Topologias de HA VPN

Este documento descreve as topologias recomendadas e o contrato de nível de serviço (SLA) de disponibilidade correspondente para cada topologia de VPN de HA. Para topologias de VPN clássicas, consulte o artigo Topologias de VPN clássicas. Para mais informações sobre a Cloud VPN, incluindo ambos os tipos de VPN, consulte a vista geral da Cloud VPN.

Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Vista geral

A VPN de HA suporta uma das seguintes topologias recomendadas:

Configurações de alta disponibilidade para a HA VPN

A tabela seguinte descreve os SLAs de disponibilidade oferecidos por diferentes configurações de VPN de HA:

Topologia Descrição SLA de disponibilidade
Estabeleça ligação Google Cloud ao seu gateway de VPN de intercâmbio Ligue um gateway de VPN de HA a um ou dois gateways de VPN pares separados 99,99%
Ligue redes VPC através de gateways de VPN de alta disponibilidade Ligue duas Google Cloud redes VPC através de um gateway de VPN HA em cada rede. Os gateways de VPN HA são implementados na mesma região. As redes VPC podem estar na mesma região ou em regiões diferentes. 99,99%
VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas Ligue um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine com endereços IP externos 99,9%
VPN de alta disponibilidade para uma única instância de VM do Compute Engine Ligue um gateway de VPN de alta disponibilidade apenas a uma instância de VM do Compute Engine com um endereço IP externo O SLA de disponibilidade é determinado pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas otimizadas para memória do Compute Engine. Para mais informações, consulte o contrato de nível de serviço (SLA) do Compute Engine.

Para ajudar a garantir o SLA de disponibilidade máxima para as suas ligações de VPN de HA, recomendamos que configure dois túneis a partir do gateway de VPN de HA para o gateway de VPN de pares ou para outro gateway de VPN de HA. Certifique-se de que o gateway de VPN de pares também está configurado para receber o mesmo SLA de disponibilidade.

Para manter a conetividade em caso de falha de um dos túneis, ligue todas as interfaces do gateway de VPN de alta disponibilidade a todas as interfaces do gateway de pares ou de outro gateway de VPN de alta disponibilidade.

Estabeleça ligação Google Cloud ao seu gateway de VPN de intercâmbio

Existem três configurações típicas de gateway de pares para a VPN de HA:

  • Um gateway de VPN de HA para dois gateways de VPN de pares separados, cada um com o seu próprio endereço IP
  • Um gateway de VPN de HA para um gateway de VPN de pares que usa dois endereços IP separados
  • Um gateway de VPN de HA para um gateway de VPN de pares que usa um endereço IP

Para configurar qualquer uma destas configurações, consulte o artigo Crie uma VPN de alta disponibilidade para um gateway de VPN de pares.

Se implementar um gateway de VPN de HA com o tipo de pilha IPV6_ONLY ou IPV4_IPV6, os seus túneis de VPN podem suportar a troca de tráfego IPv6. O IPv6 também tem de estar ativado nas sessões BGP que criar para os túneis VPN. Neste cenário, pode atribuir endereços IPv6 às sub-redes no local e às sub-redes da VPC nas seguintes topologias. Para mais informações, consulte o artigo Suporte de IPv6.

Ligue dois gateways de VPN de intercâmbio

Se o gateway do lado do par for baseado em hardware, ter um segundo gateway do lado do par oferece redundância e comutação por falha desse lado da ligação. Um segundo gateway físico permite-lhe desativar um dos gateways para atualizações de software ou outra manutenção agendada. Também lhe oferece proteção se ocorrer uma falha num dos gateways físicos.

Nesta topologia, um gateway de VPN de alta disponibilidade liga-se a dois gateways de VPN pares. Cada gateway de VPN de pares tem uma interface e um endereço IP externo. O gateway de VPN de HA usa dois túneis, um túnel para cada gateway de VPN paritário.

Em Google Cloud, o REDUNDANCY_TYPE para esta configuração assume o valor TWO_IPS_REDUNDANCY.

O exemplo seguinte oferece um SLA de disponibilidade de 99,99%.

