HA VPN-Topologien

Mit Cloud VPN kommunizieren Ihre lokalen Hosts über einen oder mehrere IPsec-VPN-Tunnel mit Compute Engine-VM-Instanzen in den VPC-Netzwerken (Virtual Private Cloud) Ihres Projekts.

Auf dieser Seite werden empfohlene Topologien für HA VPN beschrieben. Informationen zu klassischen VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Übersicht

HA VPN unterstützt Site-to-Site-VPN in einer der folgenden empfohlenen Topologien oder Konfigurationsszenarien. Erkundigen Sie sich beim Anbieter Ihres Peer-VPN-Gateways, welches das richtige Konfigurationsszenario ist:

  • Ein HA VPN-Gateway für Peer-VPN-Geräte. Für die folgenden Topologien sind zwei VPN-Tunnel aus der Perspektive des HA VPN-Gateways erforderlich. Wenden Sie sich an den Anbieter Ihres Peer-VPN-Gateways, um zu ermitteln, welche Topologie am besten geeignet ist.
    • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten, wobei jedes Peer-Gerät über eine eigene externe IP-Adresse verfügt
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit zwei separaten externen IP-Adressen.
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit einer externen IP-Adresse.
  • Ein HA VPN-Gateway zu einem virtuellen privaten Gateway von Amazon Web Services (AWS), das eine Peer-Gateway-Konfiguration mit vier Schnittstellen ist.
  • Zwei HA VPN-Gateways, die miteinander verbunden sind.

  • Ein oder mehrere HA VPN-Gateways, die mit zwei VLAN-Anhängen in einer HA VPN-über Cloud Interconnect-Bereitstellung verknüpft sind. Jedes HA VPN-Gateway ist mit einem oder mehreren Peer-VPN-Geräten verbunden.

    In dieser Topologie erstellen Sie HA VPN-Tunnel für den Übertragung von IPsec-verschlüsseltem Traffic über VLAN-Anhänge von Dedicated Interconnect oder Partner Interconnect. Sie können regionale interne IP-Adressbereiche für Ihre HA VPN-Gateways reservieren. Ihre Peer-VPN-Geräte können auch interne IP-Adressen haben. Weitere Informationen und Architekturdiagramme finden Sie unter HA VPN über Cloud Interconnect – Übersicht.

Konfigurationen, die eine Verfügbarkeit von 99,99 % unterstützen

Wenn Sie ein Verfügbarkeits-SLA von 99,99% für HA VPN-Verbindungen garantieren möchten, konfigurieren Sie zwei oder vier Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder einem anderen HA VPN-Gateway.

Eine ordnungsgemäße Konfiguration bedeutet, dass VPN-Tunnel eine angemessene Redundanz bereitstellen müssen. Dazu müssen sie eine Verbindung zu allen Schnittstellen des HA VPN-Gateways und zu allen Schnittstellen des Peer-VPN-Gateways oder eines anderen HA-VPN-Gateways herstellen.

In jedem der folgenden Abschnitte wird beschrieben, wie Tunnel an beiden Enden der VPN-Verbindung konfiguriert werden, um eine Verfügbarkeit von 99,99 % zu gewährleisten.

HA VPN für mehr Bandbreite konfigurieren

Fügen Sie weitere HA VPN-Tunnel hinzu, um die Bandbreite Ihrer HA VPN-Gateways zu erhöhen.

Verwenden Sie zur Berechnung der Anzahl der benötigten Tunnel 3 Gbit/s als Summe der für jeden Tunnel verfügbaren Bandbreite für eingehenden und ausgehenden Traffic. Wenn Sie beispielsweise 12 Gbit/s für den eingehenden plus den ausgehenden Traffic benötigen, sollten Sie vier Tunnel gleichzeitig verwenden (12 ÷ 3 = 4). Weitere Informationen zur Berechnung der VPN-Bandbreite finden Sie unter Netzwerkbandbreite.

Beachten Sie beim Erhöhen der HA VPN-Bandbreite folgende Richtlinien.

  • Kontingente für VPN-Tunnel prüfen

    Sofern Sie kein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, unterstützt jedes HA VPN-Gateway eine unbegrenzte Anzahl von VPN-Tunneln pro Schnittstelle.

    Allerdings begrenzt das VPN-Tunnel-Kontingent die Gesamtzahl der VPN-Tunnel in Ihrem Projekt.

  • HA VPN-Gateways hinzufügen, um Tunnel zwischen zwei HA VPNs hinzuzufügen

    Wenn Sie ein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, können Sie nur einen Tunnel pro Schnittstelle (0 oder 1) mit der entsprechenden Schnittstelle (0 oder 1) auf dem anderen HA VPN-Gateway verbinden. Mit anderen Worten, zwischen zwei HA VPN-Gateways sind maximal zwei HA VPN-Tunnel möglich.

    Daher müssen Sie zusätzliche HA VPN-Gateway-Paare erstellen, um die Anzahl der VPN-Tunnel zwischen HA VPN-Gateways zu erhöhen.

  • VPN-Tunnelpaare hinzufügen

    Fügen Sie VPN-Tunnelpaare hinzu, um die Bandbreite zwischen HA VPN und einem lokalen Peer-VPN-Gateway zu erhöhen.

    Fügen Sie beispielsweise zwei weitere VPN-Tunnel hinzu, um die Bandbreite eines HA VPN-Gateways zu verdoppeln, das eine Verbindung zu einem lokalen Peer-VPN-Gateway mit zwei Tunneln (einer aktiv, einer passiv) herstellt. Fügen Sie einen weiteren "aktiven" Tunnel und einen weiteren "passiven" Tunnel hinzu.

