La VPN de alta disponibilidad mediante Cloud Interconnect te permite cifrar el tráfico que atraviesa tus conexiones de interconexión dedicada o Partner Interconnect. Para usar la VPN de alta disponibilidad mediante Cloud Interconnect, debes implementar túneles de VPN de alta disponibilidad en tus conexiones de VLAN.
Con la VPN de alta disponibilidad a través de Cloud Interconnect, puedes mejorar la seguridad general de tu empresa y cumplir las normativas del sector actuales y futuras. Por ejemplo, es posible que tengas que cifrar el tráfico saliente de tus aplicaciones o asegurarte de que los datos se cifren en tránsito a través de terceros.
Tienes muchas opciones para cumplir estos requisitos. El cifrado se puede realizar en varias capas de la pila OSI y es posible que no se admita universalmente en algunas capas. Por ejemplo, Seguridad en la capa de transporte (TLS) no es compatible con todos los protocolos basados en TCP, y puede que no se admita la habilitación de Datagram TLS (DTLS) en todos los protocolos basados en UDP. Una solución es implementar el cifrado en la capa de red con el protocolo IPsec.
Como solución, la VPN de alta disponibilidad mediante Cloud Interconnect ofrece herramientas de implementación mediante la Google Cloud consola, la CLI de Google Cloud y la API Compute Engine. También puedes usar direcciones IP internas para tus pasarelas de VPN de alta disponibilidad. Las vinculaciones de VLAN que crees para la VPN de alta disponibilidad mediante Cloud Interconnect admiten conexiones a endpoints de Private Service Connect. Por último, la VPN de alta disponibilidad mediante Cloud Interconnect tiene un SLA que se deriva de sus componentes subyacentes, Cloud VPN y Cloud Interconnect. Para obtener más información, consulta el ANS.
Otra opción es crear una puerta de enlace VPN autogestionada (noGoogle Cloud) en tu red de nube privada virtual (VPC) y asignar una dirección IP interna a cada puerta de enlace. Por ejemplo, puedes ejecutar una VPN strongSwan en una instancia de Compute Engine. A continuación, finalizas los túneles IPsec en esas pasarelas de VPN mediante Cloud Interconnect desde un entorno on-premise. Para obtener más información sobre las opciones de VPN de alta disponibilidad, consulta las topologías de VPN de alta disponibilidad.
No puedes implementar pasarelas ni túneles de VPN clásica a través de Cloud Interconnect.
Arquitectura de despliegue
Cuando implementas una VPN de alta disponibilidad mediante Cloud Interconnect, creas dos niveles operativos:
- El nivel de Cloud Interconnect, que incluye las vinculaciones de VLAN y Cloud Router para Cloud Interconnect.
- El nivel de VPN de alta disponibilidad, que incluye las pasarelas y los túneles de VPN de alta disponibilidad, así como Cloud Router para VPN de alta disponibilidad.
Cada nivel requiere su propio Cloud Router:
- Cloud Router para Cloud Interconnect se usa exclusivamente para intercambiar prefijos de pasarela de VPN entre las vinculaciones de VLAN. Este router de Cloud solo lo usan las vinculaciones de VLAN del nivel de Cloud Interconnect. No se puede usar en el nivel de VPN de alta disponibilidad.
- Cloud Router para VPN de alta disponibilidad intercambia prefijos entre tu red de VPC y tu red on-premise. El Cloud Router de la VPN de alta disponibilidad y sus sesiones BGP se configuran de la misma forma que en una implementación normal de VPN de alta disponibilidad.
La capa de VPN de alta disponibilidad se crea sobre la capa de Cloud Interconnect. Por lo tanto, el nivel de VPN de alta disponibilidad requiere que el nivel de Cloud Interconnect, basado en Interconexión dedicada o Partner Interconnect, esté configurado correctamente y operativo.
En el siguiente diagrama se muestra una implementación de VPN de alta disponibilidad mediante Cloud Interconnect.
