Topologie VPN ad alta disponibilità

Con Cloud VPN, i tuoi host on-premise comunicano tramite uno o più tunnel VPN IPsec alle istanze di macchine virtuali (VM) Compute Engine nelle reti Virtual Private Cloud (VPC) del tuo progetto.

In questa pagina vengono descritte le topologie consigliate per la VPN ad alta disponibilità. Per le topologie VPN classica, consulta topologie VPN classiche. Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta la panoramica di Cloud VPN.

Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.

Panoramica

La VPN ad alta disponibilità supporta la VPN site-to-site in una delle seguenti topologie o scenari di configurazione consigliati. Per determinare lo scenario di configurazione appropriato da utilizzare, rivolgiti al fornitore del gateway VPN peer:

  • Un gateway VPN ad alta disponibilità connesso a dispositivi VPN peer. Le seguenti topologie richiedono due tunnel VPN dal punto di vista del gateway VPN ad alta disponibilità. Per determinare quale topologia è più appropriata, rivolgiti al fornitore del gateway VPN peer.
    • Un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer separati in cui ogni dispositivo peer ha il proprio indirizzo IP esterno.
    • Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che ha due indirizzi IP esterni separati.
    • Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer con un indirizzo IP esterno.
  • Un gateway VPN ad alta disponibilità connesso a un gateway privato virtuale Amazon Web Services (AWS), che è una configurazione di gateway peer con quattro interfacce.
  • Due gateway VPN ad alta disponibilità connessi tra loro.

Configurazioni che supportano una disponibilità del 99,99%

Per garantire uno SLA con disponibilità del 99,99% per le connessioni VPN ad alta disponibilità, configura correttamente due o quattro tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità.

Una configurazione adeguata significa che i tunnel VPN devono fornire una ridondanza adeguata connettendosi a tutte le interfacce del gateway VPN ad alta disponibilità e a tutte le interfacce del gateway VPN peer o di altro gateway VPN ad alta disponibilità.

Ognuna delle sezioni seguenti illustra come configurare i tunnel su entrambe le estremità della connessione VPN per garantire una disponibilità del 99,99%.

Configura la VPN ad alta disponibilità per aumentare la larghezza di banda

Per aumentare la larghezza di banda dei gateway VPN ad alta disponibilità, aggiungi altri tunnel VPN ad alta disponibilità.

Per calcolare quanti tunnel avrai bisogno, utilizza 3 Gbps come somma della larghezza di banda in entrata e in uscita disponibile per ogni tunnel. Ad esempio, se hai bisogno di 12 Gbps per il traffico in entrata e in uscita, devi utilizzare quattro tunnel contemporaneamente (12 ÷ 3 = 4). Per ulteriori informazioni sui calcoli della larghezza di banda VPN, vedi Larghezza di banda della rete.

Prendi in considerazione le linee guida riportate di seguito quando aumenti la larghezza di banda VPN ad alta disponibilità.

  • Verifica le quote del tunnel VPN

    A meno che tu non connetta un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, ogni gateway VPN ad alta disponibilità supporta un numero illimitato di tunnel VPN su ogni interfaccia.

    Tuttavia, la quota dei tunnel VPN limita il numero totale di tunnel VPN nel tuo progetto.

  • Aggiungi gateway VPN ad alta disponibilità per aggiungere tunnel tra due VPN ad alta disponibilità

    Quando colleghi un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, puoi connettere un solo tunnel per interfaccia, 0 o 1, all'interfaccia corrispondente, 0 o 1, sull'altro gateway VPN ad alta disponibilità. In altre parole, tra una coppia di gateway VPN ad alta disponibilità, puoi avere al massimo due tunnel VPN ad alta disponibilità.

    Pertanto, per aumentare il numero di tunnel VPN tra gateway gateway ad alta disponibilità, devi creare coppie aggiuntive di gateway VPN ad alta disponibilità.

  • Aggiungi coppie di tunnel VPN

    Per aumentare la larghezza di banda tra VPN ad alta disponibilità e un gateway VPN peer on-premise, aggiungi coppie di tunnel VPN.

    Ad esempio, per raddoppiare la larghezza di banda di un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer on-premise con due tunnel (uno attivo, uno passivo), aggiungi altri due tunnel VPN. Aggiungi un altro tunnel "attivo" e un altro tunnel "passivo".

    Le sessioni BGP per tutti e quattro i tunnel ricevono gli stessi prefissi. I due tunnel attivi ricevono i prefissi con la stessa priorità più alta e i due tunnel passivi ricevono i prefissi con la stessa priorità inferiore.

  • Adatta le interfacce nel gateway VPN peer

    Per continuare a ricevere uno SLA con uptime del 99,99%, devi soddisfare questi requisiti per le interfacce sul gateway VPN peer.

    Quando raddoppi la larghezza di banda di un gateway VPN ad alta disponibilità che si connette a un gateway VPN on-premise, abbina i tunnel alle interfacce sul gateway VPN peer. Posiziona i due tunnel attivi sull'interfaccia 0 e i due tunnel passivi sull'interfaccia 1. In alternativa, posiziona i due tunnel attivi sull'interfaccia 1 e i due tunnel passivi sull'interfaccia 0.

