Configura la VPN ad alta disponibilità su Cloud Interconnect

Scopri come eseguire il deployment della VPN ad alta disponibilità sopra i collegamenti VLAN criptati della connessione Cloud Interconnect. Questi passaggi si applicano alla VPN ad alta disponibilità sia per Dedicated Interconnect che per Partner Interconnect.

Quando crei un gateway VPN ad alta disponibilità per un deployment VPN ad alta disponibilità su Cloud Interconnect, associ il gateway VPN ad alta disponibilità all'collegamento VLAN criptato. Ogni collegamento VLAN che vuoi configurare deve essere associato a un'interfaccia del gateway VPN ad alta disponibilità.

È necessario un solo collegamento VLAN, ma per configurare il failover, devi associare due collegamenti VLAN nel tuo dominio di disponibilità perimetrale:

  • Il primo collegamento VLAN in zone1 corrisponde all'interfaccia VPN ad alta disponibilità 0.
  • Il secondo collegamento VLAN in zone2 corrisponde all'interfaccia VPN ad alta disponibilità 1.

Dopo aver creato i collegamenti VLAN criptati e i gateway VPN ad alta disponibilità, puoi creare i tunnel VPN ad alta disponibilità ai gateway VPN peer. Ogni tunnel VPN ad alta disponibilità ha una larghezza di banda di 3 Gbps. Pertanto, per corrispondere alla capacità del collegamento VLAN, devi creare più tunnel VPN ad alta disponibilità.

Capacità VLAN e numero consigliato di tunnel

La sezione fornisce una stima del numero di tunnel di cui potresti aver bisogno in base alla capacità del collegamento VLAN. La capacità del collegamento VLAN copre il traffico in uscita e in entrata e il numero di tunnel nella tabella potrebbe non riflettere i pattern di traffico specifici della tua rete.

Utilizza la seguente tabella come punto di partenza e monitora l'utilizzo del traffico dei tuoi tunnel VPN ad alta disponibilità. Per garantire una capacità adeguata per il failover nei tunnel, ti consigliamo di non superare il 50% del limite di larghezza di banda di 3 Gbps o del limite di velocità dei pacchetti di 250.000 pps per un determinato tunnel VPN.

Per ulteriori informazioni sulla configurazione del monitoraggio e degli avvisi per i tunnel Cloud VPN, consulta Visualizzare log e metriche.

Capacità collegamento VLAN Numero di tunnel per ogni collegamento VLAN Numero totale di tunnel per 2 collegamenti VLAN (failover)
2 Gbps o meno 1 2
5 Gbps 2 4
10 Gbps 4 8
20 Gbps 7 14
50 Gbps 17 34
100 Gbps 34 68

Mapping di gateway e tunnel

Non è necessario avere un mapping one-to-one dei gateway VPN peer ai gateway VPN ad alta disponibilità. Puoi aggiungere più tunnel a ogni interfaccia del gateway VPN ad alta disponibilità, a condizione che siano presenti interfacce sul gateway VPN peer che non sono ancora state mappate a quella particolare interfaccia del gateway VPN ad alta disponibilità. Può esistere solo un mapping o un tunnel univoco tra un'interfaccia gateway VPN ad alta disponibilità specifica e un'interfaccia gateway VPN peer specifica.

Pertanto, puoi avere le seguenti configurazioni:

  • Più gateway VPN ad alta disponibilità che eseguono il tunneling a un unico gateway VPN peer (con più interfacce)
  • Un singolo gateway VPN ad alta disponibilità che esegue il tunneling a più gateway VPN peer
  • Più gateway VPN ad alta disponibilità che eseguono il tunneling a più gateway VPN peer

Come regola generale, il numero di gateway VPN ad alta disponibilità che devi eseguire il deployment è determinato dal numero di gateway VPN peer con interfacce inutilizzate disponibili nella tua rete on-premise.

I seguenti diagrammi forniscono esempi di mapping dei tunnel tra gateway VPN ad alta disponibilità e gateway VPN peer.

Esempio 1: una VPN ad alta disponibilità connessa a due VPN peer

Esempio di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).
Figura 1: esempio di un gateway VPN ad alta disponibilità a due gateway VPN peer (fai clic per ingrandire).

Esempio 2: due VPN ad alta disponibilità a una VPN peer

<img <="" alt="Esempio di due gateway VPN ad alta disponibilità a un gateway VPN peer (fai clic per ingrandire)." border="0" src="/static/network-connectivity/docs/interconnect/images/havpn-ic-tunnel-mapping-option2.svg" />
Figura 2: esempio di due gateway VPN ad alta disponibilità a un gateway VPN peer (fai clic per ingrandire).

