Visão geral do Cloud VPN

Nesta página, descrevemos conceitos relacionados ao Google Cloud VPN.

O Cloud VPN conecta com segurança sua rede de peering à sua rede de nuvem privada virtual (VPC) por meio de uma conexão VPN IPsec. O tráfego transmitido entre as duas redes é criptografado e descriptografado por gateways de VPN diferentes. Isso protege os dados enquanto eles são transmitidos pela Internet. Também é possível conectar duas instâncias do Cloud VPN umas com as outras.

Para criar uma rede virtual privada (VPN), consulte Como escolher uma opção de VPN.

Para definições de termos usados na documentação do Cloud VPN, consulte Termos-chave.

Como escolher uma solução de rede híbrida

Para determinar se você deve usar como conexão de rede híbrida com o Google Cloud o Cloud VPN, a interconexão dedicada ou interconexão por parceiro, consulte os seguintes recursos:

Tipos de Cloud VPN

O Google Cloud oferece dois tipos de gateways do Cloud VPN: VPN de alta disponibilidade e VPN clássica.

Para obter informações sobre como migrar para a VPN de alta disponibilidade, consulte a seção Como migrar para a VPN de alta disponibilidade a partir da VPN clássica.

VPN de alta disponibilidade

VPN de alta disponibilidade é uma solução de VPN de nuvem de alta disponibilidade que permite conectar com segurança sua rede local à rede de nuvem privada virtual por meio de uma conexão VPN IPsec em uma única região. A VPN de alta disponibilidade fornece um SLA de 99,99% de disponibilidade de serviço.

Quando você cria um gateway de alta disponibilidade, o Google Cloud escolhe automaticamente dois endereços IP públicos, um para cada número fixo de duas interfaces. Cada endereço IP é escolhido automaticamente a partir de um pool de endereços exclusivo para oferecer alta disponibilidade. Cada uma das interfaces de gateway da VPN de alta disponibilidade é compatível com vários túneis. Você também pode criar vários gateways de VPN de alta disponibilidade.

Você pode configurar um gateway de VPN de alta disponibilidade com apenas uma interface ativa e um endereço IP público; no entanto, essa configuração não fornece um SLA de disponibilidade de serviço de 99,99%.

Gateways de VPN de alta disponibilidade são chamados de gateways de VPN, em vez de gateways de VPN de destino, na documentação da API e em comandos gcloud.

Você não precisa criar regras de encaminhamento para gateways de VPN de alta disponibilidade.

A VPN de alta disponibilidade usa um recurso de gateway de VPN externo no Google Cloud para fornecer informações ao Google Cloud sobre seu gateway de VPN de peering ou gateways. Para mais informações, consulte as definições para recurso de gateway de VPN externo e gateway de VPN de peering.

O diagrama a seguir mostra o conceito de VPN de alta disponibilidade, mostrando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade conectadas a dois gateways de VPN de peering. Para ver topologias de VPN de alta disponibilidade mais detalhadas (cenários de configuração), consulte a página Topologias do Cloud VPN.


Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)
Um gateway de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)

Requisitos de VPN de alta disponibilidade

Sua configuração do Cloud VPN deve cumprir os seguintes requisitos para alcançar uma disponibilidade de nível de serviço de 99,99% para a VPN de alta disponibilidade:

  • Quando você conecta um gateway de VPN de alta disponibilidade a seu gateway de peering, a disponibilidade de 99,99% é garantida apenas no lado da conexão do Google Cloud. A disponibilidade total está sujeita à configuração adequada do gateway de VPN de peering.
  • Se ambos os lados forem gateways do Google Cloud e estiverem configurados corretamente, a disponibilidade total de 99,99% é garantida.
  • Para conseguir alta disponibilidade quando os dois gateways da VPN estão localizados em redes VPC, você deve usar dois gateways da alta disponibilidade, e ambos devem estar localizados na mesma região. Embora ambos os gateways devam estar localizados na mesma região, as rotas para suas sub-redes podem estar localizadas em qualquer região se sua nuvem privada virtual usar modo de roteamento dinâmico global. Se a rede VPC usar modo de roteamento dinâmico regional, somente rotas para sub-redes na mesma região serão compartilhadas com a rede com peering e rotas aprendidas serão aplicadas somente às sub-redes na mesma região do túnel da VPN. Para mais informações sobre o modo de roteamento dinâmico de uma rede VPC, consulte a visão geral das redes VPC.
  • A alta disponibilidade rejeita endereços IP do Google Cloud quando eles são configurados em um recurso de gateway de VPN externo. Um exemplo disso é usar o endereço IP externo de uma instância de VM como o endereço IP público para o recurso externo do gateway da VPN. A única topologia de VPN de alta disponibilidade compatível para o Google Cloud é quando a VPN de alta disponibilidade é usada em ambos os lados, conforme documentado em Como criar gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud.
  • Você deve configurar dois túneis de VPN a partir da perspectiva do gateway da VPN do Cloud:
    • Se você tiver dois dispositivos de gateway de VPN de peering, cada um dos túneis de cada interface no gateway de VPN do Cloud deverá estar conectado a seu próprio gateway de peering.
    • Se você tiver um dispositivo de gateway de VPN de peering com duas interfaces, cada um dos túneis de cada interface do gateway de VPN do Cloud precisa estar conectado a sua própria interface no gateway de peering.
    • Se você tiver um dispositivo de gateway de VPN de peering com uma única interface, ambos os túneis de cada interface no gateway de VPN do Cloud deverão estar conectados à mesma interface no gateway de peering.
  • Um dispositivo de VPN de peering deve ser configurado com a redundância adequada. Os detalhes de uma configuração adequadamente redundante são especificados pelo fornecedor do dispositivo e podem ou não incluir várias instâncias de hardware. Consulte a documentação do fornecedor do dispositivo de VPN de peering para obter detalhes. Se dois dispositivos de peering forem necessários, cada um deles deve estar conectado a uma interface de gateway de VPN de alta disponibilidade diferente. Se o peering for outro provedor de nuvem como o AWS, as conexões VPN também deverão ser configuradas com redundância adequada no lado da AWS.
  • Seu dispositivo de gateway de VPN de peering deve suportar o roteamento dinâmico (BGP).

VPN clássica

Por outro lado, os gateways de VPN clássica têm uma única interface, um único endereço IP externo e túneis de suporte usando roteamento dinâmico (BGP) ou estático (com base em rota ou política). Eles fornecem um SLA de 99,9% de disponibilidade de serviço.

Para topologias de VPN clássica compatíveis, consulte a página Topologias de VPN clássica.

VPNs clássicas são chamadas de gateways de VPN de destino na documentação da API e nos comandos gcloud.

Tabela de comparação

A tabela a seguir compara os recursos da VPN de alta disponibilidade com os recursos da VPN clássica.

Recurso VPN de alta disponibilidade VPN clássica
SLA Fornece um SLA de 99,99% quando configurado com duas interfaces e dois IPs públicos Fornece um SLA de 99,9%
Criação de IPs públicos e regras de encaminhamento IPs públicos criados a partir de um pool. Nenhuma regra de encaminhamento obrigatória Devem ser criados IPs públicos e regras de encaminhamento
Opções de roteamento compatíveis Somente roteamento dinâmico (BGP) Roteamento estático (com base em rota e em política) ou roteamento dinâmico usando o BGP
Dois túneis de um gateway da VPN do Cloud para o mesmo gateway de peering Suporte Incompatível
Recursos de API Conhecido como o recurso de gateway de VPN Conhecido como o recurso de gateway de VPN de destino

Especificações

O Cloud VPN tem as seguintes especificações:

  • Ele pode ser usado com redes de VPC e redes legadas. Para a VPC, o modo personalizado é recomendado para que você tenha controle total sobre os intervalos de endereços IP usados pelas sub-redes na rede. Para mais informações, consulte a documentação de redes VPC em geral, redes legadas e redes de modo personalizado.

    • Gateways de VPN clássica e de alta disponibilidade usam endereços IPv4 externos (roteáveis na Internet). Somente o tráfego ESP, UDP 500 e UDP 4500 é permitido nesses endereços. Isso se aplica aos endereços do Cloud VPN configurados por você para a VPN clássica ou aos endereços atribuídos automaticamente para a VPN de alta disponibilidade.

    • Se os intervalos de endereços IP para sub-redes locais se sobrepuserem a endereços IP usados por sub-redes em sua rede VPC, consulte Ordem de rotas para determinar como resolver conflitos de roteamento.

  • O Cloud VPN pode ser usado em conjunto com o acesso privado do Google para hosts locais. Para mais informações, consulte as opções do acesso privado do Google.

  • Cada gateway do Cloud VPN precisa estar conectado a outro gateway do Cloud VPN ou a um gateway de VPN de peering.

