Topologies Cloud VPN

Avec Cloud VPN, vos hôtes sur site communiquent via un ou plusieurs tunnels VPN IPsec avec des instances de machines virtuelles (VM) Compute Engine dans les réseaux VPC de votre projet.

Cette page présente les topologies recommandées pour les VPN haute disponibilité. Pour les topologies de VPN classiques, consultez la page Topologies des VPN classiques.

Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.

Aperçu

Le VPN haute disponibilité prend en charge le VPN de site à site selon l'une des topologies ou l'un des scénarios de configuration recommandés ci-après. Contactez le fournisseur de votre passerelle VPN de pairs pour déterminer le scénario de configuration à utiliser :

  • Une passerelle VPN haute disponibilité vers des appareils de VPN pairs. Toutes ces topologies nécessitent deux tunnels VPN du point de vue de la passerelle VPN haute disponibilité. Vérifiez auprès du fournisseur de votre passerelle VPN de pairs la topologie convenant le mieux.
    • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, où chaque appareil pair possède sa propre adresse IP publique.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant de deux adresses IP publiques distinctes.
    • Une passerelle VPN haute disponibilité vers un appareil de VPN pair disposant d'une adresse IP publique.
  • Une passerelle VPN haute disponibilité vers une passerelle privée virtuelle AWS, qui est une configuration de passerelle de pairs dotée de quatre interfaces.
  • Deux passerelles VPN haute disponibilité connectées entre elles.

Configurations assurant une disponibilité à 99,99 %

Afin de garantir un contrat de niveau de service pour une disponibilité à 99,99 % des connexions de VPN haute disponibilité, vous devez configurer correctement 2 ou 4 tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs, ou vers une autre passerelle VPN haute disponibilité.

Pour que la configuration soit correcte, les tunnels VPN doivent fournir une redondance adéquate en se connectant à toutes les interfaces de la passerelle VPN haute disponibilité et de la passerelle VPN de pairs, ou d'une autre passerelle VPN haute disponibilité.

Chacune des sections suivantes explique comment configurer des tunnels aux deux extrémités de la connexion VPN pour garantir une disponibilité de 99,99 %.

Configurer un VPN haute disponibilité pour augmenter la bande passante

Afin d'augmenter la bande passante pour les VPN haute disponibilité, il est recommandé d'avoir recours au scaling, en procédant comme suit :

Réalisez le scaling des passerelles au lieu de déployer plusieurs tunnels connectés à chaque interface d'une passerelle VPN haute disponibilité existante (configuration nœud papillon).

Vous pouvez connecter plusieurs passerelles VPN haute disponibilité à une même passerelle VPN de pairs (ressource de passerelle VPN externe) avec le nombre de tunnels supplémentaires autorisés par les quotas et limites de Cloud VPN.

Vous trouverez ci-dessous un exemple de passerelle VPN haute disponibilité avec un débit de 10 Gbit/s, utilisant les ressources Google Cloud suivantes :

  • Un Routeur cloud
  • Quatre passerelles VPN haute disponibilité contenant chacune deux tunnels, pour un total de huit tunnels VPN
  • Huit sessions BGP au total

Cette configuration suppose une configuration MED active/passive pour les sessions BGP associées à interface 0 et interface 1 respectivement sur chaque passerelle. Autrement dit, quatre tunnels de l'interface 0 sont actifs et quatre tunnels de l'interface 1 sont passifs.

Passerelles entre VPN haute disponibilité et VPN pairs

Il existe trois configurations de passerelle de pairs pour les VPN haute disponibilité :

  • Une passerelle VPN haute disponibilité vers deux appareils de VPN pairs distincts, chacun avec sa propre adresse IP
  • Une passerelle VPN haute disponibilité vers un appareil de VPN pair utilisant deux adresses IP distinctes.
  • Une passerelle VPN haute disponibilité vers un appareil VPN pair utilisant une adresse IP

Pour réaliser l'une de ces configurations, consultez la section Créer une passerelle entre un VPN haute disponibilité et un VPN pair.

Deux appareils VPN pairs

Si votre passerelle côté pairs est basée sur du matériel, la mise en place d'une deuxième passerelle côté pairs offre des fonctionnalités de redondance et de basculement de ce côté de la connexion. La présence d'une deuxième passerelle physique vous permet de mettre l'une des passerelles hors connexion pour les mises à niveau logicielles ou d'autres opérations de maintenance planifiées. Elle vous protège également en cas de défaillance de l'un des appareils.

Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux appareils pairs. Chaque appareil pair possède une interface et une adresse IP publique. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.

VPN haute disponibilité vers deux appareils pairs sur site (cliquez pour agrandir)
VPN haute disponibilité vers deux appareils pairs sur site (cliquez pour agrandir)

Un seul appareil VPN pair avec deux adresses IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant deux adresses IP publiques distinctes. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque adresse IP publique sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend également la valeur TWO_IPS_REDUNDANCY.

VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP (cliquez pour agrandir)
VPN haute disponibilité vers un appareil pair sur site avec deux adresses IP (cliquez pour agrandir)

Un seul appareil VPN pair avec une seule adresse IP

Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à un appareil pair possédant une adresse IP publique. La passerelle VPN haute disponibilité utilise deux tunnels, qui relient tous deux la même adresse IP publique sur l'appareil pair.

Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur SINGLE_IP_INTERNALLY_REDUNDANT.

