In questa pagina vengono descritti i concetti relativi a Google Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta i Termini chiave.
Cloud VPN connette in sicurezza la rete peer alla tua rete Virtual Private Cloud (VPC) attraverso una connessione IPsec VPN. Il traffico tra le due reti è criptato da un gateway VPN e poi viene decriptato dall'altro gateway VPN. Questa azione protegge i tuoi dati mentre viaggiano su Internet. Puoi anche connettere tra loro due istanze di Cloud VPN.
Scelta di una soluzione di networking ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o il router Cloud come connessione di rete ibrida a Google Cloud, consulta Scelta di un prodotto per la connettività di rete.
Provalo
Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamenteSe vuoi criptare la crittografia IPsec e una connessione che non attraversa la rete Internet pubblica, puoi eseguire il deployment di VPN ad alta disponibilità su Cloud Interconnect.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN: VPN ad alta disponibilità e VPN classica. ma alcune funzionalità VPN classica sono deprecate. Per ulteriori informazioni, consulta la pagina relativa al ritiro parziale della versione classica di VPN.
Per informazioni sul passaggio alla VPN ad alta disponibilità, consulta Passare alla VPN ad alta disponibilità.
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec in una singola area geografica. La VPN ad alta disponibilità offre uno SLA con una disponibilità del servizio del 99,99%.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ognuna delle due interfacce di cui dispone il gateway. Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce dei gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP per il riutilizzo. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA con disponibilità del servizio del 99,99% .
Un'opzione per l'utilizzo della VPN ad alta disponibilità è il deployment di VPN ad alta disponibilità su Cloud Interconnect. La VPN ad alta disponibilità su Cloud Interconnect offre il vantaggio della crittografia IPsec che puoi ottenere da Cloud VPN, eseguendo al contempo il deployment della maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il tuo traffico di rete non è mai necessario per navigare sulla rete Internet pubblica. L'aggiunta di crittografia IPsec al traffico di Cloud Interconnect è importante per soddisfare la crittografia dei dati e altre esigenze di conformità, soprattutto se devi connetterti a un provider di servizi di terze parti, che è un requisito di Partner Interconnect.
Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità
sono indicati come gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire a Google Cloud informazioni sul gateway VPN peer o sui gateway.
Requisiti della VPN ad alta disponibilità
La tua configurazione di Cloud VPN deve soddisfare i seguenti requisiti per ottenere una disponibilità del livello di servizio del 99,99% per la VPN ad alta disponibilità:
Quando connetti un gateway VPN ad alta disponibilità al gateway peer, la disponibilità del 99,99% è garantita solo sul lato Google Cloud della connessione. La disponibilità end-to-end è soggetta alla corretta configurazione del gateway VPN peer.
Se entrambi i lati sono gateway Google Cloud e sono configurati correttamente, la disponibilità end-to-end del 99,99% è garantita.
Per ottenere un'alta disponibilità quando entrambi i gateway VPN si trovano in reti VPC, devi utilizzare due gateway VPN ad alta disponibilità ed entrambi devono trovarsi nella stessa regione.
Anche se entrambi i gateway devono trovarsi nella stessa regione, se la rete VPC utilizza la modalità di routing dinamico globale, le route verso le subnet che i gateway condividono tra loro possono trovarsi in qualsiasi regione. Se la rete VPC utilizza la modalità di routing dinamico a livello di area geografica, solo le route che rimandano alle subnet nella stessa area geografica vengono condivise con la rete peer. Le route apprese vengono applicate solo alle subnet nella stessa regione del tunnel VPN.
Per maggiori informazioni, consulta Modalità di routing dinamica.
Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.La VPN ad alta disponibilità rifiuta gli indirizzi IP Google Cloud quando sono configurati in una risorsa gateway VPN esterno, ad esempio l'indirizzo IP esterno di un'istanza VM come indirizzo IP esterno per la risorsa gateway VPN esterno. L'unica topologia VPN ad alta disponibilità supportata tra le reti Google Cloud è quella che utilizza la VPN ad alta disponibilità su entrambi i lati, come documentato in Creare una VPN ad alta disponibilità tra le reti Google Cloud.
