在規劃及設定 Cloud VPN 時,請參考下列最佳做法。
使用不同的 Google Cloud 專案來管理網路資源
為簡化身分與存取權管理 (IAM) 角色和權限的設定,請盡可能將 Cloud VPN 和 Cloud Router 資源放在專案中,與其他 Google Cloud 資源分開。
路由和容錯移轉
選擇動態轉送
請選擇使用動態轉送和邊界閘道協定 (BGP) 的 Cloud VPN 閘道。Google 建議使用 HA VPN,並部署支援 BGP 的內部部署裝置。
盡可能使用 HA VPN
為達到最高可用性,請盡可能使用 HA VPN。
詳情請參閱 Cloud VPN 總覽中的「VPN 類型」。
選擇適當的隧道設定
請根據高可用性 VPN 通道的數量,選擇適當的通道設定:
如果您有兩個高可用性 VPN 通道,請使用主動/被動通道設定。
如果您有兩個以上的高可用性 VPN 通道,請使用主動/主動通道設定。
如需更多資訊,請參閱 Cloud VPN 總覽中的以下章節:
可靠性
設定對等互連 VPN 閘道時,每個密碼角色只能有一個密碼
在需要建立新安全關聯時,Cloud VPN 可視流量來源而做為 IKE 要求的啟動器或回應者。
當 Cloud VPN 啟動 VPN 連線時,Cloud VPN 會建議在 Cloud VPN 通道中設定的加密演算法。如果您尚未設定加密演算法 ([預先發布版](/products#product-launch-stages)),Cloud VPN 通道會依據支援的加密表格中列出的順序,為每個加密角色建議加密演算法。接收提案的對等方會選取演算法。
如果對等端啟動連線,Cloud VPN 會使用與表格中各個密碼角色的設定或顯示順序,從提案中選取密碼。
視發起方或回應方而定,所選的密碼可能會有所不同。舉例來說,在金鑰輪替期間建立新的安全性關聯 (SA) 時,所選的密碼編譯器甚至可能會隨時間變更。由於加密選項的變更可能會影響效能或 MTU 等重要的隧道特性,因此請使用穩定的加密選項。如要進一步瞭解 MTU,請參閱MTU 注意事項。
為避免加密方式選取頻繁變動,請將對等互連 VPN 閘道和 Cloud VPN 通道設為只為每個加密方式角色提出及接受一個加密方式。Cloud VPN 和對等互連 VPN 閘道都必須支援此密碼編譯。請勿為每個密碼角色提供密碼清單。這個最佳做法可確保 Cloud VPN 通道的兩端在 IKE 協商期間一律選取相同的 IKE 密碼編譯器。
Cloud Location Finder 可協助您找出全球實體位置最接近的 Google Cloud 區域和區域。您可以使用 Cloud Location Finder,針對要部署 Cloud VPN 閘道的 Google Cloud 區域做出明智決策,進而盡可能降低延遲、地理位置和碳能源使用量。詳情請參閱 Cloud Location Finder 說明文件。
針對高可用性 VPN 通道組,請在對等互連 VPN 閘道上設定兩個高可用性 VPN 通道,以便使用相同的密碼和 IKE 第 2 階段的生命週期值。
安全性
為 VPN 閘道設定防火牆規則
針對透過 Cloud VPN 傳輸的流量建立安全防火牆規則。詳情請參閱虛擬私有雲防火牆規則總覽。
使用高強度的預先共用金鑰
Google 建議您為 Cloud VPN 通道產生強大的預先共用金鑰。
限制對等互連 VPN 閘道的 IP 位址
限制可為對等互連 VPN 閘道指定的 IP 位址,即可避免建立未經授權的 VPN 通道。
詳情請參閱「限制對等互連 VPN 閘道的 IP 位址」。
在對等互連 VPN 閘道上設定最強的密碼編譯器
設定對等互連 VPN 閘道時,請為每個對等互連 VPN 閘道和 Cloud VPN 支援的密碼角色,選擇最強的密碼。
列出的 Cloud VPN 提案順序並非依據強度排序。
如需支援的 IKE 加密方式清單,請參閱「支援的 IKE 加密方式」。