高可用性 VPN 拓扑

利用 Cloud VPN,您的本地主机可通过一个或多个 IPsec VPN 隧道,与您项目的 VPC 网络中的 Compute Engine 虚拟机 (VM) 实例通信。

本页面介绍了推荐用于高可用性 VPN 的拓扑。如需了解传统 VPN 拓扑,请参阅传统 VPN 拓扑。如需详细了解 Cloud VPN(包括这两种 VPN 类型),请参阅 Cloud VPN 概览

如需了解本页面中所用术语的定义,请参阅关键术语

概览

高可用性 VPN 支持采用下列推荐拓扑或配置方案之一的站点到站点 VPN。如需确定要使用的相应配置方案,请咨询您的对等 VPN 网关供应商:

  • 一个高可用性 VPN 网关连接到多台对等 VPN 设备。从高可用性 VPN 网关的角度考虑,以下拓扑需要两个 VPN 隧道。如要确定哪种拓扑最为合适,请咨询您的对等 VPN 网关供应商。
    • 一个高可用性 VPN 网关连接到两台独立的对等 VPN 设备,每台对等设备都有自己的外部 IP 地址
    • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备具有两个独立的外部 IP 地址
    • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备具有一个外部 IP 地址
  • 一个高可用性 VPN 网关连接到一个 Amazon Web Services (AWS) 虚拟专用网关,这是一种具有 4 个接口的对等网关配置。
  • 两个高可用性 VPN 网关相互连接

支持 99.99% 可用性的配置

为了保证高可用性 VPN 连接的可用性达到 99.99%,请在高可用性 VPN 网关或其他高可用性 VPN 网关中正确配置两个或四个隧道

正确配置是指,VPN 隧道必须通过连接高可用性 VPN 网关的所有接口以及对等 VPN 网关或其他高可用性 VPN 网关的所有接口,来提供足够的冗余。

以下各部分介绍了如何在 VPN 连接的两端均配置隧道以确保 99.99% 的可用性。

为高可用性 VPN 配置更多带宽

高可用性 VPN 增加带宽的首选方法是进行扩缩。如要扩缩您的高可用性 VPN 网关,请执行以下操作:

请对网关进行扩容,而不要在现有高可用性 VPN 网关的每个接口上部署多个连接隧道(蝴蝶结配置)。

您可以将多个高可用性 VPN 网关连接到同一个对等 VPN 网关(外部 VPN 网关资源),前提是后者拥有 Cloud VPN 配额和限制所允许数量的额外隧道。

以下示例显示了一个使用以下 Google Cloud 资源且吞吐量为 10 Gbps 的高可用性 VPN 网关:

  • 1 个 Cloud Router 路由器
  • 4 个高可用性 VPN 网关,每个网关有两条隧道,即总共 8 条 VPN 隧道
  • 共 8 个 BGP 会话

此配置假定 BGP 会话采用主动/被动 MED 配置(分别连接到每个网关上的 interface 0interface 1)。也就是说,4 条 interface 0 隧道为主动模式,4 条 interface 1 隧道为被动模式。

每个 Cloud VPN 隧道最多支持 3 Gbps 的入站流量和出站流量。在这种情况下,3 Gbps 是最大带宽,只能通过理想的流量模式来实现;通常,我们可以确保每个隧道具有 2.5 Gbps 的带宽。因此,计算结果为 4 * 2.5 = 10 Gbps。如需了解详情,请参阅网络带宽

高可用性 VPN 到对等 VPN 网关

高可用性 VPN 有 3 种典型的对等网关配置:

  • 一个高可用性 VPN 网关连接到两个独立的对等 VPN 设备,每个设备都有自己的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用两个独立的 IP 地址
  • 一个高可用性 VPN 网关连接到一台对等 VPN 设备,该设备使用一个 IP 地址

如需设置其中任一配置,请参阅创建高可用性 VPN 到对等 VPN 网关

两台对等 VPN 设备

如果您的对等端网关基于硬件,请设置另一个对等端网关以在连接的这一端提供冗余和故障转移。借助第二个物理网关,您可以使其中一个网关离线进行软件升级或执行其他计划性维护。如果您的其中一台设备出现故障,该方法还可以为您提供保护。

在此拓扑中,一个高可用性 VPN 网关连接到两台对等设备。每台对等设备有一个接口和一个外部 IP 地址。高可用性 VPN 网关使用两条隧道,每条隧道连接到一台对等设备。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 TWO_IPS_REDUNDANCY

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到两台对等(本地)设备。
高可用性 VPN 连接到两台对等(本地)设备(点击放大)

一台具有两个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有两个独立的外部 IP 地址。该高可用性 VPN 网关使用两条隧道,每条隧道连接到对等设备上的一个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 TWO_IPS_REDUNDANCY

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备。
高可用性 VPN 连接到一台具有两个 IP 地址的对等(本地)设备(点击放大)

一台具有一个 IP 地址的对等 VPN 设备

该拓扑描述了一个高可用性 VPN 网关连接到一台对等设备,该设备具有一个外部 IP 地址。该高可用性 VPN 网关使用两条隧道,两条隧道都连接到对等设备上的这个外部 IP 地址。

在 Google Cloud 中,此配置的 REDUNDANCY_TYPE 值为 SINGLE_IP_INTERNALLY_REDUNDANT

以下示例提供 99.99% 的可用性。

高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备。
高可用性 VPN 连接到一台具有一个 IP 地址的对等(本地)设备(点击放大)

