Este documento descreve as topologias recomendadas e o contrato de nível de serviço (SLA) de disponibilidade correspondente para cada topologia de VPN de alta disponibilidade. Para topologias de VPN clássica, consulte Topologias de VPN clássica. Para mais informações sobre o Cloud VPN, incluindo os dois tipos, consulte a Visão geral do Cloud VPN.
Para definições de termos usados nesta página, consulte Termos-chave.
Visão geral
A VPN de alta disponibilidade oferece suporte a uma das seguintes topologias recomendadas:
Conecte o Google Cloud ao gateway de VPN de mesmo nível. Essa topologia requer dois túneis de VPN do gateway de VPN de alta disponibilidade para alcançar o SLA de alta disponibilidade. Nessa configuração, a VPN de alta disponibilidade tem três configurações típicas de gateway de peering:
- Dois gateways de VPN de par separados, cada um com seu próprio endereço IP.
- Um gateway de VPN de par com dois endereços IP separados.
- Um gateway de VPN de peering com um endereço IP.
Conectar várias redes VPC do Google Cloud. Nesta topologia, você conecta duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede VPC. As redes VPC podem estar na mesma região ou em regiões diferentes do Google Cloud.
Você recebe um SLA de disponibilidade diferente para gateways de VPN de alta disponibilidade implantados na mesma região em comparação com aqueles implantados em diferentes regiões. Para mais informações, consulte Configurações de alta disponibilidade para VPN de alta disponibilidade.
Conecte um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine. Nesta topologia, você conecta um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine. As instâncias de VM podem estar na mesma zona ou em zonas diferentes.
O SLA de disponibilidade da instância de VM do Compute Engine determina o SLA de disponibilidade para a conexão VPN.
VPN de alta disponibilidade pelo Cloud Interconnect. Nessa topologia, você cria túneis de VPN de alta disponibilidade para transportar tráfego criptografado por IPsec por anexos da VLAN de Interconexão dedicada ou Interconexão por parceiro. É possível reservar intervalos de endereços IP internos regionais para os gateways da VPN de alta disponibilidade. O gateway de VPN de par também pode ter endereços IP internos. Para mais informações e diagramas de arquitetura, consulte Arquitetura de implantação de VPN de alta disponibilidade pelo Cloud Interconnect.
No Google Cloud, todos os cenários de gateway de peering são representados por um único recurso de VPN de peering externo.
Configurações de alta disponibilidade para a VPN de alta disponibilidade
A tabela a seguir descreve os SLAs de disponibilidade oferecidos por diferentes configurações de VPN de alta disponibilidade:
| Topologia | Descrição | SLA de disponibilidade |
|---|---|---|
| Conectar o Google Cloud ao gateway de VPN de par | Conectar um gateway de VPN de alta disponibilidade a um ou dois gateways de VPN de peering separados | 99,99% |
| Conectar redes VPC usando gateways de VPN de alta disponibilidade | Conecte duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede. Os gateways da VPN de alta disponibilidade são implantados na mesma região. As redes VPC podem estar na mesma região ou em regiões diferentes. | 99,99% |
| VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas | Conecte um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine com endereços IP externos | 99,9% |
| VPN de alta disponibilidade para uma única instância de VM do Compute Engine | Conecte um gateway de VPN de alta disponibilidade a apenas uma instância de VM do Compute Engine com um endereço IP externo | O SLA de disponibilidade é determinado pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine. |
Para garantir o SLA de disponibilidade máxima para suas conexões de VPN de alta disponibilidade, recomendamos que você configure dois túneis do seu gateway de VPN de alta disponibilidade para o gateway de VPN de peering ou para outro gateway de VPN de alta disponibilidade. Verifique se o gateway de VPN de peering também está configurado para receber o mesmo SLA de disponibilidade.
Para manter a conectividade em caso de falha de um dos túneis, conecte todas as interfaces do gateway de VPN de alta disponibilidade a todas as interfaces do gateway de peering ou a outro gateway de VPN de alta disponibilidade.
Conectar o Google Cloud ao gateway de VPN de peering
Há três configurações típicas de gateway de peering para VPN de alta disponibilidade:
- Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering separados, cada um com o próprio endereço IP.
- Um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que usa dois endereços IP separados.
- Um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que usa um endereço IP.
Para definir qualquer uma dessas configurações, consulte Como criar uma VPN de alta disponibilidade para um gateway de VPN de peering.
Se você implantar um gateway de VPN de alta disponibilidade com o tipo de pilha IPV6_ONLY ou IPV4_IPV6, os túneis de VPN poderão oferecer suporte à troca de tráfego IPv6. O IPv6 também precisa estar ativado nas sessões do BGP que você cria para os túneis de VPN. Nesse cenário, é possível atribuir endereços IPv6 às sub-redes locais e da VPC nas seguintes topologias. Para mais informações, consulte Suporte a IPv6.
