HA VPN-Topologien

In diesem Dokument werden die empfohlenen Topologien und das entsprechende Verfügbarkeits-Service Level Agreement (SLA) für jede HA VPN-Topologie beschrieben. Informationen zu klassischen VPN-Topologien finden Sie unter Klassische VPN-Topologien. Weitere Informationen zu Cloud VPN, einschließlich beider VPN-Typen, finden Sie in der Cloud VPN-Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Übersicht

HA VPN unterstützt eine der folgenden empfohlenen Topologien:

  • Stellen Sie eine Verbindung Google Cloud zu Ihrem Peer-VPN-Gateway her. Diese Topologie erfordert aus Sicht des HA VPN-Gateways zwei VPN-Tunnel, um das Hochverfügbarkeits-SLA zu erreichen. In dieser Konfiguration hat HA VPN drei typische Peer-Gateway-Konfigurationen:

    • Zwei separate Peer-VPN-Gateways mit jeweils eigener IP-Adresse.
    • Ein Peer-VPN-Gateway mit zwei separaten IP-Adressen.
    • Ein Peer-VPN-Gateway mit einer IP-Adresse.

  • Mehrere Google Cloud VPC-Netzwerke verbinden: Wenn Sie zwei Google CloudVPC-Netzwerke verbinden möchten, erstellen Sie in jedem Netzwerk ein HA VPN-Gateway. Die Netzwerke können sich in derselben oder in verschiedenenGoogle Cloud Regionen befinden.

    Sie erhalten ein anderes Verfügbarkeits-SLA für HA VPN-Gateways, die in derselben Region bereitgestellt werden, als für solche, die über verschiedene Regionen hinweg bereitgestellt werden. Weitere Informationen finden Sie unter Konfigurationen für Hochverfügbarkeit für HA VPN.

  • HA VPN-Gateway mit Compute Engine-VM-Instanzen verbinden In dieser Topologie verbinden Sie ein HA VPN-Gateway mit einer Compute Engine-VM-Instanz. Ihre VM-Instanzen können sich in derselben Zone oder in verschiedenen Zonen befinden.

    Das Verfügbarkeits-SLA der Compute Engine-VM-Instanz bestimmt das Verfügbarkeits-SLA für die VPN-Verbindung.

  • HA VPN über Cloud Interconnect. In dieser Topologie erstellen Sie HA VPN-Tunnel für den Übertragung von IPsec-verschlüsseltem Traffic über VLAN-Anhänge von Dedicated Interconnect oder Partner Interconnect. Sie können regionale interne IP-Adressbereiche für Ihre HA VPN-Gateways reservieren.Ihr Peer-VPN-Gateway kann auch interne IP-Adressen haben. Weitere Informationen und Architekturdiagramme finden Sie unter HA VPN über Cloud Interconnect-Bereitstellungsarchitektur.

    In Google Cloudwerden alle Peer-Gateway-Szenarien durch eine einzelne externe Peer-VPN-Ressource dargestellt.

Konfigurationen mit hoher Verfügbarkeit für HA VPN

In der folgenden Tabelle sind die Verfügbarkeits-SLAs für verschiedene HA VPN-Konfigurationen aufgeführt:

Topologie Beschreibung SLA zur Verfügbarkeit
Verbindung Google Cloud zu Ihrem Peer-VPN-Gateway herstellen HA VPN-Gateway mit einem oder zwei separaten Peer-VPN-Gateways verbinden 99,99 %
VPC-Netzwerke mithilfe von HA VPN-Gateways verbinden Verbinden Sie zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk. Die HA VPN-Gateways werden in derselben Region bereitgestellt. Die VPC-Netzwerke können sich in derselben Region oder in verschiedenen Regionen befinden. 99,99 %
HA VPN zu Compute Engine VM-Instanzen in mehreren Zonen Verbinden Sie ein HA VPN-Gateway mit Compute Engine VM-Instanzen mit externen IP-Adressen 99,9 %
HA VPN zu einer einzelnen Compute Engine VM-Instanz Verbinden Sie ein HA VPN-Gateway mit nur einer Compute Engine VM-Instanz mit einer externen IP-Adresse Die Verfügbarkeits-SLA wird durch die Verfügbarkeits-SLA bestimmt, die für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine bereitgestellt wird. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Um das maximale Verfügbarkeits-SLA für Ihre HA VPN-Verbindungen zu gewährleisten, empfehlen wir, zwei Tunnel von Ihrem HA VPN-Gateway zu Ihrem Peer-VPN-Gateway oder zu einem anderen HA VPN-Gateway zu konfigurieren. Achten Sie darauf, dass das Peer-VPN-Gateway ebenfalls so konfiguriert ist, dass es das gleiche Verfügbarkeits-SLA erhält.

