Topologies Cloud VPN

Avec Cloud VPN, vos hôtes sur site communiquent via un ou plusieurs tunnels VPN IPsec avec des instances de machines virtuelles (VM) Compute Engine dans les réseaux VPC de votre projet.

Cette page décrit les topologies recommandées pour les VPN haute disponibilité. Pour les topologies de VPN classiques, consultez la page Topologies des VPN classiques. Pour en savoir plus sur les deux types de VPN, consultez la présentation de Cloud VPN.

Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.

Présentation

Le VPN haute disponibilité prend en charge le VPN de site à site selon l'une des topologies ou l'un des scénarios de configuration recommandés ci-après. Contactez le fournisseur de votre passerelle VPN de pairs pour déterminer le scénario de configuration à utiliser :

  • Une passerelle VPN haute disponibilité vers des appareils de VPN pairs. Toutes ces topologies nécessitent deux tunnels VPN du point de vue de la passerelle VPN haute disponibilité. Vérifiez auprès du fournisseur de votre passerelle VPN de pairs la topologie convenant le mieux.
    • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, où chaque appareil pair possède sa propre adresse IP externe.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant de deux adresses IP externes distinctes.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant d'une adresse IP externe.
  • Une passerelle VPN haute disponibilité vers une passerelle privée virtuelle AWS, qui est une configuration de passerelle de pairs dotée de quatre interfaces.
  • Deux passerelles VPN haute disponibilité connectées entre elles.

Configurations assurant une disponibilité à 99,99 %

Afin de garantir un contrat de niveau de service pour une disponibilité à 99,99 % des connexions de VPN haute disponibilité, vous devez configurer correctement 2 ou 4 tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs, ou vers une autre passerelle VPN haute disponibilité.

Pour que la configuration soit correcte, les tunnels VPN doivent fournir une redondance adéquate en se connectant à toutes les interfaces de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs, ou d'une autre passerelle VPN haute disponibilité.

Chacune des sections suivantes explique comment configurer des tunnels aux deux extrémités de la connexion VPN pour garantir une disponibilité de 99,99 %.

Configurer un VPN haute disponibilité pour augmenter la bande passante

Afin d'augmenter la bande passante pour les VPN haute disponibilité, il est recommandé d'avoir recours au scaling, en procédant comme suit :

Réalisez le scaling des passerelles au lieu de déployer plusieurs tunnels connectés à chaque interface d'une passerelle VPN haute disponibilité existante (configuration nœud papillon).

Vous pouvez connecter plusieurs passerelles VPN haute disponibilité à une même passerelle VPN de pairs (ressource de passerelle VPN externe) avec le nombre de tunnels supplémentaires autorisés par les quotas et limites de Cloud VPN.

Vous trouverez ci-dessous un exemple de passerelle VPN haute disponibilité avec un débit de 10 Gbit/s, utilisant les ressources Google Cloud suivantes :

  • Un Routeur cloud
  • Quatre passerelles VPN haute disponibilité contenant chacune deux tunnels, pour un total de huit tunnels VPN
  • Huit sessions BGP au total

Cette configuration suppose une configuration MED active/passive pour les sessions BGP respectivement associées à interface 0 et interface 1 sur chaque passerelle. Autrement dit, quatre tunnels interface 0 sont actifs et quatre tunnels interface 1 sont passifs.

Passerelles entre VPN haute disponibilité et VPN pairs

Il existe trois configurations de passerelle de pairs pour les VPN haute disponibilité :

  • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, chacun avec sa propre adresse IP
  • Une passerelle VPN haute disponibilité vers un appareil de VPN pair utilisant deux adresses IP distinctes
  • Une passerelle VPN haute disponibilité vers un appareil VPN pair utilisant une adresse IP

Pour réaliser l'une de ces configurations, consultez la section Créer une passerelle depuis un VPN haute disponibilité vers un VPN de pairs.

Deux appareils VPN pairs

Si votre passerelle côté pairs est matérielle, la mise en place d'une deuxième passerelle côté pairs offre des fonctionnalités de redondance et de basculement de ce côté de la connexion. La présence d'une deuxième passerelle physique vous permet de mettre l'une des passerelles hors connexion pour les mises à niveau logicielles ou pour d'autres opérations de maintenance planifiées. Elle vous protège également en cas de défaillance de l'un des appareils.

Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux appareils pairs. Chaque appareil pair possède une interface et une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

VPN haute disponibilité vers deux appareils pairs sur site (cliquez pour agrandir)
VPN haute disponibilité vers deux appareils pairs sur site (cliquez pour agrandir)

Un seul appareil VPN pair avec deux adresses IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant deux adresses IP externes distinctes. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend également la valeur TWO_IPS_REDUNDANCY.

VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP (cliquez pour agrandir)
VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP (cliquez pour agrandir)

Un seul appareil VPN pair avec une seule adresse IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, tous deux reliés à la même adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur SINGLE_IP_INTERNALLY_REDUNDANT.

VPN haute disponibilité vers un seul appareil pair sur site avec une seule adresse IP (cliquez pour agrandir)
VPN haute disponibilité vers un seul appareil pair sur site avec une seule adresse IP (cliquez pour agrandir)

Passerelles de pairs AWS

Garantir une disponibilité à 99,99 %

Pour respecter le contrat de niveau de service garantissant 99,99 % de disponibilité du côté de GCP, un tunnel doit relier chacune des deux interfaces de la passerelle VPN haute disponibilité aux interfaces correspondantes de la passerelle de pairs.

Si la passerelle de pairs comporte deux interfaces, alors la configuration de deux tunnels, chacun reliant une interface pair à une interface de passerelle VPN haute disponibilité, répond aux exigences de 99,9 % de disponibilité imposées par le contrat de niveau de service. Il n'est pas nécessaire de configurer un réseau maillé complet pour respecter le contrat de niveau de service de 99,99 % de disponibilité du côté de GCP. Dans ce cas, un réseau maillé complet est constitué de deux tunnels reliant chaque interface VPN haute disponibilité à chacune des deux interfaces de la passerelle de pairs, pour un total de quatre tunnels du côté Google Cloud. Consultez la documentation de votre appareil VPN pair (sur site), ou contactez le fournisseur de votre VPN pour vérifier s'il recommande une configuration de réseau maillé complet.

L'exemple suivant assure une disponibilité de 99,99 % :

Dans cette configuration, les tunnels de chacune des interfaces suivantes sur la passerelle VPN haute disponibilité se rapportent aux interfaces correspondantes sur la ou les passerelles de pairs :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
  • interface 1 de VPN haute disponibilité correspondant à interface 1 pair

Des exemples sont présentés dans les illustrations pour deux appareils pairs et deux interfaces ou pour un seul appareil pair et deux interfaces.

S'il n'existe qu'une seule interface pair sur une passerelle de pairs, chaque tunnel de chaque interface de passerelle VPN haute disponibilité doit se connecter à l'interface pair unique. Un exemple est présenté dans l'illustration décrivant un seul appareil pair avec une seule interface.

L'exemple suivant n'assure pas une disponibilité de 99,99 % :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)

Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud

Vous pouvez connecter deux réseaux Google Cloud VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau.

Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud (cliquez pour agrandir)
Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud (cliquez pour agrandir)

Du point de vue de chaque passerelle VPN haute disponibilité, vous créez deux tunnels afin que les deux conditions suivantes soient remplies :

  • interface 0 sur une passerelle VPN haute disponibilité correspond à interface 0 sur l'autre VPN haute disponibilité.
  • interface 1 sur une passerelle VPN haute disponibilité correspond au interface 1 de l'autre VPN haute disponibilité.

Pour réaliser cette configuration, consultez la section Créer des passerelles entre deux VPN haute disponibilité.

Garantir une disponibilité à 99,99 %

Pour garantir une disponibilité à 99,99 % des passerelles entre deux VPN haute disponibilité, les interfaces suivantes doivent correspondre sur les deux passerelles :

  • interface 0 de VPN haute disponibilité correspond à interface 0 de VPN haute disponibilité.
  • interface 1 de VPN haute disponibilité correspond à interface 1 de VPN haute disponibilité.

Étapes suivantes