Halaman ini menjelaskan topologi yang direkomendasikan dan Perjanjian Tingkat Layanan (SLA) ketersediaan yang sesuai untuk setiap topologi VPN dengan ketersediaan tinggi (HA). Untuk topologi VPN Klasik, lihat Topologi VPN Klasik. Untuk mengetahui informasi selengkapnya tentang Cloud VPN, termasuk kedua jenis VPN, lihat ringkasan Cloud VPN.
Untuk definisi dari istilah yang digunakan di halaman ini, lihat Istilah penting.
Ringkasan
VPN dengan ketersediaan tinggi (HA) mendukung VPN site-to-site di salah satu topologi yang direkomendasikan berikut:
VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer pihak ketiga. Topologi ini memerlukan dua tunnel VPN dari perspektif gateway VPN dengan ketersediaan tinggi (HA) untuk mencapai SLA ketersediaan tinggi. Dalam konfigurasi ini, VPN dengan ketersediaan tinggi (HA) memiliki tiga konfigurasi gateway peer yang umum digunakan:
- Dua perangkat VPN peer terpisah, masing-masing dengan alamat IP-nya sendiri.
- Satu perangkat VPN peer dengan dua alamat IP terpisah.
- Satu perangkat VPN peer dengan satu alamat IP.
Untuk menentukan topologi yang paling sesuai, hubungi vendor gateway VPN peer Anda.
VPN dengan ketersediaan tinggi (HA) antarjaringan VPC Google Cloud. Dalam topologi ini, Anda dapat menghubungkan dua jaringan VPC Google Cloud menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan. Jaringan VPC dapat berada di region yang sama atau beberapa region.
VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine. Dalam topologi ini, Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance virtual machine (VM) Compute Engine. Instance VM Anda dapat berada di satu atau beberapa zona.
VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect Dalam topologi ini, Anda membuat tunnel VPN dengan ketersediaan tinggi (HA) untuk membawa traffic terenkripsi IPsec melalui lampiran VLAN dari Dedicated Interconnect atau Partner Interconnect. Anda dapat memesan rentang alamat IP internal regional untuk gateway VPN dengan ketersediaan tinggi (HA) Anda. Perangkat VPN peer Anda juga dapat memiliki alamat IP internal. Untuk mengetahui diagram arsitektur dan informasi selengkapnya, lihat Arsitektur deployment VPN dengan ketersediaan tinggi (HA) pada Cloud Interconnect.
Konfigurasi yang mendukung ketersediaan 99,99%
Topologi | Deskripsi | SLA ketersediaan |
---|---|---|
Gateway VPN peering dengan ketersediaan tinggi (HA) | Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke satu atau dua perangkat VPN peer terpisah | 99,99% |
VPN dengan ketersediaan tinggi (HA) di antara dua jaringan Google Cloud | Hubungkan dua jaringan VPC Google Cloud dalam satu region menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan | 99,99% |
Untuk mengonfigurasi ketersediaan 99,99% untuk koneksi VPN dengan ketersediaan tinggi (HA), konfigurasikan dua atau empat tunnel dari gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer Anda atau ke gateway VPN dengan ketersediaan tinggi (HA) lainnya. Pastikan gateway VPN peer juga dikonfigurasi untuk menerima SLA ketersediaan 99,99%.
Konfigurasi yang tepat berarti tunnel VPN harus menyediakan redundansi yang memadai dengan menghubungkan ke semua antarmuka gateway VPN dengan ketersediaan tinggi (HA) dan ke semua antarmuka gateway VPN peer atau gateway VPN dengan ketersediaan tinggi (HA) lainnya.
