Questa pagina descrive le topologie consigliate e la relativa disponibilità Accordo sul livello del servizio (SLA) per ogni topologia VPN ad alta disponibilità. Per le topologie VPN classiche, consulta Topologie VPN classiche. Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.
Panoramica
La VPN ad alta disponibilità supporta la VPN site-to-site in uno dei seguenti topologie consigliate:
Da VPN ad alta disponibilità a VPN peer di terze parti Gateway. Questa topologia richiede due tunnel VPN dal punto di vista del gateway VPN ad alta disponibilità per raggiungere lo SLA di alta disponibilità. In questa configurazione, la VPN ad alta disponibilità ha tre configurazioni tipiche di gateway peer:
- Due dispositivi VPN peer separati, ciascuno con il proprio indirizzo IP.
- Un dispositivo VPN peer con due indirizzi IP separati.
- Un dispositivo VPN peer con un indirizzo IP.
Per determinare la topologia più appropriata, rivolgiti al fornitore del tuo gateway VPN peer.
VPN ad alta disponibilità tra Google Cloud reti VPC. In questa topologia, puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. Le reti VPC possono trovarsi nella stessa regione o in più regioni.
VPN ad alta disponibilità per istanze VM di Compute Engine. In questa topologia, colleghi un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine. Le istanze VM possono trovarsi in una o più zone.
VPN ad alta disponibilità su Cloud Interconnect In questa topologia, crei tunnel VPN ad alta disponibilità per trasportare il traffico criptato con IPsec tramite i collegamenti VLAN di Dedicated Interconnect o Partner Interconnect. Puoi prenotare intervalli di indirizzi IP interni regionali per i gateway VPN ad alta disponibilità. I dispositivi VPN peer possono anche avere indirizzi IP interni. Per ulteriori informazioni e diagrammi di architettura, consulta Architettura di deployment della VPN ad alta disponibilità su Cloud Interconnect.
Configurazioni che supportano una disponibilità del 99,99%
| Topologia | Descrizione | Disponibilità garantita da SLA |
|---|---|---|
| Da VPN ad alta disponibilità a gateway VPN peer | Connetti un gateway VPN ad alta disponibilità a una o due VPN peer separate dispositivi | 99,99% |
| VPN ad alta disponibilità tra due reti Google Cloud | Connetti due reti VPC Google Cloud in una singola regione utilizzando un gateway VPN ad alta disponibilità in ogni rete | 99,99% |
Per configurare una disponibilità del 99,99% per le connessioni VPN ad alta disponibilità, configura due tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità. Assicurati che anche il gateway VPN peer sia configurato per ricevere uno SLA con disponibilità del 99,99%.
Una corretta configurazione significa che i tunnel VPN devono fornire un'adeguata ridondanza che si connette a tutte le interfacce del gateway VPN ad alta disponibilità tutte le interfacce del gateway VPN peer o di un'altra VPN ad alta disponibilità gateway VPN ad alta disponibilità.
Configurazioni che supportano una disponibilità del 99,9%
| Topologia | Descrizione | Disponibilità garantita da SLA |
|---|---|---|
| VPN ad alta disponibilità alle istanze VM di Compute Engine in più zone | Connetti un gateway VPN ad alta disponibilità alle istanze VM Compute Engine con indirizzi IP esterni | 99,9% |
| VPN ad alta disponibilità a una singola istanza VM di Compute Engine | Connetti un gateway VPN ad alta disponibilità a un solo Istanza VM di Compute Engine con un indirizzo IP esterno | Lo SLA di disponibilità è determinato dallo SLA di disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzata per la memoria per Compute Engine. Per ulteriori informazioni, consulta Compute Engine Accordo sul livello del servizio (SLA, Service Level Agreement). |
Configurare uno SLA (accordo sul livello del servizio) con disponibilità del 99,9% per la VPN ad alta disponibilità connessioni in queste topologie, configurane due dal gateway VPN ad alta disponibilità connesso al gateway VPN peer o dell'accesso a specifiche risorse Google Cloud.