Configurare due tunnel VPN dal punto di vista del gateway Cloud VPN:
- Se hai due dispositivi gateway VPN peer, ogni tunnel da ogni interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascuno dei tunnel da ogni interfaccia sul gateway Cloud VPN deve essere collegato alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con una singola interfaccia, entrambi i tunnel da ogni interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione sufficientemente ridondante, che potrebbe includere più istanze hardware. Per i dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.
Se sono richiesti due dispositivi peer, ogni dispositivo peer deve essere connesso a un'interfaccia gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro provider cloud come AWS, anche le connessioni VPN devono essere configurate con ridondanza adeguata sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il routing dinamico (BGP).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, con una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per ulteriori topologie VPN ad alta disponibilità (scenari di configurazione), consulta le topologie Cloud VPN.
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway VPN classici. Per passare dalla VPN classica alla VPN ad alta disponibilità, consulta le istruzioni dettagliate.
A differenza della VPN ad alta disponibilità, i gateway della VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono a software di gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud.
I gateway VPN classici forniscono uno SLA con una disponibilità del servizio del 99,9%.
I gateway della VPN classica non supportano IPv6.
Per le topologie VPN classiche supportate, consulta la pagina delle topologie VPN classica.
Le VPN classiche sono indicate come gateway VPN di destinazione nella documentazione dell'API e in Google Cloud CLI.
Tabella comparativa
La seguente tabella mette a confronto le funzionalità VPN ad alta disponibilità con le funzionalità VPN classiche.
| Funzionalità | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Offre uno SLA del 99,99% quando configurato con due interfacce e due indirizzi IP esterni. | Offre uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di forwarding | Indirizzi IP esterni creati da un pool; non sono richieste regole di forwarding. | È necessario creare indirizzi IP esterni e regole di forwarding. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri, route). Il routing dinamico è supportato solo per i tunnel che si connettono a software di gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Funzionalità non supportata |
| Risorse API | Nota come risorsa vpn-gateway. |
Nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportato (configurazione IPv4 e IPv6 a doppio stack) | Funzionalità non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetta ai requisiti elencati in questa sezione. Non supporta gli scenari client-to-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di "connettersi via telefono" a una VPN utilizzando un software VPN client.
Cloud VPN supporta solo IPsec. Le altre tecnologie VPN (come la VPN SSL) non sono supportate.
Cloud VPN può essere utilizzato con le reti VPC e le reti legacy. Per le reti VPC, ti consigliamo di utilizzare le reti VPC in modalità personalizzata in modo da avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.
I gateway VPN classici e VPN ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili da Internet). A questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi Cloud VPN configurati da te per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella rete VPC, per determinare come vengono risolti i conflitti di routing, consulta Ordine delle route.
Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classici
- Tra un gateway VPN classico e l'indirizzo IP esterno di una VM di Compute Engine che funge da gateway VPN.
Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.
Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.
Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile su Internet). Questo indirizzo IP è necessario per configurare Cloud VPN.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurarla per trasmettere il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce una Network Address Translation (NAT), vedi Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato per supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento delle repliche con una finestra di 4096 pacchetti, Non puoi disattivare questa impostazione.
Cloud VPN supporta il traffico GRE. Il supporto per GRE ti consente di terminare il traffico GRE su una VM da Internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico incapsulato può essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi quali Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, a differenza dei tunnel VPN classici.
Larghezza di banda della rete
Ogni tunnel Cloud VPN può supportare fino a 3 gigabit al secondo (Gbps) per la somma del traffico in entrata e in uscita.
Le metriche relative a questo limite sono le Sent bytes e i Received bytes, descritte in Visualizzare log e metriche.
Tieni presente che l'unità per le metriche è byte, mentre il limite di 3 Gbps si riferisce ai bit al secondo. Quando vengono convertiti in byte, il limite è di 375 megabyte al secondo (MBps). Quando misuri l'utilizzo rispetto al limite, utilizza la somma di
Sent bytes e Received bytes rispetto al limite convertito di 375 MBps.
Per informazioni su come creare criteri di avviso, consulta Definire gli avvisi per la larghezza di banda del tunnel VPN.
Per informazioni sull'utilizzo del motore per suggerimenti sull'utilizzo del tunnel VPN, consulta Verificare l'utilizzo eccessivo del tunnel VPN.
