Cloud VPN 拓扑

利用 Cloud VPN,您的本地主机可通过一个或多个 IPsec VPN 隧道,与您项目的 VPC 网络中的 Compute Engine 虚拟机 (VM) 实例通信。

本页面介绍了推荐用于高可用性 VPN 的拓扑。对于传统 VPN 拓扑,请参阅传统 VPN 拓扑页面。如需详细了解这两种 VPN,请参阅 Cloud VPN 概览

要了解 Cloud VPN 的基本概念,请参阅 Cloud VPN 概览

概览

高可用性 VPN 支持采用下列推荐拓扑或配置方案之一的站点到站点 VPN。请咨询您的对等 VPN 网关供应商,确定要使用的适当的配置方案:

  • 一个高可用性 VPN 网关连接到多台对等 VPN 设备。从高可用性 VPN 网关的角度考虑,所有拓扑都需要两个 VPN 隧道。请咨询您的对等 VPN 网关供应商,确定最适合的拓扑。
    • 一个高可用性 VPN 网关连接到两台独立的对等 VPN 设备,每台对等设备都有自己的外部 IP 地址
    • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备具有两个独立的外部 IP 地址
    • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备具有一个外部 IP 地址
  • 一个高可用性 VPN 网关连接到一个 AWS 虚拟专用网关,这是一种具有 4 个接口的对等网关配置。
  • 两个高可用性 VPN 网关相互连接

支持 99.99% 可用性的配置

为了保证高可用性 VPN 连接达到服务等级协议 (SLA) 承诺的 99.99% 可用性,您必须正确配置 2 个或 4 个从高可用性 VPN 网关连接到对等 VPN 网关或连接到其他高可用性 VPN 网关的隧道

正确配置是指,VPN 隧道必须通过连接高可用性 VPN 网关的所有接口以及对等 VPN 网关或其他高可用性 VPN 网关的所有接口,来提供足够的冗余。

以下各部分介绍了如何在 VPN 连接的两端均配置隧道以确保 99.99% 的可用性。

为高可用性 VPN 配置更多带宽

要增加高可用性 VPN 的带宽,建议执行以下扩容操作:

请对网关进行扩容,而不要在现有高可用性 VPN 网关的每个接口上部署多个连接隧道(蝴蝶结配置)。

您可以将多个高可用性 VPN 网关连接到同一个对等 VPN 网关(外部 VPN 网关资源),前提是后者拥有 Cloud VPN 配额和限制所允许数量的额外隧道。

以下示例显示了一个使用以下 Google Cloud 资源且吞吐量为 10 Gbps 的高可用性 VPN 网关:

  • 1 个 Cloud Router 路由器
  • 4 个高可用性 VPN 网关,每个网关有两条隧道,即总共 8 条 VPN 隧道
  • 共 8 个 BGP 会话

此配置假定 BGP 会话采用主动/被动 MED 配置(分别连接到每个网关上的 interface 0interface 1)。也就是说,4 条 interface 0 隧道为主动模式,4 条 interface 1 隧道为被动模式。

高可用性 VPN 到对等 VPN 网关

高可用性 VPN 有 3 种典型的对等网关配置:

  • 一个高可用性 VPN 网关连接到两个独立的对等 VPN 设备,每个设备都有自己的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用两个独立的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用一个 IP 地址

要设置其中任一配置,请参阅创建高可用性 VPN 到对等 VPN 网关

两台对等 VPN 设备

如果您的对等端网关基于硬件,请设置另一个对等端网关以在连接的这一端提供冗余和故障转移。借助第二个物理网关,您可以使其中一个网关离线进行软件升级或执行其他计划性维护。第二个网关还可以充当一台设备发生故障时的保护措施。

在此拓扑中,一个高可用性 VPN 网关连接到两台对等设备。每台对等设备有一个接口和一个外部 IP 地址。高可用性 VPN 网关使用两条隧道,每条隧道连接到一台对等设备。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 TWO_IPS_REDUNDANCY

高可用性 VPN 连接到两台对等(本地)设备(点击放大)
高可用性 VPN 连接到两台对等(本地)设备(点击放大)

一台具有两个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有两个独立的外部 IP 地址。该高可用性 VPN 网关使用两条隧道,每条隧道连接到对等设备上的一个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值也为 TWO_IPS_REDUNDANCY

高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备(点击放大)
高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备(点击放大)

一台具有一个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有一个外部 IP 地址。该高可用性 VPN 网关使用两条隧道,两条隧道都连接到对等设备上的这个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 SINGLE_IP_INTERNALLY_REDUNDANT

