Configurar una VPN de alta disponibilidad mediante Cloud Interconnect

Consulta cómo implementar una VPN de alta disponibilidad sobre las vinculaciones de VLAN cifradas de tu conexión de Cloud Interconnect. Estos pasos se aplican a la VPN de alta disponibilidad tanto en el caso de la interconexión dedicada como de Partner Interconnect.

Cuando creas una pasarela de VPN de alta disponibilidad para una implementación de VPN de alta disponibilidad mediante Cloud Interconnect, asocias esa pasarela de VPN de alta disponibilidad a tu asignación de VLAN cifrada. Cada vinculación de VLAN que quieras configurar debe estar asociada a una interfaz de pasarela de VPN de alta disponibilidad.

Solo se necesita una vinculación de VLAN, pero para configurar la conmutación por error, debes asociar dos vinculaciones de VLAN en tu dominio de disponibilidad de edge:

  • La primera vinculación de VLAN en zone1 corresponde a la interfaz de VPN de alta disponibilidad 0.
  • La segunda vinculación de VLAN en zone2 corresponde a la interfaz 1 de la VPN de alta disponibilidad.

Una vez que hayas creado las vinculaciones de VLAN cifradas y las pasarelas de VPN de alta disponibilidad, podrás crear los túneles de VPN de alta disponibilidad a las pasarelas de VPN de par. Cada túnel de VPN de alta disponibilidad tiene un ancho de banda de 3 Gbps. Por lo tanto, para igualar la capacidad de tu vinculación de VLAN, debes crear varios túneles de VPN de alta disponibilidad.

Capacidad de la VLAN y número de túneles recomendado

En esta sección se proporciona una estimación del número de túneles que podrías necesitar en función de la capacidad de tu vinculación de VLAN. La capacidad de la vinculación de VLAN abarca el tráfico de salida y de entrada, y el número de túneles de la tabla puede no reflejar los patrones de tráfico concretos de tu red.

Usa la siguiente tabla como punto de partida y monitoriza la utilización del tráfico de tus túneles de VPN de alta disponibilidad. Para asegurarte de que tus túneles tengan capacidad suficiente para la conmutación por error, te recomendamos que no superes el 50% del límite de ancho de banda de 3 Gbps ni del límite de velocidad de paquetes de 250.000 pps en un túnel de VPN determinado.

Para obtener más información sobre cómo configurar la monitorización y las alertas de los túneles de Cloud VPN, consulta Ver registros y métricas.

Capacidad de vinculación de VLAN Número de túneles por vinculación de VLAN Número total de túneles de dos vinculaciones de VLAN (conmutación por error)
2 Gbps o menos 1 2
5 Gb/s 2 4
10 Gb/s 4 8
20 Gb/s 7 14
50 Gb/s 17 34
100 Gbps 34 68

Asignación de pasarelas y túneles

No es necesario que haya una asignación individual de pasarelas de VPN de emparejamiento a pasarelas de VPN de alta disponibilidad. Puedes añadir varios túneles a cada interfaz de la pasarela de VPN de alta disponibilidad siempre que haya interfaces en la pasarela de VPN de par que aún no se hayan asignado a esa interfaz de pasarela de VPN de alta disponibilidad concreta. Solo puede haber una asignación o un túnel únicos entre una interfaz de pasarela VPN de alta disponibilidad específica y una interfaz de pasarela VPN de otro proveedor específica.

Por lo tanto, puedes tener las siguientes configuraciones:

  • Varias pasarelas de VPN de alta disponibilidad que se conectan mediante túneles a una única pasarela de VPN de par (con varias interfaces)
  • Una única pasarela de VPN de alta disponibilidad que crea túneles a varias pasarelas de VPN de par
  • Varias pasarelas de VPN de alta disponibilidad que se conectan mediante túneles a varias pasarelas de VPN de par

Por lo general, el número de pasarelas de VPN de alta disponibilidad que debes implementar se determina en función del número de pasarelas de VPN de par con interfaces sin usar que tengas disponibles en tu red local.

