In questa pagina vengono descritti i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzata nella documentazione di Cloud VPN, consulta termini.
Cloud VPN estende in modo sicuro la tua rete peer ai tuoi una rete Virtual Private Cloud (VPC) tramite IPsec VPN. La VPN connessione cripta il traffico tra le reti, con un gateway VPN che gestisce la crittografia e l'altra che gestisce la decrittografia. Questo processo protegge i dati durante la trasmissione. Puoi anche connettere due reti VPC connettendo le reti connettendo due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico alla rete internet pubblica. per cui è progettato comunicazioni sicure tra reti private.
Scegli una soluzione di networking ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect, o router Cloud, come networking ibrido connessione a Google Cloud, consulta Scegliere una connettività di rete prodotto.
Provalo
Se non hai mai utilizzato Google Cloud, crea un account per valutare in che modo Cloud VPN funziona nel mondo reale diversi scenari. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamentePer migliorare la sicurezza di Dedicated Interconnect Connessione Partner Interconnect, utilizza VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sulla tua Collegamenti VLAN.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN:
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente connettere in modo sicuro la rete on-premise alla rete VPC tramite Connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA del 99,99% o del 99,9% la disponibilità del servizio.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IP esterni, uno per ciascuna interfaccia. Ogni indirizzo IP è scelti automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ciascuno dei Le interfacce dei gateway VPN ad alta disponibilità supportano più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini la VPN ad alta disponibilità gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP per riusarli. Puoi configurare gateway VPN ad alta disponibilità con una sola interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA (accordo sul livello del servizio) per la disponibilità.
Un'opzione per usare la VPN ad alta disponibilità è usare VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, puoi usufruire della sicurezza della crittografia IPsec da Cloud VPN insieme alla maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico Cloud Interconnect per soddisfare i requisiti di sicurezza e conformità dei dati quando ti connetti a provider di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire a Google Cloud informazioni sui gateway VPN peer o sui gateway.
Nella documentazione dell'API e nei comandi gcloud, la VPN ad alta disponibilità
vengono definiti gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità può fornire uno SLA (accordo sul livello del servizio) con disponibilità del 99,99% o del 99,9% a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA (accordi sul livello del servizio) supportati, consulta topologie VPN ad alta disponibilità.
Durante la configurazione della VPN ad alta disponibilità, considera quanto segue linee guida:
Quando connetti un gateway VPN ad alta disponibilità a un altro un gateway VPN ad alta disponibilità, i gateway devono usare di stack. Ad esempio, se crei una VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, l'altro Anche il gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.Configura due tunnel VPN dal punto di vista di Cloud VPN gateway:
- Se hai due dispositivi gateway VPN peer, ciascuno dei tunnel ogni interfaccia sul gateway Cloud VPN deve essere connessa il proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascuna tunnel da ciascuna interfaccia sul gateway Cloud VPN deve collegato alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con una singola interfaccia, entrambi i tunnel da ogni interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con ridondanza adeguata. Il dispositivo il fornitore specifica i dettagli di una configurazione adeguatamente ridondante, potrebbe includere più istanze hardware. Per maggiori dettagli, consulta il fornitore per il dispositivo VPN peer.
Se sono necessari due dispositivi peer, ognuno deve essere connesso a un a un'altra interfaccia gateway VPN ad alta disponibilità. Se il lato peer sia un altro cloud provider come AWS, le connessioni VPN devono essere configurate un'adeguata ridondanza anche sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il protocollo BGP (Border Gateway Protocol) dinamico (BGP).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, che mostra una topologia che include le due interfacce di un Gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità più dettagliate (configurazione per gli scenari correlati, consulta la sezione VPN ad alta disponibilità topologies.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione delle Le VPN ad alta disponibilità sono considerate VPN classica gateway VPN ad alta disponibilità. Per informazioni su come passare dalla VPN classica alla per la VPN ad alta disponibilità, consulta Passa dalla VPN classica alla VPN ad alta disponibilità
A differenza della VPN ad alta disponibilità, la VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano tunnel che usano il routing statico (basato su criteri o route). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per che si connettono a software gateway VPN di terze parti in esecuzione di istanze VM di Google Cloud.
