HA VPN-Topologien

In diesem Dokument werden die empfohlenen Topologien und das entsprechende Verfügbarkeits-Service Level Agreement (SLA) für jede HA VPN-Topologie beschrieben. Informationen zu klassischen VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Übersicht

HA VPN unterstützt eine der folgenden empfohlenen Topologien:

  • Verbinden Sie Google Cloud mit Ihrem Peer-VPN-Gateway. Diese Topologie erfordert aus Sicht des HA VPN-Gateways zwei VPN-Tunnel, um das Hochverfügbarkeits-SLA zu erreichen. In dieser Konfiguration hat HA VPN drei typische Peer-Gateway-Konfigurationen:

    • Zwei separate Peer-VPN-Gateways mit jeweils eigener IP-Adresse
    • Ein Peer-VPN-Gateway mit zwei separaten IP-Adressen.
    • Ein Peer-VPN-Gateway mit einer IP-Adresse.

  • Mehrere Google Cloud-VPC-Netzwerke verbinden In dieser Topologie verbinden Sie zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem VPC-Netzwerk. Die VPC-Netzwerke können sich in derselben oder in verschiedenen Google Cloud-Regionen befinden.

    Sie erhalten ein anderes Verfügbarkeits-SLA für HA VPN-Gateways, die in derselben Region bereitgestellt werden, als für solche, die über verschiedene Regionen hinweg bereitgestellt werden. Weitere Informationen finden Sie unter Hochverfügbarkeitskonfigurationen für HA VPN.

  • Verbinden Sie ein HA VPN-Gateway mit Compute Engine-VM-Instanzen. In dieser Topologie verbinden Sie ein HA VPN-Gateway mit einer virtuellen Maschine (VM) der Compute Engine. Ihre VM-Instanzen können sich in derselben Zone oder in verschiedenen Zonen befinden.

    Das Verfügbarkeits-SLA der Compute Engine VM-Instanz bestimmt das Verfügbarkeits-SLA für die VPN-Verbindung.

  • HA VPN über Cloud Interconnect In dieser Topologie erstellen Sie HA VPN-Tunnel für den Übertragung von IPsec-verschlüsseltem Traffic über VLAN-Anhänge von Dedicated Interconnect oder Partner Interconnect. Sie können regionale interne IP-Adressbereiche für Ihre HA VPN-Gateways reservieren. Ihr Peer-VPN-Gateway kann auch interne IP-Adressen haben. Weitere Informationen und Architekturdiagramme finden Sie unter HA VPN über Cloud Interconnect-Bereitstellungsarchitektur.

    In Google Cloud werden alle Peer-Gateway-Szenarien durch eine einzelne externe Peer-VPN-Ressource dargestellt.

Hochverfügbarkeitskonfigurationen für HA VPN

In der folgenden Tabelle sind die SLAs für die Verfügbarkeit verschiedener HA VPN-Konfigurationen aufgeführt:

Topologie Beschreibung SLA zur Verfügbarkeit
Google Cloud mit Ihrem Peer-VPN-Gateway verbinden HA VPN-Gateway mit einem oder zwei separaten Peer-VPN-Gateways verbinden 99,99 %
VPC-Netzwerke mit HA VPN-Gateways verbinden Verbinden Sie zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk. Die HA VPN-Gateways werden in derselben Region bereitgestellt. Die VPC-Netzwerke können sich in derselben Region oder in verschiedenen Regionen befinden. 99,99 %
HA VPN zu Compute Engine VM-Instanzen in mehreren Zonen Verbinden Sie ein HA VPN-Gateway mit Compute Engine VM-Instanzen mit externen IP-Adressen 99,9 %
HA VPN zu einer einzelnen Compute Engine VM-Instanz Verbinden Sie ein HA VPN-Gateway mit nur einer Compute Engine VM-Instanz mit einer externen IP-Adresse Die Verfügbarkeits-SLA wird durch die Verfügbarkeits-SLA bestimmt, die für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine bereitgestellt wird. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Um das maximale Verfügbarkeits-SLA für Ihre HA VPN-Verbindungen zu gewährleisten, empfehlen wir Ihnen, zwei Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder zu einem anderen HA VPN-Gateway zu konfigurieren. Achten Sie darauf, dass das Peer-VPN-Gateway ebenfalls so konfiguriert ist, dass es dasselbe Verfügbarkeits-SLA erhält.

Um die Verbindung im Falle eines Ausfalls eines der Tunnel aufrechtzuerhalten, verbinden Sie alle Schnittstellen des HA VPN-Gateways mit allen Schnittstellen des Peer-Gateways oder eines anderen HA VPN-Gateways.

