本頁面由 Cloud Translation API 翻譯而成。

採用 Cloud Interconnect 的高可用性 VPN 總覽

採用 Cloud Interconnect 的高可用性 VPN 可讓您加密經過專屬互連網路或合作夥伴互連網路連線的流量。如要使用採用 Cloud Interconnect 的高可用性 VPN，您必須在 VLAN 連結上部署高可用性 VPN 通道。

透過 Cloud Interconnect 連線的高可用性 VPN，您可以提升企業的整體安全性，並遵守現有和即將實施的業界法規。舉例來說，您可能需要加密應用程式傳出的流量，或是確保資料在透過第三方傳輸時會加密。

您可以透過多種方式符合這些規定。加密作業可在 OSI 堆疊的多個層級執行，但部分層級可能不支援。舉例來說，並非所有以 TCP 為基礎的通訊協定都支援傳輸層安全標準 (TLS)，而且啟用 Datagram TLS (DTLS) 的所有以 UDP 為基礎的通訊協定可能也不支援。其中一個解決方案是使用 IPsec 通訊協定，在網路層實作加密功能。

採用 Cloud Interconnect 的高可用性 VPN 解決方案的優點在於，您可以使用 Google Cloud 主控台、Google Cloud CLI 和 Compute Engine API 提供部署工具。您也可以為 HA VPN 閘道使用內部 IP 位址。您為採用 Cloud Interconnect 的高可用性 VPN 建立的 VLAN 連結支援連線至 Private Service Connect 端點。最後，採用 Cloud Interconnect 的高可用性 VPN 有 SLA，這項服務等級協議是根據其基礎元件 Cloud VPN 和 Cloud Interconnect 衍生而來。詳情請參閱SLA。

另一個做法是在虛擬私有雲 (VPC) 網路中建立自行管理 (非Google Cloud) VPN 閘道，並為每個閘道指派內部 IP 位址。舉例來說，您可以在 Compute Engine 執行個體上執行 StrongSwan VPN，接著，從內部部署環境使用 Cloud Interconnect，將 IPsec 通道與這些 VPN 閘道連接。如要進一步瞭解高可用性 VPN 選項，請參閱高可用性 VPN 拓撲。

您無法透過 Cloud Interconnect 部署傳統版 VPN 閘道和通道。

部署架構

透過 Cloud Interconnect 部署高可用性 VPN 時，您會建立兩個運作層級：

Cloud Interconnect 層級，包括 VLAN 連結和 Cloud Interconnect 的 Cloud Router。
高可用性 VPN 層級，包括高可用性 VPN 閘道和通道，以及高可用性 VPN 的 Cloud Router。

每個層級都需要自己的 Cloud Router：

Cloud Interconnect 的 Cloud Router 專門用於在 VLAN 連結之間交換 VPN 閘道前置字串。這個 Cloud Router 僅供 Cloud Interconnect 層的 VLAN 連結使用。無法用於 HA VPN 層級。
高可用性 VPN 的 Cloud Router 會在 VPC 網路和地端部署網路之間交換前置字串。您可以按照一般高可用性 VPN 部署方式，為高可用性 VPN 和其 BGP 工作階段設定 Cloud Router。

您可以在 Cloud Interconnect 層之上建立高可用性 VPN 層。因此，高可用性 VPN 層級要求以專屬互連網路或合作夥伴互連網路為基礎的 Cloud Interconnect 層級，必須正確設定及運作。

下圖顯示採用 Cloud Interconnect 的高可用性 VPN 部署項目。

採用 Cloud Interconnect 的高可用性 VPN 部署架構 (點選即可放大)。 — **圖 1.** 採用 Cloud Interconnect 的高可用性 VPN 部署架構 (按一下可放大圖片)。

Cloud Router 在 Cloud Interconnect 層中取得的 IP 位址範圍，會用來選取傳送至高可用性 VPN 閘道和 VLAN 連結的內部流量。

容錯移轉

以下各節說明透過 Cloud Interconnect 備援的不同類型 HA VPN。

Cloud Interconnect 備援

當 Cloud Interconnect 層的 BGP 工作階段中斷時，系統會撤銷對應的 HA VPN 至 Cloud Interconnect 路徑。這項撤銷會導致高可用性 VPN 通道中斷。因此，路由會轉移至代管在其他 VLAN 連結的其他高可用性 VPN 通道。

下圖顯示 Cloud Interconnect 異動。

**圖 2.** 採用 Cloud Interconnect 的高可用性 VPN 的 Cloud Interconnect VLAN 連結備援 (按一下可放大檢視)。

HA VPN 通道容錯

當高可用性 VPN 層級的 BGP 工作階段關閉時，系統會發生正常的 BGP 備援，並將高可用性 VPN 通道流量路由至其他可用的高可用性 VPN 通道。Cloud Interconnect 層的 BGP 工作階段不受影響。

下圖顯示 HA VPN 通道故障移轉。

採用 Cloud Interconnect 的高可用性 VPN 的 HA VPN 通道備援 (按一下可放大圖片)。 — **圖 3.** 採用 Cloud Interconnect 的高可用性 VPN 的 HA VPN 通道備援 (按一下可放大)。

服務水準協議

高可用性 VPN 為高可用性 (HA) 的 Cloud VPN 解決方案，可讓您在單一Google Cloud 區域中使用 IPsec VPN 連線，安全地將地端部署網路連線至虛擬私有雲網路。在正確設定後，單獨部署的高可用性 VPN 會有專屬的 SLA。

