Les bonnes pratiques présentées ci-dessous peuvent être utiles pour la planification et la configuration de Cloud VPN.
Utiliser des projets Google Cloud distincts pour les ressources réseau
Pour simplifier la configuration des rôles et des autorisations IAM (Identity and Access Management), dans la mesure du possible, conservez vos ressources Cloud VPN et Cloud Router dans un projet distinct de vos autres ressources Google Cloud.
Routage et basculement
Choisir le routage dynamique
Choisissez une passerelle Cloud VPN qui utilise le routage dynamique et le protocole BGP (Border Gateway Protocol). Nous vous recommandons d'utiliser un VPN haute disponibilité et de déployer des appareils sur site compatibles avec BGP.
Utiliser un VPN haute disponibilité dans la mesure du possible
Pour atteindre le niveau de disponibilité le plus élevé, utilisez autant que possible un VPN haute disponibilité.
Pour en savoir plus, consultez la section Types de VPN dans la présentation de Cloud VPN.
Choisir la configuration de tunnel appropriée
Choisissez la configuration de tunnel appropriée en fonction du nombre de tunnels VPN haute disponibilité :
Si vous disposez de deux tunnels VPN haute disponibilité, utilisez une configuration de tunnel actif/passif.
Si vous disposez de plusieurs passerelles VPN haute disponibilité, utilisez une configuration de tunnel actif/actif.
Pour plus d'informations, consultez les sections suivantes de la présentation de Cloud VPN :
- Options de routage actif/actif et actif/passif pour le VPN haute disponibilité
- Option de routage recommandée
Fiabilité
Configurer votre passerelle VPN de pairs avec un seul algorithme de chiffrement pour chaque rôle de chiffrement
Cloud VPN peut agir en tant qu'initiateur ou répondeur pour les requêtes IKE en fonction de l'origine du trafic lorsqu'une nouvelle association de sécurité est nécessaire.
Lorsqu'il établit une connexion VPN, Cloud VPN propose les algorithmes dans l'ordre indiqué dans les tables d'algorithmes de chiffrement compatibles pour chaque rôle de chiffrement. Le côté pair recevant la proposition sélectionne un algorithme.
Si le côté pair initialise la connexion, Cloud VPN sélectionne un algorithme de chiffrement de la proposition en utilisant le même ordre que celui affiché dans le tableau pour chaque rôle de chiffrement.
Selon l'initiateur ou le répondeur, l'algorithme de chiffrement sélectionné peut être différent. Par exemple, l'algorithme de chiffrement sélectionné peut même changer au fil du temps, à mesure que de nouvelles associations de sécurité (SA) sont créées lors de la rotation des clés. Étant donné qu'une modification de la sélection de chiffrement peut avoir un impact sur les caractéristiques importantes du tunnel, comme les performances ou la MTU, assurez-vous que votre sélection de chiffrement est stable. Pour en savoir plus sur les MTU, consultez la section Considérations concernant les MTU.
Pour éviter les modifications fréquentes dans le processus de sélection d'algorithmes de chiffrement, configurez votre passerelle VPN de pairs de sorte qu'elle ne propose qu'un algorithme de chiffrement pour chaque rôle de chiffrement. Cet algorithme de chiffrement doit être compatible avec Cloud VPN et avec votre passerelle VPN de pairs. Ne fournissez pas de liste d'algorithmes de chiffrement pour chaque rôle de chiffrement. Cette bonne pratique garantit que les deux côtés de votre tunnel Cloud VPN sélectionnent toujours le même algorithme de chiffrement IKE lors de la négociation IKE.
Pour les paires de tunnels VPN haute disponibilité, configurez les deux tunnels VPN haute disponibilité sur votre passerelle VPN de pairs pour qu'ils utilisent les mêmes valeurs de chiffrement IKE et de phase 2.
Sécurité
Configurer des règles de pare-feu pour vos passerelles VPN
Créez des règles de pare-feu sécurisées pour le trafic qui transite par Cloud VPN. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.
Utiliser des clés prépartagées sécurisées
Nous vous recommandons de générer une clé pré-partagée sécurisée pour vos tunnels Cloud VPN.
Limiter les adresses IP pour les passerelles VPN de pairs
En limitant les adresses IP pouvant être spécifiées pour une passerelle VPN de pairs, vous pouvez empêcher la création de tunnels VPN non autorisés.
Pour en savoir plus, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.
Configurer l'algorithme de chiffrement le plus sécurisé sur votre passerelle VPN de pairs
Lorsque vous configurez votre passerelle VPN de pairs, choisissez l'algorithme de chiffrement le plus sécurisé pour chaque rôle de chiffrement compatible à la fois avec votre passerelle VPN de pairs et Cloud VPN.
L'ordre de propositions indiqué pour Cloud VPN n'est pas ordonné de force.
Pour obtenir la liste des algorithmes de chiffrement IKE compatibles, consultez la page Algorithmes de chiffrement IKE compatibles.
Étapes suivantes
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.