Los siguientes diagramas muestran ejemplos de asignaciones de túneles entre pasarelas de VPN de alta disponibilidad y VPN de terceros.

Ejemplo 1: Una VPN de alta disponibilidad a dos VPNs de par

Ejemplo de una pasarela de VPN de alta disponibilidad a dos pasarelas de VPN de par (haz clic para ampliar).
Imagen 1: Ejemplo de una pasarela de VPN de alta disponibilidad conectada a dos pasarelas de VPN de par (haz clic para ampliar).

Ejemplo 2: Dos VPN de alta disponibilidad a una VPN de par

<img <="" alt="Ejemplo de dos pasarelas de VPN de alta disponibilidad a una pasarela de VPN de emparejamiento (haz clic para ampliar)." border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg" />
Imagen 2: Ejemplo de dos pasarelas de VPN de alta disponibilidad a una pasarela de VPN de emparejamiento (haz clic para ampliar).

Crear pasarelas de VPN de alta disponibilidad

En este procedimiento se da por hecho que ya has creado y configurado tus vinculaciones de VLAN encriptadas mediante la Google Cloud consola:

Consola

En este procedimiento se da por hecho que ya has creado y configurado tus vinculaciones de VLAN encriptadas mediante la Google Cloud consola:

Para crear una pasarela de VPN de alta disponibilidad, sigue estos pasos:

  1. En la Google Cloud consola, ve a la siguiente sección del asistente de implementación de la VPN de alta disponibilidad mediante Cloud Interconnect.

    Una vez que hayas completado la configuración de Cloud Router para Cloud Interconnect, aparecerá la página Crear pasarelas de VPN.

    El asistente de configuración de VPN de alta disponibilidad mediante Cloud Interconnect crea automáticamente pasarelas de VPN de alta disponibilidad en función de la capacidad que hayas configurado para tus vinculaciones de VLAN. Por ejemplo, si has especificado 5 Gbps como capacidad de cada vinculación de VLAN, el asistente creará dos pasarelas de VPN de alta disponibilidad.

  2. Opcional: Haz clic en Ampliar para cambiar el nombre generado de cada pasarela de VPN de alta disponibilidad.

  3. Opcional: Si quieres añadir más pasarelas de VPN de alta disponibilidad, haz clic en Añadir otra pasarela. Especifique un nombre y una descripción (opcional). A continuación, haga clic en Hecho.

  4. Haz clic en Crear y continuar.

gcloud

  1. Usa la tabla de capacidad de VLAN y túneles para estimar cuántos túneles VPN necesitas para igualar la capacidad de tu vinculación de VLAN. Para poder crear estos túneles de VPN de alta disponibilidad, debe crear al menos una pasarela de VPN de alta disponibilidad.

    En el siguiente ejemplo, una vinculación de VLAN con una capacidad de 5 Gb/s podría requerir cuatro túneles.

  2. Crea las pasarelas de VPN de alta disponibilidad.

    Por ejemplo, los siguientes comandos crean dos pasarelas de VPN de alta disponibilidad y asignan las interfaces de pasarela a tus vinculaciones de VLAN cifradas:

    gcloud compute vpn-gateways create vpn-gateway-a \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    Sustituye REGION por la región en la que se encuentra tu adjunto de VLAN.

En el parámetro --interconnect-attachments, se enumeran ambos adjuntos de VLAN. La primera vinculación de VLAN que indiques se asignará a la interfaz 0 (if0) de la pasarela VPN de alta disponibilidad, y la segunda vinculación de VLAN se asignará a la interfaz 1 (if1).

Configurar los recursos de Cloud Router de VPN de alta disponibilidad, de la pasarela de VPN de par y de los túneles de VPN de alta disponibilidad

Consola

  1. En la Google Cloud consola, ve a la siguiente sección del asistente de implementación de la VPN de alta disponibilidad mediante Cloud Interconnect.

  2. En la sección Cloud Router, selecciona un Cloud Router. Este router se dedica a gestionar las sesiones de BGP de todos tus túneles VPN de alta disponibilidad.

    Puedes usar un Cloud Router si el router aún no gestiona una sesión de BGP para una vinculación de VLAN asociada a una conexión de Partner Interconnect.

