As práticas recomendadas a seguir podem ajudar no planejamento e configuração do Cloud VPN.
Usar projetos separados do Google Cloud para recursos de rede
Para facilitar a configuração dos papéis e das permissões de gerenciamento de identidade e acesso (IAM, na sigla em inglês) sempre que possível, mantenha os recursos do Cloud VPN e do Cloud Router em um projeto separado dos outros recursos do Google Cloud.
Roteamento e failover
Escolher o roteamento dinâmico
Escolha um gateway do Cloud VPN que use roteamento dinâmico e o Border Gateway Protocol (BGP). Recomendamos usar a VPN de alta qualidade e implantar dispositivos locais compatíveis com o BGP.
Use a VPN de alta disponibilidade sempre que possível
Para conseguir o mais alto nível de disponibilidade, use a VPN de alta disponibilidade sempre que possível.
Para mais informações, consulte tipos de VPN na visão geral do Cloud VPN.
Escolher a configuração de túnel apropriada
Escolha a configuração de túnel apropriada com base no número de túneis de VPN de alta disponibilidade:
Se você tiver dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/passiva.
Se você tiver mais de dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/ativa.
Para mais informações, consulte as seguintes seções na visão geral do Cloud VPN:
- Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade
- Opção de roteamento recomendada
Confiabilidade
Configurar o gateway de VPN de peering com apenas uma criptografia para cada papel de criptografia
O Cloud VPN pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança (SA, na sigla em inglês) é necessária.
Quando o Cloud VPN inicia uma conexão VPN, o Cloud VPN propõe os algoritmos na ordem mostrada nas tabelas de criptografia compatíveis para cada papel de criptografia. O par que recebe a proposta seleciona um algoritmo.
Se o peering iniciar a conexão, o Cloud VPN selecionará uma criptografia da proposta usando a mesma ordem mostrada na tabela para cada papel de criptografia.
Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo, à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves. Como uma mudança na seleção de criptografia pode afetar as características importantes do túnel, como o desempenho ou a MTU, verifique se sua seleção de criptografia está estável. Para ver mais informações sobre MTU, consulte Considerações sobre MTU.
Para evitar alterações frequentes na seleção de criptografia, configure o gateway da VPN de peering para propor e aceitar apenas uma criptografia para cada papel de criptografia. Essa criptografia precisa ser aceita pelo Cloud VPN e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel do Cloud VPN sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.
Para pares de túneis de VPN de alta disponibilidade, configure os dois túneis de VPN de alta disponibilidade no gateway de VPN de peering para usar os mesmos valores de vida útil de criptografia e fase IKE 2.
Segurança
Configurar regras de firewall para os gateways de VPN
Crie regras de firewall seguras para o tráfego transmitido pelo Cloud VPN. Para mais informações, consulte a visão geral das regras de firewall da VPC.
Usar chaves pré-compartilhadas fortes
Recomendamos gerar uma chave pré-compartilhada forte para os túneis do Cloud VPN.
Restringir endereços IP para os gateways de VPN de peering
Ao restringir quais endereços IP podem ser especificados para um gateway de VPN de peering, é possível impedir a criação de túneis VPN não autorizados.
Para mais informações, consulte Restringir endereços IP para gateways de VPN de peering.
Configurar a criptografia mais forte no gateway de VPN de peering
Ao configurar o gateway de VPN de peering, escolha a criptografia mais forte para cada papel de criptografia compatível com o gateway de VPN de peering e com o Cloud VPN.
A ordem da proposta listada para o Cloud VPN não é determinada pela força.
Para ver uma lista das criptografias IKE aceitas, consulte Criptografias IKE compatíveis.
A seguir
- Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.