I gateway VPN classica offrono uno SLA (accordo sul livello del servizio) con un servizio del 99,9% la disponibilità del servizio.
I gateway VPN classica non supportano IPv6.
Per le topologie VPN classica supportate, consulta Topologie VPN classica .
Le VPN classiche sono chiamate gateway VPN di destinazione nell'API documentazione e in Google Cloud CLI.
Tabella di confronto
La tabella seguente confronta le funzionalità VPN ad alta disponibilità con Funzionalità della VPN classica.
| Funzionalità | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per ulteriori informazioni, vedi Topologie VPN ad alta disponibilità. | Offre uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di forwarding | Indirizzi IP esterni creati da un pool. senza bisogno di regole di forwarding. | Devi creare indirizzi IP esterni e regole di forwarding. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri e route). Il routing dinamico è supportato solo per i tunnel che si connettono a software gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Non supportata |
| Connetti un gateway Cloud VPN alle VM di Compute Engine con indirizzi IP esterni. | Topologia supportata e consigliata. Per ulteriori informazioni, consulta topologie VPN ad alta disponibilità. | Supportata. |
| Risorse API | È nota come risorsa vpn-gateway. |
È nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportato (configurazione IPv4 e IPv6 a doppio stack) | Non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetti ai requisiti elencati in questa sezione. Non supporta scenari in modalità client-to-gateway. In altre parole, Cloud VPN supportare i casi d'uso in cui i computer client hanno bisogno di connettersi via telefono a una VPN utilizzando il software VPN client.
Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come SSL VPN) non sono supportate.
Cloud VPN può essere utilizzato con reti VPC e legacy reti. Per le reti VPC, consigliamo reti VPC in modalità personalizzata, di avere il controllo completo degli intervalli di indirizzi IP utilizzati subnet nella rete.
VPN classica e gateway VPN ad alta disponibilità usano indirizzi IPv4 esterni (con routing a internet). Solo ESP, UDP 500 e UDP Il traffico 4500 è consentito a questi indirizzi. Vale per gli indirizzi Cloud VPN configurati da te VPN classica o indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP usata dalle subnet nella tua rete VPC, per determinare i conflitti di routing sono stati risolti, consulta Ordine di route.
Il seguente traffico Cloud VPN rimane all'interno dell'ambiente di produzione di Google rete:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classica
- Tra VPN classica o VPN ad alta disponibilità gateway e l'indirizzo IP esterno di una VM di Compute Engine che agisce come Gateway VPN
Cloud VPN può essere utilizzato con l'accesso privato Google per gli ambienti on-premise host. Per ulteriori informazioni, vedi Opzioni di accesso privato per Google Cloud.
Ogni gateway Cloud VPN deve essere connesso a un altro un gateway Cloud VPN o un gateway VPN peer.
Il gateway VPN peer deve avere un IPv4 esterno statico (instradabile su internet) . Questo indirizzo IP è necessario per configurare Cloud VPN.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurare La regola firewall per passare il protocollo ESP (IPsec) e IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce l'indirizzo di rete (NAT), consulta Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento della ripetizione con una finestra di 4096 pacchetti. Tu non possiamo disattivare questa funzionalità.
Cloud VPN supporta il incapsulamento generico del routing (GRE) per via del traffico. Il supporto per GRE ti consente di terminare il traffico GRE su una VM dall' internet (indirizzo IP esterno) e Cloud VPN Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE ti consente di usare i servizi come Secure Access Service Edge (SASE) e SD-WAN Devi creare un firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, al contrario dei tunnel VPN classica.
Larghezza di banda della rete
Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per somma del traffico in entrata e in uscita. A seconda della dimensione media dei pacchetti tunnel, con 250.000 pacchetti al secondo equivalgono a 1 Gbps e 3 Gbit/s di larghezza di banda.
