Como escolher uma opção de VPN

O Google Cloud oferece dois tipos de gateways do Cloud VPN: VPN de alta disponibilidade e VPN clássica.

Para obter informações sobre como migrar para a VPN de alta disponibilidade, consulte a seção Como migrar para a VPN de alta disponibilidade a partir da VPN clássica.

VPN de alta disponibilidade

VPN de alta disponibilidade é uma solução de VPN de nuvem de alta disponibilidade que permite conectar com segurança sua rede local à rede de nuvem privada virtual por meio de uma conexão VPN IPsec em uma única região. A VPN de alta disponibilidade fornece um SLA de 99,99% de disponibilidade de serviço.

Quando você cria um gateway de alta disponibilidade, o Google Cloud escolhe automaticamente dois endereços IP públicos, um para cada número fixo de duas interfaces. Cada endereço IP é escolhido automaticamente a partir de um pool de endereços exclusivo para oferecer alta disponibilidade. Cada uma das interfaces de gateway da VPN de alta disponibilidade é compatível com vários túneis. Você também pode criar vários gateways de VPN de alta disponibilidade.

Você pode configurar um gateway de VPN de alta disponibilidade com apenas uma interface ativa e um endereço IP público; no entanto, essa configuração não fornece um SLA de disponibilidade de serviço de 99,99%.

Gateways de VPN de alta disponibilidade são chamados de gateways de VPN, em vez de gateways de VPN de destino, na documentação da API e em comandos gcloud.

Você não precisa criar regras de encaminhamento para gateways de VPN de alta disponibilidade.

A VPN de alta disponibilidade usa um recurso de gateway de VPN externo no Google Cloud para fornecer informações ao Google Cloud sobre seu gateway de VPN de peering ou gateways. Para mais informações, consulte as definições para recurso de gateway de VPN externo e gateway de VPN de peering.

O diagrama a seguir mostra o conceito de VPN de alta disponibilidade, mostrando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade conectadas a dois gateways de VPN de peering. Para ver topologias de VPN de alta disponibilidade mais detalhadas (cenários de configuração), consulte a página Topologias do Cloud VPN.


Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)
Um gateway de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar)

Requisitos de VPN de alta disponibilidade

Sua configuração do Cloud VPN deve cumprir os seguintes requisitos para alcançar uma disponibilidade de nível de serviço de 99,99% para a VPN de alta disponibilidade:

  • Quando você conecta um gateway de VPN de alta disponibilidade a seu gateway de peering, a disponibilidade de 99,99% é garantida apenas no lado da conexão do Google Cloud. A disponibilidade total está sujeita à configuração adequada do gateway de VPN de peering.
  • Se ambos os lados forem gateways do Google Cloud e estiverem configurados corretamente, a disponibilidade total de 99,99% é garantida.
  • Para conseguir alta disponibilidade quando os dois gateways da VPN estão localizados em redes VPC, você deve usar dois gateways da alta disponibilidade, e ambos devem estar localizados na mesma região. Embora ambos os gateways devam estar localizados na mesma região, as rotas para suas sub-redes podem estar localizadas em qualquer região se sua nuvem privada virtual usar modo de roteamento dinâmico global. Se a rede VPC usar modo de roteamento dinâmico regional, somente rotas para sub-redes na mesma região serão compartilhadas com a rede com peering e rotas aprendidas serão aplicadas somente às sub-redes na mesma região do túnel da VPN. Para mais informações sobre o modo de roteamento dinâmico de uma rede VPC, consulte a visão geral das redes VPC.
  • A alta disponibilidade rejeita endereços IP do Google Cloud quando eles são configurados em um recurso de gateway de VPN externo. Um exemplo disso é usar o endereço IP externo de uma instância de VM como o endereço IP público para o recurso externo do gateway da VPN. A única topologia de VPN de alta disponibilidade compatível para o Google Cloud é quando a VPN de alta disponibilidade é usada em ambos os lados, conforme documentado em Como criar gateways de VPN de alta disponibilidade do Google Cloud para o Google Cloud.
  • Você deve configurar dois túneis de VPN a partir da perspectiva do gateway da VPN do Cloud:
    • Se você tiver dois dispositivos de gateway de VPN de peering, cada um dos túneis de cada interface no gateway de VPN do Cloud deverá estar conectado a seu próprio gateway de peering.
    • Se você tiver um dispositivo de gateway de VPN de peering com duas interfaces, cada um dos túneis de cada interface do gateway de VPN do Cloud precisa estar conectado a sua própria interface no gateway de peering.
    • Se você tiver um dispositivo de gateway de VPN de peering com uma única interface, ambos os túneis de cada interface no gateway de VPN do Cloud deverão estar conectados à mesma interface no gateway de peering.
  • Um dispositivo de VPN de peering deve ser configurado com a redundância adequada. Os detalhes de uma configuração adequadamente redundante são especificados pelo fornecedor do dispositivo e podem ou não incluir várias instâncias de hardware. Consulte a documentação do fornecedor do dispositivo de VPN de peering para obter detalhes. Se dois dispositivos de peering forem necessários, cada um deles deve estar conectado a uma interface de gateway de VPN de alta disponibilidade diferente. Se o peering for outro provedor de nuvem como o AWS, as conexões VPN também deverão ser configuradas com redundância adequada no lado da AWS.
  • Seu dispositivo de gateway de VPN de peering deve suportar o roteamento dinâmico (BGP).

VPN clássica

Por outro lado, os gateways de VPN clássica têm uma única interface, um único endereço IP externo e túneis de suporte usando roteamento dinâmico (BGP) ou estático (com base em rota ou política). Eles fornecem um SLA de 99,9% de disponibilidade de serviço.

Para topologias de VPN clássica compatíveis, consulte a página Topologias de VPN clássica.

VPNs clássicas são chamadas de gateways de VPN de destino na documentação da API e nos comandos gcloud.

Tabela de comparação

A tabela a seguir compara os recursos da VPN de alta disponibilidade com os recursos da VPN clássica.

Recurso VPN de alta disponibilidade VPN clássica
SLA Fornece um SLA de 99,99% quando configurado com duas interfaces e dois IPs públicos Fornece um SLA de 99,9%
Criação de IPs públicos e regras de encaminhamento IPs públicos criados a partir de um pool. Nenhuma regra de encaminhamento obrigatória Devem ser criados IPs públicos e regras de encaminhamento
Opções de roteamento compatíveis Somente roteamento dinâmico (BGP) Roteamento estático (com base em rota e em política) ou roteamento dinâmico usando o BGP
Dois túneis de um gateway da VPN do Cloud para o mesmo gateway de peering Suporte Incompatível
Recursos de API Conhecido como o recurso de gateway de VPN Conhecido como o recurso de gateway de VPN de destino

A seguir

Como criar VPNs de alta disponibilidade

Como criar VPNs clássicas

Configurações avançadas

  • Consulte Configurações avançadas para informações sobre cenários de alta disponibilidade, alta capacidade ou várias sub-redes.

Como gerenciar Cloud VPNs atuais