En esta página, se describen las topologías recomendadas y el Acuerdo de Nivel de Servicio (ANS) de disponibilidad correspondiente para cada topología de VPN con alta disponibilidad. Para las topologías de VPN clásica, consultaTopologías de VPN clásica. Para obtener más información sobre Cloud VPN, incluidos ambos tipos de VPN, consulta Descripción general de Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.
Descripción general
La VPN con alta disponibilidad es compatible con VPN de sitio a sitio en una de las siguientes topologías recomendadas:
VPN con alta disponibilidad a puertas de enlace de VPN de intercambio de tráfico de terceros. Esta topología requiere dos túneles VPN desde la perspectiva de la puerta de enlace de VPN con alta disponibilidad para lograr el ANS de alta disponibilidad. En esta configuración, la VPN con alta disponibilidad tienen tres configuraciones típicas de puerta de enlace de intercambio de tráfico:
- Dos dispositivos VPN de intercambio de tráfico separados, cada uno con su propia dirección IP.
- Un dispositivo VPN de intercambio de tráfico con dos direcciones IP independientes.
- Un dispositivo VPN de intercambio de tráfico con una dirección IP.
Para determinar qué topología es la más adecuada, consulta con el proveedor de la puerta de enlace de VPN de intercambio de tráfico.
VPN con alta disponibilidad entre redes de VPC de Google Cloud. En esta topología, puedes conectar dos redes de VPC de Google Cloud a través de una puerta de enlace de VPN con alta disponibilidad en cada red. Las redes de VPC pueden estar en la misma región o en varias regiones.
VPN con alta disponibilidad a las instancias de VM de Compute Engine. En esta topología, debes conectar una puerta de enlace de VPN con alta disponibilidad a una instancia de máquina virtual (VM) de Compute Engine. Las instancias de VM pueden estar en una o varias zonas.
VPN con alta disponibilidad en Cloud Interconnect En esta topología, debes crear túneles VPN con alta disponibilidad para llevar tráfico encriptado con IPsec a través de adjuntos de VLAN de cualquiera de las interconexiones dedicadas. o las interconexiones de socio. Puedes reservar rangos de direcciones IP internas regionales para tus puertas de enlace de VPN con alta disponibilidad. Los dispositivos VPN de intercambio de tráfico también pueden tener direcciones IP internas. Para obtener más información y diagramas de arquitectura, consulta VPN con alta disponibilidad en la arquitectura de implementación de Cloud Interconnect.
Configuración que admite un 99.99% de disponibilidad
Topología | Descripción | ANS de disponibilidad |
---|---|---|
Una VPN con alta disponibilidad a puertas de enlace de VPN de intercambio de tráfico | Conecta una puerta de enlace de VPN con alta disponibilidad a uno o dos dispositivos VPN de intercambio de tráfico separados | 99.99% |
VPN con alta disponibilidad entre dos redes de Google Cloud | Conecta dos redes de VPC de Google Cloud en una sola región a través de una puerta de enlace de VPN con alta disponibilidad en cada red | 99.99% |
Para configurar la disponibilidad del 99.99% para las conexiones de VPN con alta disponibilidad, configura dos túneles desde la puerta de enlace de VPN con alta disponibilidad a la puerta de enlace de VPN de intercambio de tráfico o a otra puerta de enlace de VPN con alta disponibilidad. Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico también esté configurada para recibir un ANS de disponibilidad del 99.99%.
Una configuración correcta implica que los túneles VPN deben proporcionar una redundancia adecuada mediante la conexión a todas las interfaces de la puerta de enlace de VPN con alta disponibilidad y a todas las interfaces de la puerta de enlace de VPN de intercambio de tráfico, o a otra puerta de enlace de VPN con alta disponibilidad.
Configuraciones que admiten una disponibilidad del 99.99%
Topología | Descripción | ANS de disponibilidad |
---|---|---|
VPN con alta disponibilidad a las instancias de VM de Compute Engine en varias zonas | Conecta una puerta de enlace de VPN con alta disponibilidad a instancias de VM de Compute Engine con direcciones IP externas | 99.9% |
VPN con alta disponibilidad a una sola instancia de VM de Compute Engine | Conecta una puerta de enlace de VPN con alta disponibilidad a una sola instancia de VM de Compute Engine con una dirección IP externa | El ANS de disponibilidad se determina según el ANS de disponibilidad que se proporciona para una sola instancia de VM de familia de máquinas con optimización de memoria para Compute Engine. Para obtener más información, consulta el Acuerdo de Nivel de Servicio (ANS) de Compute Engine. |
Para configurar un ANS de disponibilidad del 99.9% para las conexiones de VPN con alta disponibilidad en estas topologías, configura dos desde la puerta de enlace de VPN con alta disponibilidad a la puerta de enlace de VPN de intercambio de tráfico o a otros recursos de Google Cloud.