Damit die Verbindung im Falle eines Ausfalls eines der Tunnel aufrechterhalten wird, müssen Sie alle Schnittstellen des HA VPN-Gateways mit allen Schnittstellen des Peer-Gateways oder eines anderen HA VPN-Gateways verbinden.

Google Cloud Verbindung zu Ihrem Peer-VPN-Gateway herstellen

Es gibt drei typische Peer-Gateway-Konfigurationen für HA VPN:

  • Ein HA VPN-Gateway zu zwei separaten Peer-VPN-Gateways mit jeweils eigener IP-Adresse
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gateway, das zwei separate IP-Adressen verwendet
  • Ein HA VPN-Gateway zu einem Peer-VPN-Gateway, das eine IP-Adresse verwendet

Informationen zum Einrichten einer dieser Konfigurationen finden Sie unter HA VPN zu einem Peer-VPN-Gateway erstellen.

Wenn Sie ein HA VPN-Gateway mit dem Stacktyp IPV6_ONLY oder IPV4_IPV6 bereitstellen, können Ihre VPN-Tunnel den Austausch von IPv6-Traffic unterstützen. IPv6 muss auch in den BGP-Sitzungen aktiviert werden, die Sie für die VPN-Tunnel erstellen. In diesem Szenario können Sie den lokalen Subnetzen und VPC-Subnetzen in den folgenden Topologien IPv6-Adressen zuweisen. Weitere Informationen finden Sie unter IPv6-Unterstützung.

Zwei Peer-VPN-Gateways verbinden

Ist Ihr Peer-seitiges Gateway hardwarebasiert, können mit einem zweiten Peer-seitigen Gateway auch auf dieser Seite Redundanz und Failover bereitgestellt werden. Mit einem zweiten physischen Gateway können Sie eines der Gateways für Software-Upgrades oder andere geplante Wartungsarbeiten offline schalten. Außerdem sind Sie geschützt, wenn auf einem der physischen Gateways ein Fehler auftritt.

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Peer-VPN-Gateways her. Jedes Peer-VPN-Gateway hat eine Schnittstelle und eine externe IP-Adresse. Das HA VPN-Gateway verwendet zwei Tunnel, einen Tunnel zu jedem Peer-VPN-Gateway.

In Google Cloudwird für diese Konfiguration für REDUNDANCY_TYPE der Wert TWO_IPS_REDUNDANCY verwendet.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,99 %.

HA VPN zu zwei Peer-VPN-Gateways (lokal).
HA VPN zu zwei Peer-VPN-Gateways (lokal) (zum Vergrößern klicken)

Ein Peer-VPN-Gateway mit zwei IP-Adressen verbinden

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-VPN-Gateway mit zwei separaten externen IP-Adressen herstellt. Das HA VPN-Gateway verwendet zwei Tunnel: einen Tunnel zu jeder externen IP-Adresse auf dem Peer-VPN-Gateway.

In Google Cloudwird für diese Konfiguration für REDUNDANCY_TYPEder Wert TWO_IPS_REDUNDANCYverwendet.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,99 %.

HA VPN zu einem Peer-VPN-Gateway (lokal) mit zwei IP-Adressen.
HA VPN zu einem Peer-VPN-Gateway (lokal) mit zwei IP-Adressen (zum Vergrößern klicken)

Ein Peer-VPN-Gateway mit einer IP-Adresse verbinden

Diese Topologie beschreibt ein HA VPN-Gateway, das eine Verbindung zu einem Peer-VPN-Gateway mit einer externen IP-Adresse herstellt. Das HA VPN-Gateway verwendet zwei Tunnel, die beide mit der externen IP-Adresse auf dem Peer-VPN-Gateway verbunden sind.

