Topologías de VPN con alta disponibilidad

En este documento, se describen las topologías recomendadas y el Acuerdo de Nivel de Servicio (ANS) de disponibilidad correspondiente para cada topología de VPN con alta disponibilidad. Para las topologías de VPN clásica, consultaTopologías de VPN clásica. Para obtener más información sobre Cloud VPN, incluidos ambos tipos de VPN, consulta Descripción general de Cloud VPN.

Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Descripción general

La VPN con alta disponibilidad admite una de las siguientes topologías recomendadas:

  • Conecta Google Cloud a tu puerta de enlace de VPN de intercambio de tráfico. Esta topología requiere dos túneles VPN desde la puerta de enlace de VPN con alta disponibilidad para lograr el ANS de alta disponibilidad. En esta configuración, la VPN con alta disponibilidad tienen tres configuraciones típicas de puerta de enlace de intercambio de tráfico:

    • Dos puertas de enlace de VPN de intercambio de tráfico independientes, cada una con su propia dirección IP.
    • Una puerta de enlace de VPN de intercambio de tráfico con dos direcciones IP independientes.
    • Una puerta de enlace de VPN de intercambio de tráfico con una dirección IP.

  • Conecta varias redes de VPC de Google Cloud. En esta topología, conectas dos redes de VPC de Google Cloud a través de una puerta de enlace de VPN con alta disponibilidad en cada red de VPC. Las redes de VPC pueden estar en la misma región o en diferentes regiones de Google Cloud.

    Recibirás un ANS de disponibilidad diferente para las puertas de enlace de VPN con alta disponibilidad implementadas en la misma región en comparación con las implementadas en diferentes regiones. Para obtener más información, consulta Parámetros de configuración de alta disponibilidad para la VPN con alta disponibilidad.

  • Conecta una puerta de enlace de VPN con alta disponibilidad a instancias de VM de Compute Engine. En esta topología, debes conectar una puerta de enlace de VPN con alta disponibilidad a una instancia de máquina virtual (VM) de Compute Engine. Las instancias de VM pueden estar en la misma zona o en zonas diferentes.

    El ANS de disponibilidad de la instancia de VM de Compute Engine determina el ANS de disponibilidad de la conexión de VPN.

  • VPN con alta disponibilidad mediante Cloud Interconnect. En esta topología, debes crear túneles VPN con alta disponibilidad para llevar tráfico encriptado con IPsec a través de adjuntos de VLAN de cualquiera de interconexión dedicada. o las interconexión de socio. Puedes reservar rangos de direcciones IP internas regionales para tus puertas de enlace de VPN con alta disponibilidad. La puerta de enlace de VPN de intercambio de tráfico también puede tener direcciones IP internas. Para obtener más información y diagramas de arquitectura, consulta VPN con alta disponibilidad en la arquitectura de implementación de Cloud Interconnect.

    En Google Cloud, todas las situaciones de puerta de enlace de intercambio de tráfico están representadas por un solo recurso VPN de intercambio de tráfico externo.

Parámetros de configuración de alta disponibilidad para la VPN con alta disponibilidad

En la siguiente tabla, se describen los ANS de disponibilidad que ofrecen las diferentes configuraciones de VPN con alta disponibilidad:

Topología Descripción ANS de disponibilidad
Cómo conectar Google Cloud a tu puerta de enlace de VPN de intercambio de tráfico Conecta una puerta de enlace de VPN con alta disponibilidad a una o dos puertas de enlace de VPN de intercambio de tráfico separadas 99.99%
Cómo conectar redes de VPC con puertas de enlace de VPN con alta disponibilidad Conecta dos redes de VPC de Google Cloud a través de una puerta de enlace de VPN con alta disponibilidad en cada red. Las puertas de enlace de VPN con alta disponibilidad se implementan en la misma región. Las redes de VPC pueden estar en la misma región o en regiones diferentes. 99.99%
VPN con alta disponibilidad a las instancias de VM de Compute Engine en varias zonas Conecta una puerta de enlace de VPN con alta disponibilidad a instancias de VM de Compute Engine con direcciones IP externas 99.9%
VPN con alta disponibilidad a una sola instancia de VM de Compute Engine Conecta una puerta de enlace de VPN con alta disponibilidad a una sola instancia de VM de Compute Engine con una dirección IP externa El ANS de disponibilidad se determina según el ANS de disponibilidad que se proporciona para una sola instancia de VM de familia de máquinas con optimización de memoria para Compute Engine. Para obtener más información, consulta el Acuerdo de Nivel de Servicio (ANS) de Compute Engine.

