高可用性 VPN 拓扑

本页面介绍了推荐的高可用性 VPN 拓扑以及每个拓扑对应的服务等级协议 (SLA) 承诺的可用性。如需了解传统 VPN 拓扑,请参阅传统 VPN 拓扑。如需详细了解 Cloud VPN(包括这两种 VPN 类型),请参阅 Cloud VPN 概览

如需了解本页面中所用术语的定义,请参阅关键术语

概览

在下列推荐的拓扑中,高可用性 VPN 支持站点到站点 VPN:

  • 高可用性 VPN 到第三方对等 VPN 网关。从高可用性 VPN 网关的角度考虑,此拓扑需要两个 VPN 隧道以实现高可用性服务等级协议 (SLA)。在此配置中,高可用性 VPN 有三种典型的对等网关配置:

    • 两个独立的对等 VPN 设备,每个设备都有自己的 IP 地址。
    • 一个具有两个不同 IP 地址的对等 VPN 设备
    • 一个具有一个 IP 地址的对等 VPN 设备

    如要确定哪种拓扑最为合适,请咨询您的对等 VPN 网关供应商。

  • Google Cloud VPC 网络之间的高可用性 VPN。在此拓扑中,您可以使用两个 Google Cloud VPC 网络中各自的高可用性 VPN 网关将这两个网络连接起来。VPC 网络可以位于同一区域,也可以位于不同区域。

  • 高可用性 VPN 到 Compute Engine 虚拟机实例。在此拓扑中,您将高可用性 VPN 网关连接到 Compute Engine 虚拟机 (VM) 实例。虚拟机实例可以位于一个或多个可用区中。

  • HA VPN over Cloud Interconnect。在此拓扑中,您需要创建高可用性 VPN 隧道,以通过专用互连或合作伙伴互连的 VLAN 连接传输 IPsec 加密流量。您可以为高可用性 VPN 网关预留区域级内部 IP 地址范围。对等 VPN 设备也可以具有内部 IP 地址。如需了解详情和架构图,请参阅 HA VPN over Cloud Interconnect 部署架构

支持 99.99% 可用性的配置

拓扑 说明 SLA 承诺的可用性
高可用性 VPN 到对等 VPN 网关 将高可用性 VPN 网关连接到一个或两个独立的对等 VPN 设备 99.99%
Google Cloud 网络之间的高可用性 VPN 使用位于同一区域的两个 Google Cloud VPC 网络中各自的高可用性 VPN 网关连接这两个网络。 99.99%

如需为高可用性 VPN 连接配置 99.99% 可用性,请配置从高可用性 VPN 网关到对等 VPN 网关或另一个高可用性 VPN 网关的两条或四条隧道。确保对等 VPN 网关也进行相应配置,以获得服务等级协议 (SLA) 承诺的 99.99% 可用性。

正确配置是指,VPN 隧道必须通过连接高可用性 VPN 网关的所有接口以及对等 VPN 网关或其他高可用性 VPN 网关的所有接口,来提供足够的冗余。

支持 99.9% 可用性的配置

拓扑 说明 SLA 承诺的可用性
高可用性 VPN 到多个可用区中的 Compute Engine 虚拟机实例 将高可用性 VPN 网关连接到多个具有外部 IP 地址的 Compute Engine 虚拟机实例 99.9%
高可用性 VPN 到单个 Compute Engine 虚拟机实例 将高可用性 VPN 网关仅连接到一个具有外部 IP 地址的 Compute Engine 虚拟机实例 服务等级协议 (SLA) 承诺的可用性取决于为 Compute Engine 的内存优化机器系列的单个虚拟机实例提供的可用性服务等级协议 (SLA)。如需了解详情,请参阅 Compute Engine 服务等级协议 (SLA)

为了进行相应配置,以使这些拓扑中的高可用性 VPN 连接获得服务等级协议 (SLA) 承诺的 99.9% 可用性,请配置从高可用性 VPN 网关到对等 VPN 网关或其他 Google Cloud 资源的两条或四条隧道。

