Topologies du VPN haute disponibilité

Cette page décrit les topologies recommandées et le contrat de niveau de service correspondant pour chaque topologie de VPN haute disponibilité. Pour en savoir plus sur les topologies des VPN classiques, consultez la section Topologies des VPN classiques. Pour en savoir plus sur Cloud VPN, y compris sur les deux types de VPN, consultez la présentation de Cloud VPN.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Présentation

Le VPN haute disponibilité prend en charge le VPN de site à site selon l'une des topologies recommandées suivantes :

  • Passerelles VPN haute disponibilité vers des VPN de pairs tiers. Cette topologie nécessite deux tunnels VPN du point de vue de la passerelle VPN haute disponibilité pour atteindre le contrat de niveau de service haute disponibilité. Dans cette configuration, le VPN ha ute disponibilité dispose de trois configurations de passerelle de pairs classiques:

    • Deux appareils VPN pairs distincts, chacun avec sa propre adresse IP.
    • Un seul appareil VPN pair avec deux adresses IP.
    • Un seul appareil VPN pair avec une seule adresse IP.

    Pour déterminer quelle topologie est la plus appropriée, contactez le fournisseur de votre passerelle VPN de pairs.

  • VPN haute disponibilité entre réseaux Google Cloud. Dans cette topologie, vous pouvez connecter deux réseaux Google Cloud VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau. Les réseaux VPC peuvent se trouver dans la même région ou dans plusieurs régions.

  • VPN haute disponibilité vers des instances de VM Compute Engine. Dans cette topologie, vous connectez une passerelle VPN haute disponibilité à une instance de machine virtuelle (VM) Compute Engine. Vos instances de VM peuvent se trouver dans une ou plusieurs zones.

  • VPN haute disponibilité sur Cloud Interconnect Dans cette topologie, vous créez des tunnels VPN haute disponibilité pour acheminer le trafic chiffré par IPsec via des rattachements de VLAN d'une interconnexion dédiée ou d'une interconnexion partenaire. Vous pouvez réserver les plages d'adresses IP internes régionales pour vos passerelles VPN haute disponibilité. Vos appareils VPN de pairs peuvent également posséder des adresses IP internes. Pour en savoir plus et obtenir des schémas d'architecture, consultez la section Architecture de déploiement d'un VPN haute disponibilité via Cloud Interconnect.

Configurations assurant une disponibilité à 99,99 %

Topology Description Garantie de disponibilité dans le contrat de niveau de service
Passerelles entre VPN haute disponibilité et VPN pairs Connecter une passerelle VPN haute disponibilité à un ou deux appareils VPN pairs distincts 99,99 %
VPN haute disponibilité entre deux réseaux Google Cloud Connecter deux réseaux Google Cloud VPC dans une même région à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau 99,99 %

Pour configurer une disponibilité de 99,99 % pour les connexions VPN haute disponibilité, configurez deux ou quatre tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs ou vers une autre passerelle VPN haute disponibilité. Assurez-vous que la passerelle VPN de pairs est également configurée pour recevoir un contrat de niveau de service garantissant une disponibilité de 99,99 %.

Pour que la configuration soit correcte, les tunnels VPN doivent fournir une redondance adéquate en se connectant à toutes les interfaces de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs, ou d'une autre passerelle VPN haute disponibilité.

Configurations assurant une disponibilité à 99,9 %

Topology Description Garantie de disponibilité dans le contrat de niveau de service
VPN haute disponibilité vers des instances de VM Compute Engine dans plusieurs zones Connecter une passerelle VPN haute disponibilité aux instances de VM Compute Engine avec des adresses IP externes 99,9 %
VPN haute disponibilité vers une seule instance de VM Compute Engine Connecter une passerelle VPN haute disponibilité à une seule instance de VM Compute Engine disposant d'une adresse IP externe Le contrat de niveau de service de disponibilité est déterminé par le contrat de niveau de service de disponibilité fourni pour une instance de VM unique de famille de machines à mémoire optimisée pour Compute Engine. Pour en savoir plus, consultez le contrat de niveau de service de Compute Engine.

Pour configurer un contrat de niveau de service garantissant une disponibilité de 99,9 % pour les connexions VPN haute disponibilité dans ces topologies, configurez deux ou quatre tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs ou vers d'autres ressources Google Cloud.

Configurez le VPN haute disponibilité pour augmenter la bande passante

Pour augmenter la bande passante de vos passerelles VPN haute disponibilité, ajoutez d'autres tunnels VPN haute disponibilité.