Configura la VPN con alta disponibilidad para obtener más ancho de banda
Para aumentar el ancho de banda de tus puertas de enlace de VPN con alta disponibilidad, agrega más túneles de VPN con alta disponibilidad.
Para calcular la cantidad de túneles que necesitas, usa 250,000 paquetes por segundo como la suma de la capacidad entrante y saliente de cada túnel. Por ejemplo, si necesitas 600,000 paquetes por segundo para una suma de tráfico entrante y saliente, necesitas tres pares de túneles VPN con alta disponibilidad (seis túneles) para garantizar el ancho de banda requerido y la capacidad de conmutación por error.
Para obtener más información sobre los cálculos del ancho de banda de VPN, consulta Ancho de banda de red.
Ten en cuenta los siguientes lineamientos cuando aumentes el ancho de banda de VPN con alta disponibilidad.
Verifica las cuotas del túnel VPN
A menos que conectes una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, cada puerta de enlace de VPN con alta disponibilidad admite una cantidad ilimitada de túneles VPN en cada interfaz.
Sin embargo, la cuota de túneles VPN limita la cantidad total de túneles VPN en el proyecto.
Agrega puertas de enlace de VPN con alta disponibilidad para agregar túneles entre dos VPN con alta disponibilidad
Cuando conectas una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, solo puedes conectar un túnel por interfaz, 0 o 1, a la interfaz correspondiente, 0 o 1, en la otra puerta de enlace de VPN con alta disponibilidad. En otras palabras, entre un par de puertas de enlace de VPN con alta disponibilidad, tienes un máximo de dos túneles VPN con alta disponibilidad.
Por lo tanto, para aumentar la cantidad de túneles VPN entre puertas de enlace de VPN con alta disponibilidad, debes crear pares adicionales de puertas de enlace de VPN con alta disponibilidad.
Agrega pares de túneles VPN
Para aumentar el ancho de banda entre VPN con alta disponibilidad y una puerta de enlace de VPN de intercambio de tráfico local, agrega pares de túneles VPN.
Por ejemplo, para duplicar el ancho de banda de una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN de intercambio de tráfico local con dos túneles (uno activo, uno pasivo), agrega dos túneles VPN más. Agrega un túnel "activo" más y un túnel "pasivo" más.
Las sesiones de BGP para los cuatro túneles reciben los mismos prefijos. Los dos túneles activos reciben los prefijos con la misma prioridad más alta, y los dos túneles pasivos reciben los prefijos con la misma prioridad más baja.
Haz coincidir las interfaces en la puerta de enlace de VPN de intercambio de tráfico
Debes hacer coincidir las interfaces en la puerta de enlace de VPN de intercambio de tráfico para seguir recibiendo un ANS de disponibilidad.
Cuando dupliques el ancho de banda de una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN local, haz coincidir los túneles con las interfaces en la puerta de enlace de VPN de intercambio de tráfico. Coloca los dos túneles activos en la interfaz 0 y los dos túneles pasivos en la interfaz 1. Como alternativa, coloca los dos túneles activos en la interfaz 1 y los dos túneles pasivos en la interfaz 0.
Una VPN con alta disponibilidad a puertas de enlace de VPN de intercambio de tráfico
Existen tres opciones de configuración típicas de puerta de enlace de intercambio de tráfico para VPN con alta disponibilidad:
- Una puerta de enlace de VPN con alta disponibilidad a dos dispositivos VPN de intercambio de tráfico separados, cada uno con su propia dirección IP
- Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa dos direcciones IP separadas
- Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa una dirección IP
Para establecer alguna de estas opciones de configuración, consulta la sección sobre cómo crear una VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico.
Si implementas una puerta de enlace de VPN con alta disponibilidad con un tipo de pila doble IPv4 e IPv6, tus túneles VPN pueden admitir el intercambio de tráfico IPv6. IPv6 también debe estar habilitada en las sesiones de BGP que creas para los túneles VPN. En esta situación, puedes asignar direcciones IPv6 a las subredes locales y de VPC en las siguientes topologías.
Dos dispositivos VPN de intercambio de tráfico
Si tu puerta de enlace de intercambio de tráfico está basada en hardware, tener una segunda proporciona redundancia y conmutación por error en ese lado de la conexión. Una segunda puerta de enlace física te permite tomar una de las puertas de enlace sin conexión para actualizaciones de software o demás tareas de mantenimiento programadas. También te protege si hay una falla en uno de los dispositivos.
En esta topología, una puerta de enlace de VPN con alta disponibilidad se conecta a dos dispositivos de intercambio de tráfico. Cada dispositivo de intercambio de tráfico tiene una interfaz y una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dispositivo de intercambio de tráfico.