Le metriche correlate a questo limite sono Sent bytes e Received bytes, che
sono descritti in Visualizzare i log
metrics. Tieni presente che
l'unità di misura per le metriche è byte, mentre il limite di 3 Gbps si riferisce a bit per
secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps).
Quando misuri l'utilizzo rispetto al limite, usa la somma di Sent bytes e
Received bytes rispetto al limite convertito di 375 Mbps.
Per informazioni su come creare criteri di avviso, vedi Definire avvisi per Tunnel VPN larghezza di banda larga.
Fattori che influenzano la larghezza di banda
La larghezza di banda è influenzata da diversi fattori, tra cui seguenti:
La connessione di rete tra il gateway Cloud VPN e il peer gateway:
Larghezza di banda della rete tra i due gateway. Se hai stabilito Una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quando il traffico VPN viene inviato nella rete internet pubblica.
Tempo di round trip (RTT) e il pacchetto e una perdita di dati. Velocità elevate di RTT o perdita di pacchetti riducono notevolmente il TCP delle prestazioni.
Funzionalità del gateway VPN peer. Per ulteriori informazioni, vedi documentazione del dispositivo.
Dimensioni della confezione. Cloud VPN utilizza Protocollo IPsec in modalità tunnel, che incapsula e cripta l'intero IP pacchetti in Encapsulating Security Payload (ESP) e poi nell'archiviazione dell'ESP in un secondo pacchetto IP esterno. Di conseguenza, esiste un gateway MTU per i pacchetti incapsulati IPsec e una MTU del payload per i pacchetti. prima e dopo l'incapsulamento IPsec. Per maggiori dettagli, consulta MTU considerazioni.
Tariffa pacchetto. Per il traffico in entrata e in uscita, la velocità massima consigliata per i pacchetti per ogni tunnel Cloud VPN sono previsti 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, dovresti misurarne più di una
per lo stream TCP simultaneo. Se utilizzi iperf
strumento, usa il parametro -P per specificare
di flussi di dati simultanei.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non VPN classica.
Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità, esegui la seguenti:
Usa
IPV6_ONLYoIPV4_IPV6durante la creazione Gateway e tunnel VPN ad alta disponibilità che si connettono Reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste reti possono essere reti on-premise, reti multi-cloud o altre reti VPC.Includi subnet a doppio stack nel tuo Reti VPC abilitate per IPv6. Inoltre, assicurati di assegnare interni IPv6 alle subnet.
La tabella seguente riassume gli indirizzi IP esterni consentiti per ogni stack di gateway VPN ad alta disponibilità.
| Tipo di stack | Indirizzi IP esterni gateway supportati |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Vincoli dei criteri dell'organizzazione per IPv6
Puoi disabilitare la creazione di tutte le risorse ibride IPv6 nel tuo progetto l'impostazione della seguente organizzazione norme su true:
constraints/compute.disableHybridCloudIpv6
Per la VPN ad alta disponibilità, questo impedisce la creazione di gateway VPN ad alta disponibilità a doppio stack e gateway VPN ad alta disponibilità nel progetto.
Tipi di stack e sessioni BGP
I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Stack il tipo di gateway VPN ad alta disponibilità determina quale versione il traffico è consentito nei tunnel VPN ad alta disponibilità.
Quando crei tunnel VPN ad alta disponibilità per uno stack doppio, Gateway VPN ad alta disponibilità, puoi creare una sessione BGP IPv6 per lo scambio di route IPv6 o per una sessione BGP IPv4 che scambia route IPv6 utilizzando BGP multiprotocollo (MP-BGP).
La tabella seguente riassume i tipi di sessioni BGP supportati per ciascuna di stack.
| Tipo di stack | Sessioni BGP supportate | Indirizzi IP esterni del gateway |
|---|---|---|
| stack singolo (solo IPv4) | BGP IPv4, nessun MP-BGP | IPv4 |
| stack singolo (solo IPv6) | BGP IPv6, nessun MP-BGP | IPv6 |
| Dual stack (IPv4 e IPv6) |
|
IPv4 e IPv6 |
Per saperne di più sulle sessioni BGP, consulta Stabilire BGP sessioni del documentazione del router Cloud.