In Google Cloudwird für diese Konfiguration für REDUNDANCY_TYPE der Wert SINGLE_IP_INTERNALLY_REDUNDANT verwendet.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,99 %.

HA VPN zu einem Peer-VPN-Gateway (lokal) mit einer IP-Adresse.
HA VPN zu einem Peer-VPN-Gateway (lokal) mit einer IP-Adresse (zum Vergrößern klicken)

Für ein Verfügbarkeits-SLA von 99,99% konfigurieren

Um das Verfügbarkeits-SLA von 99,99% auf der Google Cloud Seite zu erfüllen, muss ein Tunnel von jeder der beiden Schnittstellen auf dem HA VPN-Gateway zu den entsprechenden Schnittstellen auf dem Peer-Gateway vorhanden sein.

Wenn das Peer-Gateway über zwei Schnittstellen verfügt, müssen zwei Tunnel konfiguriert werden (einer von jeder Peer-Schnittstelle zu jeder HA VPN-Gateway-Schnittstelle), damit die Anforderungen für ein SLA von 99,99 % erfüllt werden können. Eine vollständige Mesh-Konfiguration ist nicht erforderlich, um ein SLA von 99,99% aufseiten von Google Cloud zu erhalten. In diesem Fall ist ein Full Mesh definiert als zwei Tunnel von jeder HA VPN-Schnittstelle zu jeder der beiden Schnittstellen am Peer-Gateway. Lesen Sie die Dokumentation Ihres lokalen Peer-VPN-Gateways oder wenden Sie sich an Ihren VPN-Anbieter, um zu prüfen, ob Ihr VPN-Anbieter eine vollständige Netzkonfiguration empfiehlt.

In Konfigurationen mit zwei Peer-Schnittstellen entsprechen Tunnel auf jeder der folgenden Schnittstellen im HA VPN-Gateway den entsprechenden Schnittstellen auf dem Peer-Gateway bzw. den Peer-Gateways:

  • HA VPN interface 0 zu Peer interface 0
  • HA VPN interface 1 zu Peer interface 1

In den Zeichnungen sind Beispiele für zwei Peer-VPN-Gateways, zwei Schnittstellen und ein Peer-VPN-Gateway, zwei Schnittstellen zu sehen.

Wenn nur eine Peer-Schnittstelle auf einem Peer-Gateway vorhanden ist, muss jeder Tunnel von jeder HA VPN-Gateway-Schnittstelle mit der Peer-Schnittstelle verbunden werden. Das Diagramm zeigt ein Peer-VPN-Gateway, eine Schnittstelle.

Das folgende Beispiel hat keine SLA für eine Verfügbarkeit von 99,99 %:

  • HA VPN interface 0 zu Peer interface 0
Eine Topologie, die keine Hochverfügbarkeit bietet.
Eine Topologie, die keine Hochverfügbarkeit bietet (zum Vergrößern klicken)

Aktiv/Aktiv- und Aktiv/Passiv-Routingoptionen für HA VPN

Fällt ein Cloud VPN-Tunnel aus, wird er automatisch neu gestartet. Fällt ein komplettes virtuelles VPN-Gerät aus, initiiert Cloud VPN automatisch ein neues Gerät mit derselben Konfiguration. Das neue Gateway und der neue Tunnel werden automatisch verbunden.

VPN-Tunnel, die mit HA VPN-Gateways verbunden sind, müssen dynamisches Routing (BGP) verwenden. Je nachdem, wie Sie Routenprioritäten für HA VPN-Tunnel konfigurieren, können Sie eine Aktiv/Aktiv- oder Aktiv/Passiv-Routingkonfiguration erstellen. Bei beiden Routingkonfigurationen bleiben jeweils beide VPN-Tunnel aktiv.

In der folgenden Tabelle werden die Features einer Aktiv/Aktiv- mit denen einer Aktiv/Passiv-Routingkonfiguration verglichen.

Funktion Aktiv/Aktiv Aktiv/Passiv
Durchsatz Der effektive aggregierte Durchsatz ist der kombinierte Durchsatz beider Tunnel. Durch die Reduzierung von zwei aktiven Tunneln auf einen halbiert sich der effektive Gesamtdurchsatz, wodurch Verbindungen verlangsamt werden oder Pakete verloren gehen können.
Route Advertisement

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit identischen MED-Werten (Multi-Exit Discriminator) für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit identischen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet Equal Cost Multi-Path-Routing (ECMP).

Derselbe Cloud Router verwendet identische Prioritäten, um Routen zu Ihrem VPC-Netzwerk zu bewerben.

Ihr Peer-Gateway verwendet ECMP, um diese Routen zum Senden von ausgehendem Traffic an Google Cloudzu verwenden.

Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit unterschiedlichen MED-Werten für jeden Tunnel.

Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit unterschiedlichen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet die Route mit der höchsten Priorität, solange der zugehörige Tunnel verfügbar ist.

Derselbe Cloud Router verwendet unterschiedliche Prioritäten für jeden Tunnel, um Routen zu Ihrem VPC-Netzwerk anzubieten.

Ihr Peer-Gateway kann nur den Tunnel mit der höchsten Priorität verwenden, um Traffic an Google Cloudzu senden.
Failover

Wenn der Tunnel fehlerhaft wird, z. B. weil DPD ausgefallen ist, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind.

Wenn eine BGP-Sitzung ausfällt, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind, ohne dass ein Tunnel fehlerhaft wird.

Während des Entfernungsvorgangs, der 40 bis 60 Sekunden dauern kann, ist ein Paketverlust zu erwarten.

Wenn der Tunnel fehlerhaft wird, z. B. weil DPD ausgefallen ist, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind.

Wenn eine BGP-Sitzung ausfällt, entfernt Cloud Router die erkannten Routen, deren nächste Hops der nicht verfügbare Tunnel sind, ohne dass ein Tunnel fehlerhaft wird.

Während der Entfernungsvorgangs, der 40 bis 60 Sekunden dauern kann, ist ein Paketverlust zu erwarten.

Verwendet maximal einen Tunnel auf einmal, sodass der zweite Tunnel Ihre gesamte ausgehende Bandbreite verarbeiten kann, wenn der erste Tunnel ausfällt und für ihn ein Failover durchgeführt werden muss.

Aktiv/Passiv-Routing in vollständigen Mesh-Topologien

Wenn Cloud Router über eine bestimmte Cloud VPN-Schnittstelle das gleiche Präfix mit unterschiedlichen MED-Werten empfängt, wird nur die Route mit der höchsten Priorität in das VPC-Netzwerk importiert. Die anderen inaktiven Routen sind in der Google Cloud Console oder über das Google Cloud CLI nicht sichtbar. Wenn die Route mit der höchsten Priorität nicht mehr verfügbar ist, wird sie vom Cloud Router zurückgezogen und die nächstbeste Route wird automatisch in das VPC-Netzwerk importiert.

Mehrere Tunnel oder Gateways verwenden

Je nach Konfiguration des Peer-Gateways ist es möglich, Routen so zu erstellen, dass ein Teil des Traffics einen Tunnel durchquert und ein anderer Teil des Traffics aufgrund von Routenprioritäten (MED-Werte) einen anderen Tunnel durchquert. Ebenso können Sie die Basispriorität anpassen, die der Cloud Router verwendet, um Ihre VPC-Netzwerkrouten freizugeben. Diese Fälle zeigen mögliche Routingkonfigurationen auf, die weder rein aktiv/aktiv noch rein aktiv/passiv sind.

Bei Verwendung eines einzelnen HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Passiv-Routingkonfiguration. Bei dieser Konfiguration stimmt die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs mit der Bandbreitenkapazität überein, die während des Failovers beobachtet wird. Diese Art der Konfiguration ist einfacher zu verwalten, da das beobachtete Bandbreitenlimit konstant bleibt, mit der Ausnahme des oben beschriebenen Szenarios mit mehreren Gateways.

Bei der Verwendung mehrerer HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Aktiv-Routingkonfiguration. Bei dieser Konfiguration ist die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs doppelt so hoch wie die maximale Bandbreitenkapazität. Durch diese Konfiguration werden jedoch die Tunnel faktisch nicht ausreichend verwaltet und es kann bei einem Failover zu Rückgang des Traffics kommen.

VPC-Netzwerke über HA VPN-Gateways verbinden

Sie können zwei Google Cloud VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk verbinden. Die VPC-Netzwerke und die HA VPN-Gateways können sich in derselben oder in verschiedenen Regionen befinden.

Sie können mehr als zwei VPC-Netzwerke über transitives Routing verbinden. Um transitives Routing zu erreichen, erstellen Sie ein Hub-VPC-Netzwerk und verbinden Sie Ihre anderen VPC-Netzwerke über individuelle HA VPN-Verbindungen mit diesem Hub.

Das Verfügbarkeits-SLA in dieser Topologie hängt davon ab, ob sich die HA VPN-Gateways in derselben oder in verschiedenen Regionen befinden. Sie erhalten ein SLA mit höherer Verfügbarkeit, wenn sich die HA VPN-Gateways in derselben Region befinden.

VPC-Netzwerke verbinden

Sie können zwei VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden. Die HA VPN-Gateways müssen in derselben Region bereitgestellt werden, um das beste Verfügbarkeits-SLA zu erhalten, auch wenn sich die VPC-Netzwerke in verschiedenen Regionen befinden. Jedes HA VPN-Gateway identifiziert das andere Gateway anhand seines Namens.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,99 %.

HA VPN-Gateways zwischen Google Cloud -Netzwerken.
HA VPN-Gateways zwischen Google Cloud -Netzwerken (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Für ein Verfügbarkeits-SLA von 99,99% konfigurieren

Achtung: Beide HA VPN-Gateways müssen sich in derselben Region befinden, um ein SLA für eine Verfügbarkeit von 99,99% zu bieten. Die Konfiguration nur eines Tunnels auf einer Schnittstelle für jedes HA VPN-Gateway bietet kein SLA mit einer Verfügbarkeit von 99,99 %.

Um ein Verfügbarkeits-SLA von 99,99% zu gewährleisten, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, sodass beide der folgenden Bedingungen erfüllt sind:

  • Tunnel 0 verbindet interface 0 auf einem HA VPN-Gateway mit interface 0 auf dem anderen HA VPN-Gateway.
  • Tunnel 1 verbindet interface 1 auf einem HA VPN-Gateway mit interface 1 auf dem anderen HA VPN-Gateway.

Sie können zwei VPC-Netzwerke über ein HA VPN-Gateway in jedem Netzwerk miteinander verbinden, wobei sich die HA VPN-Gateways in verschiedenen Regionen befinden. Diese Topologie bietet jedoch ein SLA für eine Verfügbarkeit von 99, 9 %.

Sofern die HA VPN-Gateways nicht in verschiedenen Regionen sein müssen, empfehlen wir, sie nicht in verschiedenen Regionen zu platzieren. VPC-Netzwerke sind globale Ressourcen. Das bedeutet, dass Sie HA VPN verwenden können, um Ressourcen in verschiedenen Regionen zu verbinden, während die HA VPN-Gateways in derselben Region bereitgestellt werden.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,9 %.

HA VPN-Gateways zwischen Google Cloud -Netzwerken in mehreren Regionen
HA VPN-Gateways zwischen Google Cloud -Netzwerken (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind.

Für ein SLA zur Verfügbarkeit von 99,9% konfigurieren

Um ein SLA mit 99,9% Verfügbarkeit zu gewährleisten, wenn sich die VPN-Gateways in verschiedenen Regionen befinden, konfigurieren Sie jedes HA VPN-Gateway mit zwei Tunneln, sodass beide der folgenden Bedingungen erfüllt sind:

  • Tunnel 0 verbindet interface 0 auf einem HA VPN-Gateway mit interface 0 auf dem anderen HA VPN-Gateway.
  • Tunnel 1 verbindet interface 1 auf einem HA VPN-Gateway mit interface 1 auf dem anderen HA VPN-Gateway.

Wenn Sie ein besseres Verfügbarkeits-SLA erhalten möchten, stellen Sie die HA VPN-Gateways in derselben Region bereit . Mit dieser Konfiguration können Sie auch VPC-Netzwerke in verschiedenen Regionen verbinden.

HA VPN-Gateway mit Compute Engine-VM-Instanzen verbinden

Mit HA VPN können Sie eine sichere Verbindung zwischen einem HA VPN-Gateway und Compute Engine-VM-Instanzen herstellen, die als virtuelle Netzwerk-Appliances mit einer IPsec-Implementierung fungieren. Bei korrekter Konfiguration bietet diese Topologie ein SLA für eine Verfügbarkeit von 99,9 %.

