitié, ce qui peut ralentir la connexion ou entraîner la perte de paquets.
Annonce de routage Votre passerelle de pairs annonce les routes du réseau pair avec des valeurs MED identiques pour chaque tunnel. Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités identiques.

Le trafic de sortie envoyé à votre réseau pair utilise le routage ECMP (Equal Cost Multi-Path). Le même routeur Cloud annonce également des routes vers votre réseau VPC à l'aide de priorités identiques. Votre passerelle de pairs peut utiliser ces routes pour envoyer le trafic de sortie vers Google Cloud à l'aide d'ECMP.
Votre passerelle de pairs annonce les routes du réseau pair avec différentes valeurs MED pour chaque tunnel. Le routeur Cloud qui gère les tunnels Cloud VPN les importe en tant que routes dynamiques personnalisées dans votre réseau VPC avec des priorités différentes.

Le trafic de sortie envoyé à votre réseau pair utilise la route ayant la priorité la plus élevée, tant que le tunnel associé est disponible. Le même routeur cloud annonce également des routes vers votre réseau VPC en utilisant des priorités différentes pour chaque tunnel. Votre passerelle de pairs ne peut envoyer du trafic vers Google Cloud qu'en utilisant le tunnel avec la priorité la plus élevée.
Basculement Si un tunnel devient indisponible, Cloud Router retire les routes dynamiques personnalisées apprises dont les sauts suivants sont le tunnel indisponible. Ce processus de retrait peut prendre jusqu'à 40 secondes, au cours desquelles une perte de paquets est attendue. Utilise un tunnel à la fois, afin que le deuxième tunnel puisse gérer l'intégralité de votre bande passante de sortie en cas d'échec du premier tunnel nécessitant son basculement.

Si un tunnel devient indisponible, Cloud Router retire les routes dynamiques personnalisées apprises dont les sauts suivants sont le tunnel indisponible. Ce processus de retrait peut prendre jusqu'à 40 secondes, au cours desquelles une perte de paquets est attendue.

Routage actif/passif dans les topologies de réseau maillé complet

Si Cloud Router reçoit le même préfixe avec des valeurs MED différentes via une interface Cloud VPN donnée, seule la route ayant la priorité la plus élevée dans le réseau VPC est importée. Les autres routes inactives ne sont pas visibles dans Google Cloud Console ou via l'outil de ligne de commande gcloud. Si la route présentant la priorité la plus élevée devient indisponible, Cloud Router la retire et importe automatiquement la meilleure route suivante dans le réseau VPC.

Utiliser plusieurs tunnels ou passerelles

En fonction de la configuration de la passerelle de pairs, il est possible de créer des routes de sorte qu'un trafic emprunte un tunnel et que d'autres empruntent un autre tunnel à cause des priorités des routes (valeurs MED). De même, vous pouvez ajuster la priorité de base que Cloud Router utilise pour partager vos routes de réseau VPC. Ces situations indiquent des configurations de routage qui ne sont ni purement actives/actives, ni purement actives/passives.

Lorsque vous utilisez une seule passerelle VPN haute disponibilité, nous vous recommandons d'utiliser une configuration de routage actif/passif. Avec cette configuration, la capacité de bande passante observée au moment du fonctionnement normal du tunnel correspond à la capacité de bande passante observée lors du basculement. Ce type de configuration est plus facile à gérer, car la limite de bande passante observée reste constante, à l'exception du scénario de passerelle multiple décrit précédemment.

Lorsque vous utilisez plusieurs passerelles VPN haute disponibilité, une configuration active/active est recommandée. Avec cette configuration, la capacité de bande passante observée en temps de fonctionnement normal est le double de celle de la bande passante garantie. Toutefois, dans les faits, cette configuration sous-estime les tunnels et peut entraîner une baisse du trafic en cas de basculement.

Restreindre les adresses IP d'appairage via un tunnel Cloud VPN

Si vous êtes administrateur de règles d'administration, vous pouvez créer une contrainte de règle d'administration pour définir un ensemble d'adresses IP d'appairage qu'un utilisateur est autorisé à spécifier lors de la création de tunnels Cloud VPN dans un projet, un dossier ou une organisation spécifique.

Les adresses IP de la passerelle de pairs peuvent être les adresses IP de passerelles sur site ou d'autres passerelles Cloud VPN.

Utilisez la contrainte Resource Manager constraints/compute.restrictVpnPeerIPs pour contrôler la liste des adresses IP d'appairage que les utilisateurs peuvent spécifier lors de la création de tunnels Cloud VPN.

Dans l'exemple suivant, un administrateur de règles d'administration crée une contrainte de règle d'administration qui définit l'adresse IP autorisée pour la passerelle VPN de pairs. Cette contrainte présente une liste allowList constituée uniquement de l'adresse IP 100.1.1.1.

Les administrateurs réseau du projet contenant le réseau VPC network-a ne peuvent créer que des tunnels Cloud VPN qui se connectent à l'adresse IP 100.1.1.1 de la passerelle de pairs. La contrainte empêche la création de nouveaux tunnels Cloud VPN vers une autre adresse IP de la passerelle de pairs.

Règle d'administration permettant de restreindre les pairs VPN (cliquez pour agrandir)
Règle d'administration permettant de restreindre les pairs VPN (cliquez pour agrandir)

Pour connaître la procédure à suivre pour restreindre les adresses IP, consultez les pages suivantes :

Remarques

  • La contrainte de règle d'administration qui limite les adresses IP de la passerelle de pairs ne s'applique qu'aux nouveaux tunnels Cloud VPN. Les tunnels Cloud VPN créés après l'application de la contrainte sont interdits par la contrainte. Pour en savoir plus, consultez la page Comprendre la hiérarchie de Resource Manager.

  • Vous pouvez appliquer cette contrainte aux tunnels VPN classiques qui utilisent le routage statique ou dynamique avec BGP, ou aux tunnels VPN haute disponibilité.

  • Vous pouvez spécifier plusieurs entrées allowedList ou deniedList dans une règle donnée, mais vous ne pouvez pas les utiliser en même temps.

  • Vous-même ou un administrateur réseau disposant des autorisations appropriées devez assurer la gestion et la maintenance du cycle de vie et de l'intégrité de vos tunnels VPN.

Maintenance et disponibilité

Cloud VPN fait l'objet d'une maintenance périodique. Pendant la maintenance, les tunnels Cloud VPN sont désactivés, ce qui entraîne de courtes baisses du trafic réseau. Une fois la maintenance terminée, les tunnels Cloud VPN sont automatiquement rétablis.

La maintenance de Cloud VPN est une tâche opérationnelle normale pouvant survenir à tout moment sans préavis. Les périodes de maintenance sont suffisamment courtes pour que le contrat de niveau de service Cloud VPN ne soit pas affecté.

Le VPN haute disponibilité est la méthode recommandée pour configurer des VPN à disponibilité élevée. Pour en savoir plus sur les options de configuration, consultez la page Topologies des VPN haute disponibilité. Si vous utilisez le VPN classique pour les options de redondance et de haut débit, consultez la page Topologies des VPN classiques.

Bonnes pratiques

Utilisez ces bonnes pratiques pour créer votre réseau Cloud VPN le plus efficacement possible.

Étapes suivantes