Configurare una VPN ad alta disponibilità per una maggiore larghezza di banda
Per aumentare la larghezza di banda dei gateway VPN ad alta disponibilità, e aggiungere altri tunnel VPN ad alta disponibilità.
Per calcolare il numero di tunnel necessario, usa 250.000 pacchetti al secondo la somma della capacità in entrata e in uscita per ogni tunnel. Ad esempio, se hai bisogno di 600.000 pacchetti al secondo per una somma di traffico in entrata e in uscita, hai bisogno di tre coppie di tunnel VPN ad alta disponibilità (sei tunnel) per contribuire a garantire la larghezza di banda e la capacità di failover richieste.
Per ulteriori informazioni sui calcoli della larghezza di banda VPN, consulta Larghezza di banda di rete.
Tieni presente le seguenti linee guida quando aumenti la larghezza di banda VPN HA.
Controlla le quote dei tunnel VPN
A meno che non colleghi un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, ogni gateway VPN ad alta disponibilità supporta un numero illimitato di tunnel VPN su ogni interfaccia.
Tuttavia, la quota dei tunnel VPN limita la il numero totale di tunnel VPN nel tuo progetto.
Aggiungi gateway VPN ad alta disponibilità per aggiungere tunnel tra due VPN ad alta disponibilità
Quando connetti un gateway VPN ad alta disponibilità a un altro ad alta disponibilità, puoi connetterti solo un tunnel per interfaccia, 0 o 1, al corrispondente 0 o 1 sull'altro gateway VPN ad alta disponibilità. In altre parole, tra una coppia di gateway VPN ad alta disponibilità, hai un massimo di due tunnel VPN ad alta disponibilità.
Pertanto, per aumentare il numero di tunnel VPN tra i gateway VPN ad alta disponibilità, devi creare altre coppie di gateway VPN ad alta disponibilità.
Aggiungere coppie di tunnel VPN
Per aumentare la larghezza di banda tra la VPN ad alta disponibilità e un gateway VPN peer on-premise, aggiungi coppie di tunnel VPN.
Ad esempio, per raddoppiare la larghezza di banda di una VPN ad alta disponibilità che si connette a un gateway VPN peer on-premise con due tunnel (uno attivo e uno passivo), aggiungi altri due tunnel VPN. Aggiungi un altro stato "attivo" tunnel e un altro "passivo" tunnel.
Le sessioni BGP per tutti e quattro i tunnel ricevono gli stessi prefissi. I due tunnel attivi ricevono i prefissi con la stessa priorità più alta, e i due tunnel passivi ricevono i prefissi con la stessa priorità più bassa.
Abbina le interfacce sul gateway VPN peer
Devi abbinare le interfacce sul gateway VPN peer per continuare a ricevere un SLA di disponibilità.
Quando raddoppi la larghezza di banda di un gateway VPN ad alta disponibilità che si connette a un gateway VPN on-premise, associa i tunnel alle interfacce sul gateway VPN peer. Posiziona i due tunnel attivi sull'interfaccia 0 e i due tunnel passivi sull'interfaccia 1. In alternativa, posiziona i due tunnel attivi sull'interfaccia 1 e due tunnel passivi sull'interfaccia 0.
Da VPN ad alta disponibilità a gateway VPN peer
Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità:
- Un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer separati, ognuno con il proprio indirizzo IP
- Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza due indirizzi IP separati
- Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza un indirizzo IP
Per impostare una qualsiasi di queste configurazioni, consulta Crea una VPN ad alta disponibilità connesso a un gateway VPN peer.
Se esegui il deployment di un gateway VPN ad alta disponibilità con un dual stack, i tunnel VPN possono supportare lo scambio di traffico IPv6. IPv6 deve essere abilitato anche nelle sessioni BGP create per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise le subnet VPC nelle seguenti topologie.
Due dispositivi VPN peer
Se il gateway lato peer è basato su hardware, avere un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per il software upgrade o altre operazioni di manutenzione pianificate. Inoltre, ti protegge nel caso si verifichi errore in uno dei dispositivi.
