Topologías de Cloud VPN

Con Cloud VPN, tus hosts locales se comunican a través de uno o más túneles VPN con IPsec para instancias de máquina virtual (VM) de Compute Engine en las redes de VPC de tu proyecto.

En esta página, se describen las topologías recomendadas para VPN con alta disponibilidad. Para las topologías de VPN clásica, consulta la página de topologías de VPN clásica. Para obtener más información sobre ambos tipos de VPN, consulta Descripción general de Cloud VPN.

Si quieres más información sobre los conceptos básicos de Cloud VPN, consulta Descripción general de Cloud VPN.

Descripción general

La VPN con alta disponibilidad es compatible con VPN de sitio a sitio en una de las siguientes topologías o situaciones de configuración recomendadas. Consulta con el proveedor de la puerta de enlace de VPN de intercambio de tráfico para determinar la situación de configuración adecuada que debes usar:

  • Una puerta de enlace de VPN con alta disponibilidad para intercambiar tráfico entre dispositivos VPN. Todas estas topologías requieren dos túneles VPN desde la perspectiva de la puerta de enlace de VPN con alta disponibilidad. Consulta con el proveedor de la puerta de enlace de VPN de intercambio de tráfico para determinar qué topología es la más adecuada.
    • Una puerta de enlace de VPN con alta disponibilidad a dos dispositivos VPN de intercambio de tráfico separados en los que cada dispositivo de intercambio de tráfico tenga su propia dirección IP externa
    • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que tiene dos direcciones IP externas distintas
    • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que tenga una dirección IP externa
  • Una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace virtual de AWS privada, que es una configuración de puerta de enlace de intercambio de tráfico con cuatro interfaces.
  • Dos puertas de enlace de VPN con alta disponibilidad conectadas entre sí.

Configuraciones que admiten un 99.99% de disponibilidad

A fin de garantizar un ANS del 99.99% de disponibilidad para las conexiones VPN con alta disponibilidad, debes configurar 2 o 4 túneles de forma correcta desde tu puerta de enlace de VPN con alta disponibilidad a tu puerta de enlace de VPN de intercambio de tráfico o a otra puerta de enlace de VPN con alta disponibilidad.

Una configuración correcta implica que los túneles VPN deben proporcionar una redundancia adecuada mediante la conexión a todas las interfaces de la puerta de enlace de VPN con alta disponibilidad y a todas las interfaces de la puerta de enlace de VPN de intercambio de tráfico, o a otra puerta de enlace de VPN con alta disponibilidad.

En cada una de las siguientes secciones, se explica cómo configurar túneles en ambos extremos de la conexión de VPN para garantizar una disponibilidad del 99.99%.

Configura la VPN con alta disponibilidad para obtener más ancho de banda

El método preferido para aumentar el ancho de banda de la VPN con alta disponibilidad es ajustar el nivel de escala de la siguiente manera:

Ajusta el nivel de escala de las puertas de enlace, en lugar de implementar varios túneles conectados a cada interfaz de una puerta de enlace de VPN con alta disponibilidad existente (una configuración de lazo).

Puedes conectar varias puertas de enlace de VPN con alta disponibilidad a la misma puerta de enlace de VPN de intercambio de tráfico (recurso de puerta de enlace de VPN externa) con tantos túneles adicionales como permitan las cuotas y los límites de Cloud VPN.

A continuación, se muestra un ejemplo de una puerta de enlace de VPN con alta disponibilidad con una capacidad de procesamiento de 10 Gbps mediante el uso de los siguientes recursos de Google Cloud:

  • 1 Cloud Router
  • 4 puertas de enlace de VPN con alta disponibilidad con dos túneles cada una, lo que da un total de 8 túneles VPN
  • 8 sesiones de BGP en total

En esta configuración, se da por hecho que se usa una configuración de MED activa/pasiva para las sesiones de BGP vinculadas a interface 0 y a interface 1 respectivamente en cada puerta de enlace. Es decir, cuatro túneles interface 0 son activos y cuatro túneles interface 1 son pasivos.

Una VPN con alta disponibilidad a puertas de enlace de VPN de intercambio de tráfico

Existen tres opciones de configuración típicas de puerta de enlace de intercambio de tráfico para VPN con alta disponibilidad:

  • Una puerta de enlace de VPN con alta disponibilidad a dos dispositivos VPN de intercambio de tráfico separados, cada uno con su propia dirección IP
  • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa dos direcciones IP separadas
  • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa una dirección IP

Para establecer alguna de estas opciones de configuración, consulta la sección sobre cómo crear una VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico.

Dos dispositivos VPN de intercambio de tráfico

Si tu puerta de enlace de intercambio de tráfico está basada en hardware, tener una segunda proporciona redundancia y conmutación por error en ese lado de la conexión. Una segunda puerta de enlace física te permite tomar una de las puertas de enlace sin conexión para actualizaciones de software o demás tareas de mantenimiento programadas. También te protege en caso de que ocurra una falla en uno de los dispositivos.

En esta topología, una puerta de enlace de VPN con alta disponibilidad se conecta a dos dispositivos de intercambio de tráfico. Cada dispositivo de intercambio de tráfico tiene una interfaz y una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor TWO_IPS_REDUNDANCY.

VPN con alta disponibilidad a dos dispositivos de intercambio de tráfico (locales) (haz clic para ampliar)
VPN con alta disponibilidad a dos dispositivos de intercambio de tráfico (locales) (haz clic para ampliar)

Un dispositivo VPN de intercambio de tráfico con dos direcciones IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene dos direcciones IP externas distintas. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dirección IP externa del dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración también toma el valor TWO_IPS_REDUNDANCY.

VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con dos direcciones IP (haz clic para ampliar)
VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con dos direcciones IP (haz clic para ampliar)

Un dispositivo VPN de intercambio de tráfico con una dirección IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, ambos orientados a la única dirección IP externa en el dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor SINGLE_IP_INTERNALLY_REDUNDANT.

VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con una dirección IP (haz clic para ampliar)
VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con una dirección IP (haz clic para ampliar)

Puertas de enlace AWS de intercambio de tráfico

Cuando se configura una puerta de enlace de VPN con alta disponibilidad externa en Amazon Web Services (AWS), la topología admitida requiere dos puertas de enlace virtuales privadas de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en total en AWS: A1, A2, B1 y B2.

  1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
    • IP de AWS 0=A1
    • IP de AWS 1=A2
    • IP de AWS 2=B1
    • IP de AWS 3=B2
  2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir el ANS del 99,99% mediante la siguiente configuración:
    • Interfaz 0 de VPN con alta disponibilidad a la interfaz 0 de AWS
    • Interfaz 0 de VPN con alta disponibilidad a la interfaz 1 de AWS
    • Interfaz 1 de VPN con alta disponibilidad a la interfaz 2 de AWS
    • Interfaz 1 de VPN con alta disponibilidad a la interfaz 3 de AWS

Descripción general de las opciones de configuración de alto nivel para configurar la VPN con alta disponibilidad con Amazon Web Services (AWS):

  1. Crea la puerta de enlace de VPN con alta disponibilidad y un Cloud Router. Esto crea 2 direcciones IP externas del lado de GCP.
  2. Crea dos puertas de enlace privadas virtuales de AWS. De esta forma, se crean 4 direcciones externas del lado de AWS.
  3. Crea dos conexiones VPN de sitio a sitio de AWS y puertas de enlace de clientes, una para cada puerta de enlace privada virtual de AWS. Especifica un rango de IP de túnel de vínculo local no superpuesto para cada túnel, con un total de 4. Por ejemplo, 169.254.1.4/30.
  4. Descarga los archivos de configuración de AWS para el tipo de dispositivo genérico.
  5. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad.
  6. Configura las sesiones de BGP en Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Garantiza el 99.99% de disponibilidad

Para cumplir con el ANS del 99.99% de Google Cloud, debe haber un túnel desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia las interfaces correspondientes en la puerta de enlace de intercambio de tráfico.

Si la puerta de enlace de intercambio de tráfico tiene dos interfaces, la configuración de dos túneles, uno desde cada interfaz de intercambio de tráfico hacia cada interfaz de puerta de enlace de VPN con alta disponibilidad, cumple los requisitos del 99.99% del ANS. No es necesaria una configuración de malla completa para cumplir el 99.99% del ANS de Google Cloud. En este caso, una malla completa se define como dos túneles desde cada interfaz de VPN con alta disponibilidad hacia cada una de las dos interfaces en la puerta de enlace de intercambio de tráfico, para un total de cuatro túneles de Google Cloud. Consulta la documentación de tu dispositivo de VPN de intercambio de tráfico (local) o comunícate con tu proveedor de VPN para confirmar si es recomendable una configuración de malla completa.

En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad:

En esta configuración, los túneles de cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad coinciden con las interfaces correspondientes en la puerta de enlace de intercambio de tráfico o las puertas de enlace:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
  • VPN con alta disponibilidad de interface 1 para intercambiar tráfico interface 1

En los dibujos se muestran ejemplos de dos dispositivos de intercambio de tráfico, dos interfaces y un dispositivo de intercambio de tráfico, dos interfaces.

Si solo hay una interfaz de intercambio de tráfico en una puerta de enlace de intercambio de tráfico, cada túnel de cada interfaz de puerta de enlace de VPN con alta disponibilidad debe conectarse a la interfaz de intercambio de tráfico única. Un ejemplo de esto se muestra en el dibujo de un dispositivo de intercambio de tráfico, una interfaz.

En el siguiente ejemplo, no se proporciona un 99.99% de disponibilidad:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
Una topología que no proporciona alta disponibilidad (haz clic para ampliar)
Una topología que no proporciona alta disponibilidad (haz clic para ampliar)

Puertas de enlace VPN con alta disponibilidad de Google Cloud a Google Cloud

Puedes conectar dos redes de VPC de Google Cloud mediante una puerta de enlace de VPN con alta disponibilidad en cada red.

Puertas de enlace de VPN con alta disponibilidad de Google Cloud a Google Cloud (haz clic para ampliar)
Puertas de enlace de VPN con alta disponibilidad de Google Cloud a Google Cloud (haz clic para ampliar)

Desde la perspectiva de cada puerta de enlace de VPN con alta disponibilidad, creas dos túneles para que se cumplan las siguientes dos condiciones:

  • interface 0 en una puerta de enlace de VPN con alta disponibilidad a interface 0 en la otra VPN con alta disponibilidad
  • interface 1 en una puerta de enlace de VPN con alta disponibilidad a interface 1 de la otra VPN con alta disponibilidad

A fin de establecer esta configuración, consulta la sección sobre cómo crear una VPN con alta disponibilidad para las puertas de enlace de VPN con alta disponibilidad.

Garantiza el 99.99% de disponibilidad

A fin de proporcionar una disponibilidad del 99.99% para las puertas de enlace de VPN con alta disponibilidad a VPN con alta disponibilidad, deben coincidir las siguientes interfaces en ambas puertas de enlace:

  • VPN con alta disponibilidad interface 0 a VPN con alta disponibilidad interface 0 y
  • VPN con alta disponibilidad interface 1 a VPN con alta disponibilidad interface 1

Qué sigue