Questa pagina descrive le topologie consigliate e la relativa disponibilità Accordo sul livello del servizio (SLA) per ogni topologia VPN ad alta disponibilità. Per le topologie VPN classica, consulta Topologie VPN classiche Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta le Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.
Panoramica
La VPN ad alta disponibilità supporta la VPN site-to-site in uno dei seguenti topologie consigliate:
Da VPN ad alta disponibilità a VPN peer di terze parti Gateway. Questa topologia richiede due tunnel VPN la prospettiva del gateway VPN ad alta disponibilità per l'alta disponibilità. In questa configurazione, la VPN ad alta disponibilità ha tre configurazioni tipiche di gateway peer:
- Due dispositivi VPN peer separati, ciascuno con il proprio indirizzo IP.
- Un dispositivo VPN peer con due indirizzi IP separati.
- Un dispositivo VPN peer con un indirizzo IP.
Per determinare quale topologia è la più appropriata, rivolgiti al fornitore di il gateway VPN peer.
VPN ad alta disponibilità tra Google Cloud reti VPC. In questa topologia, è possibile connettere due reti VPC Google Cloud mediante un un gateway VPN ad alta disponibilità in ogni rete. Il VPC le reti possono trovarsi nella stessa regione o in più regioni.
VPN ad alta disponibilità per istanze VM di Compute Engine. In questa topologia, connetti un gateway VPN ad alta disponibilità a un di macchina virtuale (VM). Le istanze VM possono trovarsi in una zona o in più zone diverse.
VPN ad alta disponibilità su Cloud Interconnect In questa topologia, crei tunnel VPN ad alta disponibilità Traffico con crittografia IPsec su collegamenti VLAN di Dedicated Interconnect o Partner Interconnect. Puoi prenotare intervalli di indirizzi IP interni a livello di regione per la tua VPN ad alta disponibilità gateway VPN ad alta disponibilità. I dispositivi VPN peer possono anche avere indirizzi IP interni. Per ulteriori informazioni e diagrammi di architettura, vedi VPN ad alta disponibilità su architettura di deployment di Cloud Interconnect.
Configurazioni che supportano una disponibilità del 99,99%
Topologia | Descrizione | Disponibilità garantita da SLA |
---|---|---|
Da VPN ad alta disponibilità a gateway VPN peer | Connetti un gateway VPN ad alta disponibilità a una o due VPN peer separate dispositivi | 99,99% |
VPN ad alta disponibilità tra due reti Google Cloud | Connetti due reti VPC Google Cloud in un'unica regione usando un gateway VPN ad alta disponibilità in ogni rete | 99,99% |
Per configurare una disponibilità del 99,99% per la VPN ad alta disponibilità di rete, configurare due tunnel Gateway VPN ad alta disponibilità connesso al gateway VPN peer o a un altro un gateway VPN ad alta disponibilità. Assicurati che anche il gateway VPN peer sia configurato per ricevere uno SLA con disponibilità del 99,99%.
Una corretta configurazione significa che i tunnel VPN devono fornire un'adeguata ridondanza che si connette a tutte le interfacce del gateway VPN ad alta disponibilità tutte le interfacce del gateway VPN peer o di un'altra VPN ad alta disponibilità gateway VPN ad alta disponibilità.
Configurazioni che supportano una disponibilità del 99,9%
Topologia | Descrizione | Disponibilità garantita da SLA |
---|---|---|
VPN ad alta disponibilità alle istanze VM di Compute Engine in più zone | Connetti un gateway VPN ad alta disponibilità a Istanze VM di Compute Engine con indirizzi IP esterni | 99,9% |
VPN ad alta disponibilità a una singola istanza VM di Compute Engine | Connetti un gateway VPN ad alta disponibilità a un solo Istanza VM di Compute Engine con un indirizzo IP esterno | La disponibilità garantita dallo SLA è determinata dallo SLA (accordo sul livello del servizio) relativo alla disponibilità per un'unica istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, consulta Compute Engine Accordo sul livello del servizio (SLA, Service Level Agreement). |
Per configurare uno SLA (accordo sul livello del servizio) con disponibilità del 99,9% per la VPN ad alta disponibilità connessioni in queste topologie, configurane due dal gateway VPN ad alta disponibilità connesso al gateway VPN peer o dell'accesso a specifiche risorse Google Cloud.
