Panoramica di Cloud VPN

In questa pagina vengono descritti i concetti relativi a Google Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta i termini chiave.

Cloud VPN connette in sicurezza la rete peer alla tua rete Virtual Private Cloud (VPC) tramite una connessione VPN VPN. Il traffico tra le due reti è criptato da un gateway VPN, quindi viene decriptato dall'altro gateway VPN. Questa azione protegge i tuoi dati mentre viaggiano su Internet. Puoi anche connettere due istanze di Cloud VPN tra di loro.

Scelta di una soluzione di networking ibrida

Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o il router Cloud come connessione di networking ibrida a Google Cloud, consulta la sezione Scegliere un prodotto per la connettività di rete.

Provalo

Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Prova Cloud VPN gratuitamente

Tipi di Cloud VPN

Google Cloud offre due tipi di gateway Cloud VPN: VPN ad alta disponibilità e VPN classica. Tuttavia, alcune funzionalità della VPN classica sono deprecate. Per ulteriori informazioni, consulta la sezione Ritiro parziale della VPN classica.

Per informazioni sul passaggio alla VPN ad alta disponibilità, consulta Passare alla VPN ad alta disponibilità.

VPN ad alta disponibilità

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec in una singola area geografica. La VPN ad alta disponibilità offre uno SLA con una disponibilità del servizio del 99,99%.

Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ciascuna delle due interfacce di cui dispone il gateway. Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP affinché possano essere riutilizzati. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA con disponibilità del servizio del 99,99%.

La VPN ad alta disponibilità supporta lo scambio del traffico IPv6 in Anteprima.

Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità sono indicati come gateway VPN anziché gateway VPN di destinazione. Non devi creare regole di forwarding per i gateway VPN ad alta disponibilità.

La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire informazioni a Google Cloud sul gateway VPN peer o sui gateway.

Requisiti per la VPN ad alta disponibilità

La configurazione di Cloud VPN deve soddisfare i seguenti requisiti per raggiungere una disponibilità del livello di servizio del 99,99% per la VPN ad alta disponibilità:

  • Quando connetti un gateway VPN ad alta disponibilità al tuo gateway peer, la disponibilità del 99,99% è garantita solo sul lato Google Cloud della connessione. La disponibilità end-to-end è soggetta a una configurazione adeguata del gateway VPN peer.

  • Se entrambi i lati sono gateway Google Cloud e sono configurati correttamente, è garantita una disponibilità end-to-end del 99,99%.

  • Per ottenere l'alta disponibilità quando entrambi i gateway VPN si trovano in reti VPC, devi utilizzare due gateway VPN ad alta disponibilità ed entrambi nella stessa area geografica.

    Anche se entrambi i gateway devono trovarsi nella stessa area geografica, se la rete VPC utilizza la modalità di routing dinamico globale, le route per le subnet che i gateway condividono tra loro possono trovarsi in qualsiasi area geografica. Se la tua rete VPC utilizza la modalità di routing dinamico a livello di area geografica, solo le route verso le subnet nella stessa area geografica vengono condivise con la rete peer. Le route apprese vengono applicate solo alle subnet nella stessa area geografica del tunnel VPN.

    Per ulteriori informazioni, consulta la sezione Modalità di routing dinamico.

  • Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato su IPV4_IPV6.

  • La VPN ad alta disponibilità rifiuta gli indirizzi IP di Google Cloud quando sono configurati in una risorsa gateway VPN esterno, ad esempio l'indirizzo IP esterno di un'istanza VM come indirizzo IP esterno per la risorsa gateway VPN esterno. L'unica topologia di VPN ad alta disponibilità supportata tra le reti Google Cloud è quella in cui la VPN ad alta disponibilità viene utilizzata su entrambi i lati, come documentato in Creare una VPN ad alta disponibilità tra le reti Google Cloud.

  • Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:

    • Se hai due dispositivi gateway VPN peer, ciascuno dei tunnel di ogni interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
    • Se disponi di un singolo gateway gateway VPN peer con due interfacce, ogni tunnel da ogni interfaccia sul gateway Cloud VPN deve essere collegato alla propria interfaccia sul gateway peer.
    • Se hai un singolo dispositivo gateway VPN peer con una singola interfaccia, entrambi i tunnel di ogni interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
  • Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione sufficientemente ridondante, che potrebbe includere più istanze hardware. Per maggiori dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.