Fattori che influiscono sulla larghezza di banda
La larghezza di banda effettiva dipende da diversi fattori:
La connessione di rete tra il gateway Cloud VPN e il gateway peer:
Larghezza di banda di rete tra i due gateway. Se hai instaurato una relazione di peering diretto con Google, la velocità effettiva è superiore a quella se il traffico VPN viene inviato sulla rete Internet pubblica.
Tempo di round trip (RTT) e perdita di pacchetti. I tassi di perdita di pacchetti o RTT elevati riducono notevolmente le prestazioni TCP.
Funzionalità del gateway VPN peer. Per ulteriori informazioni, consulta la documentazione del dispositivo.
Dimensioni pacchetto. Cloud VPN utilizza un'unità massima di trasmissione (MTU) di 1460 byte. I gateway VPN peer devono essere configurati per utilizzare una MTU non superiore a 1460 byte. Poiché l'elaborazione avviene in base al pacchetto, per una determinata frequenza di pacchetti, un numero significativo di pacchetti più piccoli può ridurre la velocità effettiva complessiva. Per tenere conto dell'overhead ESP, potrebbe essere necessario impostare anche i valori MTU per i sistemi che inviano traffico attraverso i tunnel VPN a valori inferiori alla MTU del tunnel. Per una discussione dettagliata e consigli, consulta Considerazioni sulla MTU.
Tariffa pacchetto. Per la quantità di pacchetti in entrata e in uscita, la frequenza massima consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se utilizzi lo strumento iperf, utilizza il parametro -P per specificare il numero di flussi simultanei.
MTU tunnel
Cloud VPN utilizza sempre una MTU di 1460 byte. Se le VM e le reti su entrambi i lati del tunnel hanno MTU più elevate, Cloud VPN utilizza il blocco MSS per ridurre l'impostazione MTU TCP a 1460. I gateway VPN possono anche utilizzare i messaggi di errore ICMP per attivare il rilevamento della MTU del percorso (PMTUD), impostando così una MTU inferiore per i pacchetti UDP.
Se i pacchetti UDP vengono eliminati, puoi ridurre la MTU delle VM specifiche che comunicano attraverso il tunnel. Per le VM Windows e le immagini fornite dall'utente, è sufficiente impostare una MTU più bassa. Per le immagini Linux fornite da Google, devi anche disattivare gli aggiornamenti dell'MTU DHCP per queste VM.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.
Puoi creare tunnel e gateway VPN ad alta disponibilità che connettono le reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste possono essere reti on-premise, multi-cloud o altre reti VPC. Per trasferire il traffico IPv6 nei tunnel VPN ad alta disponibilità, le reti VPC abilitate per IPv6 devono includere subnet a doppio stack. Inoltre, alle subnet devono essere assegnati intervalli IPv6 interni.
Quando crei tunnel VPN per un gateway VPN ad alta disponibilità abilitato per IPv6, devi anche configurare il router Cloud associato per abilitare lo scambio del prefisso IPv6 nelle sessioni BGP. Il router Cloud utilizza BGP multiprotocollo (MP-BGP) e pubblicizza i prefissi IPv6 sugli indirizzi IPv4 BGP. Per pubblicizzare i prefissi IPv6, le sessioni BGP sul router Cloud richiedono la configurazione degli indirizzi hop successivi IPv6. Puoi configurare gli indirizzi dell'hop successivo IPv6 per le sessioni BGP manualmente o manualmente.
Quando configuri manualmente gli indirizzi IPv6 dell'hop successivo, devi selezionarli
dall'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64. Questi intervalli sono stati preallocati da Google. Gli indirizzi dell'hop successivo IPv6 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.
Se selezioni la configurazione automatica, Google Cloud crea automaticamente gli indirizzi dell'hop successivo IPv6 nell'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64.
Anche se le sessioni BGP possono scambiare i prefissi IPv6, ai peer BGP e alle peer BGP devono essere assegnati indirizzi IPv4, automaticamente o manualmente. Le sessioni BGP solo IPv6 non sono supportate. Per maggiori dettagli sul supporto IPv6, consulta Informazioni sul router Cloud.
Supporto di IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave precondivisa IKE (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel al gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue filtri relativi ai criteri sui pacchetti di autenticazione in arrivo. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.
