本页面介绍 Cloud VPN 的相关概念。如需了解 Cloud VPN 文档中使用的术语定义,请参阅关键术语。
Cloud VPN 通过 IPsec VPN 连接,将您的对等网络安全地扩展到虚拟私有云 (VPC) 网络。VPN 连接会对网络之间传输的流量进行加密,其中一个 VPN 网关处理加密,另一个网关处理解密。此过程可以保护传输中的数据。您还可以通过连接两个 Cloud VPN 实例将两个 VPC 网络连接在一起。您无法使用 Cloud VPN 将流量路由到公共互联网;它专为专用网络之间的安全通信而设计。
选择混合网络解决方案
如需确定是使用 Cloud VPN、专用互连、合作伙伴互连还是 Cloud Router 来与 Google Cloud 进行混合网络连接,请参阅选择网络连接产品。
自行试用
如果您是 Google Cloud 新手,请创建一个账号来评估 Cloud VPN 在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
免费试用 Cloud VPN如需增强专用互连或合作伙伴互连连接的安全性,请使用通过 Cloud Interconnect 实现的高可用性 VPN。此解决方案通过 VLAN 连接建立加密的高可用性 VPN 隧道。
Cloud VPN 的类型
Google Cloud 提供了两种类型的 Cloud VPN 网关:
高可用性 VPN
高可用性 VPN 是一种高可用性 (HA) Cloud VPN 解决方案,可让您通过 IPsec VPN 连接将您的本地网络安全地连接到 VPC 网络。根据拓扑和配置,高可用性 VPN 可提供服务可用性达 99.99% 或 99.9% 的服务等级协议 (SLA)。
当您创建高可用性 VPN 网关时,Google Cloud 会自动选择两个外部 IPv4 地址,每个接口对应一个地址。每个 IPv4 地址都是从唯一地址池中自动选取的,以支持高可用性。每个高可用性 VPN 网关接口都支持多个隧道。您也可以创建多个高可用性 VPN 网关。删除高可用性 VPN 网关时,Google Cloud 会释放 IP 地址以供重复使用。您可以将高可用性 VPN 网关配置为只有一个活动接口和一个外部 IP 地址;但是,此配置不提供可用性服务等级协议 (SLA)。
使用高可用性 VPN 的一个方法是使用通过 Cloud Interconnect 实现的高可用性 VPN。借助通过 Cloud Interconnect 实现的高可用性 VPN,不但可获享 Cloud VPN 提供的 IPsec 加密的安全性,还可增加 Cloud Interconnect 的容量。此外,由于您使用的是 Cloud Interconnect,因此网络流量永远不会遍历公共互联网。如果您使用合作伙伴互连,则必须向 Cloud Interconnect 流量添加 IPsec 加密,以满足在连接到第三方提供商时的数据安全性和合规性要求。 高可用性 VPN 使用 Google Cloud 中的外部 VPN 网关资源向 Google Cloud 提供有关您的对等 VPN 网关或其它网关的信息。
在 API 文档和 gcloud
命令中,高可用性 VPN 网关称为 VPN 网关,而不是目标 VPN 网关。您无需为高可用性 VPN 网关创建任何转发规则。
根据拓扑或配置场景,高可用性 VPN 可提供服务可用性达 99.99% 或 99.9% 的服务等级协议 (SLA)。如需详细了解高可用性 VPN 拓扑以及支持的服务等级协议 (SLA),请参阅高可用性 VPN 拓扑。
设置高可用性 VPN 时,请考虑以下准则:
将一个高可用性 VPN 网关连接到另一个高可用性 VPN 网关时,这两个网关必须使用相同的 IP 堆栈类型。例如,如果您创建了一个使用栈类型
IPV4_IPV6
的高可用性 VPN 网关,那么另一个高可用性 VPN 网关也必须设置为IPV4_IPV6
。从 Cloud VPN 网关的角度配置两个 VPN 隧道:
- 如果您有两个对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到自己的对等网关。
- 如果您有一个包含两个接口的对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到对等网关上相应隧道自己的接口。
- 如果您有一个包含单个接口的对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的两个隧道都必须连接到对等网关上的相同接口。
对等 VPN 设备必须配置有足够的冗余。设备供应商会指定足够冗余配置的详细信息,其中可能包含多个硬件实例。如需了解详情,请参阅对等 VPN 设备的供应商文档。
如果需要两个对等设备,则每个对等设备都必须连接到不同高可用性 VPN 网关接口。如果对等方是 AWS 等其他云提供商,则 VPN 连接还必须在 AWS 端配置有足够的冗余。
您的对等 VPN 网关设备必须支持动态边界网关协议 (BGP) 路由。
下图演示了高可用性 VPN 概念,其中显示了一个拓扑,该拓扑包含连接到两个对等 VPN 网关的高可用性 VPN 网关的两个接口。如需详细了解高可用性 VPN 拓扑(配置场景),请参阅高可用性 VPN 拓扑。
传统 VPN
在引入高可用性 VPN 之前创建的所有 Cloud VPN 网关均被视为传统 VPN 网关。如需了解如何从传统 VPN 迁移到高可用性 VPN,请参阅从传统 VPN 迁移到高可用性 VPN。
相比高可用性 VPN,传统 VPN 网关具有单个接口、单个外部 IP 地址,并支持使用静态路由(基于政策或基于路由)的隧道。您还可以为传统 VPN 配置动态路由 (BGP),但仅适用于连接到 Google Cloud 虚拟机实例上运行的第三方 VPN 网关软件的隧道。
传统 VPN 网关提供服务可用性达 99.9% 的服务等级协议 (SLA)。
传统 VPN 网关不支持 IPv6。
对于受支持的传统 VPN 拓扑,请参阅“传统 VPN 拓扑”页面。
在 API 文档和 Google Cloud CLI 中,传统 VPN 被称为目标 VPN 网关。
对照表
下表比较了高可用性 VPN 功能与传统 VPN 功能。
特征 | 高可用性 VPN | 传统 VPN |
---|---|---|
服务等级协议 | 为大多数拓扑提供承诺 99.99% 可用性的服务等级协议,但有一些例外情况。如需了解详情,请参阅高可用性 VPN 拓扑。 | 提供了 99.9% 的 SLA。 |
创建外部 IP 地址和转发规则 | 从池创建的外部 IP 地址;无需转发规则。 | 必须创建外部 IP 地址和转发规则。 |
支持的路由选项 | 仅限动态路由 (BGP)。 | 静态路由(基于政策、基于路由)。只有连接到 Google Cloud 虚拟机实例上运行的第三方 VPN 网关软件的隧道才支持动态路由。 |
从一个 Cloud VPN 网关到相同对等网关的两条隧道 | 支持 | 不支持 |
将 Cloud VPN 网关连接到具有外部 IP 地址的 Compute Engine 虚拟机。 | 支持和推荐的拓扑。如需了解详情,请参阅高可用性 VPN 拓扑。 | 受支持。 |
API 资源 | 称为 vpn-gateway 资源。 |
称为 target-vpn-gateway 资源。 |
IPv6 流量 | 支持(双堆栈 IPv4 和 IPv6 配置) | 不支持 |
规格
Cloud VPN 具有以下规范:
Cloud VPN 仅支持站点到站点的 IPsec VPN 连接,具体取决于本部分中列出的要求。它不支持客户端到网关的方案。换句话说,Cloud VPN 不支持客户端计算机需要使用客户端 VPN 软件“拨号加入”VPN 的使用场景。
Cloud VPN 仅支持 IPsec,不支持其他 VPN 技术(例如 SSL VPN)。
