Cloud VPN-Topologien

Mit Cloud VPN kommunizieren Ihre lokalen Hosts über einen oder mehrere IPsec-VPN-Tunnel mit Compute Engine-VM-Instanzen in den VPC-Netzwerken Ihres Projekts.

Auf dieser Seite werden empfohlene Topologien für HA VPN beschrieben. Klassische VPN-Topologien finden Sie auf der Seite "Klassische VPN-Topologie". Weitere Informationen zu beiden VPN-Typen finden Sie in Cloud VPN – Übersicht.

Weitere Informationen zu den grundlegenden Konzepten von Cloud VPN finden Sie in Cloud VPN – Übersicht.

Überblick

HA VPN unterstützt Site-to-Site-VPN in einer der folgenden empfohlenen Topologien oder Konfigurationsszenarien. Erkundigen Sie sich beim Anbieter Ihres Peer-VPN-Gateways, welches das richtige Konfigurationsszenario ist:

  • Ein HA VPN-Gateway für Peer-VPN-Geräte. Für all diese Topologien sind zwei VPN-Tunnel aus der Perspektive des HA VPN-Gateways erforderlich. Erkundigen Sie sich beim Anbieter Ihres Peer-VPN-Gateways, welche Topologie am besten geeignet ist.
    • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten, wobei jedes Peer-Gerät über eine eigene externe IP-Adresse verfügt
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit zwei separaten externen IP-Adressen
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit einer externen IP-Adresse
  • Ein HA VPN-Gateway zu einem virtuellen privaten AWS-Gateway, bei dem es sich um eine Peer-Gateway-Konfiguration mit vier Schnittstellen handelt.
  • Zwei HA VPN-Gateways, die miteinander verbunden sind.

Konfigurationen, die eine Verfügbarkeit von 99,99 % unterstützen

Sie müssen von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder einem anderen HA VPN-Gateway zwei oder vier Tunnel ordnungsgemäß konfigurieren, um ein Verfügbarkeits-SLA von 99,99 % für HA VPN-Verbindungen zu gewährleisten.

Eine ordnungsgemäße Konfiguration bedeutet, dass VPN-Tunnel eine angemessene Redundanz bereitstellen müssen. Dazu müssen sie eine Verbindung zu allen Schnittstellen des HA VPN-Gateways und zu allen Schnittstellen des Peer-VPN-Gateways oder eines anderen HA-VPN-Gateways herstellen.

In jedem der folgenden Abschnitte wird beschrieben, wie Tunnel an beiden Enden der VPN-Verbindung konfiguriert werden, um eine Verfügbarkeit von 99,99 % zu gewährleisten.

HA VPN für mehr Bandbreite konfigurieren

Skalierung ist die bevorzugte Methode, um die Bandbreite für HA VPN zu erhöhen. Gehen Sie dazu so vor:

Skalieren Sie Gateways, anstatt mehrere Tunnel bereitzustellen, die mit jeder Schnittstelle eines vorhandenen HA VPN-Gateways verbunden sind (eine BowTie-Konfiguration).

Sie können mehrere HA VPN-Gateways mit demselben Peer-VPN-Gateway (externe VPN-Gateway-Ressource) mit so vielen zusätzlichen Tunneln wie die Kontingente und Limits für Cloud VPN zulassen verbinden.

Im Folgenden finden Sie ein Beispiel für ein HA VPN-Gateway mit einem Durchsatz von 10 Gbit/s, das die folgenden Google Cloud-Ressourcen nutzt:

  • 1 Cloud Router
  • 4 HA VPN-Gateways mit jeweils zwei Tunneln für insgesamt 8 VPN-Tunnel
  • Insgesamt 8 BGP-Sitzungen

Diese Konfiguration setzt eine aktive/passive MED-Konfiguration für BGP-Sitzungen voraus, die an interface 0 und interface 1 bzw. an jedem Gateway angeschlossen sind. Das heißt, vier interface 0-Tunnel sind aktiv und vier interface 1-Tunnel sind passiv.

HA VPN für Peer-VPN-Gateways

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Zwei Peer-VPN-Geräte

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn eines der Geräte ausfällt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-Geräten her. Jedes Peer-Gerät hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

HA VPN zu zwei Peer-Geräten (lokal) (zum Vergrößern klicken)
HA VPN zu zwei Peer-Geräten (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gerät mit zwei IP-Adressen

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-Gerät verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE auch der Wert TWO_IPS_REDUNDANCY verwendet.

HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen (zum Vergrößern klicken)
HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen (zum Vergrößern anklicken)

Ein Peer-VPN-Gerät mit einer IP-Adresse

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-Gerät mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-Gerät verbunden sind.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse (zum Vergrößern klicken)
HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse (zum Vergrößern klicken)

AWS-Peer-Gateways

Verfügbarkeit von 99,99 % garantieren

Ein Tunnel muss von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein, um ein SLA von 99,99 % auf der GCP zu erfüllen.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % auf der GCP zu erhalten. In diesem Fall wird ein vollständiges Netz als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen auf dem Peer-Gateway definiert, also insgesamt vier Tunnel auf der Google Cloud-Seite. Lesen Sie die Dokumentation Ihres lokalen Peer-Geräts oder wenden Sie sich an Ihren VPN-Anbieter, um zu erfahren, ob eine vollständige Mesh-Konfiguration empfohlen wird.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

In dieser Konfiguration stimmen die Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway mit den entsprechenden Schnittstellen auf dem Peer-Gateway oder den Gateways überein:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Zeichnungen sind Beispiele für zwei Peer-Geräte, zwei Schnittstellen und ein Peer-Gerät, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Ein Beispiel hierfür wird in der Zeichnung für ein Peer-Gerät, eine Schnittstelle gezeigt.

Das folgende Beispiel hat keine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

Gateways zwischen Google Cloud und Google Cloud HA VPN

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden.

Gateways zwischen Google Cloud und Google Cloud HA VPN (zum Vergrößern klicken)
Gateways zwischen Google Cloud und Google Cloud HA VPN (zum Vergrößern klicken)

Erstellen Sie aus der Perspektive jedes HA VPN-Gateways zwei Tunnel, sodass beide der folgenden Bedingungen zutreffen:

  • interface 0 auf einem HA VPN-Gateway zu interface 0 des anderen HA VPN
  • interface 1 auf einem HA VPN-Gateway zu interface 1 des anderen HA VPN.

Informationen zum Einrichten dieser Konfiguration finden Sie unter Gateways zwischen HA VPN und HA VPN erstellen.

Verfügbarkeit von 99,99 % garantieren

Die folgenden Schnittstellen müssen auf beiden Gateways übereinstimmen, um Gateways zwischen HA VPN und HA VPN eine Verfügbarkeit von 99,99 % zu ermöglichen:

  • HA VPN interface 0 zu HA VPN interface 0 und
  • HA VPN interface 1 zu HA VPN interface 1

Weitere Informationen