选择 VPN 选项

Google Cloud 提供了两种类型的 Cloud VPN 网关:高可用性 VPN 和传统 VPN。

如需了解如何迁移到高可用性 VPN,请参阅从传统 VPN 转为高可用性 VPN

高可用性 VPN

高可用性 VPN 是一种高可用性 (HA) Cloud VPN 解决方案,可让您在单个区域中通过 IPsec VPN 连接将您的本地网络安全地连接到 Virtual Private Cloud 网络。高可用性 VPN 提供服务可用性达 99.99% 的服务等级协议 (SLA)。

创建高可用性 VPN 网关时,Google Cloud 会自动选择两个公共 IP 地址,两个固定数量的接口各对应一个地址。每个 IP 地址都是从唯一地址池中自动选取的,以支持高可用性。每个高可用性 VPN 网关接口都支持多个隧道。您也可以创建多个高可用性 VPN 网关。

您可以将高可用性 VPN 网关配置为只有一个活动接口和一个公共 IP 地址;但是,此配置不会提供服务可用性达 99.99% 的 SLA。

在 API 文档和 gcloud 命令中,高可用性 VPN 网关被称为 VPN 网关,而不是目标 VPN 网关

您无需为高可用性 VPN 网关创建任何转发规则。

高可用性 VPN 使用 Google Cloud 中的外部 VPN 网关资源向 Google Cloud 提供有关您的一个或多个对等 VPN 网关的信息。如需了解详情,请参阅外部 VPN 网关资源对等 VPN 网关的定义。

下图演示了高可用性 VPN 概念,其中显示了一个拓扑,该拓扑包含连接到两个对等 VPN 网关的高可用性 VPN 网关的两个接口。如需详细了解高可用性 VPN 拓扑(配置方案),请参阅“Cloud VPN 拓扑”页面。


连接到两个对等 VPN 网关的高可用性 VPN 网关(点击放大)
连接到两个对等 VPN 网关的高可用性 VPN 网关(点击放大)

高可用性 VPN 要求

Cloud VPN 配置必须满足以下要求,才能让高可用性 VPN 达到 99.99% 的服务级可用性:

  • 当您将高可用性 VPN 网关连接到对等网关后,只能在连接的 Google Cloud 端保证 99.99% 的可用性。端到端可用性取决于对等 VPN 网关的正确配置。
  • 如果双方均为 Google Cloud 网关且已正确配置,则可保证端到端 99.99% 的可用性。
  • 当两个 VPN 网关都位于 VPC 网络中时,要实现高可用性,您必须使用两个高可用性 VPN 网关,且这两个网关必须位于同一区域。虽然两个网关必须位于同一区域,但如果您的 Virtual Private Cloud 网络使用了全球动态路由模式,则它们彼此共享的子网的路由可位于任何区域。如果您的 VPC 网络使用区域动态路由模式,则只有同一区域中的子网的路由才能与对等网络共享,且已知路由仅应用于 VPN 隧道所在区域中的子网。如需详细了解 VPC 网络的动态路由模式,请参阅 VPC 网络概览。
  • 当 Google Cloud IP 地址在外部 VPN 网关资源中配置时,高可用性 VPN 将拒绝这些地址。例如,使用虚拟机实例的外部 IP 地址作为外部 VPN 网关资源的公共 IP 地址。唯一受支持的高可用性 VPN Google Cloud 到 Google Cloud 拓扑出现在两端都使用高可用性 VPN 的情况下,如创建 Google Cloud 到 Google Cloud 的高可用性 VPN 网关中所述。
  • 您必须根据 Cloud VPN 网关来配置两个 VPN 隧道:
    • 如果您具有两个对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到自己的对等网关
    • 如果您具有包含两个接口的单个对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到对等网关上该隧道自己的接口
    • 如果您具有包含单个接口的单个对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的两个隧道都必须连接到对等网关上的相同接口
  • 对等 VPN 设备必须配置有足够的冗余。足够冗余的配置的详细信息由设备供应商指定,可能包含也可能不包含多个硬件实例。如需了解详情,请参阅对等 VPN 设备的供应商文档。如果需要两个对等设备,则每个对等设备都必须连接到不同高可用性 VPN 网关接口。如果对等方是 AWS 等其他云提供商,则 VPN 连接还必须在 AWS 端配置有足够的冗余。
  • 您的对等 VPN 网关设备必须支持动态 (BGP) 路由。

传统 VPN

相比之下,传统 VPN 网关具有单个接口、单个外部 IP 地址,并支持使用动态 (BGP) 或静态路由(基于路由或基于政策)的隧道。它们提供服务可用性达 99.9% 的 SLA。

对于受支持的传统 VPN 拓扑,请参阅传统 VPN 拓扑页面。

在 API 文档和 gcloud 命令中,传统 VPN 被称为目标 VPN 网关

对照表

下表比较了高可用性 VPN 与传统 VPN 的功能。

功能 高可用性 VPN 传统 VPN
SLA 在配置了两个接口和两个公共 IP 时,可提供 99.99% 的 SLA 提供了 99.9% 的 SLA
创建公共 IP 和转发规则 通过池创建公共 IP。无需转发规则 必须创建公共 IP 和转发规则
支持路由选项 仅限动态路由 (BGP) 静态路由(基于政策、基于路由)或使用 BGP 的动态路由
从一个 Cloud VPN 网关到相同对等网关的两条隧道 支持 不支持
API 资源 称为“vpn 网关”资源 称为“目标 vpn 网关”资源

后续步骤

创建高可用性 VPN

创建传统 VPN

高级配置

  • 如需了解高可用性、高吞吐量场景或多子网场景,请参阅高级配置

管理现有的 Cloud VPN