Per le linee guida per la creazione di una chiave precondivisa efficace, consulta la pagina Generare una chiave precondivisa efficace. Per crittografie e parametri di configurazione supportati da Cloud VPN, consulta Cifrari IKE supportati.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il tuo dispositivo peer per supportare il NAT-Traversal (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella panoramica avanzata.
Cloud VPN come rete di trasferimento dati
Prima di utilizzare Cloud VPN, leggi con attenzione la sezione 2 dei Termini di servizio generali per Google Cloud.
Con Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere reti on-premise, passando il traffico come rete di trasferimento di dati. Per connettere le reti, colleghi una coppia di tunnel a un Network Connectivity Center per ogni località on-premise. Quindi, connetti ciascun spoke a un hub di Network Connectivity Center.
Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.
Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità
Se un tunnel Cloud VPN non funziona, si riavvia automaticamente. Se un intero dispositivo VPN virtuale ha esito negativo, Cloud VPN crea automaticamente un'istanza di un nuovo dispositivo con la stessa configurazione. Il nuovo gateway e tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda del modo in cui configuri le priorità di routing per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attivo/attivo o attivo/passivo. Per entrambe le configurazioni di routing, due tunnel VPN rimangono attivi.
La tabella seguente confronta le funzionalità di una configurazione di routing attiva/attiva o attiva/passiva.
| Funzionalità | Attivo/attivo | Attivo/passivo |
|---|---|---|
| Velocità effettiva | La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. | Dopo la riduzione da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, il che può comportare una connettività più lenta o la perdita di pacchetti. |
| Annuncio di percorso | Il gateway peer pubblicizza le route della rete peer con valori MED identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche. Il traffico in uscita inviato alla tua rete peer utilizza il route ECMP (Equal-cost multipath). Lo stesso router Cloud utilizza le priorità identiche per pubblicizzare le route sulla tua rete VPC. Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud. |
Il gateway peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse. Il traffico in uscita inviato alla rete peer utilizza la route con la priorità più alta, purché sia disponibile il tunnel associato. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route sulla tua rete VPC. Il gateway di peering può solo utilizzare il tunnel con la massima priorità per inviare il traffico a Google Cloud. |
| Esegui il failover | Se un tunnel non è più disponibile, il router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono il tunnel non disponibile. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti. |
Se un tunnel non è più disponibile, router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono il tunnel non disponibile. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti. Utilizza un massimo di un tunnel alla volta, in modo che il secondo possa gestire tutta la larghezza di banda in uscita se il primo tunnel ha esito negativo e deve andare a buon fine. |
Routing attivo/passivo in topologie mesh complete
Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia VPN Cloud, importa solo la route con la priorità più alta nella rete VPC. Gli altri percorsi non attivi non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è più disponibile, il router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile costruire route in modo che parte del traffico attraversi un tunnel e un altro che attraversa un altro tunnel, a causa delle priorità di routing (valori MED). Analogamente, puoi regolare la priorità di base che il router Cloud utilizza per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attive/attive né puramente attive/passive.
Opzione di routing consigliata
Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.
Se utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/attivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel è doppia rispetto a quella della larghezza di banda garantita. Tuttavia, questa configurazione esegue una sottoprovisioning efficace dei tunnel e può causare un calo del traffico in caso di failover.
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo di criterio che limita gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.
Per i passaggi che descrivono come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida da e verso le reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella visualizzazione Network Topology.
Un'entità di base è il livello più basso di una particolare gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, tutte le entità di base vengono aggregate nella gerarchia di primo livello.
Ad esempio, Network Topology aggrega i tunnel VPN nella connessione del gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone del gateway VPN.
Per ulteriori informazioni, consulta la panoramica di Network Topology.
Manutenzione e disponibilità
Cloud VPN è sottoposto a manutenzioni periodiche. Durante la manutenzione, i tunnel Cloud VPN vengono offline, generando brevi cali di traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ristabiliti automaticamente.
La manutenzione di Cloud VPN è una normale attività operativa che può verificarsi in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere abbastanza brevi da non influire sullo SLA di Cloud VPN.
La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per le opzioni di ridondanza e velocità effettiva elevata, consulta la pagina delle topologie VPN classica.
Best practice
Per creare Cloud VPN in modo efficace, segui queste best practice.
Passaggi successivi
Per utilizzare scenari ad alta disponibilità e ad alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.
Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.