Nesta página, você verá conceitos relacionados ao Google Cloud VPN. Para ver definições de termos usados na documentação do Cloud VPN, consulte Terminologia importante.
O Cloud VPN conecta com segurança sua rede de peering à sua rede de nuvem privada virtual (VPC) por meio de uma conexão IPsec VPN. O tráfego transmitido entre as duas redes é criptografado por um gateway de VPN e descriptografado por outro gateway de VPN. Isso protege os dados enquanto eles são transmitidos pela Internet. Também é possível conectar duas instâncias do Cloud VPN uma com a outra.
Escolher uma solução de rede híbrida
Para escolher entre Cloud VPN, Interconexão dedicada, Interconexão por parceiro ou Cloud Router como sua conexão de rede híbrida com o Google Cloud, consulte Como escolher um produto de conectividade de rede.
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud VPN em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Teste o Cloud VPN gratuitamenteSe você quiser criptografia IPsec e uma conexão que não percorra a Internet pública, implante a VPN de alta disponibilidade pelo Cloud Interconnect.
Tipos de Cloud VPN
O Google Cloud oferece dois tipos de gateways do Cloud VPN: VPN de alta disponibilidade e VPN clássica. No entanto, alguns recursos da VPN clássica foram descontinuados. Para mais informações, consulte a Suspensão de uso parcial do roteamento dinâmico da VPN clássica.
Para informações sobre como migrar para a VPN de alta disponibilidade, consulte Mover para a VPN de alta disponibilidade.
VPN de alta disponibilidade
A VPN de alta disponibilidade (HA, na sigla em inglês) do Cloud VPN permite conectar sua rede local com segurança à rede de nuvem privada virtual (VPC) por meio de uma conexão VPN IPsec em uma única região. A VPN de alta disponibilidade fornece um SLA de 99,99% de disponibilidade de serviço.
Quando você cria um gateway de VPN de alta disponibilidade, o Google Cloud escolhe automaticamente dois endereços IPv4 externos, um para cada número fixo de duas interfaces. Cada endereço IPv4 é escolhido automaticamente de um pool de endereços exclusivo para oferecer alta disponibilidade. Cada uma das interfaces de gateway da VPN de alta disponibilidade é compatível com vários túneis. Também é possível criar vários gateways de VPN de alta disponibilidade. Quando você exclui o gateway da VPN de alta disponibilidade, o Google Cloud libera os endereços IP para reutilização. É possível configurar um gateway de VPN de alta disponibilidade com apenas uma interface ativa e um endereço IP público. No entanto, essa configuração não fornece um SLA de disponibilidade de serviço de 99,99%.
Uma opção para usar a VPN de alta disponibilidade é implantar a VPN de alta disponibilidade pelo Cloud Interconnect. A VPN de alta disponibilidade no Cloud Interconnect proporciona o benefício de criptografia IPsec que você recebe do Cloud VPN e também implanta a capacidade maior do Cloud Interconnect. Além disso, como você está usando o Cloud Interconnect, seu tráfego de rede nunca é necessário para as comunicações pela Internet pública. A adição da criptografia IPsec ao tráfego do Cloud Interconnect é importante para atender à criptografia de dados e a outras necessidades de conformidade, especialmente se você precisa se conectar a um provedor de serviços de terceiros, o que é um requisito da Interconexão por parceiro.
Na documentação da API e nos comandos gcloud, os gateways da VPN de alta
disponibilidade são chamados de gateways da VPN em vez de gateways da VPN de destino.
Você não precisa criar regras de encaminhamento para gateways de VPN de alta disponibilidade.
A VPN de alta disponibilidade usa um recurso de gateway de VPN externo no Google Cloud para fornecer informações ao Google Cloud sobre seu gateway de VPN de peering ou gateways.
Requisitos da VPN de alta disponibilidade
É necessário que a configuração do Cloud VPN cumpra os seguintes requisitos para alcançar uma disponibilidade de nível de serviço de 99,99% para a VPN de alta disponibilidade:
Quando você conecta um gateway de VPN de alta disponibilidade a seu gateway de peering, a disponibilidade de 99,99% é garantida apenas no lado da conexão do Google Cloud. A disponibilidade de ponta a ponta está sujeita à configuração adequada do gateway de VPN de peering.
