Questa pagina descrive i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzata nella documentazione di Cloud VPN, consulta termini.
Cloud VPN estende in modo sicuro la rete peer alla rete Virtual Private Cloud (VPC) tramite una connessione VPN IPsec . La connessione VPN cripta il traffico tra le reti, con un gateway VPN che gestisce la crittografia e l'altro la decrittografia. Questo processo protegge i tuoi dati durante la trasmissione. Puoi anche connettere due reti VPC connettendo le reti connettendo due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico verso internet pubblico, in quanto è progettata per la comunicazione sicura tra reti private.
Scegliere una soluzione di rete ibrida
Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect, o router Cloud, come networking ibrido connessione a Google Cloud, consulta Scegliere una connettività di rete prodotto.
Provalo
Se non hai mai utilizzato Google Cloud, crea un account per valutare in che modo Cloud VPN funziona nel mondo reale diversi scenari. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Prova Cloud VPN gratuitamentePer migliorare la sicurezza di Dedicated Interconnect Connessione Partner Interconnect, utilizza VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sulla tua Collegamenti VLAN.
Tipi di Cloud VPN
Google Cloud offre due tipi di gateway Cloud VPN:
VPN ad alta disponibilità
La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA con una disponibilità del servizio del 99,99% o del 99,9%.
Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IP esterni, uno per ogni interfaccia. Ogni indirizzo IP è scelti automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ciascuno dei Le interfacce dei gateway VPN ad alta disponibilità supportano più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP affinché possano essere riutilizzati. Puoi configurare gateway VPN ad alta disponibilità con una sola interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA (accordo sul livello del servizio) per la disponibilità.
Un'opzione per utilizzare la VPN ad alta disponibilità è la VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, puoi usufruire della sicurezza della crittografia IPsec di Cloud VPN insieme all'aumento della capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico di Cloud Interconnect per soddisfare i requisiti di conformità e sicurezza dei dati quando ti connetti a fornitori di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire a Google Cloud informazioni sui tuoi gateway VPN peer.
Nella documentazione dell'API e nei comandi gcloud, la VPN ad alta disponibilità
vengono definiti gateway VPN anziché gateway VPN di destinazione.
Non è necessario creare regole di forwarding per i gateway VPN ad alta disponibilità.
La VPN ad alta disponibilità può fornire uno SLA di disponibilità del 99,99% o del 99,9%, a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA supportati, consulta Topologie VPN ad alta disponibilità.
Durante la configurazione della VPN ad alta disponibilità, tieni conto delle seguenti linee guida:
Quando connetti un gateway VPN ad alta disponibilità a un altro un gateway VPN ad alta disponibilità, i gateway devono usare di stack. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack
IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato suIPV4_IPV6.Configura due tunnel VPN dal punto di vista del gateway VPN cloud:
- Se hai due dispositivi gateway VPN peer, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
- Se hai un singolo dispositivo gateway VPN peer con un'unica interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.
Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Per maggiori dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.
Se sono necessari due dispositivi peer, ognuno deve essere connesso a un a un'altra interfaccia gateway VPN ad alta disponibilità. Se il lato peer sia un altro cloud provider come AWS, le connessioni VPN devono essere configurate un'adeguata ridondanza anche sul lato AWS.
Il dispositivo gateway VPN peer deve supportare il routing dinamico Border Gateway Protocol (BGP).
Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, che mostra una topologia che include le due interfacce di un Gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità (scenari di configurazione) più dettagliate, consulta le topologie VPN ad alta disponibilità.
Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
VPN classica
Tutti i gateway Cloud VPN creati prima dell'introduzione delle Le VPN ad alta disponibilità sono considerate VPN classica gateway VPN ad alta disponibilità. Per informazioni su come passare dalla VPN classica alla per la VPN ad alta disponibilità, consulta Passa dalla VPN classica alla VPN ad alta disponibilità
A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano i tunnel che utilizzano il routing statico (in base alle norme o ai percorsi). Puoi anche configurare il routing dinamico (BGP) per la VPN classica, ma solo per che si connettono a software gateway VPN di terze parti in esecuzione di istanze VM di Google Cloud.