    Se sono necessari due dispositivi peer, ogni dispositivo peer deve essere connesso a un'interfaccia di gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro provider cloud come AWS, anche le connessioni VPN devono essere configurate con ridondanza adeguata sul lato AWS.

  • Il dispositivo gateway VPN peer deve supportare il routing dinamico (BGP).

Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, che mostra una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per ulteriori istruzioni sulle topologie VPN ad alta disponibilità, consulta gli scenari di configurazione di Cloud VPN.

Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire)

VPN classica

Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN VPN sono considerati gateway VPN classici. Per passare dalla VPN classica alla VPN ad alta disponibilità, consulta le istruzioni dettagliate.

A differenza della VPN ad alta disponibilità, i gateway della VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il reindirizzamento statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione sulle istanze VM di Google Cloud.

I gateway VPN classici forniscono uno SLA (accordo sul livello del servizio) con una disponibilità del servizio del 99,9%.

I gateway VPN classici non supportano IPv6.

Per le topologie VPN classiche supportate, consulta la pagina delle topologie VPN classica.

Le VPN classiche sono indicate come gateway VPN di destinazione nella documentazione dell'API e nell'interfaccia a riga di comando di Google Cloud.

Tabella di confronto

La tabella riportata di seguito mette a confronto le funzionalità VPN ad alta disponibilità con le funzionalità VPN classiche.

Funzionalità VPN ad alta disponibilità VPN classica
SLA Fornisce uno SLA del 99,99% se configurato con due interfacce e due indirizzi IP esterni. Fornisce uno SLA del 99,9%.
Creazione di indirizzi IP esterni e regole di forwarding Indirizzi IP esterni creati da un pool; non sono richieste regole di forwarding. È necessario creare indirizzi IP esterni e regole di forwarding.
Opzioni di routing supportate Solo routing dinamico (BGP). Routing statico (basato su criteri, basato su route). Il routing dinamico è supportato solo per i tunnel che si connettono al software gateway VPN di terze parti in esecuzione su istanze VM Google Cloud.
Due tunnel da un gateway Cloud VPN allo stesso gateway peer Supportato Funzionalità non supportata
Risorse API È nota come risorsa vpn-gateway. È nota come risorsa target-vpn-gateway.
Traffico IPv6 Supportati in Anteprima
(configurazione IPv4 e IPv6 a doppio stack)
Funzionalità non supportata

Specifiche

Cloud VPN ha le seguenti specifiche:

  • Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetta ai requisiti elencati in questa sezione. Non supporta gli scenari client-to-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di connettersi a una VPN utilizzando un software VPN client.

    Cloud VPN supporta solo IPsec. Le altre tecnologie VPN (come la VPN SSL) non sono supportate.

  • Cloud VPN può essere utilizzato con le reti VPC e le reti legacy. Per le reti VPC, ti consigliamo reti VPC in modalità personalizzata, in modo da avere il controllo completo degli intervalli degli indirizzi IP utilizzati dalle subnet nella rete.

    • I gateway della VPN classica e VPN ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili su Internet). A questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi Cloud VPN configurati da te per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.

    • Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella rete VPC, per determinare la modalità di risoluzione dei conflitti di routing, consulta l'ordine delle route.

  • Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:

    • 2 gateway VPN ad alta disponibilità
    • Tra due gateway VPN classici
    • Tra un gateway VPN classico e l'indirizzo IP esterno di una VM di Compute Engine che agisce come gateway VPN
  • Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.

  • Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.

  • Il gateway VPN peer deve avere un indirizzo IPv4 statico esterno (instradabile su Internet). Questo indirizzo IP è necessario per configurare Cloud VPN.

    • Se il gateway VPN peer è protetto da una regola firewall, devi configurarla per passare il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500) al passaggio. Se la regola firewall fornisce una traduzione degli indirizzi di rete (NAT), consulta le sezioni Incapsulamento UDP e NAT-T.
  • Cloud VPN richiede che il gateway VPN peer sia configurato per la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.

  • Cloud VPN utilizza il rilevamento delle repliche con una finestra di 4096 pacchetti. Non puoi disattivare questa opzione.

  • Cloud VPN supporta il traffico GRE. Il supporto per GRE consente di terminare il traffico GRE su una VM da Internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico incapsulato può essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi quali Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola del firewall per consentire il traffico GRE.

  • I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, a differenza dei tunnel VPN classici. Il supporto di VPN ad alta disponibilità per IPv6 è disponibile in Anteprima.

