Cloud VPN 總覽

這個頁面說明與 Google Cloud VPN 相關的概念。

如要建立虛擬私人網路 (VPN),請參閱選擇 VPN 轉送選項一文。

簡介

Cloud VPN 可以透過 IPsec VPN 連線,以安全的方式將您的內部部署網路連結至 Google Cloud Platform (GCP) 的虛擬私人雲端 (VPC) 網路。在兩個網路之間傳輸的流量會經由其中一個 VPN 閘道加密,然後由另一個 VPN 閘道解密,確保您的資料在網際網路上傳輸時安全無虞。

功能

Cloud VPN 包含下列功能:

VPN 拓撲

下圖顯示 Cloud VPN 閘道與內部部署 VPN 閘道之間的簡單 VPN 連線。

有了 Cloud VPN,您的內部部署主機可透過一或多個 IPsec VPN 通道,與專案虛擬私人雲端網路中的 Compute Engine 虛擬機器 (VM) 執行個體通訊。

VPN 圖 (按一下可放大)
VPN 圖 (按一下可放大)

為混合式網路選擇 VPN

請參閱如何選擇互連網路類型一文,判斷要使用 Cloud VPN、Cloud Interconnect (專屬) 還是 Cloud Interconnect (合作夥伴) 做為 GCP 的混合式網路連線。這個頁面也將介紹 Cloud VPN 支援的 VPN 情境類型。

術語

下列字詞用於整個 VPN 說明文件:

專案 ID
GCP 專案的 ID。這不是專案名稱,專案名稱是使用者為專案建立的易記名稱。如要尋找 ID,請參閱 GCP 主控台中的專案 ID 欄。詳情請參閱識別專案一文。
網際網路金鑰交換 (IKE)
IKE 是一種通訊協定,可用於驗證及針對工作階段金鑰進行交涉以加密流量。
Cloud VPN 閘道
這是在 Google 代管的 GCP 中執行的虛擬 VPN 閘道,使用您在專案中指定的設定。每個 Cloud VPN 閘道都是使用地區外部 IP 位址的地區資源,這類閘道可連結至內部部署 VPN 閘道或其他 Cloud VPN 閘道。
內部部署 VPN 閘道
這是不在 GCP 中的 VPN 閘道,已連結至 Cloud VPN 閘道,可以是資料中心中的實體裝置,也可以是其他雲端服務供應商網路中的實體或軟體型 VPN 服務。Cloud VPN 操作說明從您虛擬私人雲端網路的角度編寫而成,因此「內部部署閘道」為連結「至」Cloud VPN 的閘道。
VPN 通道
VPN 通道連結兩個 VPN 閘道,並做為虛擬媒介傳輸加密的流量。您必須建立兩個 VPN 通道才能在兩個 VPN 閘道之間建立連線:每個通道都會從其閘道的角度定義連線,而且只有在建立這對通道之後才會傳送流量。Cloud VPN 通道必定與特定 Cloud VPN 閘道資源相關聯。

通道轉送選項

Cloud VPN 為 VPN 通道提供了三種不同的轉送方法:

動態 (BGP) 轉送
如果獲得對應或內部部署 VPN 閘道的支援,Cloud Router 可以使用邊界閘道通訊協定 (BGP) 管理 Cloud VPN 通道的路徑。這個轉送方法允許在不變更通道設定的情況下更新及交換路徑。GCP 子網路的路徑會匯出至內部部署 VPN 閘道,而從內部部署 VPN 閘道取得的內部部署子網路路徑會套用至您的虛擬私人雲端網路,這兩者均取決於網路的動態轉送選項。建議使用動態轉送,因為該方法不需要在路徑變更時重新建立通道。
依據政策的轉送
使用這個轉送選項,您需要在建立 Cloud VPN 通道時指定「遠端網路 IP 範圍」與「本機子網路」。從 Cloud VPN 的角度來看,遠端網路 IP 範圍為「右側」,而本機子網路為 VPN 通道的「左側」。GCP 會在建立通道時,為每個遠端網路範圍自動建立靜態路徑。在內部部署 VPN 閘道建立對應通道時,右側與左側範圍會顛倒過來。
依據路徑的 VPN
使用這個轉送選項,您只需指定「遠端網路 IP 範圍」(右側)。受到您手動建立的路徑限制,系統會接受流經通道的所有連入流量。