I gateway VPN classici forniscono uno SLA con una disponibilità del servizio del 99,9%.
I gateway VPN classica non supportano IPv6.
Per le topologie VPN classica supportate, consulta Topologie VPN classica .
Le VPN classiche sono indicate come gateway VPN di destinazione nella documentazione dell'API e nella CLI di Google Cloud.
Tabella di confronto
La tabella seguente confronta le funzionalità VPN ad alta disponibilità con Funzionalità della VPN classica.
| Funzionalità | VPN ad alta disponibilità | VPN classica |
|---|---|---|
| SLA | Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per ulteriori informazioni, vedi Topologie VPN ad alta disponibilità. | Fornisce uno SLA del 99,9%. |
| Creazione di indirizzi IP esterni e regole di forwarding | Indirizzi IP esterni creati da un pool. senza bisogno di regole di forwarding. | Devono essere creati indirizzi IP esterni e regole di inoltro. |
| Opzioni di routing supportate | Solo routing dinamico (BGP). | Routing statico (basato su criteri, basato su route). Il routing dinamico è supportato solo per i tunnel che si connettono a software gateway VPN di terze parti in esecuzione su istanze VM di Google Cloud. |
| Due tunnel da un gateway Cloud VPN allo stesso gateway peer | Supportato | Non supportata |
| Connetti un gateway Cloud VPN alle VM Compute Engine con indirizzi IP esterni. | Topologia supportata e consigliata. Per ulteriori informazioni, consulta topologie VPN ad alta disponibilità. | Supportata. |
| Risorse API | Nota come risorsa vpn-gateway. |
È nota come risorsa target-vpn-gateway. |
| Traffico IPv6 | Supportato (configurazione IPv4 e IPv6 a doppio stack) | Non supportata |
Specifiche
Cloud VPN ha le seguenti specifiche:
Cloud VPN supporta solo la connettività VPN IPsec site-to-site, soggetti ai requisiti elencati in questa sezione. Non supporta gli scenari client-to-gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client devono "collegarsi" a una VPN utilizzando un software VPN client.
Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come SSL VPN) non sono supportate.
Cloud VPN può essere utilizzato con reti VPC e legacy reti. Per le reti VPC, consigliamo reti VPC in modalità personalizzata, di avere il controllo completo degli intervalli di indirizzi IP utilizzati subnet nella rete.
VPN classica e gateway VPN ad alta disponibilità usano indirizzi IPv4 esterni (con routing a internet). Per questi indirizzi è consentito solo il traffico ESP, UDP 500 e UDP 4500. Questo vale per gli indirizzi VPN Cloud configurati per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.
Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP usata dalle subnet nella tua rete VPC, per determinare i conflitti di routing sono stati risolti, consulta Ordine di route.
Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:
- Tra due gateway VPN ad alta disponibilità
- Tra due gateway VPN classici
- Tra VPN classica o VPN ad alta disponibilità gateway e l'indirizzo IP esterno di una VM di Compute Engine che agisce come Gateway VPN
Cloud VPN può essere utilizzato con l'accesso privato Google per gli ambienti on-premise host. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.
Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.
Il gateway VPN peer deve avere un IPv4 esterno statico (instradabile su internet) . Per configurare Cloud VPN, hai bisogno di questo indirizzo IP.
- Se il gateway VPN peer è protetto da una regola firewall, devi configurare la regola firewall in modo che trasferisca il traffico del protocollo ESP (IPsec) e IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce l'indirizzo di rete (NAT), consulta Incapsulamento UDP e NAT-T.
Cloud VPN richiede che il gateway VPN peer sia configurato supportare la preframmentazione. I pacchetti devono essere frammentati prima di essere incapsulati.
Cloud VPN utilizza il rilevamento di replay con una finestra di 4096 pacchetti. Tu non possiamo disattivare questa funzionalità.