为高可用性 VPN 配置更多带宽

要增加高可用性 VPN 网关的带宽,请添加更多高可用性 VPN 隧道。

如需计算所需的隧道数,请使用每秒 25 万个数据包作为每个隧道的入站和出站容量的总和。例如,如果您需要的入站和出站流量总和为每秒 60 万个数据包,则需要 3 对高可用性 VPN 隧道(6 个隧道),才能确保所需的带宽和故障切换容量。

如需详细了解 VPN 带宽计算,请参阅网络带宽

在增加高可用性 VPN 带宽时,请考虑以下准则。

  • 检查 VPN 隧道配额

    除非您将高可用性 VPN 网关连接到另一个高可用性 VPN 网关,否则每个高可用性 VPN 网关都支持每个接口上无限数量的 VPN 隧道。

    但是,VPN 隧道配额会限制项目中的 VPN 隧道总数。

  • 添加高可用性 VPN 网关以在两个高可用性 VPN 之间添加隧道

    在将高可用性 VPN 网关连接到另一个高可用性 VPN 网关时,您只能将每个接口(0 或 1)的一个隧道连接到另一个高可用性 VPN 网关上的相应接口(0 或 1)。换句话说,在一对高可用性 VPN 网关之间,您最多有两个高可用性 VPN 隧道。

    因此,要增加高可用性 VPN 网关之间的 VPN 隧道的数量,您必须创建额外的高可用性 VPN 网关对。

  • 添加 VPN 隧道对

    如需增加高可用性 VPN 和本地对等 VPN 网关之间的带宽,请添加 VPN 隧道对。

    例如,如需将通过两个隧道(一个主动,一个被动)与本地对等 VPN 网关连接的高可用性 VPN 网关的带宽加倍,请再添加两个 VPN 隧道。再添加一个“主动”隧道和一个“被动”隧道。

    所有四个隧道的 BGP 会话都会收到相同的前缀。两个主动隧道会收到相同的较高优先级的前缀,两个被动隧道会收到相同的较低优先级的前缀。

  • 匹配对等 VPN 网关上的接口

    您必须匹配对等 VPN 网关上的接口,才能继续获得服务等级协议 (SLA) 承诺的可用性。

    如果将连接到本地 VPN 网关的高可用性 VPN 网关的带宽翻倍,请将隧道与对等 VPN 网关上的接口匹配。将两个主动隧道放置在接口 0 上,将两个被动隧道放置在接口 1 上。或者,将两个主动隧道放置在接口 1 上,将两个被动隧道放置在接口 0 上。

高可用性 VPN 到对等 VPN 网关

高可用性 VPN 有 3 种典型的对等网关配置:

  • 一个高可用性 VPN 网关连接到两个独立的对等 VPN 设备,每个设备都有自己的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用两个独立的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用一个 IP 地址

要设置其中任一配置,请参阅创建连接到对等 VPN 网关的高可用性 VPN 网关

如果您部署使用 IPv4 和 IPv6 双栈类型的高可用性 VPN 网关,则您的 VPN 隧道可以支持 IPv6 流量交换。您还必须在为 VPN 隧道创建的 BGP 会话中启用 IPv6。 在此场景中,您可以将 IPv6 地址分配给以下拓扑中的本地子网和 VPC 子网。

两台对等 VPN 设备

如果您的对等端网关基于硬件,请设置另一个对等端网关以在连接的这一端提供冗余和故障切换。借助第二个物理网关,您可以使其中一个网关离线进行软件升级或执行其他计划性维护。如果您的其中一台设备出现故障,该方法还可以为您提供保护。

在此拓扑中,一个高可用性 VPN 网关连接到两台对等设备。每台对等设备有一个接口和一个外部 IP 地址。高可用性 VPN 网关使用两条隧道,每条隧道连接到一台对等设备。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 TWO_IPS_REDUNDANCY