HA VPN para dois gateways de VPN (no local).
HA VPN para dois gateways de VPN (no local) de pares (clique para aumentar)

Ligue um gateway de VPN de pares com dois endereços IP

Esta topologia descreve um gateway de VPN de HA que se liga a um gateway de VPN de pares com dois endereços IP externos separados. O gateway de VPN de HA usa dois túneis, um túnel para cada endereço IP externo no gateway de VPN de pares.

Em Google Cloud, o REDUNDANCY_TYPE para esta configuração assume o valor TWO_IPS_REDUNDANCY.

O exemplo seguinte oferece um SLA de disponibilidade de 99,99%.

VPN de HA para um gateway de VPN de pares (no local) com dois endereços IP.
HA VPN para um gateway de VPN de pares (no local) com dois endereços IP (clique para aumentar)

Associe um gateway de VPN de intercâmbio a um endereço IP

Esta topologia descreve um gateway de VPN de HA que se liga a um gateway de VPN de pares com um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, ambos os túneis para o único endereço IP externo no gateway de VPN paritário.

Em Google Cloud, o REDUNDANCY_TYPE para esta configuração assume o valor SINGLE_IP_INTERNALLY_REDUNDANT.

O exemplo seguinte oferece um SLA de disponibilidade de 99,99%.

VPN de HA para um gateway de VPN de pares (no local) com um endereço IP.
HA VPN para um gateway de VPN de pares (no local) com um endereço IP (clique para aumentar)

Configure para um SLA de disponibilidade de 99,99%

Para cumprir o SLA de disponibilidade de 99,99% no lado Google Cloud , tem de existir um túnel de cada uma das duas interfaces no gateway de VPN de HA para as interfaces correspondentes no gateway de pares.

Se o gateway de pares tiver duas interfaces, a configuração de dois túneis, um de cada interface de pares para cada interface de gateway de VPN de alta disponibilidade, cumpre os requisitos do SLA de disponibilidade de 99,99%. Não é necessária uma configuração de malha completa para o SLA de disponibilidade de 99,99% no lado Google Cloud . Neste caso, uma malha completa é definida como dois túneis de cada interface de VPN de alta disponibilidade para cada uma das duas interfaces no gateway de pares. Para confirmar se o seu fornecedor de VPN recomenda uma configuração de malha completa, consulte a documentação do seu gateway de VPN (no local) ou contacte o seu fornecedor de VPN.

Em configurações com duas interfaces de pares, os túneis em cada uma das seguintes interfaces no gateway de VPN de HA correspondem às interfaces correspondentes no gateway ou nos gateways de pares:

  • HA VPN interface 0 para o par interface 0
  • HA VPN interface 1 para o par interface 1

Os exemplos são apresentados nos diagramas para dois gateways de VPN de intercâmbio, duas interfaces e um gateway de VPN de intercâmbio, duas interfaces.

Se existir apenas uma interface de pares num gateway de pares, cada túnel de cada interface do gateway de VPN de alta disponibilidade tem de se ligar à interface de pares única. Veja o diagrama de um gateway de VPN de intercâmbio e uma interface.

O exemplo seguinte não oferece um SLA de disponibilidade de 99,99%:

  • HA VPN interface 0 para o par interface 0
Uma topologia que não oferece alta disponibilidade.
Uma topologia que não oferece elevada disponibilidade (clique para aumentar)

Opções de encaminhamento ativo-ativo e ativo-passivo para a VPN de HA

Se um túnel de VPN na nuvem ficar inativo, é reiniciado automaticamente. Se um dispositivo VPN virtual inteiro falhar, a VPN do Google Cloud cria automaticamente um novo dispositivo com a mesma configuração. O novo gateway e túnel estabelecem ligação automaticamente.

Os túneis de VPN ligados a gateways de VPN de alta disponibilidade têm de usar o encaminhamento dinâmico (BGP). Consoante a forma como configura as prioridades de rota para túneis de VPN de HA, pode criar uma configuração de encaminhamento ativo-ativo ou ativo-passivo. Para ambas as configurações de encaminhamento, os dois túneis VPN permanecem ativos.

A tabela seguinte compara as funcionalidades de uma configuração de encaminhamento ativo-ativo ou ativo-passivo.

Funcionalidade Ativo-ativo Ativo-passivo
Débito A taxa de transferência agregada efetiva é a taxa de transferência combinada de ambos os túneis. Depois de reduzir de dois túneis ativos para um, o débito global efetivo é reduzido para metade, o que pode resultar numa conetividade mais lenta ou em pacotes perdidos.
Anúncio de trajeto

A sua gateway de pares anuncia as rotas da rede de pares com valores de discriminador de várias saídas (MED) idênticos para cada túnel.

O Cloud Router que gere os túneis da Cloud VPN importa estes trajetos como trajetos dinâmicos personalizados na sua rede da VPC com prioridades idênticas.

O tráfego de saída enviado para a sua rede de pares usa o encaminhamento de vários caminhos de igual custo (ECMP).

O mesmo Cloud Router usa prioridades idênticas para anunciar rotas à sua rede de VPC.

O seu gateway de pares usa o ECMP para usar estas rotas para enviar tráfego de saída para Google Cloud.

O seu gateway de pares anuncia as rotas da rede de pares com valores MED diferentes para cada túnel.

O Cloud Router que gere os túneis da Cloud VPN importa estas rotas como rotas dinâmicas personalizadas na sua rede VPC com prioridades diferentes.

O tráfego de saída enviado para a sua rede de pares usa a rota com a prioridade mais alta, desde que o túnel associado esteja disponível.

O mesmo Cloud Router usa prioridades diferentes para cada túnel para anunciar rotas à sua rede VPC.

O seu gateway de pares só pode usar o túnel com a prioridade mais alta para enviar tráfego para Google Cloud.

Failover

Se o túnel ficar em mau estado, por exemplo, porque o DPD está inativo, o Cloud Router retira as rotas aprendidas cujos saltos seguintes são o túnel indisponível.

Se ocorrer uma sessão BGP inativa, o Cloud Router remove as rotas aprendidas cujos saltos seguintes são o túnel indisponível, sem que o túnel fique em mau estado.

O processo de retirada pode demorar 40 a 60 segundos, durante os quais é esperado que ocorram perdas de pacotes.

Se o túnel ficar em mau estado, por exemplo, porque o DPD está inativo, o Cloud Router retira as rotas aprendidas cujos saltos seguintes são o túnel indisponível.

Se ocorrer uma sessão BGP inativa, o Cloud Router remove as rotas aprendidas cujos saltos seguintes são o túnel indisponível, sem que o túnel fique em mau estado.

O processo de retirada pode demorar 40 a 60 segundos, durante os quais é esperada uma perda de pacotes.

Usa um máximo de um túnel de cada vez para que o segundo túnel possa processar toda a sua largura de banda de saída se o primeiro túnel falhar e tiver de ser transferido.

Encaminhamento ativo-passivo em topologias de malha completa

Se o Cloud Router receber o mesmo prefixo com valores MED diferentes através de uma determinada interface da VPN na nuvem, importa apenas o caminho com a prioridade mais elevada para a rede VPC. As outras rotas inativas não são visíveis na Google Cloud consola nem através da CLI Google Cloud. Se o trajeto com a prioridade mais elevada ficar indisponível, o Cloud Router retira-o e importa automaticamente o trajeto seguinte mais adequado para a rede VPC.

Usar vários túneis ou gateways

Consoante a configuração do gateway de pares, é possível construir rotas de forma que algum tráfego atravesse um túnel e outro tráfego atravesse outro túnel devido às prioridades de rotas (valores MED). Da mesma forma, pode ajustar a prioridade base que o Cloud Router usa para partilhar as rotas da sua rede VPC. Estas situações demonstram possíveis configurações de encaminhamento que não são puramente ativas-ativas nem puramente ativas-passivas.

Quando usar um único gateway de VPN de alta disponibilidade, recomendamos que use uma configuração de encaminhamento ativo-passivo. Com esta configuração, a capacidade de largura de banda observada no momento do funcionamento normal do túnel corresponde à capacidade de largura de banda observada durante a comutação por falha. Este tipo de configuração é mais fácil de gerir porque o limite de largura de banda observado permanece constante, exceto no cenário de vários gateways descrito anteriormente.

Quando usar várias gateways de VPN de HA, recomendamos que use uma configuração de encaminhamento ativo-ativo. Com esta configuração, a capacidade de largura de banda observada no momento do funcionamento normal do túnel é o dobro da capacidade de largura de banda máxima. No entanto, esta configuração sub aprovisiona efetivamente os túneis e pode causar a perda de tráfego em caso de comutação por falha.

Ligue redes VPC através de gateways de VPN de alta disponibilidade

Pode ligar duas Google Cloud redes VPC através de um gateway de VPN de alta disponibilidade em cada rede. As redes VPC e os gateways de VPN de alta disponibilidade podem estar na mesma região ou em regiões diferentes.

Pode ligar mais de duas redes VPC através do encaminhamento transitivo. Para alcançar o encaminhamento transitivo, crie uma rede VPC de hub e ligue as outras redes VPC a este hub através de ligações VPN de alta disponibilidade individuais.

O SLA de disponibilidade nesta topologia depende se os gateways de VPN de HA estão na mesma região ou em regiões diferentes. Recebe um SLA de disponibilidade mais elevado se os gateways de VPN de HA estiverem na mesma região.

Ligue redes de VPC

Pode ligar duas redes VPC entre si através de um gateway de VPN de alta disponibilidade em cada rede. Os gateways de VPN de alta disponibilidade têm de ser implementados na mesma região para ter o melhor SLA de disponibilidade, mesmo que as redes VPC estejam em regiões diferentes. Cada gateway de VPN de alta disponibilidade identifica o outro gateway pelo respetivo nome.

O exemplo seguinte oferece um SLA de disponibilidade de 99,99%.

Gateways de HA VPN entre redes Google Cloud .
Gateways de HA VPN entre Google Cloud redes (clique para aumentar)

Para configurar esta configuração, consulte o artigo Crie dois gateways de VPN de alta disponibilidade totalmente configurados que se ligam entre si.

Configure para um SLA de disponibilidade de 99,99%

Aviso: ambos os gateways de VPN de alta disponibilidade têm de estar na mesma região para oferecer um SLA de disponibilidade de 99,99%. A configuração de apenas um túnel numa interface para cada gateway de VPN de HA não oferece um SLA de disponibilidade de 99,99%.

Para ajudar a garantir um SLA de disponibilidade de 99,99%, configure cada gateway de VPN de alta disponibilidade com dois túneis para que ambas as seguintes condições sejam verdadeiras:

  • Tunnel 0 estabelece ligação interface 0 num gateway de VPN de alta disponibilidade a interface 0 no outro gateway de VPN de alta disponibilidade.
  • Tunnel 1 estabelece ligação interface 1 num gateway de VPN de alta disponibilidade a interface 1 no outro gateway de VPN de alta disponibilidade.

Pode ligar duas redes VPC entre si através de um gateway de VPN de alta disponibilidade em cada rede, em que os gateways de VPN de alta disponibilidade estão em regiões diferentes. No entanto, esta topologia oferece um SLA de disponibilidade de 99,9%.

A menos que tenha um requisito para que os gateways de VPN de HA estejam em regiões diferentes, não recomendamos que os gateways de VPN de HA estejam em regiões diferentes. As redes VPC são recursos globais, o que significa que pode usar a VPN de alta disponibilidade para ligar recursos em diferentes regiões, enquanto os gateways de VPN de alta disponibilidade são implementados na mesma região.

O exemplo seguinte oferece um SLA de disponibilidade de 99,9%.

Gateways de VPN de HA entre redes Google Cloud em várias regiões.
Gateways de HA VPN entre Google Cloud redes (clique para aumentar)

Para configurar esta configuração, consulte o artigo Crie dois gateways de VPN de alta disponibilidade totalmente configurados que se ligam entre si.

Configure para um SLA de disponibilidade de 99,9%

Para ajudar a garantir um SLA de disponibilidade de 99,9% se os gateways de VPN estiverem em regiões diferentes, configure cada gateway de VPN de HA com dois túneis para que ambas as seguintes condições sejam verdadeiras:

  • Tunnel 0 estabelece ligação interface 0 num gateway de VPN de alta disponibilidade a interface 0 no outro gateway de VPN de alta disponibilidade.
  • Tunnel 1 estabelece ligação interface 1 num gateway de VPN de alta disponibilidade a interface 1 no outro gateway de VPN de alta disponibilidade.