Konfigurasi yang mendukung ketersediaan 99,9%
Topologi | Deskripsi | SLA ketersediaan |
---|---|---|
VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine di beberapa zona | Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine dengan alamat IP eksternal | 99,9% |
VPN dengan ketersediaan tinggi (HA) ke satu instance VM Compute Engine | Menghubungkan gateway VPN dengan ketersediaan tinggi (HA) hanya ke satu instance VM Compute Engine dengan alamat IP eksternal | SLA ketersediaan ditentukan oleh SLA ketersediaan yang diberikan untuk satu instance VM dari kelompok mesin yang memorinya dioptimalkan untuk Compute Engine. Untuk mengetahui informasi selengkapnya, baca Perjanjian Tingkat Layanan (SLA) Compute Engine. |
Untuk mengonfigurasi SLA ketersediaan 99,9% untuk koneksi VPN dengan ketersediaan tinggi (HA) dalam topologi ini, konfigurasikan dua atau empat tunnel dari gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer Anda atau ke resource Google Cloud lainnya.
Mengonfigurasi VPN dengan ketersediaan tinggi (HA) untuk mendapatkan lebih banyak bandwidth
Untuk meningkatkan bandwidth gateway VPN dengan ketersediaan tinggi (HA), tambahkan lebih banyak tunnel VPN dengan ketersediaan tinggi (HA).
Untuk menghitung jumlah tunnel yang Anda butuhkan, gunakan 250.000 paket per detik sebagai jumlah kapasitas masuk dan keluar untuk setiap tunnel. Misalnya, jika Anda memerlukan 600.000 paket per detik untuk jumlah traffic masuk dan keluar, Anda memerlukan 3 pasang tunnel VPN dengan ketersediaan tinggi (HA) (6 tunnel) untuk memastikan bandwidth dan kapasitas failover yang diperlukan.
Untuk informasi selengkapnya tentang penghitungan bandwidth VPN, lihat Bandwidth jaringan.
Pertimbangkan panduan berikut saat meningkatkan bandwidth VPN dengan ketersediaan tinggi (HA).
Memeriksa kuota tunnel VPN
Kecuali jika Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN dengan ketersediaan tinggi (HA) lain, setiap gateway VPN dengan ketersediaan tinggi (HA) mendukung tunnel VPN yang tidak terbatas di setiap antarmuka.
Namun, kuota tunnel VPN membatasi jumlah total tunnel VPN dalam project Anda.
Tambahkan gateway VPN dengan ketersediaan tinggi (HA) untuk menambahkan tunnel antara dua VPN dengan ketersediaan tinggi (HA)
Saat menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN dengan ketersediaan tinggi (HA) lain, Anda hanya dapat menghubungkan satu tunnel per antarmuka, 0 atau 1, ke antarmuka yang sesuai, 0 atau 1, di gateway VPN dengan ketersediaan tinggi (HA) lainnya. Dengan kata lain, antara sepasang gateway VPN dengan ketersediaan tinggi (HA), Anda memiliki maksimal dua tunnel VPN dengan ketersediaan tinggi (HA).
Oleh karena itu, untuk meningkatkan jumlah tunnel VPN antar gateway VPN dengan ketersediaan tinggi (HA), Anda harus membuat pasangan tambahan gateway VPN dengan ketersediaan tinggi (HA).
Menambahkan pasangan tunnel VPN
Untuk meningkatkan bandwidth antara VPN dengan ketersediaan tinggi (HA) dan gateway VPN peer lokal, tambahkan pasangan tunnel VPN.
Misalnya, untuk menggandakan bandwidth gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke gateway VPN peer lokal dengan dua tunnel (satu aktif, satu pasif), tambahkan dua tunnel VPN lagi. Tambahkan satu terowongan "aktif" lagi dan satu terowongan "pasif" lagi.
Sesi BGP untuk keempat tunnel yang menerima awalan yang sama. Kedua tunnel aktif menerima awalan dengan prioritas lebih tinggi yang sama, dan kedua tunnel pasif menerima awalan dengan prioritas lebih rendah yang sama.
