Visão geral do Cloud VPN

Nesta página, você verá conceitos relacionados ao Google Cloud VPN.

O Cloud VPN conecta com segurança sua rede de peering à sua rede de nuvem privada virtual (VPC) por meio de uma conexão VPN IPsec. O tráfego transmitido entre as duas redes é criptografado e descriptografado por gateways de VPN diferentes. Isso protege os dados enquanto eles são transmitidos pela Internet. Também é possível conectar duas instâncias do Cloud VPN uma com a outra.

Para ver definições de termos usados na documentação do Cloud VPN, consulte Terminologia importante.

Como escolher uma solução de rede híbrida

Para escolher entre Cloud VPN, Interconexão dedicada, Interconexão por parceiro ou Cloud Router como sua conexão de rede híbrida com o Google Cloud, consulte Como escolher um produto de conectividade de rede.

Tipos de Cloud VPN

O Google Cloud oferece dois tipos de gateways do Cloud VPN: VPN de alta disponibilidade e VPN clássica.

Para informações sobre como migrar para a VPN de alta disponibilidade, consulte a seção Como migrar para a VPN de alta disponibilidade da VPN clássica.

VPN de alta disponibilidade

A VPN de alta disponibilidade (HA, na sigla em inglês) do Cloud VPN permite conectar sua rede local com segurança à rede de nuvem privada virtual (VPC) por meio de uma conexão VPN IPsec em uma única região. A VPN de alta disponibilidade fornece um SLA de 99,99% de disponibilidade de serviço.

Quando você cria um gateway de VPN de alta disponibilidade, o Google Cloud escolhe automaticamente dois endereços IP externos, um para cada número fixo de duas interfaces. Cada endereço IP é escolhido automaticamente de um pool de endereços exclusivo para oferecer alta disponibilidade. Cada uma das interfaces de gateway da VPN de alta disponibilidade é compatível com vários túneis. Também é possível criar vários gateways de VPN de alta disponibilidade. Quando você exclui o gateway da VPN de alta disponibilidade, o Google Cloud libera os endereços IP para reutilização. É possível configurar um gateway de VPN de alta disponibilidade com apenas uma interface ativa e um endereço IP público. No entanto, essa configuração não fornece um SLA de disponibilidade de serviço de 99,99%.

Na documentação da API e nos comandos gcloud, os gateways da VPN de alta disponibilidade são chamados de gateways da VPN em vez de gateways da VPN de destino. Você não precisa criar regras de encaminhamento para gateways de VPN de alta disponibilidade.

A VPN de alta disponibilidade usa um recurso de gateway de VPN externo no Google Cloud para fornecer informações ao Google Cloud sobre o(s) gateway(s) de VPN de peering.

Requisitos da VPN de alta disponibilidade

É necessário que a configuração do Cloud VPN cumpra os seguintes requisitos para alcançar uma disponibilidade de nível de serviço de 99,99% para a VPN de alta disponibilidade:

  • Quando você conecta um gateway de VPN de alta disponibilidade a seu gateway de peering, a disponibilidade de 99,99% é garantida apenas no lado da conexão do Google Cloud. A disponibilidade de ponta a ponta está sujeita à configuração adequada do gateway de VPN de peering.

  • Se ambos os lados forem gateways do Google Cloud e estiverem configurados corretamente, a disponibilidade de ponta a ponta de 99,99% está garantida.

  • Para conseguir alta disponibilidade quando os dois gateways da VPN estiverem localizados em redes VPC, é necessário usar dois gateways de VPN de alta disponibilidade localizados na mesma região.

    Mesmo que seja necessário que ambos os gateways estejam localizados na mesma região, as rotas para as sub-redes compartilhadas entre eles poderão estar localizadas em qualquer região se a rede VPC usar o modo de roteamento dinâmico global. Se a rede VPC usar esse modo, somente rotas para sub-redes na mesma região serão compartilhadas com a rede com peering, e rotas aprendidas serão aplicadas somente às sub-redes na mesma região do túnel da VPN.

    Para mais informações sobre o modo de roteamento dinâmico de uma rede VPC, consulte a Visão geral da rede VPC.

