HA VPN-Topologien

Mit Cloud VPN kommunizieren Ihre lokalen Hosts über einen oder mehrere IPsec-VPN-Tunnel mit Compute Engine-VM-Instanzen in den VPC-Netzwerken (Virtual Private Cloud) Ihres Projekts.

Auf dieser Seite werden empfohlene Topologien für HA VPN beschrieben. Klassische VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Übersicht

HA VPN unterstützt Site-to-Site-VPN in einer der folgenden empfohlenen Topologien oder Konfigurationsszenarien. Erkundigen Sie sich beim Anbieter Ihres Peer-VPN-Gateways, welches das richtige Konfigurationsszenario ist:

  • Ein HA VPN-Gateway für Peer-VPN-Geräte. Für die folgenden Topologien sind zwei VPN-Tunnel aus der Perspektive des HA VPN-Gateways erforderlich. Wenden Sie sich an den Anbieter Ihres Peer-VPN-Gateways, um zu ermitteln, welche Topologie am besten geeignet ist.
    • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten, wobei jedes Peer-Gerät über eine eigene externe IP-Adresse verfügt
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit zwei separaten externen IP-Adressen.
    • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät mit einer externen IP-Adresse.
  • Ein HA VPN-Gateway zu einem virtuellen privaten Gateway von Amazon Web Services (AWS), das eine Peer-Gateway-Konfiguration mit vier Schnittstellen ist.
  • Zwei HA VPN-Gateways, die miteinander verbunden sind.

Konfigurationen, die eine Verfügbarkeit von 99,99 % unterstützen

Wenn Sie ein Verfügbarkeits-SLA von 99,99% für HA VPN-Verbindungen garantieren möchten, konfigurieren Sie zwei oder vier Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder einem anderen HA VPN-Gateway.

Eine ordnungsgemäße Konfiguration bedeutet, dass VPN-Tunnel eine angemessene Redundanz bereitstellen müssen. Dazu müssen sie eine Verbindung zu allen Schnittstellen des HA VPN-Gateways und zu allen Schnittstellen des Peer-VPN-Gateways oder eines anderen HA-VPN-Gateways herstellen.

In jedem der folgenden Abschnitte wird beschrieben, wie Tunnel an beiden Enden der VPN-Verbindung konfiguriert werden, um eine Verfügbarkeit von 99,99 % zu gewährleisten.

HA VPN für mehr Bandbreite konfigurieren

Skalierung ist die bevorzugte Methode, um die Bandbreite für HA VPN zu erhöhen. So skalieren Sie Ihre HA VPN-Gateways:

  • Fügen Sie weitere HA VPN-Gateways hinzu, aber verwenden Sie nicht mehr aktive/passive Tunnel für jedes Gateway. Folgen Sie dabei den Empfehlungen unter Mehrere Tunnel oder Gateways verwenden.
  • Fügen Sie zwischen den einzelnen HA VPN-Gateway-Schnittstellen weitere Sätze von aktiven/passiven Tunneln hinzu. Ordnen Sie die Schnittstellen einem Peer-Gateway oder einem anderen HA VPN-Gateway zu. Sie müssen die Schnittstellen abgleichen, um ein SLA mit 99,99 % Betriebszeit zu erhalten.

Skalieren Sie Gateways, anstatt mehrere Tunnel bereitzustellen, die mit jeder Schnittstelle eines vorhandenen HA VPN-Gateways verbunden sind (eine BowTie-Konfiguration).

Sie können mehrere HA VPN-Gateways mit demselben Peer-VPN-Gateway (externe VPN-Gateway-Ressource) mit so vielen zusätzlichen Tunneln verbinden, wie die Kontingente und Limits für Cloud VPN zulassen.

Im Folgenden finden Sie ein Beispiel für ein HA VPN-Gateway mit einem Durchsatz von 10 Gbit/s, das die folgenden Google Cloud-Ressourcen verwendet:

  • 1 Cloud Router
  • 4 HA VPN-Gateways mit jeweils zwei Tunneln für insgesamt 8 VPN-Tunnel
  • Insgesamt 8 BGP-Sitzungen

Diese Konfiguration setzt eine aktive/passive MED-Konfiguration für BGP-Sitzungen voraus, die an interface 0 und interface 1 bzw. an jedem Gateway angeschlossen sind. Das heißt, vier interface 0-Tunnel sind aktiv und vier interface 1-Tunnel sind passiv.

Jeder Cloud VPN-Tunnel unterstützt insgesamt bis zu 3 Gbit/s eingehenden und ausgehenden Traffic. In diesem Fall ist 3 Gbit/s die maximale Bandbreite und kann nur mit einem idealen Trafficmuster erreicht werden. Im Allgemeinen kann gesagt werden, dass 2,5 Gbit/s pro Tunnel gewährleistet sind. Daher beträgt die Berechnung 4 * 2,5 = 10 Gbit/s. Weitere Informationen finden Sie unter Netzwerkbandbreite.

HA VPN für Peer-VPN-Gateways

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Geräten mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gerät, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Zwei Peer-VPN-Geräte

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn auf einem der Geräte ein Fehler auftritt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-Geräten her. Jedes Peer-Gerät hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu zwei Peer-Geräten (lokal).
HA VPN zu zwei Peer-Geräten (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gerät mit zwei IP-Adressen

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-Gerät verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-Gerät.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen.
HA VPN zu einem Peer-Gerät (lokal) mit zwei IP-Adressen (zum Vergrößern anklicken)

Ein Peer-VPN-Gerät mit einer IP-Adresse

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-Gerät mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-Gerät verbunden sind.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse.
HA VPN zu einem Peer-Gerät (lokal) mit einer IP-Adresse (zum Vergrößern klicken)

Verfügbarkeit von 99,99 % garantieren

Um das SLA von 99,99 % auf der Google Cloud-Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % auf Google Cloud-Seite zu erhalten. In diesem Fall wird ein vollständiges Netz als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen auf dem Peer-Gateway definiert, also insgesamt vier Tunnel auf der Google Cloud-Seite. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Geräts oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.

