本頁說明支援的虛擬私有雲 (VPC) 網路和轉送選項。
如需本頁所用詞彙的定義,請參閱「重要術語」。
支援的網路
Cloud VPN 支援自訂模式虛擬私有雲網路、自動模式虛擬私有雲網路,以及舊版網路。不過,請考慮採用下列最佳做法:
使用虛擬私人雲端網路,而不是舊版網路。舊版網路不支援子網路;整個網路都使用單一 IP 位址範圍。舊版網路無法轉換為虛擬私人雲端網路。
使用自訂模式虛擬私有雲網路。自訂模式的虛擬私人雲端網路可讓您完全控制其子網路使用的 IP 位址範圍。
如果您使用 Cloud VPN 連結兩個虛擬私有雲網路,至少其中一個網路「必須」是自訂模式虛擬私有雲網路。自動模式 VPC 網路會針對其子網路使用相同的內部 IP 位址範圍。
請先參閱自動模式虛擬私人雲端網路的考量事項,然後再將此類網路與 Cloud VPN 搭配使用。自動模式 VPC 網路會在每個 Google Cloud 區域自動建立子網路,包括在新增地區時,在這些新地區自動建立新的子網路。請避免在連結 Cloud VPN 通道的網路中,使用自動模式虛擬私有雲網路所使用範圍的內部 IP 位址。
VPN 通道的轉送選項
傳統版 VPN 支援 VPN 通道的靜態轉送選項,而高可用性 VPN 則支援動態轉送選項。只有在傳統版 VPN 閘道連線至在 Compute Engine VM 中運作的 VPN 閘道軟體時,才能使用採用動態轉送的傳統版 VPN 通道。
動態轉送會使用邊界閘道協定 (BGP)。
動態 (BGP) 轉送
動態轉送會使用 Cloud Router,透過 BGP 自動管理路徑交換作業。與對應 Cloud VPN 通道位於相同地區的 Cloud Router 上的 BGP 介面會管理這項交換作業。Cloud Router 會新增及移除路徑,而不需要刪除及重新建立通道。
虛擬私人雲端網路的動態轉送模式會控管所有雲端路由器的行為。這個模式會決定從對等網路學習到的路徑是否套用至與 VPN 通道相同區域的 Google Cloud 資源,或是套用至所有區域。您可以控制對等路由器或閘道宣傳的路徑。
動態轉送模式也會決定是否只與隧道所在區域的子網路路徑,或與所有區域的子網路路徑共用對等路由器或閘道。除了這些子網路路徑之外,您還可以在 Cloud Router 上設定自訂路徑通告。
靜態轉送
傳統 VPN 通道支援依據政策與依據路徑的靜態轉送選項。只有在您無法使用動態 (BGP) 轉送或高可用性 VPN 時,才考慮使用靜態轉送選項。
依據政策的轉送:系統會將本機 IP 範圍 (左側) 與遠端 IP 範圍 (右側) 定義為通道建立程序的一部分。
依據路徑的 VPN:使用 Google Cloud 控制台建立依據路徑的 VPN 時,您只需指定遠端 IP 範圍清單。這些範圍「只會」用來在虛擬私人雲端網路中建立對等資源的路徑。
如要進一步瞭解這兩個靜態轉送選項,請參閱下一節。
流量選取器
流量選取器可定義用來建立 VPN 通道的一組 IP 位址範圍或 CIDR 區塊。這些範圍做為通道 IKE 交涉的一部分使用。部分文獻將流量選取器稱為「加密網域」。
流量選取器分為兩種:
本機流量選取器會從發出 VPN 通道的 VPN 閘道角度,定義一組本機 IP 範圍 (CIDR 區塊)。針對 Cloud VPN 通道,本機流量選取器可為虛擬私人雲端網路中的子網路定義一組主要與次要子網路 CIDR,藉以表示通道的「左側」。
遠端流量選取器會從發出 VPN 通道的 VPN 閘道角度,定義一組遠端 IP 範圍 (CIDR 區塊)。針對 Cloud VPN 通道,遠端流量選取器是右側或對等網路。
