Le seguenti best practice possono essere utili durante la pianificazione e la configurazione di Cloud VPN.
Utilizza progetti Google Cloud separati per le risorse di networking
Per semplificare la configurazione dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) quando possibile, mantieni le risorse Cloud VPN e router Cloud in un progetto separato dalle altre risorse Google Cloud.
Routing e failover
Scegli il routing dinamico
Scegli un gateway Cloud VPN che utilizzi il routing dinamico e il protocollo BGP (Border Gateway Protocol). Google consiglia di utilizzare una VPN ad alta disponibilità e di eseguire il deployment di dispositivi on-premise che supportano BGP.
Utilizza la VPN ad alta disponibilità quando possibile
Per ottenere il massimo livello di disponibilità, utilizza la VPN ad alta disponibilità quando possibile.
Per ulteriori informazioni, consulta i tipi di VPN nella panoramica di Cloud VPN.
Scegli la configurazione del tunnel appropriata
Scegli la configurazione del tunnel appropriata in base al numero di tunnel VPN ad alta disponibilità:
Se hai due tunnel VPN ad alta disponibilità, utilizza una configurazione di tunnel attiva/passiva.
Se sono presenti più di due tunnel VPN ad alta disponibilità, utilizza una configurazione di tunnel attiva/attiva.
Per saperne di più, vedi le seguenti sezioni della panoramica di Cloud VPN:
- Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità
- Opzione di routing consigliata
Affidabilità
Configura il gateway VPN peer con una sola crittografia per ogni ruolo di crittografia
Cloud VPN può fungere da iniziatore o da rispondere alle richieste IKE, a seconda dell'origine del traffico quando è necessaria una nuova associazione di sicurezza (SA).
Quando Cloud VPN avvia una connessione VPN, Cloud VPN propone gli algoritmi nell'ordine mostrato nelle tabelle di crittografia supportate per ogni ruolo di crittografia. Il lato peer che riceve la proposta seleziona un algoritmo.
Se il lato peer avvia la connessione, Cloud VPN seleziona una crittografia dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ciascun ruolo di crittografia.
A seconda di quale lato è l'iniziatore o l'autore della risposta, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe anche cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza (SA) durante rotazione della chiave. Poiché una modifica nella selezione della crittografia può influire su caratteristiche importanti del tunnel come le prestazioni o la MTU, assicurati che la selezione della crittografia sia stabile. Per ulteriori informazioni sulla MTU, consulta le considerazioni sulla MTU.
Per evitare modifiche frequenti nella selezione della crittografia, configura il gateway VPN peer in modo da proporre e accettare una sola crittografia per ogni ruolo di crittografia. Questa crittografia deve essere supportata sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di crittografie per ogni ruolo di crittografia. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre la stessa crittografia IKE durante la negoziazione IKE.
Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo da utilizzare la stessa crittografia e i valori di lifetime value IKE di fase 2.
Sicurezza
Configura le regole firewall per i gateway VPN
Crea regole firewall sicure per il traffico che passa su Cloud VPN. Per maggiori informazioni, consulta la panoramica delle regole firewall VPC.
Utilizza chiavi precondivise efficaci
Google consiglia di generare una chiave precondivisa efficace per i tunnel Cloud VPN.
Limitare gli indirizzi IP per i gateway VPN peer
Se limiti gli indirizzi IP che possono essere specificati per un gateway VPN peer, puoi impedire la creazione di tunnel VPN non autorizzati.
Per maggiori informazioni, consulta Limitare gli indirizzi IP per i gateway VPN peer.
Configura la crittografia più efficace sul gateway VPN peer
Quando configuri il gateway VPN peer, scegli la crittografia più efficace per ogni ruolo di crittografia supportato sia dal gateway VPN peer sia da Cloud VPN.
L'ordine delle proposte elencato per Cloud VPN non è in ordine di intensità.
Per un elenco delle crittografie IKE supportate, consulta Crittografia IKE supportate.
Passaggi successivi
- Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta Risoluzione dei problemi.