Gateway solo IPv4 a stack singolo
Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato di stack standard e vengono assegnati automaticamente due indirizzi IPv4 esterni.
Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.
Utilizza le seguenti procedure per creare una VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.
- Per la configurazione di un gateway da VPN ad alta disponibilità a VPN peer, consulta Crea una VPN ad alta disponibilità gateway e Crea Sessioni BGP - BGP IPv4 sessioni.
- Per un gateway VPN ad alta disponibilità connesso vedi Creare gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv4 sessioni.
Gateway solo IPv6 a stack singolo
Un gateway VPN ad alta disponibilità solo IPv6 supporta solo il traffico IPv6. Per impostazione predefinita, viene assegnato un gateway VPN ad alta IPv6 due indirizzi IPv6 esterni.
Utilizza le seguenti procedure per creare una VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.
- Per la configurazione di un gateway da VPN ad alta disponibilità a VPN peer, consulta Crea una VPN ad alta disponibilità gateway e Crea Sessioni BGP - BGP IPv6 sessioni.
- Per un gateway VPN ad alta disponibilità connesso vedi Creare gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv6 sessioni.
Gateway IPv4 e IPv6 a doppio stack
Un gateway VPN ad alta disponibilità configurato con lo stack a doppio stack Il tipo di stack (IPv4 e IPv6) può supportare il traffico IPv4 e IPv6.
Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare Router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configuri una sola sessione BGP, puoi abilitare MP-BGP per consentire la sessione per scambiare le route IPv4 e IPv6. Se crei una sessione BGP IPv4 e Sessione BGP IPv6, non puoi abilitare MP-BGP in nessuna delle due sessioni.
Per scambiare le route IPv6 su una sessione BGP IPv4 utilizzando MP-BGP, devi configurare quella sessione con indirizzi dell'hop successivo IPv6. Analogamente, per scambiare le route IPv4 una sessione BGP IPv6 mediante MP-BGP, devi configurare quella sessione con IPv4 degli indirizzi hop. Puoi configurare questi indirizzi dell'hop successivo manualmente o automaticamente.
Se configuri manualmente gli indirizzi dell'hop successivo, devi selezionarli dalla
Intervallo GUA (Global Unicast Address) IPv6 di proprietà di Google
2600:2d00:0:2::/63,
o dall'intervallo di indirizzi locali rispetto al collegamento IPv4 169.254.0.0./16. Questi IP
gli intervalli di indirizzi vengono preallocati da Google. Gli indirizzi IP dell'hop successivo selezionati
deve essere univoco tra tutti i router Cloud all'interno del tuo VPC
in ogni rete.
Se selezioni la configurazione automatica, Google Cloud seleziona l'hop successivo gli indirizzi IP.
Utilizza le seguenti procedure per creare VPN ad alta disponibilità a doppio stack e a tutte le sessioni BGP supportate.
- Sessioni BGP IPv4, con o senza MP-BGP
- .
- Per un gateway VPN ad alta disponibilità connesso a un gateway VPN peer vedi Creare un gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv4 sessioni.
- Per un gateway VPN ad alta disponibilità connesso per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare VPN ad alta disponibilità gateway e Crea sessioni BGP - BGP IPv4 sessioni.
- Sessioni BGP IPv6, con o senza MP-BGP
- .
- Per un gateway VPN ad alta disponibilità connesso a un gateway VPN peer vedi Creare un gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv6 sessioni.
- Per un gateway VPN ad alta disponibilità connesso per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare VPN ad alta disponibilità gateway e Crea sessioni BGP - BGP IPv6 sessioni.
- Sessioni BGP IPv4 e IPv6
- .
- Per un gateway VPN ad alta disponibilità connesso a un gateway VPN peer vedi Creare un gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv4 e BGP IPv6 sessioni.
- Per un gateway VPN ad alta disponibilità connesso per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare VPN ad alta disponibilità gateway e Crea sessioni BGP - BGP IPv4 e IPv6 sessioni.