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到两台对等(本地)设备。
高可用性 VPN 连接到两台对等(本地)设备(点击可放大)。

一台具有两个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有两个独立的外部 IP 地址。该高可用性 VPN 网关使用两条隧道,每条隧道连接到对等设备上的一个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 TWO_IPS_REDUNDANCY

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备。
高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备(点击可放大)。

一台具有一个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有一个外部 IP 地址。该高可用性 VPN 网关使用两条隧道,两条隧道都连接到对等设备上的这个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 SINGLE_IP_INTERNALLY_REDUNDANT

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备。
高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备(点击可放大)。

为实现 99.99% 可用性进行配置

如需在 Google Cloud 端实现服务等级协议 (SLA) 承诺的 99.99% 可用性,高可用性 VPN 网关上的每个接口(共两个)都必须有一条隧道连接到对等网关上的相应接口。

如果对等网关具有两个接口,则配置两条隧道,分别从每个对等接口连接到每个高可用性 VPN 网关接口,以满足服务等级协议 (SLA) 承诺的 99.99% 可用性要求。服务等级协议 (SLA) 承诺的 99.99% 可用性不要求 Google Cloud 端进行全网状配置。在此情况下,全网状定义为每个高可用性 VPN 接口均有两条隧道,分别连接到对等网关上的每个接口,即总共有四条来自 Google Cloud 端的隧道。如要确认您的 VPN 供应商是否推荐全网配置,请参阅对等(本地)VPN 设备的相应文档,或与您的 VPN 供应商联系。

在具有两个对等接口的配置中,高可用性 VPN 网关每个接口上的隧道都与对等网关上的相应接口匹配:

  • 高可用性 VPN interface 0 到对等 interface 0
  • 高可用性 VPN interface 1 到对等 interface 1

图中示例显示了两台对等设备、两个接口一台对等设备、两个接口

如果一个对等网关上只有一个对等接口,则每个高可用性 VPN 网关接口的每条隧道都必须连接到这一个对等接口。请参阅一台对等设备、一个接口的图表。

以下示例不提供 99.99% 的可用性

  • 高可用性 VPN interface 0 到对等 interface 0
不提供高可用性的拓扑。
不提供高可用性的拓扑(点击可放大)。

Google Cloud 网络之间的高可用性 VPN

您可以使用两个 Google Cloud VPC 网络中各自的高可用性 VPN 网关将这两个网络连接起来。

如果您部署两个使用 IPv4 和 IPv6 双栈类型的高可用性 VPN 网关,则您的 VPN 隧道可以支持 IPv6 流量交换。您还必须在为 VPN 隧道创建的 BGP 会话中启用 IPv6。 高可用性 VPN 网关必须位于同一区域。在此场景中,您可以将 IPv6 地址分配给以下拓扑中的 VPC 子网。

以下示例提供 99.99% 的可用性。

Google Cloud 网络之间的高可用性 VPN 网关。
Google Cloud 网络之间的高可用性 VPN 网关(点击可放大)。

针对每个高可用性 VPN 网关,您可以考虑创建两条隧道来满足以下两个条件:

  • 一个高可用性 VPN 网关上的 interface 0 到另一个高可用性 VPN 上的 interface 0
  • 一个高可用性 VPN 网关上的 interface 1 到另一个高可用性 VPN 上的 interface 1

如需设置此配置,请参阅创建两个相互连接的完全配置的高可用性 VPN 网关

为实现 99.99% 可用性进行配置

如需保证高可用性 VPN 到高可用性 VPN 网关的可用性达到 99.99%,这两个网关上的以下接口必须匹配:

  • 高可用性 VPN interface 0 到高可用性 VPN interface 0
  • 高可用性 VPN interface 1 到高可用性 VPN interface 1