流量選取器是 VPN 通道的固有部分,用來建立 IKE 交握。如果本機或遠端 CIDR 需要變更,Cloud VPN 通道及其對等互連通道都必須刪除並重新建立。
轉送選項與流量選取器
本機與遠端流量選取器的 IP 範圍 (CIDR 區塊) 值,取決於 Cloud VPN 通道使用的轉送選項。
| HA VPN 通道 | |||||
|---|---|---|---|---|---|
| 通道 轉送選項 |
本地 流量選取器 |
遠端 流量選取器 |
路由 至 VPC 網路 |
路由 至對等網路 |
|
| 需要使用 動態 (BGP) 轉送 |
一律為 0.0.0.0/0 (IPv4 單一堆疊)或 0.0.0.0/0,::/0 (IPv4 和 IPv6 雙重堆疊) 或 ::/0 (IPv6 單一堆疊) |
一律為 0.0.0.0/0 (IPv4 單一堆疊)或 0.0.0.0/0,::/0 (IPv4 和 IPv6 雙重堆疊) 或 ::/0 (IPv6 單一堆疊) |
除非受到自訂公告修改,否則管理 Cloud VPN 通道 BGP 介面的 Cloud Router 會根據網路的動態轉送模式和 Cloud Router 配額和限制,將路徑分享至 VPC 網路中的子網路。 | 在遵守自訂路徑限制和 Cloud Router 配額和限制的前提下,Cloud Router 會管理 Cloud VPN 通道的 BGP 介面,取得對等互連 VPN 閘道傳送的路徑,並將這些路徑加入虛擬私人雲端網路,做為自訂動態路徑。 | |
| 傳統版 VPN 通道 | |||||
| 通道 轉送選項 |
本地 流量選取器 |
遠端 流量選取器 |
路由 至 VPC 網路 |
路由 至對等網路 |
|
| 動態 (BGP) 轉送 | 一律0.0.0.0/0 |
一律0.0.0.0/0 |
除非受到自訂公告修改,否則管理 Cloud VPN 通道 BGP 介面的 Cloud Router 會根據網路的動態轉送模式,以及 Cloud Router 配額和限制,將路徑分享至 VPC 網路中的子網路。 | 在自訂路徑限制和 Cloud Router 配額與限制的限制下,Cloud Router 會管理 Cloud VPN 通道的 BGP 介面,並取得對等互連 VPN 閘道傳送的路徑,然後將這些路徑新增至 VPC 網路,做為自訂動態路徑。 | |
| 策略路由 | 可設定。 請參閱「依據政策的通道與流量選取器」一文。 |
必填。 請參閱「依據政策的通道與流量選取器」一文。 |
您必須在對等路由器上手動建立及維護虛擬私有雲網路中的子網路路徑。 | 如果您使用 Google Cloud 主控台建立依據政策的 VPN 通道,系統會自動建立自訂靜態路徑。如果您使用 gcloud CLI 建立通道,必須使用其他 gcloud 指令才能建立路徑。如需操作說明,請參閱「使用靜態轉送建立傳統版 VPN」。 |
|
| 依據路徑的 VPN | 一律0.0.0.0/0 |
一律0.0.0.0/0 |
您必須在對等路由器上手動建立及維護虛擬私有雲網路中的子網路路徑。 | 如果您使用 Google Cloud 主控台建立依據路徑的 VPN 通道,系統會自動建立自訂靜態路徑。如果您使用 gcloud CLI 建立通道,必須使用其他 gcloud 指令才能建立路徑。如需操作說明,請參閱「使用靜態轉送建立傳統版 VPN」。 |
|
依據政策的通道與流量選取器
本節說明您建立依據政策的 Classic VPN 通道時,有關流量選取器的特別注意事項。但不適用於任何其他類型的傳統版 VPN 或高可用性 VPN 通道。
