Présentation de Cloud VPN

Cette page décrit les concepts liés à Google Cloud VPN.

Pour créer un réseau privé virtuel (VPN), consultez la page Choisir une option de routage VPN.

Présentation

Cloud VPN connecte de manière sécurisée le réseau sur site au réseau cloud privé virtuel (VPC) Google Cloud Platform (GCP), via une connexion VPN IPsec. Le trafic échangé entre les deux réseaux est chiffré par une passerelle VPN, puis déchiffré par l'autre passerelle VPN, ce qui protège les données lors des transferts via Internet.

Fonctionnalités

Cloud VPN inclut les fonctionnalités suivantes :

Topologie d'un VPN

Le schéma ci-dessous illustre une connexion VPN simple entre votre passerelle Cloud VPN et votre passerelle VPN sur site.

Avec Cloud VPN, vos hôtes sur site communiquent via un ou plusieurs tunnels VPN IPsec avec des instances de machines virtuelles (VM) Compute Engine dans les réseaux VPC de votre projet.

Schéma d'un VPN (cliquez pour agrandir)
Schéma d'un VPN (cliquez pour agrandir)

Choisir un VPN pour une mise en réseau hybride

Pour déterminer s'il convient d'utiliser Cloud VPN, Cloud Interconnect – Interconnexion dédiée ou Cloud Interconnect – Interconnexion partenaire comme connexion à GCP pour une mise en réseau hybride, consultez la page Choisir un type d'interconnexion. Cette page présente également les types de scénarios de VPN compatibles avec Cloud VPN.

Terminologie

Les termes ci-dessous sont utilisés dans la documentation relative aux VPN.

ID du projet
ID de votre projet GCP. Il ne s'agit pas du nom du projet, qui est un nom descriptif créé par l'utilisateur. Pour trouver cet ID, consultez la colonne ID du projet dans la console GCP. Pour en savoir plus, reportez-vous à la section Identifier les projets.
IKE (Internet Key Exchange)
IKE est le protocole servant à l'authentification et à la négociation d'une clé de session pour le chiffrement du trafic.
Passerelle Cloud VPN
Passerelle VPN virtuelle s'exécutant dans GCP, gérée par Google, et utilisant une configuration que vous spécifiez dans votre projet. Chaque passerelle Cloud VPN est une ressource régionale utilisant une adresse IP externe régionale. Ce type de passerelle peut se connecter à une passerelle VPN sur site ou à une autre passerelle Cloud VPN.
Passerelle VPN sur site
Passerelle VPN non intégrée à GCP, et connectée à une passerelle Cloud VPN. Il peut s'agir d'un appareil physique de votre centre de données, ou bien d'une offre VPN physique ou logicielle d'un autre fournisseur cloud. Les instructions Cloud VPN sont spécifiées du point de vue de votre réseau VPC. Par conséquent, la "passerelle sur site" est celle qui se connecte à Cloud VPN.
Tunnel VPN
Un tunnel VPN connecte deux passerelles VPN et sert de support virtuel pour la transmission du trafic chiffré. Deux tunnels VPN doivent être établis pour créer une connexion entre deux passerelles VPN. Chaque tunnel définit la connexion du point de vue de sa passerelle. Le trafic ne peut être transmis que lorsque les deux tunnels sont en place. Un tunnel Cloud VPN est toujours associé à une ressource de passerelle Cloud VPN spécifique.

Options de routage pour les tunnels

Cloud VPN offre trois méthodes de routage différentes pour les tunnels VPN.

Routage dynamique (BGP)
Un routeur Cloud peut gérer les routes d'un tunnel Cloud VPN à l'aide du protocole BGP (Border Gateway Protocol) s'il est compatible avec la passerelle VPN correspondante ou sur site. Cette méthode de routage vous permet de mettre à jour et d'échanger les routes sans modifier la configuration du tunnel. Les routes à destination des sous-réseaux GCP sont exportées vers la passerelle VPN sur site, tandis que les routes à destination des sous-réseaux sur site qui ont été héritées de la passerelle VPN sur site sont appliquées à votre réseau VPC. Dans les deux cas, l'option de routage dynamique du réseau est appliquée. Le routage dynamique est recommandé, car il ne requiert pas que les tunnels soient recréés lorsque les routes changent.
Routage basé sur des règles
Avec cette option de routage, vous spécifiez les plages d'adresses IP du réseau distant et les sous-réseaux locaux lors de la création du tunnel Cloud VPN. Du point de vue de Cloud VPN, les plages d'adresses IP du réseau distant correspondent au "côté droit" du tunnel VPN, tandis que les sous-réseaux locaux représentent le "côté gauche". GCP crée automatiquement des routes statiques pour chacune des plages du réseau distant lorsque le tunnel est créé. Lors de la création du tunnel correspondant sur la passerelle VPN sur site, les plages des côtés droit et gauche sont inversées.
VPN basé sur le routage
Avec cette option de routage, vous ne spécifiez que les plages d'adresses IP du réseau distant (côté droit). Tout le trafic entrant est accepté dans le tunnel, en fonction des routes que vous créez manuellement.

Pour en savoir plus sur les types de réseaux et les options de routage, consultez la page relative au choix d'un type de réseau VPC et d'une option de routage.