Esempio di aumento della larghezza di banda

Di seguito è riportato un elenco delle risorse Google Cloud utilizzate da una connessione VPN ad alta disponibilità a un gateway VPN peer on-premise con velocità effettiva di 12 Gbps:

  • Un router Cloud
  • Un gateway VPN ad alta disponibilità con otto tunnel VPN in totale, tra cui:
    • Quattro tunnel attivi collegati all'interfaccia 0
    • Quattro tunnel passivi collegati all'interfaccia 1
  • Otto sessioni BGP totali, con ogni sessione BGP corrispondente a un tunnel VPN ad alta disponibilità

VPN ad alta disponibilità a gateway VPN peer

Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità:

  • Un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer separati, con il proprio indirizzo IP
  • Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza due indirizzi IP separati
  • Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza un indirizzo IP

Per impostare una di queste configurazioni, consulta Creare una VPN ad alta disponibilità con un gateway VPN peer.

Se esegui il deployment di un gateway VPN ad alta disponibilità con un tipo di stack doppio IPv4 e IPv6, i tuoi tunnel VPN possono supportare lo scambio di traffico IPv6 (anteprima). Devi inoltre abilitare IPv6 nelle sessioni BGP create per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise e alle subnet VPC nelle seguenti topologie.

Due dispositivi VPN peer

Se il gateway lato peer è basato su hardware, la presenza di un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per gli upgrade del software o altre operazioni di manutenzione pianificate. Inoltre ti protegge nel caso si verifichi un errore in uno dei dispositivi.

In questa topologia, un gateway VPN ad alta disponibilità si connette a due dispositivi peer. Ogni dispositivo peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni dispositivo peer.

In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.

L'esempio seguente fornisce una disponibilità del 99,99%.

VPN ad alta disponibilità connesso a due dispositivi peer (on-premise).
HA VPN per due dispositivi peer (on-premise) (fai clic per ingrandire)

Un dispositivo VPN peer con due indirizzi IP

Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con due indirizzi IP esterni separati. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni indirizzo IP esterno sul dispositivo peer.

In Google Cloud, il valore di REDUNDANCY_TYPE per questa configurazione è il valore TWO_IPS_REDUNDANCY.

L'esempio seguente fornisce una disponibilità del 99,99%.

VPN ad alta disponibilità connesso a un dispositivo peer (on-premise) con due indirizzi IP.
VPN HA a un dispositivo peer (on-premise) con due indirizzi IP (fai clic per ingrandire)

Un dispositivo VPN peer con un indirizzo IP

Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, entrambi tunnel che rimandano al singolo indirizzo IP esterno sul dispositivo peer.

In Google Cloud, il valore di REDUNDANCY_TYPE per questa configurazione è SINGLE_IP_INTERNALLY_REDUNDANT.

L'esempio seguente fornisce una disponibilità del 99,99%.

VPN ad alta disponibilità connesso a un dispositivo peer (on-premise) con un indirizzo IP.
VPN HA a un dispositivo peer (on-premise) con un indirizzo IP (fai clic per ingrandire)

Garanzia Disponibilità del 99,99%

Per soddisfare lo SLA del 99,99% sul lato Google Cloud, deve essere presente un tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.

Se il gateway peer ha due interfacce, la configurazione di due tunnel, una da ogni interfaccia peer a ogni interfaccia gateway VPN ad alta disponibilità, soddisfa i requisiti per lo SLA del 99,99%. Non è richiesta una configurazione mesh completa per lo SLA (accordo sul livello del servizio) del 99,99% sul lato Google Cloud. In questo caso, un mesh completo è definito come due tunnel da ogni interfaccia VPN ad alta disponibilità a ciascuna delle due interfacce sul gateway peer, per un totale di quattro tunnel dal lato Google Cloud. Per verificare se il tuo fornitore VPN consiglia una configurazione mesh completa, consulta la documentazione del dispositivo VPN peer (on-premise) o contatta il tuo fornitore VPN.

Nelle configurazioni con due interfacce peer, i tunnel su ciascuna delle seguenti interfaccia utente sul gateway VPN ad alta disponibilità corrispondono alle interfacce corrispondenti sul gateway o sui gateway peer:

  • VPN ad alta disponibilità interface 0 al peer interface 0
  • VPN ad alta disponibilità interface 1 al peer interface 1

Gli esempi sono mostrati nei diagrammi per due dispositivi peer, due interfacce e un dispositivo peer, due interfacce.

Se esiste un'unica interfaccia peer su un gateway peer, ogni tunnel da ogni interfaccia gateway VPN ad alta disponibilità deve connettersi alla singola interfaccia peer. Consulta il diagramma per un dispositivo peer, un'interfaccia.