Los intervalos de direcciones IP que aprende Cloud Router en el nivel de Cloud Interconnect se usan para seleccionar el tráfico interno que se envía a las pasarelas de VPN de alta disponibilidad y a las conexiones de VLAN.
Conmutación por error
En las siguientes secciones se describen los diferentes tipos de conmutación por error de la VPN de alta disponibilidad mediante Cloud Interconnect.
Conmutación por error de Cloud Interconnect
Cuando la sesión BGP de la capa de Cloud Interconnect deja de funcionar, se retiran las rutas de la VPN de alta disponibilidad a Cloud Interconnect correspondientes. Esta retractación provoca la interrupción del túnel VPN de alta disponibilidad. Por lo tanto, las rutas se transfieren a los otros túneles de VPN de alta disponibilidad alojados en la otra vinculación de VLAN.
En el siguiente diagrama se muestra la conmutación por error de Cloud Interconnect.
Conmutación por error de túneles VPN de alta disponibilidad
Cuando se interrumpe una sesión BGP en el nivel de VPN de alta disponibilidad, se produce una conmutación por error normal de BGP y el tráfico del túnel de VPN de alta disponibilidad se enruta a otros túneles de VPN de alta disponibilidad disponibles. Las sesiones de BGP del nivel de Cloud Interconnect no se ven afectadas.
En el siguiente diagrama se muestra la conmutación por error de un túnel de VPN de alta disponibilidad.
Acuerdo de nivel de servicio
VPN de alta disponibilidad es una solución de Cloud VPN de alta disponibilidad que te permite conectar de forma segura tu red on-premise a tu red de VPC mediante una conexión VPN IPsec en una sola Google Cloud región. La VPN de alta disponibilidad, desplegada por sí sola, tiene su propio SLA cuando se configura correctamente.
Sin embargo, como la VPN de alta disponibilidad se implementa sobre Cloud Interconnect, el acuerdo de nivel de servicio general de la VPN de alta disponibilidad mediante Cloud Interconnect coincide con el de la topología de Cloud Interconnect que elijas implementar.
El SLA de la VPN de alta disponibilidad mediante Cloud Interconnect depende de la topología de Cloud Interconnect que elijas implementar. Para cumplir los requisitos de un acuerdo de nivel de servicio, tus implementaciones deben tener una pasarela con dos vinculaciones de VLAN asociadas (conmutación por error).
Despliegues con una sola vinculación de VLAN
No hay ningún SLA para las implementaciones de pasarelas con una sola vinculación de VLAN.
Despliegue multirregional para aplicaciones a nivel de producción
Si la implementación usa una topología de Cloud Interconnect multirregión, la implementación de VPN de alta disponibilidad mediante Cloud Interconnect tiene un SLA del 99,99%.
- En el caso de la interconexión dedicada, consulta el artículo Establecer un 99,99 % de disponibilidad en la interconexión dedicada.
- En el caso de Partner Interconnect, consulta Establecer un 99,99 % de disponibilidad en Partner Interconnect.
Implementación en una sola región para aplicaciones que no son críticas
Si la implementación usa una topología de Cloud Interconnect de una sola región, la implementación de VPN de alta disponibilidad mediante Cloud Interconnect tiene un SLA del 99,9%.
- En el caso de la interconexión dedicada, consulta el artículo Establecer un 99,9 % de disponibilidad en la interconexión dedicada.
- En el caso de Partner Interconnect, consulta el artículo Establecer un 99,9 % de disponibilidad en Partner Interconnect.
Resumen de precios
En las implementaciones de VPN de alta disponibilidad mediante Cloud Interconnect, se te cobra por los siguientes componentes:
- Tu conexión de interconexión dedicada, si usas este tipo de interconexión.
- Cada vinculación de VLAN.
- Cada túnel VPN.
- Solo tráfico de salida de Cloud Interconnect. No se te cobrará por el tráfico de salida de Cloud VPN que transporten tus túneles de VPN de alta disponibilidad.
- Direcciones IP externas regionales asignadas a tus pasarelas de VPN de alta disponibilidad, si decides usar direcciones IP externas. Sin embargo, solo se te cobrará por las direcciones IP que no utilicen los túneles VPN.