  • A VPN de alta disponibilidade rejeita endereços IP do Google Cloud quando eles forem configurados em um recurso de gateway de VPN externo. Um exemplo disso é usar o endereço IP externo de uma instância de VM como o endereço IP externo do recurso de gateway de VPN externo. A única topologia de VPN de alta disponibilidade do Google Cloud para Google Cloud compatível é aquela em que a VPN de alta disponibilidade é usada em ambos os lados, conforme documentado em Como criar gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud.

  • É necessário configurar dois túneis de VPN da perspectiva do gateway da VPN do Cloud:

    • Se você tiver dois dispositivos de gateway de VPN de peering, será necessário que os túneis de cada interface no gateway de VPN do Cloud estejam conectados ao próprio gateway de peering.
    • Se você tiver um único dispositivo de gateway de VPN de peering com duas interfaces, será necessário que os túneis de cada interface do gateway de VPN do Cloud estejam conectados à própria interface no gateway de peering.
    • Se você tiver um único dispositivo de gateway de VPN de peering com uma única interface, será necessário que ambos os túneis de cada interface no gateway de VPN do Cloud estejam conectados à mesma interface no gateway de peering.
  • É necessário configurar um dispositivo de VPN de peering com a redundância adequada. Os detalhes de uma configuração adequadamente redundante são especificados pelo fornecedor do dispositivo e podem ou não incluir várias instâncias de hardware. Para detalhes, consulte a documentação do fornecedor sobre o dispositivo de VPN de peering.

    Se dois dispositivos de peering forem necessários, será preciso que cada um deles esteja conectado a uma interface de gateway de VPN de alta disponibilidade diferente. Se o lado do peering for outro provedor de nuvem, como a AWS, será necessário que as conexões de VPN também estejam configuradas com a redundância adequada no lado da AWS.

  • É necessário que seu dispositivo de gateway de VPN de peering seja compatível com roteamento dinâmico (BGP).

O diagrama a seguir mostra o conceito de VPN de alta disponibilidade, mostrando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade conectadas a dois gateways de VPN de peering. Para ver topologias de VPN de alta disponibilidade mais detalhadas (cenários de configuração), consulte Topologias do Cloud VPN.

Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)
Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)

VPN clássica

Por outro lado, os gateways de VPN clássica têm uma única interface e um único endereço IP externo, bem como são compatíveis com túneis que usam roteamento dinâmico (BGP) ou estático (com base em rota ou política). Eles fornecem um SLA de 99,9% de disponibilidade de serviço.

Para topologias de VPN clássica compatíveis, consulte a página Topologias de VPN clássica.

VPNs clássicas são chamadas de gateways de VPN de destino na documentação da API e nos comandos gcloud.

Tabela de comparação

A tabela a seguir compara os recursos da VPN de alta disponibilidade com os da VPN clássica.

Recurso VPN de alta disponibilidade VPN clássica
SLA Fornece um SLA de 99,99% quando configurado com duas interfaces e dois IPs externos Fornece um SLA de 99,9%
Criação de IPs externos e regras de encaminhamento IPs externos criados de um pool. Sem necessidade de regras de encaminhamento É necessário criar IPs externos e regras de encaminhamento
Opções de roteamento compatíveis Somente roteamento dinâmico (BGP) Roteamento estático (com base em rota e em política) ou roteamento dinâmico usando o BGP
Dois túneis de um gateway da VPN do Cloud para o mesmo gateway de peering Suporte Incompatível
Recursos de API Conhecido como o recurso de gateway de VPN Conhecido como o recurso target-vpn-gateway

Especificações

O Cloud VPN tem as seguintes especificações:

  • O Cloud VPN é compatível apenas com conectividade VPN IPsec de site para site, sujeito aos requisitos listados nesta seção. Ele não é compatível com cenários de cliente para gateway (road warrior). Em outras palavras, o Cloud VPN não é compatível com casos de uso em que os computadores clientes precisam "discar" para uma VPN usando software de VPN cliente.

    O Cloud VPN aceita apenas o IPSec. Outras tecnologias VPN, como VPN SSL, não são compatíveis.

