Topologi VPN dengan Ketersediaan Tinggi (HA)

Dokumen ini menjelaskan topologi yang direkomendasikan dan Perjanjian Tingkat Layanan (SLA) ketersediaan yang sesuai untuk setiap topologi VPN dengan ketersediaan tinggi (HA). Untuk topologi VPN Klasik, lihat Topologi VPN Klasik. Untuk mengetahui informasi selengkapnya tentang Cloud VPN, termasuk kedua jenis VPN, lihat ringkasan Cloud VPN.

Untuk definisi dari istilah yang digunakan di halaman ini, lihat Istilah penting.

Ringkasan

VPN dengan ketersediaan tinggi (HA) mendukung salah satu topologi yang direkomendasikan berikut:

  • Hubungkan Google Cloud ke gateway VPN peer Anda. Topologi ini memerlukan dua tunnel VPN dari gateway VPN dengan ketersediaan tinggi (HA) untuk mencapai SLA ketersediaan tinggi. Dalam konfigurasi ini, VPN dengan ketersediaan tinggi (HA) memiliki tiga konfigurasi gateway peer yang umum digunakan:

    • Dua gateway VPN peer terpisah, masing-masing dengan alamat IP-nya sendiri.
    • Satu gateway VPN peer dengan dua alamat IP terpisah.
    • Satu gateway VPN peer dengan satu alamat IP.
  • Menghubungkan beberapa jaringan VPC Google Cloud. Untuk menghubungkan dua jaringan VPC Google Cloud, Anda membuat gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan. Jaringan dapat berada di region Google Cloud yang sama atau berbeda.

    Anda akan menerima SLA ketersediaan yang berbeda untuk gateway VPN dengan ketersediaan tinggi (HA) yang di-deploy di region yang sama dibandingkan dengan yang di-deploy di berbagai region. Untuk informasi selengkapnya, lihat Konfigurasi ketersediaan tinggi untuk VPN dengan ketersediaan tinggi (HA).

  • Hubungkan gateway VPN dengan Ketersediaan Tinggi (HA) ke instance VM Compute Engine. Dalam topologi ini, Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance virtual machine (VM) Compute Engine. Instance VM Anda dapat berada di zona yang sama atau zona yang berbeda.

    SLA ketersediaan instance VM Compute Engine menentukan SLA ketersediaan untuk koneksi VPN.

  • VPN dengan Ketersediaan Tinggi (HA) melalui Cloud Interconnect. Dalam topologi ini, Anda membuat tunnel VPN dengan ketersediaan tinggi (HA) untuk membawa traffic yang dienkripsi IPsec melalui lampiran VLAN dari Dedicated Interconnect atau Partner Interconnect. Anda dapat mencadangkan rentang alamat IP internal regional untuk gateway VPN dengan ketersediaan tinggi (HA) Anda. Gateway VPN peer Anda juga dapat memiliki alamat IP internal. Untuk informasi selengkapnya dan diagram arsitektur, lihat arsitektur deployment VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect.

    Di Google Cloud, semua skenario gateway peer direpresentasikan oleh satu resource VPN peer eksternal.

Konfigurasi ketersediaan tinggi untuk VPN dengan ketersediaan tinggi (HA)

Tabel berikut menguraikan SLA ketersediaan yang ditawarkan oleh berbagai konfigurasi VPN dengan ketersediaan tinggi (HA):

Topologi Deskripsi SLA ketersediaan
Menghubungkan Google Cloud ke gateway VPN peer Anda Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke satu atau dua gateway VPN peer yang terpisah 99,99%
Menghubungkan jaringan VPC menggunakan gateway VPN dengan Ketersediaan Tinggi (HA) Hubungkan dua jaringan VPC Google Cloud menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan. Gateway VPN dengan ketersediaan tinggi (HA) di-deploy di region yang sama. Jaringan VPC dapat berada di region yang sama atau berbeda. 99,99%
VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine di beberapa zona Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine dengan alamat IP eksternal 99,9%
VPN dengan ketersediaan tinggi (HA) ke satu instance VM Compute Engine Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) hanya ke satu instance VM Compute Engine dengan alamat IP eksternal SLA ketersediaan ditentukan oleh SLA ketersediaan yang disediakan untuk satu instance VM dari kelompok mesin yang dioptimalkan untuk memori untuk Compute Engine. Untuk informasi selengkapnya, lihat Perjanjian Tingkat Layanan (SLA) Compute Engine.

