Cloud VPN 概览

本页面介绍 Google Cloud VPN 的相关概念。

要创建虚拟专用网 (VPN),请参阅选择 VPN 路由选项

简介

Cloud VPN 通过 IPsec VPN 连接,将您的本地网络安全地连接到 Google Cloud Platform (GCP) 的 Virtual Private Cloud (VPC) 网络。两个网络之间的流量传输由一个 VPN 网关加密,然后由另一个 VPN 网关解密。此举可以保护您的数据在互联网上传输时的安全。

特性

Cloud VPN 包括以下特性:

VPN 拓扑

下图所示为您的 Cloud VPN 网关与本地 VPN 网关之间的简单 VPN 连接。

利用 Cloud VPN,您的本地主机可通过一个或多个 IPsec VPN 隧道,与您项目的 VPC 网络中的 Compute Engine 虚拟机 (VM) 实例通信。

VPN 示意图(点击放大)
VPN 示意图(点击放大)

为混合网络选择 VPN

请参阅如何选择互连类型,以确定是否使用 Cloud VPN、Cloud Interconnect(专用或 Cloud Interconnect)合作伙伴作为与 GCP 的混合网络连接。此页面还介绍了 Cloud VPN 支持的 VPN 方案类型。

术语

以下是在 VPN 文档中通用的术语:

项目 ID
GCP 项目的 ID。这不是项目名称,而是用户为项目创建的易记名称。要查找此 ID,请参阅 GCP Console 中的项目 ID 列。如需了解详情,请参阅识别项目
互联网密钥交换 (IKE)
IKE 是用于身份验证和协商加密流量会话密钥的协议。
Cloud VPN 网关
在 GCP 中运行的虚拟 VPN 网关,此网关由 Google 使用您在项目中指定的配置进行管理。每个 Cloud VPN 网关都是使用区域外部 IP 地址的区域资源。Cloud VPN 网关既可连接到本地 VPN 网关,也可连接到其他 Cloud VPN 网关。
本地 VPN 网关
不在 GCP 中的 VPN 网关,此网关与 Cloud VPN 网关相连,可以是数据中心内的物理设备,也可以是其他云提供商网络中基于物理设备或软件的 VPN 产品。Cloud VPN 说明是从 VPC 网络的视角编写的,因此“本地网关”是连接到 Cloud VPN 的网关。
VPN 隧道
VPN 隧道用于连接两个 VPN 网关,并充当传输加密流量的虚拟介质。要在两个 VPN 网关之间创建连接,必须建立两个 VPN 隧道:每个隧道从其网关的角度定义连接,只有在隧道对建立之后流量才能通过。Cloud VPN 隧道始终与特定的 Cloud VPN 网关资源相关联。

隧道路由选项

Cloud VPN 为 VPN 隧道提供三种不同的路由方法:

动态 (BGP) 路由
如果受相应的 VPN 网关或本地 VPN 网关支持,则 Cloud Router 可以使用边界网关协议 (BGP) 管理 Cloud VPN 隧道的路由。借助此路由方法,可在不更改隧道配置的情况下更新和交换路由。通往 GCP 子网的路由会导出到本地 VPN 网关,通往从本地 VPN 网关获知的本地子网的路由则会应用于您的 VPC 网络,二者依据的都是网络的动态路由选项。建议使用动态路由,因为动态路由不需要在路由更改时重新创建隧道。
基于政策的路由
利用此路由选项,您可以在创建 Cloud VPN 隧道时指定“远程网络 IP 地址范围”和“本地子网”。从 Cloud VPN 的角度看,远程网络 IP 地址范围位于 VPN 隧道“右侧”,本地子网位于其“左侧”。创建隧道时,GCP 会自动为每个远程网络地址范围创建静态路由。在本地 VPN 网关处创建相应的隧道时,右侧和左侧地址范围反转。
基于路由的 VPN
利用此路由选项,您只需指定“远程网络 IP 地址范围”(右侧)。所有传入的流量均通过隧道接受,具体取决于您手动创建的路由。

