Auf dieser Seite werden die empfohlenen Topologien und das entsprechende Verfügbarkeits-Service Level Agreement (SLA) für jede HA VPN-Topologie beschrieben. Informationen zu klassischen VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.
Übersicht
HA VPN unterstützt Site-to-Site-VPN in einer der folgenden empfohlenen Topologien:
HA VPN zu Peer VPN-Gateways von Drittanbietern. Diese Topologie erfordert aus Sicht des HA VPN-Gateways zwei VPN-Tunnel, um das Hochverfügbarkeits-SLA zu erreichen. In dieser Konfiguration hat HA VPN drei typische Peer-Gateway-Konfigurationen:
- Zwei separate Peer-VPN-Geräte mit jeweils eigener IP-Adresse.
- Ein Peer-VPN-Gerät mit zwei IP-Adressen
- Ein Peer-VPN-Gerät mit einer IP-Adresse
Wenden Sie sich an den Anbieter Ihres Peer-VPN-Gateways, um zu ermitteln, welche Topologie am besten geeignet ist.
HA VPN zwischen Google Cloud-Netzwerken In dieser Topologie können Sie zwei Google Cloud VPC-Netzwerke verbinden, indem Sie ein HA VPN-Gateway in jedem Netzwerk verwenden. Die VPC-Netzwerke können in derselben Region oder in mehreren Regionen liegen.
HA VPN zu Compute Engine-VM-Instanzen. In dieser Topologie verbinden Sie ein HA VPN-Gateway mit einer virtuellen Maschine (VM) der Compute Engine. Ihre VM-Instanzen können sich in einer Zone oder in mehreren Zonen befinden.
HA VPN über Cloud Interconnect In dieser Topologie erstellen Sie HA VPN-Tunnel für IPsec-verschlüsselten Traffic über VLAN-Anhänge von Dedicated Interconnect-Verbindungen oder Partner Interconnect. Sie können regionale interne IP-Adressbereiche für Ihre HA VPN-Gateways reservieren. Ihre Peer-VPN-Geräte können auch interne IP-Adressen haben. Weitere Informationen und Architekturdiagramme finden Sie unter HA VPN über Cloud Interconnect-Bereitstellungsarchitektur.
Konfigurationen, die eine Verfügbarkeit von 99,99 % unterstützen
Topologie | Beschreibung | SLA zur Verfügbarkeit |
---|---|---|
HA VPN für Peer-VPN-Gateways | Verbinden Sie ein HA VPN-Gateway mit einem oder zwei separaten Peer-VPN-Geräten | 99,99 % |
HA VPN zwischen Google Cloud-Netzwerken | Verbinden Sie zwei Google Cloud VPC-Netzwerke in einer einzigen Region, indem Sie ein HA VPN-Gateway in jedem Netzwerk verwenden | 99,99 % |
Um eine Verfügbarkeit von 99,99 % für HA VPN-Verbindungen zu erreichen, konfigurieren Sie zwei Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder zu einem anderen HA VPN-Gateway. Stellen Sie sicher, dass das Peer-VPN-Gateway ebenfalls so konfiguriert ist, dass es ein Verfügbarkeits-SLA von 99,99 % erhält.
Eine ordnungsgemäße Konfiguration bedeutet, dass VPN-Tunnel eine angemessene Redundanz bereitstellen müssen. Dazu müssen sie eine Verbindung zu allen Schnittstellen des HA VPN-Gateways und zu allen Schnittstellen des Peer-VPN-Gateways oder eines anderen HA-VPN-Gateways herstellen.