    No puedes usar el Cloud Router cifrado que se utiliza en el nivel de interconexión de tu implementación de VPN de alta disponibilidad mediante Cloud Interconnect.

  3. Si no tienes ningún Cloud Router disponible, selecciona Crear router y especifica lo siguiente:

    • Un nombre
    • Una descripción opcional

    • Un ASN de Google para el nuevo router

      Puedes usar cualquier ASN privado (de 64512 a 65534 y de 4200000000 a 4294967294) que no estés usando en otra parte de tu red. El ASN de Google se usa en todas las sesiones BGP del mismo router de Cloud y no se puede cambiar más adelante.

    Para crear el nuevo enrutador, haz clic en Crear.

  4. Configura la versión de IKE seleccionando IKEv1 o IKEv2. Esta versión se usa en todos los túneles VPN de alta disponibilidad de la implementación.

  5. Opcional: Haz clic en Generar claves para generar la clave precompartida IKE de todos los túneles VPN. Si seleccionas esta opción, se rellenará la misma clave precompartida IKE para todos los túneles de todas las pasarelas VPN de alta disponibilidad. Asegúrate de registrar la clave compartida previamente en una ubicación segura, ya que no se podrá recuperar después de crear los túneles VPN.

  6. En la sección Configuraciones de VPN, haz clic en una configuración de VPN y, a continuación, especifica lo siguiente:

    1. Pasarela de VPN de par: selecciona una pasarela de VPN de par o crea una seleccionando Crear una pasarela de VPN de par. Para crear una pasarela de VPN de par, especifica lo siguiente:

      • Un nombre

      • Dos interfaces

        Si necesitas especificar una o cuatro interfaces, no puedes crear esta pasarela VPN de par en la consola deGoogle Cloud . Usa Google Cloud CLI en su lugar. En concreto, debes asignar cuatro interfaces a tu pasarela VPN de par si te conectas a Amazon Web Services (AWS).

    2. En el campo Direcciones IP, introduce las direcciones IPv4 de las dos interfaces de la pasarela VPN de par.

    3. Haz clic en Crear.

  7. En Túnel VPN sobre ENCRYPTED VLAN_ATTACHMENT_1 y Túnel VPN sobre ENCRYPTED VLAN_ATTACHMENT_2, configura los siguientes campos de cada túnel:

    • Nombre: puedes dejar el nombre del túnel generado o modificarlo.
    • Descripción: opcional.
    • Interfaz de pasarela VPN de par asociada: selecciona la combinación de interfaz de pasarela VPN de par y dirección IP que quieras asociar a este túnel y a esta interfaz de VPN de alta disponibilidad. Esta interfaz debe coincidir con la interfaz de tu router peer.
    • Clave precompartida de IKE: si aún no has generado una clave precompartida para todos los túneles, especifica una clave precompartida de IKE. Usa la clave precompartida (secreto compartido) que corresponda a la clave precompartida que crees en tu gateway de peer. Si no has configurado una clave precompartida en tu pasarela VPN de peer y quieres generar una, haz clic en Generar y copiar. Asegúrate de registrar la clave compartida previamente en una ubicación segura, ya que no se podrá recuperar después de crear los túneles VPN.

  8. Haz clic en Hecho cuando hayas completado la configuración de ambos túneles.

  9. Repite los dos pasos anteriores con cada pasarela de VPN de alta disponibilidad hasta que hayas configurado todas las pasarelas y sus túneles.

  10. Si necesitas añadir más túneles, haz clic en Añadir configuración de VPN y configura los siguientes campos:

    1. Pasarela de VPN: selecciona una de las pasarelas de VPN de alta disponibilidad asociadas a las vinculaciones de VLAN cifradas.

    2. Pasarela de VPN de par: selecciona una pasarela de VPN de par o crea una seleccionando Crear una pasarela de VPN de par. Para crear una pasarela de VPN de par, especifica lo siguiente:

      • Un nombre
      • Dos interfaces

      Si necesitas especificar una o cuatro interfaces, no puedes crear esta pasarela VPN de par en la consola deGoogle Cloud . Usa Google Cloud CLI en su lugar. En concreto, debes asignar cuatro interfaces en tu pasarela VPN de par si te conectas a AWS.