Pour calculer le nombre de tunnels dont vous avez besoin, utilisez 250 000 paquets par seconde comme somme de la capacité entrante et sortante pour chaque tunnel. Par exemple, si vous avez besoin de 600 000 paquets par seconde pour une somme de trafic entrant et sortant, vous avez besoin de trois paires de tunnels VPN haute disponibilité (six tunnels) pour garantir la bande passante et la capacité de basculement requises.

Pour en savoir plus sur les calculs de bande passante VPN, consultez Bande passante réseau.

Tenez compte des instructions suivantes lorsque vous augmentez la bande passante des VPN haute disponibilité.

  • Vérifier les quotas de tunnels VPN

    À moins que vous connectiez une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité, chaque passerelle VPN haute disponibilité accepte un nombre illimité de tunnels VPN sur chaque interface.

    Toutefois, le quota de tunnels VPN limite le nombre total de tunnels VPN dans votre projet.

  • Ajouter des passerelles VPN haute disponibilité pour ajouter des tunnels entre deux VPN haute disponibilité

    Lorsque vous connectez une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité, vous ne pouvez connecter qu'un seul tunnel par interface (0 ou 1) à l'interface correspondante, 0 ou 1, sur l'autre passerelle VPN haute disponibilité. En d'autres termes, vous disposez de deux tunnels VPN haute disponibilité entre une paire de passerelles VPN haute disponibilité.

    Par conséquent, pour augmenter le nombre de tunnels VPN entre les passerelles VPN haute disponibilité, vous devez créer des paires de passerelles VPN haute disponibilité supplémentaires.

  • Ajouter des paires de tunnels VPN

    Pour augmenter la bande passante entre le VPN haute disponibilité et une passerelle VPN de pairs sur site, ajoutez des paires de tunnels VPN.

    Par exemple, pour doubler la bande passante d'une passerelle VPN haute disponibilité connectée à une passerelle VPN de pairs sur site avec deux tunnels (un actif, un passif), ajoutez deux autres tunnels VPN. Ajoutez un autre tunnel "actif" et un autre tunnel "passif".

    Les sessions BGP des quatre tunnels reçoivent les mêmes préfixes. Les deux tunnels actifs reçoivent les préfixes ayant la même priorité supérieure, et les deux tunnels passifs reçoivent les préfixes ayant la même priorité inférieure.

  • Mettre en correspondance des interfaces sur la passerelle VPN de pairs

    Vous devez faire correspondre les interfaces de votre passerelle VPN de pairs pour continuer à recevoir un contrat de niveau de service de disponibilité.

    Lorsque vous doublez la bande passante d'une passerelle VPN haute disponibilité connectée à une passerelle VPN sur site, associez les tunnels aux interfaces de la passerelle VPN de pairs. Placez les deux tunnels actifs sur l'interface 0 et les deux tunnels passifs sur l'interface 1. Vous pouvez également placer les deux tunnels actifs sur l'interface 1 et les deux tunnels passifs sur l'interface 0.

Passerelles entre VPN haute disponibilité et VPN pairs

Il existe trois configurations de passerelle de pairs pour les VPN haute disponibilité :

  • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, chacun avec sa propre adresse IP
  • Une passerelle VPN haute disponibilité vers un appareil de VPN pair utilisant deux adresses IP distinctes
  • Une passerelle VPN haute disponibilité vers un appareil VPN pair utilisant une adresse IP

Pour réaliser l'une de ces configurations, consultez la section Créer une passerelle depuis un VPN haute disponibilité vers un VPN de pairs.

Si vous déployez une passerelle VPN haute disponibilité avec un type de pile double IPv4 et IPv6, vos tunnels VPN peuvent accepter l'échange de trafic IPv6. Le protocole IPv6 doit également être activé dans les sessions BGP que vous créez pour les tunnels VPN. Dans ce scénario, vous pouvez attribuer des adresses IPv6 aux sous-réseaux sur site et aux sous-réseaux VPC dans les topologies suivantes.

Deux appareils VPN pairs

Si votre passerelle côté pairs est matérielle, la mise en place d'une deuxième passerelle côté pairs offre des fonctionnalités de redondance et de basculement de ce côté de la connexion. La présence d'une deuxième passerelle physique vous permet de mettre l'une des passerelles hors connexion pour les mises à niveau logicielles ou pour d'autres opérations de maintenance planifiées. Elle vous protège également en cas de défaillance d'un des appareils.

Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux appareils pairs. Chaque appareil pair possède une interface et une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers deux appareils pairs sur site.
VPN haute disponibilité vers deux appareils pairs (sur site) (cliquez pour agrandir).

Un seul appareil VPN pair avec deux adresses IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant deux adresses IP externes distinctes. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP.
VPN haute disponibilité vers un appareil pair (sur site) avec deux adresses IP (cliquez pour agrandir)

Un seul appareil VPN pair avec une seule adresse IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, tous deux reliés à la même adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur SINGLE_IP_INTERNALLY_REDUNDANT.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers un appareil pair sur site avec une seule adresse IP.
VPN haute disponibilité vers un seul appareil pair (sur site) avec une seule adresse IP (cliquez pour agrandir)

Configurer pour une disponibilité de 99,99 %

Pour respecter le contrat de niveau de service garantissant 99,99 % de disponibilité du côté de Google Cloud, un tunnel doit relier chacune des deux interfaces de la passerelle VPN haute disponibilité aux interfaces correspondantes de la passerelle de pairs.

Si la passerelle de pairs comporte deux interfaces, alors la configuration de deux tunnels, chacun reliant une interface pair à une interface de passerelle VPN haute disponibilité, répond aux exigences de 99,99 % de disponibilité imposées par le contrat de niveau de service. Une configuration de réseau maillé complet n'est pas requise pour un contrat de niveau de service garantissant une disponibilité de 99,99 % du côté de Google Cloud. Dans ce cas, un réseau maillé complet est constitué de deux tunnels reliant chaque interface VPN haute disponibilité à chacune des deux interfaces de la passerelle de pairs, pour un total de quatre tunnels du côté Google Cloud. Pour vérifier si votre fournisseur VPN recommande une configuration de réseau maillé complet, consultez la documentation de votre appareil VPN pair (sur site), ou contactez votre fournisseur VPN.

Dans les configurations comportant deux interfaces de pairs, les tunnels de chacune des interfaces suivantes sur la passerelle VPN haute disponibilité se rapportent aux interfaces correspondantes sur la ou les passerelles de pairs :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
  • interface 1 de VPN haute disponibilité correspondant à interface 1 pair

Des exemples sont présentés dans les illustrations pour deux appareils pairs et deux interfaces ou pour un seul appareil pair et deux interfaces.

S'il n'existe qu'une seule interface pair sur une passerelle de pairs, chaque tunnel de chaque interface de passerelle VPN haute disponibilité doit se connecter à l'interface pair unique. Consultez le schéma pour un seul appareil pair avec une seule interface.

L'exemple suivant n'assure pas une disponibilité de 99,99 % :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
Topologie n'offrant pas de haute disponibilité.
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)

VPN haute disponibilité entre réseaux Google Cloud

Vous pouvez connecter deux réseaux VPC Google Cloud à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau.

Si vous déployez deux passerelles VPN haute disponibilité avec le type à double pile IPv4 et IPv6, vos tunnels VPN peuvent accepter l'échange de trafic IPv6. Le protocole IPv6 doit également être activé dans les sessions BGP que vous créez pour les tunnels VPN. Les passerelles VPN haute disponibilité doivent se trouver dans la même région. Dans ce scénario, vous pouvez attribuer des adresses IPv6 aux sous-réseaux VPC dans la topologie suivante.

L'exemple suivant assure une disponibilité de 99,99 %.

Passerelles VPN haute disponibilité entre réseaux Google Cloud.
Passerelles VPN haute disponibilité entre réseaux Google Cloud (cliquez pour agrandir)

Du point de vue de chaque passerelle VPN haute disponibilité, vous créez deux tunnels afin que les deux conditions suivantes soient remplies :

  • interface 0 sur une passerelle VPN haute disponibilité correspond à interface 0 sur l'autre VPN haute disponibilité.
  • interface 1 sur une passerelle VPN haute disponibilité correspond à interface 1 sur l'autre VPN haute disponibilité.

Pour réaliser cette configuration, consultez la section Créer deux passerelles VPN haute disponibilité entièrement configurées connectées entre elles.

Configurer pour une disponibilité de 99,99 %

Pour garantir une disponibilité à 99,99 % des passerelles entre deux VPN haute disponibilité, les interfaces suivantes doivent correspondre sur les deux passerelles :

  • interface 0 de VPN haute disponibilité correspond à interface 0 de VPN haute disponibilité.
  • interface 1 de VPN haute disponibilité correspond à interface 1 de VPN haute disponibilité.