Configurare una VPN ad alta disponibilità per una maggiore larghezza di banda
Per aumentare la larghezza di banda dei gateway VPN ad alta disponibilità, e aggiungere altri tunnel VPN ad alta disponibilità.
Per calcolare il numero di tunnel necessario, usa 250.000 pacchetti al secondo la somma della capacità in entrata e in uscita per ogni tunnel. Ad esempio, se 600.000 pacchetti al secondo per una somma del traffico in entrata e in uscita, 3 coppie di tunnel VPN ad alta disponibilità (sei tunnel) per garantire la larghezza di banda e la capacità di failover necessarie.
Per ulteriori informazioni sui calcoli della larghezza di banda VPN, consulta Larghezza di banda di rete.
Prendi in considerazione le seguenti linee guida quando aumenti la larghezza di banda VPN ad alta disponibilità.
Controlla le quote dei tunnel VPN
A meno che non ti connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità ogni gateway VPN ad alta disponibilità supporta di tunnel VPN su ogni interfaccia.
Tuttavia, la quota dei tunnel VPN limita la il numero totale di tunnel VPN nel tuo progetto.
Aggiungi gateway VPN ad alta disponibilità per aggiungere tunnel tra due VPN ad alta disponibilità
Quando connetti un gateway VPN ad alta disponibilità a un altro ad alta disponibilità, puoi connetterti solo un tunnel per interfaccia, 0 o 1, al corrispondente 0 o 1 sull'altro gateway VPN ad alta disponibilità. In altre parole, tra una coppia di gateway VPN ad alta disponibilità, hai un massimo di due tunnel VPN ad alta disponibilità.
Pertanto, per aumentare il numero di tunnel VPN tra gateway VPN ad alta disponibilità, devi creare coppie aggiuntive gateway VPN ad alta disponibilità.
Aggiungi coppie di tunnel VPN
Per aumentare la larghezza di banda tra VPN ad alta disponibilità e un gateway VPN peer on-premise, aggiungi coppie di tunnel VPN.
Ad esempio, per raddoppiare la larghezza di banda di una VPN ad alta disponibilità che si connette a un gateway VPN peer on-premise con due tunnel (uno attivo e uno passivo), aggiungi altri due tunnel VPN. Aggiungi un altro stato "attivo" tunnel e un altro "passivo" tunnel.
Le sessioni BGP per tutti e quattro i tunnel ricevono gli stessi prefissi. I due tunnel attivi ricevono i prefissi con la stessa priorità più alta, e i due tunnel passivi ricevono i prefissi con la stessa priorità più bassa.
Abbina le interfacce sul gateway VPN peer
Devi abbinare le interfacce sul gateway VPN peer per continuare a ricevere uno SLA con disponibilità.
Quando la larghezza di banda di un gateway VPN ad alta disponibilità viene raddoppiata che si connette a un gateway VPN on-premise, abbina i tunnel alle interfacce sul gateway VPN peer. Collocare i due tunnel attivi sull'interfaccia 0 e i due tunnel passivi tunnel sull'interfaccia 1. In alternativa, posiziona i due tunnel attivi sull'interfaccia 1 e due tunnel passivi sull'interfaccia 0.
Da VPN ad alta disponibilità a gateway VPN peer
Esistono tre configurazioni tipiche di gateway peer VPN ad alta disponibilità:
- Un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer separati, ciascuno con il proprio indirizzo IP,
- Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza due indirizzi IP separati
- Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che ne utilizza uno Indirizzo IP
Per impostare una qualsiasi di queste configurazioni, consulta Crea una VPN ad alta disponibilità connesso a un gateway VPN peer.
Se esegui il deployment di un gateway VPN ad alta disponibilità con un dual stack, i tunnel VPN possono supportare lo scambio di traffico IPv6. Il protocollo IPv6 deve essere abilitato anche nelle sessioni BGP che crei per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise le subnet VPC nelle seguenti topologie.
Due dispositivi VPN peer
Se il gateway lato peer è basato su hardware, ha un secondo lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per il software upgrade o altre operazioni di manutenzione pianificate. Inoltre, ti protegge nel caso si verifichi errore in uno dei dispositivi.
In questa topologia, un gateway VPN ad alta disponibilità si connette dispositivi mobili. Ogni dispositivo peer ha un'interfaccia e un indirizzo IP esterno. La Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni peer dispositivo.
In Google Cloud, il valore REDUNDANCY_TYPE
per questa configurazione
valore TWO_IPS_REDUNDANCY
.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con due indirizzi IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con due indirizzi IP esterni separati. La Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per a un indirizzo IP esterno sul dispositivo peer.
