Topologias da Cloud VPN

Com o Cloud VPN, os hosts locais se comunicam por meio de um ou mais túneis da VPN IPsec com instâncias de máquina virtual (VM) do Compute Engine nas redes VPC do projeto.

Nesta página, você verá as topologias recomendadas para a VPN de alta disponibilidade. Para informações sobre topologias da VPN clássica, consulte esta página. Para mais informações sobre os dois tipos de VPN, consulte a Visão geral do Cloud VPN.

Para saber mais sobre os conceitos básicos do Cloud VPN, consulte a Visão geral do Cloud VPN.

Visão geral

A VPN de alta disponibilidade é compatível com a VPN site a site em uma das seguintes topologias recomendadas ou cenários de configuração. Consulte o fornecedor do seu gateway de VPN de peering para determinar o cenário de configuração adequado a ser usado:

  • Um gateway de VPN de alta disponibilidade para dispositivos VPN de peering. Todas essas topologias exigem dois túneis VPN a partir da perspectiva do gateway de VPN de alta disponibilidade. Consulte o fornecedor do seu gateway de VPN de peering para determinar qual topologia é mais adequada.
    • Um gateway de VPN de alta disponibilidade para dois dispositivos de VPN de peering separados, em que cada dispositivo de peering tem o próprio endereço IP externo.
    • Um gateway de VPN de alta disponibilidade para um dispositivo VPN de peering que tem dois endereços IP externos separados.
    • Um gateway de VPN de alta disponibilidade para um dispositivo VPN de peering que tem um endereço IP externo.
  • Um gateway de VPN de alta disponibilidade para um gateway particular virtual da AWS, que é uma configuração de gateway de peering com quatro interfaces.
  • Dois gateways de VPN de alta disponibilidade foram conectados um ao outro.

Configurações compatíveis com 99,99% de disponibilidade

Para garantir um SLA de disponibilidade de 99,99% para as conexões com VPN de alta disponibilidade, configure corretamente dois ou quatro túneis do seu gateway de VPN de alta disponibilidade para o gateway de VPN de peering ou para outro gateway de VPN de alta disponibilidade.

A configuração adequada implica que os túneis de VPN precisam fornecer redundância adequada conectando-se a todas as interfaces do gateway de VPN de alta disponibilidade e a todas as interfaces do gateway de VPN de peering ou outro gateway de VPN de alta disponibilidade.

Cada uma das seções a seguir aborda como configurar túneis nas duas extremidades da conexão VPN para garantir 99,99% de disponibilidade.

Como configurar a VPN de alta disponibilidade para aumentar a largura de banda

O método preferencial de aumento da largura de banda para a VPN de alta disponibilidade é o seguinte:

Faça o escalonamento de gateways em vez de implantar vários túneis conectados a cada interface de um gateway de VPN de alta disponibilidade atual (uma configuração de estrutura borboleta).

É possível conectar vários gateways de VPN de alta disponibilidade ao mesmo gateway da VPN de peering (recurso de gateway de VPN externa) com tantos túneis complementares quanto permitem as cotas e limites do Cloud VPN.

Veja abaixo um exemplo de um gateway de VPN de alta disponibilidade com capacidade de 10 Gbps, usando os seguintes recursos do Google Cloud:

  • Um Cloud Router
  • Quatro gateways de VPN de alta disponibilidade com dois túneis cada, de um total de oito túneis de VPN.
  • Oito sessões totais do BGP

Essa configuração supõe uma configuração do MED ativa/passiva para sessões do BGP anexadas a interface 0 e interface 1, respectivamente, em cada gateway. Ou seja, quatro túneis interface 0 estão ativos e quatro túneis interface 1 estão passivos.

VPN de alta disponibilidade para gateways de VPN de peering

Há três configurações típicas de gateway de peering para VPN de alta disponibilidade:

  • Um gateway de VPN de alta disponibilidade para dois dispositivos de VPN de peering separados, cada um com seu próprio endereço IP.
  • Um gateway de VPN de alta disponibilidade para um dispositivo de VPN de peering que usa dois endereços IP separados.
  • Um gateway de VPN de alta disponibilidade para um dispositivo de VPN de peering que usa um endereço IP.

Para definir qualquer uma dessas configurações, consulte Como criar uma VPN de alta disponibilidade para um gateway de VPN de peering.

Dois dispositivos VPN de peering

Se o gateway do lado do peering for baseado em hardware, ter um segundo gateway do lado do peering fornecerá redundância e failover nesse lado da conexão. Um segundo gateway físico permite que você use um dos gateways off-line para fazer upgrades de software ou outras manutenções programadas. Ele também protege você em caso de falha em um dos dispositivos.

Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a dois dispositivos de peering. Cada dispositivo de peering tem uma interface e um endereço IP externo. O gateway da VPN de alta disponibilidade usa dois túneis, um para cada dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor TWO_IPS_REDUNDANCY.

VPN de alta disponibilidade para dois dispositivos de peering locais (clique para ampliar)
VPN de alta disponibilidade para dois dispositivos de peering locais (clique para ampliar)

Um dispositivo VPN de peering com dois endereços IP

Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um dispositivo de peering com dois endereços IP externos separados. O gateway de VPN de alta disponibilidade usa dois túneis: um para cada endereço IP externo no dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração também assume o valor TWO_IPS_REDUNDANCY.

VPN de alta disponibilidade para um dispositivo de peering local com dois endereços IP (clique para ampliar)
VPN de alta disponibilidade para um dispositivo de peering local com dois endereços IP (clique para ampliar)

Um dispositivo VPN de peering com um endereço IP

Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um dispositivo de peering com um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, ambos para o único endereço IP externo no dispositivo de peering.

No Google Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor SINGLE_IP_INTERNALLY_REDUNDANT.

VPN de alta disponibilidade para um dispositivo de peering local com um endereço IP (clique para ampliar)
VPN de alta disponibilidade para um dispositivo de peering local com um endereço IP (clique para ampliar)

Gateways de peering da AWS

Como garantir 99,99% de disponibilidade

Para atender ao SLA de 99,99% no lado do GCP, precisa haver um túnel de cada uma das duas interfaces no gateway de VPN de alta disponibilidade para uma ou mais interfaces correspondentes no gateway de peering.

Se o gateway de peering tiver duas interfaces, a configuração de dois túneis, um de cada interface de peering para cada interface do gateway de VPN de alta disponibilidade, atenderá aos requisitos do SLA de 99,99%. Uma configuração de malha completa não é obrigatória para o SLA de 99,99% no lado do GCP. Nesse caso, uma malha completa é definida como dois túneis de cada interface da VPN de alta disponibilidade para cada uma das duas interfaces no gateway de peering, um total de quatro túneis do lado do Google Cloud. Consulte a documentação do seu dispositivo de VPN de peering local ou entre em contato com o fornecedor da VPN para confirmar se uma configuração de malha completa é recomendada.

O exemplo a seguir fornece 99,99% de disponibilidade:

Nessa configuração, os túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade correspondem às interfaces correspondentes no gateway de peering ou nos gateways de:

  • interface 0 da VPN de alta disponibilidade para interface 0 de peering
  • interface 1 da VPN de alta disponibilidade para interface 1 de peering

Os exemplos são mostrados nos desenhos com dois dispositivos de peering e duas interfaces e um dispositivo de peering e duas interfaces.

Se houver apenas uma interface de peering em um gateway de peering, cada túnel de cada interface do gateway de VPN de alta disponibilidade precisa se conectar à interface de peering única. Um exemplo disso é mostrado no desenho com um dispositivo de peering e uma interface.

O exemplo a seguir não fornece 99,99% de disponibilidade:

  • interface 0 da VPN de alta disponibilidade para interface 0 de peering
Uma topologia que não fornece alta disponibilidade (clique para ampliar)
Uma topologia que não fornece alta disponibilidade (clique para ampliar)

Gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud

É possível conectar duas redes VPC do Google Cloud usando um gateway de VPN de alta disponibilidade em cada rede.

Gateways de VPN de alta disponibilidade do
        Google Cloud para o Google Cloud  (clique para ampliar)
Gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud (clique para ampliar)

Do ponto de vista de cada gateway de VPN de alta disponibilidade, você cria dois túneis para que ambos os itens a seguir sejam verdadeiros:

  • interface 0 em um gateway de VPN de alta disponibilidade para interface 0 na outra VPN de alta disponibilidade;
  • interface 1 em um gateway de VPN de alta disponibilidade para interface 1 da outra VPN de alta disponibilidade.

Para definir essa configuração, consulte Como criar uma VPN de alta disponibilidade para gateways de VPN de alta disponibilidade.

Como garantir 99,99% de disponibilidade

Para fornecer disponibilidade de 99,99% para gateways de VPN de alta disponibilidade para VPN de alta disponibilidade, as seguintes interfaces em ambos os gateways precisam se corresponder:

  • interface 0 da VPN de alta disponibilidade para interface 0 da VPN de alta disponibilidade e;
  • interface 1 da VPN de alta disponibilidade para interface 1 da VPN de alta disponibilidade

A seguir