Cloud VPN 的最佳做法

在规划和配置 Cloud VPN 时,以下最佳做法非常有用。

将单独的 Google Cloud 项目用于网络资源

为了简化 Identity and Access Management (IAM) 角色和权限的配置,请尽可能将您在项目中的 Cloud VPN 和 Cloud Router 路由器资源与您的其他 Google Cloud 资源分开。

路由和故障切换

选择动态路由

选择使用动态路由和边界网关协议 (BGP) 的 Cloud VPN 网关。Google 建议使用高可用性 VPN 和部署支持 BGP 的本地设备。

尽可能使用高可用性 VPN

为了实现最高可用性,请尽可能使用高可用性 VPN。

如需了解详情,请参阅 Cloud VPN 概览中的 VPN 类型

选择合适的隧道配置

根据高可用性 VPN 隧道的数量选择合适的隧道配置:

  • 如果您有两个高可用性 VPN 隧道,请使用主动/被动隧道配置。

  • 如果您有两个以上的高可用性 VPN 隧道,请使用主动/主动隧道配置。

如需了解详情,请参阅 Cloud VPN 概览中的以下部分:

可靠性

将对等 VPN 网关配置为每个加密角色只有一个加密

Cloud VPN 可以充当 IKE 请求的发起者或响应者,具体取决于需要新的安全关联 (SA) 时的流量来源。

当 Cloud VPN 启动 VPN 连接时,Cloud VPN 会按照支持的加密表中针对每个加密角色显示的顺序提出算法建议。接收建议的对等端会选择一种算法。

如果对等端启动连接,则 Cloud VPN 会使用每个加密角色表中显示的顺序从建议中选择加密方式。

所选加密方式可能因哪一端是发起者或响应者而异。例如,所选加密甚至可能随着时间的推移而改变,因为在密钥轮替期间会创建新的安全关联 (SA)。由于加密选择的更改可能会影响重要的隧道特性(例如性能或 MTU),因此请确保您的加密选择稳定。如需详细了解 MTU,请参阅 MTU 注意事项

为防止频繁更改加密方式,请将对等 VPN 网关配置为针对每个加密角色建议并接受一种加密。Cloud VPN 和对等 VPN 网关都必须支持此加密。请勿为每个加密角色提供加密列表。这种最佳实践可确保 Cloud VPN 隧道的两端在 IKE 协商期间始终选择相同的 IKE 加密方式。

对于高可用性 VPN 隧道对,请在对等 VPN 网关上配置这两个高可用性 VPN 隧道,以使用相同的加密和 IKE 第 2 阶段生命周期值。

安全

为您的 VPN 网关设置防火墙规则

为经由 Cloud VPN 传输的流量创建安全防火墙规则。如需了解详情,请参阅 VPC 防火墙规则概览

使用安全系数高的预共享密钥

Google 建议您为 Cloud VPN 隧道生成安全系数高的预共享密钥

限制对等 VPN 网关的 IP 地址

您可以限制可为对等 VPN 网关指定的 IP 地址,从而阻止创建未经授权的 VPN 隧道。

如需了解详情,请参阅限制对等 VPN 网关的 IP 地址

在对等 VPN 网关上配置最强的加密方式

在配置对等 VPN 网关时,请为对等 VPN 网关和 Cloud VPN 支持的每个加密角色选择最强的加密方式。

针对 Cloud VPN 列出的建议顺序未按强度排序。

如需查看支持的 IKE 加密方式的列表,请参阅支持的 IKE 加密方式

后续步骤

  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查