In Google Cloud, il valore REDUNDANCY_TYPE
per questa configurazione
il valore TWO_IPS_REDUNDANCY
.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con un indirizzo IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer che ha un indirizzo IP esterno. La VPN ad alta disponibilità usa due tunnel, entrambi collegati al singolo indirizzo IP esterno dispositivo peer.
In Google Cloud, il parametro REDUNDANCY_TYPE
per questa configurazione assume il valore
SINGLE_IP_INTERNALLY_REDUNDANT
.
L'esempio seguente fornisce una disponibilità del 99,99%.
Configura per una disponibilità del 99,99%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% su Google Cloud, è necessario essere un tunnel da ciascuna delle due interfacce della VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.
Se il gateway peer ha due interfacce, devi configurare due tunnel, uno ciascuna interfaccia peer a ogni interfaccia gateway VPN ad alta disponibilità, i requisiti dello SLA con disponibilità del 99,99%. Una configurazione mesh completa non richiesto per lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% sul lato Google Cloud. In questo caso, una mesh completa è definita come due tunnel da ogni l'interfaccia VPN ad alta disponibilità con entrambe le interfacce della VPN un gateway peer. Per verificare se il tuo fornitore VPN consiglia una rete mesh completa consulta la documentazione della tua VPN peer (on-premise) dispositivo o contatta il fornitore della VPN.
Nelle configurazioni con due interfacce peer, tunnel su ciascuno dei seguenti sul gateway VPN ad alta disponibilità corrispondano sul gateway o sui gateway peer:
- VPN ad alta disponibilità
interface 0
con peerinterface 0
- VPN ad alta disponibilità
interface 1
con peerinterface 1
Gli esempi sono mostrati nei diagrammi per due dispositivi peer, due interfacce e un dispositivo peer, due interfacce.
Se è presente una sola interfaccia peer su un gateway peer, ogni tunnel da ogni l'interfaccia del gateway VPN ad alta disponibilità deve connettersi l'interfaccia peer. Vedi il diagramma per un dispositivo peer, un'unica interfaccia.
L'esempio seguente non fornisce una disponibilità del 99,99%:
- VPN ad alta disponibilità
interface 0
con peerinterface 0
VPN ad alta disponibilità tra reti Google Cloud nella stessa regione
Puoi connettere due reti VPC Google Cloud usando un gateway VPN ad alta disponibilità in ogni rete. Ciascuna Il gateway VPN ad alta disponibilità identifica l'altro gateway in base al nome.
Se esegui il deployment di due gateway VPN ad alta IPv6 dual stack, i tunnel VPN possono supportare lo scambio di traffico IPv6. L'IPv6 deve essere abilitato anche nelle sessioni BGP che crei per la VPN tunnel. In questo scenario, puoi assegnare indirizzi IPv6 le subnet VPC nella topologia seguente.
L'esempio seguente fornisce una disponibilità del 99,99%.
Per impostare questa configurazione, consulta Crea due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configura per una disponibilità del 99,99%
Per garantire una disponibilità del 99,99%, configura ogni VPN ad alta disponibilità con due tunnel, in modo che entrambe le seguenti condizioni siano vere:
Tunnel 0
connetteinterface 0
su un gateway VPN ad alta disponibilità ainterface 0
sull'altro gateway VPN ad alta disponibilità.Tunnel 1
connetteinterface 1
su un gateway VPN ad alta disponibilità ainterface 1
sull'altro gateway VPN ad alta disponibilità.
VPN ad alta disponibilità tra reti Google Cloud in regioni diverse
Puoi connettere due reti VPC in diverse usando gateway VPN ad alta disponibilità. La I gateway VPN ad alta disponibilità possono appartenere allo stesso delle organizzazioni e ciascun gateway VPN ad alta disponibilità identifica a un altro gateway con il nome.
L'esempio seguente fornisce una disponibilità del 99,9%.
Consigliamo di utilizzare la VPN ad alta disponibilità tra Google Cloud nella stessa topologia di regione perché offre una maggiore disponibilità, a meno che tu non abbia bisogno che i gateway si trovino in due regioni diverse.