Larghezza di banda della rete

Ogni tunnel Cloud VPN può supportare fino a 3 gigabit al secondo (Gbps) per la somma del traffico in entrata e in uscita.

Le metriche relative a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e metriche. Tieni presente che l'unità della metrica è byte, mentre il limite di 3 Gbps si riferisce a bit al secondo. In caso di conversione in byte, il limite è di 375 megabyte al secondo (MBps). Per misurare l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e Received bytes rispetto al limite di 375 MBps convertito.

Per informazioni su come creare criteri di avviso, consulta la sezione Definire gli avvisi per la larghezza di banda del tunnel VPN.

Per informazioni sull'utilizzo del motore per suggerimenti sull'utilizzo del tunnel VPN, consulta Verificare l'utilizzo eccessivo del tunnel VPN.

Fattori che influiscono sulla larghezza di banda

La larghezza di banda effettiva dipende da diversi fattori:

  • La connessione di rete tra il gateway Cloud VPN e il gateway peer:

    • Larghezza di banda della rete tra i due gateway. Se hai stabilito una relazione con il peering diretto con Google, la velocità effettiva è superiore a quella generata dal traffico VPN sulla rete Internet pubblica.

    • Tempo di round trip (RTT) e perdita di pacchetti. L'aumento dei valori RTT o perdita di pacchetti riduce notevolmente le prestazioni TCP.

  • Funzionalità del gateway VPN peer. Per ulteriori informazioni, consulta la documentazione del dispositivo.

  • Dimensioni della busta. Cloud VPN utilizza un'unità di trasmissione massima (MTU) di 1460 byte. I gateway VPN peer devono essere configurati per utilizzare un MTU non superiore a 1460 byte. Poiché l'elaborazione avviene in base al singolo pacchetto, per un determinato numero di pacchetti, un numero significativo di pacchetti più piccoli può ridurre la velocità effettiva complessiva. Per tenere conto dell'overhead ESP, potresti anche dover impostare i valori MTU per i sistemi che inviano traffico attraverso tunnel VPN a valori inferiori a quelli del MTU. Per una discussione dettagliata e consigli, consulta le considerazioni relative alla MTU.

  • Tariffa. In entrata e in uscita, la frequenza massima di pacchetti consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità maggiore, devi creare più tunnel VPN.

Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se utilizzi lo strumento iperf, utilizza il parametro -P per specificare il numero di stream simultanei.

MTU tunnel

Cloud VPN utilizza sempre un MTU di 1460 byte. Se le VM e le reti su entrambi i lati del tunnel hanno MTU più elevati, Cloud VPN utilizza il blocco MSS per ridurre l'impostazione MTU TCP su 1460. I gateway VPN possono utilizzare anche i messaggi di errore ICMP per abilitare il rilevamento MTU del percorso (PMTUD), impostando un MTU inferiore per i pacchetti UDP.

Se i pacchetti UDP vengono eliminati, puoi ridurre l'MTU delle VM specifiche che comunicano in tutto il tunnel. Per le VM Windows e le immagini fornite dall'utente, è sufficiente impostare l'MTU più in basso. Per le immagini Linux fornite da Google, devi anche disattivare gli aggiornamenti MTU DHCP per tali VM.

Supporto IPv6

Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.

Puoi creare gateway e tunnel VPN ad alta disponibilità che collegano reti VPC abilitate con IPv6 con altre reti abilitate per IPv6. Queste possono essere reti on-premise, reti multi-cloud o altre reti VPC. Per trasferire il traffico IPv6 nei tunnel VPN ad alta disponibilità, le reti VPC abilitate per IPv6 devono includere subnet a doppio stack. Inoltre, le subnet devono essere assegnate a intervalli IPv6 interni.

I tunnel VPN ad alta disponibilità supportano solo il routing regionale del traffico IPv6. Il traffico IPv6 viene instradato all'interno dell'area geografica assegnata al gateway VPN ad alta disponibilità. Il routing globale per il traffico IPv6 nei tunnel VPN ad alta disponibilità non è supportato.

Quando crei tunnel VPN per un gateway VPN ad alta disponibilità abilitato per IPv6, devi anche configurare il router Cloud associato in modo da attivare lo scambio del prefisso IPv6 nelle sessioni BGP. Il router Cloud utilizza BGP multiprotocollo (MP-BGP) e pubblicizza i prefissi IPv6 sugli indirizzi IPv4 BGP. Per pubblicizzare i prefissi IPv6, le sessioni BGP sul router Cloud richiedono la configurazione degli indirizzi hop successivo IPv6. Puoi configurare gli indirizzi degli hop successivi IPv6 per le sessioni BGP in modo automatico o manuale.