Cloud VPN supporta il incapsulamento generico del routing (GRE) per via del traffico. Il supporto di GRE ti consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e da Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE ti consente di usare i servizi come Secure Access Service Edge (SASE) e SD-WAN Devi creare una regola del firewall per consentire il traffico GRE.
I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, al contrario dei tunnel VPN classica.
Larghezza di banda della rete
Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per somma del traffico in entrata e in uscita. A seconda delle dimensioni medie dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a una larghezza di banda compresa tra 1 e 3 Gbps.
Le metriche correlate a questo limite sono Sent bytes e Received bytes, che
sono descritti in Visualizzare i log
delle metriche. Tieni presente che
l'unità di misura per le metriche è byte, mentre il limite di 3 Gbps si riferisce a bit per
secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps).
Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e
Received bytes rispetto al limite convertito di 375 MB/s.
Per informazioni su come creare criteri di avviso, consulta Definire avvisi per la larghezza di banda del tunnel VPN.
Fattori che influenzano la larghezza di banda
La larghezza di banda è influenzata da una serie di fattori, tra cui:
La connessione di rete tra il gateway Cloud VPN e il gateway peer:
Larghezza di banda della rete tra i due gateway. Se hai stabilito Una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quando il traffico VPN viene inviato nella rete internet pubblica.
Tempo di round trip (RTT) e perdita di pacchetti. Un RTT elevato o tassi di perdita di pacchetti riducono notevolmente le prestazioni del TCP.
Funzionalità del gateway VPN peer. Per ulteriori informazioni, vedi documentazione del dispositivo.
Dimensioni della confezione. Cloud VPN utilizza il protocollo IPsec in modalità tunnel, incapsulando e criptando interi pacchetti IP in ESP (Encapsulating Security Payload) e poi memorizzando i dati ESP in un secondo pacchetto IP esterno. Di conseguenza, esiste sia un MTU del gateway per i pacchetti incapsulati IPsec sia un MTU del carico utile per i pacchetti prima e dopo l'incapsulamento IPsec. Per maggiori dettagli, consulta MTU considerazioni.
Tariffa pacchetto. Per l'ingresso e l'uscita, la frequenza massima consigliata per ogni tunnel VPN Cloud è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.
Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un
flusso TCP simultaneo. Se utilizzi lo strumento iperf, utilizza il parametro -P per specificare il numero di stream simultanei.
Supporto IPv6
Cloud VPN supporta IPv6 nella VPN ad alta disponibilità, ma non VPN classica.
Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità, segui questi passaggi:
Usa
IPV6_ONLYoIPV4_IPV6durante la creazione Gateway e tunnel VPN ad alta disponibilità che si connettono Reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste reti possono essere reti on-premise, reti multicloud o altre reti VPC.Includi subnet a doppio stack nel tuo Reti VPC abilitate per IPv6. Inoltre, assicurati di assegnare interni IPv6 alle subnet.
La tabella seguente riassume gli indirizzi IP esterni consentiti per ogni tipo di stack del gateway VPN ad alta disponibilità.
| Tipo di stack | Indirizzi IP esterni del gateway supportati |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Vincoli dei criteri dell'organizzazione per IPv6
Puoi disabilitare la creazione di tutte le risorse ibride IPv6 nel tuo progetto l'impostazione della seguente organizzazione norme su true:
constraints/compute.disableHybridCloudIpv6
Per la VPN ad alta disponibilità, questo impedisce la creazione di gateway VPN ad alta disponibilità a doppio stack e gateway VPN ad alta disponibilità nel progetto.
Tipi di stack e sessioni BGP
I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Il tipo di impilamento di un gateway VPN ad alta disponibilità determina quale versione del traffico IP è consentita nei tunnel VPN ad alta disponibilità.
Quando crei i tunnel VPN ad alta disponibilità per un gateway VPN ad alta disponibilità a doppio stack, puoi creare una sessione BGP IPv6 per lo scambio di route IPv6 o una sessione BGP IPv4 che scambia route IPv6 utilizzando BGP multiprotocollo (MP-BGP).