In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Zeichnungen sind Beispiele für zwei Peer-Geräte, zwei Schnittstellen und ein Peer-Gerät, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-Gerät, eine Schnittstelle.

Das folgende Beispiel bietet keine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet.
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

HA VPN zu AWS-Peer-Gateways

Beim Konfigurieren eines externen HA VPN-Gateways zu Amazon Web Services (AWS) können Sie entweder ein Transit-Gateway oder ein virtuelles privates Gateway verwenden. Nur das Transit-Gateway unterstützt ECMP-Routing (Equal Cost Multipath). Wenn ECMP aktiviert ist, wird der Traffic gleichmäßig auf die aktiven Tunnel verteilt. Die unterstützte Topologie erfordert zwei AWS Site-to-Site-VPN-Verbindungen, A und B, jeweils mit zwei externen IP-Adressen. Diese Topologie erzeugt in AWS insgesamt vier externe IP-Adressen: A1, A2, B1 und B2.

  1. Konfigurieren Sie die vier AWS-IP-Adressen als ein einzelnes externes HA VPN-Gateway mit FOUR_IPS_REDUNDANCY, wobei:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. Erstellen Sie vier Tunnel auf dem HA VPN-Gateway, um das SLA von 99,99 % zu erreichen. Verwenden Sie dabei die folgende Konfiguration:
    • HA VPN interface 0 zu AWS interface 0
    • HA VPN interface 0 zu AWS interface 1
    • HA VPN interface 1 zu AWS interface 2
    • HA VPN interface 1 zu AWS interface 3

Richten Sie HA VPN bei AWS ein:

  1. Erstellen Sie in Google Cloud ein HA VPN-Gateway und einen Cloud Router in der gewünschten Region. Dadurch werden zwei externe IP-Adressen erstellt, eine für jede Gateway-Schnittstelle. Notieren Sie sich die externen IP-Adressen für die Verwendung im nächsten Schritt.
  2. Erstellen Sie in AWS zwei Kunden-Gateways. Nutzen Sie dazu Folgendes:
    • Die Routingoption Dynamisch
    • Die Google-ASN des Cloud Routers
    • Die externen IP-Adressen der in Google Cloud erstellten HA VPN-Gateways interfaces 0 und 1
  3. Führen Sie die Schritte entsprechend der von Ihnen verwendeten AWS-VPN-Option aus:
    • Transit-Gateway
      1. Erstellen Sie für das erste Kunden-Gateway (interface 0) einen VPN-Anhang des Transit-Gateways und verwenden Sie die Routingoption Dynamisch.
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
    • Virtual Private Gateway
      1. Erstellen Sie eine Site-to-Site-VPN-Verbindung für das erste Kunden-Gateway (interface 0) so:
        • Einen Ziel-Gateway-Typ von Virtual Private Gateway
        • Die Routingoption Dynamisch
      2. Wiederholen Sie den vorherigen Schritt für das zweite Kunden-Gateway (interface 1).
  4. Laden Sie die AWS-Konfigurationsdateien für die beiden erstellten Verbindungen herunter. Die Dateien enthalten Informationen, die Sie in den nächsten Schritten dieses Verfahrens benötigen, einschließlich vorinstallierter Authentifizierungsschlüssel, externer Tunnel-IP-Adressen und interner Tunnel-IP-Adressen.
  5. Gehen Sie in Google Cloud so vor:
    1. Erstellen Sie ein neues Peer-VPN-Gateway mit vier Schnittstellen. Verwenden Sie dazu die externen AWS-IP-Adressen aus den Dateien, die Sie im vorherigen Schritt heruntergeladen haben.
    2. Erstellen Sie vier VPN-Tunnel auf dem HA VPN-Gateway, das Sie in Schritt 1 erstellt haben. Konfigurieren Sie für jeden Tunnel die HA VPN-Gateway-Schnittstelle mit der entsprechenden Peer-VPN-Gateway-Schnittstelle und vorinstallierten Schlüsseln. Verwenden Sie dazu die Informationen in den heruntergeladenen AWS-Konfigurationsdateien.
    3. Konfigurieren Sie BGP-Sitzungen auf dem Cloud Router mithilfe der BGP-IP-Adressen aus den heruntergeladenen AWS-Konfigurationsdateien.

HA VPN zwischen Google Cloud-Netzwerken

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Das folgende Beispiel bietet eine Verfügbarkeit von 99,99 %:

HA VPN-Gateways zwischen Google Cloud-Netzwerken.
HA VPN-Gateways zwischen Google Cloud-Netzwerken (zum Vergrößern klicken)

Erstellen Sie aus der Perspektive jedes HA VPN-Gateways zwei Tunnel, sodass beide der folgenden Bedingungen zutreffen:

  • interface 0 auf einem HA VPN-Gateway zu interface 0 des anderen HA VPN
  • interface 1 auf einem HA VPN-Gateway zu interface 1 des anderen HA VPN

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Verfügbarkeit von 99,99 % garantieren

Die folgenden Schnittstellen müssen auf beiden Gateways übereinstimmen, um zwischen HA VPN und HA VPN-Gateways eine Verfügbarkeit von 99,99 % zu ermöglichen:

  • HA VPN interface 0 zu HA VPN interface 0 und
  • HA VPN interface 1 zu HA VPN interface 1

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.