Topologie VPN ad alta disponibilità

Questo documento descrive le topologie consigliate e l'accordo sul livello del servizio (SLA) di disponibilità corrispondente per ogni topologia VPN ad alta disponibilità. Per le topologie VPN classiche, consulta Topologie VPN classiche. Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta la panoramica di Cloud VPN.

Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Panoramica

La VPN ad alta disponibilità supporta una delle seguenti topologie consigliate:

• Connetti Google Cloud al tuo gateway VPN peer. Questa topologia richiede due tunnel VPN dal gateway VPN ad alta disponibilità per raggiungere lo SLA (accordo sul livello del servizio) ad alta disponibilità. In questa configurazione, la VPN ad alta disponibilità ha tre configurazioni di gateway peer comuni:

  • Due gateway VPN peer separati, ognuno con il proprio indirizzo IP.
  • Un gateway VPN peer con due indirizzi IP separati.
  • Un gateway VPN peer con un indirizzo IP.

• Connetti più reti VPC Google Cloud. In questa topologia, colleghi due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete VPC. Le reti VPC possono trovarsi nella stessa regione o in regioni Google Cloud diverse.

  Riceverai uno SLA di disponibilità diverso per i gateway VPN ad alta disponibilità di cui è stato eseguito il deployment nella stessa regione rispetto a quelli di cui è stato eseguito il deployment in regioni diverse. Per ulteriori informazioni, consulta Configurazioni ad alta disponibilità per VPN ad alta disponibilità.

• Connetti un gateway VPN ad alta disponibilità alle istanze VM Compute Engine. In questa topologia, colleghi un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine. Le istanze VM possono trovarsi nella stessa zona o in zone diverse.

  Lo SLA di disponibilità dell'istanza VM Compute Engine determina lo SLA di disponibilità della connessione VPN.

• VPN ad alta disponibilità su Cloud Interconnect. In questa topologia, crei tunnel VPN ad alta disponibilità per trasportare il traffico criptato con IPsec tramite i collegamenti VLAN di Dedicated Interconnect o Partner Interconnect. Puoi prenotare intervalli di indirizzi IP interni a livello di regione per i gateway VPN ad alta disponibilità. Il gateway VPN peer può avere anche indirizzi IP interni. Per ulteriori informazioni e diagrammi di architettura, consulta Architettura del deployment della VPN ad alta disponibilità su Cloud Interconnect.

  In Google Cloud, tutti gli scenari di gateway peer sono rappresentati da una singola risorsa VPN peer esterna.

Configurazioni di alta disponibilità per la VPN ad alta disponibilità

La seguente tabella illustra gli SLA di disponibilità offerti dalle diverse configurazioni VPN ad alta disponibilità:

Topologia	Descrizione	Disponibilità garantita da SLA
Connetti Google Cloud al tuo gateway VPN peer	Collega un gateway VPN ad alta disponibilità a uno o due gateway VPN peer distinti	99,99%
Connetti le reti VPC utilizzando gateway VPN ad alta disponibilità	Connetti due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. I gateway VPN ad alta disponibilità vengono di cui è stato eseguito il deployment nella stessa regione. Le reti VPC possono trovarsi nella stessa regione o in regioni diverse.	99,99%
VPN ad alta disponibilità alle istanze VM di Compute Engine in più zone	Connetti un gateway VPN ad alta disponibilità alle istanze VM Compute Engine con indirizzi IP esterni	99,9%
VPN ad alta disponibilità a una singola istanza VM di Compute Engine	Connetti un gateway VPN ad alta disponibilità a una sola istanza VM Compute Engine con un indirizzo IP esterno	Lo SLA di disponibilità è determinato dallo SLA di disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzato per la memoria per Compute Engine. Per ulteriori informazioni, consulta l'Accordo sul livello del servizio (SLA) Compute Engine.

Per contribuire a garantire lo SLA (accordo sul livello del servizio) con disponibilità massima per le connessioni VPN ad alta disponibilità, ti consigliamo di configurare due tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità. Assicurati che anche il gateway VPN peer sia configurato per ricevere lo stesso SLA di disponibilità.

Per mantenere la connettività in caso di guasto di uno dei tunnel, connetti tutte le interfacce del gateway VPN ad alta disponibilità a tutte le interfacce del gateway peer o di un altro gateway VPN ad alta disponibilità.

Connettere Google Cloud al gateway VPN peer

Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità:

• Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer separati, ognuno con il proprio indirizzo IP
• Un gateway VPN ad alta disponibilità connesso a un gateway VPN peer che utilizza due indirizzi IP separati
• Un gateway VPN ad alta disponibilità connesso a un gateway VPN peer che utilizza un indirizzo IP

Per configurare una di queste configurazioni, consulta Creare una VPN ad alta disponibilità connessa a un gateway VPN peer.

Se esegui il deployment di un gateway VPN ad alta disponibilità con tipo di stack IPV6_ONLY o IPV4_IPV6, i tunnel VPN possono supportare lo scambio di traffico IPv6. IPv6 deve essere attivato anche nelle sessioni BGP create per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise e alle subnet VPC nelle seguenti topologie. Per ulteriori informazioni, consulta Supporto IPv6.