  • É possível usar o Cloud VPN com redes de VPC e redes legadas. Na VPC, o modo personalizado é recomendado para que você tenha controle total sobre os intervalos de endereços IP usados pelas sub-redes na rede. Para mais informações, consulte a documentação sobre redes VPC em geral, redes legadas e redes de modo personalizado.

    • Gateways de VPN clássica e de VPN de alta disponibilidade usam endereços IPv4 externos (roteáveis na Internet). Somente o tráfego ESP, UDP 500 e UDP 4500 é permitido nesses endereços. Isso se aplica aos endereços do Cloud VPN que você configurou para a VPN clássica ou aos endereços atribuídos automaticamente para a VPN de alta disponibilidade.

    • Se os intervalos de endereços IP para sub-redes no local se sobrepuserem a endereços IP usados por sub-redes em sua rede VPC, consulte Ordem das rotas para determinar como resolver conflitos de roteamento.

  • É possível usar o Cloud VPN em conjunto com o acesso privado do Google para hosts no local. Para mais informações, consulte as opções do acesso privado do Google.

  • É necessário que cada gateway do Cloud VPN esteja conectado a outro gateway do Cloud VPN ou a um gateway de VPN de peering.

  • É necessário que o gateway de VPN de peering tenha um endereço IPv4 externo estático (roteável na Internet). É preciso saber o endereço IP dele para configurar o Cloud VPN.

    • Se seu gateway de VPN de peering estiver protegido por firewall, configure o firewall para transmitir a ele o protocolo ESP (IPsec) e o tráfego do IKE (UDP 500 e UDP 4500). Se o firewall fornecer conversão de endereços de rede (NAT), consulte Encapsulamento UDP e NAT-T.
  • O Cloud VPN requer que o gateway da VPN de peering seja compatível com a pré-fragmentação. É necessário fragmentar os pacotes antes do encapsulamento.

  • O Cloud VPN usa a detecção de nova reprodução com uma janela de 4.096 pacotes. Não é possível desativá-la.

Largura de banda da rede

Cada túnel do Cloud VPN aceita até 3 gigabits por segundo (Gbps) para entrada e saída.

As métricas relacionadas a esse limite são Sent bytes e Received bytes, descritas em Métricas de monitoramento do Cloud VPN. Considere que a unidade das métricas é bytes, enquanto o limite de 3 Gbps se refere a bits por segundo. Quando convertido em bytes, o limite é de 375 megabytes por segundo (MBps). Ao medir o uso em relação ao limite, use a soma de Sent bytes e Received bytes em comparação com o limite convertido de 375 MBps.

Fatores que afetam a largura de banda

A largura de banda real depende de vários fatores:

  • A conexão de rede entre o gateway do Cloud VPN e seu gateway de peering:
    • Largura de banda da rede entre os dois gateways. Se você tiver estabelecido uma relação de peering direto com o Google, a capacidade será maior do que se o tráfego da VPN for enviado pela Internet pública.
    • Tempo de retorno (RTT) e perda de pacotes. Taxas elevadas de RTT e/ou perda de pacotes reduzem significativamente o desempenho do TCP.
  • Recursos do gateway da VPN de peering. Consulte a documentação do dispositivo para ver mais informações.
  • Tamanho do pacote. O Cloud VPN usa uma Unidade máxima de transmissão (MTU, na sigla em inglês) de 1.460 bytes. É necessário configurar os gateways da VPN de peering para que usem uma MTU de no máximo 1.460 bytes. Como o processamento ocorre por pacote, para uma determinada taxa de pacotes, um número significativo de pacotes menores reduz a capacidade geral. Para compensar a sobrecarga de ESP, talvez seja necessário definir os valores de MTU dos sistemas que enviam tráfego por meio de túneis da VPN para valores menores que o da MTU do túnel. Consulte as Considerações sobre MTU para uma discussão detalhada e recomendações.
  • Taxa de pacotes. Para entrada e saída, a taxa máxima de pacotes recomendada para cada túnel do Cloud VPN é de 250.000 pacotes por segundo (pps). Se você precisar enviar pacotes a uma taxa mais alta, será necessário criar mais túneis de VPN.