VPN haute disponibilité vers un seul appareil pair sur site avec une seule adresse IP (cliquez pour agrandir)
VPN haute disponibilité vers un seul appareil pair sur site avec une seule adresse IP (cliquez pour agrandir)

Passerelles de pairs AWS

Lors de la configuration d'une passerelle VPN haute disponibilité externe vers Amazon Web Services, la topologie compatible nécessite deux passerelles privées AWS, A et B. Chaque passerelle doit disposer de deux adresses IP publiques. Cette topologie engendre quatre adresses IP publiques au total dans AWS : A1, A2, B1 et B2.

  1. Configurez les quatre adresses IP AWS comme une seule passerelle VPN haute disponibilité externe à l'aide de FOUR_IPS_REDUNDANCY, où :
    • l'adresse IP AWS 0 équivaut à A1 ;
    • l'adresse IP AWS 1 équivaut à A2 ;
    • l'adresse IP AWS 2 équivaut à B1 ;
    • l'adresse IP AWS 3 équivaut à B2.
  2. Créez quatre tunnels sur la passerelle VPN haute disponibilité pour atteindre la disponibilité de 99,99 % garantie par le contrat de niveau de service. Pour ce faire, configurez les tunnels de la façon suivante :
    • De l'interface 0 du VPN haute disponibilité à l'interface 0 d'AWS
    • De l'interface 0 du VPN haute disponibilité à l'interface 1 d'AWS
    • De l'interface 1 du VPN haute disponibilité à l'interface 2 d'AWS
    • De l'interface 1 du VPN haute disponibilité à l'interface 3 d'AWS

Aperçu des étapes de configuration avancée du VPN haute disponibilité avec Amazon Web Services (AWS) :

  1. Créez une passerelle VPN haute disponibilité et un routeur Cloud Router. Deux adresses IP publiques sont automatiquement créées du côté GCP.
  2. Créez deux passerelles privées virtuelles AWS. Quatre adresses IP publiques sont automatiquement créées du côté AWS.
  3. Créez deux connexions et deux passerelles client AWS Site-to-Site VPN (une pour chaque passerelle virtuelle privée AWS). Spécifiez une plage distincte d'adresses IP de tunnel de liaison locale par tunnel, soit quatre au total. Par exemple, 169.254.1.4/30.
  4. Téléchargez les fichiers de configuration AWS correspondants au type d'appareil générique.
  5. Créez quatre tunnels VPN sur la passerelle VPN haute disponibilité.
  6. Configurez les sessions BGP sur le routeur Cloud Router à l'aide des adresses IP BGP. Vous les trouverez dans les fichiers de configuration téléchargés.

Garantir une disponibilité à 99,99 %

Pour respecter le contrat de niveau de service garantissant 99,99 % de disponibilité du côté de GCP, un tunnel doit relier chacune des deux interfaces de la passerelle VPN haute disponibilité aux interfaces correspondantes de la passerelle de pairs.

Si la passerelle de pairs comporte deux interfaces, la configuration de deux tunnels, un reliant chaque interface pair à chaque interface de passerelle VPN haute disponibilité, répond aux exigences de 99,9 % de disponibilité imposées par le contrat de niveau de service. Il n'est pas nécessaire de configurer un réseau maillé complet pour respecter le contrat de niveau de service de 99,99 % de disponibilité du côté de GCP. Dans ce cas, un réseau maillé complet est constitué de deux tunnels reliant chaque interface VPN haute disponibilité à chacune des deux interfaces de la passerelle de pairs, pour un total de quatre tunnels du côté Google Cloud. Consultez la documentation de votre appareil VPN pair (sur site), ou contactez le fournisseur de votre VPN pour vérifier s'il recommande une configuration de réseau maillé complet.

L'exemple suivant assure une disponibilité de 99,99 % :

Dans cette configuration, les tunnels de chacune des interfaces suivantes sur la passerelle VPN haute disponibilité se rapportent aux interfaces correspondantes sur la ou les passerelles de pairs :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
  • interface 1 de VPN haute disponibilité correspondant à interface 1 pair

Des exemples sont présentés dans les illustrations de deux appareils pairs, deux interfaces et un seul appareil pair, deux interfaces.

S'il n'existe qu'une seule interface pair sur une passerelle de pairs, chaque tunnel de chaque interface de passerelle VPN haute disponibilité doit se connecter à l'interface pair unique. Un exemple est présenté dans l'illustration d'un seul appareil pair, une seule interface.

L'exemple suivant n'assure pas une disponibilité de 99,99 % :

  • interface 0 de VPN haute disponibilité correspondant à interface 0 pair
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)
Topologie n'offrant pas de haute disponibilité (cliquez pour agrandir)

Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud

Vous pouvez connecter deux réseaux Google Cloud VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau.

Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud (cliquez pour agrandir)
Passerelles VPN haute disponibilité pour connecter deux réseaux Google Cloud (cliquez pour agrandir)

Du point de vue de chaque passerelle VPN haute disponibilité, vous créez deux tunnels afin que les deux conditions suivantes soient remplies :

  • interface 0 sur une passerelle VPN haute disponibilité correspond à interface 0 sur l'autre VPN haute disponibilité.
  • interface 1 sur une passerelle VPN haute disponibilité correspond à interface 1 de l'autre VPN haute disponibilité.

Pour réaliser cette configuration, consultez la section Créer des passerelles entre deux VPN haute disponibilité.

Garantir une disponibilité à 99,99 %

Pour garantir une disponibilité à 99,99 % des passerelles entre deux VPN haute disponibilité, les interfaces suivantes doivent correspondre sur les deux passerelles :

  • interface 0 de VPN haute disponibilité correspond à interface 0 de VPN haute disponibilité.
  • interface 1 VPN haute disponibilité correspond à interface 1 de VPN haute disponibilité.

Étapes suivantes