Para garantizar el ANS de disponibilidad máxima para tus conexiones de VPN con alta disponibilidad, te recomendamos que configures dos túneles desde tu puerta de enlace de VPN con alta disponibilidad a tu puerta de enlace de VPN de intercambio de tráfico o a otra puerta de enlace de VPN con alta disponibilidad. Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico también esté configurada para recibir el mismo ANS de disponibilidad.

Para mantener la conectividad en caso de falla de uno de los túneles, conecta todas las interfaces de la puerta de enlace de VPN con alta disponibilidad a todas las interfaces de la puerta de enlace de intercambio de tráfico o a otra puerta de enlace de VPN con alta disponibilidad.

Conecta Google Cloud a tu puerta de enlace de VPN de intercambio de tráfico

Existen tres opciones de configuración típicas de puerta de enlace de intercambio de tráfico para VPN con alta disponibilidad:

  • Una puerta de enlace de VPN con alta disponibilidad a dos puertas de enlace de VPN de intercambio de tráfico separadas, cada una con su propia dirección IP
  • Una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico que usa dos direcciones IP separadas
  • Una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico que usa una dirección IP

Para establecer alguna de estas opciones de configuración, consulta la sección sobre cómo crear una VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico.

Si implementas una puerta de enlace de VPN con alta disponibilidad con el tipo de pila IPV6_ONLY o IPV4_IPV6, tus túneles VPN pueden admitir el intercambio de tráfico IPv6. IPv6 también debe estar habilitada en las sesiones de BGP que creas para los túneles VPN. En esta situación, puedes asignar direcciones IPv6 a las subredes locales y de VPC en las siguientes topologías. Para obtener más información, consulta Compatibilidad con IPv6.

Conecta dos puertas de enlace de VPN de par

Si tu puerta de enlace de intercambio de tráfico está basada en hardware, tener una segunda proporciona redundancia y conmutación por error en ese lado de la conexión. Una segunda puerta de enlace física te permite tomar una de las puertas de enlace sin conexión para actualizaciones de software o demás tareas de mantenimiento programadas. También te protege si hay una falla en una de las puertas de enlace físicas.

En esta topología, una puerta de enlace de VPN con alta disponibilidad se conecta a dos puertas de enlace de VPN de intercambio de tráfico. Cada puerta de enlace de VPN de intercambio de tráfico tiene una interfaz y una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada puerta de enlace de VPN de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor TWO_IPS_REDUNDANCY.

En el siguiente ejemplo, se proporciona un ANS del 99.99% de disponibilidad.

VPN con alta disponibilidad a dos puertas de enlace de VPN de intercambio de tráfico (locales).
VPN con alta disponibilidad a dos puertas de enlace de VPN de intercambio de tráfico (locales) (haz clic para agrandar)

Conecta una puerta de enlace de VPN de intercambio de tráfico con dos direcciones IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN de intercambio de tráfico que tiene dos direcciones IP externas distintas. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dirección IP externa de la puerta de enlace de VPN del otro extremo.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor TWO_IPS_REDUNDANCY.

En el siguiente ejemplo, se proporciona un ANS del 99.99% de disponibilidad.

VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (local) con dos direcciones IP
VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (local) con dos direcciones IP (haz clic para ampliar)

Cómo conectar una puerta de enlace de VPN de intercambio de tráfico con una dirección IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN de intercambio de tráfico que tiene una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, ambos orientados a la única dirección IP externa en la puerta de enlace de VPN del intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor SINGLE_IP_INTERNALLY_REDUNDANT.

En el siguiente ejemplo, se proporciona un ANS del 99.99% de disponibilidad.

VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (local) con una dirección IP
VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico (local) con una dirección IP (haz clic para ampliar)

Configura para obtener un ANS de disponibilidad del 99.99%

Para cumplir con el ANS de disponibilidad del 99.99% de Google Cloud, debe haber un túnel desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia las interfaces correspondientes en la puerta de enlace de intercambio de tráfico.

Si la puerta de enlace de intercambio de tráfico tiene dos interfaces, la configuración de dos túneles, uno desde cada interfaz de intercambio de tráfico a cada interfaz de puerta de enlace de VPN con alta disponibilidad, cumple los requisitos del ANS de disponibilidad del 99.99%. No es necesaria una configuración de malla completa para cumplir el ANS de disponibilidad del 99.99% de Google Cloud. En este caso, una malla completa se define como dos túneles desde cada interfaz de VPN con alta disponibilidad a cada una de las dos interfaces en la puerta de enlace de intercambio de tráfico. Para confirmar si tu proveedor de VPN recomienda una configuración de malla completa, consulta la documentación de tu puerta de enlace de VPN de intercambio de tráfico (local) o comunícate con tu proveedor de VPN.

