In questa pagina vengono descritti i concetti relativi a Google Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta i Termini chiave.
Cloud VPN collega in modo sicuro la tua rete peer alla rete Virtual Private Cloud (VPC) tramite una connessione IPsec VPN. Il traffico tra le due reti viene criptato da un gateway VPN e quindi decriptato dall'altro gateway VPN. Questa azione protegge i tuoi dati durante il trasferimento su Internet. Puoi anche connettere tra loro due istanze di Cloud VPN.
Scegli una soluzione di networking ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o router Cloud come connessione di rete ibrida a Google Cloud, consulta la sezione Scegliere un prodotto per la connettività di rete.
Provalo
Se non hai mai utilizzato Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamenteSe vuoi applicare la crittografia IPsec e una connessione che non attraversi la rete Internet pubblica, puoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN: VPN ad alta disponibilità e VPN classica. Tuttavia, alcune funzionalità VPN classica sono deprecate. Per ulteriori informazioni, consulta Ritiro parziale del routing dinamico della VPN classica.
Per informazioni sul passaggio alla VPN ad alta disponibilità, consulta Passare alla VPN ad alta disponibilità.
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec in una singola regione. La VPN ad alta disponibilità offre uno SLA con una disponibilità del servizio del 99,99%.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IPv4 esterni, uno per ciascuna delle due interfacce (numero fisso). Ogni indirizzo IPv4 viene scelto automaticamente da un pool di indirizzi univoco per supportare l'alta disponibilità. Ognuna delle interfacce del gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP per il riutilizzo. Puoi configurare un gateway VPN ad alta disponibilità con una sola interfaccia attiva e un indirizzo IP esterno.Tuttavia, questa configurazione non fornisce uno SLA (accordo sul livello del servizio) con disponibilità del servizio del 99,99%.
Un'opzione per l'utilizzo della VPN ad alta disponibilità è il deployment della VPN ad alta disponibilità su Cloud Interconnect. La VPN ad alta disponibilità su Cloud Interconnect offre il vantaggio della crittografia IPsec che ottieni da Cloud VPN e contemporaneamente il deployment della maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il tuo traffico di rete non è mai necessario per viaggiare sulla rete internet pubblica. L'aggiunta della crittografia IPsec al traffico Cloud Interconnect è importante per soddisfare le esigenze di crittografia dei dati e altre esigenze di conformità, soprattutto se devi connetterti a un provider di servizi di terze parti, che è un requisito di Partner Interconnect.
Nella documentazione dell'API e nei comandi gcloud, i gateway VPN ad alta disponibilità sono indicati come gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterna in Google Cloud per fornire informazioni a Google Cloud sul tuo gateway o gateway VPN peer.
Requisiti per la VPN ad alta disponibilità
La configurazione di Cloud VPN deve soddisfare i seguenti requisiti per raggiungere una disponibilità del livello di servizio del 99,99% per la VPN ad alta disponibilità:
Quando connetti un gateway VPN ad alta disponibilità al gateway peer, la disponibilità del 99,99% è garantita solo sul lato Google Cloud della connessione. La disponibilità end-to-end è soggetta alla corretta configurazione del gateway VPN peer.
Se entrambi i lati sono gateway Google Cloud e sono configurati correttamente, è garantita una disponibilità end-to-end del 99,99%.
Per ottenere un'alta disponibilità quando entrambi i gateway VPN si trovano nelle reti VPC, devi utilizzare due gateway VPN ad alta disponibilità ed entrambi devono trovarsi nella stessa regione.
Anche se entrambi i gateway devono trovarsi nella stessa regione, se la rete VPC utilizza la modalità di routing dinamico globale, le route alle subnet che i gateway condividono tra loro possono trovarsi in qualsiasi regione. Se la tua rete VPC utilizza la modalità di routing dinamico a livello di regione, solo le route verso subnet nella stessa regione vengono condivise con la rete peer. Le route apprese vengono applicate solo alle subnet nella stessa regione del tunnel VPN.
Per ulteriori informazioni, consulta Modalità di routing dinamico.
Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.La VPN ad alta disponibilità rifiuta gli indirizzi IP di Google Cloud quando sono configurati in una risorsa gateway VPN esterna, ad esempio utilizzando l'indirizzo IP esterno di un'istanza VM come indirizzo IP esterno per la risorsa gateway VPN esterna. L'unica topologia VPN ad alta disponibilità supportata tra le reti Google Cloud è quella in cui viene utilizzata la VPN ad alta disponibilità su entrambi i lati, come documentato in Creare una VPN ad alta disponibilità tra reti Google Cloud.
Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:
- Se disponi di due dispositivi gateway VPN peer, ciascuno dei tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con un'unica interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli per una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Per i dettagli, consulta la documentazione del fornitore del dispositivo VPN peer.
Se sono richiesti due dispositivi peer, ciascuno di questi deve essere connesso a un'interfaccia gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro cloud provider come AWS, le connessioni VPN devono essere configurate con una ridondanza adeguata anche sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il routing dinamico (BGP).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità e una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità (scenari di configurazione) più dettagliate, consulta Topologie Cloud VPN.
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway VPN classica. Per passare da VPN classica a VPN ad alta disponibilità, consulta le istruzioni dettagliate.
A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per i tunnel che si connettono al software del gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud.
I gateway VPN classica offrono uno SLA (accordo sul livello del servizio) con una disponibilità del servizio del 99,9%.
I gateway VPN classica non supportano il protocollo IPv6.
Per le topologie VPN classiche supportate, consulta la pagina delle topologie VPN classica.
Le VPN classiche sono denominate gateway VPN di destinazione nella documentazione dell'API e in Google Cloud CLI.
Tabella di confronto
La tabella seguente mette a confronto le funzionalità VPN ad alta disponibilità con quelle della VPN classica.
| Funzionalità | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Fornisce uno SLA del 99,99% se configurato con due interfacce e due indirizzi IP esterni. | Offre uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di forwarding | Indirizzi IP esterni creati da un pool; non sono necessarie regole di forwarding. | È necessario creare gli indirizzi IP esterni e le regole di forwarding. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri e route). Il routing dinamico è supportato solo per i tunnel che si connettono a software gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Non supportata |
| Risorse API | Nota come risorsa vpn-gateway. |
Nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportata (configurazione IPv4 e IPv6 a doppio stack) | Non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetta ai requisiti elencati in questa sezione. Non supporta scenari client-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client devono "connettersi" a una VPN utilizzando un software VPN client.
Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come la VPN SSL) non sono supportate.
Cloud VPN può essere utilizzato con reti VPC e reti legacy. Per le reti VPC, ti consigliamo di utilizzare le reti VPC in modalità personalizzata per avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.
I gateway VPN classica e ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili a internet). È consentito solo il traffico ESP, UDP 500 e UDP 4500 verso questi indirizzi. Questo si applica agli indirizzi Cloud VPN configurati da te per la VPN classica o agli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella tua rete VPC, per determinare come vengono risolti i conflitti di routing, consulta l'Ordine delle route.
Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classica
- Tra un gateway VPN classica e l'indirizzo IP esterno di una VM di Compute Engine che funge da gateway VPN
Cloud VPN può essere utilizzato con l'accesso privato Google per gli host on-premise. Per maggiori informazioni, consulta la sezione Opzioni di accesso privato per i servizi.
Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.
Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile a internet). Questo indirizzo IP è necessario per configurare Cloud VPN.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurare la regola firewall in modo che passi il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500) verso il gateway. Se la regola firewall fornisce Network Address Translation (NAT), consulta Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato in modo da supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento delle repliche con una finestra di 4096 pacchetti. Non puoi disattivarla.
Cloud VPN supporta il traffico GRE. Il supporto per GRE consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e da Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE consente di utilizzare servizi come Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio del traffico IPv6, a differenza dei tunnel VPN classica.
Larghezza di banda della rete
Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. A seconda della dimensione media dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a una larghezza di banda compresa tra 1 Gbps e 3 Gbps.
Le metriche relative a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e metriche.
Considera che l'unità per le metriche è byte, mentre il limite di 3 Gbps si riferisce ai bit al secondo. Quando convertito in byte, il limite è di 375 megabyte al secondo (MBps). Quando misuri l'utilizzo rispetto al limite, usa la somma di Sent bytes e Received bytes rispetto al limite convertito di 375 MBps.
Per informazioni su come creare criteri di avviso, vedi Definire gli avvisi per la larghezza di banda del tunnel VPN.
Per informazioni sull'utilizzo del motore per suggerimenti sull'utilizzo del tunnel VPN, consulta la pagina relativa al controllo dell'utilizzo eccessivo del tunnel VPN.
Fattori che influiscono sulla larghezza di banda
La larghezza di banda effettiva dipende da diversi fattori:
Connessione di rete tra il gateway Cloud VPN e il gateway peer:
Larghezza di banda di rete tra i due gateway. Se hai stabilito una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quella che otterresti se il traffico VPN venisse inviato sulla rete Internet pubblica.
Tempo di round trip (RTT) e perdita di pacchetti. Un RTT elevato o tassi di perdita di pacchetti riducono notevolmente le prestazioni TCP.
Funzionalità del gateway VPN peer. Per ulteriori informazioni, consulta la documentazione del dispositivo.
Dimensioni pacchetto. Cloud VPN utilizza un'unità di trasmissione massima (MTU) di 1460 byte. I gateway VPN peer devono essere configurati in modo da utilizzare una MTU non superiore a 1460 byte. Poiché l'elaborazione avviene in base al pacchetto, per una determinata frequenza di pacchetto, un numero significativo di pacchetti più piccoli può ridurre la velocità effettiva complessiva. Per tenere conto dell'overhead ESP, potresti anche dover impostare i valori MTU per i sistemi che inviano il traffico attraverso i tunnel VPN su valori inferiori al MTU del tunnel. Per una discussione dettagliata e consigli, consulta le considerazioni sulla MTU.
Frequenza pacchetti. Per il traffico in entrata e in uscita, la quantità massima di pacchetti consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una frequenza superiore, devi creare più tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più flussi TCP simultanei. Se usi lo strumento iperf, usa il parametro -P per specificare il numero di stream simultanei.
MTU tunnel
Cloud VPN utilizza sempre una MTU di 1460 byte. Se le VM e le reti su entrambi i lati del tunnel hanno MTU più elevati, Cloud VPN utilizza il blocco MSS per ridurre l'impostazione della MTU TCP a 1460. I gateway VPN possono anche utilizzare messaggi di errore ICMP per abilitare il rilevamento MTU del percorso (PMTUD), impostando quindi un valore MTU inferiore per i pacchetti UDP.
Se i pacchetti UDP vengono ignorati, puoi ridurre la MTU delle VM specifiche che comunicano attraverso il tunnel. Per le VM Windows e le immagini fornite dall'utente è sufficiente impostare un valore MTU inferiore. Per le immagini Linux fornite da Google, devi anche disattivare gli aggiornamenti MTU DHCP per le VM.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non nella VPN classica.
Puoi creare gateway e tunnel VPN ad alta disponibilità che connettono reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste reti possono essere reti on-premise, reti multi-cloud o altre reti VPC. Per il trasporto del traffico IPv6 nei tunnel VPN ad alta disponibilità, le reti VPC abilitate per IPv6 devono includere subnet a due stack. Inoltre, alle subnet devono essere assegnati intervalli IPv6 interni.
Quando crei i tunnel VPN per un gateway VPN ad alta disponibilità abilitato per IPv6, devi anche configurare il router Cloud associato in modo da abilitare lo scambio di prefissi IPv6 nelle sessioni BGP. Il router Cloud utilizza BGP multiprotocollo (MP-BGP) e annuncia i prefissi IPv6 sugli indirizzi IPv4 BGP. Per pubblicizzare i prefissi IPv6, le sessioni BGP sul router Cloud richiedono la configurazione degli indirizzi dell'hop successivo IPv6. Puoi configurare gli indirizzi dell'hop successivo IPv6 per le sessioni BGP automaticamente o manualmente.
Quando configuri manualmente gli indirizzi dell'hop successivo IPv6, devi selezionarli
dall'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64. Questi intervalli sono stati preallocati da Google. Gli indirizzi dell'hop successivo IPv6 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.
Se selezioni la configurazione automatica, Google Cloud crea automaticamente gli indirizzi dell'hop successivo IPv6 dall'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64.
Anche se le sessioni BGP possono scambiare prefissi IPv6, ai peer BGP e BGP del router Cloud devono essere assegnati indirizzi IPv4, automaticamente o manualmente. Le sessioni BGP solo IPv6 non sono supportate. Per maggiori dettagli sul supporto IPv6, vedi Informazioni sul router Cloud.
Supporto di IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave precondivisa IKE (secret condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue filtri relativi ai criteri per i pacchetti di autenticazione in arrivo. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato nel gateway Cloud VPN.
Per le linee guida per la creazione di una chiave precondivisa efficace, consulta Generare una chiave precondivisa efficace. Per le crittografie e i parametri di configurazione supportati da Cloud VPN, consulta Cifrari IKE supportati.
Rilevamento IKE e di peer potenzialmente non attivo
Cloud VPN supporta il rilevamento dei peer non funzionanti (DPD), in base alla sezione sul protocollo DPD di RFC 3706.
Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD in qualsiasi momento, secondo RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. Il tunnel VPN in stato non integro a sua volta causa la rimozione delle route che utilizzano questo tunnel come hop successivo (route BGP o route statiche) che attiva un failover del traffico delle VM verso altri tunnel VPN integri.
L'intervallo DPD non è configurabile in Cloud VPN.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il dispositivo peer in modo che supporti NAT-Traversal (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella panoramica avanzata.
