Questa pagina descrive le topologie consigliate e il corrispondente accordo sul livello del servizio (SLA) di disponibilità per ogni topologia VPN ad alta disponibilità. Per le topologie VPN classica, consulta Topologie VPN classica. Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.
Panoramica
La VPN ad alta disponibilità supporta la VPN site-to-site in una delle seguenti topologie consigliate:
VPN ad alta disponibilità per gateway VPN peer di terze parti. Questa topologia richiede due tunnel VPN dal punto di vista del gateway VPN ad alta disponibilità per raggiungere lo SLA (accordo sul livello del servizio) ad alta disponibilità. In questa configurazione, la VPN ad alta disponibilità ha tre configurazioni tipiche di gateway peer:
- Due dispositivi VPN peer separati, ciascuno con il proprio indirizzo IP.
- Un dispositivo VPN peer con due indirizzi IP separati.
- Un dispositivo VPN peer con un indirizzo IP.
Per determinare quale topologia è la più appropriata, contatta il fornitore del tuo gateway VPN peer.
VPN ad alta disponibilità tra reti VPC Google Cloud. In questa topologia, puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. Le reti VPC possono trovarsi nella stessa regione o in più regioni.
VPN ad alta disponibilità per istanze VM di Compute Engine. In questa topologia, devi connettere un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) di Compute Engine. Le istanze VM possono trovarsi in una o più zone.
VPN ad alta disponibilità su Cloud Interconnect In questa topologia, crei tunnel VPN ad alta disponibilità per trasferire il traffico criptato IPsec sui collegamenti VLAN di Dedicated Interconnect o Partner Interconnect. Puoi prenotare intervalli di indirizzi IP interni a livello di regione per i gateway VPN ad alta disponibilità. Anche i dispositivi VPN peer possono avere indirizzi IP interni. Per ulteriori informazioni e diagrammi dell'architettura, consulta Architettura di deployment di VPN ad alta disponibilità su Cloud Interconnect.
Configurazioni che supportano una disponibilità del 99,99%
| Topologia | Descrizione | Disponibilità garantita da SLA |
|---|---|---|
| Da VPN ad alta disponibilità a gateway VPN peer | Connetti un gateway VPN ad alta disponibilità a uno o due dispositivi VPN peer separati | 99,99% |
| VPN ad alta disponibilità tra due reti Google Cloud | Connetti due reti VPC Google Cloud in un'unica regione utilizzando un gateway VPN ad alta disponibilità in ogni rete | 99,99% |
Per configurare una disponibilità del 99,99% per le connessioni VPN ad alta disponibilità, configura due o quattro tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità. Assicurati che anche il gateway VPN peer sia configurato in modo da ricevere uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%.
Una configurazione corretta prevede che i tunnel VPN forniscano un'adeguata ridondanza collegandosi a tutte le interfacce del gateway VPN ad alta disponibilità e a tutte le interfacce del gateway VPN peer o di un altro gateway VPN ad alta disponibilità.
Configurazioni che supportano una disponibilità del 99,9%
| Topologia | Descrizione | Disponibilità garantita da SLA |
|---|---|---|
| VPN ad alta disponibilità per istanze VM di Compute Engine in più zone | Connetti un gateway VPN ad alta disponibilità alle istanze VM di Compute Engine con indirizzi IP esterni | 99,9% |
| VPN ad alta disponibilità su una singola istanza VM di Compute Engine | Connetti un gateway VPN ad alta disponibilità a una sola istanza VM di Compute Engine con un indirizzo IP esterno | Lo SLA (accordo sul livello del servizio) relativo alla disponibilità è determinato dallo SLA (accordo sul livello del servizio) relativo alla disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, consulta l'accordo sul livello del servizio (SLA) di Compute Engine. |
Per configurare uno SLA (accordo sul livello del servizio) con disponibilità del 99,9% per le connessioni VPN ad alta disponibilità in queste topologie, configura due o quattro tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o ad altre risorse Google Cloud.
Configura la VPN ad alta disponibilità per una maggiore larghezza di banda
Per aumentare la larghezza di banda dei gateway VPN ad alta disponibilità, aggiungi altri tunnel VPN ad alta disponibilità.
Per calcolare il numero di tunnel di cui hai bisogno, utilizza 250.000 pacchetti al secondo come somma della capacità in entrata e in uscita per ogni tunnel. Ad esempio, se ti servono 600.000 pacchetti al secondo per una somma del traffico in entrata e in uscita, sono necessarie 3 coppie di tunnel VPN ad alta disponibilità (6 tunnel) per garantire la larghezza di banda e la capacità di failover necessarie.
Per ulteriori informazioni sui calcoli della larghezza di banda VPN, consulta Larghezza di banda di rete.
Tieni presente le seguenti linee guida per aumentare la larghezza di banda VPN ad alta disponibilità.
Verifica le quote dei tunnel VPN
A meno che tu non stia connettendo un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, ciascun gateway VPN ad alta disponibilità supporta un numero illimitato di tunnel VPN su ogni interfaccia.
Tuttavia, la quota di tunnel VPN limita il numero totale di tunnel VPN nel tuo progetto.