En la configuración con dos interfaces de intercambio de tráfico, los túneles de cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad coinciden con las interfaces correspondientes en la puerta de enlace de intercambio de tráfico o las puertas de enlace:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
  • VPN con alta disponibilidad de interface 1 para intercambiar tráfico interface 1

En los dibujos, se muestran ejemplos de dos puertas de enlace de VPN de intercambio de tráfico, dos interfaces y una puerta de enlace de VPN de intercambio de tráfico, dos interfaces.

Si solo hay una interfaz de intercambio de tráfico en una puerta de enlace de intercambio de tráfico, cada túnel de cada interfaz de puerta de enlace de VPN con alta disponibilidad debe conectarse a la interfaz de intercambio de tráfico única. Consulta el diagrama de una puerta de enlace de VPN de intercambio de tráfico, una interfaz.

En el siguiente ejemplo, no se proporciona un ANS del 99.99% de disponibilidad:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
Una topología que no proporciona alta disponibilidad.
Una topología que no proporciona alta disponibilidad (haz clic para ampliar)

Conecta redes de VPC con puertas de enlace de VPN con alta disponibilidad

Puedes conectar dos redes de VPC de Google Cloud a través de una puerta de enlace de VPN con alta disponibilidad en cada red. Las redes de VPC y las puertas de enlace de VPN con alta disponibilidad pueden estar en la misma región o en regiones diferentes.

Puedes conectar más de dos redes de VPC mediante el enrutamiento transicional. Para lograr el enrutamiento transitivo, crea una red de VPC de hub y conecta tus otras redes de VPC a este conmutador mediante conexiones de VPN con alta disponibilidad individuales.

El ANS de disponibilidad en esta topología sobre si las puertas de enlace de VPN con alta disponibilidad están en la misma región o en regiones diferentes Obtienes un ANS de disponibilidad más alto si las puertas de enlace de VPN con alta disponibilidad están en la misma región.

Conecta redes de VPC

Puedes conectar dos redes de VPC a través de una puerta de enlace de VPN con alta disponibilidad en cada red. Las puertas de enlace de VPN con alta disponibilidad deben implementarse en la misma región para obtener el mejor ANS de disponibilidad, incluso si las redes de VPC están en diferentes regiones. Cada puerta de enlace de VPN con alta disponibilidad identifica a la otra puerta de enlace por su nombre.

En el siguiente ejemplo, se proporciona un ANS del 99.99% de disponibilidad.

Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud.
Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud (haz clic para ampliar)

Para establecer esta configuración, consulta la sección sobre cómo crear dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí.

Configura para obtener un ANS del 99.99% de disponibilidad

Para garantizar un ANS de disponibilidad del 99.99%, configura cada puerta de enlace de VPN con alta disponibilidad con dos túneles para que se cumplan las siguientes dos condiciones:

  • Tunnel 0 conecta interface 0 en una puerta de enlace de VPN con alta disponibilidad con interface 0 en la otra puerta de enlace de VPN con alta disponibilidad.
  • Tunnel 1 conecta interface 1 en una puerta de enlace de VPN con alta disponibilidad con interface 1 en la otra puerta de enlace de VPN con alta disponibilidad.

Puedes conectar dos redes de VPC a través de una puerta de enlace de VPN con alta disponibilidad en cada red, en la que las puertas de enlace de VPN con alta disponibilidad se encuentran en diferentes regiones. Sin embargo, esta topología proporciona un ANS de disponibilidad del 99.9%.

A menos que sea necesario que las puertas de enlace de VPN con alta disponibilidad estén en diferentes regiones, no recomendamos tener las puertas de enlace de VPN con alta disponibilidad en diferentes regiones. Las redes de VPC son recursos globales, lo que significa que puedes usar la VPN con alta disponibilidad para conectar recursos en diferentes regiones mientras las puertas de enlace de VPN con alta disponibilidad se implementan en la misma región.

En el siguiente ejemplo, se proporciona un ANS del 99.9% de disponibilidad.

Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud en varias regiones
Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud (haz clic para ampliar)

Para establecer esta configuración, consulta la sección sobre cómo crear dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí.

Configura para obtener un ANS de disponibilidad del 99.9%

Para garantizar un ANS de disponibilidad del 99.9% si las puertas de enlace de VPN se encuentran en regiones diferentes, configura cada puerta de enlace de VPN con alta disponibilidad con dos túneles para que se cumplan las siguientes dos condiciones:

  • Tunnel 0 conecta interface 0 en una puerta de enlace de VPN con alta disponibilidad con interface 0 en la otra puerta de enlace de VPN con alta disponibilidad.
  • Tunnel 1 conecta interface 1 en una puerta de enlace de VPN con alta disponibilidad con interface 1 en la otra puerta de enlace de VPN con alta disponibilidad.