Ao medir a largura de banda TCP de um túnel de VPN, meça mais de um fluxo TCP simultâneo. Se for usar a ferramenta iperf, use o parâmetro -P para especificar o número de fluxos simultâneos.

Compatibilidade com IPsec e IKE

Observe que o Cloud VPN não realiza filtragem relacionada a políticas nos pacotes de autenticação recebidos. Os pacotes enviados são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.

  • Para autenticação, o Cloud VPN é compatível com apenas uma chave pré-compartilhada (secret compartilhado). É necessário especificar um secret compartilhado ao criar o túnel do Cloud VPN. É necessário especificar esse mesmo secret ao criar o túnel no gateway de peering. Consulte estas diretrizes para criar um secret compartilhado forte.

  • Para parâmetros de criptografias e de configuração compatíveis com o Cloud VPN, consulte as criptografias IKE compatíveis.

Encapsulamento UDP e NAT-T

Para informações sobre como configurar o dispositivo de peering para ser compatível com NAT-T com o Cloud VPN, consulte a seção sobre UDP e NAT-T na Visão geral avançada.

Cloud VPN como rede de trânsito

Analise com atenção os termos específicos de serviço do Google Cloud antes de usar o Cloud VPN.

Não use túneis do Cloud VPN para conectar duas ou mais redes no local com a única finalidade de transmitir tráfego por meio de uma rede VPC como uma rede de trânsito. Configurações de hub e spoke como esta são uma violação dos Termos Específicos de Serviço do Google Cloud.

Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade

Se um túnel do Cloud VPN ficar fora de serviço, ele será reiniciado automaticamente. Se um dispositivo de VPN virtual inteiro falhar, o Cloud VPN instanciará um novo automaticamente com a mesma configuração. O gateway e o túnel novos se conectam automaticamente.

Túneis de VPN conectados a gateways de VPN de alta disponibilidade usam roteamento dinâmico (BGP). Dependendo da maneira como você configurar as prioridades de rota para túneis de VPN de alta disponibilidade, será possível criar uma configuração de roteamento ativo/ativo ou ativo/passivo. Nas duas configurações de roteamento, os dois túneis de VPN permanecem ativos.

A tabela a seguir compara os recursos de uma configuração de roteamento ativo/passivo com os de um ativo/passivo.

Recurso Ativo/ativo Ativo/passivo
Capacidade A capacidade agregada efetiva é a capacidade combinada dos dois túneis. Após a redução de dois túneis ativos para um, a capacidade geral efetiva é cortada pela metade, o que resulta em conectividade mais lenta ou pacotes descartados.
Divulgação de rota O gateway de peering divulga as rotas da rede de peering com valores MED idênticos para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades idênticas.

O tráfego de saída enviado para sua rede de peering usa roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). O mesmo Cloud Router também divulga rotas para sua rede VPC usando prioridades idênticas. O gateway de peering usa essas rotas para enviar tráfego de saída para o Google Cloud usando o ECMP também.
O gateway de peering divulga as rotas da rede de peering com valores MED diferentes para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades diferentes.

O tráfego de saída enviado para sua rede de peering usa a rota com a prioridade mais alta, desde que o túnel associado esteja disponível. O mesmo Cloud Router também divulga rotas para sua rede VPC usando prioridades diferentes para cada túnel. O gateway de peering somente envia tráfego para o Google Cloud usando o túnel com a prioridade mais alta.
Failover Se um túnel ficar indisponível, o Cloud Router retirará as rotas dinâmicas personalizadas aprendidas que tenham como próximos saltos o túnel indisponível. É possível que esse processo de retirada leve até 40 segundos, período em que a perda de pacotes é esperada. Usa no máximo um túnel por vez, para que o segundo túnel seja capaz de processar toda a largura de banda de saída caso o primeiro túnel falhe e precise passar por failover.

Se um túnel ficar indisponível, o Cloud Router retirará as rotas dinâmicas personalizadas aprendidas que tenham como próximos saltos o túnel indisponível. É possível que esse processo de retirada leve até 40 segundos, período em que a perda de pacotes é esperada.

