HA VPN-Topologien

Auf dieser Seite werden empfohlene Topologien und das entsprechende Verfügbarkeits-Service Level Agreement (SLA) für jede HA VPN-Topologie beschrieben. Informationen zu klassischen VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Überblick

HA VPN unterstützt Site-to-Site-VPN in einer der folgenden empfohlenen Topologien:

  • HA VPN zu Peer-VPN-Gateways von Drittanbietern. Diese Topologie erfordert zwei VPN-Tunnel aus der Perspektive des HA VPN-Gateways, um das Hochverfügbarkeits-SLA zu erreichen. In dieser Konfiguration hat HA VPN drei typische Peer-Gateway-Konfigurationen:

    • Zwei separate Peer-VPN-Geräte mit jeweils eigener IP-Adresse.
    • Ein Peer-VPN-Gerät mit zwei IP-Adressen
    • Ein Peer-VPN-Gerät mit einer IP-Adresse

    Wenden Sie sich an den Anbieter Ihres Peer-VPN-Gateways, um zu ermitteln, welche Topologie am besten geeignet ist.

  • HA VPN zwischen Google Cloud-Netzwerken Bei dieser Topologie können Sie zwei Google Cloud-VPC-Netzwerke mithilfe eines HA VPN-Gateways in jedem Netzwerk verbinden. Die VPC-Netzwerke können sich in derselben Region oder in mehreren Regionen befinden.

  • HA VPN zu Compute Engine-VM-Instanzen. Bei dieser Topologie verbinden Sie ein HA VPN-Gateway mit einer Compute Engine-VM-Instanz. Eine VM-Instanz kann sich in einer oder mehreren Zonen befinden.

  • HA VPN über Cloud Interconnect In dieser Topologie erstellen Sie HA VPN-Tunnel für IPsec-verschlüsselten Traffic über VLAN-Anhänge von Dedicated Interconnect-Verbindungen oder Partner Interconnect. Sie können regionale interne IP-Adressbereiche für Ihre HA VPN-Gateways reservieren. Ihre Peer-VPN-Geräte können auch interne IP-Adressen haben. Weitere Informationen und Architekturdiagramme finden Sie unter HA VPN über Cloud Interconnect-Bereitstellungsarchitektur.

Konfigurationen, die eine Verfügbarkeit von 99,99 % unterstützen

Topologie Beschreibung SLA zur Verfügbarkeit
HA VPN für Peer-VPN-Gateways HA VPN-Gateway mit einem oder zwei separaten Peer-VPN-Geräten verbinden 99,99 %
HA VPN zwischen Google Cloud-Netzwerken Zwei Google Cloud VPC-Netzwerke in einer einzelnen Region mithilfe eines HA VPN-Gateways in jedem Netzwerk verbinden 99,99 %

Um eine Verfügbarkeit von 99,99% für HA VPN-Verbindungen zu konfigurieren, konfigurieren Sie zwei oder vier Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder einem anderen HA VPN-Gateway. Das Peer-VPN-Gateway muss außerdem so konfiguriert sein, dass es ein SLA mit einer Verfügbarkeit von 99,99% erhält.

Eine ordnungsgemäße Konfiguration bedeutet, dass VPN-Tunnel eine angemessene Redundanz bereitstellen müssen. Dazu müssen sie eine Verbindung zu allen Schnittstellen des HA VPN-Gateways und zu allen Schnittstellen des Peer-VPN-Gateways oder eines anderen HA-VPN-Gateways herstellen.

Konfigurationen, die eine Verfügbarkeit von 99,9 % unterstützen

Topologie Beschreibung SLA zur Verfügbarkeit
HA VPN zu Compute Engine-VM-Instanzen in mehreren Zonen HA VPN-Gateway mit Compute Engine-VM-Instanzen mit externen IP-Adressen verbinden 99,9 %
HA VPN zu einer einzelnen Compute Engine-VM-Instanz HA VPN-Gateway mit nur einer Compute Engine-VM-Instanz mit einer externen IP-Adresse verbinden Das SLA zur Verfügbarkeit hängt vom SLA zur Verfügbarkeit ab, das für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine bereitgestellt wird. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Wenn Sie ein SLA mit 99,9% Verfügbarkeit für HA VPN-Verbindungen in diesen Topologien konfigurieren möchten, konfigurieren Sie zwei oder vier Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder anderen Google Cloud-Ressourcen.

HA VPN für mehr Bandbreite konfigurieren

Fügen Sie weitere HA VPN-Tunnel hinzu, um die Bandbreite Ihrer HA VPN-Gateways zu erhöhen.

Zur Berechnung der benötigten Tunnel verwenden Sie 250.000 Pakete pro Sekunde als Summe der eingehenden und ausgehenden Kapazitäten für jeden Tunnel. Wenn Sie beispielsweise 600.000 Pakete pro Sekunde für eine Summe des eingehenden und ausgehenden Traffics benötigen, benötigen Sie drei Paare von HA VPN-Tunneln (6 Tunnel), um die erforderliche Bandbreite und Failover-Kapazität zu gewährleisten.