Untuk membantu memastikan SLA ketersediaan maksimum untuk koneksi VPN dengan ketersediaan tinggi (HA), sebaiknya konfigurasikan dua tunnel dari gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer atau ke gateway VPN dengan ketersediaan tinggi (HA) lainnya. Pastikan gateway VPN peer juga dikonfigurasi untuk menerima SLA ketersediaan yang sama.

Untuk mempertahankan konektivitas jika salah satu tunnel gagal, hubungkan semua antarmuka gateway VPN dengan ketersediaan tinggi (HA) ke semua antarmuka gateway peer atau gateway VPN dengan ketersediaan tinggi (HA) lainnya.

Menghubungkan Google Cloud ke gateway VPN peer

Terdapat tiga konfigurasi gateway peer yang umum digunakan untuk VPN dengan ketersediaan tinggi (HA):

  • Gateway VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer terpisah, masing-masing dengan alamat IP sendiri
  • Gateway VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer yang menggunakan dua alamat IP terpisah
  • Gateway VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer yang menggunakan satu alamat IP

Untuk menyiapkan salah satu konfigurasi ini, lihat Membuat VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer.

Jika Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA) dengan jenis stack IPV6_ONLY atau IPV4_IPV6, tunnel VPN Anda dapat mendukung pertukaran traffic IPv6. IPv6 juga harus diaktifkan di sesi BGP yang Anda buat untuk tunnel VPN. Dalam skenario ini, Anda dapat menetapkan alamat IPv6 ke subnet lokal dan subnet VPC dalam topologi berikut. Untuk mengetahui informasi selengkapnya, lihat dukungan IPv6.

Menghubungkan dua gateway VPN peer

Jika gateway sisi peer Anda berbasis hardware, memiliki gateway sisi peer kedua berarti menyediakan redundansi dan failover di sisi koneksi tersebut. Gateway fisik kedua memungkinkan Anda mengambil salah satu gateway offline untuk upgrade software atau pemeliharaan terjadwal lainnya. Gateway ini juga melindungi Anda jika terjadi kegagalan di salah satu gateway fisik.

Dalam topologi ini, satu gateway VPN dengan ketersediaan tinggi (HA) terhubung ke dua gateway VPN peer. Setiap gateway VPN peer memiliki satu antarmuka dan satu alamat IP eksternal. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, satu tunnel untuk setiap gateway VPN peer.

Di Google Cloud, REDUNDANCY_TYPE untuk konfigurasi ini menggunakan nilai TWO_IPS_REDUNDANCY.

Contoh berikut memberikan SLA ketersediaan 99,99%.

VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer (lokal).
VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer (lokal) (klik untuk memperbesar)

Menghubungkan satu gateway VPN peer dengan dua alamat IP

Topologi ini menjelaskan satu gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke satu gateway VPN peer yang memiliki dua alamat IP eksternal terpisah. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, satu tunnel ke setiap alamat IP eksternal di gateway VPN peer.

Di Google Cloud, untuk konfigurasi REDUNDANCY_TYPE ini menggunakan nilai TWO_IPS_REDUNDANCY.

Contoh berikut memberikan SLA ketersediaan 99,99%.

VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (lokal) dengan dua alamat IP.
VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (lokal) dengan dua alamat IP (klik untuk memperbesar)

Menghubungkan satu gateway VPN peer dengan satu alamat IP

Topologi ini menjelaskan satu gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke satu gateway VPN peer yang memiliki satu alamat IP eksternal. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, kedua tunnel menuju ke alamat IP eksternal tunggal di gateway VPN peer.