Crea gateway VPN ad alta disponibilità

Questa procedura presuppone che tu abbia già creato e configurato i collegamenti VLAN criptati utilizzando la console Google Cloud :

Console

Questa procedura presuppone che tu abbia già creato e configurato i collegamenti VLAN criptati utilizzando la console Google Cloud :

Per creare un gateway VPN ad alta disponibilità:

  1. Nella console Google Cloud , continua alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

    Dopo aver completato la configurazione del router Cloud per Cloud Interconnect, viene visualizzata la pagina Crea gateway VPN.

    La procedura guidata di configurazione della VPN ad alta disponibilità su Cloud Interconnect crea automaticamente i gateway VPN ad alta disponibilità in base alla capacità configurata per i collegamenti VLAN. Ad esempio, se hai specificato 5 Gbps come capacità di ogni collegamento VLAN, la procedura guidata crea due gateway VPN ad alta disponibilità.

  2. (Facoltativo) Fai clic su Espandi per modificare il nome generato di ogni gateway VPN ad alta disponibilità.

  3. (Facoltativo) Se vuoi aggiungere altri gateway VPN ad alta disponibilità, fai clic su Aggiungi un altro gateway. Specifica un nome e una descrizione facoltativa. Poi fai clic su Fine.

  4. Fai clic su Crea e continua.

gcloud

  1. Utilizza la tabella Capacità e tunnel VLAN per stimare quanti tunnel VPN sono necessari per corrispondere alla capacità del collegamento VLAN. Per creare questi tunnel VPN ad alta disponibilità, devi creare almeno un gateway VPN ad alta disponibilità.

    Nell'esempio seguente, un collegamento VLAN con capacità di 5 Gbps potrebbe richiedere quattro tunnel.

  2. Crea i gateway VPN ad alta disponibilità.

    Ad esempio, i seguenti comandi creano due gateway VPN ad alta disponibilità e assegnano le interfacce del gateway ai collegamenti VLAN criptati:

    gcloud compute vpn-gateways create vpn-gateway-a \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    gcloud compute vpn-gateways create vpn-gateway-b \
    --network=network-a \
    --region=REGION \
    --interconnect-attachments \
    attachment-a-zone1,attachment-a-zone2

    Sostituisci REGION con la regione in cui si trova l'allegato VLAN.

Per il parametro --interconnect-attachments, elenca entrambi gli allegati VLAN. Il primo collegamento VLAN che elenchi viene assegnato a interface 0 (if0) del gateway VPN ad alta disponibilità e il secondo collegamento VLAN viene assegnato a interface 1 (if1).

Configura il router Cloud VPN ad alta disponibilità, le risorse del gateway VPN peer e i tunnel VPN ad alta disponibilità

Console

  1. Nella console Google Cloud , continua alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

  2. Nella sezione Router Cloud, seleziona un router Cloud. Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.

    Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect.

    Non puoi utilizzare il router Cloud criptato utilizzato per il livello Interconnect del deployment di VPN ad alta disponibilità su Cloud Interconnect.

  3. Se non hai un router Cloud disponibile, seleziona Crea nuovo router e specifica quanto segue:

    • Un nome
    • Una descrizione facoltativa

    • Un ASN Google per il nuovo router

      Puoi utilizzare qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai utilizzando altrove nella rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non puoi modificare l'ASN in un secondo momento.

    Per creare il nuovo router, fai clic su Crea.

  4. Configura la versione IKE selezionando IKEv1 o IKEv2. Questa versione viene utilizzata in tutti i tunnel VPN ad alta disponibilità nel deployment.

  5. (Facoltativo) Fai clic su Genera chiavi per generare la chiave precondivisa IKE per tutti i tunnel VPN. Se selezioni questa opzione, la stessa chiave IKE precondivisa viene inserita per tutti i tunnel in tutti i gateway VPN ad alta disponibilità. Assicurati di conservare la chiave precondivisa in un luogo sicuro, perché non potrai recuperarla dopo aver creato i tunnel VPN.

  6. Nella sezione Configurazioni VPN, fai clic su una configurazione VPN, quindi specifica quanto segue:

    1. Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno selezionando Crea un nuovo gateway VPN peer. Per creare un gateway VPN peer, specifica quanto segue:

      • Un nome

      • Due interfacce

        Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella consoleGoogle Cloud . Utilizza invece Google Cloud CLI. Nello specifico, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad Amazon Web Services (AWS).

    2. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce del gateway VPN peer.

    3. Fai clic su Crea.

  7. In Tunnel VPN tramite ENCRYPTED VLAN_ATTACHMENT_1 e Tunnel VPN tramite ENCRYPTED VLAN_ATTACHMENT_2, configura i seguenti campi per ogni tunnel:

    • Nome: puoi lasciare il nome del tunnel generato o modificarlo.
    • (Facoltativo) Descrizione.
    • Interfaccia gateway VPN peer associata: seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare a questo tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere a quella del router peer effettivo.
    • Chiave precondivisa IKE: se non hai ancora generato una chiave precondivisa per tutti i tunnel, specifica una chiave precondivisa IKE. Utilizza la chiave precondivisa (segreto condiviso) che corrisponde alla chiave precondivisa che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di conservare la chiave precondivisa in un luogo sicuro, perché non potrai recuperarla dopo aver creato i tunnel VPN.