Google Cloud mit Ihrem Peer-VPN-Gateway verbinden

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Gateways mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gateway, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gateway, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Wenn Sie ein HA VPN-Gateway mit dem Stacktyp IPV6_ONLY oder IPV4_IPV6 bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den lokalen Subnetzen und VPC-Subnetzen in den folgenden Topologien IPv6-Adressen zuweisen. Weitere Informationen finden Sie unter IPv6-Unterstützung.

Zwei Peer-VPN-Gateways verbinden

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn eines der physischen Gateways ausfällt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-VPN-Gateways her. Jedes Peer-VPN-Gateway hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-VPN-Gateway.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,99 %.

HA VPN zu zwei Peer-VPN-Gateways (lokal).
HA VPN zu zwei Peer-VPN-Gateways (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gateway mit zwei IP-Adressen verbinden

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-VPN-Gateway verbunden ist, das über zwei separate externe IP-Adressen verfügt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-VPN-Gateway.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,99 %.

HA VPN zu einem Peer-VPN-Gateway (lokal) mit zwei IP-Adressen.
HA VPN zu einem Peer-VPN-Gateway (lokal) mit zwei IP-Adressen (zum Vergrößern anklicken)

Ein Peer-VPN-Gateway mit einer IP-Adresse verbinden

Diese Topologie beschreibt ein HA VPN-Gateway, das mit einem Peer-VPN-Gateway verbunden ist, das eine externe IP-Adresse hat. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-VPN-Gateway verbunden sind.

In Google Cloud wird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,99 %.

HA VPN zu einem Peer-VPN-Gateway (lokal) mit einer IP-Adresse.
HA VPN zu einem Peer-VPN-Gateway (lokal) mit einer IP-Adresse (zum Vergrößern anklicken)

Für ein SLA mit einer Verfügbarkeit von 99,99% konfigurieren

Um das SLA von 99,99 % auf der Google Cloud-Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99 % aufseiten von Google Cloud zu erhalten. In diesem Fall ist ein Full Mesh definiert als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen am Peer-Gateway. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Gateways oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.

In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Diagrammen sind Beispiele für zwei Peer-VPN-Gateways, zwei Schnittstellen und ein Peer-VPN-Gateway, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-VPN-Gateway, eine Schnittstelle.

Das folgende Beispiel hat keine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet.
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

VPC-Netzwerke mit HA VPN-Gateways verbinden

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Die VPC-Netzwerke und die HA VPN-Gateways können sich in derselben oder in verschiedenen Regionen befinden.

Mit dem transitiven Routing können Sie mehr als zwei VPC-Netzwerke verbinden. Wenn Sie transitives Routing nutzen möchten, erstellen Sie ein hub als Hub und verbinden Sie Ihre anderen VPC-Netzwerke über einzelne HA VPN-Verbindungen mit diesem Hub.

Das Verfügbarkeits-SLA in dieser Topologie hängt davon ab, ob sich die HA VPN-Gateways in derselben Region oder in verschiedenen Regionen befinden. Sie erhalten ein höheres SLA für die Verfügbarkeit, wenn sich die HA VPN-Gateways in derselben Region befinden.

VPC-Netzwerke verbinden

Sie können zwei VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Die HA VPN-Gateways müssen in derselben Region bereitgestellt werden, um das beste Verfügbarkeits-SLA zu erhalten, auch wenn sich die VPC-Netzwerke in verschiedenen Regionen befinden. Jedes HA VPN-Gateway identifiziert das andere Gateway anhand seines Namens.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,99 %.

HA VPN-Gateways zwischen Google Cloud-Netzwerken.
HA VPN-Gateways zwischen Google Cloud-Netzwerken (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Für ein SLA mit einer Verfügbarkeit von 99,99% konfigurieren

Um ein Verfügbarkeits-SLA von 99,99% zu gewährleisten, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, so dass beide der folgenden Bedingungen erfüllt sind:

  • Tunnel 0 verbindet interface 0 auf einem HA VPN-Gateway mit interface 0 auf dem anderen HA VPN-Gateway.
  • Tunnel 1 verbindet interface 1 auf einem HA VPN-Gateway mit interface 1 auf dem anderen HA VPN-Gateway.

Sie können zwei VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden, wobei sich die HA VPN-Gateways in verschiedenen Regionen befinden. Diese Topologie bietet jedoch ein SLA mit einer Verfügbarkeit von 99, 9 %.

Sofern nicht erforderlich, dass sich die HA VPN-Gateways in verschiedenen Regionen befinden, empfehlen wir, sie in derselben Region zu platzieren. VPC-Netzwerke sind globale Ressourcen. Sie können also HA VPN verwenden, um Ressourcen in verschiedenen Regionen zu verbinden, während die HA VPN-Gateways in derselben Region bereitgestellt werden.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,9 %.