Cloud VPN 可与 VPC 网络和旧式网络搭配使用。对于 VPC 网络,我们建议使用自定义模式 VPC 网络,以便您可以完全控制网络中子网使用的 IP 地址范围。
传统 VPN 和高可用性 VPN 网关使用外部(可通过互联网路由)IPv4 地址。这些地址仅允许 ESP、UDP 500 和 UDP 4500 流量。此规则既适用于为传统 VPN 手动配置的 Cloud VPN 地址,也适用于为高可用性 VPN 自动分配的 IP 地址。
如果本地子网的 IP 地址范围与 VPC 网络中子网所使用的 IP 地址重叠,请参阅路由顺序,确定路由冲突的解决方式。
以下 Cloud VPN 流量保留在 Google 的生产网络中:
- 两个高可用性 VPN 网关之间
- 两个传统 VPN 网关之间
- 传统 VPN 或高可用性 VPN 网关与充当 VPN 网关的 Compute Engine 虚拟机的外部 IP 地址之间
Cloud VPN 可与本地主机的专用 Google 访问通道搭配使用。如需了解详情,请参阅服务的专用访问通道选项。
每个 Cloud VPN 网关都必须连接到另一个 Cloud VPN 网关或对等 VPN 网关。
对等 VPN 网关必须具有静态外部(可通过互联网路由)IPv4 地址。您需要使用此 IP 地址来配置 Cloud VPN。
- 如果您的对等 VPN 网关受防火墙规则保护,则必须配置防火墙规则,使 ESP (IPsec) 协议和 IKE(UDP 500 和 UDP 4500)流量可以传送至该网关。如果防火墙规则提供网络地址转换 (NAT),请参阅 UDP 封装和 NAT-T。
Cloud VPN 要求将对等 VPN 网关配置为支持预分段。数据包必须先分段,然后再封装。
Cloud VPN 使用窗口大小为 4096 个数据包的重放检测。您无法关闭此检测。
Cloud VPN 支持通用路由封装 (GRE) 流量。对 GRE 的支持使您可以从互联网(外部 IP 地址)和 Cloud VPN 或 Cloud Interconnect(内部 IP 地址)终止虚拟机上的 GRE 流量。然后,解封的流量将被转发到可达目标。GRE 可让您使用安全访问服务边缘 (SASE) 和 SD-WAN 等服务。您必须创建防火墙规则才能允许 GRE 流量。
高可用性 VPN 隧道支持 IPv6 流量交换,但传统 VPN 隧道不提供此项支持。
网络带宽
每个 Cloud VPN 隧道最多支持 25 万个数据包/秒(入站流量和出站流量的总和)。根据隧道的平均数据包大小,每秒 25 万个数据包相当于 1 Gbps 到 3 Gbps 之间的带宽。
与此限制相关的指标是 Sent bytes
和 Received bytes
,查看日志和指标中介绍了这些指标。请注意,指标的单位是字节,而 3 Gbps 上限是指每秒位数。转换为字节时,上限为 375 MB/秒 (MBps)。根据上限衡量用量时,请使用 Sent bytes
和 Received bytes
的总和,与转换后的上限 375 MBps 相比较。
如需了解如何创建提醒政策,请参阅定义 VPN 隧道带宽提醒。
影响带宽的因素
实际带宽取决于以下几个因素:
Cloud VPN 网关与对等网关之间的网络连接:
两个网关之间的网络带宽:如果您已与 Google 建立直接对等互连关系,则相较于通过公共互联网发送 VPN 流量,此吞吐量更高。
往返时间 (RTT) 和丢包率:RTT 或丟包率过高会大大降低 TCP 的性能。
对等 VPN 网关的功能:如需了解详情,请参阅设备的文档。
数据包大小:Cloud VPN 在隧道模式下使用 IPsec 协议,在 Extensible Service Proxy (ESP) 中封装和加密整个 IP 数据包,然后将 ESP 数据存储在第二个外部 IP 数据包中。因此,IPsec 封装数据包有网关 MTU,IPsec 封装前后的数据包有载荷 MTU。如需了解详情,请参阅 MTU 注意事项。