Cloud VPN come rete di trasferimento dati
Prima di utilizzare Cloud VPN, consulta attentamente la Sezione 2 dei Termini di servizio generali per Google Cloud.
Con Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere reti on-premise insieme, passando il traffico tra di loro come una rete di trasferimento dati. Puoi connettere le reti collegando una coppia di tunnel a uno spoke di Network Connectivity Center per ogni località on-premise. Quindi, connetti ciascuno spoke a un hub di Network Connectivity Center.
Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.
Supporto BYOIP (Bring your own IP)
Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, consulta la pagina relativa al supporto per gli indirizzi BYOIP.
Opzioni di routing attivo/attivo e attivo/passivo per VPN ad alta disponibilità
Se un tunnel Cloud VPN non funziona, si riavvia automaticamente. In caso di errore di un intero dispositivo VPN virtuale, Cloud VPN ne crea automaticamente un'istanza con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). A seconda del modo in cui configuri le priorità di route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attivo/attivo o attivo/passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente confronta le funzionalità di una configurazione di routing attivo/attivo o attivo/passivo.
| Funzionalità | Attivo/Attivo | Attivo/passivo |
|---|---|---|
| Velocità effettiva | La velocità effettiva aggregata effettiva è la velocità effettiva combinata di entrambi i tunnel. | Dopo essere stata ridotta da due tunnel attivi a uno, la velocità effettiva complessiva effettiva si dimezza, il che può comportare una connettività più lenta o la perdita di pacchetti. |
| Annuncio di route | Il gateway peer annuncia le route della rete peer con valori MED identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche. Il traffico in uscita inviato alla rete peer utilizza il routing ECMP (equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per pubblicizzare le route alla tua rete VPC. Il gateway peer utilizza la tecnologia ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud. |
Il gateway peer annuncia le route della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse. Il traffico in uscita inviato alla rete peer utilizza la route con la priorità più alta, purché il tunnel associato sia disponibile. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzare le route alla tua rete VPC. Il gateway peer può utilizzare solo il tunnel con la priorità più alta per inviare traffico a Google Cloud. |
| Esegui il failover | Se il tunnel non è integro, ad esempio perché il DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica una sessione BGP, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare lo stato non integro di un tunnel. Il processo di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. |
Se il tunnel non è integro, ad esempio perché il DPD non è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica una sessione BGP, il router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare lo stato non integro di un tunnel. Il processo di ritiro può richiedere da 40 a 60 secondi, durante i quali è prevista la perdita di pacchetti. Utilizza al massimo un tunnel alla volta in modo che il secondo tunnel sia in grado di gestire tutta la larghezza di banda in uscita in caso di errore del primo tunnel e per il quale è necessario eseguire il failover. |
Routing attivo/passivo in topologie mesh complete
Se il router Cloud riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa nella rete VPC solo la route con la priorità più alta. Le altre route inattive non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è più disponibile, il router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile creare route in modo che una parte del traffico attraversi un tunnel, mentre un altro attraversi un altro tunnel a causa delle priorità delle route (valori MED). Allo stesso modo, puoi regolare la priorità di base utilizzata dal router Cloud per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attive/attive né puramente attive/passive.
Opzione di routing consigliata
Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo/passivo. Con questa configurazione, la capacità della larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità della larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, tranne per lo scenario di più gateway descritto in precedenza.
Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione del routing attivo/attivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel è il doppio rispetto alla capacità di larghezza di banda garantita. Tuttavia, questa configurazione esegue il provisioning efficace dei tunnel e può causare la perdita di traffico in caso di failover.
Limitazione degli indirizzi IP peer attraverso un tunnel Cloud VPN
Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo di criteri che limiti gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.
Per la procedura che descrive la procedura per limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida da e verso le tue reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella vista Network Topology.
Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa in grado di comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, aggrega tutte le entità di base nella rispettiva gerarchia di primo livello.
Ad esempio, Network Topology aggrega i tunnel VPN nella loro connessione gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone dei gateway VPN.
Per ulteriori informazioni, consulta la panoramica di Network Topology.
Manutenzione e disponibilità
Cloud VPN è sottoposto a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN vengono portati offline, con brevi cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ristabiliti automaticamente.
La manutenzione per Cloud VPN è una normale attività operativa che può essere eseguita in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere abbastanza brevi da non influire sullo SLA di Cloud VPN.
La VPN ad alta disponibilità è il metodo consigliato per configurare le VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per le opzioni di ridondanza e ad alta velocità effettiva, consulta la pagina delle topologie VPN classica.
Best practice
Per creare Cloud VPN in modo efficace, segui queste best practice.
Passaggi successivi
Per utilizzare scenari di alta disponibilità e velocità effettiva o scenari di più subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.