Weitere Informationen zur Berechnung der VPN-Bandbreite finden Sie unter Netzwerkbandbreite.

Beachten Sie beim Erhöhen der HA VPN-Bandbreite folgende Richtlinien.

  • Kontingente für VPN-Tunnel prüfen

    Sofern Sie kein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, unterstützt jedes HA VPN-Gateway eine unbegrenzte Anzahl von VPN-Tunneln pro Schnittstelle.

    Allerdings begrenzt das VPN-Tunnel-Kontingent die Gesamtzahl der VPN-Tunnel in Ihrem Projekt.

  • HA VPN-Gateways hinzufügen, um Tunnel zwischen zwei HA VPNs hinzuzufügen

    Wenn Sie ein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, können Sie nur einen Tunnel pro Schnittstelle (0 oder 1) mit der entsprechenden Schnittstelle (0 oder 1) auf dem anderen HA VPN-Gateway verbinden. Mit anderen Worten, zwischen zwei HA VPN-Gateways sind maximal zwei HA VPN-Tunnel möglich.

    Daher müssen Sie zusätzliche HA VPN-Gateway-Paare erstellen, um die Anzahl der VPN-Tunnel zwischen HA VPN-Gateways zu erhöhen.

  • VPN-Tunnelpaare hinzufügen

    Fügen Sie VPN-Tunnelpaare hinzu, um die Bandbreite zwischen HA VPN und einem lokalen Peer-VPN-Gateway zu erhöhen.

    Fügen Sie beispielsweise zwei weitere VPN-Tunnel hinzu, um die Bandbreite eines HA VPN-Gateways zu verdoppeln, das eine Verbindung zu einem lokalen Peer-VPN-Gateway mit zwei Tunneln (einer aktiv, einer passiv) herstellt. Fügen Sie einen weiteren "aktiven" Tunnel und einen weiteren "passiven" Tunnel hinzu.

    Die BGP-Sitzungen für alle vier Tunnel erhalten identische Präfixe. Die beiden aktiven Tunnel erhalten die Präfixe mit derselben höheren Priorität und die beiden passiven Tunnel erhalten die Präfixe mit derselben niedrigeren Priorität.

  • Schnittstellen auf dem Peer-VPN-Gateway abgleichen

    Sie müssen die Schnittstellen auf Ihrem Peer-VPN-Gateway abgleichen, um weiterhin ein SLA zur Verfügbarkeit zu erhalten.

    Wenn Sie die Bandbreite eines HA VPN-Gateways verdoppeln, das eine Verbindung zu einem lokalen VPN-Gateway herstellt, ordnen Sie die Tunnel den Schnittstellen des Peer-VPN-Gateways zu. Platzieren Sie die beiden aktiven Tunnel an Schnittstelle 0 und die beiden passiven Tunnel an Schnittstelle 1. Alternativ können Sie die beiden aktiven Tunnel an Schnittstelle 1 und die beiden passiven Tunnel an Schnittstelle 0 platzieren.

HA VPN für Peer-VPN-Gateways

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Wenn Sie ein HA VPN-Gateway mit einem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den lokalen Subnetzen und VPC-Subnetzen in den folgenden Topologien IPv6-Adressen zuweisen.

Zwei Peer-VPN-Geräte

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn auf einem der Geräte ein Fehler auftritt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-Geräten her. Jedes Peer-Gerät hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu zwei Peer-Geräten (lokal).
HA VPN zu zwei Peer-Geräten (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gerät mit zwei IP-Adressen

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-Gerät verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen.
HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen (zum Vergrößern anklicken)

Ein Peer-VPN-Gerät mit einer IP-Adresse

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-Gerät mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-Gerät verbunden sind.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse.
HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse (zum Vergrößern klicken)

Für eine Verfügbarkeit von 99,99% konfigurieren

Um das SLA von 99,99 % auf der Google Cloud-Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % aufseiten von Google Cloud zu erhalten. In diesem Fall wird ein vollständiges Netz als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen auf dem Peer-Gateway definiert, also insgesamt vier Tunnel auf der Google Cloud-Seite. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Geräts oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.

In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Zeichnungen sind Beispiele für zwei Peer-Geräte, zwei Schnittstellen und ein Peer-Gerät, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-Gerät, eine Schnittstelle.

Das folgende Beispiel hat keine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet.
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

HA VPN zwischen Google Cloud-Netzwerken

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden.