如要進一步瞭解網路類型與轉送選項,請參閱選擇虛擬私人雲端網路類型與轉送選項頁面。

規格

就技術層面而言,可以透過多個 VPN 及一個 GCP 網路建立軸輻式設定,將兩個以上的內部部署位置彼此連結,但這樣的設定違反了我們的《服務條款》。只要涉及的內部部署位置不超過一個,您就可以建立軸輻式 GCP 網路連結。

Cloud VPN 的規格如下:

  • Cloud VPN 可以與虛擬私人雲端網路舊版網路搭配使用。針對虛擬私人雲端,建議使用自訂模式,以便您可以完全控制網路中的子網路使用的 IP 位址範圍。

    • 如果內部部署子網路的 IP 位址範圍與虛擬私人雲端網路的子網路使用的 IP 位址重疊,請參閱路徑順序一文,瞭解如何解決轉送衝突。
  • Cloud VPN 可以與「內部部署主機的私人 Google 存取權」搭配使用。這樣一來,內部部署主機就能透過內部 IP 位址存取 Google API 和服務,無須使用外部 IP 位址。詳情請參閱虛擬私人雲端說明文件中的私人存取權選項一節。

  • 每個 Cloud VPN 閘道都必須連結至其他 Cloud VPN 閘道或內部部署 VPN 閘道。

  • 內部部署 VPN 閘道必須擁有靜態外部 IP 位址。您必須知道該閘道的 IP 位址,才能設定 Cloud VPN。

    • 如果內部部署 VPN 閘道在防火牆背後,您必須設定防火牆才能為其傳送 ESP (IPSec) 通訊協定與 IKE (UDP 500 和 UDP 4500) 流量。如果防火牆提供網路位址轉譯 (NAT) 功能,請參閱 UDP 封裝與 NAT-T 一文。
  • Cloud VPN 僅支援使用預先共用金鑰 (共用密鑰) 進行驗證。建立 Cloud VPN 通道時,您必須指定共用密鑰。在內部部署閘道建立通道時,您必須指定相同的密鑰。請參閱建立高強度共用密鑰的規定

  • Cloud VPN 使用 1460 位元組的最大傳輸單位 (MTU)。您必須將內部部署 VPN 閘道設定為使用不大於 1460 位元組的 MTU。

    • 為了因應 ESP 負擔,您可能需要針對透過通道傳送流量的系統,將 MTU 設定為較低的值。請參閱 MTU 注意事項一文,瞭解詳細說明與建議。
  • Cloud VPN 需要將內部部署 VPN 閘道設定為支援預先分段。您必須在封裝「之前」對封包進行分段。

  • Cloud VPN 重新執行偵測時,會與 4096 個封包的範圍搭配使用。您無法關閉此功能。

  • 請參閱支援的 IKE 加密方式,瞭解 Cloud VPN 支援的加密方式與設定參數。

維護與可用性

Cloud VPN 會定期進行維護。在維護期間,Cloud VPN 通道會離線,導致網路流量的短暫中斷。維護完成時,系統會自動重新建立 Cloud VPN 通道。

Cloud VPN 的維護是一項正常的操作工作,可能會在任何時間發生,而不預先通知。維護時間設計的足夠短,不會影響 Cloud VPN 服務水準協議

您可以使用多個通道,設計可用性高的 VPN 設定。關於執行這項操作的一些策略討論,請參閱備援且高總處理量的 VPN 頁面。

UDP 封裝與 NAT-T

針對 NAT 周遊 (NAT-T),Cloud VPN 支援透過 UDP 封裝進行的一對一 NAT,支援一對多 NAT 與以通訊埠為基礎的位址轉譯。換句話說,Cloud VPN 無法連結至共用單一公開 IP 位址的多個內部部署或對等互連 VPN 閘道。

使用一對一 NAT 時,內部部署 VPN 閘道必須使用公開 IP 位址,而非使用其內部 (私人) 位址識別本身。將 Cloud VPN 通道設定為連結至內部部署 VPN 閘道時,您需要指定外部 IP 位址。Cloud VPN 預期內部部署 VPN 閘道針對其身分使用外部 IP 位址。

如要進一步瞭解一對一 NAT 後的 VPN 閘道,請參閱疑難排解頁面

最佳做法

請透過這些最佳做法,以最有效的方式建構 Cloud VPN。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN