Topologias de VPNs de alta disponibilidade

Nesta página, descrevemos as topologias recomendadas e o contrato de nível de serviço (SLA) de disponibilidade correspondente para cada topologia de VPN de alta disponibilidade. Para topologias de VPN clássica, consulte Topologias de VPN clássica. Para mais informações sobre o Cloud VPN, incluindo os dois tipos, consulte a Visão geral do Cloud VPN.

Para definições de termos usados nesta página, consulte Termos-chave.

Visão geral

A VPN de alta disponibilidade oferece suporte à VPN site a site em uma das seguintes topologias recomendadas:

  • VPN de alta disponibilidade para gateways de VPN de peering de terceiros. Essa topologia requer dois túneis de VPN da perspectiva do gateway de VPN de alta disponibilidade para alcançar o SLA de alta disponibilidade. Nessa configuração, a VPN de alta disponibilidade tem três configurações típicas de gateway de peering:

    • Dois dispositivos de VPN de peering separados, cada um com o próprio endereço IP.
    • Um dispositivo VPN de peering com dois endereços IP separados.
    • Um dispositivo VPN de peering com um endereço IP.

    Para determinar qual topologia é mais apropriada, verifique com o fornecedor do seu gateway de VPN de peering.

  • VPN de alta disponibilidade entre redes VPC do Google Cloud. Nesta topologia, é possível conectar duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede. As redes VPC podem estar na mesma região ou em várias.

  • VPN de alta disponibilidade para instâncias de VM do Compute Engine. Nesta topologia, você conecta um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine. As instâncias de VM podem estar em uma ou em várias zonas.

  • VPN de alta disponibilidade por Cloud Interconnect Nessa topologia, você cria túneis de VPN de alta disponibilidade para transportar tráfego criptografado por IPsec por anexos da VLAN de uma Interconexão dedicada ou Interconexão por parceiro. É possível reservar intervalos de endereços IP internos regionais para os gateways de VPN de alta disponibilidade. Os dispositivos de VPN de peering também podem ter endereços IP internos. Para mais informações e diagramas de arquitetura, consulte VPN de alta disponibilidade sobre a arquitetura de implantação do Cloud Interconnect.

.

Configurações compatíveis com 99,99% de disponibilidade

topologia Descrição SLA de disponibilidade
VPN de alta disponibilidade para gateways de VPN de peering Conectar um gateway de VPN de alta disponibilidade a um ou dois dispositivos de VPN de peering separados 99,99%
VPN de alta disponibilidade entre redes do Google Cloud Conecte duas redes VPC do Google Cloud em uma única região usando um gateway de VPN de alta disponibilidade em cada rede 99,99%

Para configurar a disponibilidade de 99,99% para conexões VPN de alta disponibilidade, configure dois túneis do gateway de VPN de alta disponibilidade para o gateway de VPN de peering ou para outro gateway de VPN de alta disponibilidade. Verifique se o gateway de VPN de peering também está configurado para receber um SLA com disponibilidade de 99,99%.

A configuração adequada implica que os túneis de VPN precisam fornecer redundância adequada conectando-se a todas as interfaces do gateway de VPN de alta disponibilidade e a todas as interfaces do gateway de VPN de peering ou outro gateway de VPN de alta disponibilidade.

Configurações compatíveis com 99,9% de disponibilidade

topologia Descrição SLA de disponibilidade
VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas Conecte um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine com endereços IP externos 99,9%
VPN de alta disponibilidade para uma única instância de VM do Compute Engine Conecte um gateway de VPN de alta disponibilidade a apenas uma instância de VM do Compute Engine com um endereço IP externo O SLA de disponibilidade é determinado pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine.

Para configurar um SLA de disponibilidade de 99,9% para conexões de VPN de alta disponibilidade nessas topologias, configure dois túneis do gateway da VPN de alta disponibilidade para o gateway da VPN de peering ou para outros recursos do Google Cloud.

Configurar a VPN de alta disponibilidade para aumentar a largura de banda

Para aumentar a largura de banda dos gateways de VPN de alta disponibilidade, adicione mais túneis de VPN de alta disponibilidade.

Para calcular o número de túneis necessários, use 250.000 pacotes por segundo como a soma da capacidade de entrada e saída de cada túnel. Por exemplo, se você precisar de 600.000 pacotes por segundo para uma soma de tráfego de entrada e saída, serão necessários três pares de túneis de VPN de alta disponibilidade (seis túneis) para garantir a largura de banda e a capacidade de failover necessárias.

Para mais informações sobre cálculos de largura de banda da VPN, consulte Largura de banda de rede.

Considere as seguintes diretrizes ao aumentar a largura de banda da VPN de alta disponibilidade:

  • Verificar as cotas do túnel VPN

    A menos que você esteja conectando um gateway de VPN de alta disponibilidade a outro gateway de VPN de alta disponibilidade, cada gateway de VPN de alta disponibilidade é compatível com um número ilimitado de túneis de VPN em cada interface.

    No entanto, a cota de túneis de VPN limita o número total de túneis de VPN no seu projeto.

  • Adicionar gateways de VPN de alta disponibilidade para adicionar túneis entre duas VPNs de alta disponibilidade

    Quando você conecta um gateway de VPN de alta disponibilidade a outro gateway de VPN de alta disponibilidade, é possível conectar apenas um túnel por interface, 0 ou 1, para a interface correspondente, 0 ou 1, no outro gateway de VPN de alta disponibilidade. de dados. Em outras palavras, entre um par de gateways de VPN de alta disponibilidade, você tem no máximo dois túneis de VPN de alta disponibilidade.

    Portanto, para aumentar o número de túneis de VPN entre gateways de VPN de alta disponibilidade, você precisa criar pares adicionais de gateways de VPN de alta disponibilidade.

  • Adicione pares de túneis VPN

    Para aumentar a largura de banda entre a VPN de alta disponibilidade e um gateway de VPN de peering no local, adicione pares de túneis da VPN.

    Por exemplo, para dobrar a largura de banda de um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering no local com dois túneis (um ativo e um passivo), adicione mais dois túneis VPN. Adicione mais um túnel "ativo" e mais um túnel "passivo".

    As sessões do BGP para os quatro túneis recebem os mesmos prefixos. Os dois túneis ativos recebem os prefixos com a mesma prioridade mais alta, e os dois túneis passivos, recebem os prefixos com a prioridade mais baixa.

  • Corresponder interfaces no gateway de VPN de peering

    É necessário corresponder às interfaces no gateway de VPN de peering para continuar recebendo um SLA de disponibilidade.

    Ao dobrar a largura de banda de um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN no local, corresponda os túneis às interfaces no gateway de VPN de peering. Coloque os dois túneis ativos na interface 0 e os dois túneis passivos na interface 1. Como alternativa, coloque os dois túneis ativos na interface 1 e os dois túneis passivos na interface 0.

VPN de alta disponibilidade para gateways de VPN de peering

Há três configurações típicas de gateway de peering para VPN de alta disponibilidade:

  • Um gateway de VPN de alta disponibilidade para dois dispositivos de VPN de peering separados, cada um com seu próprio endereço IP.
  • Um gateway de VPN de alta disponibilidade para um dispositivo de VPN de peering que usa dois endereços IP separados.
  • Um gateway de VPN de alta disponibilidade para um dispositivo de VPN de peering que usa um endereço IP.

Para definir qualquer uma dessas configurações, consulte Como criar uma VPN de alta disponibilidade para um gateway de VPN de peering.

Se você implantar um gateway de VPN de alta disponibilidade com um tipo de pilha dupla IPv4 e IPv6, os túneis de VPN serão compatíveis com a troca de tráfego IPv6. O IPv6 também precisa estar ativado nas sessões do BGP que você cria para os túneis de VPN. Neste cenário, é possível atribuir endereços IPv6 às sub-redes locais e da VPC nas seguintes topologias.

Dois dispositivos VPN de peering

Se o gateway do lado do peering for baseado em hardware, ter um segundo gateway do lado do peering fornecerá redundância e failover nesse lado da conexão. Um segundo gateway físico permite que você use um dos gateways off-line para fazer upgrades de software ou outras manutenções programadas. Ele também protege se houver uma falha em um dos dispositivos.

Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a dois dispositivos de peering. Cada dispositivo de peering tem uma interface e um endereço IP externo. O gateway da VPN de alta disponibilidade usa dois túneis, um para cada dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor TWO_IPS_REDUNDANCY.

O exemplo a seguir fornece 99,99% de disponibilidade.

VPN de alta disponibilidade para dois dispositivos de peering locais.
VPN de alta disponibilidade para dois dispositivos de peering no local (clique para ampliar).

Um dispositivo VPN de peering com dois endereços IP

Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um dispositivo de peering com dois endereços IP externos separados. O gateway de VPN de alta disponibilidade usa dois túneis: um para cada endereço IP externo no dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor TWO_IPS_REDUNDANCY.

O exemplo a seguir fornece 99,99% de disponibilidade.

VPN de alta disponibilidade para um dispositivo de peering local com dois endereços IP.
VPN de alta disponibilidade para um dispositivo de peering (no local) com dois endereços IP (clique para ampliar).

Um dispositivo VPN de peering com um endereço IP

Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um dispositivo de peering com um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, ambos para o único endereço IP externo no dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor SINGLE_IP_INTERNALLY_REDUNDANT.

O exemplo a seguir fornece 99,99% de disponibilidade.

VPN de alta disponibilidade para um dispositivo de peering local com um endereço IP.
VPN de alta disponibilidade para um dispositivo de peering (no local) com um endereço IP (clique para ampliar).

Configurar para disponibilidade de 99,99%

Para atender ao SLA de 99,99% no lado do Google Cloud, precisa haver um túnel partindo de cada uma das duas interfaces no gateway da VPN de alta disponibilidade em direção às interfaces correspondentes no gateway de peering.

Se o gateway de peering tiver duas interfaces, a configuração de dois túneis (um de cada interface de peering para cada interface do gateway de VPN de alta disponibilidade) atenderá aos requisitos do SLA de disponibilidade de 99,99%. Uma configuração de malha completa não é obrigatória para um SLA de disponibilidade de 99,99% no lado do Google Cloud. Nesse caso, uma malha completa é definida como dois túneis de cada interface de VPN de alta disponibilidade para cada uma das duas interfaces no gateway de peering. Para confirmar se seu fornecedor de VPN recomenda uma configuração de malha completa, consulte a documentação do dispositivo de VPN de peering local ou entre em contato com o fornecedor da VPN.

Nas configurações com duas interfaces de peering, os túneis em cada uma destas interfaces no gateway da HA VPN de alta disponibilidade correspondem às interfaces correspondentes no gateway de peering ou nos gateways de:

  • interface 0 da VPN de alta disponibilidade para interface 0 de peering
  • interface 1 da VPN de alta disponibilidade para interface 1 de peering

Os exemplos são mostrados nos desenhos com dois dispositivos de peering e duas interfaces e um dispositivo de peering e duas interfaces.

Se houver apenas uma interface de peering em um gateway de peering, cada túnel de cada interface do gateway de VPN de alta disponibilidade precisa se conectar à interface de peering única. Consulte o diagrama para um dispositivo de peering, uma interface.

O exemplo a seguir não fornece 99,99% de disponibilidade:

  • interface 0 da VPN de alta disponibilidade para interface 0 de peering
Uma topologia que não fornece alta disponibilidade.
Uma topologia que não fornece alta disponibilidade (clique para ampliar).

VPN de alta disponibilidade entre redes do Google Cloud na mesma região

É possível conectar duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede. Cada gateway de VPN de alta disponibilidade identifica o outro gateway pelo nome.

Se você implantar dois gateways de VPN de alta disponibilidade com o tipo de pilha dupla IPv4 e IPv6, os túneis de VPN serão compatíveis com a troca de tráfego IPv6. O IPv6 também precisa estar ativado nas sessões do BGP que você cria para os túneis de VPN. Nesse cenário, é possível atribuir endereços IPv6 às sub-redes VPC na topologia a seguir.

O exemplo a seguir fornece 99,99% de disponibilidade.

Gateways de VPN de alta disponibilidade entre redes do Google Cloud.
Gateways de VPN de alta disponibilidade entre redes do Google Cloud (clique para ampliar).

Para definir essa configuração, consulte Como criar dois gateways de VPN de alta disponibilidade totalmente configurados que se conectam entre si.

Configurar para disponibilidade de 99,99%

Para garantir 99,99% de disponibilidade, configure cada VPN de alta disponibilidade com dois túneis para que as duas afirmações a seguir sejam verdadeiras:

  • Tunnel 0 conecta interface 0 em um gateway de VPN de alta disponibilidade para interface 0 no outro gateway de VPN de alta disponibilidade.
  • Tunnel 1 conecta interface 1 em um gateway de VPN de alta disponibilidade para interface 1 no outro gateway de VPN de alta disponibilidade.

VPN de alta disponibilidade entre redes do Google Cloud em diferentes regiões

É possível conectar duas redes VPC em diferentes regiões com gateways de VPN de alta disponibilidade. Os gateways de VPN de alta disponibilidade podem pertencer à mesma organização ou organizações diferentes, e cada gateway da VPN de alta disponibilidade identifica o outro gateway pelo nome.

O exemplo a seguir fornece 99,9% de disponibilidade.

Recomendamos o uso da VPN de alta disponibilidade entre redes na mesma topologia de região, porque isso fornece maior disponibilidade, a menos que haja uma exigência de que os gateways estejam em duas regiões diferentes.

Gateways de VPN de alta disponibilidade entre redes do Google Cloud em várias regiões.
Gateways de VPN de alta disponibilidade entre redes do Google Cloud (clique para ampliar).

Para definir essa configuração, consulte Criar dois gateways de VPN de alta disponibilidade totalmente configurados que se conectam entre si.

Configurar para disponibilidade de 99,9%

Para garantir 99,9% de disponibilidade, configure cada VPN de alta disponibilidade com dois túneis para que as duas afirmações a seguir sejam verdadeiras:

  • Tunnel 0 conecta interface 0 em um gateway de VPN de alta disponibilidade para interface 0 no outro gateway de VPN de alta disponibilidade.
  • Tunnel 1 conecta interface 1 em um gateway de VPN de alta disponibilidade para interface 1 no outro gateway de VPN de alta disponibilidade.

VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas

A VPN de alta disponibilidade permite conectar um gateway de VPN de alta disponibilidade a instâncias de máquina virtual (VM) do Compute Engine que funcionam como um dispositivo virtual de rede e executa uma implementação de VPN IPsec. Essa topologia oferece um SLA de disponibilidade de 99,9% quando configurada corretamente.

Nessa topologia, um gateway de VPN de alta disponibilidade pode se conectar a duas instâncias de VM do Compute Engine. O gateway da VPN de alta disponibilidade e as VMs estão em duas VPCs diferentes. As duas VMs estão em zonas diferentes, e cada uma delas tem um endereço IP externo. As instâncias de VM se comportam como dispositivos de peering de VPN.

Essa topologia é especialmente útil quando você quer conectar a VPN de alta disponibilidade a uma VM de dispositivo virtual de rede de terceiros hospedada no Google Cloud. Por exemplo, usando essa topologia, é possível fazer upgrade de uma das VMs de dispositivo virtual de rede sem inatividade para a conexão VPN.

No diagrama, o gateway da VPN de alta disponibilidade está em uma rede de nuvem privada virtual chamada network-a, e as duas VMs estão em network-b. As duas redes de nuvem privada virtual estão localizadas em us-central1. O gateway da VPN de alta disponibilidade em network-a é configurado com os endereços IP externos de cada uma das VMs em network-b. Também é possível ter o gateway da VPN de alta disponibilidade e as VMs em duas regiões diferentes. Recomendamos que você use essa topologia para melhorar a disponibilidade.

O exemplo a seguir fornece 99,9% de disponibilidade.

Uma topologia que conecta um gateway de VPN de alta disponibilidade a duas instâncias de VM do Compute Engine, cada uma em uma zona diferente.
Uma topologia que conecta um gateway de VPN de alta disponibilidade a duas instâncias de VM do Compute Engine com cada VM em uma zona diferente (clique para ampliar).

Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.

Configurar para disponibilidade de 99,9%

Para atender ao SLA de 99,9%, é preciso haver pelo menos dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para as interfaces correspondentes em cada uma das VMs. Recomendamos que você utilize essa topologia para maior disponibilidade.

Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a na zona us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a na zona us-central1-a
  • Tunnel 2 de interface 0 a us-central1-vm-b na zona us-central1-b
  • Tunnel 3 de interface 1 a us-central1-vm-b na zona us-central1-b

VPN de alta disponibilidade para uma única instância de VM do Compute Engine

A VPN de alta disponibilidade permite conectar um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine que funciona como um dispositivo virtual de rede e executa uma implementação de VPN IPsec. O gateway de VPN de alta disponibilidade e a VM estão em duas VPCs diferentes. A VM tem um endereço IP externo.

A disponibilidade geral é determinada pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine.

Uma topologia que conecta um gateway de VPN de alta disponibilidade
        a uma VM do Compute Engine.
Uma topologia que conecta um gateway de VPN de alta disponibilidade a uma VM do Compute Engine (clique para ampliar).

Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.

Configurar para disponibilidade de 99,9%

Para atender ao SLA de disponibilidade de 99,9%, é preciso haver dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para a interface da VM do Compute Engine.

Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:

  • Tunnel 0 de interface 0 a us-central1-vm-a na zona us-central1-a
  • Tunnel 1 de interface 1 a us-central1-vm-a na zona us-central1-a

A seguir

  • Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
  • Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.