您可以選擇在建立依據政策的 Cloud VPN 通道時指定本機流量選取器:
自訂本機流量選取器。您可以將本機流量選取器定義為虛擬私人雲端網路中的子網路,或是在虛擬私人雲端網路中包含所選子網路 IP 範圍的內部 IP 位址。IKEv1 會將本機流量選取器限制為單一 CIDR。
自訂模式虛擬私有雲網路指定由一系列內部 IP 位址組成的自訂本機流量選取器。
自動模式虛擬私有雲網路。若未指定,本機流量選取器是自動建立之子網路的主要 IP 範圍 (CIDR 區塊),且該子網路與 Cloud VPN 通道位於相同地區。自動模式 VPC 網路在每個地區都有一個子網路,且 IP 範圍已明確定義。
舊版網路:如未指定,本機流量選取器將自動定義為舊版網路的整個 RFC 1918 IP 位址範圍。
請在建立依據政策的 Cloud VPN 通道時,指定遠端流量選取器。如果您使用 Google Cloud 主控台建立 Cloud VPN 通道,系統會自動建立自訂靜態路徑,該路徑的目的地會對應到遠端流量選取器的 CIDR。IKEv1 會將遠端流量選取器限制為單一 CIDR。如需操作說明,請參閱「使用靜態轉送建立傳統版 VPN」。
流量選取器的重要注意事項
建立 Cloud VPN 依據政策的通道前,請考慮下列事項:
如果封包的來源 IP 位址符合通道的本機流量選取器設定,且封包的目標 IP 位址符合通道的遠端流量選取器設定,則大多數 VPN 閘道只會透過 VPN 通道傳送流量。某些 VPN 裝置不會強制執行這項要求。
Cloud VPN 支援
0.0.0.0/0或::/0(任何 IP 位址) 的流量選取器 CIDR。如要判斷對等互連 VPN 閘道是否也提供相關支援,請參閱對等互連 VPN 閘道隨附的說明文件。建立依據政策的 VPN 通道時,若將兩個流量選取器都設為0.0.0.0/0或::/0,該通道的功能會等同於建立依據路徑的 VPN。詳閱每個流量選取器多個 CIDR 一節,瞭解 Cloud VPN 如何執行 IKEv1 和 IKEv2 通訊協定。
建立 VPN 後,Cloud VPN 不允許再編輯任何流量選取器。如要變更 Cloud VPN 通道的本機或遠端流量選取器,您必須刪除並重新建立通道。不過,您不必刪除 Cloud VPN 閘道。
如果您將自動模式虛擬私人雲端網路轉換為自訂模式虛擬私人雲端網路,可能需要刪除並重新建立 Cloud VPN 通道 (但不是閘道)。新增自訂子網路、移除任何自動建立的子網路,或修改任何子網路的次要 IP 範圍時,可能會發生這種情況。請避免切換使用現有 Cloud VPN 通道的虛擬私人雲端網路模式。如需建議,請參閱自動模式虛擬私人雲端網路的考量事項。
為保持一致且可預測的 VPN 行為,請執行下列操作:
儘可能保持本機與遠端流量選取器的明確性。
確保 Cloud VPN 本機流量選取器與對等 VPN 閘道上對應通道設定的遠端流量選取器相同。
確保 Cloud VPN 遠端流量選取器與內部部署 VPN 閘道上的對應通道設定的本機流量選取器相同。
每個流量選取器多個 CIDR
建立依據政策的 Classic VPN 通道時,如果您使用 IKEv2,可以針對每個流量選取器指定多個 CIDR。無論您使用的 IKE 版本為何,Cloud VPN「一律」使用單一子項安全性關聯 (SA)。
下表大致列出了 Cloud VPN 是否針對依據政策的 VPN 通道,支援每個流量選取器多個 CIDR:
| IKE 版本 | 每個流量選取器多個 CIDR |
|---|---|