Se ambos os lados forem gateways do Google Cloud e estiverem configurados corretamente, a disponibilidade de ponta a ponta de 99,99% está garantida.
Para conseguir alta disponibilidade quando os dois gateways da VPN estiverem localizados em redes VPC, é necessário usar dois gateways de VPN de alta disponibilidade localizados na mesma região.
Embora ambos os gateways devam estar localizados na mesma região, se sua rede VPC usar o modo de roteamento dinâmico global, as rotas para as sub-redes que os gateways compartilham entre si podem estar localizadas. em qualquer região. Se sua rede VPC usar o modo de roteamento dinâmico regional, somente rotas para sub-redes na mesma região serão compartilhadas com a rede com peering. As rotas aprendidas são aplicadas somente às sub-redes na mesma região do túnel da VPN.
Para mais informações, consulte Modo de roteamento dinâmico.
Quando você conecta um gateway de VPN de alta disponibilidade a outro, os gateways precisam usar tipos de pilha de IP idênticos. Por exemplo, se você criar um gateway de VPN de alta disponibilidade com o tipo de pilha de
IPV4_IPV6, o outro gateway de VPN de alta disponibilidade também precisará ser definido comoIPV4_IPV6.A VPN de alta disponibilidade rejeita endereços IP do Google Cloud quando eles são configurados em um recurso de gateway de VPN externa, por exemplo, usando o endereço IP externo de uma instância de VM como o endereço IP externo para o recurso de gateway de VPN externa. para criar um anexo da VLAN de monitoramento. A única topologia de VPN de alta disponibilidade aceita entre redes do Google Cloud é onde a VPN de alta disponibilidade é usada em ambos os lados, conforme documentado em Criar uma VPN de alta disponibilidade entre redes do Google Cloud.
Configure dois túneis de VPN a partir da perspectiva do gateway da VPN do Cloud:
- Se você tiver dois dispositivos de gateway de VPN de peering, será necessário que os túneis de cada interface no gateway de VPN do Cloud estejam conectados ao próprio gateway de peering.
- Se você tiver um único dispositivo de gateway de VPN de peering com duas interfaces, será necessário que os túneis de cada interface do gateway de VPN do Cloud estejam conectados à própria interface no gateway de peering.
- Se você tiver um único dispositivo de gateway de VPN de peering com uma única interface, será necessário que ambos os túneis de cada interface no gateway de VPN do Cloud estejam conectados à mesma interface no gateway de peering.
Um dispositivo de VPN de peering deve ser configurado com a redundância adequada. O fornecedor do dispositivo especifica os detalhes de uma configuração adequadamente redundante, o que pode incluir várias instâncias de hardware. Para detalhes, consulte a documentação do fornecedor sobre o dispositivo de VPN de peering.
Se dois dispositivos de peering forem necessários, será preciso que cada um deles esteja conectado a uma interface de gateway de VPN de alta disponibilidade diferente. Se o lado do peering for outro provedor de nuvem, como a AWS, será necessário que as conexões de VPN também estejam configuradas com a redundância adequada no lado da AWS.
Seu dispositivo de gateway de VPN de peering deve suportar o roteamento dinâmico (BGP).
O diagrama a seguir mostra o conceito de VPN de alta disponibilidade, mostrando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade conectadas a dois gateways de VPN de peering. Para ver topologias de VPN de alta disponibilidade mais detalhadas (cenários de configuração), consulte Topologias do Cloud VPN.
VPN clássica
Todos os gateways do Cloud VPN criados antes da introdução da VPN de alta disponibilidade são considerados gateways da VPN clássica. Para migrar da VPN clássica para a VPN de alta disponibilidade, veja as instruções detalhadas.
Por outro lado, os gateways de VPN clássica têm uma única interface, um único endereço IP externo e aceitam túneis que usam roteamento estático (com base em políticas ou rota). Também é possível configurar o roteamento dinâmico (BGP) para a VPN clássica, mas apenas para túneis que se conectam a um software de gateway de VPN de terceiros em execução nas instâncias de VM do Google Cloud.