In questa topologia, un gateway VPN ad alta disponibilità si connette a due dispositivi peer. Ogni dispositivo peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni dispositivo peer.
In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con due indirizzi IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con due indirizzi IP esterni distinti. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni indirizzo IP esterno sul dispositivo peer.
In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con un indirizzo IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con un indirizzo IP esterno. La VPN ad alta disponibilità usa due tunnel, entrambi collegati al singolo indirizzo IP esterno dispositivo peer.
In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore
SINGLE_IP_INTERNALLY_REDUNDANT.
L'esempio seguente fornisce una disponibilità del 99,99%.
Configurazione per una disponibilità del 99,99%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% su Google Cloud, è necessario essere un tunnel da ciascuna delle due interfacce della VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.
Se il gateway peer ha due interfacce, devi configurare due tunnel, uno ciascuna interfaccia peer a ogni interfaccia gateway VPN ad alta disponibilità, i requisiti dello SLA con disponibilità del 99,99%. Per lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% lato Google Cloud non è richiesta una configurazione mesh completa. In questo caso, una mesh completa è definita come due tunnel da ogni l'interfaccia VPN ad alta disponibilità con entrambe le interfacce della VPN un gateway peer. Per verificare se il tuo fornitore VPN consiglia una rete mesh completa consulta la documentazione della tua VPN peer (on-premise) dispositivo o contatta il fornitore della VPN.
Nelle configurazioni con due interfacce peer, tunnel su ciascuno dei seguenti sul gateway VPN ad alta disponibilità corrispondano sul gateway o sui gateway peer:
- VPN ad alta disponibilità
interface 0con peerinterface 0 - VPN ad alta disponibilità
interface 1a peerinterface 1
Gli esempi sono mostrati nei diagrammi per due dispositivi peer, due interfacce e un dispositivo peer, due interfacce.
Se su un gateway peer è presente una sola interfaccia peer, ogni tunnel da ciascuna interfaccia del gateway VPN ad alta disponibilità deve connettersi alla singola interfaccia peer. Guarda il diagramma per un dispositivo peer, un'interfaccia.
L'esempio seguente non fornisce una disponibilità del 99,99%:
- VPN ad alta disponibilità
interface 0a peerinterface 0
VPN ad alta disponibilità tra reti Google Cloud nella stessa regione
Puoi connettere due reti VPC Google Cloud usando un gateway VPN ad alta disponibilità in ogni rete. Ogni gateway VPN ad alta disponibilità identifica l'altro gateway tramite il nome.
Se esegui il deployment di due gateway VPN ad alta disponibilità con il tipo di stack doppio IPv4 e IPv6, i tunnel VPN possono supportare lo scambio di traffico IPv6. L'IPv6 deve essere abilitato anche nelle sessioni BGP che crei per la VPN tunnel. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet VPC nella seguente topologia.
L'esempio seguente fornisce una disponibilità del 99,99%.
Per impostare questa configurazione, consulta Crea due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configurazione per una disponibilità del 99,99%
Per garantire una disponibilità del 99,99%, configura ogni VPN ad alta disponibilità gateway con due tunnel, in modo che entrambe le seguenti condizioni siano vere:
Tunnel 0connetteinterface 0su un gateway VPN ad alta disponibilità ainterface 0sull'altro gateway VPN ad alta disponibilità.Tunnel 1connetteinterface 1su un gateway VPN ad alta disponibilità ainterface 1sull'altro gateway VPN ad alta disponibilità.
VPN ad alta disponibilità tra reti Google Cloud in regioni diverse
Puoi connettere due reti VPC in regioni diverse utilizzando gateway VPN ad alta disponibilità. La I gateway VPN ad alta disponibilità possono appartenere allo stesso delle organizzazioni e ciascun gateway VPN ad alta disponibilità identifica a un altro gateway con il nome.
L'esempio seguente fornisce una disponibilità del 99,9%.
Ti consigliamo di utilizzare la VPN ad alta disponibilità tra reti Google Cloud nella stessa topologia di regione perché offre una maggiore disponibilità, a meno che tu non abbia bisogno che i gateway si trovino in due regioni diverse.
