Práticas recomendadas para a Cloud VPN

As seguintes práticas recomendadas podem ser úteis no planeamento e na configuração da VPN na nuvem.

Use Google Cloud projetos separados para recursos de rede

Para facilitar a configuração das funções e das autorizações da gestão de identidade e de acesso (IAM), sempre que possível, mantenha os recursos do Cloud VPN e do Cloud Router num projeto separado dos seus outros Google Cloud recursos.

Encaminhamento e comutação por falha

Escolha o planeamento de trajetos dinâmico

Escolha um gateway de VPN do Google Cloud que use o encaminhamento dinâmico e o Border Gateway Protocol (BGP). A Google recomenda a utilização de uma VPN de HA e a implementação de dispositivos no local que suportem o BGP.

Maximize a disponibilidade do Cloud VPN

Para alta disponibilidade e um melhor SLA, use a VPN de HA com BGP. Se a sua configuração exigir rotas estáticas, use a VPN clássica.

Para mais informações, consulte os tipos de VPN na vista geral da VPN na nuvem.

Escolha a configuração de túnel adequada

Escolha a configuração de túnel adequada com base no número de túneis de VPN de alta disponibilidade:

• Se tiver dois túneis de VPN de HA, use uma configuração de túnel ativo/passivo.

• Se tiver mais de dois túneis de VPN de HA, use uma configuração de túnel ativo/ativo.

Para mais informações, consulte as seguintes secções na vista geral da VPN do Google Cloud:

• Opções de encaminhamento ativo/ativo e ativo/passivo para a VPN de HA
• Opção de planeamento de trajeto recomendada

Fiabilidade

Configure o gateway de VPN de intercâmbio com apenas uma cifra para cada função de cifra

A VPN na nuvem pode atuar como iniciador ou respondente a pedidos IKE, dependendo da origem do tráfego quando é necessária uma nova associação de segurança.

Quando o Cloud VPN inicia uma ligação VPN, propõe os algoritmos de cifragem configurados no túnel do Cloud VPN. Se não tiver configurado os algoritmos de cifragem ([Pré-visualização](https://cloud.google.com/products#product-launch-stages)), o túnel da Cloud VPN propõe os algoritmos de cifragem pela ordem apresentada nas tabelas de cifragem suportadas para cada função de cifragem. O lado de par que recebe a proposta seleciona um algoritmo.

Se o lado de pares iniciar a ligação, o Cloud VPN seleciona uma cifra da proposta usando a mesma ordem que foi configurada ou apresentada na tabela para cada função de cifra.

Dependendo de qual dos lados é o iniciador ou o respondedor, a cifra selecionada pode ser diferente. Por exemplo, a cifra selecionada pode até mudar ao longo do tempo à medida que são criadas novas associações de segurança (ASs) durante a rotação de chaves. Uma vez que uma alteração na seleção de cifras pode afetar características importantes do túnel, como o desempenho ou a MTU, use uma seleção de cifras estável. Para mais informações sobre a MTU, consulte Considerações sobre a MTU.

Para evitar alterações frequentes na seleção de cifras, configure o gateway de VPN paritário e o túnel do Cloud VPN para propor e aceitar apenas uma cifra para cada função de cifra. Esta cifra tem de ser suportada pelo Cloud VPN e pelo gateway de VPN do seu par. Não forneça uma lista de cifras para cada função de cifra. Esta prática recomendada garante que ambos os lados do túnel de VPN do Google Cloud selecionam sempre a mesma cifra IKE durante a negociação IKE.

O Cloud Location Finder ajuda a identificar as regiões Google Cloud e as zonas mais próximas das suas localizações físicas em todo o mundo. Ao usar o Cloud Location Finder, pode tomar decisões informadas sobre a Google Cloud região na qual implementar os gateways da Cloud VPN, o que pode otimizar a latência, a localização geográfica e a utilização de energia de carbono. Para mais informações, consulte a documentação do Cloud Location Finder.

Para pares de túneis de VPN de alta disponibilidade, configure ambos os túneis de VPN de alta disponibilidade no seu gateway de VPN de pares para usar os mesmos valores de cifra e de tempo de vida da fase 2 do IKE.

Segurança

Configure regras de firewall para os seus gateways de VPN

Crie regras de firewall seguras para o tráfego que viaja através da Cloud VPN. Para mais informações, consulte a vista geral das regras da firewall da VPC.

Use chaves pré-partilhadas fortes

A Google recomenda que gere uma chave pré-partilhada forte para os seus túneis de VPN do Cloud.

Restrinja os endereços IP dos seus gateways de VPN de intercâmbio

Ao restringir os endereços IP que podem ser especificados para um gateway de VPN de pares, pode impedir a criação de túneis de VPN não autorizados.

Para mais informações, consulte o artigo Restrinja endereços IP para gateways de VPN de pares.

Configure a cifra mais forte no seu gateway de VPN de intercâmbio

Ao configurar o gateway de VPN de intercâmbio, escolha a cifra mais forte para cada função de cifra suportada pelo gateway de VPN de intercâmbio e pelo Cloud VPN.

A ordem da proposta apresentada para a VPN do Google Cloud não está ordenada por intensidade.

Para ver uma lista das cifras IKE suportadas, consulte o artigo Cifras IKE suportadas.

O que se segue?

• Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
• Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.