Configurer un VPN haute disponibilité sur Cloud Interconnect

Ce document décrit la procédure à suivre pour déployer un VPN haute disponibilité sur les rattachements de VLAN chiffrés de votre connexion Cloud Interconnect. Ces étapes s'appliquent aux VPN haute disponibilité pour Dedicated Interconnect et Partner Interconnect.

Lorsque vous créez une passerelle VPN haute disponibilité pour un déploiement VPN haute disponibilité sur Cloud Interconnect, vous associez cette passerelle VPN haute disponibilité à vos deux rattachements de VLAN chiffrés. Vous devez associer chaque rattachement de VLAN à une interface de passerelle VPN haute disponibilité. Le premier rattachement de VLAN dans le premier domaine de disponibilité de périphérie, zone1 correspond à l'interface VPN haute disponibilité 0. Le deuxième rattachement de VLAN dans zone2 correspond à l'interface VPN haute disponibilité 1.

Une fois que vous avez créé vos rattachements de VLAN chiffrés et vos passerelles VPN haute disponibilité, vous pouvez créer les tunnels VPN haute disponibilité vers les passerelles VPN de pairs. Chaque tunnel VPN haute disponibilité a une bande passante de 3 Gbit/s. Par conséquent, pour correspondre à la capacité de votre rattachement de VLAN, vous devez créer plusieurs tunnels VPN haute disponibilité.

Capacité de VLAN et nombre recommandé de tunnels

Cette section fournit une estimation du nombre de tunnels dont vous pourriez avoir besoin en fonction de la capacité de votre rattachement de VLAN. La capacité du rattachement de VLAN couvre à la fois le trafic de sortie et le trafic entrant. Le nombre de tunnels dans la table peut ne pas refléter les modèles de trafic spécifiques à votre réseau.

Utilisez le tableau suivant comme point de départ et surveillez l'utilisation du trafic de vos tunnels VPN haute disponibilité. Pour garantir une capacité de basculement suffisante dans vos tunnels, nous vous recommandons de ne pas dépasser 50% de la limite de bande passante de 3 Gbit/s ou de la limitation de débit de paquet de 250 000 pps pour un tunnel VPN donné.

Pour en savoir plus sur la configuration de la surveillance et des alertes pour les tunnels Cloud VPN, consultez la page Afficher les journaux et les métriques.

Capacité du rattachement de VLAN Nombre de tunnels pour chaque rattachement de VLAN Nombre total de tunnels pour l'ensemble du déploiement
2 Gbit/s ou moins 1 2
5 Gbit/s 2 4
10 Gbit/s 4 8
20 Gbit/s 7 14
50 Gbit/s 17 34

Mappage de passerelle et de tunnel

Vous n'avez pas besoin de mapper individuellement les passerelles VPN de pairs vers les passerelles VPN haute disponibilité. Vous pouvez ajouter plusieurs tunnels à chaque interface de la passerelle VPN haute disponibilité, à condition que des interfaces de la passerelle VPN de pairs n'aient pas encore été mappées à cette interface de passerelle VPN haute disponibilité particulière. Il ne peut y avoir qu'un seul mappage ou tunnel unique entre une interface de passerelle VPN haute disponibilité spécifique et une interface de passerelle VPN de pairs spécifique.

Ainsi, vous pouvez avoir les configurations suivantes:

  • Plusieurs passerelles VPN haute disponibilité tunnelisées vers une seule passerelle VPN de pairs (avec plusieurs interfaces)
  • Une seule passerelle VPN haute disponibilité tunnelisée vers plusieurs passerelles VPN de pairs
  • Plusieurs passerelles VPN haute disponibilité tunnelisées vers plusieurs passerelles VPN de pairs

En règle générale, le nombre de passerelles VPN haute disponibilité que vous devez déployer est déterminé par le nombre de passerelles VPN de pairs avec des interfaces inutilisées disponibles sur votre réseau sur site.

Les schémas suivants fournissent des exemples de mappages de tunnels entre des passerelles VPN haute disponibilité et des passerelles VPN de pairs.

Exemple 1: un VPN haute disponibilité vers deux VPN pairs

Exemple de passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez pour agrandir).
Figure 1:Exemple de passerelle VPN haute disponibilité connectée à deux passerelles VPN de pairs (cliquez sur l'image pour l'agrandir).