Conectar dois gateways de VPN de peering
Se o gateway do lado do peering for baseado em hardware, ter um segundo gateway do lado do peering fornecerá redundância e failover nesse lado da conexão. Um segundo gateway físico permite que você use um dos gateways off-line para fazer upgrades de software ou outras manutenções programadas. Ele também protege em caso de falha em um dos gateways físicos.
Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a dois gateways de VPN de peering. Cada gateway de VPN de peering tem uma interface e um endereço IP externo. O gateway da VPN de alta disponibilidade usa dois túneis, um para cada gateway de VPN de par.
No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o
valor TWO_IPS_REDUNDANCY.
O exemplo a seguir fornece um SLA de 99,99% de disponibilidade.
Conectar um gateway de VPN de par com dois endereços IP
Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering com dois endereços IP externo separados. O gateway da VPN de alta disponibilidade usa dois túneis, um para cada endereço IP externo no gateway de VPN de peering.
No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o
valor TWO_IPS_REDUNDANCY.
O exemplo a seguir fornece um SLA de 99,99% de disponibilidade.
Conectar um gateway de VPN de peering com um endereço IP
Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering com um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, ambos para o único endereço IP externo no gateway de VPN de peer.
No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o
valor SINGLE_IP_INTERNALLY_REDUNDANT.
O exemplo a seguir fornece um SLA de 99,99% de disponibilidade.
Configurar para SLA de disponibilidade de 99,99%
Para atender ao SLA de 99,99% no lado do Google Cloud, precisa haver um túnel partindo de cada uma das duas interfaces no gateway da VPN de alta disponibilidade em direção às interfaces correspondentes no gateway de peering.
Se o gateway de peering tiver duas interfaces, a configuração de dois túneis (um de cada interface de peering para cada interface do gateway de VPN de alta disponibilidade) atenderá aos requisitos do SLA de disponibilidade de 99,99%. Uma configuração de malha completa não é obrigatória para um SLA de disponibilidade de 99,99% no lado do Google Cloud. Nesse caso, uma malha completa é definida como dois túneis de cada interface de VPN de alta disponibilidade para cada uma das duas interfaces no gateway de peering. Para confirmar se o fornecedor da VPN recomenda uma configuração de malha completa, consulte a documentação do gateway de VPN de peering local ou entre em contato com o fornecedor da VPN.
Nas configurações com duas interfaces de peering, os túneis em cada uma destas interfaces no gateway da HA VPN de alta disponibilidade correspondem às interfaces correspondentes no gateway de peering ou nos gateways de:
interface 0da VPN de alta disponibilidade parainterface 0de peeringinterface 1da VPN de alta disponibilidade parainterface 1de peering
Os exemplos são mostrados nos diagramas com dois gateways de VPN de peering, duas interfaces e um gateway de VPN de peering, duas interfaces.
Se houver apenas uma interface de peering em um gateway de peering, cada túnel de cada interface do gateway de VPN de alta disponibilidade precisa se conectar à interface de peering única. Consulte o diagrama para um gateway de VPN de peering, uma interface.
O exemplo a seguir não fornece um SLA de disponibilidade de 99,99%:
interface 0da VPN de alta disponibilidade parainterface 0de peering
Conectar redes VPC usando gateways de VPN de alta disponibilidade
É possível conectar duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede. As redes VPC e os gateways da VPN de alta disponibilidade podem estar na mesma região ou em regiões diferentes.
É possível conectar mais de duas redes VPC usando o roteamento transitivo. Para conseguir o roteamento transitivo, crie uma rede VPC hub e conecte as outras redes VPC a ela usando conexões de VPN de alta disponibilidade individuais.
O SLA de disponibilidade nessa topologia sobre se os gateways da VPN de alta disponibilidade estão na mesma região ou em regiões diferentes. Você terá um SLA de disponibilidade mais alto se os gateways da VPN de alta disponibilidade estiverem na mesma região.
Conectar redes VPC
É possível conectar duas redes VPC usando um gateway de VPN de alta disponibilidade em cada rede. Os gateways da VPN de alta disponibilidade precisam ser implantados na mesma região para receber o melhor SLA de disponibilidade, mesmo que as redes VPC estejam em regiões diferentes. Cada gateway de VPN de alta disponibilidade identifica o outro gateway pelo nome.
O exemplo a seguir fornece um SLA de 99,99% de disponibilidade.
Para definir essa configuração, consulte Como criar dois gateways de VPN de alta disponibilidade totalmente configurados que se conectam entre si.
Configurar para SLA de disponibilidade de 99,99%
Para garantir um SLA de disponibilidade de 99,99%, configure cada gateway de VPN de alta disponibilidade com dois túneis para que as duas afirmações a seguir sejam verdadeiras:
Tunnel 0conectainterface 0em um gateway de VPN de alta disponibilidade ainterface 0no outro gateway de VPN de alta disponibilidade.Tunnel 1conectainterface 1em um gateway de VPN de alta disponibilidade ainterface 1no outro gateway de VPN de alta disponibilidade.