数据包速率:对于入站流量和出站流量,建议每个 Cloud VPN 隧道的最大数据包速率为每秒 250,000 个数据包 (pps)。如果您需要以更高的速率发送数据包,则必须创建更多的 VPN 隧道。
在测量 VPN 隧道的 TCP 带宽时,您应当测量多个同时进行的 TCP 流。如果您使用的是 iperf
工具,请使用 -P
参数指定同时进行的流数量。
IPv6 支持
Cloud VPN 支持高可用性 VPN 中的 IPv6,但不支持传统 VPN 中的 IPv6。
如需支持高可用性 VPN 隧道中的 IPv6 流量,请执行以下操作:
创建将启用 IPv6 的 VPC 网络与其他启用 IPv6 的网络连接的高可用性 VPN 网关和隧道时,请使用
IPV6_ONLY
(预览版)或IPV4_IPV6
栈类型。这些网络可以是本地网络、多云网络或其他 VPC 网络。在启用了 IPv6 的 VPC 网络中添加双栈子网。此外,请务必为子网分配内部 IPv6 范围。
下表汇总了高可用性 VPN 网关的每种栈类型允许的外部 IP 地址。
堆栈类型 | 支持的网关外部 IP 地址 |
---|---|
IPV4_ONLY | IPv4 |
IPV4_IPV6 | IPv4,IPv6 |
IPV6_ONLY(预览版) | IPv6 |
IPv6 的组织政策限制条件
您可以通过将以下组织政策设置为 true 来禁止在项目中创建所有 IPv6 混合资源:
constraints/compute.disableHybridCloudIpv6
对于高可用性 VPN,这会阻止在项目中创建任何双栈高可用性 VPN 网关和仅限 IPv6 的高可用性 VPN 网关(预览版)。
栈类型和 BGP 会话
高可用性 VPN 网关支持不同的栈类型。高可用性 VPN 网关的栈类型决定了高可用性 VPN 隧道中允许的 IP 流量版本。
为双栈高可用性 VPN 网关创建高可用性 VPN 隧道时,您可以创建 IPv6 BGP 会话以用于 IPv6 路由交换,也可以创建使用多协议 BGP (MP-BGP) 交换 IPv6 路由的 IPv4 BGP 会话。
下表汇总了每种栈类型支持的 BGP 会话类型。
堆栈类型 | 支持的 BGP 会话 | 网关外部 IP 地址 |
---|---|---|
单栈(仅 IPv4) | IPv4 BGP,不使用 MP-BGP | IPv4 |
双栈(IPv4 和 IPv6) |
|
IPv4 |
如需详细了解 BGP 会话,请参阅 Cloud Router 路由器文档中的建立 BGP 会话。
仅限 IPv4 的单栈网关
默认情况下,高可用性 VPN 网关会分配有仅 IPv4 栈类型,并自动分配有两个外部 IPv4 地址。
仅限 IPv4 的高可用性 VPN 网关只能支持 IPv4 流量。
按照以下过程创建仅限 IPv4 的高可用性 VPN 网关和 IPv4 BGP 会话。
- 对于高可用性 VPN 到对等 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 BGP 会话。
- 对于高可用性 VPN 到高可用性 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 BGP 会话。
双栈 IPv4 和 IPv6 网关
配置了双栈(IPv4 和 IPv6)栈类型的高可用性 VPN 网关可以同时支持 IPv4 和 IPv6 流量。
对于双栈高可用性 VPN 网关,您可以使用 IPv4 BGP 会话和/或 IPv6 BGP 会话来配置 Cloud Router 路由器。如果您仅配置一个 BGP 会话,则可以启用 MP-BGP 以允许该会话同时交换 IPv4 和 IPv6 路由。如果您创建 IPv4 BGP 会话和 IPv6 BGP 会话,则无法在任一会话上启用 MP-BGP。
如需使用 MP-BGP 在 IPv4 BGP 会话上交换 IPv6 路由,您必须使用 IPv6 下一个跃点地址配置该会话。同样,如需使用 MP-BGP 在 IPv6 BGP 会话上交换 IPv4 路由,您必须使用 IPv4 下一个跃点地址配置该会话。您可以手动或自动配置这些下一个跃点地址。