Exemple 2: Deux VPN haute disponibilité vers un VPN pair

<img <="" alt="Example of two HA VPN gateways to one peer VPN gateway (click to enlarge)." border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg" />
Figure 2 : Exemple illustrant deux passerelles VPN haute disponibilité vers une passerelle VPN de pairs (cliquez pour agrandir).

Créer des passerelles VPN haute disponibilité

Console

Cette procédure suppose que vous avez déjà créé et configuré vos rattachements de VLAN chiffrés à l'aide de la console Google Cloud:

Pour créer une passerelle VPN haute disponibilité, procédez comme suit :

  1. Dans la console Google Cloud, passez à la section suivante de l'assistant de déploiement d'un VPN haute disponibilité via Cloud Interconnect.

    Une fois la configuration du routeur Cloud pour Cloud Interconnect terminée, la page Créer des passerelles VPN s'affiche.

    L'assistant de configuration d'un VPN haute disponibilité via Cloud Interconnect crée automatiquement des passerelles VPN haute disponibilité en fonction de la capacité que vous avez configurée pour vos rattachements de VLAN. Par exemple, si vous avez spécifié 5 Gbit/s comme capacité de chaque rattachement de VLAN, l'assistant crée deux passerelles VPN haute disponibilité.

  2. (Facultatif) Cliquez sur Développer pour modifier le nom généré de chaque passerelle VPN haute disponibilité.

  3. Facultatif: Si vous souhaitez ajouter d'autres passerelles VPN haute disponibilité, cliquez sur Ajouter une passerelle. Renseignez un nom et une description facultative. Cliquez ensuite sur OK.

  4. Cliquez sur Créer et continuer.

gcloud

  1. Utilisez le tableau des capacités et des tunnels VLAN pour estimer le nombre de tunnels VPN nécessaires afin de correspondre à la capacité de votre rattachement de VLAN. Vous devez créer au moins une passerelle VPN haute disponibilité pour pouvoir créer ces tunnels VPN haute disponibilité.

    Dans l'exemple suivant, un rattachement de VLAN de capacité de 5 Gbit/s peut nécessiter quatre tunnels.

  2. Créer des passerelles VPN haute disponibilité.

    Par exemple, la commande suivante crée deux passerelles VPN haute disponibilité et attribue les interfaces de passerelle à vos rattachements de VLAN chiffrés.

    gcloud compute vpn-gateways create vpn-gateway-a \
      --network network-a \
      --region us-central1 \
      --interconnect-attachments \
        attachment-a-zone1,attachment-a-zone2
    
    gcloud compute vpn-gateways create vpn-gateway-b \
      --network network-a \
      --region us-central1 \
      --interconnect-attachments \
        attachment-a-zone1,attachment-a-zone2
    

Pour le paramètre --interconnect-attachments, répertoriez les deux rattachements de VLAN. Le premier rattachement de VLAN que vous répertoriez est attribué à l'interface 0 (if0) de la passerelle VPN haute disponibilité et le second rattachement de VLAN à l'interface 1 (if1).

Configurer le routeur cloud VPN haute disponibilité, les ressources de passerelle VPN de pairs et les tunnels VPN haute disponibilité

Console

  1. Dans la console Google Cloud, passez à la section suivante de l'assistant de déploiement d'un VPN haute disponibilité via Cloud Interconnect.

  2. Dans la section Cloud Router, sélectionnez un routeur cloud. Ce routeur est dédié à la gestion des sessions BGP pour tous vos tunnels VPN haute disponibilité.

    Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire.

    Vous ne pouvez pas utiliser le routeur Cloud Router chiffré utilisé pour le niveau d'interconnexion de votre déploiement VPN haute disponibilité sur Cloud Interconnect.

  3. Si vous ne disposez d'aucun routeur cloud, sélectionnez Créer un routeur et spécifiez les éléments suivants :

    • Un nom
    • Description (facultative)
    • Un numéro ASN Google pour le nouveau routeur

      Vous pouvez utiliser n'importe quel ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas ailleurs sur votre réseau. Ce numéro sert pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement.

    Pour créer le routeur, cliquez sur Créer.

  4. Configurez la version IKE en sélectionnant IKEv1 ou IKEv2. Cette version est utilisée sur tous les tunnels VPN haute disponibilité du déploiement.