Para obtener más información, consulta Precios de Cloud VPN y Precios de Cloud Interconnect.
Limitaciones
Configuración:
La pasarela VPN de alta disponibilidad es un recurso inmutable. Una vez que hayas creado y asociado una vinculación de VLAN, no podrás cambiar las asociaciones entre la vinculación y las interfaces de la pasarela de VPN de alta disponibilidad.
Por ejemplo, si más adelante decides que necesitas configurar la conmutación por error, debes crear una pasarela de VPN de alta disponibilidad y, a continuación, eliminar la pasarela original y sus túneles.
Debes seleccionar el cifrado IPsec al crear la vinculación de VLAN. No puedes añadir cifrado a un archivo adjunto más adelante.
Para cada vinculación de VLAN, solo puedes reservar un intervalo de direcciones IP internas para las interfaces de tu pasarela VPN de alta disponibilidad.
Habilitar la detección de reenvío bidireccional (BFD) no proporciona una detección de errores más rápida en las implementaciones de VPN de alta disponibilidad mediante Cloud Interconnect.
La VPN de alta disponibilidad mediante Cloud Interconnect admite pasarelas de VPN de alta disponibilidad IPv4 e IPv6 (de pila dual). Para crear pasarelas de VPN de alta disponibilidad de doble pila, debes usar la CLI de Google Cloud o la API Cloud Interconnect. No puedes usar el asistente de implementación de la VPN de alta disponibilidad mediante Cloud Interconnect en la consola de Google Cloud .
Carga útil y latencia:
La VPN de alta disponibilidad mediante Cloud Interconnect distingue entre los siguientes valores de unidad de transmisión máxima (MTU):
MTU de la pasarela de VPN de alta disponibilidad mediante Cloud Interconnect: 1440 bytes.
MTU de la carga útil de la VPN de alta disponibilidad mediante Cloud Interconnect: entre 1354 y 1386 bytes, según el cifrado utilizado. Para obtener más información, consulta Valores de MTU del tráfico cifrado.
Cada túnel de VPN de alta disponibilidad puede admitir hasta 250.000 paquetes por segundo en el tráfico de entrada y salida. Esta es una limitación de las VPN de alta disponibilidad. Para obtener más información, consulta la sección Límites de la documentación de Cloud VPN.
En el caso de una sola vinculación de VLAN con el cifrado habilitado, el rendimiento combinado de entrada y salida está limitado a 50 Gbps.
En cuanto a la latencia, añadir cifrado IPsec a Cloud Interconnect
el tráfico añade cierto retraso. Durante el funcionamiento normal, la latencia añadida es inferior a 5 milisegundos.
Puedes finalizar las vinculaciones de VLAN y los túneles IPsec en dos dispositivos físicos on-premise diferentes. Las sesiones de BGP de cada vinculación de VLAN, que anuncian y negocian los prefijos de la pasarela de VPN, deben finalizar en el dispositivo de vinculación de VLAN on-premise. Las sesiones BGP de cada túnel VPN, que anuncian los prefijos de nube (como de costumbre), deben finalizar en el dispositivo VPN.
Los ASN de los dos routers de Cloud pueden ser diferentes. Las interfaces de Cloud Router que se emparejan con dispositivos on-premise no pueden tener asignadas direcciones IP RFC 1918 (privadas).
Siguientes pasos
Para seguir los pasos necesarios para implementar la VPN de alta disponibilidad mediante Cloud Interconnect, consulta el proceso de implementación de la VPN de alta disponibilidad mediante Cloud Interconnect.
Para desplegar una VPN de alta disponibilidad mediante Cloud Interconnect
Para usar Terraform, consulta los ejemplos de Terraform para la VPN de alta disponibilidad mediante Cloud Interconnect.
Para configurar la VPN de alta disponibilidad mediante Cloud Interconnect, consulta el artículo Configurar la VPN de alta disponibilidad mediante Cloud Interconnect.