Visão geral do Cloud VPN

Nesta página, descrevemos conceitos relacionados ao Google Cloud VPN.

Para criar uma rede privada virtual (VPN), consulte Como escolher uma opção de roteamento VPN.

Introdução

O Cloud VPN conecta a rede local com segurança à rede de nuvem privada virtual (VPC, na sigla em inglês) do Google Cloud Platform (GCP) por meio de uma conexão VPN IPsec. O tráfego entre as duas redes é criptografado por um gateway da VPN e depois decodificado por outro gateway desse tipo. Isso protege os dados enquanto eles trafegam pela Internet.

Recursos

O Cloud VPN inclui os seguintes recursos:

Topologia da VPN

O diagrama a seguir mostra uma conexão VPN simples entre o gateway do Cloud VPN e o gateway da VPN local.

Com o Cloud VPN, os hosts locais se comunicam por meio de um ou mais túneis da VPN IPsec com instâncias de máquina virtual (VM) do Compute Engine nas redes VPC do projeto.

Diagrama de VPN (clique para ampliar)
Diagrama de VPN (clique para ampliar)

Como escolher a VPN para redes híbridas

Consulte Como escolher um tipo de interconexão para determinar se é preciso usar o Cloud VPN, o Cloud Interconnect – Dedicated ou o Cloud Interconnect – Partner como conexão de rede híbrida com o GCP. Nesta página, também mostramos os tipos de cenários de VPN que o Cloud VPN aceita.

Terminologia

Os termos a seguir são usados ​​em toda a documentação da VPN:

Código do projeto
O código do seu projeto do GCP. Esse não é o nome do projeto, que é o nome amigável criado pelo usuário do projeto. Para encontrá-lo, consulte a coluna Código do projeto no Console do GCP. Para mais informações, consulte Como identificar projetos.
Internet Key Exchange (IKE)
O IKE é o protocolo usado para autenticação e para negociar uma chave de sessão para criptografar o tráfego.
Gateway do Cloud VPN
Um gateway da VPN virtual em execução no GCP e gerenciado pelo Google, que no projeto usa uma configuração especificada por você. Cada um deles é um recurso regional e usa um endereço IP externo regional. Um gateway do Cloud VPN se conecta a um gateway da VPN local ou a outro gateway do Cloud VPN.
Gateway da VPN local
Um gateway da VPN que não está no GCP, conectado a um gateway do Cloud VPN. Pode ser um dispositivo físico no seu data center ou uma oferta de VPN física ou baseada em software na rede de outro provedor de nuvem. As instruções do Cloud VPN são escritas do ponto de vista da rede VPC. Portanto, o “gateway local” é aquele que se conecta ao Cloud VPN.
Túnel da VPN
Um túnel da VPN conecta dois gateways da VPN e serve como meio virtual de passagem do tráfego criptografado. É preciso estabelecer dois túneis da VPN para criar uma conexão entre dois gateways da VPN. Cada túnel define a conexão a partir da perspectiva do gateway dele. O tráfego só passará quando o par de túneis for estabelecido. Um túnel do Cloud VPN está sempre associado a um recurso de gateway específico do Cloud VPN.

Opções de roteamento de túnel

O Cloud VPN oferece três métodos de roteamento diferentes para túneis da VPN:

Roteamento dinâmico (BGP)
Caso o gateway da VPN correspondente ou local seja compatível, um Cloud Router gerencia rotas para um túnel do Cloud VPN usando o Border Gateway Protocol (BGP). Esse método de roteamento permite que as rotas sejam atualizadas e trocadas sem alterar a configuração do túnel. As rotas para sub-redes do GCP são exportadas para o gateway da VPN local e as rotas para sub-redes locais memorizadas do gateway da VPN local são aplicadas à rede VPC. Ambas estão de acordo com a opção de roteamento dinâmico da rede. O roteamento dinâmico é recomendado por não exigir que os túneis sejam recriados quando as rotas são alteradas.
Roteamento com base em políticas
Com essa opção de roteamento, você especifica intervalos de IP da rede remota e sub-redes locais quando cria o túnel do Cloud VPN. A partir da perspectiva do Cloud VPN, os intervalos de IP da rede remota são o “lado direito” e as sub-redes locais são o “lado esquerdo” do túnel da VPN. Quando o túnel é criado, o GCP cria rotas estáticas automaticamente para cada um dos intervalos da rede remota. Ao criar o túnel correspondente no gateway da VPN local, os intervalos do lado direito e esquerdo são invertidos.
VPN com base em rota
Com essa opção de roteamento, você especifica apenas os intervalos de IP da rede remota, ou seja, o lado direito. Todo o tráfego de entrada é aceito pelo túnel, sujeito às rotas criadas manualmente.

