Panoramica di Cloud VPN

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti i concetti relativi a Google Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta i termini chiave.

Cloud VPN connette in sicurezza la rete peer alla tua rete VPC (Virtual Private Cloud) tramite una connessione VPN VPN. Il traffico tra le due reti è criptato da un gateway VPN e quindi viene decriptato dall'altro gateway VPN. Questa azione protegge i tuoi dati mentre viaggiano su Internet. Puoi anche connettere due istanze di Cloud VPN tra di loro.

Scelta di una soluzione di networking ibrida

Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o il router Cloud come connessione di rete ibrida a Google Cloud, consulta Scegliere un prodotto per la connettività di rete.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud VPN gratuitamente

Tipi di Cloud VPN

Google Cloud offre due tipi di gateway Cloud VPN: VPN ad alta disponibilità e VPN classica. Tuttavia, alcune funzionalità della VPN classica sono deprecate. Per ulteriori informazioni, consulta la pagina relativa al ritiro parziale VPN classica.

Per informazioni sul passaggio alla VPN ad alta disponibilità, consulta Passare alla VPN ad alta disponibilità.

VPN ad alta disponibilità

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec in una singola area geografica. La VPN ad alta disponibilità offre uno SLA con una disponibilità del servizio del 99,99%.

Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ciascuna delle due interfacce di cui dispone. Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce delle gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP per il riutilizzo. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA con disponibilità del servizio del 99,99% .

La VPN ad alta disponibilità supporta lo scambio di traffico IPv6 in anteprima.

Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità sono indicati come gateway VPN anziché gateway VPN di destinazione. Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.

La VPN ad alta disponibilità utilizza una risorsa di gateway VPN esterno in Google Cloud per fornire informazioni a Google Cloud sul gateway VPN peer o sui gateway.

Requisiti della VPN ad alta disponibilità

La tua configurazione Cloud VPN deve soddisfare i seguenti requisiti per ottenere una disponibilità del livello di servizio del 99,99% per la VPN ad alta disponibilità:

  • Quando colleghi un gateway VPN ad alta disponibilità al gateway peer, la disponibilità del 99,99% è garantita solo sul lato Google Cloud della connessione. La disponibilità end-to-end è soggetta alla corretta configurazione del gateway VPN peer.

  • Se entrambi i lati sono gateway Google Cloud e sono configurati correttamente, la disponibilità end-to-end è garantita al 99,99%.

  • Per ottenere un'alta disponibilità quando entrambi i gateway VPN si trovano nelle reti VPC, devi utilizzare due gateway VPN ad alta disponibilità ed entrambi si trovano nella stessa area geografica.

    Anche se entrambi i gateway devono trovarsi nella stessa area geografica, se la rete VPC utilizza la modalità di routing dinamico globale, le route alle subnet che i gateway condividono tra loro possono trovarsi in qualsiasi area geografica. Se la tua rete VPC utilizza la modalità di routing dinamico a livello di area geografica, solo le route verso le subnet della stessa area geografica vengono condivise con la rete peer. Le route apprese vengono applicate solo alle subnet nella stessa area geografica del tunnel VPN.

    Per ulteriori informazioni, consulta la pagina Modalità di routing dinamico.

  • Quando colleghi un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato su IPV4_IPV6.

  • La VPN ad alta disponibilità rifiuta gli indirizzi IP di Google Cloud quando sono configurati in una risorsa gateway VPN esterno, ad esempio utilizzando l'indirizzo IP esterno di un'istanza VM come indirizzo IP esterno per la risorsa gateway VPN esterno. L'unica topologia di VPN ad alta disponibilità supportata tra le reti Google Cloud è quella in cui la VPN ad alta disponibilità viene utilizzata su entrambi i lati, come documentato in Creare una VPN ad alta disponibilità tra le reti Google Cloud.

  • Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:

    • Se hai due dispositivi gateway VPN peer, ciascuno dei tunnel da ogni interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
    • Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascuno dei tunnel da ogni interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
    • Se hai un singolo dispositivo gateway VPN peer con una singola interfaccia, entrambi i tunnel da ogni interfaccia sul gateway Cloud VPN devono essere collegati alla stessa interfaccia sul gateway peer.
  • Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione sufficientemente ridondante, che potrebbe includere più istanze hardware. Per i dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.

    Se sono necessari due dispositivi peer, ogni dispositivo deve essere connesso a un'interfaccia gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro provider cloud come AWS, anche le connessioni VPN devono essere configurate con ridondanza adeguata sul lato AWS.

  • Il dispositivo gateway VPN peer deve supportare il routing dinamico (BGP).

Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, che mostra una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità (scenari di configurazione ad alta disponibilità), consulta le topologie Cloud VPN.

Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire)

VPN classica

Tutti i gateway VPN Cloud creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway VPN classici. Per passare dalla VPN classica alla VPN ad alta disponibilità, consulta le istruzioni dettagliate.

A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud.

I gateway VPN classici forniscono uno SLA con una disponibilità del servizio del 99,9%.

I gateway VPN classici non supportano IPv6.

Per le topologie VPN classica supportate, consulta la pagina delle topologie VPN classica.

Le VPN classiche sono chiamate gateway di destinazione nella documentazione dell'API e in Google Cloud CLI.

Tabella comparativa

La tabella riportata di seguito mette a confronto le funzionalità VPN ad alta disponibilità con quelle classiche.

Funzionalità VPN ad alta disponibilità VPN classica
SLA Fornisce uno SLA (accordo sul livello del servizio) del 99,99% quando configurato con due interfacce e due indirizzi IP esterni. Fornisce uno SLA (accordo sul livello del servizio) del 99,9%.
Creazione di indirizzi IP esterni e regole di forwarding Indirizzi IP esterni creati da un pool; non sono necessarie regole di forwarding. È necessario creare indirizzi IP esterni e regole di forwarding.
Opzioni di routing supportate Solo routing dinamico (BGP). Routing statico (basato su criteri e route). Il routing dinamico è supportato solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud.
Due tunnel da un gateway Cloud VPN allo stesso gateway di peer Supportato Funzionalità non supportata
Risorse API È nota come risorsa vpn-gateway. È nota come risorsa target-vpn-gateway.
Traffico IPv6 Supportato in Anteprima
(configurazione IPv4 e IPv6 a doppio stack)
Funzionalità non supportata

Specifiche

Cloud VPN prevede le seguenti specifiche:

  • Cloud VPN supporta solo la connettività VPN IPsec site-to-site, in base ai requisiti elencati in questa sezione. Non supporta gli scenari client-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di connettersi a una VPN utilizzando un software VPN client.

    Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come VPN SSL) non sono supportate.

  • Cloud VPN può essere utilizzato con reti VPC e reti legacy. Per le reti VPC, ti consigliamo di utilizzare le reti VPC in modalità personalizzata, in modo da avere il controllo completo degli intervalli di indirizzi IP utilizzati dalle subnet nella rete.

    • I gateway VPN classica e VPN ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili da Internet). A questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi Cloud VPN configurati da te per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.

    • Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono con gli indirizzi IP utilizzati dalle subnet nella tua rete VPC, per determinare come vengono risolti i conflitti di routing, vedi Ordine delle route.

  • Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:

    • Tra due gateway VPN ad alta disponibilità
    • Tra due gateway VPN classici
    • Tra un gateway VPN classico e l'indirizzo IP esterno di una VM Compute Engine che agisce come gateway VPN
  • Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per ulteriori informazioni, consulta la pagina relativa alle opzioni di accesso privato per i servizi.

  • Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.

  • Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile da Internet). Questo indirizzo IP è necessario per configurare Cloud VPN.

    • Se il gateway VPN peer è protetto da una regola firewall, devi configurarla al fine di passare il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500) a tale regola. Se la regola firewall fornisce la traduzione dell'indirizzo di rete (NAT), consulta l'incapsulamento UDP e NAT-T.
  • Cloud VPN richiede che il gateway VPN peer sia configurato per supportare la frammentazione. I pacchetti devono essere frammentati prima di essere incapsulati.

  • Cloud VPN utilizza il rilevamento delle riproduzioni con una finestra di 4096 pacchetti. Non puoi disattivare questa opzione.

  • Cloud VPN supporta il traffico GRE. Il supporto per GRE consente di terminare il traffico GRE su una VM da Internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapitato può quindi essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi quali Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola del firewall per consentire il traffico GRE.

  • I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, a differenza dei tunnel VPN classici. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Larghezza di banda della rete

Ogni tunnel Cloud VPN può supportare fino a 3 gigabit al secondo (Gbps) per la somma del traffico in entrata e in uscita.

Le metriche relative a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e metriche. Tieni presente che l'unità per le metriche è byte, mentre il limite di 3 Gbps si riferisce ai bit al secondo. Quando vengono convertiti in byte, il limite è di 375 megabyte al secondo (MBps). Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e Received bytes rispetto al limite convertito di 375 MBps.

Per informazioni su come creare criteri di avviso, vedi Definire gli avvisi per la larghezza di banda del tunnel VPN.

Per informazioni sull'utilizzo del motore per suggerimenti per l'utilizzo del tunnel VPN, consulta la pagina Verificare l'utilizzo eccessivo del tunnel VPN.