Collega due gateway VPN peer

Se il gateway lato peer è basato su hardware, avere un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per gli upgrade del software o altre operazioni di manutenzione pianificate. Inoltre, ti protegge nel caso si verifichi un errore in uno dei gateway fisici.

In questa topologia, un gateway VPN ad alta disponibilità si connette a due gateway VPN peer. Ogni gateway VPN peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni gateway VPN peer.

In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.

L'esempio seguente fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%.

Connettere un gateway VPN peer con due indirizzi IP

Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer con due indirizzi IP esterni distinti. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni indirizzo IP esterno sul gateway VPN peer.

In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.

L'esempio seguente fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%.

Connettere un gateway VPN peer con un indirizzo IP

Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer con un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, entrambi con un singolo indirizzo IP esterno sul gateway VPN peer.

In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore SINGLE_IP_INTERNALLY_REDUNDANT.

L'esempio seguente fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%.

Configurazione per un SLA (accordo sul livello del servizio) con disponibilità del 99,99%

Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% lato Google Cloud, deve esserci un tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.

Se il gateway peer ha due interfacce, la configurazione di due tunnel, uno da ogni interfaccia peer a ogni interfaccia del gateway VPN ad alta disponibilità, soddisfa i requisiti dello SLA (accordo sul livello del servizio) con disponibilità del 99,99%. Per lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% lato Google Cloud, non è richiesta una configurazione full mesh. In questo caso, una topologia full mesh è definita da due tunnel da ciascuna interfaccia VPN ad alta disponibilità a ciascuna delle due interfacce sul gateway peer. Per verificare se il tuo fornitore VPN consiglia una configurazione mesh completa, consulta la documentazione del gateway VPN peer (on-premise) o contatta il tuo fornitore VPN.

Nelle configurazioni con due interfacce peer, i tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità corrispondono alle interfacce corrispondenti sul gateway o sui gateway peer:

• VPN ad alta disponibilità interface 0 a peer interface 0
• VPN ad alta disponibilità interface 1 a peer interface 1

Gli esempi sono mostrati nei diagrammi per due gateway VPN peer, due interfacce e un gateway VPN peer, due interfacce.

Se su un gateway peer è presente una sola interfaccia peer, ogni tunnel da ciascuna interfaccia del gateway VPN ad alta disponibilità deve connettersi alla singola interfaccia peer. Consulta il diagramma per un gateway VPN peer, una interfaccia.

Il seguente esempio non fornisce uno SLA con disponibilità del 99,99%:

• VPN ad alta disponibilità interface 0 a peer interface 0

Connettere le reti VPC utilizzando gateway VPN ad alta disponibilità

Puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. Le reti VPC e i gateway VPN ad alta disponibilità possono trovarsi nella stessa regione o in regioni diverse.

Puoi connettere più di due reti VPC utilizzando il routing transitivo. Per ottenere il routing transitivo, crea una rete VPC hub e connetti le altre reti VPC a questo hub utilizzando singole connessioni VPN ad alta disponibilità.

Lo SLA di disponibilità in questa topologia dipende dal fatto che i gateway VPN ad alta disponibilità si trovino nella stessa regione o in regioni diverse. Puoi ottenere un SLA di disponibilità più elevato se i gateway VPN ad alta disponibilità si trovano nella stessa regione.

Connetti le reti VPC

Puoi connettere due reti VPC utilizzando un gateway VPN ad alta disponibilità in ogni rete. I gateway VPN ad alta disponibilità devono essere implementati nella stessa regione per ottenere lo SLA di disponibilità migliore anche se le reti VPC si trovano in regioni diverse. Ogni gateway VPN ad alta disponibilità identifica l'altro gateway tramite il nome.

L'esempio seguente fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%.

Per configurare questa configurazione, consulta Creare due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.

Configurazione per un SLA (accordo sul livello del servizio) con disponibilità del 99,99%

Per contribuire a garantire uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%, configura ogni gateway VPN ad alta disponibilità con due tunnel in modo che siano vere entrambe le seguenti condizioni:

• Tunnel 0 connette interface 0 su un gateway VPN ad alta disponibilità a interface 0 sull'altro gateway VPN ad alta disponibilità.
• Tunnel 1 connette interface 1 su un gateway VPN ad alta disponibilità a interface 1 sull'altro gateway VPN ad alta disponibilità.

Puoi connettere due reti VPC utilizzando un gateway VPN ad alta disponibilità in ogni rete, se i gateway VPN ad alta disponibilità si trovano in regioni diverse. Tuttavia, questa topologia fornisce uno SLA con disponibilità del 99,9%.

A meno che non sia un requisito che i gateway VPN ad alta disponibilità si trovino in regioni diverse, non è consigliabile che si trovino in regioni diverse. Le reti VPC sono risorse globali, il che significa che puoi utilizzare la VPN ad alta disponibilità per connettere le risorse in regioni diverse, mentre i gateway VPN ad alta disponibilità vengono di cui viene eseguito il deployment nella stessa regione.