Mencocokkan antarmuka di gateway VPN peer
Anda harus mencocokkan antarmuka di gateway VPN peer Anda agar dapat terus menerima SLA ketersediaan.
Saat menggandakan bandwidth gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke gateway VPN lokal, cocokkan tunnel dengan antarmuka di gateway VPN peer. Tempatkan dua tunnel aktif di antarmuka 0 dan dua tunnel pasif di antarmuka 1. Atau, tempatkan dua tunnel aktif di antarmuka 1 dan dua tunnel pasif di antarmuka 0.
VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer
Terdapat tiga konfigurasi gateway peer yang umum digunakan untuk VPN dengan ketersediaan tinggi (HA):
- Gateway VPN dengan ketersediaan tinggi (HA) ke dua perangkat VPN peer yang terpisah, masing-masing dengan alamat IP sendiri
- Gateway VPN dengan ketersediaan tinggi (HA) ke satu perangkat VPN peer yang menggunakan dua alamat IP terpisah
- Gateway VPN dengan ketersediaan tinggi (HA) ke satu perangkat VPN peer yang menggunakan satu alamat IP
Untuk menyiapkan salah satu konfigurasi ini, lihat Membuat VPN dengan ketersediaan tinggi (HA) ke gateway VPN peer.
Jika Anda men-deploy gateway VPN dengan ketersediaan tinggi (HA) dengan jenis dual-stack IPv4 dan IPv6, maka tunnel VPN Anda dapat mendukung pertukaran traffic IPv6. IPv6 juga harus diaktifkan di sesi BGP yang Anda buat untuk tunnel VPN. Dalam skenario ini, Anda dapat menetapkan alamat IPv6 ke subnet lokal dan subnet VPC dalam topologi berikut ini.
Dua perangkat VPN peer
Jika gateway sisi peer Anda berbasis hardware, memiliki gateway sisi peer kedua berarti menyediakan redundansi dan failover di sisi koneksi tersebut. Gateway fisik kedua memungkinkan Anda mengambil salah satu gateway offline untuk upgrade software atau pemeliharaan terjadwal lainnya. Gateway ini juga melindungi Anda jika terjadi kegagalan di salah satu perangkat.
Dalam topologi ini, satu gateway VPN dengan ketersediaan tinggi (HA) terhubung ke dua perangkat peer. Setiap perangkat peer memiliki satu antarmuka dan satu alamat IP eksternal. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, yakni satu tunnel untuk setiap perangkat peer.
Di Google Cloud, REDUNDANCY_TYPE
untuk konfigurasi ini menggunakan
nilai TWO_IPS_REDUNDANCY
.
Contoh berikut memberikan ketersediaan 99,99%.
Satu perangkat VPN peer dengan dua alamat IP
Topologi ini menjelaskan satu gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke satu perangkat peer yang memiliki dua alamat IP eksternal terpisah. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, satu tunnel ke setiap alamat IP eksternal di perangkat peer.
Di Google Cloud, untuk konfigurasi REDUNDANCY_TYPE
ini menggunakan
nilai TWO_IPS_REDUNDANCY
.
Contoh berikut memberikan ketersediaan 99,99%.
Satu perangkat VPN peer dengan satu alamat IP
Topologi ini menjelaskan satu gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke satu perangkat peer yang memiliki satu alamat IP eksternal. Gateway VPN dengan ketersediaan tinggi (HA) menggunakan dua tunnel, kedua tunnel menuju ke alamat IP eksternal tunggal di perangkat peer.
Di Google Cloud, untuk konfigurasi REDUNDANCY_TYPE
ini menggunakan nilai
SINGLE_IP_INTERNALLY_REDUNDANT
.
Contoh berikut memberikan ketersediaan 99,99%.
Konfigurasi untuk ketersediaan 99,99%
Untuk memenuhi SLA ketersediaan 99,99% di sisi Google Cloud, harus ada tunnel dari masing-masing dari dua antarmuka di gateway VPN dengan ketersediaan tinggi (HA) ke antarmuka yang sesuai di gateway peer.