Di Google Cloud, untuk konfigurasi REDUNDANCY_TYPE ini menggunakan nilai SINGLE_IP_INTERNALLY_REDUNDANT.

Contoh berikut memberikan SLA ketersediaan 99,99%.

VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (lokal) dengan satu alamat IP.
VPN dengan ketersediaan tinggi (HA) ke satu gateway VPN peer (lokal) dengan satu alamat IP (klik untuk memperbesar)

Mengonfigurasi untuk SLA ketersediaan 99,99%

Untuk memenuhi SLA ketersediaan 99,99% di sisi Google Cloud, harus ada tunnel dari masing-masing dua antarmuka di gateway VPN dengan ketersediaan tinggi (HA) ke antarmuka yang sesuai di gateway peer.

Jika gateway peer memiliki dua antarmuka, lalu mengonfigurasi dua tunnel, satu dari setiap antarmuka peer ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA), berarti memenuhi persyaratan untuk SLA ketersediaan 99,99%. Konfigurasi mesh penuh tidak diperlukan untuk SLA ketersediaan 99,99% di sisi Google Cloud. Dalam hal ini, mesh yang penuh didefinisikan sebagai dua tunnel dari setiap antarmuka VPN dengan ketersediaan tinggi (HA) ke masing-masing dari dua antarmuka di gateway peer. Untuk mengonfirmasi apakah vendor VPN Anda merekomendasikan konfigurasi mesh penuh, lihat dokumentasi untuk gateway VPN peer (lokal) atau hubungi vendor VPN Anda.

Dalam konfigurasi dengan dua antarmuka peer, tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) cocok dengan antarmuka yang sesuai di gateway peer atau gateway:

  • VPN dengan ketersediaan tinggi (HA) interface 0 ke peer interface 0
  • VPN dengan ketersediaan tinggi (HA) interface 1 ke peer interface 1

Contohnya ditunjukkan dalam diagram untuk dua gateway VPN peer, dua antarmuka dan satu gateway VPN peer, dua antarmuka.

Jika hanya ada satu antarmuka peer di satu gateway peer, setiap tunnel dari setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) harus terhubung ke antarmuka peer tunggal. Lihat diagram untuk satu gateway VPN peer, satu antarmuka.

Contoh berikut tidak memberikan SLA ketersediaan 99,99%:

  • VPN dengan ketersediaan tinggi (HA) interface 0 ke peer interface 0
Topologi yang tidak menyediakan ketersediaan tinggi.
Topologi yang tidak menyediakan ketersediaan tinggi (klik untuk memperbesar)

Menghubungkan jaringan VPC menggunakan gateway VPN dengan ketersediaan tinggi (HA)

Anda dapat menghubungkan dua jaringan VPC Google Cloud menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan. Jaringan VPC dan gateway VPN dengan ketersediaan tinggi (HA) dapat berada di region yang sama atau berbeda.

Anda dapat menghubungkan lebih dari dua jaringan VPC menggunakan perutean transitif. Untuk mencapai perutean transitif, buat jaringan VPC hub dan hubungkan jaringan VPC Anda yang lain ke hub ini menggunakan koneksi VPN dengan ketersediaan tinggi (HA) individual.

SLA ketersediaan dalam topologi ini bergantung pada apakah gateway VPN dengan ketersediaan tinggi (HA) berada di region yang sama atau berbeda. Anda akan mendapatkan SLA ketersediaan yang lebih tinggi jika gateway VPN dengan ketersediaan tinggi (HA) berada di region yang sama.

Menghubungkan jaringan VPC

Anda dapat menghubungkan dua jaringan VPC bersama-sama menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan. Gateway VPN dengan ketersediaan tinggi (HA) harus di-deploy di region yang sama untuk mendapatkan SLA ketersediaan terbaik meskipun jaringan VPC berada di region yang berbeda. Setiap gateway VPN dengan ketersediaan tinggi (HA) mengidentifikasi gateway lain berdasarkan namanya.

Contoh berikut memberikan SLA ketersediaan 99,99%.