Supporto IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 mediante una chiave precondivisa IKE (segreto condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando creare il tunnel Cloud VPN, specificare una chiave precondivisa. Quando crei nel tunnel presso il gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in tunnel con autenticazione, ma non supporta AH o ESP nei trasporti .
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue filtri correlati ai criteri sulle chiamate in entrata di autenticazione esistenti. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurate sul gateway Cloud VPN.
Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta Generare una chiave precondivisa efficace. chiave precondivisa. Per crittografie di configurazione supportati da Cloud VPN, vedi Ike supportati crittografie.
IKE e rilevamento di peer morti
Cloud VPN supporta il rilevamento dei peer morti (DPD), secondo la DPD Protocollo sezione di RFC 3706
Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD all'indirizzo in qualsiasi momento, secondo lo standard RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. La un tunnel VPN non integro a sua volta causa la rimozione delle route che usano questo tunnel come hop successivo (route BGP o route statiche) che attiva un failover del traffico delle VM verso con altri tunnel VPN integri.
L'intervallo DPD non è configurabile in Cloud VPN.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, vedi UDP dell'incapsulamento nel menu panoramica.
Cloud VPN come rete per il trasferimento di dati
Prima di utilizzare Cloud VPN, leggi attentamente la Sezione 2 della Guida Termini di servizio di Google Cloud.
Tramite Network Connectivity Center, puoi utilizzare tunnel VPN ad alta disponibilità per connettere reti on-premise e trasferire il traffico tra di loro come una rete per il trasferimento dei dati. Ti connetti le reti collegando una coppia di tunnel a un Network Connectivity Center per ogni località on-premise. Poi collegherai ogni spoke a un Hub Network Connectivity Center.
Per ulteriori informazioni su Network Connectivity Center, consulta Network Connectivity Center Panoramica.
Supporto Bring Your Own IP (BYOIP)
Per informazioni sull'utilizzo di indirizzi BYOIP con Cloud VPN, vedi Assistenza per indirizzi BYOIP.
Opzioni di routing attivo-attivo e attivo-passivo per VPN ad alta disponibilità
Se un tunnel Cloud VPN si arresta, si riavvia automaticamente. Se un errore nel dispositivo VPN virtuale, Cloud VPN crea automaticamente un'istanza nuova con la stessa configurazione. La nuova connessione tra gateway e tunnel automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare (BGP). A seconda del modo in cui configuri le priorità delle route ad alta disponibilità, puoi creare un progetto configurazione del routing attivo-passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente mette a confronto le caratteristiche di un modello attivo-attivo o attivo-passivo configurazione del routing.
| Funzionalità | Attivo-attivo | Attivo-passivo |
|---|---|---|
| Velocità effettiva | La velocità effettiva aggregata effettiva è la velocità effettiva combinata in entrambi i tunnel. | Dopo aver ridotto da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, il che può comportare la connettività è più lenta o la perdita di pacchetti. |
| Annuncio percorso | Il gateway peer annuncia la rete peer route con valori del discriminatore di uscita multipla (MED) identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nel tuo una rete VPC con priorità identiche. Il traffico in uscita inviato alla rete peer utilizza instradamento ECMP (equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per: pubblicizzi le route alla tua rete VPC. Il tuo collega gateway usa ECMP per utilizzare queste route per inviare messaggi in uscita a Google Cloud. |
Il gateway peer annuncia le route della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nel tuo rete VPC con priorità diverse. Traffico in uscita inviato a la rete peer utilizza la route con la priorità più alta, purché quando è disponibile il tunnel associato. Uguale Il router Cloud utilizza priorità diverse per ogni tunnel per pubblicizzi le route alla tua rete VPC. Il tuo collega Il gateway può utilizzare solo il tunnel con la massima priorità per inviare a Google Cloud. |
| Failover | Se il tunnel non è integro, ad esempio perché DPD è il router Cloud ritira le route apprese la cui successiva e gli hop sono il tunnel non disponibile. Se si verifica un'inattività di una sessione BGP, il router Cloud rimuove il cui hop successivo è il tunnel non disponibile, senza causare non è integro. La procedura di recesso può richiedere 40-60 secondi, durante il quale è prevista la perdita di pacchetti. |