Aggiungere gateway VPN ad alta disponibilità per aggiungere tunnel tra due VPN ad alta disponibilità
Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, puoi connettere un solo tunnel per interfaccia, con 0 o 1, all'interfaccia corrispondente, 0 o 1, sull'altro gateway VPN ad alta disponibilità. In altre parole, tra una coppia di gateway VPN ad alta disponibilità hai un massimo di due tunnel VPN ad alta disponibilità.
Di conseguenza, per aumentare il numero di tunnel VPN tra gateway VPN ad alta disponibilità, devi creare coppie aggiuntive di gateway VPN ad alta disponibilità.
Aggiungere coppie di tunnel VPN
Per aumentare la larghezza di banda tra VPN ad alta disponibilità e un gateway VPN peer on-premise, aggiungi coppie di tunnel VPN.
Ad esempio, per raddoppiare la larghezza di banda di un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer on-premise con due tunnel (uno attivo e uno passivo), aggiungi altri due tunnel VPN. Aggiungi un altro tunnel "attivo" e un altro tunnel "passivo".
Le sessioni BGP per tutti e quattro i tunnel ricevono gli stessi prefissi. I due tunnel attivi ricevono i prefissi con la stessa priorità più alta, mentre i due tunnel passivi ricevono i prefissi con la stessa priorità inferiore.
Associa le interfacce sul gateway VPN peer
Devi corrispondere alle interfacce sul tuo gateway VPN peer per continuare a ricevere uno SLA (accordo sul livello del servizio) sulla disponibilità.
Raddoppiando la larghezza di banda di un gateway VPN ad alta disponibilità che si connette a un gateway VPN on-premise, abbina i tunnel alle interfacce sul gateway VPN peer. Posiziona i due tunnel attivi sull'interfaccia 0 e i due tunnel passivi nell'interfaccia 1. In alternativa, posiziona i due tunnel attivi sull'interfaccia 1 e i due tunnel passivi sull'interfaccia 0.
VPN ad alta disponibilità per gateway VPN peer
Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità:
- Un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer distinti, ciascuno con il proprio indirizzo IP
- Un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza due indirizzi IP separati
- Da un gateway VPN ad alta disponibilità a un dispositivo VPN peer che utilizza un indirizzo IP
Per impostare una di queste configurazioni, consulta Creare una VPN ad alta disponibilità per un gateway VPN peer.
Se esegui il deployment di un gateway VPN ad alta disponibilità con un tipo a doppio stack IPv4 e IPv6, i tunnel VPN possono supportare lo scambio del traffico IPv6. IPv6 deve essere abilitato anche nelle sessioni BGP create per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise e alle subnet VPC nelle seguenti topologie.
Due dispositivi VPN peer
Se il gateway lato peer è basato su hardware, avere un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per gli upgrade del software o altre operazioni di manutenzione pianificate. e ti protegge anche in caso di guasto di uno dei dispositivi.
In questa topologia, un gateway VPN ad alta disponibilità si connette a due dispositivi peer. Ogni dispositivo peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni dispositivo peer.
In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con due indirizzi IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con due indirizzi IP esterni separati. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ciascun indirizzo IP esterno sul dispositivo peer.
In Google Cloud, REDUNDANCY_TYPE per questa configurazione assume
il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce una disponibilità del 99,99%.
Un dispositivo VPN peer con un indirizzo IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un dispositivo peer con un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, entrambi collegati al singolo indirizzo IP esterno sul dispositivo peer.
In Google Cloud, il valore REDUNDANCY_TYPE per questa configurazione assume il valore SINGLE_IP_INTERNALLY_REDUNDANT.
L'esempio seguente fornisce una disponibilità del 99,99%.
Configura per una disponibilità del 99,99%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% sul lato Google Cloud, deve essere presente un tunnel da ciascuna delle due interfacce nel gateway VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.
Se il gateway peer ha due interfacce, la configurazione di due tunnel, uno da ciascuna interfaccia peer e ciascuna interfaccia gateway VPN ad alta disponibilità, soddisfa i requisiti dello SLA (accordo sul livello del servizio) con disponibilità del 99,99%. Non è necessaria una configurazione mesh completa per uno SLA (accordo sul livello del servizio) con disponibilità del 99,99% sul lato Google Cloud. In questo caso, un mesh completo è definito come due tunnel da ciascuna interfaccia VPN ad alta disponibilità a ciascuna delle due interfacce sul gateway peer, per un totale di quattro tunnel dal lato Google Cloud. Per verificare se il tuo fornitore VPN consiglia una configurazione mesh completa, consulta la documentazione del tuo dispositivo VPN peer (on-premise) o contatta il tuo fornitore VPN.
Nelle configurazioni con due interfacce peer, i tunnel su ciascuna delle seguenti interfacce del gateway VPN ad alta disponibilità corrispondono alle interfacce corrispondenti sui gateway o sui gateway peer:
- VPN ad alta disponibilità
interface 0con peerinterface 0 - VPN ad alta disponibilità
interface 1con peerinterface 1
Gli esempi sono mostrati nei diagrammi per due dispositivi peer, due interfacce e un dispositivo peer, due interfacce.