| IKEv1 | 否 根據 RFC 2407 與 RFC 2409 的定義,IKEv1 通訊協定僅支援每個子項 SA 有一個 CIDR。由於 Cloud VPN 規定每個 VPN 通道只能有單一子項 SA,因此當您使用 IKEv1 時,只能針對本機流量選取器提供一個 CIDR,以及針對遠端流量選取器提供一個 CIDR。 Cloud VPN 不支援使用有多個子項 SA (且每個 SA 有一個 CIDR) 的 IKEv1 建立 VPN 通道。 |
| IKEv2 | 是,但必須符合下列條件:
最佳做法是每個流量選取器使用 30 個或更少的 CIDR,以防您建立超過 MTU 上限的 IKE 提議封包。 |
流量選取器策略
如果您的內部部署 VPN 閘道會針對每個 VPN 通道建立多個子項 SA,或是如果每個流量選取器有多個 CIDR 會導致 IKEv2 的 IKE 提議超出 1460 位元組 (詳情請參閱「轉送選項和流量選取器」),請考慮使用下列策略:
針對 VPN 通道使用動態轉送。如果對等 VPN 閘道支援 BGP,請為 VPN 通道設定本機和遠端流量選取器,以便允許任何 IP 位址。請將
0.0.0.0/0用於 IPv4 或0.0.0.0/0,::/0用於 IPv4 和 IPv6 流量。系統會在對等互連 VPN 閘道與 Cloud VPN 通道的關聯 Cloud Router 之間自動交換路徑。如果可以使用動態轉送,請考慮使用高可用性 VPN。使用廣泛、單一 CIDR 流量選取器與靜態通道轉送:
使用依據路徑的 VPN。根據定義,針對依據路徑的 VPN,兩個流量選取器均為
0.0.0.0/0。您可以建立比流量選取器更明確的路徑。使用依據政策的轉送,並將本機和遠端流量選取器設定為盡可能廣泛。針對依據政策的 Cloud VPN 通道,您可以在虛擬私有雲網路中建立內部部署網路的路徑,且路徑的目的地比遠端流量選取器中的 CIDR 區塊更明確。請按照「使用靜態轉送建立傳統版 VPN」中的步驟,使用 gcloud CLI 從 VPN 通道單獨建立路徑。
請使用依據政策的轉送建立多個 Cloud VPN 通道,以便每個通道的本機流量選取器只有一個 CIDR 區塊,且其遠端流量選取器只有一個 CIDR 區塊。以類似方式設定內部部署對應通道。Cloud VPN 支援每個閘道多個通道;但是,使用多個通道時有一些注意事項:
- 對等互連 VPN 閘道必須提供各個 Cloud VPN 通道可連線的獨立外部 IP 位址。同一個傳統版 VPN 閘道的通道必須連線至專屬對等點閘道的 IP 位址。對等互連 VPN 閘道也可能需要通道連線至不重複的 IP 位址。在某些情況下,您需要為每個 Cloud VPN 通道建立單獨的 Cloud VPN 閘道。
- 您使用 Google Cloud 主控台建立依據路徑或依據政策的 Cloud VPN 通道時,除了通道以外,也會自動建立對等互連網路的路徑。如果為多個 VPN 通道自動建立路徑,且每個通道都使用相同的遠端流量選取器 (如果您建立依據路徑的 VPN 就會如此),您可以在虛擬私人雲端網路中擁有多個路徑,且所有路徑的目的地都相同,但下一個躍點不同。這可能會導致產生無法預測或非預期的行為,因為系統會根據路徑的適用性與順序將流量傳送至 VPN 通道。如果您未使用動態 (BGP) 通道轉送,請在 VPC 網路和對等網路中建立及查看靜態路徑。
後續步驟
- 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽。
- 如要使用高可用性和高總處理量情境或多個子網路情境,請參閱「進階設定」。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱疑難排解。