Se il tunnel non è integro, ad esempio perché DPD è il router Cloud ritira le route apprese la cui successiva e gli hop sono il tunnel non disponibile. Se si verifica un'inattività di una sessione BGP, il router Cloud rimuove il cui hop successivo è il tunnel non disponibile, senza causare non è integro. Il processo di recesso può richiedere da 40 a 60 durante i quali è prevista la perdita di pacchetti. Utilizza un massimo di un tunnel alla volta, in modo che il secondo tunnel possa gestire tutte larghezza di banda in uscita se si verifica un errore del primo tunnel e ne è necessario eseguire il failover. |
Routing attivo-passivo in topologie full mesh
Se il router Cloud riceve lo stesso prefisso con valori MED diversi attraverso una determinata interfaccia Cloud VPN, importa solo la route con la massima priorità alla rete VPC. Gli altri percorsi non attivi non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta diventa non disponibile, il router Cloud lo ritira e importa automaticamente il percorso migliore successivo rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile creare route in modo che una parte del traffico ne attraversi un tunnel, mentre l'altra ne attraversa un'altra tunnel a causa delle priorità delle route (valori MED). Analogamente, puoi regolare priorità utilizzata dal router Cloud per condividere il VPC route di rete. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attivi-attivi né puramente attivi-passivi.
Opzione di routing consigliata
Se utilizzi un singolo gateway VPN ad alta disponibilità, consigliamo di usare una la configurazione del routing attivo-passivo. Con questa configurazione, la capacità della larghezza di banda al momento del normale funzionamento del tunnel corrisponde alla larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione degli per più gateway descritti in precedenza.
Se utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione del routing attiva-attiva. Con questa configurazione, la capacità di larghezza di banda al momento del normale funzionamento del tunnel è il doppio di quella e la capacità di larghezza di banda massima. Tuttavia, questa configurazione esegue il provisioning dei tunnel e può causare una perdita di traffico in caso di failover.
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
Se sei un amministratore dei criteri dell'organizzazione
(roles/orgpolicy.policyAdmin),
puoi creare un vincolo di criterio che limita gli indirizzi IP che gli utenti
che puoi specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica e VPN ad alta disponibilità in uno specifico un progetto, una cartella o un'organizzazione.
Per la procedura che descrive come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia le tue reti VPC, la connettività ibrida da e verso reti on-premise e le metriche associate. Puoi visualizzare i gateway e i tunnel VPN Cloud VPN come entità vista Network Topology.
Un'entità di base è il livello più basso di una particolare gerarchia e rappresenta un'entità risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un Network Topology aggrega tutte le entità di base in la gerarchia di primo livello.
Ad esempio, Network Topology aggrega i tunnel VPN nella VPN una connessione al gateway. Puoi visualizzare la gerarchia espandendo o comprimindo Icone del gateway VPN.
Per ulteriori informazioni, consulta Network Topology Panoramica.
Manutenzione e disponibilità
Cloud VPN è sottoposto a manutenzione periodica. Durante la manutenzione, I tunnel Cloud VPN vengono scollegati, con conseguenti brevi cali delle traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN ristabilita automaticamente.
La manutenzione di Cloud VPN è una normale attività operativa che può verificarsi in qualsiasi momento e senza preavviso. I periodi di manutenzione sono progettati per essere brevi in modo da non influire sullo SLA di Cloud VPN.
La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, vedi pagina delle topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per ridondanza e velocità effettiva elevata vedi le topologie VPN classica .
Best practice
Per creare Cloud VPN in modo efficace, utilizza queste best practice.
Passaggi successivi
Per usare scenari con disponibilità elevata e velocità effettiva elevata o su più subnet vedi Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo per Cloud VPN, consulta Risoluzione dei problemi.
Scopri di più sulle topologie consigliate per VPN ad alta disponibilità.