Per impostare questa configurazione, consulta Crea due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configura per una disponibilità del 99,9%
Per garantire una disponibilità del 99,9%, configura ogni VPN ad alta disponibilità con due tunnel, in modo che entrambe le seguenti condizioni siano vere:
Tunnel 0
connetteinterface 0
su un gateway VPN ad alta disponibilità ainterface 0
sull'altro gateway VPN ad alta disponibilità.Tunnel 1
connetteinterface 1
su un gateway VPN ad alta disponibilità ainterface 1
sull'altro gateway VPN ad alta disponibilità.
VPN ad alta disponibilità per istanze VM di Compute Engine in zone diverse
La VPN ad alta disponibilità ti consente di connettere un gateway VPN ad alta disponibilità Istanze di macchine virtuali (VM) Compute Engine che funzionano come dell'appliance virtuale di rete ed esegue un'implementazione VPN IPsec. Questa topologia offre uno SLA (accordo sul livello del servizio) con disponibilità del 99,9% se configurata correttamente.
In questa topologia, un gateway VPN ad alta disponibilità può connettersi di istanze VM di Compute Engine. La VPN ad alta disponibilità e le VM si trovano in due VPC diversi. Le due VM si trovano in posizioni diverse in cui ogni VM ha un indirizzo IP esterno. Le istanze VM si comportano Dispositivi peer VPN.
Questa topologia è particolarmente utile quando vuoi connetterti da VPN ad alta disponibilità a una VM dell'appliance virtuale di rete di terze parti in hosting su Google Cloud. Ad esempio, utilizzando questa topologia, è possibile eseguire l'upgrade di una delle VM delle appliance virtuali di rete senza tempi di inattività per la connessione VPN.
Nel diagramma, il gateway VPN ad alta disponibilità si trova in un virtual private cloud
rete denominata network-a
e le due VM si trovano in network-b
. Sia il virtual private cloud
che si trovano in us-central1
. La VPN ad alta disponibilità
il gateway in network-a
sia configurato con gli indirizzi IP esterni di ciascuno
le VM in network-b
. Puoi anche avere il gateway VPN ad alta disponibilità
le VM in due diverse regioni. Ti consigliamo di utilizzare questa topologia
ne migliorano la disponibilità.
L'esempio seguente fornisce una disponibilità del 99,9%.
Per impostare questa configurazione, consulta l'articolo Connettere la VPN ad alta disponibilità a di Compute Engine.
Configura per una disponibilità del 99,9%
Per rispettare lo SLA del 99,9%, devono esserci almeno due tunnel da ciascuno dei due sul gateway VPN ad alta disponibilità su ciascuna delle VM. Ti consigliamo di utilizzare questa topologia per ottenere una maggiore disponibilità.
Due tunnel su ciascuna delle seguenti interfacce Il gateway VPN ad alta disponibilità si connette alle interfacce sulla VM:
Tunnel 0
dainterface 0
aus-central1-vm-a
in la zonaus-central1-a
Tunnel 1
dainterface 1
aus-central1-vm-a
in la zonaus-central1-a
Tunnel 2
dainterface 0
aus-central1-vm-b
in la zonaus-central1-b
Tunnel 3
dainterface 1
aus-central1-vm-b
in la zonaus-central1-b
VPN ad alta disponibilità su una singola istanza VM di Compute Engine
La VPN ad alta disponibilità ti consente di connettere un gateway VPN ad alta disponibilità un'istanza di macchina virtuale (VM) Compute Engine che funziona come dell'appliance virtuale di rete ed esegue un'implementazione VPN IPsec. La Il gateway VPN ad alta disponibilità e la VM si trovano in due VPC diversi. La VM ha un indirizzo IP esterno.
La disponibilità complessiva è determinata dalla disponibilità garantita dallo SLA (accordo sul livello del servizio) fornito per un singolo Istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, vedi Accordo sul livello del servizio (SLA) di Compute Engine.
Per impostare questa configurazione, consulta l'articolo Connettere la VPN ad alta disponibilità a di Compute Engine.
Configura per una disponibilità del 99,9%
Per rispettare lo SLA (accordo sul livello del servizio) con disponibilità del 99,9%, devono esistere due tunnel da ciascuno due interfacce sul gateway VPN ad alta disponibilità la VM di Compute Engine.
Due tunnel su ciascuna delle seguenti interfacce Il gateway VPN ad alta disponibilità si connette alle interfacce sulla VM:
Tunnel 0
dainterface 0
aus-central1-vm-a
in la zonaus-central1-a
Tunnel 1
dainterface 1
aus-central1-vm-a
in la zonaus-central1-a
Passaggi successivi
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.