Se è presente una sola interfaccia peer su un gateway peer, ogni tunnel da ciascuna interfaccia gateway VPN ad alta disponibilità deve connettersi alla singola interfaccia peer. Consulta il diagramma per un dispositivo peer, un'unica interfaccia.
L'esempio seguente non fornisce una disponibilità del 99,99%:
- VPN ad alta disponibilità
interface 0con peerinterface 0
VPN ad alta disponibilità tra reti Google Cloud
Puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete.
Se esegui il deployment di due gateway VPN ad alta disponibilità con il tipo a doppio stack IPv4 e IPv6, i tunnel VPN possono supportare lo scambio del traffico IPv6. IPv6 deve essere abilitato anche nelle sessioni BGP create per i tunnel VPN. I gateway VPN ad alta disponibilità devono trovarsi nella stessa regione. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet VPC nella seguente topologia.
L'esempio seguente fornisce una disponibilità del 99,99%.
Dal punto di vista di ogni gateway VPN ad alta disponibilità, crei due tunnel in modo che siano soddisfatte entrambe le seguenti condizioni:
interface 0su un gateway VPN ad alta disponibilità ainterface 0sull'altra VPN ad alta disponibilitàinterface 1su un gateway VPN ad alta disponibilità ainterface 1sull'altra VPN ad alta disponibilità
Per impostare questa configurazione, consulta Creare due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configura per una disponibilità del 99,99%
Per fornire una disponibilità del 99,99% da VPN ad alta disponibilità ai gateway VPN ad alta disponibilità, le seguenti interfacce su entrambi i gateway devono corrispondere:
- Da VPN ad alta disponibilità
interface 0a VPN ad alta disponibilitàinterface 0 - Da VPN ad alta disponibilità
interface 1a VPN ad alta disponibilitàinterface 1
VPN ad alta disponibilità per istanze VM di Compute Engine in più zone
La VPN ad alta disponibilità consente di connettere un gateway VPN ad alta disponibilità alle istanze di macchine virtuali (VM) Compute Engine che funzionano come appliance virtuali di rete ed eseguono un'implementazione VPN IPsec. Se configurata correttamente, questa topologia fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,9%.
In questa topologia, un gateway VPN ad alta disponibilità può connettersi a due istanze VM di Compute Engine. Il gateway VPN ad alta disponibilità e le VM si trovano in due VPC diversi. Le due VM si trovano in zone diverse e ogni VM ha un indirizzo IP esterno. Le istanze VM si comportano come dispositivi peer VPN.
Questa topologia è particolarmente utile quando vuoi connettere una VPN ad alta disponibilità a una VM dell'appliance virtuale di rete di terze parti ospitata in Google Cloud. Ad esempio, utilizzando questa topologia, puoi eseguire l'upgrade di una delle VM dell'appliance virtuale di rete senza tempi di inattività alla connessione VPN.
Nel diagramma, il gateway VPN ad alta disponibilità si trova in una rete Virtual Private Cloud denominata network-a e le due VM si trovano in network-b. Entrambe le reti Virtual Private Cloud si trovano in us-central1. Il gateway VPN ad alta disponibilità in network-a è configurato con gli indirizzi IP esterni di ciascuna delle VM in network-b. Il gateway VPN ad alta disponibilità e le VM si trovano anche in due regioni diverse. Ti consigliamo di utilizzare questa topologia per
migliorare la disponibilità.
L'esempio seguente fornisce una disponibilità del 99,9%.
Per impostare questa configurazione, consulta Connettere la VPN ad alta disponibilità alle VM di Compute Engine.
Configura per una disponibilità del 99,9%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,9%, ogni interfaccia gateway VPN ad alta disponibilità deve avere due tunnel per ciascuna interfaccia VM. Ti consigliamo di usare questa topologia per migliorare la disponibilità.
Due tunnel su ciascuna delle seguenti interfacce del gateway VPN ad alta disponibilità si connettono alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-aTunnel 2dainterface 0aus-central1-vm-bnella zonaus-central1-bTunnel 3dainterface 1aus-central1-vm-bnella zonaus-central1-b
VPN ad alta disponibilità su una singola istanza VM di Compute Engine
La VPN ad alta disponibilità consente di connettere un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine che funziona come appliance virtuale di rete ed esegue un'implementazione VPN IPsec. Il gateway VPN ad alta disponibilità e la VM si trovano in due VPC diversi. La VM ha un indirizzo IP esterno.
La disponibilità complessiva è determinata dallo SLA (accordo sul livello del servizio) relativo alla disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, consulta l'accordo sul livello del servizio (SLA) di Compute Engine.
Per impostare questa configurazione, consulta Connettere la VPN ad alta disponibilità alle VM di Compute Engine.
Configura per una disponibilità del 99,9%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,9%, devono essere presenti due tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità che rimandano all'interfaccia della VM di Compute Engine.
Due tunnel su ciascuna delle seguenti interfacce del gateway VPN ad alta disponibilità si connettono alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-a
Passaggi successivi
- Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta Risoluzione dei problemi.