VPN haute disponibilité vers instances de VM Compute Engine dans plusieurs zones

Un VPN haute disponibilité vous permet de connecter une passerelle VPN haute disponibilité à des instances de machines virtuelles (VM) Compute Engine fonctionnant comme un dispositif virtuel de réseau et exécutant une mise en œuvre de VPN IPsec. Cette topologie fournit une garantie de disponibilité de 99,9 % dans le contrat de niveau de service lorsqu'elle est correctement configurée.

Dans cette topologie, une passerelle VPN haute disponibilité peut se connecter à deux instances de VM Compute Engine. La passerelle VPN haute disponibilité et les VM se trouvent dans deux VPC différents. Les deux VM se trouvent dans des zones différentes, chaque VM disposant d'une adresse IP externe. Les instances de VM se comportent comme des appareils pairs VPN.

Cette topologie est particulièrement utile lorsque vous souhaitez connecter un VPN haute disponibilité à une VM de dispositif virtuel de réseau tiers hébergée dans Google Cloud. Par exemple, en utilisant cette topologie, vous pouvez mettre à niveau l'une des VM de dispositifs virtuels de réseau sans temps d'arrêt de la connexion VPN.

Dans le schéma, la passerelle VPN haute disponibilité se trouve sur un réseau cloud privé virtuel nommé network-a, et les deux VM se trouvent dans network-b. Les deux réseaux cloud privés virtuels se trouvent dans us-central1. La passerelle VPN haute disponibilité de la région network-a est configurée avec les adresses IP externes de chacune des VM dans la région network-b. Vous pouvez également disposer de la passerelle VPN haute disponibilité et des VM dans deux régions différentes. Nous vous recommandons d'utiliser cette topologie pour améliorer la disponibilité.

L'exemple suivant assure une disponibilité de 99,9 %.

Topologie qui connecte une passerelle VPN haute disponibilité à deux instances de VM Compute Engine, avec chaque VM située dans une zone différente.
Topologie qui connecte une passerelle VPN haute disponibilité à deux instances de VM Compute Engine, chaque VM se trouvant dans une zone différente (cliquez pour agrandir).

Configurer pour une disponibilité de 99,9 %

Pour respecter le contrat de niveau de service garantissant une disponibilité de 99,9 %, chaque interface de passerelle VPN haute disponibilité doit comporter deux tunnels pour chaque interface de VM. Nous vous recommandons d'utiliser cette topologie pour améliorer la disponibilité.

Deux tunnels sur chacune des interfaces suivantes de la passerelle VPN haute disponibilité se connectent aux interfaces de la VM :

  • Tunnel 0 de interface 0 à us-central1-vm-a dans la zone us-central1-a
  • Tunnel 1 de interface 1 à us-central1-vm-a dans la zone us-central1-a
  • Tunnel 2 de interface 0 à us-central1-vm-b dans la zone us-central1-b
  • Tunnel 3 de interface 1 à us-central1-vm-b dans la zone us-central1-b

VPN haute disponibilité vers une seule instance de VM Compute Engine

Un VPN haute disponibilité vous permet de connecter une passerelle VPN haute disponibilité à une instance de machine virtuelle (VM) Compute Engine fonctionnant comme un dispositif virtuel de réseau et exécutant une mise en œuvre de VPN IPsec. La passerelle VPN haute disponibilité et la VM se trouvent dans deux VPC différents. La VM possède une adresse IP externe.

La disponibilité globale est déterminée par le contrat de niveau de service fourni à une instance de VM unique de famille de machines à mémoire optimisée pour Compute Engine. Pour en savoir plus, consultez le contrat de niveau de service de Compute Engine.

Topologie permettant de connecter une passerelle VPN haute disponibilité à une VM Compute Engine.
Topologie qui connecte une passerelle VPN haute disponibilité à une VM Compute Engine (cliquez pour agrandir).

Configurer pour une disponibilité de 99,9 %

Pour respecter le contrat de niveau de service garantissant une disponibilité à 99,9 %, il doit y avoir deux tunnels entre chacune des deux interfaces de la passerelle VPN haute disponibilité vers l'interface de la VM Compute Engine.

Deux tunnels sur chacune des interfaces suivantes de la passerelle VPN haute disponibilité se connectent aux interfaces de la VM :

  • Tunnel 0 de interface 0 à us-central1-vm-a dans la zone us-central1-a
  • Tunnel 1 de interface 1 à us-central1-vm-a dans la zone us-central1-a

Étapes suivantes

  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.