Quando configuri manualmente gli indirizzi hop successivi IPv6, devi selezionarli dall'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64. Questi intervalli sono stati preallocati da Google. Gli indirizzi degli hop successivi IPv6 specificati devono essere univoci tra tutti i router Cloud in tutte le aree geografiche di una rete VPC.

Se selezioni la configurazione automatica, Google Cloud crea automaticamente gli indirizzi degli hop successivi IPv6 nell'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64.

Anche se le sessioni BGP possono scambiare prefissi IPv6, i peer BGP e i peer BGP devono essere assegnati agli indirizzi IPv4, in modo automatico o manuale. Le sessioni BGP solo IPv6 non sono supportate. Per maggiori dettagli sul supporto IPv6, vedi Informazioni sul router Cloud.

Supporto IPsec e IKE

Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave IKE precondivisa (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica questa stessa chiave precondivisa.

Cloud VPN supporta ESP in modalità tunnel con l'autenticazione, ma non AH o ESP in modalità di trasporto.

Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Cloud VPN non esegue filtri relativi ai criteri sui pacchetti di autenticazione in entrata. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.

Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta l'articolo Generare una chiave precondivisa efficace. Per crittografie e parametri di configurazione supportati da Cloud VPN, consulta Criptazioni IKE supportate.

Incapsulamento UDP e NAT-T

Per informazioni su come configurare il dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, consulta l'incapsulamento di UDP nella panoramica avanzata.

Cloud VPN come rete di trasferimento di dati

Prima di utilizzare Cloud VPN, consulta attentamente la Sezione 2 dei Termini di servizio generali per Google Cloud.

Il Network Connectivity Center può utilizzare i tunnel VPN ad alta disponibilità per connettere insieme le reti on-premise, trasmettendo il traffico come rete di trasferimento dati. Per collegare le reti, devi collegare una coppia di tunnel a un spoke di Network Connectivity Center per ciascuna località on-premise. Dovrai quindi connettere ogni spoke a un hub di Network Connectivity Center.

Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.

Opzioni di routing attive/attive e attive per la VPN ad alta disponibilità

Se un tunnel Cloud VPN non è disponibile, si riavvia automaticamente. Se un intero dispositivo VPN virtuale non funziona, Cloud VPN ne crea automaticamente una nuova istanza con la stessa configurazione. Il nuovo gateway e tunnel si connettono automaticamente.

I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda del modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attivo/attivo o attivo/passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.

La tabella seguente confronta le caratteristiche di una configurazione di routing attivo/attivo o attivo/passivo.

Funzionalità Attivo/attivo Attivo/passivo
Velocità effettiva La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. Dopo la riduzione da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, causando una connettività più lenta o la perdita di pacchetti.
Pubblicità di percorso

Il gateway peer pubblicizza le route della rete peer con valori MED identici per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche.

Il traffico in uscita inviato alla tua rete in peering utilizza il routing equal-cost multipath (ECMP).

Lo stesso router Cloud utilizza priorità identiche per pubblicizzare le route alla rete VPC.

Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud.

Il gateway peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse.

Il traffico in uscita inviato alla tua rete in peering utilizza il percorso con la massima priorità, purché il tunnel associato sia disponibile.

Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route verso la rete VPC.

Il gateway peer può utilizzare il tunnel con la massima priorità per inviare traffico a Google Cloud.

Failover

Se un tunnel non è più disponibile, il router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono quelli non disponibili. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti.

Se un tunnel non è più disponibile, il router Cloud ritira le route dinamiche personalizzate apprese i cui hop successivi sono quelli non disponibili. Questo processo di recesso può richiedere fino a 40 secondi, durante il quale è prevista la perdita di pacchetti.

Utilizza un massimo di un tunnel alla volta, in modo che il secondo tunnel possa gestire tutta la larghezza di banda in uscita in caso di errore e se il primo tunnel non riesce.

Routing attivo/passivo in topologie mesh complete

Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa la route con la massima priorità nella rete VPC. Gli altri percorsi non attivi non sono visibili in Google Cloud Console o tramite l'interfaccia a riga di comando di Google Cloud. Se la route con la massima priorità non è più disponibile, il router Cloud la preleva e importa automaticamente la route migliore successiva nella rete VPC.