En Google Cloud, el REDUNDANCY_TYPE
de esta configuración toma el valor TWO_IPS_REDUNDANCY
.
En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.
Un dispositivo VPN de intercambio de tráfico con dos direcciones IP
En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene dos direcciones IP externas distintas. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dirección IP externa del dispositivo de intercambio de tráfico.
En Google Cloud, el REDUNDANCY_TYPE
de esta configuración toma el valor TWO_IPS_REDUNDANCY
.
En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.
Un dispositivo VPN de intercambio de tráfico con una dirección IP
En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, ambos orientados a la única dirección IP externa en el dispositivo de intercambio de tráfico.
En Google Cloud, el REDUNDANCY_TYPE
de esta configuración toma el valor SINGLE_IP_INTERNALLY_REDUNDANT
.
En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.
Configura para obtener una disponibilidad del 99.99%
Para cumplir con el ANS de disponibilidad del 99.99% de Google Cloud, debe haber un túnel desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia las interfaces correspondientes en la puerta de enlace de intercambio de tráfico.
Si la puerta de enlace de intercambio de tráfico tiene dos interfaces, la configuración de dos túneles, uno desde cada interfaz de intercambio de tráfico a cada interfaz de puerta de enlace de VPN con alta disponibilidad, cumple los requisitos del ANS de disponibilidad del 99.99%. No es necesaria una configuración de malla completa para cumplir el ANS de disponibilidad del 99.99% de Google Cloud. En este caso, una malla completa se define como dos túneles desde cada interfaz de VPN con alta disponibilidad a cada una de las dos interfaces en la puerta de enlace de intercambio de tráfico. Para confirmar si tu proveedor de VPN recomienda una configuración de malla completa, consulta la documentación de tu dispositivo de VPN de intercambio de tráfico (local) o comunícate con tu proveedor de VPN.
En la configuración con dos interfaces de intercambio de tráfico, los túneles de cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad coinciden con las interfaces correspondientes en la puerta de enlace de intercambio de tráfico o las puertas de enlace:
- VPN con alta disponibilidad de
interface 0
para intercambiar tráficointerface 0
- VPN con alta disponibilidad de
interface 1
para intercambiar tráficointerface 1
En los dibujos se muestran ejemplos de dos dispositivos de intercambio de tráfico, dos interfaces y un dispositivo de intercambio de tráfico, dos interfaces.
Si solo hay una interfaz de intercambio de tráfico en una puerta de enlace de intercambio de tráfico, cada túnel de cada interfaz de puerta de enlace de VPN con alta disponibilidad debe conectarse a la interfaz de intercambio de tráfico única. Consulta el diagrama de un dispositivo de intercambio de tráfico, una interfaz.
En el siguiente ejemplo, no se proporciona un 99.99% de disponibilidad:
- VPN con alta disponibilidad de
interface 0
para intercambiar tráficointerface 0
VPN con alta disponibilidad entre redes de Google Cloud ubicadas en la misma región
Puedes conectar dos redes de VPC de Google Cloud a través de una puerta de enlace de VPN con alta disponibilidad en cada red. Cada puerta de enlace de VPN con alta disponibilidad identifica a la otra puerta de enlace por su nombre.
Si implementas dos puertas de enlace de VPN con alta disponibilidad con el tipo de pila doble IPv4 e IPv6, tus túneles VPN pueden admitir el intercambio de tráfico IPv6. IPv6 también debe estar habilitada en las sesiones de BGP que creas para los túneles VPN. En esta situación, puedes asignar direcciones IPv6 a las subredes de VPC en la siguiente topología.
En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.
Para establecer esta configuración, consulta la sección sobre cómo crear dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí.
Configura para obtener una disponibilidad del 99.99%
Para garantizar una disponibilidad del 99.99%, configura cada puerta de enlace de VPN con alta disponibilidad con dos túneles para que se cumplan las siguientes dos condiciones:
Tunnel 0
conectainterface 0
en una puerta de enlace de VPN con alta disponibilidad coninterface 0
en la otra puerta de enlace de VPN con alta disponibilidad.Tunnel 1
conectainterface 1
en una puerta de enlace de VPN con alta disponibilidad coninterface 1
en la otra puerta de enlace de VPN con alta disponibilidad.
VPN con alta disponibilidad entre redes de Google Cloud en diferentes regiones
Puedes conectar dos redes de VPC en diferentes regiones con puertas de enlace de VPN con alta disponibilidad. Las puertas de enlace de VPN con alta disponibilidad pueden pertenecer a la misma organización o a organizaciones diferentes y cada puerta de enlace de VPN con alta disponibilidad identifica a la otra puerta de enlace por su nombre.
En el siguiente ejemplo, se proporciona una disponibilidad del 99.99%.