  5. (Facultatif) Cliquez sur Générer les clés pour générer la clé pré-partagée IKE pour tous les tunnels VPN. Si vous sélectionnez cette option, la même clé pré-partagée IKE est renseignée pour tous les tunnels de toutes les passerelles VPN haute disponibilité. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.

  6. Dans la section Configurations VPN, cliquez sur une configuration VPN, puis spécifiez les éléments suivants:

    1. Passerelle VPN de pairs: sélectionnez une passerelle VPN de pairs existante ou créez-en une en sélectionnant Créer une passerelle VPN de pairs. Pour créer une passerelle VPN de pairs, spécifiez les éléments suivants:

      • Un nom
      • Deux interfaces

        Si vous devez spécifier une ou quatre interfaces, vous ne pouvez pas créer cette passerelle VPN de pairs dans la console Google Cloud. Utilisez plutôt Google Cloud CLI. Plus précisément, vous devez attribuer quatre interfaces sur votre passerelle VPN de pairs si vous vous connectez à Amazon Web Services (AWS).

    2. Dans le champ Adresses IP, saisissez les adresses IPv4 des deux interfaces de passerelle VPN de pairs.

    3. Cliquez sur Créer.

  7. Sous Tunnel VPN via ENCRYPTED VLAN_ATTACHMENT_1 et Tunnel VPN via ENCRYPTED VLAN_ATTACHMENT_2, configurez les champs suivants pour chaque tunnel:

    • Nom: vous pouvez conserver le nom du tunnel généré ou le modifier.
    • Description : facultatif.
    • Interface de passerelle VPN de pairs associée : sélectionnez la combinaison d'interface de passerelle VPN de pairs et d'adresse IP que vous souhaitez associer à ce tunnel et à l'interface VPN haute disponibilité. Cette interface doit correspondre à celle de votre routeur de pairs réel.
    • Clé pré-partagée IKE: si vous n'avez pas encore généré de clé pré-partagée pour tous les tunnels, spécifiez une clé pré-partagée IKE. Utilisez la clé pré-partagée (secret partagé) qui correspond à la clé pré-partagée que vous créez sur votre passerelle de pairs. Si vous n'avez pas configuré de clé pré-partagée sur votre passerelle VPN de pairs et que vous souhaitez en générer une, cliquez sur Générer et copier. Veillez à enregistrer la clé pré-partagée dans un emplacement sécurisé, car elle ne peut pas être récupérée une fois que vous avez créé vos tunnels VPN.
  8. Cliquez sur OK lorsque vous avez terminé la configuration des deux tunnels.

  9. Répétez les deux étapes précédentes pour chaque passerelle VPN haute disponibilité jusqu'à ce que vous ayez configuré toutes les passerelles et leurs tunnels.

  10. Si vous devez ajouter d'autres tunnels, cliquez sur Ajouter une configuration VPN et configurez les champs suivants:

    1. Passerelle VPN: sélectionnez l'une des passerelles VPN haute disponibilité associées aux rattachements de VLAN chiffrés.
    2. Passerelle VPN de pairs: sélectionnez une passerelle VPN de pairs existante ou créez-en une en sélectionnant Créer une passerelle VPN de pairs. Pour créer une passerelle VPN de pairs, spécifiez les éléments suivants:

      • Un nom
      • Deux interfaces

      Si vous devez spécifier une ou quatre interfaces, vous ne pouvez pas créer cette passerelle VPN de pairs dans la console Google Cloud. Utilisez plutôt Google Cloud CLI. Plus précisément, vous devez attribuer quatre interfaces sur votre passerelle VPN de pairs si vous vous connectez à AWS.

    3. Dans le champ Adresses IP, saisissez les adresses IPv4 des deux interfaces de passerelle VPN de pairs.

    4. Cliquez sur Créer.

  11. Lorsque vous avez terminé de configurer tous vos tunnels VPN haute disponibilité, cliquez sur Créer et continuer.

gcloud

Ce routeur est dédié à la gestion des sessions BGP pour tous vos tunnels VPN haute disponibilité.

Vous pouvez utiliser un routeur Cloud Router existant si le routeur ne gère pas encore une session BGP pour un rattachement de VLAN associé à une interconnexion partenaire. Vous ne pouvez pas utiliser le routeur Cloud Router chiffré utilisé pour le niveau Cloud Interconnect de votre déploiement VPN haute disponibilité sur Cloud Interconnect.