Para mais detalhes sobre tipos de rede e opções de roteamento, consulte a página Como escolher um tipo de rede VPC e uma opção de roteamento.

Especificações

É tecnicamente possível criar uma configuração hub e spoke que vincule dois ou mais locais entre si usando VPNs e uma rede do GCP, mas essa configuração viola os Termos de Serviço. Desde que não haja mais de um local envolvido, é possível criar uma vinculação hub e spoke das redes GCP.

O Cloud VPN tem as seguintes especificações:

  • Pode ser usado com redes VPC e redes legadas. Para as redes VPC, o modo personalizado é recomendado para que você tenha controle total sobre os intervalos de endereços IP usados pelas sub-redes na rede.

    • Caso os intervalos de endereços IP para sub-redes locais se sobreponham a endereços IP usados por sub-redes na rede VPC, consulte Ordem das rotas para determinar uma solução para os conflitos de roteamento.
  • O Cloud VPN pode ser usado com o Acesso privado do Google para hosts locais para que eles possam usar endereços IP internos em vez de externos para acessar as APIs e os serviços do Google. Para mais informações, consulte Opções de acesso privado na documentação do VPC.

  • Cada gateway do Cloud VPN precisa estar conectado a outro ou a um gateway da VPN local.

  • O gateway da VPN local precisa ter um endereço IP externo estático. É preciso saber o endereço IP para configurar o Cloud VPN.

    • Quando o gateway da VPN local está protegido por um firewall, é preciso configurar esse firewall para passar o protocolo ESP (IPSec) e o tráfego IKE (UDP 500 e UDP 4500) para ele. Caso o firewall forneça a conversão de endereços de rede (NAT, na sigla em inglês), consulte Encapsulamento UDP e NAT-T.
  • Para autenticação, o Cloud VPN é compatível com apenas uma chave pré-compartilhada (chave secreta compartilhada). Você precisa especificá-la ao criar o túnel do Cloud VPN. Da mesma forma, ela precisa ser especificada ao criar o túnel no gateway local. Consulte estas diretrizes para criar uma chave secreta compartilhada forte.

  • O Cloud VPN usa uma Unidade máxima de transmissão (MTU, na sigla em inglês) de 1.460 bytes. É preciso configurar os gateways da VPN locais para usar uma MTU de no máximo 1.460 bytes.

    • Para compensar a sobrecarga de ESP, talvez seja necessário configurar valores de MTU mais baixos para os sistemas que enviam tráfego pelo túnel. Consulte Considerações sobre MTU para ver uma discussão detalhada e recomendações.
  • O Cloud VPN requer a configuração do gateway da VPN local para compatibilidade com a pré-fragmentação. Os pacotes precisam ser fragmentados antes do encapsulamento.

  • O Cloud VPN usa a detecção de nova reprodução com uma janela de 4.096 pacotes. Não é possível desativá-la.

  • Consulte as Criptografias IKE aceitas para ver as criptografias e os parâmetros de configuração compatíveis com o Cloud VPN.

Manutenção e disponibilidade

O Cloud VPN é submetido a manutenção periódica. Durante a manutenção, os túneis do Cloud VPN ficam off-line, o que resulta em breves quedas no tráfego da rede. Quando a manutenção é concluída, eles são restabelecidos automaticamente.

A manutenção do Cloud VPN é uma tarefa operacional normal que pode acontecer a qualquer momento sem aviso prévio. Os períodos de manutenção são projetados para serem curtos o suficiente para que o SLA do Cloud VPN não seja afetado.

Você pode criar configurações de VPN altamente disponíveis usando vários túneis. Algumas estratégias para fazer isso são discutidas na página VPNs redundantes e de alta capacidade.

Encapsulamento UDP e NAT-T

O Cloud VPN aceita apenas NAT de um para um por meio de encapsulamento UDP para NAT-Traversal (NAT-T). NAT de um para muitos e conversão de endereços com base em porta não são aceitas. Em outras palavras, não é possível conectar o Cloud VPN a vários gateways da VPN local ou do par que compartilham um único endereço IP público.

Se você usar NAT de um para um, será preciso configurar um gateway da VPN local para se identificar usando um endereço IP público, e não seu endereço interno (privado). Ao configurar um túnel do Cloud VPN para se conectar a um gateway da VPN local, você especifica um endereço IP externo. O Cloud VPN espera que um gateway da VPN local use o endereço IP externo dele como identidade.

Para mais detalhes sobre os gateways da VPN por trás da NAT de um para um, consulte a página de solução de problemas.

Práticas recomendadas

Use estas práticas recomendadas para criar seu Cloud VPN da maneira mais eficaz.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…