如需详细了解网络类型和路由选项,请参阅选择 VPC 网络类型和路由选项页面。

规格

从技术层面来讲,可以创建通过 VPN 和 GCP 网络将两个或多个本地位置进行彼此链接的中心辐射配置,但此类设置违反了服务条款。只要涉及的本地位置不超过一个,您就可以创建中心辐射型 GCP 网络链接。

Cloud VPN 具有以下规范:

  • Cloud VPN 能与 VPC 网络旧版网络一起使用。对于 VPC,建议您使用自定义模式,以便完全控制网络中的子网使用的 IP 地址范围。

    • 如果本地子网的 IP 地址范围与 VPC 网络中子网所使用的 IP 地址重叠,请参考路由顺序确定路由冲突的解决方式。
  • 可以将 Cloud VPN 与专用 Google 访问权限一起用于本地主机,这样,本地主机将可以使用内部 IP 地址而非外部 IP 地址来访问 Google API 和服务。如需了解详情,请参阅 VPC 文档中的专用访问权限选项

  • 每个 Cloud VPN 网关必须连接到另一个 Cloud VPN 网关或本地 VPN 网关。

  • 本地 VPN 网关必须具有静态外部 IP 地址。您需要知道其 IP 地址才可以配置 Cloud VPN。

    • 如果您的本地 VPN 网关受防火墙保护,则必须配置防火墙,使 ESP (IPSec) 协议和 IKE(UDP 500 和 UDP 4500)流量可以传送至该网关。如果防火墙提供网络地址转换 (NAT),请参阅 UDP 封装和 NAT-T
  • Cloud VPN 仅支持用于身份验证的预共享密钥(共享密钥)。您必须在创建 Cloud VPN 隧道时指定共享密钥。在本地网关上创建隧道时必须指定相同的密钥。请参阅这些用于创建强共享密钥的指南

  • Cloud VPN 使用的最大传输单元 (MTU) 为 1460 字节。必须配置本地 VPN 网关,将其使用的 MTU 限制在 1460 字节之内。

    • 考虑到 ESP 开销,您可能需要将通过隧道发送流量的系统的 MTU 值设置为较小的值。如需详细了解相关讨论和建议,请参阅 MTU 注意事项
  • Cloud VPN 要求将本地 VPN 网关配置为支持预碎片化。数据包必须先分段,然后再封装。

  • Cloud VPN 将重放检测用于 4096 数量范围内的数据包。你无法关闭此检测。

  • 如需了解 Cloud VPN 支持的加密方式和配置参数,请参阅支持的 IKE 加密方式

维护和可用性

Cloud VPN 需要定期进行维护。维护期间,Cloud VPN 隧道将离线,会导致网络流量短暂下降。维护完成后,Cloud VPN 隧道会自动重新建立。

Cloud VPN 维护是一项正常的操作任务,可能随时发生,恕不事先通知。维护周期设计得足够短,所以不会影响 Cloud VPN SLA

您可以使用多个隧道设计可用性很高的 VPN 配置。冗余和高吞吐量 VPN 页面介绍了一些执行该操作的策略。

UDP 封装和 NAT-T

Cloud VPN 支持通过 UDP 封装进行 NAT-遍历 (NAT-T) 的一对一 NAT。支持一对多 NAT 和基于端口的地址转换。换句话说,Cloud VPN 无法连接到共享单个公共 IP 地址的多个本地或对等 VPN 网关。

使用一对一 NAT 时,必须将本地 VPN 网关配置为使用公共 IP 地址而非其内部(私有)地址来标识自己。配置要连接到本地 VPN 网关的 Cloud VPN 隧道时,您需要指定一个外部 IP 地址。Cloud VPN 预期本地 VPN 网关会将其外部 IP 地址用于其身份。

如需详细了解一对一 NAT 后面的 VPN 网关,请参阅问题排查页面

最佳做法

使用这些最佳做法,以最有效的方式构建您的 Cloud VPN。

后续事项

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud VPN