Os gateways de VPN clássica fornecem um SLA de 99,9% de disponibilidade de serviço.
Os gateways de VPN clássica não são compatíveis com IPv6.
Para topologias de VPN clássica compatíveis, consulte a página Topologias de VPN clássica.
VPNs clássicas são chamadas de gateways de VPN de destino na documentação da API e na Google Cloud CLI.
Tabela de comparação
A tabela a seguir compara os recursos da VPN de alta disponibilidade com os recursos da VPN clássica.
| Recurso | VPN de alta disponibilidade | VPN clássica |
|---|---|---|
| SLA | Fornece um SLA de 99,99% quando configurado com duas interfaces e dois endereços IP externos. | Fornece um SLA de 99,9% |
| Criação de endereços IP externos e regras de encaminhamento | Endereços IP externos criados a partir de um pool. nenhuma regra de encaminhamento necessária. | É preciso criar endereços IP externos e regras de encaminhamento. |
| Opções de roteamento compatíveis | Somente roteamento dinâmico (BGP) | Roteamento estático (baseado em políticas e em rotas). O roteamento dinâmico é compatível apenas com túneis que se conectam a um software de gateway de VPN de terceiros em execução nas instâncias de VM do Google Cloud. |
| Dois túneis de um gateway da VPN do Cloud para o mesmo gateway de peering | Suporte | Incompatível |
| Recursos de API | Conhecido como o recurso vpn-gateway. |
Conhecido como o recurso target-vpn-gateway. |
| Tráfego IPv6 | Compatível (configuração de pilha dupla IPv4 e IPv6) | Sem suporte |
Especificações
O Cloud VPN tem as seguintes especificações:
O Cloud VPN é compatível apenas com conectividade VPN IPsec de site para site, sujeito aos requisitos listados nesta seção. Ele não é compatível com cenários de cliente para gateway. Em outras palavras, o Cloud VPN não é compatível com casos de uso em que os computadores clientes precisam "discar" para uma VPN usando software de VPN cliente.
O Cloud VPN aceita apenas o IPsec. Outras tecnologias VPN, como VPN SSL, não são compatíveis.
É possível usar o Cloud VPN com redes de VPC e redes legadas. Para redes VPC, recomendamos redes VPC de modo personalizado para que você tenha controle total sobre os intervalos de endereços IP usados pelas sub-redes na rede.
Gateways de VPN clássica e de VPN de alta disponibilidade usam endereços IPv4 externos (roteáveis na Internet). Somente o tráfego ESP, UDP 500 e UDP 4500 é permitido nesses endereços. Isso se aplica aos endereços do Cloud VPN que você configurou para a VPN clássica ou aos endereços atribuídos automaticamente para a VPN de alta disponibilidade.
Se os intervalos de endereços IP para sub-redes locais se sobrepuserem a endereços IP usados por sub-redes em sua rede VPC, para determinar como os conflitos de roteamento são resolvidos, consulte Ordem de rotas.
O seguinte tráfego do Cloud VPN permanece na rede de produção do Google:
- Entre dois gateways de VPN de alta disponibilidade
- Entre dois gateways de VPN clássica
- Entre um gateway de VPN clássica e o endereço IP externo de uma VM do Compute Engine que atua como um gateway da VPN
O Cloud VPN pode ser usado com o Acesso privado do Google para hosts locais. Para mais informações, consulte Opções de acesso privado para serviços.
É necessário que cada gateway do Cloud VPN esteja conectado a outro gateway do Cloud VPN ou a um gateway de VPN de peering.
É necessário que o gateway de VPN de peering tenha um endereço IPv4 externo estático (roteável na Internet). Esse endereço IP é necessário para configurar o Cloud VPN.
- Se o gateway de VPN de peering estiver protegido por firewall, configure o firewall para transmitir a ele o protocolo ESP (IPsec) e o tráfego do IKE (UDP 500 e UDP 4500). Se o firewall fornecer conversão de endereços de rede (NAT), consulte Encapsulamento UDP e NAT-T.