Jika gateway peer memiliki dua antarmuka, lalu mengonfigurasi dua tunnel, satu dari setiap antarmuka peer ke setiap antarmuka gateway HA VPN, memenuhi persyaratan untuk SLA ketersediaan 99,99%. Konfigurasi mesh penuh tidak diperlukan untuk SLA ketersediaan 99,99% di sisi Google Cloud. Dalam hal ini, mesh penuh didefinisikan sebagai dua tunnel dari setiap antarmuka VPN dengan ketersediaan tinggi (HA) ke masing-masing dari dua antarmuka di gateway peer, dengan total empat tunnel dari sisi Google Cloud. Untuk mengonfirmasi apakah vendor VPN Anda merekomendasikan konfigurasi mesh penuh, lihat dokumentasi untuk perangkat VPN peer (lokal) atau hubungi vendor VPN Anda.
Dalam konfigurasi dengan dua antarmuka peer, tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) cocok dengan antarmuka yang sesuai di gateway peer atau gateway:
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke peerinterface 0
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke peerinterface 1
Contohnya ditunjukkan dalam diagram untuk dua perangkat peer, dua antarmuka dan satu perangkat peer, dua antarmuka.
Jika hanya ada satu antarmuka peer di satu gateway peer, setiap tunnel dari setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) harus terhubung ke antarmuka peer tunggal. Lihat diagram untuk satu perangkat peer, satu antarmuka.
Contoh berikut tidak memberikan ketersediaan 99,99%:
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke peerinterface 0
VPN dengan ketersediaan tinggi (HA) antara jaringan Google Cloud
Anda dapat menghubungkan dua jaringan VPC Google Cloud bersama menggunakan gateway VPN dengan ketersediaan tinggi (HA) di setiap jaringan.
Jika Anda men-deploy dua gateway VPN dengan ketersediaan tinggi (HA) dengan jenis dual-stack IPv4 dan IPv6, maka tunnel VPN Anda dapat mendukung pertukaran traffic IPv6. IPv6 juga harus diaktifkan di sesi BGP yang Anda buat untuk tunnel VPN. Gateway VPN dengan ketersediaan tinggi (HA) harus berada di region yang sama. Dalam skenario ini, Anda dapat menetapkan alamat IPv6 ke subnet VPC dalam topologi berikut.
Contoh berikut memberikan ketersediaan 99,99%.
Dari perspektif setiap gateway VPN dengan ketersediaan tinggi (HA), Anda membuat dua tunnel sehingga kedua hal berikut berlaku:
interface 0
di satu gateway VPN dengan ketersediaan tinggi (HA) keinterface 0
di VPN dengan ketersediaan tinggi (HA) lainnyainterface 1
di satu gateway VPN dengan ketersediaan tinggi (HA) keinterface 1
di VPN dengan ketersediaan tinggi (HA) lainnya
Untuk menyiapkan konfigurasi ini, lihat Membuat dua gateway VPN dengan ketersediaan tinggi (HA) yang dikonfigurasi sepenuhnya yang terhubung satu sama lain.
Konfigurasi untuk ketersediaan 99,99%
Untuk memberikan ketersediaan 99,99% untuk VPN dengan ketersediaan tinggi (HA) ke gateway VPN dengan ketersediaan tinggi (HA), antarmuka berikut di kedua gateway harus cocok:
- VPN dengan ketersediaan tinggi (HA)
interface 0
ke VPN dengan ketersediaan tinggi (HA)interface 0
- VPN dengan ketersediaan tinggi (HA)
interface 1
ke VPN dengan ketersediaan tinggi (HA)interface 1
VPN dengan ketersediaan tinggi (HA) ke instance VM Compute Engine di beberapa zona
VPN dengan ketersediaan tinggi (HA) memungkinkan Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance virtual machine (VM) Compute Engine yang berfungsi sebagai alat virtual jaringan dan menjalankan implementasi VPN IPsec. Topologi ini memberikan SLA ketersediaan 99,9% jika dikonfigurasi dengan benar.