La tabella seguente riassume i tipi di sessioni BGP supportati per ciascun tipo di stack.
| Tipo di stack | Sessioni BGP supportate | Indirizzi IP esterni del gateway |
|---|---|---|
| Stack singolo (solo IPv4) | BGP IPv4, nessun MP-BGP | IPv4 |
| Stack singolo (solo IPv6) | BGP IPv6, nessun MP-BGP | IPv6 |
| Doppio stack (IPv4 e IPv6) |
|
IPv4 e IPv6 |
Per ulteriori informazioni sulle sessioni BGP, consulta Creare sessioni BGP nella documentazione di Cloud Router.
Gateway solo IPv4 a stack singolo
Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato di stack standard e vengono assegnati automaticamente due indirizzi IPv4 esterni.
Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per un gateway VPN ad alta disponibilità connesso vedi Creare gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv4 sessioni.
Gateway solo IPv6 a stack singolo
Un gateway VPN ad alta disponibilità solo IPv6 supporta solo il traffico IPv6. Per impostazione predefinita, viene assegnato un gateway VPN ad alta IPv6 due indirizzi IPv6 esterni.
Utilizza le seguenti procedure per creare una VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.
- Per la configurazione di un gateway da VPN ad alta disponibilità a VPN peer, consulta Crea una VPN ad alta disponibilità gateway e Crea Sessioni BGP - BGP IPv6 sessioni.
- Per un gateway VPN ad alta disponibilità connesso vedi Creare gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv6 sessioni.
Gateway IPv4 e IPv6 a doppio stack
Un gateway VPN ad alta disponibilità configurato con il tipo di stack a doppio (IPv4 e IPv6) può supportare sia il traffico IPv4 che IPv6.
Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare Router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configuri una sola sessione BGP, puoi attivare MP-BGP per consentire a quella sessione di scambiare route IPv4 e IPv6. Se crei una sessione BGP IPv4 e una sessione BGP IPv6, non puoi attivare MP-BGP in nessuna delle due sessioni.
Per scambiare le route IPv6 su una sessione BGP IPv4 utilizzando MP-BGP, devi configurare quella sessione con indirizzi dell'hop successivo IPv6. Analogamente, per scambiare route IPv4 in una sessione BGP IPv6 utilizzando MP-BGP, devi configurare la sessione con indirizzi di hop successivo IPv4. Puoi configurare questi indirizzi di hop successivo manualmente o automaticamente.
Se configuri manualmente gli indirizzi dell'hop successivo, devi selezionarli dalla
Intervallo GUA (Global Unicast Address) IPv6 di proprietà di Google
2600:2d00:0:2::/63,
o dall'intervallo di indirizzi locali rispetto al collegamento IPv4 169.254.0.0./16. Questi intervalli di indirizzi IP sono preallocati da Google. Gli indirizzi IP di hop successivo selezionati devono essere univoci in tutti i router Cloud all'interno della rete VPC.
Se selezioni la configurazione automatica, Google Cloud seleziona l'hop successivo gli indirizzi IP.
Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità dual-stack e tutte le sessioni BGP supportate.
- Sessioni BGP IPv4, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità con un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv4.
- Sessioni BGP IPv6, con o senza MP-BGP
- Per la configurazione di un gateway VPN ad alta disponibilità con un gateway VPN peer, consulta Creare un gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare i gateway VPN ad alta disponibilità e Creare sessioni BGP - Sessioni BGP IPv6.
- Sessioni BGP IPv4 e IPv6
- Per un gateway VPN ad alta disponibilità connesso a un gateway VPN peer vedi Creare un gateway VPN ad alta disponibilità e Creare BGP sessioni - BGP IPv4 e BGP IPv6 sessioni.
- Per un gateway VPN ad alta disponibilità connesso per la configurazione di un gateway VPN ad alta disponibilità, consulta Creare VPN ad alta disponibilità gateway e Crea sessioni BGP - BGP IPv4 e IPv6 sessioni.