L'esempio seguente fornisce uno SLA con disponibilità del 99,9%.

Per configurare questa configurazione, consulta Creare due gateway VPN ad alta disponibilità completamente configurati connessi tra loro.

Configurazione per un SLA (accordo sul livello del servizio) con disponibilità del 99,9%

Per contribuire a garantire uno SLA (accordo sul livello del servizio) del 99,9% se i gateway VPN si trovano in regioni diverse, configura ogni gateway VPN ad alta disponibilità con due tunnel in modo che siano vere entrambe le seguenti condizioni:

• Tunnel 0 si connette a interface 0 su un gateway VPN ad alta disponibilità a interface 0 sull'altro gateway VPN ad alta disponibilità.
• Tunnel 1 si connette a interface 1 su un gateway VPN ad alta disponibilità a interface 1 sull'altro gateway VPN ad alta disponibilità.

Per ricevere uno SLA (accordo sul livello del servizio) con una disponibilità migliore, esegui il deployment dei gateway VPN ad alta disponibilità nella stessa regione . Questa configurazione ti consente anche di connettere reti VPC in regioni diverse.

Connettere un gateway VPN ad alta disponibilità alle istanze VM di Compute Engine

Con la VPN ad alta disponibilità, puoi stabilire una connessione sicura tra un gateway VPN ad alta disponibilità e le istanze VM di Compute Engine che funzionano come appliance virtuali di rete con un'implementazione IPsec. Questa topologia fornisce uno SLA con disponibilità del 99,9% se configurata correttamente.

Connettere il gateway VPN ad alta disponibilità a più istanze VM

In questa topologia, un gateway VPN ad alta disponibilità si connette a due istanze VM Compute Engine. Il gateway VPN ad alta disponibilità e le VM si trovano in due reti Virtual Private Cloud diverse. Le due VM si trovano in zone diverse e ciascuna ha un indirizzo IP esterno. Le istanze VM si comportano come gateway VPN peer.

Questa topologia è particolarmente utile quando vuoi collegare la VPN ad alta disponibilità a una VM appliance virtuale di rete di terze parti ospitata in un'istanza VM Compute Engine. Ad esempio, utilizzando questa topologia, puoi eseguire l'upgrade di una delle VM appliance virtuali di rete senza tempi di riposo della connessione VPN.

Nel diagramma, il gateway VPN ad alta disponibilità si trova in una rete VPC denominata network-a e le due VM si trovano in network-b. Entrambe le reti VPC si trovano in us-central1. Il gateway VPN ad alta disponibilità in network-a è configurato con gli indirizzi IP esterni di ciascuna delle VM in network-b. Puoi anche avere il gateway VPN ad alta disponibilità e le VM in due regioni diverse. Ti consigliamo di utilizzare questa topologia per migliorare la disponibilità.

L'esempio seguente fornisce uno SLA con disponibilità del 99,9%.

Per configurare questa configurazione, consulta Connetti la VPN ad alta disponibilità alle VM Compute Engine.

Configurazione per un SLA (accordo sul livello del servizio) con disponibilità del 99,9%

Per soddisfare lo SLA del 99,9%, devono essere presenti almeno due tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità alle interfacce corrispondenti su ciascuna delle VM. Ti consigliamo di utilizzare questa topologia per ottenere un SLA di disponibilità più elevato.

Due tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità si connettono alle interfacce della VM:

• Tunnel 0 da interface 0 a us-central1-vm-a nella zona us-central1-a
• Tunnel 1 da interface 1 a us-central1-vm-a nella zona us-central1-a
• Tunnel 2 da interface 0 a us-central1-vm-b nella zona us-central1-b
• Tunnel 3 da interface 1 a us-central1-vm-b nella zona us-central1-b

Connettere il gateway VPN ad alta disponibilità alla VPN ad alta disponibilità a una singola istanza VM

La VPN ad alta disponibilità ti consente di connettere un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine che funge da appliance virtuale di rete ed esegue un'implementazione VPN IPsec. Il gateway VPN ad alta disponibilità e la VM si trovano in due VPC diversi. La VM ha un indirizzo IP esterno.

La disponibilità complessiva è determinata dallo SLA di disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzato per la memoria per Compute Engine. Per ulteriori informazioni, consulta Accordo sul livello del servizio (SLA) Compute Engine.

Per configurare questa configurazione, consulta Connetti la VPN ad alta disponibilità alle VM Compute Engine.

Configurazione per un SLA (accordo sul livello del servizio) con disponibilità del 99,9%

Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99%, devono essere presenti due tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità all'interfaccia della VM Compute Engine.

Due tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità si connettono alle interfacce della VM:

• Tunnel 0 da interface 0 a us-central1-vm-a nella zona us-central1-a
• Tunnel 1 da interface 1 a us-central1-vm-a nella zona us-central1-a

Passaggi successivi

• Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più reti secondarie, consulta Configurazioni avanzate.
• Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.