Dalam topologi ini, gateway VPN dengan ketersediaan tinggi (HA) dapat terhubung ke dua instance VM Compute Engine. Gateway VPN dengan ketersediaan tinggi (HA) dan VM berada di dua VPC yang berbeda. Kedua VM tersebut berada di zona yang berbeda, dan setiap VM memiliki alamat IP eksternal. Instance VM berperilaku seperti perangkat VPN peer.
Topologi ini sangat berguna saat Anda ingin menghubungkan VPN dengan ketersediaan tinggi (HA) ke VM alat virtual jaringan pihak ketiga yang dihosting di Google Cloud. Misalnya, dengan menggunakan topologi ini, Anda dapat mengupgrade salah satu VM peralatan virtual jaringan tanpa periode nonaktif ke koneksi VPN.
Dalam diagram, gateway VPN dengan ketersediaan tinggi (HA) berada di jaringan Virtual Private Cloud bernama network-a
, dan kedua VM tersebut berada di network-b
. Kedua jaringan Virtual Private Cloud berada di us-central1
. Gateway VPN dengan ketersediaan tinggi (HA) di network-a
dikonfigurasi dengan alamat IP eksternal setiap VM di network-b
. Anda juga dapat memiliki gateway VPN dengan ketersediaan tinggi (HA)
dan VM di dua region yang berbeda. Sebaiknya gunakan topologi ini untuk
meningkatkan ketersediaan.
Contoh berikut memberikan ketersediaan 99,9%.
Konfigurasi untuk ketersediaan 99,9%
Untuk memenuhi SLA ketersediaan 99,9%, setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) harus memiliki dua tunnel untuk setiap antarmuka VM. Sebaiknya gunakan topologi ini untuk meningkatkan ketersediaan.
Dua tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) terhubung ke antarmuka di VM:
Tunnel 0
dariinterface 0
hinggaus-central1-vm-a
di zonaus-central1-a
Tunnel 1
dariinterface 1
hinggaus-central1-vm-a
di zonaus-central1-a
Tunnel 2
dariinterface 0
hinggaus-central1-vm-b
di zonaus-central1-b
Tunnel 3
dariinterface 1
hinggaus-central1-vm-b
di zonaus-central1-b
VPN dengan ketersediaan tinggi (HA) ke satu instance VM Compute Engine
VPN dengan ketersediaan tinggi (HA) memungkinkan Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke instance virtual machine (VM) Compute Engine yang berfungsi sebagai virtual appliance jaringan dan menjalankan implementasi VPN IPsec. Gateway VPN dengan ketersediaan tinggi (HA) dan VM berada di dua VPC yang berbeda. VM memiliki alamat IP eksternal.
Ketersediaan keseluruhan ditentukan oleh SLA ketersediaan yang diberikan untuk satu instance VM dari kelompok mesin yang memorinya dioptimalkan untuk Compute Engine. Untuk mengetahui informasi selengkapnya, baca Perjanjian Tingkat Layanan (SLA) Compute Engine.
Konfigurasi untuk ketersediaan 99,9%
Untuk memenuhi SLA ketersediaan 99,9%, harus ada dua tunnel dari masing-masing dari kedua antarmuka di gateway VPN dengan ketersediaan tinggi (HA) ke antarmuka VM Compute Engine.
Dua tunnel di setiap antarmuka berikut di gateway VPN dengan ketersediaan tinggi (HA) terhubung ke antarmuka di VM:
Tunnel 0
dariinterface 0
hinggaus-central1-vm-a
di zonaus-central1-a
Tunnel 1
dariinterface 1
hinggaus-central1-vm-a
di zonaus-central1-a
Langkah selanjutnya
- Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
- Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.