Fattori che influiscono sulla larghezza di banda

La larghezza di banda effettiva dipende da diversi fattori:

  • La connessione di rete tra il gateway Cloud VPN e il gateway peer:

    • Larghezza di banda di rete tra i due gateway. Se hai stabilito una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quanto avviene per il traffico VPN sulla rete Internet pubblica.

    • Tempo di round trip (RTT) e perdita di pacchetti. I tassi di perdita di pacchetti o RTT elevati riducono notevolmente le prestazioni TCP.

  • Funzionalità del gateway VPN peer. Per maggiori informazioni, consulta la documentazione del tuo dispositivo.

  • Dimensioni del pacchetto. Cloud VPN utilizza un'unità massima di trasmissione (MTU) di 1460 byte. I gateway VPN peer devono essere configurati per utilizzare un MTU di massimo 1460 byte. Poiché l'elaborazione avviene in base al singolo pacchetto, per una determinata frequenza di pacchetti, un numero significativo di pacchetti più piccoli può ridurre la velocità effettiva complessiva. Per prendere in considerazione i costi generali dell'ESP, potrebbe essere necessario impostare anche i valori MTU dei sistemi che inviano traffico tramite tunnel VPN su valori inferiori alla MTU del tunnel. Per una discussione dettagliata e consigli, vedi Considerazioni sulle MTU.

  • Tariffa. Per la traffico in entrata e in uscita, la frequenza massima consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.

Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se utilizzi lo strumento iperf, usa il parametro -P per specificare il numero di stream simultanei.

Tunnel MTU

Cloud VPN utilizza sempre una MTU di 1460 byte. Se le VM e le reti su entrambi i lati del tunnel hanno MTU più elevate, Cloud VPN utilizza il blocco MSS per ridurre l'impostazione MTU TCP su 1460. I gateway VPN possono anche utilizzare i messaggi di errore ICMP per abilitare la rilevamento MTU del percorso (PMTUD), impostando una MTU inferiore per i pacchetti UDP.

Se i pacchetti UDP vengono ignorati, puoi ridurre la MTU delle VM specifiche che comunicano all'interno del tunnel. Per le VM Windows e le immagini fornite dall'utente, è sufficiente impostare una MTU più bassa. Per le immagini Linux fornite da Google, devi disattivare anche gli aggiornamenti MTU del DHCP per tali VM.

Supporto IPv6

Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.

Puoi creare gateway e tunnel VPN ad alta disponibilità che connettono reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste possono essere reti on-premise, reti multi-cloud o altre reti VPC. Per trasferire il traffico IPv6 nei tunnel VPN ad alta disponibilità, le reti VPC abilitate per IPv6 devono includere subnet stack stack. Inoltre, alle subnet devono essere assegnati intervalli IPv6 interni.

I tunnel VPN ad alta disponibilità supportano solo il routing a livello di area geografica per il traffico IPv6. Il traffico IPv6 viene instradato all'interno dell'area geografica assegnata al gateway VPN ad alta disponibilità. Il routing globale per il traffico IPv6 nei tunnel VPN ad alta disponibilità non è supportato.

Quando crei tunnel VPN per un gateway VPN ad alta disponibilità abilitato per IPv6, devi anche configurare il router Cloud associato per attivare lo scambio di prefisso IPv6 nelle sessioni BGP. Il router Cloud utilizza il protocollo Multiprotocol BGP (MP-BGP) e pubblicizza i prefissi IPv6 sugli indirizzi IPv4 BGP. Per pubblicizzare i prefissi IPv6, le sessioni BGP sul router Cloud richiedono la configurazione degli indirizzi dell'hop successivo IPv6. Puoi configurare gli indirizzi dell'hop successivo IPv6 per le sessioni BGP automaticamente o manualmente.

Quando configuri manualmente gli indirizzi dell'hop successivo IPv6, devi selezionarli dall'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64. Questi intervalli sono stati preallocati da Google. Gli indirizzi dell'hop successivo IPv6 specificato devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

Se selezioni la configurazione automatica, Google Cloud crea per te gli indirizzi dell'hop successivo IPv6 nell'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64.

Anche se le sessioni BGP possono scambiare prefissi IPv6, ai peer BGP e BGP peer del router Cloud devono essere assegnati indirizzi IPv4, automaticamente o manualmente. Le sessioni BGP solo IPv6 non sono supportate. Per maggiori dettagli sul supporto IPv6, vedi Informazioni sul router Cloud.

Supporto IPsec e IKE

Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave precondivisa IKE (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel sul gateway peer, specifica questa stessa chiave precondivisa.

Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non AH o ESP in modalità trasporto.

Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Cloud VPN non esegue filtri relativi ai criteri sui pacchetti di autenticazione in arrivo. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.

Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta l'articolo Generare una chiave precondivisa efficace. Per crittografie e parametri di configurazione supportati da Cloud VPN, consulta Crittografia IKE supportata.