Per impostare questa configurazione, consulta Crea due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configura per una disponibilità del 99,9%
Per garantire una disponibilità del 99,9%, configura ogni VPN ad alta disponibilità gateway con due tunnel, in modo che entrambe le seguenti condizioni siano vere:
Tunnel 0connetteinterface 0su un gateway VPN ad alta disponibilità ainterface 0sull'altro gateway VPN ad alta disponibilità.Tunnel 1connetteinterface 1su un gateway VPN ad alta disponibilità ainterface 1sull'altro gateway VPN ad alta disponibilità.
VPN ad alta disponibilità per istanze VM di Compute Engine in zone diverse
La VPN ad alta disponibilità ti consente di connettere un gateway VPN ad alta disponibilità alle istanze di macchine virtuali (VM) di Compute Engine che funzionano come appliance virtuale di rete ed eseguono un'implementazione VPN IPsec. Questa topologia fornisce uno SLA con disponibilità del 99,9% se configurata correttamente.
In questa topologia, un gateway VPN ad alta disponibilità può connettersi di istanze VM di Compute Engine. Il gateway VPN ad alta disponibilità e le VM si trovano in due VPC diversi. Le due VM si trovano in zone diverse e ciascuna ha un indirizzo IP esterno. Le istanze VM si comportano come dispositivi VPN peer.
Questa topologia è particolarmente utile quando vuoi connetterti da VPN ad alta disponibilità a una VM dell'appliance virtuale di rete di terze parti in hosting su Google Cloud. Ad esempio, utilizzando questa topologia, puoi eseguire l'upgrade di una delle VM appliance virtuali di rete senza tempi di riposo della connessione VPN.
Nel diagramma, il gateway VPN ad alta disponibilità si trova in un virtual private cloud
rete denominata network-a e le due VM si trovano in network-b. Sia il virtual private cloud
che si trovano in us-central1. La VPN ad alta disponibilità
il gateway in network-a sia configurato con gli indirizzi IP esterni di ciascuno
le VM in network-b. Puoi anche avere il gateway VPN ad alta disponibilità e le VM in due regioni diverse. Ti consigliamo di utilizzare questa topologia
ne migliorano la disponibilità.
L'esempio seguente fornisce una disponibilità del 99,9%.
Per configurare questa configurazione, consulta Connetti la VPN ad alta disponibilità alle VM Compute Engine.
Configura per una disponibilità del 99,9%
Per rispettare lo SLA del 99,9%, devono esserci almeno due tunnel da ciascuno dei due sul gateway VPN ad alta disponibilità su ciascuna delle VM. Ti consigliamo di utilizzare questa topologia per ottenere una maggiore disponibilità.
Due tunnel su ciascuna delle seguenti interfacce Il gateway VPN ad alta disponibilità si connette alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-aTunnel 2dainterface 0aus-central1-vm-bnella zonaus-central1-bTunnel 3dainterface 1aus-central1-vm-bin la zonaus-central1-b
VPN ad alta disponibilità su una singola istanza VM di Compute Engine
La VPN ad alta disponibilità ti consente di connettere un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine che funge da appliance virtuale di rete ed esegue un'implementazione VPN IPsec. La Il gateway VPN ad alta disponibilità e la VM si trovano in due VPC diversi. La VM ha un indirizzo IP esterno.
La disponibilità complessiva è determinata dalla disponibilità garantita dallo SLA (accordo sul livello del servizio) fornito per un singolo Istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, consulta Accordo sul livello del servizio (SLA) Compute Engine.
Per configurare questa configurazione, consulta Connetti la VPN ad alta disponibilità alle VM Compute Engine.
Configura per una disponibilità del 99,9%
Per rispettare lo SLA (accordo sul livello del servizio) con disponibilità del 99,9%, devono esistere due tunnel da ciascuno due interfacce sul gateway VPN ad alta disponibilità la VM di Compute Engine.
Due tunnel su ciascuna delle seguenti interfacce Il gateway VPN ad alta disponibilità si connette alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-a
Passaggi successivi
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.