不過，由於高可用性 VPN 是部署在 Cloud Interconnect 之上，因此採用 Cloud Interconnect 的高可用性 VPN 的整體服務水準協議，會與您選擇部署的 Cloud Interconnect 拓樸圖的服務水準協議相符。

採用 Cloud Interconnect 的高可用性 VPN 服務水準協議取決於您選擇部署的 Cloud Interconnect 拓樸。如要符合服務水準協議的資格規定，您的部署作業必須有 1 個閘道，且與 2 個 VLAN 連結相關聯 (備援)。

單一 VLAN 連結的部署作業

對於只有單一 VLAN 連結的閘道部署作業，沒有 SLA。
為正式版等級應用程式部署多個區域

如果部署作業使用多區域 Cloud Interconnect 拓撲，採用 Cloud Interconnect 的高可用性 VPN 部署作業的服務水準協議為 99.99%。
- 如需專屬互連網路的相關資訊，請參閱「為專屬互連網路建立 99.99% 的可用性」。
- 如為合作夥伴互連網路，請參閱「為合作夥伴互連網路建立 99.99% 的可用性」。
為非重要應用程式部署單一區域

如果部署作業使用單一區域的 Cloud Interconnect 拓撲，採用 Cloud Interconnect 的高可用性 VPN 部署作業的服務水準協議為 99.9%。
- 如需專屬互連網路的相關資訊，請參閱「為專屬互連網路建立 99.9% 的可用性」。
- 如需合作夥伴互連網路的相關資訊，請參閱「為合作夥伴互連網路建立 99.9% 的可用性」一文。

定價摘要

針對採用 Cloud Interconnect 的高可用性 VPN 部署作業，您必須支付下列元件的費用：

專屬互連網路連線 (如果您使用專屬互連網路)。
每個 VLAN 連結。
每個 VPN 通道。
僅限 Cloud Interconnect 輸出流量。您不需為高可用性 VPN 通道傳送的 Cloud VPN 輸出流量付費。
區域外部 IP 位址已指派給高可用性 VPN 閘道 (如果您選擇使用外部 IP 位址)。不過，您只需為 VPN 通道未使用的 IP 位址付費。

詳情請參閱「Cloud VPN 定價」和「Cloud Interconnect 定價」。

限制

設定：
- HA VPN 閘道是一項不可變更的資源。建立並關聯 VLAN 連結後，您就無法變更連結和 HA VPN 閘道的介面之間的關聯。
  
  舉例來說，如果您之後決定需要設定備援，就必須建立新的 HA VPN 閘道，然後刪除原始閘道及其通道。
- 建立 VLAN 連結時，您必須選取 IPsec 加密。您無法在之後為現有的附件新增加密功能。
- 針對每個 VLAN 連結，您只能為高可用性 VPN 閘道介面預留一個內部 IP 位址範圍。
- 啟用雙向轉送偵測 (BFD) 並不會加快採用 Cloud Interconnect 的高可用性 VPN 部署作業的故障偵測速度。
- 採用 Cloud Interconnect 的高可用性 VPN 支援 IPv4 和 IPv6 (雙堆疊) 高可用性 VPN 閘道。如要建立雙層 HA VPN 閘道，您必須使用 Google Cloud CLI 或 Cloud Interconnect API。您無法在 Google Cloud 控制台中使用「採用 Cloud Interconnect 的高可用性 VPN」部署精靈。
酬載和延遲：
- 採用 Cloud Interconnect 的高可用性 VPN 會區分下列最大傳輸單位 (MTU) 值：
  - 採用 Cloud Interconnect 閘道的高可用性 VPN MTU：1440 位元組。
  - 採用 Cloud Interconnect 的高可用性 VPN 酬載 MTU：介於 1354 到 1386 個位元組之間，取決於使用的密碼。詳情請參閱「加密流量 MTU 值」。
- 以輸入和輸出流量的總和來說，每個高可用性 VPN 通道最多可以支援每秒 25 萬個封包。這是 HA VPN 的限制。詳情請參閱 Cloud VPN 說明文件中的「限制」。
- 對於已啟用加密功能的單一 VLAN 連結，傳入和傳出總處理量上限為 50 Gbps。
- 在延遲方面，將 IPsec 加密功能新增至 Cloud Interconnect
  
  車流量會造成一些延遲。在正常運作期間，新增的延遲時間會低於 5 毫秒。
您可以在兩個不同的內部部署實體裝置上終止 VLAN 連結和 IPsec 隧道。透過各個 VLAN 連結的 BGP 工作階段，廣告和協商 VPN 閘道前置字，應在內部部署 VLAN 連結裝置上終止。透過各個 VPN 通道傳送的 BGP 工作階段，會如常宣告雲端前置字串，應在 VPN 裝置上終止。
兩個 Cloud Router 的 ASN 可以不同。與內部部署裝置對等的 Cloud Router 介面無法指派 RFC 1918 (私人) IP 位址。

後續步驟

如要瞭解如何部署採用 Cloud Interconnect 的高可用性 VPN，請參閱「採用 Cloud Interconnect 的高可用性 VPN 部署程序」。
如要透過 Cloud Interconnect 部署高可用性 VPN

使用 Terraform，請參閱「採用 Cloud Interconnect 的高可用性 VPN 的 Terraform 示例」。
如要設定採用 Cloud Interconnect 的高可用性 VPN，請參閱「透過 Cloud Interconnect 設定高可用性 VPN」。

採用 Cloud Interconnect 的高可用性 VPN 總覽 透過集合功能整理內容 你可以依據偏好儲存及分類內容。