Para recibir un ANS de disponibilidad mejor, implementa las puertas de enlace de VPN con alta disponibilidad en la misma región . Esta configuración también te permite conectar redes de VPC en diferentes regiones.

Conecta una puerta de enlace de VPN con alta disponibilidad a instancias de VM de Compute Engine

Con la VPN con alta disponibilidad, puedes establecer una conexión segura entre una puerta de enlace de VPN con alta disponibilidad y las instancias de VM de Compute Engine que funcionan como dispositivos virtuales de red con una implementación de IPsec. Esta topología proporciona un ANS de disponibilidad del 99.9% cuando se configura correctamente.

Conecta la puerta de enlace de VPN con alta disponibilidad a varias instancias de VM

En esta topología, una puerta de enlace de VPN con alta disponibilidad se conecta a dos instancias de VM de Compute Engine. La puerta de enlace de VPN con alta disponibilidad y las VMs están en dos redes de nube privada virtual diferentes. Las dos VMs están en diferentes zonas, y cada VM tiene una dirección IP externa. Las instancias de VM se comportan como puertas de enlace de VPN de intercambio de tráfico.

Esta topología es especialmente útil cuando deseas conectar una VPN con alta disponibilidad a una VM de dispositivo virtual de red de terceros alojada en una instancia de VM de Compute Engine. Por ejemplo, con esta topología, puedes actualizar una de las VMs de dispositivos virtuales de red sin tiempo de inactividad a la conexión de VPN.

En el diagrama, la puerta de enlace de VPN con alta disponibilidad se encuentra en una red de VPC llamada network-a y las dos VMs están en network-b. Ambas redes de VPC se encuentran en us-central1. La puerta de enlace de VPN con alta disponibilidad en network-a se configura con las direcciones IP externas de cada una de las VMs en network-b. También puedes tener la puerta de enlace de VPN con alta disponibilidad y las VMs en dos regiones diferentes. Te recomendamos que uses esta topología para mejorar la disponibilidad.

En el siguiente ejemplo, se proporciona un ANS del 99.9% de disponibilidad.

Una topología que conecta una puerta de enlace de VPN con alta disponibilidad a dos instancias de VM de Compute Engine con cada VM en una zona diferente.
Una topología que conecta una puerta de enlace de VPN con alta disponibilidad a dos instancias de VM de Compute Engine con cada VM en una zona diferente (haz clic para ampliar)

Para establecer esta configuración, consulta Conecta una VPN con alta disponibilidad a las VMs de Compute Engine.

Configura para obtener un ANS de disponibilidad del 99.9%

Para cumplir con el ANS del 99.9%, debe haber al menos dos túneles desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad a las interfaces correspondientes en cada una de las VMs. Te recomendamos que uses esta topología para obtener un ANS de mayor disponibilidad.

Dos túneles en cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad se conectan a las interfaces en la VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a en la zona us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a en la zona us-central1-a
  • Tunnel 2 de interface 0 a us-central1-vm-b en la zona us-central1-b
  • Tunnel 3 de interface 1 a us-central1-vm-b en la zona us-central1-b

Conecta la puerta de enlace de VPN con alta disponibilidad a una sola instancia de VM

La VPN con alta disponibilidad te permite conectar una puerta de enlace de VPN con alta disponibilidad a una instancia de máquina virtual (VM) de Compute Engine que funciona como un dispositivo virtual de red y ejecuta una implementación de VPN con IPsec. La puerta de enlace de VPN con alta disponibilidad y la VM están en dos VPC diferentes. La VM tiene una dirección IP externa.

La disponibilidad general se determina a través del ANS de disponibilidad que se proporciona para una sola instancia de VM de familia de máquinas con optimización de memoria para Compute Engine. Para obtener más información, consulta Acuerdo de Nivel de Servicio (ANS) de Compute Engine.

Una topología que conecta una puerta de enlace de VPN con alta disponibilidad a una VM de Compute Engine.
Una topología que conecta una puerta de enlace de VPN con alta disponibilidad a una VM de Compute Engine (haz clic para ampliar)

Para establecer esta configuración, consulta Conecta una VPN con alta disponibilidad a las VMs de Compute Engine.

Configura para obtener un ANS de disponibilidad del 99.9%

Para cumplir con el ANS de disponibilidad del 99.9%, debe haber dos túneles desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia la interfaz de la VM de Compute Engine.

Dos túneles en cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad se conectan a las interfaces en VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a en la zona us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a en la zona us-central1-a

¿Qué sigue?

  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.