Supporto di IPsec e IKE
Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave IKE precondivisa (segreto condiviso) e le crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando creare il tunnel Cloud VPN, specificare una chiave precondivisa. Quando crei nel tunnel presso il gateway peer, specifica la stessa chiave precondivisa.
Cloud VPN supporta ESP in tunnel con autenticazione, ma non supporta AH o ESP nei trasporti di Google.
Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.
Cloud VPN non esegue il filtraggio in base alle norme sui pacchetti di autenticazione in entrata. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.
Per le linee guida sulla creazione di una chiave precondivisa efficace, consulta Generare una chiave precondivisa efficace. chiave precondivisa. Per le crittografie e i parametri di configurazione supportati da Cloud VPN, consulta Crittografie IKE supportate.
IKE e rilevamento di peer morti
Cloud VPN supporta il rilevamento dei peer morti (DPD), secondo la DPD Protocollo sezione di RFC 3706
Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD in qualsiasi momento, in base a RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. Il tunnel VPN non funzionante causa a sua volta la rimozione delle route che utilizzano questo tunnel come hop successivo (route BGP o statiche), attivando un failover del traffico VM su altri tunnel VPN funzionanti.
L'intervallo DPD non è configurabile in Cloud VPN.
Incapsulamento UDP e NAT-T
Per informazioni su come configurare il dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, vedi UDP dell'incapsulamento nel menu panoramica.
Cloud VPN come rete di trasferimento dati
Prima di utilizzare Cloud VPN, leggi attentamente la Sezione 2 della Guida Termini di servizio di Google Cloud.
Tramite Network Connectivity Center, puoi utilizzare tunnel VPN ad alta disponibilità per connettere reti on-premise e trasferire il traffico tra di loro come una rete per il trasferimento dei dati. Collega le reti collegando una coppia di tunnel a uno spoke di Network Connectivity Center per ogni sede on-premise. Poi collegherai ogni spoke a un Hub Network Connectivity Center.
Per ulteriori informazioni su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
Supporto Bring Your Own IP (BYOIP)
Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, consulta Supporto per gli indirizzi BYOIP.
Opzioni di routing attivo/attivo e attivo/passivo per la VPN ad alta disponibilità
Se un tunnel Cloud VPN si arresta, si riavvia automaticamente. Se un errore nel dispositivo VPN virtuale, Cloud VPN crea automaticamente un'istanza nuova con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare (BGP). A seconda del modo in cui configuri le priorità delle route ad alta disponibilità, puoi creare un progetto configurazione del routing attivo-passivo. Per entrambe le configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente mette a confronto le funzionalità di una configurazione di routing attiva/attiva o attiva/passiva.
| Funzionalità | Attivo-attivo | Attiva-passiva |
|---|---|---|
| Velocità effettiva | La larghezza di banda aggregata effettiva è la larghezza di banda combinata di entrambi i tunnel. | Dopo aver ridotto da due tunnel attivi a uno, la velocità effettiva complessiva effettiva viene dimezzata, il che può comportare la connettività è più lenta o la perdita di pacchetti. |
| Annuncio percorso | Il gateway peer annuncia la rete peer route con valori MED (Multi-exit discriminator) identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella rete VPC con priorità identiche. Il traffico in uscita inviato alla rete peer utilizza instradamento ECMP (equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per: pubblicizzi le route alla tua rete VPC. Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico in uscita a Google Cloud. |
Il gateway peer pubblicizza i percorsi della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel VPN Cloud importa queste route come route dinamiche personalizzate nella rete VPC con priorità diverse. Il traffico in uscita inviato alla rete peer utilizza la route con la priorità più alta, a condizione che il tunnel associato sia disponibile. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per annunciarle alla rete VPC. Il gateway peer può utilizzare solo il tunnel con la priorità più alta per inviare traffico a Google Cloud. |
| Failover | Se il tunnel non è più in stato operativo, ad esempio perché DPD è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un arresto anomalo della sessione BGP, Cloud Router rimuove le route acquisite i cui hop successivi sono il tunnel non disponibile, senza causare un malfunzionamento del tunnel. La procedura di recesso può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. |