如果您手动配置下一个跃点地址,则必须从 Google 拥有的 IPv6 全球单播地址 (GUA) 范围 2600:2d00:0:2::/63
或 IPv4 链路本地地址范围 169.254.0.0./16
中选择相应地址。这些 IP 地址范围由 Google 预先分配。您选择的下一个跃点 IP 地址在 VPC 网络中的所有 Cloud Router 路由器之间必须唯一。
如果您选择自动配置,则 Google Cloud 会为您选择下一个跃点 IP 地址。
按照以下过程创建双栈高可用性 VPN 网关和所有支持的 BGP 会话。
- IPv4 BGP 会话,无论是否使用 MP-BGP
- 对于高可用性 VPN 网关到对等 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 BGP 会话。
- 对于高可用性 VPN 网关到高可用性 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 BGP 会话。
- IPv6 BGP 会话,无论是否使用 MP-BGP
- 对于高可用性 VPN 网关到对等 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv6 BGP 会话。
- 对于高可用性 VPN 网关到高可用性 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv6 BGP 会话。
- IPv4 和 IPv6 BGP 会话
- 对于高可用性 VPN 网关到对等 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 BGP 和 IPv6 BGP 会话。
- 对于高可用性 VPN 网关到高可用性 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv4 和 IPv6 BGP 会话。
仅限 IPv6 的单栈网关
默认情况下,高可用性 VPN 网关会分配有仅 IPv6(预览版)栈类型,并自动分配有两个外部 IPv6 地址。
仅限 IPv6(预览版)的高可用性 VPN 网关只能支持 IPv6 流量。
按照以下过程创建仅限 IPv6 的高可用性 VPN 网关和 IPv6 BGP 会话。
- 对于高可用性 VPN 到对等 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv6 BGP 会话。
- 对于高可用性 VPN 到高可用性 VPN 网关的配置,请参阅创建高可用性 VPN 网关和创建 BGP 会话 - IPv6 BGP 会话。
IPsec 和 IKE 支持
Cloud VPN 使用 IKE 预共享密钥(共享密钥令牌)和 IKE 加密支持 IKEv1 和 IKEv2。Cloud VPN 仅支持用于身份验证的预共享密钥。创建 Cloud VPN 隧道时,请指定预共享密钥。在对等网关上创建隧道时,请指定相同的预共享密钥。
Cloud VPN 支持将隧道模式下的 ESP 与身份验证一起使用,但不支持传输模式下的 AH 或 ESP。
您必须使用 IKEv2 才能在高可用性 VPN 中启用 IPv6 流量。
Cloud VPN 不会对传入的身份验证数据包执行与政策相关的过滤。传出数据包根据在 Cloud VPN 网关上配置的 IP 范围进行过滤。
如需了解如何创建强预共享密钥,请参阅生成强预共享密钥。如需了解 Cloud VPN 支持的加密方式和配置参数,请参阅支持的 IKE 加密方式。
IKE 和死对等端检测
根据 RFC 3706 的 DPD 协议部分,Cloud VPN 支持死对等端检测 (DPD)。
