Topologies Cloud VPN

Avec Cloud VPN, vos hôtes sur site communiquent via un ou plusieurs tunnels VPN IPsec avec des instances de machines virtuelles (VM) Compute Engine dans les réseaux VPC (Virtual Private Cloud) de votre projet.

Cette page décrit les topologies recommandées pour les VPN haute disponibilité. Pour en savoir plus sur les topologies des VPN classiques, consultez la section Topologies des VPN classiques. Pour en savoir plus sur Cloud VPN, y compris sur les deux types de VPN, consultez la présentation de Cloud VPN.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Présentation

Le VPN haute disponibilité prend en charge le VPN de site à site selon l'une des topologies ou l'un des scénarios de configuration recommandés ci-après. Pour déterminer le scénario de configuration à utiliser, contactez le fournisseur de votre passerelle VPN de pairs :

  • Une passerelle VPN haute disponibilité vers des appareils de VPN pairs. Les topologies suivantes nécessitent deux tunnels VPN du point de vue de la passerelle VPN haute disponibilité. Pour déterminer la topologie la plus appropriée, contactez le fournisseur de votre passerelle VPN de pairs.
    • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, où chaque appareil pair possède sa propre adresse IP externe.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant de deux adresses IP externes distinctes.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant d'une adresse IP externe.
  • Une passerelle VPN haute disponibilité vers une passerelle privée virtuelle Amazon Web Services (AWS)., qui est une configuration de passerelle de pairs dotée de quatre interfaces.
  • Deux passerelles VPN haute disponibilité connectées entre elles.

Configurations assurant une disponibilité à 99,99 %

Afin de garantir un contrat de niveau de service pour une disponibilité à 99,99 % des connexions de VPN haute disponibilité, vous devez configurer correctement deux ou quatre tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs, ou vers une autre passerelle VPN haute disponibilité.

Pour que la configuration soit correcte, les tunnels VPN doivent fournir une redondance adéquate en se connectant à toutes les interfaces de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs, ou d'une autre passerelle VPN haute disponibilité.

Chacune des sections suivantes explique comment configurer des tunnels aux deux extrémités de la connexion VPN pour garantir une disponibilité de 99,99 %.

Configurer un VPN haute disponibilité pour augmenter la bande passante

La méthode recommandée pour augmenter la bande passante des VPN haute disponibilité est le scaling. Pour procéder au scaling de vos passerelles VPN haute disponibilité, procédez comme suit :

Réalisez le scaling des passerelles au lieu de déployer plusieurs tunnels connectés à chaque interface d'une passerelle VPN haute disponibilité existante (configuration nœud papillon).

Vous pouvez connecter plusieurs passerelles VPN haute disponibilité à une même passerelle VPN de pairs (ressource de passerelle VPN externe) avec le nombre de tunnels supplémentaires autorisés par les quotas et limites de Cloud VPN.

Voici un exemple de passerelle VPN haute disponibilité avec un débit de 10 Gbit/s utilisant les ressources Google Cloud suivantes :

  • Un Routeur cloud
  • Quatre passerelles VPN haute disponibilité contenant chacune deux tunnels, pour un total de huit tunnels VPN
  • Huit sessions BGP au total

Cette configuration suppose une configuration MED active/passive pour les sessions BGP respectivement associées à interface 0 et interface 1 sur chaque passerelle. Autrement dit, quatre tunnels interface 0 sont actifs et quatre tunnels interface 1 sont passifs.

Chaque tunnel Cloud VPN peut prendre en charge jusqu'à 3 Gbit/s de trafic entrant et sortant. Dans ce cas, 3 Gbit/s est la bande passante maximale et ne peuvent être atteints que par un modèle de trafic idéal. En général, on peut dire que 2,5 Gbit/s sont sécurisés par tunnel. Le calcul est donc de 4 * 2,5 = 10 Gbit/s. Pour en savoir plus, consultez la section Bande passante réseau.

Passerelles entre VPN haute disponibilité et VPN pairs

Il existe trois configurations de passerelle de pairs pour les VPN haute disponibilité :

  • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, chacun avec sa propre adresse IP
  • Une passerelle VPN haute disponibilité vers un appareil de VPN pair utilisant deux adresses IP distinctes
  • Une passerelle VPN haute disponibilité vers un appareil VPN pair utilisant une adresse IP

Pour réaliser l'une de ces configurations, consultez la section Créer une passerelle depuis un VPN haute disponibilité vers un VPN de pairs.