    3. En el campo Direcciones IP, introduce las direcciones IPv4 de las dos interfaces de la pasarela VPN de par.

    4. Haz clic en Crear.

  11. Cuando haya terminado de configurar todos sus túneles de VPN de alta disponibilidad, haga clic en Crear y continuar.

gcloud

Este router se dedica a gestionar las sesiones de BGP de todos tus túneles VPN de alta disponibilidad.

Puedes usar un Cloud Router si el router aún no gestiona una sesión de BGP para una vinculación de VLAN asociada a una conexión de Partner Interconnect. No puedes usar el Cloud Router cifrado que se utiliza en el nivel de Cloud Interconnect de tu implementación de VPN de alta disponibilidad mediante Cloud Interconnect.

  1. Para crear un Cloud Router, ejecuta el siguiente comando:

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK \
     --asn=GOOGLE_ASN

    Haz los cambios siguientes:

    • ROUTER_NAME: el nombre de Cloud Router en la misma región que la pasarela VPN de Cloud
    • REGION: la Google Cloudregión en la que creas la puerta de enlace y el túnel
    • NETWORK: el nombre de tu Google Cloud red
    • GOOGLE_ASN: cualquier ASN privado (64512 a 65534, 4200000000 a 4294967294) que no estés usando ya en la red del peer. El ASN de Google se usa en todas las sesiones BGP del mismo Cloud Router y no se puede cambiar más adelante.

    El router que crees debería ser similar al siguiente ejemplo de salida:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea al menos una pasarela de VPN de par externa.

     gcloud compute external-vpn-gateways create peer-gw \
     --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Haz los cambios siguientes:

    • ON_PREM_GW_IP_0: la dirección IP asignada a la interfaz 0 de tu pasarela de VPN de par
    • ON_PREM_GW_IP_1: la dirección IP asignada a la interfaz 1 de tu pasarela de VPN de par

    Crea tantas pasarelas de VPN de par externas como necesites en tu implementación.

  3. Por cada pasarela de VPN de alta disponibilidad que hayas creado en Crear pasarelas de VPN de alta disponibilidad, crea un túnel VPN para cada interfaz, 0 y 1. En cada comando, especifica el extremo de la otra parte del túnel VPN como la pasarela VPN externa y la interfaz que has creado anteriormente.

    Por ejemplo, para crear cuatro túneles para las dos pasarelas de VPN de alta disponibilidad de ejemplo creadas en Crear pasarelas de VPN de alta disponibilidad, ejecuta los siguientes comandos:

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=1

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=1

Configura las sesiones de BGP

Consola

En la Google Cloud consola, ve a la siguiente sección del asistente de implementación de la VPN de alta disponibilidad mediante Cloud Interconnect.

Una vez que hayas creado todos los túneles de VPN de alta disponibilidad, debes configurar las sesiones de BGP de cada túnel.

Junto a cada túnel, haz clic en Configurar sesión de BGP.

Sigue las instrucciones de la sección Crear sesiones de BGP para configurar BGP en cada túnel VPN.

gcloud

Una vez que hayas creado todos los túneles de VPN de alta disponibilidad, debes configurar las sesiones de BGP de cada túnel.

Para cada túnel, sigue las instrucciones que se indican en Crear sesiones de BGP.

Completar la configuración de la VPN de alta disponibilidad

Antes de poder usar las nuevas pasarelas de Cloud VPN y sus túneles VPN asociados, debes completar los siguientes pasos:

  1. Configura las pasarelas de VPN de par de tus redes locales y los túneles correspondientes. Para obtener instrucciones, consulta lo siguiente:
  2. Configura las reglas de cortafuegos en Google Cloud y tu red de peer según sea necesario.
  3. Comprueba el estado de tus túneles VPN. Este paso incluye la comprobación de la configuración de alta disponibilidad de tu pasarela VPN de alta disponibilidad.

Siguientes pasos