保证 99.99% 的可用性

如需满足 Google Cloud 端 SLA 承诺的 99.99% 可用性,每个高可用性 VPN 网关上的接口(共两个)都必须有一条隧道连接到对等网关上的相应接口。

如果对等网关具有两个接口,则配置两条隧道,分别从每个对等接口连接到每个高可用性 VPN 网关接口,以满足 SLA 承诺的 99.99% 可用性要求。全网状配置不需要满足 Google Cloud 端 SLA 承诺的 99.99% 可用性要求。在此情况下,全网状定义为两条隧道,分别从每个高可用性 VPN 接口连接到每个对等网关上的两个接口,即总共 4 条来自 Google Cloud 端的隧道。如要确认您的 VPN 供应商是否推荐全网配置,请参阅对等(本地)VPN 设备的相应文档,或与您的 VPN 供应商联系。

在具有两个对等接口的配置中,高可用性 VPN 网关每个接口上的隧道都与对等网关上的相应接口匹配:

  • 高可用性 VPN interface 0 到对等 interface 0
  • 高可用性 VPN interface 1 到对等 interface 1

图中示例显示了两台对等设备、两个接口一台对等设备、两个接口

如果一个对等网关上只有一个对等接口,则每个高可用性 VPN 网关接口的每条隧道都必须连接到这一个对等接口。请参阅一台对等设备、一个接口的图表。

以下示例不提供 99.99% 的可用性

  • 高可用性 VPN interface 0 到对等 interface 0
不提供高可用性的拓扑。
不提供高可用性的拓扑(点击放大)

高可用性 VPN 到 AWS 对等网关

在配置连接到 Amazon Web Services (AWS) 的高可用性 VPN 外部 VPN 网关时,您可以使用传输网关或虚拟专用网关。只有传输网关支持等价多路径 (ECMP) 路由。启用后,ECMP 将在活跃隧道中平均分配流量。受支持的拓扑需要两个 AWS 站点到站点 VPN 连接(AB),每个连接有两个外部 IP 地址。此拓扑会在 AWS 中生成 4 个外部 IP 地址:A1A2B1B2

  1. 将四个 AWS IP 地址配置为包含 FOUR_IPS_REDUNDANCY 的一个外部高可用性 VPN 网关,其中:
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 使用以下配置在高可用性 VPN 网关上创建四个隧道,以满足 99.99% 的 SLA:
    • 高可用性 VPN interface 0 到 AWS interface 0
    • 高可用性 VPN interface 0 到 AWS interface 1
    • 高可用性 VPN interface 1 到 AWS interface 2
    • 高可用性 VPN interface 1 到 AWS interface 3

通过 AWS 设置高可用性 VPN:

  1. 在 Google Cloud 中,在您所需的区域中创建高可用性 VPN 网关和 Cloud Router 路由器。此动作会创建两个外部 IP 地址,每个网关接口一个。记录外部 IP 地址,以供下一步使用。
  2. 在 AWS 中,使用以下命令创建两个客户网关:
    • 动态路由选项
    • Cloud Router 路由器的 Google ASN
    • Google Cloud 高可用性 VPN 网关 interfaces 01 的外部 IP 地址
  3. 完成与您所用的 AWS VPN 选项相对应的步骤:
    • 传输网关
      1. 为第一个客户网关 (interface 0) 创建传输网关 VPN 连接,并使用动态路由选项。
      2. 为第二个客户网关 (interface 1) 重复上一步。
    • 虚拟专用网关
      1. 使用下列方法,为第一个客户网关 (interface 0) 创建站点到站点 VPN 连接
        • 虚拟专用网关目标网关类型
        • 动态路由选项
      2. 为第二个客户网关 (interface 1) 重复上一步。
  4. 为您创建的两个连接下载 AWS 配置文件。这些文件包含此过程中后续步骤所需的信息,其中包括预共享身份验证密钥、外部隧道 IP 地址,以及内部隧道 IP 地址。
  5. 在 Google Cloud 中,执行以下操作:
    1. 使用在上一步中下载的文件中的 AWS 外部 IP 地址,创建一个带有四个接口的全新对等 VPN 网关。
    2. 在您在第 1 步中创建的高可用性 VPN 网关上创建四个 VPN 隧道。对于每个隧道,请使用下载的 AWS 配置文件中的信息,使用相应的对等 VPN 网关接口和预共享密钥来配置高可用性 VPN 网关接口。
    3. 使用下载的 AWS 配置文件中的 BGP IP 地址在 Cloud Router 路由器上配置 BGP 会话。

Google Cloud 网络之间的高可用性 VPN

您可使用两个 Google Cloud VPC 网络中的高可用性 VPN 网关将这两个网络连接起来。以下示例提供 99.99% 的可用性。

Google Cloud 网络之间的高可用性 VPN 网关。
Google Cloud 网络之间的高可用性 VPN 网关(点击可放大)

针对每个高可用性 VPN 网关,您可以考虑创建两条隧道来满足以下两个条件:

  • 一个高可用性 VPN 网关上的 interface 0 到另一个高可用性 VPN 上的 interface 0
  • 一个高可用性 VPN 网关上的 interface 1 到另一个高可用性 VPN 上的 interface 1

如需设置此配置,请参阅创建两个相互连接的完全配置的高可用性 VPN 网关

保证 99.99% 的可用性

如需保证高可用性 VPN 到高可用性 VPN 网关的可用性达到 99.99%,这两个网关上的以下接口必须匹配:

  • 高可用性 VPN interface 0 到高可用性 VPN interface 0;以及
  • 高可用性 VPN interface 1 到高可用性 VPN interface 1

后续步骤

  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查