Spécifications

Il est techniquement possible de créer une configuration en étoile qui relie au moins deux emplacements sur site à l'aide de VPN et d'un réseau GCP, mais ce type de configuration enfreint les conditions d'utilisation. Vous pouvez créer une liaison en étoile des réseaux GCP tant qu'il n'y a pas plus d'un emplacement sur site.

Cloud VPN est soumis aux spécifications ci-dessous.

  • Cloud VPN peut être utilisé avec des réseaux VPC et des anciens réseaux. Pour les réseaux VPC, le mode personnalisé est recommandé, car il offre un contrôle total sur les plages d'adresses IP utilisées par les sous-réseaux du réseau.

    • Si les plages d'adresses IP des sous-réseaux sur site chevauchent les adresses IP utilisées par les sous-réseaux du réseau VPC, consultez la page Ordre de priorité des routes pour savoir comment résoudre les conflits liés au routage.
  • Vous pouvez utiliser Cloud VPN avec l'accès privé à Google pour les hôtes sur site afin que ceux-ci puissent utiliser des adresses IP internes plutôt que des adresses IP externes pour accéder aux API et services Google. Pour plus d'informations, consultez la page Options d'accès privé dans la documentation sur les réseaux VPC.

  • Chaque passerelle Cloud VPN doit être connectée à une autre passerelle Cloud VPN ou à une passerelle VPN sur site.

  • La passerelle VPN sur site doit disposer d'une adresse IP externe statique. Vous devez connaître son adresse IP pour configurer Cloud VPN.

    • Si votre passerelle VPN sur site se situe derrière un pare-feu, vous devez configurer ce dernier pour qu'il lui transmette le trafic ESP (IPSec) et IKE (UDP 500 et UDP 4500). Si le pare-feu assure la traduction des adresses de réseau (NAT), consultez la section Encapsulation du protocole UDP et mode NAT-T.
  • Cloud VPN n'accepte qu'une clé prépartagée (clé secrète partagée) pour l'authentification. Vous devez spécifier ce type de clé lorsque vous créez le tunnel Cloud VPN. Cette même clé secrète doit être spécifiée lors de la création du tunnel sur la passerelle sur site. Reportez-vous aux consignes relatives à la création d'une clé secrète partagée sécurisée.

  • Cloud VPN utilise une unité de transmission maximale (MTU) de 1 460 octets. Les passerelles VPN sur site doivent être configurées pour utiliser une MTU ne dépassant pas cette valeur.

    • Pour tenir compte de la surcharge ESP, vous devrez peut-être définir des valeurs inférieures pour les MTU des systèmes envoyant du trafic via le tunnel. Pour obtenir pour une présentation détaillée et des recommandations, consultez la page Considérations relatives aux MTU.
  • Cloud VPN requiert que la passerelle VPN sur site soit configurée pour accepter la préfragmentation. Les paquets doivent être fragmentés avant d'être encapsulés.

  • Cloud VPN utilise la détection de répétition avec un intervalle de 4 096 paquets. Vous ne pouvez pas désactiver cette fonctionnalité.

  • Pour savoir quels algorithmes de chiffrement et paramètres de configuration sont compatibles avec Cloud VPN, consultez la page Algorithmes de chiffrement IKE compatibles.

Maintenance et disponibilité

Cloud VPN fait l'objet d'une maintenance périodique. Pendant la maintenance, les tunnels Cloud VPN sont désactivés, ce qui entraîne de courtes baisses du trafic réseau. Une fois la maintenance terminée, les tunnels Cloud VPN sont automatiquement rétablis.

La maintenance de Cloud VPN est une tâche opérationnelle normale pouvant survenir à tout moment sans préavis. Les périodes de maintenance sont suffisamment courtes pour que le contrat de niveau de service Cloud VPN ne soit pas affecté.

Vous pouvez concevoir des configurations VPN à disponibilité élevée en utilisant plusieurs tunnels. Pour ce faire, examinez les stratégies décrites sur la page VPN redondants et à haut débit.

Encapsulation du protocole UDP et mode NAT-T

Le service Cloud VPN n'accepte que la fonctionnalité NAT "un à un" via l'encapsulation du protocole UDP pour NAT-Traversal (NAT-T). Il n'est pas compatible avec la fonctionnalité NAT "un à plusieurs" ou avec la traduction d'adresses basée sur des ports. En d'autres termes, Cloud VPN ne peut pas se connecter à plusieurs passerelles VPN sur site ou de pairs qui partagent une même adresse IP publique.

Lors de l'utilisation de la fonctionnalité NAT "un à un", une passerelle VPN sur site doit être configurée pour s'identifier à l'aide d'une adresse IP publique, et non de son adresse interne (privée). Lorsque vous configurez un tunnel Cloud VPN pour qu'il se connecte à une passerelle VPN sur site, vous devez spécifier une adresse IP externe. Cloud VPN requiert qu'une passerelle VPN sur site utilise son adresse IP externe pour s'identifier.

Pour en savoir plus sur les passerelles VPN protégées par la fonctionnalité NAT "un à un", consultez la page Dépannage.

Bonnes pratiques

Utilisez ces bonnes pratiques pour créer votre réseau Cloud VPN le plus efficacement possible.

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…