Konfigurationen, die eine Verfügbarkeit von 99,9 % unterstützen
Topologie | Beschreibung | SLA zur Verfügbarkeit |
---|---|---|
HA VPN zu Compute Engine VM-Instanzen in mehreren Zonen | Verbinden Sie ein HA VPN-Gateway mit Compute Engine VM-Instanzen mit externen IP-Adressen | 99,9 % |
HA VPN zu einer einzelnen Compute Engine VM-Instanz | Verbinden Sie ein HA VPN-Gateway mit nur einer Compute Engine VM-Instanz mit einer externen IP-Adresse | Die Verfügbarkeits-SLA wird durch die Verfügbarkeits-SLA bestimmt, die für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine bereitgestellt wird. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine. |
Um ein Verfügbarkeits-SLA von 99,9 % für HA VPN-Verbindungen in diesen Topologien zu konfigurieren, konfigurieren Sie zwei von Ihrem HA-VPN-Gateway zu Ihrem Peer-VPN-Gateway oder zu anderen Google Cloud-Ressourcen.
HA VPN für mehr Bandbreite konfigurieren
Fügen Sie weitere HA VPN-Tunnel hinzu, um die Bandbreite Ihrer HA VPN-Gateways zu erhöhen.
Um die Anzahl der benötigten Tunnel zu berechnen, verwenden Sie 250.000 Pakete pro Sekunde als Summe der eingehenden und ausgehenden Kapazität für jeden Tunnel. Wenn Sie beispielsweise 600.000 Pakete pro Sekunde für eine Summe aus ein- und ausgehendem Traffic benötigen, benötigen Sie drei Paare von HA VPN-Tunneln (sechs Tunnel), um die erforderliche Bandbreite und Failover-Kapazität zu gewährleisten.
Weitere Informationen zur Berechnung der VPN-Bandbreite finden Sie unter Netzwerkbandbreite.
Beachten Sie beim Erhöhen der HA VPN-Bandbreite folgende Richtlinien.
Kontingente für VPN-Tunnel prüfen
Sofern Sie kein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, unterstützt jedes HA VPN-Gateway eine unbegrenzte Anzahl von VPN-Tunneln pro Schnittstelle.
Allerdings begrenzt das VPN-Tunnel-Kontingent die Gesamtzahl der VPN-Tunnel in Ihrem Projekt.
HA VPN-Gateways hinzufügen, um Tunnel zwischen zwei HA VPNs hinzuzufügen
Wenn Sie ein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, können Sie nur einen Tunnel pro Schnittstelle (0 oder 1) mit der entsprechenden Schnittstelle (0 oder 1) auf dem anderen HA VPN-Gateway verbinden. Mit anderen Worten, zwischen zwei HA VPN-Gateways sind maximal zwei HA VPN-Tunnel möglich.
Daher müssen Sie zusätzliche HA VPN-Gateway-Paare erstellen, um die Anzahl der VPN-Tunnel zwischen HA VPN-Gateways zu erhöhen.
VPN-Tunnelpaare hinzufügen
Fügen Sie VPN-Tunnelpaare hinzu, um die Bandbreite zwischen HA VPN und einem lokalen Peer-VPN-Gateway zu erhöhen.
Fügen Sie beispielsweise zwei weitere VPN-Tunnel hinzu, um die Bandbreite eines HA VPN-Gateways zu verdoppeln, das eine Verbindung zu einem lokalen Peer-VPN-Gateway mit zwei Tunneln (einer aktiv, einer passiv) herstellt. Fügen Sie einen weiteren "aktiven" Tunnel und einen weiteren "passiven" Tunnel hinzu.
Die BGP-Sitzungen für alle vier Tunnel erhalten identische Präfixe. Die beiden aktiven Tunnel erhalten die Präfixe mit derselben höheren Priorität und die beiden passiven Tunnel erhalten die Präfixe mit derselben niedrigeren Priorität.
Schnittstellen auf dem Peer-VPN-Gateway abgleichen
Sie müssen die Schnittstellen auf Ihrem Peer-VPN-Gateway anpassen, um weiterhin ein Verfügbarkeits-SLA zu erhalten.