Wenn Sie zwei HA VPN-Gateways mit dem IPv4- und IPv6-Dual-Stack-Typ bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. Die HA VPN-Gateways müssen sich in derselben Region befinden. In diesem Szenario können Sie den VPC-Subnetzen in der folgenden Topologie IPv6-Adressen zuweisen.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN-Gateways zwischen Google Cloud-Netzwerken.
HA VPN-Gateways zwischen Google Cloud-Netzwerken (zum Vergrößern klicken)

Erstellen Sie aus der Perspektive jedes HA VPN-Gateways zwei Tunnel, sodass beide der folgenden Bedingungen zutreffen:

  • interface 0 auf einem HA VPN-Gateway zu interface 0 des anderen HA VPN
  • interface 1 auf einem HA VPN-Gateway zu interface 1 des anderen HA VPN

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Für eine Verfügbarkeit von 99,99% konfigurieren

Die folgenden Schnittstellen müssen auf beiden Gateways übereinstimmen, um zwischen HA VPN und HA VPN-Gateways eine Verfügbarkeit von 99,99 % zu ermöglichen:

  • HA VPN interface 0 zu HA VPN interface 0
  • HA VPN interface 1 zu HA VPN interface 1

HA VPN zu Compute Engine-VM-Instanzen in mehreren Zonen

Mit HA VPN können Sie ein HA VPN-Gateway mit Compute Engine-VM-Instanzen verbinden, die als virtuelle Netzwerk-Appliance fungieren und eine IPsec-VPN-Implementierung ausführen. Diese Topologie bietet bei einer ordnungsgemäßen Konfiguration ein SLA für eine Verfügbarkeit von 99,9 %.

In dieser Topologie kann ein HA VPN-Gateway eine Verbindung zu zwei Compute Engine-VM-Instanzen herstellen. Das HA VPN-Gateway und die VMs befinden sich in zwei verschiedenen VPCs. Die beiden VMs befinden sich in verschiedenen Zonen, wobei jede VM eine externe IP-Adresse hat. Die VM-Instanzen verhalten sich wie VPN-Peer-Geräte.

Diese Topologie ist besonders nützlich, wenn Sie HA VPN mit einer virtuellen Netzwerk-Appliance eines Drittanbieters verbinden möchten, die in Google Cloud gehostet wird. Mit dieser Topologie können Sie beispielsweise eine der virtuellen Netzwerk-Appliance-VMs ohne Ausfallzeit auf die VPN-Verbindung aktualisieren.

Im Diagramm befindet sich das HA VPN-Gateway in einem Virtual Private Cloud-Netzwerk mit dem Namen network-a und die beiden VMs befinden sich in network-b. Beide Virtual Private Cloud-Netzwerke befinden sich in us-central1. Das HA VPN-Gateway in network-a wird mit den externen IP-Adressen jeder VM in network-b konfiguriert. Sie können auch das HA VPN-Gateway und die VMs in zwei verschiedenen Regionen haben. Wir empfehlen diese Topologie, um die Verfügbarkeit zu verbessern.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,9 %:

Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine-VM-Instanzen mit jeder VM in einer anderen Zone verbindet.
Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine-VM-Instanzen mit jeder VM in einer anderen Zone verbindet (zum Vergrößern klicken)

Für eine Verfügbarkeit von 99,9% konfigurieren

Um eine SLA mit 99,9% Verfügbarkeit zu erfüllen, muss jede HA VPN-Gateway-Schnittstelle zwei Tunnel zu jeder VM-Schnittstelle haben. Wir empfehlen diese Topologie, um die Verfügbarkeit zu verbessern.

Zwei Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway stellen eine Verbindung zu den Schnittstellen auf der VM her:

  • Tunnel 0 von interface 0 nach us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 nach us-central1-vm-a in der Zone us-central1-a
  • Tunnel 2 von interface 0 nach us-central1-vm-b in der Zone us-central1-b
  • Tunnel 3 von interface 1 nach us-central1-vm-b in der Zone us-central1-b

HA VPN zu einer einzelnen Compute Engine-VM-Instanz

Mit HA VPN können Sie ein HA VPN-Gateway mit einer Compute Engine-VM-Instanz verbinden, die als virtuelle Netzwerk-Appliance fungiert und eine IPsec-VPN-Implementierung ausführt. Das HA VPN-Gateway und die VM befinden sich in zwei verschiedenen VPCs. Die VM hat eine externe IP-Adresse.

Die Gesamtverfügbarkeit wird durch das Verfügbarkeits-SLA bestimmt, das für eine einzelne VM-Instanz einer speicheroptimierten Maschinenfamilie für Compute Engine bereitgestellt wird. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine-VM verbindet.
Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine-VM verbindet (zum Vergrößern klicken).

Für eine Verfügbarkeit von 99,9% konfigurieren

Um das SLA mit 99,9% Verfügbarkeit zu erfüllen, müssen zwei Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zur Schnittstelle der Compute Engine-VM vorhanden sein.

Zwei Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway stellen eine Verbindung zu den Schnittstellen auf der VM her:

  • Tunnel 0 von interface 0 nach us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 nach us-central1-vm-a in der Zone us-central1-a

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.