O Cloud VPN requer que o gateway da VPN de peering seja compatível com a pré-fragmentação. É necessário fragmentar os pacotes antes do encapsulamento.
O Cloud VPN usa a detecção de nova reprodução com uma janela de 4.096 pacotes. Não é possível desativá-la.
O Cloud VPN é compatível com tráfego GRE. A compatibilidade com GRE permite que você encerre o tráfego GRE em uma VM pela Internet (endereço IP externo) e do Cloud VPN ou do Cloud Interconnect (endereço IP interno). O tráfego delimitado pode ser encaminhado para um destino acessível. O GRE permite que você use serviços como o Secure Access Service Edge (SASE) e o SD-WAN. É necessário criar uma regra de firewall para permitir o tráfego GRE.
Os túneis de VPN de alta disponibilidade são compatíveis com a troca de tráfego IPv6, mas os túneis de VPN clássica não.
Largura de banda da rede
Cada túnel do Cloud VPN aceita até 250.000 pacotes por segundo para a soma do tráfego de entrada e saída. Dependendo do tamanho médio do pacote no túnel, 250.000 pacotes por segundo são equivalentes a uma largura de banda entre 1 Gbps e 3 Gbps.
As métricas relacionadas a esse limite são Sent bytes e Received bytes, descritas em
Ver registros e métricas.
Considere que a unidade das métricas é bytes, enquanto o limite de 3 Gbps se refere a bits por segundo. Quando convertido em bytes, o limite é de 375 megabytes por segundo (MBps). Ao medir o uso em relação ao limite, use a soma de Sent bytes e Received bytes
em comparação com o limite convertido de 375 MBps.
Para mais informações sobre como criar políticas de alertas, consulte Definir alertas para a largura de banda do túnel de VPN.
Para informações sobre como usar o recomendador de utilização do túnel de VPN, consulte Verificar a utilização excessiva do túnel de VPN.
Fatores que afetam a largura de banda
A largura de banda real depende de vários fatores:
A conexão de rede entre o gateway do Cloud VPN e seu gateway de peering:
Largura de banda da rede entre os dois gateways. Se você tiver estabelecido uma relação de Peering direto com o Google, a capacidade será maior do que se o tráfego da VPN for enviado pela Internet pública.
Tempo de retorno (RTT) e perda de pacotes. Taxas elevadas de RTT e/ou perda de pacotes reduzem significativamente o desempenho do TCP.
Recursos do gateway da VPN de peering. Para mais informações, consulte a documentação do dispositivo.
Tamanho do pacote. O Cloud VPN usa uma Unidade máxima de transmissão (MTU, na sigla em inglês) de 1.460 bytes. É necessário configurar os gateways da VPN de peering para que usem uma MTU de no máximo 1.460 bytes. Como o processamento ocorre por pacote, para uma determinada taxa de pacotes, um número significativo de pacotes menores reduz a capacidade geral. Para compensar a sobrecarga de ESP, talvez seja necessário definir os valores de MTU dos sistemas que enviam tráfego por meio de túneis da VPN para valores menores que o da MTU do túnel. Para ver uma discussão detalhada e recomendações, consulte Considerações sobre a MTU.
Taxa de pacotes. Para entrada e saída, a taxa máxima de pacotes recomendada para cada túnel do Cloud VPN é de 250.000 pacotes por segundo (pps). Se você precisar enviar pacotes a uma taxa mais alta, será necessário criar mais túneis de VPN.
Ao medir a largura de banda TCP de um túnel de VPN, meça mais de um
fluxo TCP simultâneo. Se você estiver usando a ferramenta iperf, use o parâmetro -P para especificar o número de streams simultâneos.
MTU de túnel
O Cloud VPN sempre usa uma MTU de 1.460 bytes. Se as VMs e as redes em ambos
os lados do túnel tiverem MTUs mais altas, o Cloud VPN usará o MSS
clamping para reduzir a MTU do TCP para 1460. Os gateways da VPN também podem usar
mensagens de erro do ICMP para ativar a descoberta de MTU de caminho
(PMTUD, na sigla em inglês),
definindo uma MTU mais baixa para pacotes de UDP.