Wenn Sie die Bandbreite eines HA VPN-Gateways verdoppeln, das eine Verbindung zu einem lokalen VPN-Gateway herstellt, ordnen Sie die Tunnel den Schnittstellen des Peer-VPN-Gateways zu. Platzieren Sie die beiden aktiven Tunnel an Schnittstelle 0 und die beiden passiven Tunnel an Schnittstelle 1. Alternativ können Sie die beiden aktiven Tunnel an Schnittstelle 1 und die beiden passiven Tunnel an Schnittstelle 0 platzieren.
HA VPN für Peer-VPN-Gateways
Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:
- Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten mit jeweils eigener IP-Adresse
- Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das zwei separate IP-Adressen verwendet
- Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das eine IP-Adresse verwendet
Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.
Wenn Sie ein HA VPN-Gateway mit einem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den lokalen Subnetzen und VPC-Subnetzen in den folgenden Topologien IPv6-Adressen zuweisen.
Zwei Peer-VPN-Geräte
Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn auf einem der Geräte ein Fehler auftritt.
In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-Geräten her. Jedes Peer-Gerät hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-Gerät.
In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE
der Wert TWO_IPS_REDUNDANCY
verwendet.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:
Ein Peer-VPN-Gerät mit zwei IP-Adressen
Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-Gerät verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-Gerät.
In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE
der Wert TWO_IPS_REDUNDANCY
verwendet.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:
Ein Peer-VPN-Gerät mit einer IP-Adresse
Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-Gerät mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-Gerät verbunden sind.
In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE
der Wert SINGLE_IP_INTERNALLY_REDUNDANT
verwendet.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:
Für eine Verfügbarkeit von 99,99 % konfigurieren
Um das SLA von 99,99 % auf der Google Cloud-Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.
Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % aufseiten von Google Cloud zu erhalten. In diesem Fall ist ein Full Mesh definiert als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen am Peer-Gateway. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Geräts oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.
In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:
- HA VPN
interface 0
zu Peerinterface 0
- HA VPN
interface 1
zu Peerinterface 1
In den Zeichnungen sind Beispiele für zwei Peer-Geräte, zwei Schnittstellen und ein Peer-Gerät, zwei Schnittstellen zu sehen.
Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-Gerät, eine Schnittstelle.
Das folgende Beispiel hat keine Verfügbarkeit von 99,99 %:
- HA VPN
interface 0
zu Peerinterface 0
HA VPN zwischen Google Cloud-Netzwerken in derselben Region
Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Jedes HA VPN-Gateway identifiziert das andere Gateway anhand seines Namens.
Wenn Sie zwei HA VPN-Gateways mit dem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den VPC-Subnetzen in der folgenden Topologie IPv6-Adressen zuweisen.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:
Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.
Für eine Verfügbarkeit von 99,99 % konfigurieren
Um eine Verfügbarkeit von 99,99 % zu gewährleisten, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, so dass beide der folgenden Bedingungen erfüllt sind:
Tunnel 0
verbindetinterface 0
auf einem HA VPN-Gateway mitinterface 0
auf dem anderen HA VPN-Gateway.Tunnel 1
verbindetinterface 1
auf einem HA VPN-Gateway mitinterface 1
auf dem anderen HA VPN-Gateway.
HA VPN zwischen Google Cloud-Netzwerken in verschiedenen Regionen
Sie können zwei VPC-Netzwerke in verschiedenen Regionen mit Hilfe von HA VPN-Gateways verbinden. Die HA VPN-Gateways können zur gleichen oder zu verschiedenen Organisationen gehören, und jedes HA VPN-Gateway identifiziert das andere Gateway anhand seines Namens.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,9 %:
Wir empfehlen die Verwendung des HA VPN zwischen Google Cloud-Netzwerken in derselben Regionstopologie, da es eine höhere Verfügbarkeit bietet, es sei denn, die Gateways müssen sich in zwei verschiedenen Regionen befinden.
Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.
Für eine Verfügbarkeit von 99,9 % konfigurieren
Um eine Verfügbarkeit von 99,9 % zu gewährleisten, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, so dass beide der folgenden Bedingungen erfüllt sind:
Tunnel 0
verbindetinterface 0
auf einem HA VPN-Gateway mitinterface 0
auf dem anderen HA VPN-Gateway.Tunnel 1
verbindetinterface 1
auf einem HA VPN-Gateway mitinterface 1
auf dem anderen HA VPN-Gateway.