  1. Pour créer un routeur Cloud Router, exécutez la commande suivante :

    gcloud compute routers create ROUTER_NAME \
       --region=REGION \
       --network=NETWORK \
       --asn=GOOGLE_ASN
    

    Remplacez les éléments suivants :

    • ROUTER_NAME : nom du routeur Cloud Router dans la même région que la passerelle Cloud VPN.
    • REGION : région Google Cloud dans laquelle vous créez la passerelle et le tunnel
    • NETWORK : nom de votre réseau Google Cloud
    • GOOGLE_ASN : tout numéro ASN privé (64512 à 65534, 4200000000 à 4294967294) que vous n'utilisez pas déjà dans le réseau de pairs. Ce numéro ASN Google est utilisé pour toutes les sessions BGP gérées par le même routeur Cloud Router et ne peut pas être modifié ultérieurement

    Le routeur que vous créez doit ressembler à l'exemple de résultat suivant :

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    
  2. Créez au moins une passerelle VPN de pairs externe.

    gcloud compute external-vpn-gateways create peer-gw \
       --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1
    

    Remplacez les éléments suivants :

    • ON_PREM_GW_IP_0: adresse IP attribuée à l'interface 0 de votre passerelle VPN de pairs.
    • ON_PREM_GW_IP_1: adresse IP attribuée à l'interface 1 de votre passerelle VPN de pairs.

    Créez autant de passerelles VPN de pairs externes que nécessaire dans votre déploiement.

  3. Pour chaque passerelle VPN haute disponibilité que vous avez créée dans la section Créer des passerelles VPN haute disponibilité, créez un tunnel VPN pour chaque interface, 0 et 1. Dans chaque commande, vous spécifiez le côté pair du tunnel VPN comme la passerelle VPN externe et l'interface que vous avez créée précédemment.

    Par exemple, pour créer quatre tunnels pour les deux exemples de passerelles VPN haute disponibilité créés dans la section Créer des passerelles VPN haute disponibilité, exécutez les commandes suivantes:

    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 0 \
     --region us-central1 \
     --ike-version 2 \
     --shared-secret SHARED_SECRET \
     --router vpn-router \
     --vpn-gateway vpn-gateway-a \
     --interface 0
    
    gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 1 \
     --region us-central1 \
     --ike-version 2 \
     --shared-secret SHARED_SECRET \
     --router vpn-router \
     --vpn-gateway vpn-gateway-a \
     --interface 1
    
    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 0 \
     --region us-central1 \
     --ike-version 2 \
     --shared-secret SHARED_SECRET \
     --router vpn-router \
     --vpn-gateway vpn-gateway-b \
     --interface 0
    
    gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 1 \
     --region us-central1 \
     --ike-version 2 \
     --shared-secret SHARED_SECRET \
     --router vpn-router \
     --vpn-gateway vpn-gateway-b \
     --interface 1
    

Configurer les sessions BGP

Console

Dans la console Google Cloud, passez à la section suivante de l'assistant de déploiement d'un VPN haute disponibilité via Cloud Interconnect.

Une fois que vous avez créé tous les tunnels VPN haute disponibilité, vous devez configurer les sessions BGP pour chaque tunnel.

À côté de chaque tunnel, cliquez sur Configurer la session BGP.

Suivez les instructions de la section Créer des sessions BGP pour configurer BGP pour chaque tunnel VPN.

gcloud

Une fois que vous avez créé tous les tunnels VPN haute disponibilité, vous devez configurer les sessions BGP pour chaque tunnel.

Pour chaque tunnel, suivez les instructions de la section Créer des sessions BGP.

Terminer la configuration du VPN haute disponibilité

Pour pouvoir utiliser les nouvelles passerelles Cloud VPN et leurs tunnels VPN associés, procédez comme suit:

  1. Configurez les passerelles VPN de pairs pour vos réseaux sur site et configurez-y les tunnels correspondants. Pour obtenir des instructions, consultez la page suivante :
  2. Configurez les règles de pare-feu dans Google Cloud et votre réseau de pairs, si nécessaire.
  3. Vérifiez l'état de vos tunnels VPN​LINK. Remarque : Cette étape inclut la vérification de la configuration de haute disponibilité de votre passerelle VPN haute disponibilité.

Étape suivante