Se os pacotes de UDP estiverem sendo descartados, será possível reduzir a MTU das VMs específicas que estão se comunicando pelo túnel. Para VMs do Windows e imagens fornecidas pelo usuário, definir a MTU mais baixa é suficiente. Para imagens do Linux fornecidas pelo Google, você também precisa desativar as atualizações do DHCP MTU para essas VMs.
Suporte a IPv6
O Cloud VPN é compatível com o IPv6 na VPN de alta disponibilidade, mas não na VPN clássica.
É possível criar gateways e túneis de VPN de alta disponibilidade que conectam redes VPC com IPv6 a outras redes compatíveis com IPv6. Essas redes podem ser redes locais, redes de várias nuvens ou outras redes VPC. Para transportar o tráfego IPv6 nos túneis de VPN de alta disponibilidade, as redes VPC ativadas para IPv6 precisam incluir sub-redes de pilha dupla. Além disso, as sub-redes precisam ser atribuídas a intervalos IPv6 internos.
Ao criar os túneis de VPN para um gateway de VPN de alta disponibilidade habilitado para IPv6, também é necessário configurar o Cloud Router associado para ativar a troca do prefixo IPv6 nas sessões do BGP. O Cloud Router usa o BGP multiprotocolo (MP-BGP) e anuncia os prefixos IPv6 nos endereços IPv4 do BGP. Para anunciar prefixos IPv6, as sessões do BGP no Cloud Router exigem a configuração de endereços de próximo salto do IPv6. É possível configurar endereços IP de próximo salto para as sessões do BGP de forma automática ou manual.
Ao configurar manualmente os endereços do próximo salto do IPv6, você precisa selecioná-los
no intervalo 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64. Esses intervalos foram pré-alocados pelo Google. Os endereços de próximo salto IPv6
especificados precisam ser exclusivos entre todos os Cloud Routers em todas as regiões de uma
rede VPC.
Se você selecionar a configuração automática, o Google Cloud criará os próximos endereços
do salto IPv6 do intervalo 2600:2d00:0:2::/64 ou 2600:2d00:0:3::/64.
As sessões do BGP podem trocar prefixos IPv6, mas o BGP do Cloud Router e os pares do BGP precisam receber endereços IPv4 automática ou manualmente. Não há suporte para sessões BGP somente IPv6. Veja detalhes sobre a compatibilidade com o IPv6 em Sobre o Cloud Router.
Suporte a IPsec e IKE
O Cloud VPN aceita o IKEv1 e o IKEv2 usando uma chave pré-compartilhada IKE (chave secreta compartilhada) e criptografias IKE. O Cloud VPN aceita apenas uma chave pré-compartilhada para autenticação. Ao criar o túnel do Cloud VPN, especifique uma chave pré-compartilhada. Ao criar o túnel no gateway de peering, especifique essa mesma chave pré-compartilhada.
O Cloud VPN é compatível com ESP no modo de túnel com autenticação, mas não é compatível com cabeçalho de autenticação (AH, na sigla em inglês) nem ESP no modo de transporte.
É preciso usar o IKEv2 para ativar o tráfego IPv6 na VPN de alta disponibilidade.
A VPN do Cloud não faz filtragem relacionada a política nos pacotes de autenticação recebidos. Os pacotes enviados são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.
Para orientações sobre como criar uma chave pré-compartilhada forte, consulte Gerar uma chave pré-compartilhada forte. Para parâmetros de criptografias e de configuração compatíveis com o Cloud VPN, consulte as criptografias IKE compatíveis.
IKE e detecção de peering inativo
O Cloud VPN é compatível com a detecção de peer inativo (DPD, na sigla em inglês), de acordo com a seção Protocolo DPD da RFC 3706.
Para verificar se o par está ativo, o Cloud VPN pode enviar pacotes de DPD a qualquer momento, de acordo com a RFC 3706. Se as solicitações de DPD não forem retornadas após várias tentativas, o Cloud VPN reconhecerá que o túnel da VPN não está íntegro. O túnel VPN não íntegro, por sua vez, causa a remoção das rotas que usam esse túnel como um próximo salto (rotas BGP ou estáticas) que acionam um failover do tráfego da VM para outros túneis íntegros.