HA VPN zu Compute Engine-VM-Instanzen in verschiedenen Zonen
Mit HA VPN können Sie ein HA VPN-Gateway mit Compute Engine-VM-Instanzen verbinden, die als virtuelle Netzwerk-Appliance arbeiten und eine IPsec-VPN-Implementierung ausführen. Diese Topologie bietet bei richtiger Konfiguration eine Verfügbarkeit von 99,9 %.
In dieser Topologie kann ein HA VPN-Gateway eine Verbindung zu zwei Compute Engine VM-Instanzen herstellen. Das HA VPN-Gateway und die VMs befinden sich in zwei verschiedenen VPCs. Die beiden VMs befinden sich in verschiedenen Zonen, wobei jede VM eine externe IP-Adresse hat. Die VM-Instanzen verhalten sich wie VPN-Peer-Geräte.
Diese Topologie ist besonders nützlich, wenn Sie HA VPN mit einer virtuellen Netzwerk-Appliance VM eines Drittanbieters verbinden möchten, die in der Google Cloud gehostet wird. Mit dieser Topologie können Sie zum Beispiel eine der VMs der virtuellen Netzwerk-Appliance aktualisieren, ohne dass die VPN-Verbindung unterbrochen wird.
In der Abbildung befindet sich das HA VPN-Gateway in einem Virtual Private Cloud-Netzwerk mit dem Namen network-a
, und die beiden VMs befinden sich in network-b
. Beide Virtual Private Cloud-Netze befinden sich in us-central1
. Das HA VPN-Gateway in network-a
ist mit den externen IP-Adressen der einzelnen VMs in network-b
konfiguriert. Sie können auch das HA VPN-Gateway und die VMs in zwei verschiedenen Regionen haben. Wir empfehlen Ihnen, diese Topologie zu verwenden, um die Verfügbarkeit zu verbessern.
Das folgende Beispiel bietet eine Verfügbarkeit von 99,9 %:
Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.
Für eine Verfügbarkeit von 99,9 % konfigurieren
Um das SLA von 99,9 % zu erfüllen, müssen mindestens zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zu den entsprechenden Schnittstellen der einzelnen VMs bestehen. Wir empfehlen Ihnen, diese Topologie zu verwenden, um eine höhere Verfügbarkeit zu erreichen.
Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:
Tunnel 0
voninterface 0
aufus-central1-vm-a
in der Zoneus-central1-a
Tunnel 1
voninterface 1
aufus-central1-vm-a
in der Zoneus-central1-a
Tunnel 2
voninterface 0
aufus-central1-vm-b
in der Zoneus-central1-b
Tunnel 3
voninterface 1
aufus-central1-vm-b
in der Zoneus-central1-b
HA VPN zu einer einzelnen Compute Engine-VM-Instanz
Mit HA VPN können Sie ein HA VPN-Gateway mit einer virtuellen Compute-Engine-Instanz (VM) verbinden, die als virtuelle Netzwerk-Appliance arbeitet und eine IPsec-VPN-Implementierung ausführt. Das HA VPN-Gateway und die VM befinden sich in zwei verschiedenen VPCs. Die VM hat eine externe IP-Adresse.
Die Gesamtverfügbarkeit wird durch das Verfügbarkeits-SLA bestimmt, das für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine gilt. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.
Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.
Für eine Verfügbarkeit von 99,9 % konfigurieren
Um das Verfügbarkeits-SLA von 99,9 % zu erfüllen, müssen zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zur Schnittstelle der Compute Engine VM vorhanden sein.
Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:
Tunnel 0
voninterface 0
aufus-central1-vm-a
in der Zoneus-central1-a
Tunnel 1
voninterface 1
aufus-central1-vm-a
in der Zoneus-central1-a
Nächste Schritte
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.