É possível conectar duas redes VPC usando um gateway de VPN de alta disponibilidade em cada rede, em que os gateways de VPN de alta disponibilidade estão em regiões diferentes. No entanto, essa topologia oferece um SLA de disponibilidade de 99,9%.
A menos que você tenha uma exigência de que os gateways de VPN de alta disponibilidade estejam em regiões diferentes, não recomendamos que os gateways de VPN de alta disponibilidade estejam em regiões diferentes. As redes VPC são recursos globais, o que significa que você pode usar a VPN de alta disponibilidade para conectar recursos em diferentes regiões enquanto os gateways da VPN de alta disponibilidade são implantados na mesma região.
O exemplo a seguir oferece um SLA de disponibilidade de 99,9%.
Para definir essa configuração, consulte Criar dois gateways de VPN de alta disponibilidade totalmente configurados que se conectam entre si.
Configurar para SLA de disponibilidade de 99,9%
Para garantir um SLA de disponibilidade de 99,9% se os gateways de VPN estiverem em regiões diferentes, configure cada gateway de VPN de alta disponibilidade com dois túneis para que as duas afirmações a seguir sejam verdadeiras:
Tunnel 0conectainterface 0em um gateway de VPN de alta disponibilidade ainterface 0no outro gateway de VPN de alta disponibilidade.Tunnel 1conectainterface 1em um gateway de VPN de alta disponibilidade ainterface 1no outro gateway de VPN de alta disponibilidade.
Para receber um SLA de disponibilidade melhor, implante os gateways da VPN de alta disponibilidade na mesma região . Essa configuração também permite conectar redes VPC em diferentes regiões.
Conectar um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine
Com a VPN de alta disponibilidade, é possível estabelecer uma conexão segura entre um gateway de VPN de alta disponibilidade e instâncias de VM do Compute Engine que funcionam como dispositivos virtuais de rede com uma implementação IPsec. Essa topologia oferece um SLA de disponibilidade de 99,9% quando configurada corretamente.
Conectar o gateway de VPN de alta disponibilidade a várias instâncias de VM
Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a duas instâncias de VM do Compute Engine. O gateway da VPN de alta disponibilidade e as VMs estão em duas redes de nuvem privada virtual diferentes. As duas VMs estão em zonas diferentes, e cada uma delas tem um endereço IP externo. As instâncias de VM se comportam como gateways de VPN de peering.
Essa topologia é especialmente útil quando você quer conectar a VPN de alta disponibilidade a uma VM de dispositivo virtual de rede de terceiros hospedada em uma instância de VM do Compute Engine. Por exemplo, usando essa topologia, é possível fazer upgrade de uma das VMs de dispositivo virtual de rede sem inatividade para a conexão VPN.
No diagrama, o gateway da VPN de alta disponibilidade está em uma rede VPC
chamada network-a, e as duas VMs estão em network-b. As duas redes VPC
estão localizadas em us-central1. O gateway da VPN de alta disponibilidade
em network-a é configurado com os endereços IP externos de cada uma
das VMs em network-b. Também é possível ter o gateway da VPN de alta disponibilidade e
as VMs em duas regiões diferentes. Recomendamos que você use essa topologia para
melhorar a disponibilidade.
O exemplo a seguir oferece um SLA de disponibilidade de 99,9%.
Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.
Configurar para SLA de disponibilidade de 99,9%
Para atender ao SLA de 99,9%, é preciso haver pelo menos dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para as interfaces correspondentes em cada uma das VMs. Recomendamos que você use essa topologia para ter um SLA de disponibilidade mais alto.
Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:
Tunnel 0deinterface 0aus-central1-vm-ana zonaus-central1-aTunnel 1deinterface 1aus-central1-vm-ana zonaus-central1-aTunnel 2deinterface 0aus-central1-vm-bna zonaus-central1-bTunnel 3deinterface 1aus-central1-vm-bna zonaus-central1-b
Conectar o gateway de VPN de alta disponibilidade a uma única instância de VM
A VPN de alta disponibilidade permite conectar um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine que funciona como um dispositivo virtual de rede e executa uma implementação de VPN IPsec. O gateway de VPN de alta disponibilidade e a VM estão em duas VPCs diferentes. A VM tem um endereço IP externo.
A disponibilidade geral é determinada pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine.
Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.
Configurar para SLA de disponibilidade de 99,9%
Para atender ao SLA de disponibilidade de 99,9%, é preciso haver dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para a interface da VM do Compute Engine.
Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:
Tunnel 0deinterface 0aus-central1-vm-ana zonaus-central1-aTunnel 1deinterface 1aus-central1-vm-ana zonaus-central1-a
A seguir
- Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.