Para receber um SLA de disponibilidade melhor, implemente os gateways de VPN de HA na mesma região . Esta configuração também permite ligar redes VPC em diferentes regiões.

Ligue um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine

Com a VPN de alta disponibilidade, pode estabelecer uma ligação segura entre um gateway de VPN de alta disponibilidade e instâncias de VM do Compute Engine que funcionam como dispositivos virtuais de rede com uma implementação de IPsec. Esta topologia oferece um SLA de disponibilidade de 99,9% quando configurada corretamente.

Ligue o gateway de VPN de alta disponibilidade a várias instâncias de VM

Nesta topologia, um gateway de VPN de alta disponibilidade liga-se a duas instâncias de VM do Compute Engine. O gateway de VPN de alta disponibilidade e as VMs estão em duas redes da nuvem virtual privada diferentes. As duas VMs estão em zonas diferentes e cada VM tem um endereço IP externo. As instâncias de VM comportam-se como gateways de VPN de pares.

Esta topologia é especialmente útil quando quer ligar a VPN de HA a uma VM de dispositivo virtual de rede de terceiros alojada numa instância de VM do Compute Engine. Por exemplo, ao usar esta topologia, pode atualizar uma das VMs do dispositivo virtual de rede sem tempo de inatividade para a ligação VPN.

No diagrama, o gateway de VPN de HA está numa rede VPC denominada network-a e as duas VMs estão em network-b. Ambas as redes VPC estão localizadas em us-central1. O gateway de VPN de alta disponibilidade em network-a está configurado com os endereços IP externos de cada uma das VMs em network-b. Também pode ter o gateway de VPN de HA e as VMs em duas regiões diferentes. Recomendamos que use esta topologia para melhorar a disponibilidade.

O exemplo seguinte oferece um SLA de disponibilidade de 99,9%.

Uma topologia que liga um gateway de VPN de alta disponibilidade a duas instâncias de VMs do Compute Engine com cada VM numa zona diferente.
Uma topologia que liga um gateway de VPN de HA a duas instâncias de VM do Compute Engine com cada VM numa zona diferente (clique para aumentar)

Para configurar esta configuração, consulte o artigo Estabeleça ligação entre a VPN de alta disponibilidade e as VMs do Compute Engine.

Configure para um SLA de disponibilidade de 99,9%

Para cumprir o SLA de 99,9%, tem de haver, pelo menos, dois túneis de cada uma das duas interfaces no gateway de VPN de HA para as interfaces correspondentes em cada uma das VMs. Recomendamos que use esta topologia para obter um SLA de disponibilidade mais elevado.

Dois túneis em cada uma das seguintes interfaces no gateway de VPN de HA estabelecem ligação às interfaces na VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a na zona de us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a na zona de us-central1-a
  • Tunnel 2 de interface 0 a us-central1-vm-b na zona de us-central1-b
  • Tunnel 3 de interface 1 a us-central1-vm-b na zona de us-central1-b

Ligue o gateway de VPN de alta disponibilidade a uma única instância de VM

A VPN de alta disponibilidade permite-lhe ligar um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine que funciona como um dispositivo virtual de rede e executa uma implementação de VPN IPsec. O gateway de VPN de HA e a VM estão em duas VPCs diferentes. A VM tem um endereço IP externo.

A disponibilidade geral é determinada pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas otimizadas para memória do Compute Engine. Para mais informações, consulte o contrato de nível de serviço (SLA) do Compute Engine.

Uma topologia que liga um gateway de VPN de HA a uma VM do Compute Engine.
Uma topologia que liga um gateway de HA VPN a uma VM do Compute Engine (clique para aumentar)

Para configurar esta configuração, consulte o artigo Estabeleça ligação entre a VPN de alta disponibilidade e as VMs do Compute Engine.

Configure para um SLA de disponibilidade de 99,9%

Para cumprir o SLA de disponibilidade de 99,9%, tem de haver dois túneis de cada uma das duas interfaces no gateway de VPN de alta disponibilidade para a interface da VM do Compute Engine.

Dois túneis em cada uma das seguintes interfaces no gateway de VPN de HA estabelecem ligação às interfaces na VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a na zona de us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a na zona de us-central1-a

O que se segue?

  • Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
  • Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.