L'esempio seguente non fornisce una disponibilità del 99,99%:

  • VPN ad alta disponibilità interface 0 al peer interface 0
Una topologia che non fornisce alta disponibilità.
Una topologia che non fornisce alta disponibilità (fai clic per ingrandire)

Gateway VPN ad alta disponibilità con peer AWS

Quando configuri un gateway VPN esterno ad alta disponibilità VPN su Amazon Web Services (AWS), puoi utilizzare un gateway di transito o un gateway privato virtuale. Solo il gateway di transito supporta il routing ECMP (Equal-cost multipath). Se abilitato, il routing ECMP distribuisce equamente il traffico tra i tunnel attivi. La topologia supportata richiede due connessioni VPN AWS Site-to-Site, A e B, ciascuna con due indirizzi IP esterni. Questa topologia restituisce quattro indirizzi IP esterni in AWS: A1, A2, B1 e B2.

  1. Configura i quattro indirizzi IP AWS come un singolo gateway VPN esterno ad alta disponibilità con FOUR_IPS_REDUNDANCY, dove:
    • IP AWS 0=A1
    • IP AWS 1=A2
    • IP AWS 2=B1
    • IP AWS 3=B2
  2. Crea quattro tunnel sul gateway VPN ad alta disponibilità per soddisfare lo SLA del 99,99% utilizzando la seguente configurazione:
    • VPN ad alta disponibilità interface 0 verso AWS interface 0
    • VPN ad alta disponibilità interface 0 verso AWS interface 1
    • VPN ad alta disponibilità interface 1 verso AWS interface 2
    • VPN ad alta disponibilità interface 1 verso AWS interface 3

Configura la VPN ad alta disponibilità con AWS:

  1. In Google Cloud, crea un gateway VPN ad alta disponibilità e un router Cloud nell'area geografica che preferisci. Questa azione crea due indirizzi IP esterni, uno per ogni interfaccia del gateway. Registra gli indirizzi IP esterni da utilizzare nel passaggio successivo.
  2. In AWS, crea due gateway cliente utilizzando quanto segue:
    • L'opzione di routing Dinamico
    • L'ASN Google del router Cloud
    • Gli indirizzi IP esterni del gateway VPN ad alta disponibilità Google Cloud interfaces 0 e 1
  3. Completa i passaggi corrispondenti all'opzione AWS VPN che stai utilizzando:
    • Gateway per il trasporto pubblico
      1. Crea un allegato VPN per il gateway di transito per il primo gateway del cliente (interface 0) e utilizza l'opzione di routing Dinamico.
      2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).
    • Gateway privato virtuale
      1. Crea una connessione VPN site-to-site per il primo gateway del cliente (interface 0) utilizzando quanto segue:
        • Un tipo di gateway di destinazione di Gateway privato virtuale
        • L'opzione di routing Dinamico
      2. Ripeti il passaggio precedente per il secondo gateway cliente (interface 1).
  4. Scarica i file di configurazione AWS per entrambe le connessioni create. I file contengono le informazioni di cui hai bisogno nei passaggi successivi di questa procedura, incluse le chiavi di autenticazione precondivise, gli indirizzi IP esterni del tunnel e gli indirizzi IP del tunnel.
  5. In Google Cloud, segui questi passaggi:
    1. Crea un nuovo gateway VPN peer con quattro interfacce utilizzando gli indirizzi IP esterni AWS dai file che hai scaricato nel passaggio precedente.
    2. Crea quattro tunnel VPN sul gateway VPN ad alta disponibilità che hai creato nel passaggio 1. Per ogni tunnel, configura l'interfaccia del gateway VPN ad alta disponibilità con l'interfaccia gateway VPN appropriata e le chiavi precondivise, utilizzando le informazioni nei file di configurazione AWS che hai scaricato.
    3. Configura le sessioni BGP sul router Cloud utilizzando gli indirizzi IP di BGP dai file di configurazione di AWS scaricati.

VPN ad alta disponibilità tra reti Google Cloud

Puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete.

Se esegui il deployment di due gateway VPN ad alta disponibilità con il tipo a doppio stack IPv4 e IPv6, i tuoi tunnel VPN possono supportare lo scambio di traffico IPv6. Devi inoltre abilitare IPv6 nelle sessioni BGP create per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet VPC nella seguente topologia.

L'esempio seguente fornisce una disponibilità del 99,99%.

Gateway VPN ad alta disponibilità tra reti Google Cloud.
Gateway VPN ad alta disponibilità tra reti Google Cloud (fai clic per ingrandire)

Crei due tunnel dal punto di vista di ogni gateway VPN ad alta disponibilità, in modo che siano soddisfatte entrambe le seguenti condizioni:

  • interface 0 su un gateway VPN ad alta disponibilità su interface 0 sull'altro VPN ad alta disponibilità
  • interface 1 su un gateway VPN ad alta disponibilità su interface 1 sull'altro VPN ad alta disponibilità

Per impostare questa configurazione, consulta la sezione Creare due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.

Garanzia Disponibilità del 99,99%

Per offrire una disponibilità del 99,99% per i gateway ad alta disponibilità, le interfacce seguenti devono corrispondere a:

  • Dalla VPN ad alta disponibilità interface 0 alla VPN ad alta disponibilità interface 0 e
  • VPN ad alta disponibilità interface 1 - VPN ad alta disponibilità interface 1

Passaggi successivi

  • Per utilizzare scenari ad alta disponibilità e alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.
  • Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.