    Die BGP-Sitzungen für alle vier Tunnel erhalten identische Präfixe. Die beiden aktiven Tunnel erhalten die Präfixe mit derselben höheren Priorität und die beiden passiven Tunnel erhalten die Präfixe mit derselben niedrigeren Priorität.

  • Schnittstellen auf dem Peer-VPN-Gateway abgleichen

    Sie müssen die Schnittstellen auf Ihrem Peer-VPN-Gateway abgleichen, um weiterhin ein SLA mit 99,99 % Verfügbarkeit zu erhalten.

    Wenn Sie die Bandbreite eines HA VPN-Gateways verdoppeln, das eine Verbindung zu einem lokalen VPN-Gateway herstellt, ordnen Sie die Tunnel den Schnittstellen des Peer-VPN-Gateways zu. Platzieren Sie die beiden aktiven Tunnel an Schnittstelle 0 und die beiden passiven Tunnel an Schnittstelle 1. Alternativ können Sie die beiden aktiven Tunnel an Schnittstelle 1 und die beiden passiven Tunnel an Schnittstelle 0 platzieren.

Beispiel: erhöhte Bandbreite

Im Folgenden finden Sie eine Liste der Google Cloud-Ressourcen, die von einer HA VPN-Verbindung zu einem lokalen Peer-VPN-Gateway mit einem Durchsatz von 12 Gbit/s verwendet werden:

  • Ein Cloud Router
  • Ein HA VPN-Gateway mit insgesamt acht VPN-Tunneln, darunter:
    • Vier aktive Tunnel, die mit Schnittstelle 0 verbunden sind
    • Vier passive Tunnel, die mit Schnittstelle 1 verbunden sind
  • Acht BGP-Sitzungen insgesamt, wobei jede BGP-Sitzung einem HA VPN-Tunnel entspricht

HA VPN für Peer-VPN-Gateways

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Wenn Sie ein HA VPN-Gateway mit einem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den lokalen Subnetzen und VPC-Subnetzen in den folgenden Topologien IPv6-Adressen zuweisen.

Zwei Peer-VPN-Geräte

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn auf einem der Geräte ein Fehler auftritt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-Geräten her. Jedes Peer-Gerät hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu zwei Peer-Geräten (lokal).
HA VPN zu zwei Peer-Geräten (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gerät mit zwei IP-Adressen

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-Gerät verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen.
HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen (zum Vergrößern anklicken)

Ein Peer-VPN-Gerät mit einer IP-Adresse

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-Gerät mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-Gerät verbunden sind.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse.
HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse (zum Vergrößern klicken)

Verfügbarkeit von 99,99 % garantieren

Um das SLA von 99,99 % auf der Google Cloud-Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % aufseiten von Google Cloud zu erhalten. In diesem Fall wird ein vollständiges Netz als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen auf dem Peer-Gateway definiert, also insgesamt vier Tunnel auf der Google Cloud-Seite. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Geräts oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.

In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Zeichnungen sind Beispiele für zwei Peer-Geräte, zwei Schnittstellen und ein Peer-Gerät, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-Gerät, eine Schnittstelle.

Das folgende Beispiel hat keine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet.
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

HA VPN zu AWS-Peer-Gateways

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:
    • HA VPN interface 0 zu AWS interface 0
    • HA VPN interface 0 zu AWS interface 1
    • HA VPN interface 1 zu AWS interface 2
    • HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

  1. Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
  2. Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
    • Die Routingoption Dynamisch
    • Die Google-ASN des Cloud Routers
    • Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
  3. Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:
    • Transit-Gateway
      1. Erstellen Sie für das erste Kunden-Gateway (interface 0) einen VPN-Anhang des Transit-Gateways und verwenden Sie die Routingoption Dynamisch.
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
    • Virtual Private Gateway
      1. Erstellen Sie eine Site-to-Site-VPN-Verbindung für das erste Kunden-Gateway (interface 0) so:
        • Einen Ziel-Gateway-Typ von Virtual Private Gateway
        • Die Routingoption Dynamisch
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
  4. Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.
  5. Gehen Sie in Google Cloud so vor:
    1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
    2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
    3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

HA VPN zwischen Google Cloud-Netzwerken

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Beide HA VPN-Gateways müssen sich in derselben Region befinden.

Wenn Sie zwei HA VPN-Gateways mit dem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den VPC-Subnetzen in der folgenden Topologie IPv6-Adressen zuweisen.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN-Gateways zwischen Google Cloud-Netzwerken.
HA VPN-Gateways zwischen Google Cloud-Netzwerken (zum Vergrößern klicken)

Erstellen Sie aus der Perspektive jedes HA VPN-Gateways zwei Tunnel, sodass beide der folgenden Bedingungen zutreffen:

  • interface 0 auf einem HA VPN-Gateway zu interface 0 des anderen HA VPN
  • interface 1 auf einem HA VPN-Gateway zu interface 1 des anderen HA VPN

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Verfügbarkeit von 99,99 % garantieren

Die folgenden Schnittstellen müssen auf beiden Gateways übereinstimmen, um Gateways zwischen HA VPN und HA VPN eine Verfügbarkeit von 99,99 % zu ermöglichen:

  • HA VPN interface 0 zu HA VPN interface 0 und
  • HA VPN interface 1 zu HA VPN interface 1

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.