O intervalo da DPD não é configurável no Cloud VPN.
Encapsulamento UDP e NAT-T
Para informações sobre como configurar o dispositivo de mesmo nível para que seja compatível com o NAT-Traversal (NAT-T) com o Cloud VPN, consulte encapsulamento UDP na visão geral avançada.
Cloud VPN como rede de transferência de dados
Antes de usar o Cloud VPN, consulte com atenção a seção 2 dos Termos de serviço gerais do Google Cloud.
Usando o Network Connectivity Center, você pode usar túneis de VPN de alta disponibilidade para conectar redes locais, transmitindo tráfego entre elas como uma rede de transferência de dados. Conecte as redes anexando um par de túneis a um centro de conectividade de rede selecionado para cada local. Depois, conecte cada spoke a um hub da central da conectividade de rede.
Para mais informações sobre a central de conectividade de rede, consulte a Visão geral da central de conectividade de rede.
Suporte para trazer seu próprio IP (BYOIP).
Para informações sobre o uso de endereços BYOIP com o Cloud VPN, consulte Suporte para endereços BYOIP.
Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade
Se um túnel do Cloud VPN ficar fora de serviço, ele será reiniciado automaticamente. Se um dispositivo de VPN virtual inteiro falhar, o Cloud VPN instanciará um novo automaticamente com a mesma configuração. O gateway e o túnel novos se conectam automaticamente.
Túneis de VPN conectados a gateways de VPN de alta disponibilidade usam roteamento dinâmico (BGP). Dependendo da maneira como você configurar as prioridades de rota para túneis de VPN de alta disponibilidade, será possível criar uma configuração de roteamento ativo/ativo ou ativo/passivo. Nas duas configurações de roteamento, os dois túneis de VPN permanecem ativos.
A tabela a seguir compara os recursos de uma configuração de roteamento ativo/passivo com os de um ativo/passivo.
| Recurso | Ativo/ativo | Ativo/passivo |
|---|---|---|
| Capacidade | A capacidade agregada efetiva é a capacidade combinada dos dois túneis. | Após a redução de dois túneis ativos para um, a capacidade geral efetiva é cortada pela metade, o que resulta em conectividade mais lenta ou pacotes descartados. |
| Divulgação de rota | O gateway de peering divulga as rotas da rede de peering com valores MED idênticos para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades idênticas. O tráfego de saída enviado para sua rede de peering usa roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). O mesmo Cloud Router usa prioridades idênticas para divulgar rotas na sua rede VPC. Seu gateway de par usa o ECMP para usar essas rotas e enviar o tráfego de saída para o Google Cloud. |
O gateway de peering divulga as rotas da rede de peering com valores MED diferentes para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades diferentes. O tráfego de saída enviado para sua rede de peering usa a rota com a prioridade mais alta, desde que o túnel associado esteja disponível. O mesmo Cloud Router usa prioridades diferentes para cada túnel para divulgar rotas na sua rede VPC. Seu gateway de par só pode usar o túnel com prioridade mais alta para enviar tráfego ao Google Cloud. |
| Failover | Se o túnel se tornar não íntegro, por exemplo, porque o DPD está inativo, o Cloud Router retirará as rotas aprendidas que tenham como próximos saltos o túnel indisponível. Se uma sessão do BGP ocorrer, o Cloud Router removerá as rotas aprendidas que tenham como próximos saltos o túnel indisponível, sem causar a integridade do túnel. O processo de retirada pode levar de 40 a 60 segundos, período em que a perda de pacotes é esperada. |
Se o túnel se tornar não íntegro, por exemplo, porque o DPD está inativo, o Cloud Router retirará as rotas aprendidas que tenham como próximos saltos o túnel indisponível. Se uma sessão do BGP ocorrer, o Cloud Router removerá as rotas aprendidas que tenham como próximos saltos o túnel indisponível, sem causar a integridade do túnel. O processo de retirada pode levar de 40 a 60 segundos, período em que a perda de pacotes é esperada. Usa no máximo um túnel por vez, de modo que o segundo túnel seja capaz de lidar com toda a largura de banda de saída se o primeiro túnel falhar e precisar sofrer failover. |
Roteamento ativo/passivo em topologias de malha completa
Se o Cloud Router receber o mesmo prefixo com valores de MED diferentes por meio de uma determinada interface do Cloud VPN, ele importará somente a rota com a prioridade mais alta para a rede VPC. As outras rotas inativas não ficam visíveis no Console do Google Cloud ou na Google Cloud CLI. Se a rota com a prioridade mais alta ficar indisponível, o Cloud Router a removerá e importará automaticamente a melhor rota seguinte para a rede VPC.