Se il tunnel non è più in stato operativo, ad esempio perché DPD è attivo, il router Cloud ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un'inattività di una sessione BGP, il router Cloud rimuove il cui hop successivo è il tunnel non disponibile, senza causare non è integro. La procedura di recesso può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. Utilizza un massimo di un tunnel alla volta, in modo che il secondo tunnel possa gestire tutte larghezza di banda in uscita se si verifica un errore del primo tunnel e ne è necessario eseguire il failover. |
Routing attivo/passivo nelle topologie a maglia completa
Se il router Cloud riceve lo stesso prefisso con valori MED diversi attraverso una determinata interfaccia Cloud VPN, importa solo la route con la massima priorità alla rete VPC. Gli altri percorsi inattivi non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se il percorso con la priorità più alta non è disponibile, Cloud Router lo ritira e importa automaticamente il percorso migliore successivo nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile creare route in modo che parte del traffico attraversi un tunnel e l'altra parte un altro tunnel a causa delle priorità delle route (valori MED). Analogamente, puoi regolare priorità utilizzata dal router Cloud per condividere il VPC route di rete. Queste situazioni mostrano possibili configurazioni di routing che non sono né puramente attivi-attivi né puramente attivi-passivi.
Opzione di routing consigliata
Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità della larghezza di banda osservata durante il normale funzionamento del tunnel corrisponde alla capacità della larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile gestisci perché il limite di larghezza di banda osservato rimane costante, ad eccezione degli per più gateway descritti in precedenza.
Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attiva/attiva. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel è il doppio della capacità di larghezza di banda massima. Tuttavia, questa configurazione sottostima i tunnel e può causare la perdita di traffico in caso di failover.
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
Se sei un Amministratore dei criteri dell'organizzazione
(roles/orgpolicy.policyAdmin),
puoi creare un vincolo dei criteri che limiti gli indirizzi IP che gli utenti
possono specificare per i gateway VPN peer.
La limitazione si applica a tutti i tunnel VPN Cloud, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.
Per la procedura che descrive come limitare gli indirizzi IP, vedi Limitare gli indirizzi IP per i gateway VPN peer.
Visualizzazione e monitoraggio delle connessioni Cloud VPN
Network Topology è uno strumento di visualizzazione che mostra la topologia le tue reti VPC, la connettività ibrida da e verso reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella visualizzazione Topologia di rete.
Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse tramite una rete. La topologia di rete aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di topologia di rete, vengono aggregate tutte le entità di base nella gerarchia di primo livello.
Ad esempio, la topologia di rete aggrega i tunnel VPN nella connessione del gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimindo Icone del gateway VPN.
Per ulteriori informazioni, consulta Network Topology Panoramica.
Manutenzione e disponibilità
Cloud VPN è sottoposto a manutenzione periodica. Durante la manutenzione, I tunnel Cloud VPN vengono scollegati, con conseguenti brevi cali delle traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono reintegrati automaticamente.
La manutenzione di Cloud VPN è una normale attività operativa che può verificarsi in qualsiasi momento e senza preavviso. I periodi di manutenzione sono progettati per essere sufficientemente brevi in modo che lo SLA Cloud VPN non venga interessato.
La VPN ad alta disponibilità è il metodo consigliato per configurare VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina Topologie VPN ad alta disponibilità. Se utilizzi la VPN classica per opzioni di ridondanza e throughput elevato, consulta la pagina Topologie VPN classica.
Best practice
Per creare Cloud VPN in modo efficace, utilizza queste best practice.
Passaggi successivi
Per usare scenari con disponibilità elevata e velocità effettiva elevata o su più subnet vedi Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.
Scopri di più sulle topologie consigliate per la VPN ad alta disponibilità.