HA VPN-Gateway mit mehreren VM-Instanzen verbinden

In dieser Topologie stellt ein HA VPN-Gateway eine Verbindung zu zwei Compute Engine-VM-Instanzen her. Das HA VPN-Gateway und die VMs befinden sich in zwei verschiedenen Virtual Private Cloud-Netzwerken. Die beiden VMs befinden sich in verschiedenen Zonen, wobei jede VM eine externe IP-Adresse hat. Die VM-Instanzen verhalten sich wie Peer-VPN-Gateways.

Diese Topologie ist besonders nützlich, wenn Sie HA VPN mit einer virtuellen Netzwerk-Appliance-VM eines Drittanbieters verbinden möchten, die in einer Compute Engine-VM-Instanz gehostet wird. Mit dieser Topologie können Sie zum Beispiel eine der VMs der virtuellen Netzwerk-Appliance aktualisieren, ohne dass die VPN-Verbindung unterbrochen wird.

In der Abbildung befindet sich das HA VPN-Gateway in einem VPC-Netzwerk mit dem Namen network-a und die beiden VMs in network-b. Beide VPC-Netzwerke befinden sich in us-central1. Das HA VPN-Gateway in network-a ist mit den externen IP-Adressen der einzelnen VMs in network-b konfiguriert. Sie können auch das HA VPN-Gateway und die VMs in zwei verschiedenen Regionen haben. Wir empfehlen Ihnen, diese Topologie zu verwenden, um die Verfügbarkeit zu verbessern.

Das folgende Beispiel bietet eine SLA-Verfügbarkeit von 99,9 %.

Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine VM-Instanzen verbindet, wobei sich jede VM in einer anderen Zone befindet.
Eine Topologie, die ein HA VPN-Gateway mit zwei Compute Engine-VM-Instanzen mit jeder VM in einer anderen Zone verbindet (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.

Für ein SLA zur Verfügbarkeit von 99,9% konfigurieren

Um das SLA von 99,9 % zu erfüllen, müssen mindestens zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zu den entsprechenden Schnittstellen der einzelnen VMs bestehen. Wir empfehlen Ihnen, diese Topologie zu verwenden, um ein SLA mit höherer Verfügbarkeit zu erhalten.

Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:

  • Tunnel 0 von interface 0 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 2 von interface 0 auf us-central1-vm-b in der Zone us-central1-b
  • Tunnel 3 von interface 1 auf us-central1-vm-b in der Zone us-central1-b

HA VPN-Gateway mit HA VPN mit einer einzelnen VM-Instanz verbinden

Mit HA VPN können Sie ein HA VPN-Gateway mit einer virtuellen Compute-Engine-Instanz (VM) verbinden, die als virtuelle Netzwerk-Appliance arbeitet und eine IPsec-VPN-Implementierung ausführt. Das HA VPN-Gateway und die VM befinden sich in zwei verschiedenen VPCs. Die VM hat eine externe IP-Adresse.

Die Gesamtverfügbarkeit wird durch das Verfügbarkeits-SLA bestimmt, das für eine einzelne VM-Instanz der speicheroptimierten Maschinenfamilie für Compute Engine gilt. Weitere Informationen finden Sie unter Service Level Agreement (SLA) für Compute Engine.

Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine VM verbindet.
Eine Topologie, die ein HA VPN-Gateway mit einer Compute Engine-VM verbindet (zum Vergrößern klicken)

Informationen zum Einrichten dieser Konfiguration finden Sie unter HA VPN mit Compute Engine-VMs verbinden.

Für ein SLA zur Verfügbarkeit von 99,9% konfigurieren

Um das Verfügbarkeits-SLA von 99,9 % zu erfüllen, müssen zwei Tunnel von jeder der beiden Schnittstellen des HA VPN-Gateways zur Schnittstelle der Compute Engine VM vorhanden sein.

Zwei Tunnel auf jeder der folgenden Schnittstellen des HA VPN-Gateways verbinden sich mit den Schnittstellen der VM:

  • Tunnel 0 von interface 0 auf us-central1-vm-a in der Zone us-central1-a
  • Tunnel 1 von interface 1 auf us-central1-vm-a in der Zone us-central1-a

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.