Best Practices für Cloud VPN

Die folgenden Best Practices können bei der Planung und Konfiguration von Cloud VPN hilfreich sein.

Separate Google Cloud-Projekte für Netzwerkressourcen verwenden

Um die Konfiguration von IAM-Rollen und -Berechtigungen (Identity and Access Management) zu vereinfachen, sollten Sie Ihre Cloud VPN- und Cloud Router-Ressourcen in einem Projekt von Ihren anderen Google Cloud-Ressourcen trennen.

Routing und Failover

Dynamisches Routing auswählen

Wählen Sie ein Cloud VPN-Gateway aus, das dynamisches Routing und das Border Gateway Protocol (BGP) verwendet. Google empfiehlt die Verwendung von HA VPN und das Bereitstellen von lokalen Geräten, die BGP unterstützen.

Nach Möglichkeit HA VPN verwenden

Verwenden Sie nach Möglichkeit HA VPN, um die höchste Verfügbarkeit zu erreichen.

Weitere Informationen finden Sie unter VPN-Typen in der Cloud VPN-Übersicht.

Geeignete Tunnelkonfiguration auswählen

Wählen Sie anhand der Anzahl der HA VPN-Tunnels die entsprechende Tunnelkonfiguration aus:

  • Wenn Sie zwei HA VPN-Tunnel haben, verwenden Sie eine Aktiv/Passiv-Tunnelkonfiguration.

  • Wenn Sie mehr als zwei HA VPN-Tunnel haben, verwenden Sie eine Aktiv/Aktiv-Tunnelkonfiguration.

Weitere Informationen finden Sie in den folgenden Abschnitten der Cloud VPN-Übersicht:

Zuverlässigkeit

Peer-VPN-Gateway mit nur einer Chiffre für jede Chiffrerolle konfigurieren

Cloud VPN kann je nach Ursprung des Traffics als Initiator oder Antwortdienst für IKE-Anfragen fungieren, wenn eine neue Sicherheitsverknüpfung (SA) benötigt wird.

Wenn Cloud VPN eine VPN-Verbindung initiiert, schlägt Cloud VPN die Algorithmen für jede Chiffrerolle in der Reihenfolge vor, die in den unterstützten Chiffretabellen angezeigt wird. Die Peer-Seite, die das Angebot empfängt, wählt einen Algorithmus aus.

Wenn die Peer-Seite die Verbindung initiiert, wählt Cloud VPN eine Chiffre aus dem Vorschlag aus. Dazu verwendet sie für jede Chiffrerolle die gleiche Reihenfolge wie in der Tabelle.

Je nachdem, welche Seite Initiator oder Antwortender ist, kann die gewählte Chiffre unterschiedlich sein. Beispielsweise kann sich die ausgewählte Chiffre im Laufe der Zeit ändern, wenn neue Sicherheitsverknüpfungen (Security Associations, SAs) während der Schlüsselrotation erstellt werden. Da eine Änderung der Chiffreauswahl Auswirkungen auf wichtige Tunneleigenschaften wie Leistung oder MTU haben kann, muss Ihre Chiffreauswahl stabil sein. Weitere Informationen zu MTU finden Sie unter Überlegungen: MTU.

Um häufige Änderungen bei der Chiffreauswahl zu verhindern, konfigurieren Sie Ihr Peer-VPN-Gateway so, dass nur eine Chiffre für jede Chiffrerolle vorgeschlagen und akzeptiert wird. Diese Chiffre muss von Cloud VPN und Ihrem Peer-VPN-Gateway unterstützt werden. Geben Sie nicht für jede Chiffrerolle eine Liste von Chiffren an. Mit dieser Best Practice wird sichergestellt, dass beide Seiten Ihres Cloud VPN-Tunnels während der IKE-Verhandlung immer dieselbe IKE-Chiffre auswählen.

Konfigurieren Sie für HA VPN-Tunnelpaare beide HA VPN-Tunnel auf Ihrem Peer-VPN-Gateway so, dass dieselben Lebensdauerwerte und IKE-Phase 2-Werte verwendet werden.

Sicherheit

Firewallregeln für Ihre VPN-Gateways einrichten

Erstellen Sie sichere Firewallregeln für Traffic, der über Cloud VPN übertragen wird. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Starke vorinstallierte Schlüssel verwenden

Google empfiehlt, für Ihre Cloud VPN-Tunnel einen starken vorinstallierten Schlüssel zu generieren.

IP-Adressen für Peer-VPN-Gateways einschränken

Durch Beschränkung der IP-Adressen, die für ein Peer-VPN-Gateway angegeben werden können, können Sie verhindern, dass nicht autorisierte VPN-Tunnel erstellt werden.

Weitere Informationen finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.

Starke Chiffre auf Ihrem Peer-VPN-Gateway konfigurieren

Wählen Sie beim Konfigurieren des Peer-VPN-Gateways die stärkste Chiffre für jede Chiffrerolle aus, die sowohl von Ihrem Peer-VPN-Gateway als auch von Cloud VPN unterstützt wird.

Die aufgeführte Angebotsreihenfolge für Cloud VPN ist nicht nach Gewichtung sortiert.

Eine Liste der unterstützten IKE-Chiffren finden Sie unter Unterstützte IKE-Chiffren.

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.