Las siguientes prácticas recomendadas pueden ser útiles cuando se planifica y configura Cloud VPN.
Usa proyectos de Google Cloud separados para los recursos de herramientas de redes
Para facilitar la configuración de las funciones y los permisos de administración de identidades y accesos (IAM), mantén tus recursos de Cloud VPN y Cloud Router en un proyecto separado de tus otros recursos de Google Cloud, siempre que sea posible.
Enrutamiento y conmutación por error
Elige enrutamiento dinámico
Elige una puerta de enlace de Cloud VPN que use enrutamiento dinámico y el Protocolo de puerta de enlace fronteriza (BGP). Google recomienda usar VPN con alta disponibilidad y, luego, implementar dispositivos locales compatibles con BGP.
Usa VPN con alta disponibilidad siempre que sea posible
Para lograr el nivel más alto de disponibilidad, usa VPN con alta disponibilidad siempre que sea posible.
Para obtener más información, consulta los tipos de VPN en la descripción general de Cloud VPN.
Elige la configuración del túnel adecuada
Elige la configuración de túnel adecuada en función de la cantidad de túneles de VPN con alta disponibilidad:
Si tienes dos túneles VPN con alta disponibilidad, usa una configuración de túnel activa/pasiva.
Si tienes más de dos túneles VPN con alta disponibilidad, usa una configuración de túnel activa/activa.
Para obtener más información, consulta las siguientes secciones en la descripción general de Cloud VPN:
- Opciones de enrutamiento activo/activo y activo/pasivo para VPN con alta disponibilidad
- Opción de enrutamiento recomendada
Confiabilidad
Configura la puerta de enlace de VPN de intercambio de tráfico con solo un algoritmo de cifrado para cada rol de algoritmo de cifrado
Cloud VPN puede actuar como iniciador o como respuesta a las solicitudes de IKE, según el origen del tráfico cuando se necesita una nueva asociación de seguridad (SA).
Cuando Cloud VPN inicia una conexión de VPN, Cloud VPN propone los algoritmos en el orden que se muestra en las tablas de algoritmo de cifrado compatibles para cada rol de cifrado. El lado del intercambio de tráfico que recibe la propuesta selecciona un algoritmo.
Si el lado del intercambio de tráfico inicia la conexión, Cloud VPN selecciona un algoritmo de cifrado de la propuesta mediante el mismo orden que se muestra en la tabla para cada rol de cifrado.
Según el lado con el que inicie o que haya iniciado la respuesta, el algoritmo de cifrado seleccionado puede ser diferente. Por ejemplo, el algoritmo de cifrado seleccionado puede cambiar con el tiempo a medida que se crean asociaciones de seguridad (SA) nuevas durante la rotación de claves. Debido a que un cambio en la selección de cifrado puede afectar las características importantes del túnel, como el rendimiento o la MTU, asegúrate de que la selección del algoritmo de cifrado sea estable. Para obtener más información sobre la MTU, consulta Consideraciones de la MTU.
Evita cambios frecuentes en la selección de cifrado mediante la configuración de la puerta de enlace de VPN de intercambio de tráfico para proponer y aceptar solo un cifrado en cada rol de cifrado. Este algoritmo de cifrado debe ser compatible con Cloud VPN y tu puerta de enlace de VPN de intercambio de tráfico. No proporciones una lista de algoritmos de cifrado para cada rol de cifrado. Esta práctica recomendada garantiza que ambos lados de tu túnel de Cloud VPN siempre seleccionen el mismo cifrado de IKE durante la negociación de IKE.
Para pares de túneles VPN con alta disponibilidad, configura ambos túneles VPN con alta disponibilidad en tu puerta de enlace de VPN de intercambio de tráfico para usar el mismo algoritmo de cifrado y los mismos valores de vida útil de la fase 2.
Seguridad
Configura reglas de firewall para las puertas de enlace de VPN
Crea reglas de firewall seguras para el tráfico que viaja a través de Cloud VPN. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.
Usa claves precompartidas seguras
Google recomienda generar una clave segura precompartida para los túneles de Cloud VPN.
Restringe direcciones IP para puertas de enlace de VPN de intercambio de tráfico
Si restringes las direcciones IP que se pueden especificar para una puerta de enlace de VPN de intercambio de tráfico, puedes evitar que se creen túneles VPN no autorizados.
Si deseas obtener más información, consulta Restringe las direcciones IP para las puertas de enlace de VPN de intercambio de tráfico.
Configura el algoritmo de cifrado más sólido en tu puerta de enlace de VPN de intercambio de tráfico
Cuando configures tu puerta de enlace de VPN de intercambio de tráfico, elige el algoritmo de cifrado más sólido para cada rol de cifrado que admita tu puerta de enlace de VPN de intercambio de tráfico y Cloud VPN.
El orden de propuesta propuesto para Cloud VPN no se ordena según su fuerza.
Para obtener una lista de cifrados de IKE admitidos, consulta Algoritmos de cifrado IKE admitidos.
¿Qué sigue?
- Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
- Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.