高可用性 VPN 到多个可用区中的 Compute Engine 虚拟机实例

借助高可用性 VPN,您可以将高可用性 VPN 网关连接到用作网络虚拟设备并运行 IPsec VPN 实现的 Compute Engine 虚拟机 (VM) 实例。在配置正确的情况下,此拓扑可提供服务等级协议 (SLA) 承诺的 99.9% 可用性。

在此拓扑中,高可用性 VPN 网关可以连接到两个 Compute Engine 虚拟机实例。高可用性 VPN 网关和虚拟机位于两个不同的 VPC 中。两个虚拟机位于不同的可用区,每个虚拟机都有一个外部 IP 地址。虚拟机实例充当 VPN 对等设备。

如果您想将高可用性 VPN 连接到 Google Cloud 中托管的第三方网络虚拟设备虚拟机,则此拓扑尤为有用。例如,使用此拓扑时,您可以升级其中一个网络虚拟设备虚拟机,而不会导致 VPN 连接中断。

在示意图中,高可用性 VPN 网关位于名为 network-a 的 Virtual Private Cloud 网络中,两个虚拟机位于 network-b 中。两个 Virtual Private Cloud 网络都位于 us-central1network-a 中的高可用性 VPN 网关配配置了 network-b 中每个虚拟机的外部 IP 地址。您也可以将高可用性 VPN 网关和虚拟机放在两个不同的区域中。我们建议您使用此拓扑来提高可用性。

以下示例提供 99.9% 的可用性。

将高可用性 VPN 网关连接到两个 Compute Engine 虚拟机实例的拓扑,每个虚拟机位于不同的可用区。
将高可用性 VPN 网关连接到两个 Compute Engine 虚拟机实例的拓扑,每个虚拟机位于不同的可用区(点击可放大)。

如需设置此配置,请参阅将高可用性 VPN 连接到 Compute Engine 虚拟机

为实现 99.9% 可用性进行配置

为了满足服务等级协议 (SLA) 承诺的 99.9% 可用性,每个高可用性 VPN 网关接口必须具有两条隧道,分别连接到每个虚拟机接口。我们建议您使用此拓扑来提高可用性。

以下每个高可用性 VPN 网关接口上有两条隧道连接到虚拟机上的接口:

  • interface 0us-central1-vm-a(位于 us-central1-a 可用区)的 Tunnel 0
  • interface 1us-central1-vm-a(位于 us-central1-a 可用区)的 Tunnel 1
  • interface 0us-central1-vm-b(位于 us-central1-b 可用区)的 Tunnel 2
  • interface 1us-central1-vm-b(位于 us-central1-b 可用区)的 Tunnel 3

高可用性 VPN 到单个 Compute Engine 虚拟机实例

借助高可用性 VPN,您可以将高可用性 VPN 网关连接到用作网络虚拟设备并运行 IPsec VPN 实现的 Compute Engine 虚拟机 (VM) 实例。高可用性 VPN 网关和虚拟机位于两个不同的 VPC 中。虚拟机具有外部 IP 地址。

整体可用性取决于为 Compute Engine 的内存优化机器系列的单个虚拟机实例提供的可用性服务等级协议 (SLA)。如需了解详情,请参阅 Compute Engine 服务等级协议 (SLA)

将高可用性 VPN 网关连接到一个 Compute Engine 虚拟机的拓扑。
将高可用性 VPN 网关连接到一个 Compute Engine 虚拟机的拓扑(点击可放大)。

如需设置此配置,请参阅将高可用性 VPN 连接到 Compute Engine 虚拟机

为实现 99.9% 可用性进行配置

为了满足服务等级协议 (SLA) 承诺的 99.9% 可用性,高可用性 VPN 网关上的每个接口必须有两条隧道连接到 Compute Engine 虚拟机的接口。

以下每个高可用性 VPN 网关接口上有两条隧道连接到虚拟机上的接口:

  • interface 0us-central1-vm-a(位于 us-central1-a 可用区)的 Tunnel 0
  • interface 1us-central1-vm-a(位于 us-central1-a 可用区)的 Tunnel 1

后续步骤

  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查