  • O gateway da VPN de peering precisa ter um endereço IPv4 externo estático (roteável na Internet). É preciso saber seu endereço IP para configurar o Cloud VPN.

    • Se seu gateway de VPN de peering estiver protegido por firewall, configure o firewall para transmitir a ele o protocolo ESP (IPsec) e o tráfego do IKE (UDP 500 e UDP 4500). Se o firewall fornecer conversão de endereço de rede (NAT), consulte encapsulamento UDP e NAT-T.
  • O Cloud VPN exige que o gateway da VPN de peering seja compatível com a pré-fragmentação. Os pacotes precisam ser fragmentados antes do encapsulamento.

  • O Cloud VPN usa a detecção de nova reprodução com uma janela de 4.096 pacotes. Não é possível desativá-la.

Largura de banda da rede

Cada túnel do Cloud VPN suporta até 3 Gbps. A largura de banda real depende de vários fatores:

  • A conexão de rede entre o gateway do Cloud VPN e seu gateway de peering:
    • Largura de banda da rede entre os dois gateways. Se você tiver estabelecido uma relação de peering direto com o Google, a capacidade será maior do que se o tráfego da VPN for enviado pela Internet pública.
    • RTT (tempo de retorno) e perda de pacotes. Taxas elevadas de RTT e/ou perda de pacotes reduzem significativamente o desempenho do TCP.
  • Recursos do gateway da VPN de peering. Consulte a documentação do dispositivo para mais informações.
  • Tamanho do pacote. O Cloud VPN usa uma Unidade máxima de transmissão (MTU, na sigla em inglês) de 1.460 bytes. Os gateways da VPN de peering precisam ser configurados para usar uma MTU de no máximo 1.460 bytes. Como o processamento ocorre por pacote, para uma determinada taxa de pacotes, um número significativo de pacotes menores pode reduzir a capacidade geral. Para compensar a sobrecarga de ESP, talvez seja necessário definir os valores de MTU para sistemas enviando tráfego por meio de túneis da VPN para valores menores que a MTU do túnel. Consulte considerações sobre MTU para uma discussão detalhada e recomendações.
  • Taxa de pacotes. Para entrada e saída, a taxa máxima de pacotes recomendada para cada túnel do Cloud VPN é de 250.000 pacotes por segundo (pps). Se você precisar enviar pacotes a uma taxa mais alta, será necessário criar mais túneis de VPN.

Ao medir a largura de banda TCP de um túnel de VPN, é necessário medir mais de um fluxo TCP simultâneo. Se estiver usando a ferramenta iperf, use o parâmetro -P para especificar o número de fluxos simultâneos.

Suporte a IPsec e IKE

Observe que o Cloud VPN não realiza filtragem relativa a políticas nos pacotes de autenticação recebidos. Os pacotes enviados são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.

  • Para autenticação, o Cloud VPN é compatível com apenas uma chave pré-compartilhada (secreta compartilhada). Você precisa especificá-la ao criar o túnel do Cloud VPN. Esse mesmo segredo precisa ser especificado ao criar o túnel no gateway de peering. Consulte estas diretrizes para criar um segredo forte e compartilhado.

  • Para criptografias e parâmetros de configuração compatíveis com o Cloud VPN, consulte Criptografias IKE aceitas.

Encapsulamento UDP e NAT-T

Para informações sobre como configurar seu dispositivo de peering para suportar NAT-T com Cloud VPN, consulte a seção UDP e NAT-T na Visão geral avançada.

Cloud VPN como rede de transporte

Analise com atenção os termos específicos do serviço do Google Cloud antes de usar o Cloud VPN.

Não use túneis do Cloud VPN para conectar duas ou mais redes locais com a única finalidade de transmitir tráfego por meio de uma rede de VPC como uma rede de trânsito. Configurações de "hub and spoke" como esta são uma violação dos Termos Específicos de Serviço do Google Cloud.

Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade

Se um túnel do Cloud VPN ficar fora de serviço, ele será reiniciado automaticamente. Se ocorrer falha em um dispositivo de VPN virtual inteiro, o Cloud VPN automaticamente instanciará um dispositivo novo com a mesma configuração. O gateway e o túnel novos se conectam automaticamente.

Túneis VPN conectados a gateways de VPN de alta disponibilidade precisam usar roteamento dinâmico (BGP). Dependendo da maneira como configura prioridades de trajetos para túneis de VPN de alta disponibilidade, é possível criar uma configuração de roteamento ativa/ativa ou ativa/passiva. Para ambas as configurações de roteamento, os dois túneis de VPN permanecem ativos.

A tabela a seguir compara os recursos de uma configuração de roteamento ativa/passiva ou ativa/passiva.

Recurso Ativo/ativo Ativo/passivo
Capacidade A capacidade de agregação efetiva é a capacidade combinada dos dois túneis. Após a redução de dois túneis ativos para um, a capacidade geral efetiva é cortada pela metade e é possível que cause conectividade mais lenta ou pacotes descartados.
Divulgação de rota Seu gateway de peering divulga as rotas da rede de mesmo nível com valores MED idênticos para cada túnel. O Cloud Router que gerencia os túneis do Cloud VPN os importa como rotas dinâmicas personalizadas na sua rede de VPC com prioridades idênticas.

O tráfego de saída enviado para sua rede de peering usa roteamento de vários caminhos de custo igual (ECMP). O mesmo Cloud Router também divulga rotas para sua rede de VPC usando prioridades idênticas. É possível que seu gateway de peering use essas rotas para enviar tráfego de saída para o Google Cloud usando o ECMP.
Seu gateway de peering divulga as rotas da rede de peering com valores MED diferentes para cada túnel. O Cloud Router que gerencia os túneis do Cloud VPN os importa como rotas dinâmicas personalizadas na sua rede de VPC com prioridades diferentes.

O tráfego de saída enviado para sua rede de peering usa o trajeto com a prioridade mais alta, contanto que o túnel associado esteja disponível. O mesmo Cloud Router também divulga rotas para sua rede de VPC usando prioridades diferentes para cada túnel. Seu gateway de peering envia tráfego para o Google Cloud somente usando o túnel com prioridade mais alta.
Failover se um túnel ficar indisponível, o Cloud Router retira as rotas dinâmicas personalizadas aprendidas que tenha como próximos saltos o túnel não disponível. É possível que esse processo de retirada leve até 40 segundos, durante os quais a perda de pacotes é esperada. Usa um máximo de um túnel por vez, para que o segundo túnel consiga lidar com toda a largura de banda de saída caso o primeiro túnel falhe e precise sofrer failover.

Se um túnel ficar indisponível, o Cloud Router retira as rotas dinâmicas personalizadas aprendidas que tenham como próximos saltos o túnel indisponível. É possível que esse processo de retirada leve até 40 segundos, durante os quais a perda de pacotes é esperada.

Como usar vários túneis ou gateways

Dependendo da configuração do gateway de peering, é possível construir trajetos de forma que parte do tráfego atravesse um túnel e outra atravesse outro túnel devido às prioridades da rota (valores MED). Da mesma forma, é possível ajustar a prioridade básica que o Cloud Router usa para compartilhar suas rotas de rede de VPC. Essas situações demonstram possíveis configurações de roteamento que não são puramente ativas/ativas nem puramente ativas/passivas.

Ao usar um único gateway de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativa/passiva. Com essa configuração, a capacidade de largura de banda observada no momento da operação de túnel normal corresponde à capacidade de largura de banda observada durante o failover. Esse tipo de configuração é mais fácil de gerenciar, já que o limite de largura de banda observado permanece constante, exceto pelo cenário de vários gateways descrito anteriormente.

Ao usar vários gateways de VPN de alta disponibilidade, uma configuração ativa/ativa é recomendada. Com essa configuração, a capacidade de largura de banda observada no momento da operação normal é duas vezes maior do que a capacidade garantida de largura de banda. No entanto, essa configuração efetivamente subestima os túneis e pode causar a queda do tráfego em caso de failover.

Manutenção e disponibilidade

O Cloud VPN é submetido a manutenção periódica. Durante a manutenção, os túneis do Cloud VPN ficam off-line, o que resulta em breves quedas no tráfego da rede. Quando a manutenção é concluída, eles são restabelecidos automaticamente.

A manutenção do Cloud VPN é uma tarefa operacional normal que pode acontecer a qualquer momento sem aviso prévio. Os períodos de manutenção são projetados para serem curtos o suficiente para que o SLA do Cloud VPN não seja afetado.

A VPN de alta disponibilidade é o método recomendado para configurar VPNs altamente disponíveis. Para mais opções de configuração, consulte a página de topologias da VPN de alta disponibilidade. Se você estiver usando a VPN clássica para ter opções de redundância e alta capacidade, consulte a página de topologias da VPN clássica.

Práticas recomendadas

Use estas práticas recomendadas para criar seu Cloud VPN da maneira mais eficaz.

A seguir