Incapsulamento UDP e NAT-T

Per informazioni su come configurare il dispositivo peer per supportare il servizio NAT-Traversal (NAT-T) con Cloud VPN, consulta l'articolo relativo all'incapsulamento UDP nella panoramica avanzata.

Cloud VPN come rete di trasferimento di dati

Prima di utilizzare Cloud VPN, leggi con attenzione la Sezione 2 dei Termini di servizio generali per Google Cloud.

Con il Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere le reti on-premise, passando il traffico come rete di trasferimento dati. Per connettere le reti, collega una coppia di tunnel a un Network Connectivity Center per ogni località on-premise. Quindi, connetti ciascun spoke a un hub di Network Connectivity Center.

Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.

Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità

Se un tunnel Cloud VPN non è disponibile, si riavvia automaticamente. In caso di errore di un intero dispositivo VPN virtuale, Cloud VPN ne crea automaticamente una nuova istanza con la stessa configurazione. Il nuovo gateway e tunnel si connettono automaticamente.

I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda di come configuri le priorità di route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attivo/attivo o attivo/passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.

La tabella seguente confronta le caratteristiche di una configurazione di routing attivo/attivo o attivo/passivo.

Funzionalità Attivo/attivo Attivo/passivo
Velocità effettiva La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. Dopo una riduzione da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, il che può comportare una connettività più lenta o la perdita di pacchetti.
Annuncio route

Il gateway della tua peer pubblicizza le route della rete peer con valori MED identici per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche.

Il traffico in uscita inviato alla tua rete peer utilizza il routing ECMP (equal-cost multipath).

Lo stesso router Cloud utilizza priorità identiche per pubblicizzare le route sulla rete VPC.

Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud.

Il gateway della tua peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse.

Il traffico in uscita inviato alla tua rete peer utilizza la route con la priorità massima, se il tunnel associato è disponibile.

Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route sulla rete VPC.

Il gateway peer può solo utilizzare il tunnel con la priorità più alta per inviare traffico a Google Cloud.

Esegui il failover

Se un tunnel non è più disponibile, il router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono i tunnel non disponibili. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti.

Se un tunnel non è più disponibile, il router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono i tunnel non disponibili. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti.

Utilizza un massimo di un tunnel alla volta, in modo che il secondo possa gestire tutta la larghezza di banda in uscita se il primo tunnel non riesce e deve essere eseguito il failover.

Routing attivo/passivo in topologie full mesh

Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Gli altri percorsi non attivi non sono visibili in Google Cloud Console o tramite Google Cloud CLI. Se la route con la priorità massima non è più disponibile, il router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.

Utilizzo di più tunnel o gateway

A seconda della configurazione del gateway peer, è possibile creare route in modo che parte del traffico attraversi un tunnel e l'altro attraversa un altro tunnel a causa di priorità di percorso (valori MED). Allo stesso modo, puoi regolare la priorità di base utilizzata dal router Cloud per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono né solamente attive né attive puramente attive/passive.

Se utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dei vari scenari di gateway descritti in precedenza.

Se utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/attivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel è due volte superiore alla capacità di larghezza di banda garantita. Tuttavia, questa configurazione esegue il provisioning preliminare dei tunnel in modo efficace e può causare un calo del traffico in caso di failover.

Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN

Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo di criteri che limita gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.

La limitazione si applica a tutti i tunnel Cloud VPN, sia alla VPN classica che alla VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifica.

Per i passaggi che descrivono come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.

Visualizzazione e monitoraggio delle connessioni Cloud VPN

Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida da e verso le reti on-premise, nonché le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella vista Topologia di rete.

Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, aggrega tutte le entità di base nella relativa gerarchia di primo livello.

Ad esempio, Network Topology aggrega i tunnel VPN nella connessione del gateway VPN. Per visualizzare la gerarchia, espandi o comprimi le icone del gateway VPN.

Per ulteriori informazioni, consulta la panoramica di Topology di rete.

Manutenzione e disponibilità

Cloud VPN è sottoposto a interventi di manutenzione periodici. Durante la manutenzione, i tunnel Cloud VPN vengono messi offline, con brevi cali di traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ripristinati automaticamente.

La manutenzione di Cloud VPN è una normale attività operativa che può avvenire in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere abbastanza brevi da evitare che lo SLA di Cloud VPN venga interessato.

La VPN ad alta disponibilità è il metodo consigliato per configurare le VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per le opzioni di ridondanza e velocità effettiva elevata, consulta la pagina delle topologie VPN classica.

Best practice

Per creare la tua VPN Cloud in modo efficace, segui queste best practice.

Passaggi successivi

  • Per utilizzare scenari ad alta disponibilità e alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.

  • Per risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.