  8. Fai clic su Fine quando hai completato la configurazione di entrambi i tunnel.

  9. Ripeti i due passaggi precedenti per ogni gateway VPN ad alta disponibilità finché non hai configurato tutti i gateway e i relativi tunnel.

  10. Se devi aggiungere altri tunnel, fai clic su Aggiungi configurazione VPN e configura i seguenti campi:

    1. Gateway VPN: seleziona uno dei gateway VPN ad alta disponibilità associati ai collegamenti VLAN criptati.

    2. Gateway VPN peer: seleziona un gateway VPN peer esistente o creane uno nuovo selezionando Crea un nuovo gateway VPN peer. Per creare un nuovo gateway VPN peer, specifica quanto segue:

      • Un nome
      • Due interfacce

      Se devi specificare una singola interfaccia o quattro interfacce, non puoi creare questo gateway VPN peer nella consoleGoogle Cloud . Utilizza invece Google Cloud CLI. Nello specifico, devi assegnare quattro interfacce al gateway VPN peer se ti connetti ad AWS.

    3. Nel campo Indirizzi IP, inserisci gli indirizzi IPv4 delle due interfacce del gateway VPN peer.

    4. Fai clic su Crea.

  11. Al termine della configurazione di tutti i tunnel VPN ad alta disponibilità, fai clic su Crea e continua.

gcloud

Questo router è dedicato alla gestione delle sessioni BGP per tutti i tunnel VPN ad alta disponibilità.

Puoi utilizzare un router Cloud esistente se non gestisce già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect. Non puoi utilizzare il router Cloud criptato utilizzato per il livello Cloud Interconnect del deployment VPN ad alta disponibilità su Cloud Interconnect.

  1. Per creare un router Cloud, esegui questo comando:

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK \
     --asn=GOOGLE_ASN

    Sostituisci quanto segue:

    • ROUTER_NAME: il nome del router Cloud nella stessa regione del gateway Cloud VPN
    • REGION: la Google Cloud regione in cui crei il gateway e il tunnel
    • NETWORK: il nome della tua rete Google Cloud
    • GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento

    Il router che crei dovrebbe essere simile all'output dell'esempio seguente:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

  2. Crea almeno un gateway VPN peer esterno.

     gcloud compute external-vpn-gateways create peer-gw \
     --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1

    Sostituisci quanto segue:

    • ON_PREM_GW_IP_0: l'indirizzo IP assegnato all'interfaccia 0 sul gateway VPN peer
    • ON_PREM_GW_IP_1: l'indirizzo IP assegnato all'interfaccia 1 sul gateway VPN peer

    Crea tutti i gateway VPN peer esterni necessari nel tuo deployment.

  3. Per ogni gateway VPN ad alta disponibilità creato in Crea gateway VPN ad alta disponibilità, crea un tunnel VPN per ogni interfaccia, 0 e 1. In ogni comando, specifica il lato peer del tunnel VPN come interfaccia e gateway VPN esterni che hai creato in precedenza.

    Ad esempio, per creare quattro tunnel per i due gateway VPN ad alta disponibilità di esempio creati in Crea gateway VPN ad alta disponibilità, esegui i seguenti comandi:

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \
     --peer-external-gateway=peer-gw \
     --peer-external-gateway-interface=1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-a \
     --interface=1

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 0 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=0

     gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \
     --peer-external-gateway peer-gw \
     --peer-external-gateway-interface 1 \
     --region=REGION \
     --ike-version=2 \
     --shared-secret=SHARED_SECRET \
     --router=vpn-router \
     --vpn-gateway=vpn-gateway-b \
     --interface=1

Configura sessioni BGP

Console

Nella console Google Cloud , continua alla sezione successiva della procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect.

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ogni tunnel.

Accanto a ogni tunnel, fai clic su Configura sessione BGP.

Segui le istruzioni riportate in Crea sessioni BGP per configurare BGP per ogni tunnel VPN.

gcloud

Dopo aver creato tutti i tunnel VPN ad alta disponibilità, devi configurare le sessioni BGP per ogni tunnel.

Per ogni tunnel, segui le istruzioni riportate in Crea sessioni BGP.

Completa la configurazione della VPN ad alta disponibilità

Prima di poter utilizzare i nuovi gateway Cloud VPN e i relativi tunnel VPN, completa i seguenti passaggi:

  1. Configura i gateway VPN peer per le tue reti on-premise e configura i tunnel corrispondenti. Per istruzioni, vedi quanto segue:
  2. Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
  3. Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.

Passaggi successivi