Práticas recomendadas para o Cloud VPN

As práticas recomendadas a seguir podem ajudar no planejamento e configuração do Cloud VPN.

Usar Google Cloud projetos separados para recursos de rede

Para facilitar a configuração dos papéis e das permissões do Identity and Access Management (IAM, na sigla em inglês) sempre que possível, mantenha os recursos do Cloud VPN e do Cloud Router em um projeto separado dos outros Google Cloud recursos.

Roteamento e failover

Escolher o roteamento dinâmico

Escolha um gateway do Cloud VPN que use roteamento dinâmico e o Border Gateway Protocol (BGP). Recomendamos usar a VPN de alta qualidade e implantar dispositivos locais compatíveis com o BGP.

Use a VPN de alta disponibilidade sempre que possível

Para conseguir o mais alto nível de disponibilidade, use a VPN de alta disponibilidade sempre que possível.

Para mais informações, consulte tipos de VPN na visão geral do Cloud VPN.

Escolher a configuração de túnel apropriada

Escolha a configuração de túnel apropriada com base no número de túneis de VPN de alta disponibilidade:

• Se você tiver dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/passiva.

• Se você tiver mais de dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/ativa.

Para mais informações, consulte as seguintes seções na visão geral do Cloud VPN:

• Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade
• Opção de roteamento recomendada

Confiabilidade

Configurar o gateway de VPN de peering com apenas uma criptografia para cada papel de criptografia

O Cloud VPN pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança é necessária.

Quando o Cloud VPN inicia uma conexão VPN, ele propõe os algoritmos de criptografia configurados no túnel do Cloud VPN. Se você não tiver configurado os algoritmos de criptografia ([Pré-lançamento](/products#product-launch-stages)), o túnel do Cloud VPN propõe os algoritmos de criptografia na ordem mostrada nas tabelas de criptografia compatíveis para cada papel de criptografia. O par que recebe a proposta seleciona um algoritmo.

Se o peering iniciar a conexão, o Cloud VPN selecionará uma criptografia da proposta usando a mesma ordem configurada ou mostrada na tabela para cada papel de criptografia.

Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo, à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves. Como uma mudança na seleção de criptografia pode afetar características importantes do túnel, como desempenho ou MTU, use uma seleção de criptografia estável. Para ver mais informações sobre MTU, consulte Considerações sobre MTU.

Para evitar mudanças frequentes na seleção de criptografia, configure o gateway de VPN de peering e o túnel do Cloud VPN para propor e aceitar apenas uma criptografia para cada papel de criptografia. Essa criptografia precisa ser aceita pelo Cloud VPN e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel do Cloud VPN sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.

O Localizador de locais do Cloud ajuda a identificar as regiões e zonas Google Cloud mais próximas dos seus locais físicos em todo o mundo. Com o Localizador de locais do Cloud, você pode tomar decisões informadas sobre em qual Google Cloud região implantar seus gateways do Cloud VPN, potencialmente otimizando a latência, a localização geográfica e o uso de energia de carbono. Para mais informações, consulte a documentação do Localizador de locais do Cloud.

Para pares de túneis de VPN de alta disponibilidade, configure os dois túneis de VPN de alta disponibilidade no gateway de VPN de peering para usar os mesmos valores de vida útil de criptografia e fase IKE 2.

Segurança

Configurar regras de firewall para os gateways de VPN

Crie regras de firewall seguras para o tráfego transmitido pelo Cloud VPN. Para mais informações, consulte a visão geral das regras de firewall da VPC.

Usar chaves pré-compartilhadas fortes

Recomendamos gerar uma chave pré-compartilhada forte para os túneis do Cloud VPN.

Restringir endereços IP para os gateways de VPN de peering

Ao restringir quais endereços IP podem ser especificados para um gateway de VPN de peering, é possível impedir a criação de túneis VPN não autorizados.

Para mais informações, consulte Restringir endereços IP para gateways de VPN de peering.

Configurar a criptografia mais forte no gateway de VPN de peering

Ao configurar o gateway de VPN de peering, escolha a criptografia mais forte para cada papel de criptografia compatível com o gateway de VPN de peering e com o Cloud VPN.

A ordem da proposta listada para o Cloud VPN não é determinada pela força.

Para ver uma lista das criptografias IKE aceitas, consulte Criptografias IKE compatíveis.

A seguir

• Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
• Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.