高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备(点击放大)
高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备(点击放大)

AWS 对等网关

在配置连接到 Amazon Web Services (AWS) 的高可用性 VPN 外部 VPN 网关时,受支持的拓扑需要两个 AWS 虚拟专用网关 AB,每个网关具有两个外部 IP 地址。此拓扑会在 AWS 中总共生成 4 个外部 IP 地址:A1A2B1B2

  1. 将四个 AWS IP 地址配置为包含 FOUR_IPS_REDUNDANCY 的一个外部高可用性 VPN 网关,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用以下配置在高可用性 VPN 网关上创建四个隧道,以满足 99.99% 的服务等级协议 (SLA):
    • 高可用性 VPN 接口 0 连接到 AWS 接口 0
    • 高可用性 VPN 接口 0 连接到 AWS 接口 1
    • 高可用性 VPN 接口 1 连接到 AWS 接口 2
    • 高可用性 VPN 接口 1 连接到 AWS 接口 3

通过 Amazon Web Services (AWS) 设置高可用性 VPN 的高级配置步骤的概览:

  1. 创建高可用性 VPN 网关和 Cloud Router。此操作将在 GCP 端创建 2 个外部 IP 地址。
  2. 创建两个 AWS 虚拟专用网关。此操作将在 AWS 端创建 4 个外部地址。
  3. 创建两个 AWS 站点到站点 VPN 连接和客户网关,每个 AWS 虚拟专用网关各一个。为每个隧道指定一个不重叠的链路本地隧道 IP 范围,共计 4 个。例如 169.254.1.4/30。
  4. 下载通用设备类型的 AWS 配置文件。
  5. 在高可用性 VPN 网关上创建四个 VPN 隧道。
  6. 使用下载的 AWS 配置文件中的 BGP IP 地址在 Cloud Router 路由器上配置 BGP 会话。

保证 99.99% 的可用性

要满足 Google Cloud 端 SLA 承诺的 99.99% 可用性,每个高可用性 VPN 网关上的接口(共两个)都必须有一条隧道连接到对等网关上的相应接口。

如果对等网关具有两个接口,则配置两条隧道,分别从每个对等接口连接到每个高可用性 VPN 网关接口,以满足 SLA 承诺的 99.99% 可用性要求。全网状配置不需要满足 Google Cloud 端 SLA 承诺的 99.99% 可用性要求。在此情况下,全网状定义为两条隧道,分别从每个高可用性 VPN 接口连接到每个对等网关上的接口,即总共 4 条来自 Google Cloud 端的隧道。请查看对等(本地)VPN 设备的相应文档,或与您的 VPN 供应商联系,确认他们是否建议使用全网状配置。

以下示例提供 99.99% 的可用性:

在此配置中,高可用性 VPN 网关每个接口上的隧道都与对等网关上的相应接口匹配:

  • 高可用性 VPN interface 0 到对等 interface 0
  • 高可用性 VPN interface 1 到对等 interface 1

图中示例显示了两台对等设备、两个接口一台对等设备、两个接口

如果一个对等网关上只有一个对等接口,则每个高可用性 VPN 网关接口的每条隧道都必须连接到这一个对等接口。图中示例显示了一台对等设备、一个接口

以下示例不提供 99.99% 的可用性

  • 高可用性 VPN interface 0 到对等 interface 0
不提供高可用性的拓扑(点击放大)
不提供高可用性的拓扑(点击放大)

Google Cloud 到 Google Cloud 高可用性 VPN 网关

您可使用两个 Google Cloud VPC 网络中的高可用性 VPN 网关将这两个网络连接起来。

Google Cloud 到 Google Cloud 高可用性 VPN 网关(点击放大)
Google Cloud 到 Google Cloud 高可用性 VPN 网关(点击放大)

针对每个高可用性 VPN 网关,您可以考虑创建两条隧道来满足以下两个条件:

  • 一个高可用性 VPN 网关上的 interface 0 到另一个高可用性 VPN 上的 interface 0
  • 一个高可用性 VPN 网关上的 interface 1 到另一个高可用性 VPN 上的 interface 1

要设置此配置,请参阅创建高可用性 VPN 到高可用性 VPN 网关

保证 99.99% 的可用性

要保证高可用性 VPN 到高可用性 VPN 网关的可用性达到 99.99%,这两个网关上的以下接口必须匹配:

  • 高可用性 VPN interface 0 到高可用性 VPN interface 0;以及
  • 高可用性 VPN interface 1 到高可用性 VPN interface 1

后续步骤