Deux appareils VPN pairs

Si votre passerelle côté pairs est matérielle, la mise en place d'une deuxième passerelle côté pairs offre des fonctionnalités de redondance et de basculement de ce côté de la connexion. La présence d'une deuxième passerelle physique vous permet de mettre l'une des passerelles hors connexion pour les mises à niveau logicielles ou pour d'autres opérations de maintenance planifiées. Elle vous protège également en cas de défaillance d'un des appareils.

Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux appareils pairs. Chaque appareil pair possède une interface et une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers deux appareils pairs sur site.
VPN haute disponibilité vers deux appareils pairs sur site (cliquez pour agrandir)

Un seul appareil VPN pair avec deux adresses IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant deux adresses IP externes distinctes. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP.
VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP (cliquez pour agrandir)

Un seul appareil VPN pair avec une seule adresse IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, tous deux reliés à la même adresse IP externe sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur SINGLE_IP_INTERNALLY_REDUNDANT.

L'exemple suivant assure une disponibilité de 99,99 %.

VPN haute disponibilité vers un appareil pair sur site avec une seule adresse IP.
VPN haute disponibilité vers un seul appareil pair sur site avec une seule adresse IP (cliquez pour agrandir)

Garantir une disponibilité à 99,99 %

Pour respecter le contrat de niveau de service garantissant 99,99 % de disponibilité du côté de Google Cloud, un tunnel doit relier chacune des deux interfaces de la passerelle VPN haute disponibilité aux interfaces correspondantes de la passerelle de pairs.

Si la passerelle de pairs comporte deux interfaces, alors la configuration de deux tunnels, chacun reliant une interface pair à une interface de passerelle VPN haute disponibilité, répond aux exigences de 99,9 % de disponibilité imposées par le contrat de niveau de service. Une configuration de réseau maillé complet n'est pas requise pour un contrat de niveau de service garantissant une disponibilité de 99,99 % du côté de Google Cloud. Dans ce cas, un réseau maillé complet est constitué de deux tunnels reliant chaque interface VPN haute disponibilité à chacune des deux interfaces de la passerelle de pairs, pour un total de quatre tunnels du côté Google Cloud. Pour vérifier si votre fournisseur VPN recommande une configuration de réseau maillé complet, consultez la documentation de votre appareil VPN pair (sur site), ou contactez votre fournisseur VPN.

Dans les configurations comportant deux interfaces de pairs, les tunnels de chacune des interfaces suivantes sur la passerelle VPN haute disponibilité se rapportent aux interfaces correspondantes sur la ou les passerelles de pairs :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
  • interface 1 de VPN haute disponibilité correspondant à interface 1 pair

Des exemples sont présentés dans les illustrations pour deux appareils pairs et deux interfaces ou pour un seul appareil pair et deux interfaces.

S'il n'existe qu'une seule interface pair sur une passerelle de pairs, chaque tunnel de chaque interface de passerelle VPN haute disponibilité doit se connecter à l'interface pair unique. Consultez le schéma pour un appareil pair, une interface.

L'exemple suivant n'assure pas une disponibilité de 99,99 % :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
Topologie n'offrant pas de haute disponibilité.
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)

Passerelles de pairs entre VPN haute disponibilité et AWS

Lors de la configuration d'une passerelle VPN haute disponibilité externe vers Amazon Web Services (AWS), vous pouvez utiliser une passerelle de transit ou une passerelle réseau privé virtuel. Seule la passerelle de transit est compatible avec le routage ECMP (Equal-Cost Multi-Path). Lorsque le protocole ECMP est activé, il répartit équitablement le trafic entre les tunnels actifs. La topologie compatible nécessite deux connexions AWS Site-to-Site VPN, A et B, chacune ayant deux adresses IP externes. Cette topologie engendre quatre adresses IP externes au total dans AWS : A1, A2, B1 et B2.