Como usar vários túneis ou gateways
Dependendo da configuração do gateway de peering, é possível construir rotas de forma que parte do tráfego atravesse um túnel e outra atravesse outro túnel devido às prioridades da rota (valores MED). Da mesma forma, é possível ajustar a prioridade básica que o Cloud Router usa para compartilhar suas rotas de rede VPC. Essas situações demonstram possíveis configurações de roteamento que não são puramente ativo/ativo nem puramente ativo/passivo.
Opção de roteamento recomendada
Ao usar um único gateway de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativo/passivo. Com essa configuração, a capacidade de largura de banda observada no momento da operação de túnel normal corresponde à capacidade de largura de banda observada durante o failover. Esse tipo de configuração é mais fácil de gerenciar, já que o limite de largura de banda observado permanece constante, exceto no cenário de vários gateways descrito anteriormente.
Ao usar vários gateways de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativa/ativa. Com essa configuração, a capacidade de largura de banda observada no momento da operação normal é duas vezes maior do que a capacidade de largura de banda garantida. No entanto, essa configuração não supre efetivamente os túneis e causa a queda do tráfego em caso de failover.
Como restringir endereços IP de peering por meio de um túnel do Cloud VPN
Se você for um administrador de políticas da organização, poderá criar uma restrição de política que restrinja os endereços IP que os usuários podem especificar para os gateways de VPN de peering.
A restrição se aplica a todos os túneis do Cloud VPN (VPN clássica e VPN de alta disponibilidade) em um projeto, uma pasta ou uma organização específica.
Veja as etapas que descrevem como restringir endereços IP em Restringir endereços IP para gateways de VPN de peering.
Como visualizar e monitorar conexões do Cloud VPN
A Topologia de rede é uma ferramenta de visualização que mostra a topologia das redes VPC, a conectividade híbrida de e para as redes locais e as métricas associadas. É possível visualizar os gateways e túneis de VPN do Cloud VPN como entidades na visualização da Topologia de rede.
A entidade base é o nível mais baixo de uma determinada hierarquia e representa um recurso que pode se comunicar diretamente com outros recursos em uma rede. A Topologia de rede agrega entidades de base em entidades hierárquicas que podem ser expandidas ou recolhidas. Ao visualizar um gráfico da Topologia de rede pela primeira vez, ele agrega todas as entidades base na hierarquia de nível superior dele.
Por exemplo, a Topologia de rede agrega túneis da VPN na conexão de gateway da VPN. É possível visualizar a hierarquia expandindo ou recolhendo os ícones do gateway da VPN.
Para mais informações, consulte a visão geral da Topologia de rede.
Manutenção e disponibilidade
O Cloud VPN é submetido a manutenção periódica. Durante a manutenção, os túneis do Cloud VPN ficam off-line, o que resulta em breves quedas no tráfego da rede. Quando a manutenção é concluída, eles são restabelecidos automaticamente.
A manutenção do Cloud VPN é uma tarefa operacional normal que ocorre a qualquer momento sem aviso prévio. Os períodos de manutenção são projetados para serem curtos o suficiente para que o SLA do Cloud VPN não seja afetado.
A VPN de alta disponibilidade é o método recomendado para configurar VPNs de alta disponibilidade. Para ver opções de configuração, consulte a página de topologias da VPN de alta disponibilidade. Se você estiver usando a VPN clássica para ter opções de redundância e alta capacidade, consulte a página de topologias da VPN clássica.
Práticas recomendadas
Para criar o Cloud VPN com eficiência, use estas práticas recomendadas.
A seguir
Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.