HA VPN-Gateways zwischen Google Cloud-Netzwerken in mehreren Regionen
HA VPN-Gateways zwischen Google Cloud-Netzwerken (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Für ein SLA mit einer Verfügbarkeit von 99,9% konfigurieren

Um ein SLA mit einer Verfügbarkeit von 99,9% zu gewährleisten, wenn sich die VPN-Gateways in verschiedenen Regionen befinden, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, so dass beide der folgenden Bedingungen erfüllt sind:

  • Tunnel 0 verbindet interface 0 auf einem HA VPN-Gateway mit interface 0 auf dem anderen HA VPN-Gateway.
  • Tunnel 1 verbindet interface 1 auf einem HA VPN-Gateway mit interface 1 auf dem anderen HA VPN-Gateway.

Wenn Sie ein besseres Verfügbarkeits-SLA erhalten möchten, sollten Sie die HA VPN-Gateways in derselben Region bereitstellen . Mit dieser Konfiguration können Sie auch VPC-Netzwerke in verschiedenen Regionen verbinden.

HA VPN-Gateway mit Compute Engine-VM-Instanzen verbinden

Mit HA VPN können Sie eine sichere Verbindung zwischen einem HA VPN-Gateway und Compute Engine-VM-Instanzen herstellen, die als virtuelle Netzwerk-Appliance mit einer IPsec-Implementierung fungieren. Diese Topologie bietet bei korrekter Konfiguration ein SLA mit einer Verfügbarkeit von 99,9 %.

HA VPN-Gateway mit mehreren VM-Instanzen verbinden

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Compute Engine-VM-Instanzen her. Das HA VPN-Gateway und die VMs befinden sich in zwei verschiedenen Virtual Private Cloud-Netzwerken. Die beiden VMs befinden sich in verschiedenen Zonen, wobei jede VM eine externe IP-Adresse hat. Die VM-Instanzen verhalten sich wie Peer-VPN-Gateways.

Diese Topologie ist besonders nützlich, wenn Sie HA VPN mit einer virtuellen Netzwerk-Appliance VM eines Drittanbieters verbinden möchten, die in einer Compute Engine-VM-Instanz gehostet wird. Mit dieser Topologie können Sie zum Beispiel eine der VMs der virtuellen Netzwerk-Appliance aktualisieren, ohne dass die VPN-Verbindung unterbrochen wird.

In der Abbildung befindet sich das HA VPN-Gateway in einem VPC-Netzwerk mit dem Namen network-a und die beiden VMs befinden sich in network-b. Beide VPC-Netzwerke befinden sich in us-central1. Das HA VPN-Gateway in network-a ist mit den externen IP-Adressen der einzelnen VMs in network-b konfiguriert. Sie können auch das HA VPN-Gateway und die VMs in zwei verschiedenen Regionen haben. Wir empfehlen Ihnen, diese Topologie zu verwenden, um die Verfügbarkeit zu verbessern.

Das folgende Beispiel bietet ein SLA mit einer Verfügbarkeit von 99,9 %.

Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine VM-Instanzen verbindet, wobei sich jede VM in einer anderen Zone befindet.
Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine-VM-Instanzen mit jeder VM in einer anderen Zone verbindet (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.

Für ein SLA mit einer Verfügbarkeit von 99,9% konfigurieren

Um das SLA von 99,9 % zu erfüllen, müssen mindestens zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zu den entsprechenden Schnittstellen der einzelnen VMs bestehen. Wir empfehlen Ihnen, diese Topologie zu verwenden, um ein SLA mit höherer Verfügbarkeit zu erhalten.

Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:

  • Tunnel 0 von interface 0 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 2 von interface 0 auf us-central1-vm-b in der Zone us-central1-b
  • Tunnel 3 von interface 1 auf us-central1-vm-b in der Zone us-central1-b

HA VPN-Gateway mit einer einzelnen VM-Instanz verbinden

Mit HA VPN können Sie ein HA VPN-Gateway mit einer virtuellen Compute-Engine-Instanz (VM) verbinden, die als virtuelle Netzwerk-Appliance arbeitet und eine IPsec-VPN-Implementierung ausführt. Das HA VPN-Gateway und die VM befinden sich in zwei verschiedenen VPCs. Die VM hat eine externe IP-Adresse.

Die Gesamtverfügbarkeit wird durch das Verfügbarkeits-SLA bestimmt, das für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine gilt. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine VM verbindet.
Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine-VM verbindet (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.

Für ein SLA mit einer Verfügbarkeit von 99,9% konfigurieren

Um das Verfügbarkeits-SLA von 99,9 % zu erfüllen, müssen zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zur Schnittstelle der Compute Engine VM vorhanden sein.

Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:

  • Tunnel 0 von interface 0 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 auf us-central1-vm-a in der Zone us-central1-a

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.