Como usar vários túneis ou gateways

Dependendo da configuração do gateway de peering, é possível construir rotas de modo que parte do tráfego atravesse um túnel e outra atravesse outro túnel devido às prioridades da rota (valores MED). Da mesma forma, é possível ajustar a prioridade básica que o Cloud Router usa para compartilhar suas rotas de rede VPC. Essas situações demonstram possíveis configurações de roteamento que não são puramente ativo/ativo nem puramente ativo/passivo.

Ao usar um único gateway de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativo/passivo. Com essa configuração, a capacidade de largura de banda observada no momento da operação de túnel normal corresponde à capacidade de largura de banda observada durante o failover. Esse tipo de configuração é mais fácil de gerenciar, já que o limite de largura de banda observado permanece constante, exceto no cenário de vários gateways descrito anteriormente.

Ao usar vários gateways de VPN de alta disponibilidade, é recomendável uma configuração ativo/ativo. Com essa configuração, a capacidade de largura de banda observada no momento da operação normal é duas vezes maior do que a capacidade de largura de banda garantida. No entanto, essa configuração não supre efetivamente os túneis e causa a queda do tráfego em caso de failover.

Como restringir endereços IP de peering por meio de um túnel do Cloud VPN

Se você é um administrador de políticas da organização, tem a possibilidade de criar uma restrição de política da organização para definir um conjunto de endereços IP de peering que poderá ser especificado por um usuário ao criar novos túneis do Cloud VPN em um determinado projeto, pasta ou organização.

Os endereços IP do gateway de peering são endereços IP de gateways no local ou de outros gateways do Cloud VPN.

Use a restrição do Resource Manager constraints/compute.restrictVpnPeerIPs para controlar a lista de IPs de peering que podem ser especificados por usuários ao criar novos túneis do Cloud VPN.

No exemplo a seguir, um administrador de política da organização cria uma restrição de política da organização que define o endereço IP do gateway de VPN permitido. Essa restrição tem um allowList que consiste apenas no endereço IP 100.1.1.1.

Os administradores de rede no projeto que contém a rede VPC network-a são capazes de criar apenas novos túneis do Cloud VPN que se conectam ao endereço IP do gateway de peering 100.1.1.1. A restrição não permite a criação de novos túneis do Cloud VPN para um endereço IP de gateway de peering diferente.

Política da organização para restringir peerings de VPN (clique para ampliar)
Política da organização para restringir peerings de VPN (clique para ampliar)

Para ver as etapas que descrevem como restringir endereços IP, consulte as seguintes páginas:

Considerações

  • A restrição da política da organização que restringe os endereços IP de gateway de peering se aplica apenas aos novos túneis do Cloud VPN. Os túneis do Cloud VPN criados depois da aplicação da restrição são proibidos pela restrição. Para mais informações, consulte Noções básicas sobre a hierarquia do Resource Manager.

  • É possível aplicar essa restrição a túneis da VPN clássica que usam roteamento estático ou roteamento dinâmico com BGP ou túneis de alta disponibilidade.

  • É possível especificar várias entradas de allowedList ou deniedList em uma determinada política, mas não é possível usar as duas ao mesmo tempo.

  • Você ou um administrador da rede com as permissões corretas precisa gerenciar e manter o ciclo de vida e a integridade dos túneis da VPN.

Manutenção e disponibilidade

O Cloud VPN é submetido a manutenção periódica. Durante a manutenção, os túneis do Cloud VPN ficam off-line, o que resulta em breves quedas no tráfego da rede. Quando a manutenção for concluída, eles serão restabelecidos automaticamente.

A manutenção do Cloud VPN é uma tarefa operacional normal que ocorre a qualquer momento sem aviso prévio. Os períodos de manutenção são projetados para serem curtos o suficiente para que o SLA do Cloud VPN não seja afetado.

A VPN de alta disponibilidade é o método recomendado para configurar VPNs altamente disponíveis. Para ver opções de configuração, consulte a página de topologias da VPN de alta disponibilidade. Se você estiver usando a VPN clássica para ter opções de redundância e alta capacidade, consulte a página de topologias da VPN clássica.

Práticas recomendadas

Use estas práticas recomendadas para criar seu Cloud VPN da maneira mais eficaz.

A seguir