  1. Configurez les quatre adresses IP AWS comme une seule passerelle VPN haute disponibilité externe à l'aide de FOUR_IPS_REDUNDANCY, où :
    • l'adresse IP AWS 0 équivaut à A1 ;
    • l'adresse IP AWS 1 équivaut à A2 ;
    • l'adresse IP AWS 2 équivaut à B1 ;
    • l'adresse IP AWS 3 équivaut à B2.
  2. Créez quatre tunnels sur la passerelle VPN haute disponibilité pour atteindre le contrat de niveau de service de 99,99 % à l'aide de la configuration suivante :
    • interface 0 VPN haute disponibilité vers interface 0 AWS
    • interface 0 VPN haute disponibilité vers interface 1 AWS
    • interface 1 VPN haute disponibilité vers interface 2 AWS
    • interface 1 VPN haute disponibilité vers interface 3 AWS

Configurez un VPN haute disponibilité avec AWS :

  1. Dans Google Cloud, créez une passerelle VPN haute disponibilité et un routeur Cloud Router dans la région de votre choix. Deux adresses IP externes sont alors créées, une pour chaque interface de passerelle. Notez les adresses IP externes à utiliser à l'étape suivante.
  2. Dans AWS, créez deux passerelles client à l'aide des éléments suivants :
    • L'option de routage Dynamique
    • Le numéro ASN Google du routeur Cloud Router
    • Adresses IP externes de la passerelle VPN haute disponibilité Google Cloud interfaces 0 et 1
  3. Suivez la procédure correspondant à l'option de VPN AWS que vous utilisez :
    • Passerelle de transit
      1. Créez un rattachement de passerelle de transit avec un VPN pour la première passerelle client (interface 0) et utilisez l'option de routage Dynamique.
      2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).
    • Passerelle réseau privé virtuel
      1. Créez une connexion Site-to-Site VPN pour la première passerelle client (interface 0) à l'aide des éléments suivants :
        • Le type de passerelle cible Passerelle réseau privé virtuel
        • L'option de routage Dynamique
      2. Répétez l'étape précédente pour la deuxième passerelle client (interface 1).
  4. Téléchargez les fichiers de configuration AWS pour les deux connexions que vous avez créées. Ces fichiers contiennent les informations dont vous aurez besoin lors des étapes suivantes de cette procédure, y compris les clés d'authentification pré-partagées, les adresses IP externes des tunnels et les adresses IP internes des tunnels.
  5. Dans Google Cloud, procédez comme suit :
    1. Créez une passerelle VPN de pairs avec quatre interfaces en utilisant les adresses IP externes AWS contenues dans les fichiers téléchargés à l'étape précédente.
    2. Créez quatre tunnels VPN sur la passerelle VPN haute disponibilité que vous avez créée à l'étape 1. Pour chaque tunnel, configurez l'interface de passerelle VPN haute disponibilité avec l'interface de passerelle VPN de pairs et les clés pré-partagées appropriées, en utilisant les informations contenues dans les fichiers de configuration AWS que vous avez téléchargés.
    3. Configurez des sessions BGP sur le routeur Cloud Router à l'aide des adresses IP BGP contenues dans les fichiers de configuration AWS téléchargés.

VPN haute disponibilité entre réseaux Google Cloud

Vous pouvez connecter deux réseaux Google Cloud VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau. L'exemple suivant assure une disponibilité de 99,99 %.

Passerelles VPN haute disponibilité entre réseaux Google Cloud.
Passerelles VPN haute disponibilité entre réseaux Google Cloud (cliquez pour agrandir)

Du point de vue de chaque passerelle VPN haute disponibilité, vous créez deux tunnels afin que les deux conditions suivantes soient remplies :

  • interface 0 sur une passerelle VPN haute disponibilité correspond à interface 0 sur l'autre VPN haute disponibilité.
  • interface 1 sur une passerelle VPN haute disponibilité correspond à interface 1 sur l'autre VPN haute disponibilité.

Pour réaliser cette configuration, consultez la section Créer deux passerelles VPN haute disponibilité entièrement configurées connectées entre elles.

Garantir une disponibilité à 99,99 %

Pour garantir une disponibilité à 99,99 % des passerelles entre deux VPN haute disponibilité, les interfaces suivantes doivent correspondre sur les deux passerelles :

  • interface 0 de VPN haute disponibilité correspond à interface 0 de VPN haute disponibilité.
  • interface 1 de VPN haute disponibilité correspond à interface 1 de VPN haute disponibilité.

Étape suivante

  • Pour trouver des ressources sur la maintenance des tunnels et des passerelles VPN, consultez les guides de maintenance des VPN.
  • Pour utiliser des scénarios de haute disponibilité et à haut débit, ou plusieurs scénarios de sous-réseau, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.