Gateway VPN dengan ketersediaan tinggi (HA) antara jaringan Google Cloud.
Gateway VPN dengan ketersediaan tinggi (HA) di antara jaringan Google Cloud (klik untuk memperbesar)

Untuk menyiapkan konfigurasi ini, lihat Membuat dua gateway VPN dengan ketersediaan tinggi (HA) yang dikonfigurasi sepenuhnya yang terhubung satu sama lain.

Mengonfigurasi untuk SLA ketersediaan 99,99%

Untuk membantu memastikan SLA ketersediaan 99,99%, konfigurasikan setiap gateway VPN dengan ketersediaan tinggi (HA) dengan dua tunnel sehingga kedua hal berikut berlaku:

  • Tunnel 0 menghubungkan interface 0 di satu gateway VPN dengan ketersediaan tinggi (HA) ke interface 0 di gateway VPN dengan ketersediaan tinggi (HA) lainnya.
  • Tunnel 1 menghubungkan interface 1 di satu gateway VPN dengan ketersediaan tinggi (HA) ke interface 1 di gateway VPN dengan ketersediaan tinggi (HA) lainnya.

Anda dapat menghubungkan dua jaringan VPC bersama menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan, dengan gateway VPN dengan ketersediaan tinggi (HA) berada di region yang berbeda. Namun, topologi ini memberikan SLA ketersediaan 99,9%.

Kecuali jika Anda memiliki persyaratan agar gateway VPN dengan ketersediaan tinggi (HA) berada di region yang berbeda, sebaiknya jangan memiliki gateway VPN dengan ketersediaan tinggi (HA) di region yang berbeda. Jaringan VPC adalah resource global, yang berarti Anda dapat menggunakan VPN dengan ketersediaan tinggi (HA) untuk menghubungkan resource di berbagai region saat gateway VPN dengan ketersediaan tinggi (HA) di-deploy di region yang sama.

Contoh berikut memberikan SLA ketersediaan 99,9%.

Gateway VPN dengan ketersediaan tinggi (HA) antara jaringan Google Cloud di beberapa region.
Gateway VPN dengan ketersediaan tinggi (HA) di antara jaringan Google Cloud (klik untuk memperbesar)

Untuk menyiapkan konfigurasi ini, lihat Membuat dua gateway VPN dengan ketersediaan tinggi (HA) yang dikonfigurasi sepenuhnya yang terhubung satu sama lain.

Mengonfigurasi untuk SLA ketersediaan 99,9%

Untuk membantu memastikan SLA ketersediaan 99,9% jika gateway VPN berada di region yang berbeda, konfigurasikan setiap gateway VPN dengan ketersediaan tinggi (HA) dengan dua tunnel sehingga kedua hal berikut berlaku:

  • Tunnel 0 menghubungkan interface 0 di satu gateway VPN dengan ketersediaan tinggi (HA) ke interface 0 di gateway VPN dengan ketersediaan tinggi (HA) lainnya.
  • Tunnel 1 menghubungkan interface 1 di satu gateway VPN dengan ketersediaan tinggi (HA) ke interface 1 di gateway VPN dengan ketersediaan tinggi (HA) lainnya.

Untuk menerima SLA ketersediaan yang lebih baik, deploy gateway VPN dengan ketersediaan tinggi (HA) di region yang sama . Konfigurasi ini juga memungkinkan Anda menghubungkan jaringan VPC di berbagai region.

Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine

Dengan VPN dengan ketersediaan tinggi (HA), Anda dapat membuat koneksi yang aman antara gateway VPN dengan ketersediaan tinggi (HA) dan instance VM Compute Engine yang berfungsi sebagai peralatan virtual jaringan dengan implementasi IPsec. Topologi ini memberikan SLA ketersediaan 99,9% jika dikonfigurasi dengan benar.

Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke beberapa instance VM

Dalam topologi ini, gateway VPN dengan ketersediaan tinggi (HA) terhubung ke dua instance VM Compute Engine. Gateway VPN dengan ketersediaan tinggi (HA) dan VM berada di dua jaringan Virtual Private Cloud yang berbeda. Kedua VM tersebut berada di zona yang berbeda, dengan setiap VM memiliki alamat IP eksternal. Instance VM berperilaku seperti gateway VPN peer.