为了验证对等体是否处于活跃状态,Cloud VPN 可能会根据 RFC 3706 随时发送 DPD 数据包。如果多次重试后未返回 DPD 请求,则 Cloud VPN 会识别出 VPN 隧道健康状况不佳。健康状况不佳的 VPN 隧道进而会导致系统移除将此隧道用作下一个跃点的路由(BGP 路由或静态路由),从而触发虚拟机流量到健康状况良好的其他 VPN 隧道的故障切换。
无法在 Cloud VPN 中配置 DPD 时间间隔。
UDP 封装和 NAT-T
如需了解如何配置对等设备以支持使用 Cloud VPN 的 NAT-Traversal (NAT-T),请参阅高级概览中的 UDP 封装。
Cloud VPN 作为数据转移网络
在使用 Cloud VPN 之前,请仔细阅读 Google Cloud 的通用服务条款的第 2 部分。
利用 Network Connectivity Center,您可以使用高可用性 VPN 隧道将本地网络连接在一起,从而以数据传输网络形式在它们之间传递流量。您可以通过将一对隧道连接到每个本地位置的 Network Connectivity Center Spoke 来连接网络。然后将每个 Spoke 连接到一个 Network Connectivity Center 中心。
如需详细了解 Network Connectivity Center,请参阅 Network Connectivity Center 概览。
自备 IP (BYOIP) 支持
如需了解如何将 BYOIP 地址与 Cloud VPN 搭配使用,请参阅对 BYOIP 地址的支持。
高可用性 VPN 的主动/主动和主动/被动路由选项
如果 Cloud VPN 隧道关闭,它会自动重启。如果整个虚拟 VPN 设备发生故障,Cloud VPN 会自动使用相同的配置实例化一个新的虚拟 VPN 设备。新网关和隧道会自动连接。
连接到高可用性 VPN 网关的 VPN 隧道必须使用动态 (BGP) 路由。您可以创建主动/主动或主动/被动路由配置,具体取决于您为高可用性 VPN 隧道配置路由优先级的方式。对于这两种路由配置,两个 VPN 隧道都会保持活跃状态。
下表比较了主动-主动或主动-被动路由配置的特性。
特征 | 主动/主动 | 主动/被动 |
---|---|---|
吞吐量 | 有效总吞吐量是两个隧道的合并吞吐量。 | 从两个活跃隧道减少为一个后,有效总吞吐量会减少一半,从而导致连接速度变慢或数据包丢失。 |
路由通告 | 对等网关会通告对等网络的路由,对每个隧道采用相同的多出口判别器 (MED) 值。 管理 Cloud VPN 隧道的 Cloud Router 路由器采用相同的优先级将这些路由作为 VPC 网络中的自定义动态路由导入。 发送到对等网络的出站流量使用等价多路径 (ECMP) 路由。 同一个 Cloud Router 路由器使用相同的优先级向您的 VPC 网络通告路由。 您的对等网关通过 ECMP 使用这些路由将出站流量发送到 Google Cloud。 |
对等网关会通告对等网络的路由,对每个隧道采用不同的 MED 值。 管理 Cloud VPN 隧道的 Cloud Router 路由器采用不同的优先级将这些路由作为 VPC 网络中的自定义动态路由导入。 只要关联的隧道可用,发送到对等网络的出站流量就会使用优先级最高的路由。 同一个 Cloud Router 路由器会为每个隧道使用不同的优先级,向您的 VPC 网络通告路由。 您的对等网关只能使用优先级最高的隧道向 Google Cloud 发送流量。 |
故障切换 | 如果隧道健康状况不佳(例如,由于 DPD 关闭),Cloud Router 路由器会撤销下一个跃点为不可用隧道的已知路由。 如果发生 BGP 会话关闭,则 Cloud Router 路由器会移除下一个跃点为不可用隧道的已知路由,而不会导致隧道健康状况不佳。 撤销过程可能需要 40-60 秒,期间预计会丢包。 |