Recomendamos usar la VPN con alta disponibilidad entre redes de Google Cloud en la misma topología de región porque proporciona mayor disponibilidad, a menos que sea necesario que las puertas de enlace estén en dos regiones diferentes.
Para establecer esta configuración, consulta la sección sobre cómo crear dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí.
Configura para obtener una disponibilidad del 99.9%
Para garantizar una disponibilidad del 99.9%, configura cada puerta de enlace de VPN con alta disponibilidad con dos túneles para que se cumplan las siguientes dos condiciones:
Tunnel 0
conectainterface 0
en una puerta de enlace de VPN con alta disponibilidad coninterface 0
en la otra puerta de enlace de VPN con alta disponibilidad.Tunnel 1
conectainterface 1
en una puerta de enlace de VPN con alta disponibilidad coninterface 1
en la otra puerta de enlace de VPN con alta disponibilidad.
VPN con alta disponibilidad a las instancias de VM de Compute Engine en zonas diferentes
La VPN con alta disponibilidad te permite conectar una puerta de enlace de VPN con alta disponibilidad a las instancias de máquina virtual (VM) de Compute Engine que funcionan como un dispositivo virtual de red y ejecutan una implementación de VPN con IPsec. Esta topología proporciona un ANS de disponibilidad del 99.9% cuando se configura correctamente.
En esta topología, una puerta de enlace de VPN con alta disponibilidad puede conectarse a dos instancias de VM de Compute Engine. La puerta de enlace de VPN con alta disponibilidad y las VMs están en dos VPC diferentes. Las dos VMs se encuentran en diferentes zonas y cada una tiene una dirección IP externa. Las instancias de VM se comportan como dispositivos de intercambio de tráfico de VPN.
Esta topología es especialmente útil cuando deseas conectar una VPN con alta disponibilidad a una VM de dispositivo virtual de red de terceros alojada en Google Cloud. Por ejemplo, con esta topología, puedes actualizar una de las VMs de dispositivos virtuales de red sin tiempo de inactividad a la conexión de VPN.
En el diagrama, la puerta de enlace de VPN con alta disponibilidad se encuentra en una red de
nube privada virtual llamada network-a
y las dos VMs están en network-b
. Ambas redes de nube privada virtual
se encuentran en us-central1
. La puerta de enlace de
VPN con alta disponibilidad en network-a
se configura con las direcciones IP externas de cada una de
las VMs en network-b
. También puedes tener la puerta de enlace de VPN con alta disponibilidad y
las VMs en dos regiones diferentes. Te recomendamos que uses esta topología para
mejorar la disponibilidad.
En el siguiente ejemplo, se proporciona una disponibilidad del 99.99%.
Para establecer esta configuración, consulta Conecta una VPN con alta disponibilidad a las VMs de Compute Engine.
Configura para obtener una disponibilidad del 99.9%
Para cumplir con el ANS del 99.9%, debe haber al menos dos túneles desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad a las interfaces correspondientes en cada una de las VMs. Recomendamos que uses esta topología para una mayor disponibilidad.
Dos túneles en cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad se conectan a las interfaces en la VM:
Tunnel 0
deinterface 0
aus-central1-vm-a
en la zonaus-central1-a
Tunnel 1
deinterface 1
aus-central1-vm-a
en la zonaus-central1-a
Tunnel 2
deinterface 0
aus-central1-vm-b
en la zonaus-central1-b
Tunnel 3
deinterface 1
aus-central1-vm-b
en la zonaus-central1-b
VPN con alta disponibilidad a una sola instancia de VM de Compute Engine
La VPN con alta disponibilidad te permite conectar una puerta de enlace de VPN con alta disponibilidad a una instancia de máquina virtual (VM) de Compute Engine que funciona como un dispositivo virtual de red y ejecuta una implementación de VPN con IPsec. La puerta de enlace de VPN con alta disponibilidad y la VM están en dos VPC diferentes. La VM tiene una dirección IP externa.
La disponibilidad general se determina a través del ANS de disponibilidad que se proporciona para una sola instancia de VM de familia de máquinas con optimización de memoria para Compute Engine. Para obtener más información, consulta Acuerdo de Nivel de Servicio (ANS) de Compute Engine.
Para establecer esta configuración, consulta Conecta una VPN con alta disponibilidad a las VMs de Compute Engine.
Configura para obtener una disponibilidad del 99.9%
Para cumplir con el ANS de disponibilidad del 99.9%, debe haber dos túneles desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia la interfaz de la VM de Compute Engine.
Dos túneles en cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad se conectan a las interfaces en VM:
Tunnel 0
deinterface 0
aus-central1-vm-a
en la zonaus-central1-a
Tunnel 1
deinterface 1
aus-central1-vm-a
en la zonaus-central1-a
¿Qué sigue?
- Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
- Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.