Topologi ini sangat berguna saat Anda ingin menghubungkan VPN dengan ketersediaan tinggi (HA) ke VM perangkat virtual jaringan pihak ketiga yang dihosting di instance VM Compute Engine. Misalnya, dengan menggunakan topologi ini, Anda dapat mengupgrade salah satu VM virtual appliance jaringan tanpa downtime pada koneksi VPN.

Dalam diagram, gateway VPN dengan ketersediaan tinggi (HA) berada di jaringan VPC bernama network-a, dan dua VM berada di network-b. Kedua jaringan VPC tersebut terletak di us-central1. Gateway VPN dengan ketersediaan tinggi (HA) di network-a dikonfigurasi dengan alamat IP eksternal dari setiap VM di network-b. Anda juga dapat memiliki gateway VPN HA dan VM di dua region yang berbeda. Sebaiknya gunakan topologi ini untuk meningkatkan ketersediaan.

Contoh berikut memberikan SLA ketersediaan 99,9%.

Topologi yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke dua instance VM Compute Engine dengan setiap VM di zona yang berbeda.
Topologi yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke dua instance VM Compute Engine dengan setiap VM di zona yang berbeda (klik untuk memperbesar)

Untuk menyiapkan konfigurasi ini, lihat Menghubungkan VPN dengan ketersediaan tinggi (HA) ke VM Compute Engine.

Mengonfigurasi untuk SLA ketersediaan 99,9%

Untuk memenuhi SLA 99,9%, harus ada minimal dua tunnel dari masing-masing dua antarmuka di gateway VPN dengan ketersediaan tinggi (HA) ke antarmuka yang sesuai di setiap VM. Sebaiknya gunakan topologi ini untuk mendapatkan SLA ketersediaan yang lebih tinggi.

Dua tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) terhubung ke antarmuka di VM:

  • Tunnel 0 dari interface 0 ke us-central1-vm-a di zona us-central1-a
  • Tunnel 1 dari interface 1 ke us-central1-vm-a di zona us-central1-a
  • Tunnel 2 dari interface 0 ke us-central1-vm-b di zona us-central1-b
  • Tunnel 3 dari interface 1 ke us-central1-vm-b di zona us-central1-b

Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke satu instance VM

HA VPN memungkinkan Anda menghubungkan gateway HA VPN ke instance virtual machine (VM) Compute Engine yang berfungsi sebagai perangkat virtual jaringan dan menjalankan implementasi VPN IPsec. Gateway VPN dengan ketersediaan tinggi (HA) dan VM berada di dua VPC yang berbeda. VM memiliki alamat IP eksternal.

Ketersediaan secara keseluruhan ditentukan oleh SLA ketersediaan yang diberikan untuk satu instance VM dari kelompok mesin yang dioptimalkan untuk memori untuk Compute Engine. Untuk mengetahui informasi selengkapnya, lihat Perjanjian Tingkat Layanan (SLA) Compute Engine.

Topologi yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke VM Compute Engine.
Topologi yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke VM Compute Engine (klik untuk memperbesar)

Untuk menyiapkan konfigurasi ini, lihat Menghubungkan VPN dengan ketersediaan tinggi (HA) ke VM Compute Engine.

Mengonfigurasi untuk SLA ketersediaan 99,9%

Untuk memenuhi SLA ketersediaan 99,9%, harus ada dua tunnel dari masing-masing dua antarmuka di gateway VPN dengan ketersediaan tinggi (HA) ke antarmuka VM Compute Engine.

Dua tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) terhubung ke antarmuka di VM:

  • Tunnel 0 dari interface 0 ke us-central1-vm-a di zona us-central1-a
  • Tunnel 1 dari interface 1 ke us-central1-vm-a di zona us-central1-a

Langkah selanjutnya

  • Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
  • Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.