如果隧道健康状况不佳(例如,由于 DPD 关闭),Cloud Router 路由器会撤销下一个跃点为不可用隧道的已知路由。 如果发生 BGP 会话关闭,则 Cloud Router 路由器会移除下一个跃点为不可用隧道的已知路由,而不会导致隧道健康状况不佳。 撤销过程可能需要 40-60 秒,期间预计会丢包。 每次最多使用一个隧道,这样一来,如果第一个隧道出现故障并需要进行故障切换,第二个隧道可以处理您的所有出站流量带宽。 |
全网状拓扑中的主动/被动路由
如果 Cloud Router 路由器通过给定的 Cloud VPN 接口收到具有不同 MED 值的同一前缀,则它仅会将具有最高优先级的路由导入到 VPC 网络。其他非活跃路由无法在 Google Cloud 控制台中或通过 Google Cloud CLI 显示。如果具有最高优先级的路由变得不可用,则 Cloud Router 路由器将撤销该路由,并自动将下一个最佳路由导入到 VPC 网络。
使用多个隧道或网关
利用路由优先级(MED 值),您可以将路由构建为让一部分流量通过一条隧道,让另一部分流量通过另一条隧道,具体视对等网关配置而定。同样,您可以调整 Cloud Router 路由器用于共享您的 VPC 网络路由的基准优先级。这些情况演示了既不完全是主动-主动也不完全是主动-被动的可能的路由配置。
推荐的路由选项
如果使用单个高可用性 VPN 网关,我们建议您使用主动/被动路由配置。使用此配置时,观察到的正常隧道运行时的带宽容量与观察到的故障切换期间的带宽容量一致。此类配置更易于管理,因为观察到的带宽限制保持不变,但前面介绍的多网关场景除外。
如果使用多个高可用性 VPN 网关,我们建议您使用主动/主动路由配置。采用这种配置时,隧道正常运行时观测到的带宽容量是最大带宽容量的两倍。但是,此配置实际上造成预配的隧道不足,可能导致故障切换时流量下降。
通过 Cloud VPN 隧道限制对等 IP 地址
如果您是 Organization Policy Administrator (roles/orgpolicy.policyAdmin
),则可以创建政策限制条件来限制用户可以为对等 VPN 网关指定的 IP 地址。
该限制会应用于特定项目、文件夹或组织中的所有 Cloud VPN 隧道,适用于传统 VPN 和高可用性 VPN。
如需了解限制 IP 地址的步骤,请参阅限制对等 VPN 网关的 IP 地址。
直观呈现和监控 Cloud VPN 连接
网络拓扑是一种可视化工具,可显示 VPC 网络的拓扑、与本地网络的混合连接以及相关指标。您可以在网络拓扑视图中将 Cloud VPN 网关和 VPN 隧道视为实体。
基础实体是特定层次结构的最低级层,表示可以通过网络直接与其他资源进行通信的资源。 网络拓扑会将基础实体聚合到可以展开或折叠的分层实体中。首次查看网络拓扑图时,它会将所有基础实体聚合到其顶级层次结构中。
例如,网络拓扑会将 VPN 隧道聚合到其 VPN 网关连接中。您可以通过展开或收起 VPN 网关图标来查看层次结构。
如需了解详情,请参阅网络拓扑概览。
维护和可用性
Cloud VPN 需要定期进行维护。维护期间,Cloud VPN 隧道将离线,会导致网络流量短暂下降。维护完成后,Cloud VPN 隧道会自动重新建立。
Cloud VPN 维护是一项正常的操作任务,可能随时发生,恕不事先通知。维护周期设计得足够短,所以不会影响 Cloud VPN 服务等级协议 (SLA)。
高可用性 VPN 是配置高可用性 VPN 的推荐方法。如需了解配置选项,请参阅“高可用性 VPN 拓扑”页面。如果您将传统 VPN 用于冗余和高吞吐量选项,请参阅“传统 VPN 拓扑”页面。
最佳实践
如需有效地构建 Cloud VPN,请使用这些最佳做法。
后续步骤
如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置。
如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查。
详细了解推荐的高可用性 VPN 拓扑。