Utilizzo di più tunnel o gateway

A seconda della configurazione del gateway peer, è possibile creare route in modo che parte del traffico attraversa un tunnel e un altro traffico attraversa un altro tunnel a causa delle priorità delle route (valori MED). Analogamente, puoi regolare la priorità di base utilizzata dal router Cloud per condividere le route di rete VPC. Queste situazioni dimostrano possibili configurazioni di routing che non sono puramente attive/attive né puramente attive/passive.

Se utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con il gateway descritto in precedenza.

Se utilizzi più gateway VPN ad alta disponibilità, consigliamo di utilizzare una configurazione del routing attivo/attivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel è il doppio della capacità di larghezza di banda garantita. Tuttavia, questa configurazione esegue effettivamente il provisioning insufficiente dei tunnel e può causare un calo del traffico in caso di failover.

Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN

Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo del criterio dell'organizzazione per definire un insieme di indirizzi IP peer che un utente può specificare durante la creazione di nuovi tunnel Cloud VPN in un progetto, una cartella o un'organizzazione specifici.

Gli indirizzi IP del gateway peer possono essere gli indirizzi IP dei gateway on-premise o di altri gateway Cloud VPN.

Per controllare l'elenco degli indirizzi IP peer che gli utenti possono specificare durante la creazione di nuovi tunnel Cloud VPN, utilizza il vincolo Resource Manager constraints/compute.restrictVpnPeerIPs.

Nell'esempio seguente, un amministratore dei criteri dell'organizzazione crea un vincolo del criterio dell'organizzazione che definisce l'indirizzo IP del gateway VPN peer consentito. Questo vincolo ha un allowList costituito solo dall'indirizzo IP 100.1.1.1.

Gli amministratori di rete nel progetto contenente la rete VPC network-a possono solo creare nuovi tunnel Cloud VPN che si connettono all'indirizzo IP del gateway peer 100.1.1.1. Il vincolo non consente la creazione di nuovi tunnel Cloud VPN a un indirizzo IP gateway gateway diverso.

Criterio dell'organizzazione per limitare i peer VPN.
Criterio dell'organizzazione per limitare le app peer VPN (fai clic per ingrandire)

Per la procedura su come limitare gli indirizzi IP, vedi:

Considerazioni

  • Il vincolo dei criteri dell'organizzazione che limita gli indirizzi IP del gateway peer si applica solo ai nuovi tunnel Cloud VPN. Il vincolo vieta i tunnel Cloud VPN creati dopo l'applicazione del vincolo. Per ulteriori informazioni, consulta la gerarchia di Resource Manager.

  • Puoi applicare questo vincolo ai tunnel VPN classici che utilizzano il routing statico o dinamico con BGP o ai tunnel VPN ad alta disponibilità.

  • Puoi specificare più voci allowedList o deniedList in un determinato criterio, ma non puoi utilizzarle entrambe contemporaneamente.

  • Tu o un amministratore di rete con le autorizzazioni corrette dovete gestire e mantenere il ciclo di vita e l'integrità dei tunnel VPN.

Visualizzazione e monitoraggio delle connessioni Cloud VPN

Network Topology è uno strumento di visualizzazione che mostra la topologia delle reti VPC, la connettività ibrida da e verso le reti on-premise e le metriche associate. Puoi visualizzare i gateway e i tunnel VPN di Cloud VPN come entità nella visualizzazione Network Topology.

Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, tutte le entità di base vengono aggregate nella gerarchia di primo livello.

Ad esempio, Network Topology aggrega i tunnel VPN nella loro connessione gateway VPN. Per visualizzare la gerarchia, espandi o comprimi le icone del gateway VPN.

Per ulteriori informazioni, consulta la panoramica della topologia di rete.

Manutenzione e disponibilità

Cloud VPN è sottoposto a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN sono offline, con brevi cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ripristinati automaticamente.

La manutenzione di Cloud VPN è una normale attività operativa che può avvenire in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere abbastanza brevi, per evitare che lo SLA di Cloud VPN non venga interessato.

La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi una VPN classica per opzioni di ridondanza e velocità effettiva elevata, consulta la pagina delle topologie VPN classica.

Best practice

Per creare in modo efficace la tua VPN Cloud, utilizza queste best practice.

Passaggi successivi

  • Per utilizzare scenari ad alta disponibilità e alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.

  • Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.