Panoramica di Cloud VPN

Questa pagina descrive i concetti relativi a Cloud VPN. Per le definizioni dei termini utilizzati nella documentazione di Cloud VPN, consulta Termini chiave.

Cloud VPN estende in modo sicuro la rete peer alla rete Virtual Private Cloud (VPC) tramite una connessione IPsec. La connessione VPN cripta il traffico tra le reti. Un gateway VPN gestisce la crittografia e l'altro la decrittografia. Questo processo protegge i tuoi dati durante la trasmissione. Puoi anche connettere due reti VPC collegando due istanze Cloud VPN. Non puoi utilizzare Cloud VPN per instradare il traffico verso internet pubblico. È progettata per la comunicazione sicura tra reti private.

Scegliere una soluzione di rete ibrida

Per determinare se utilizzare Cloud VPN, Dedicated Interconnect, Partner Interconnect o router Cloud come connessione di rete ibrida a Google Cloud, consulta Scelta di un prodotto di Connettività di rete rete.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud VPN in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti senza addebiti per l'esecuzione, il test e il deployment dei workload.

Prova Cloud VPN gratuitamente

Per migliorare la sicurezza della connessione Dedicated Interconnect o Partner Interconnect, utilizza la VPN ad alta disponibilità su Cloud Interconnect. Questa soluzione stabilisce tunnel VPN ad alta disponibilità criptati sui tuoi collegamenti VLAN.

Tipi di Cloud VPN

Google Cloud offre due tipi di gateway Cloud VPN:

VPN ad alta disponibilità

La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC tramite una connessione VPN IPsec. In base alla topologia e alla configurazione, la VPN ad alta disponibilità può fornire uno SLA con disponibilità del servizio del 99,99% o del 99,9%.

Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IP esterni, uno per ogni interfaccia. Ogni indirizzo IP viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce dei gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini il gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP affinché possano essere riutilizzati. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno; tuttavia, questa configurazione non fornisce uno SLA di disponibilità.

Un'opzione per utilizzare la VPN ad alta disponibilità è utilizzare la VPN ad alta disponibilità su Cloud Interconnect. Con la VPN ad alta disponibilità su Cloud Interconnect, ottieni la sicurezza della crittografia IPsec di Cloud VPN insieme alla maggiore capacità di Cloud Interconnect. Inoltre, poiché utilizzi Cloud Interconnect, il traffico di rete non attraversa mai la rete internet pubblica. Se utilizzi Partner Interconnect, devi aggiungere la crittografia IPsec al traffico Cloud Interconnect per soddisfare i requisiti di conformità e sicurezza dei dati quando ti connetti a provider di terze parti. La VPN ad alta disponibilità utilizza una risorsa gateway VPN esterno in Google Cloud per fornire informazioni a Google Cloud sui tuoi gateway VPN peer.

Nella documentazione API e nei comandi gcloud, i gateway VPN ad alta disponibilità sono indicati come gateway VPN anziché gateway VPN di destinazione. Non devi creare regole di forwarding per i gateway VPN ad alta disponibilità.

La VPN ad alta disponibilità può fornire uno SLA di disponibilità del 99,99% o del 99,9%, a seconda delle topologie o degli scenari di configurazione. Per ulteriori informazioni sulle topologie VPN ad alta disponibilità e sugli SLA supportati, consulta Topologie VPN ad alta disponibilità.

Quando configuri VPN ad alta disponibilità, tieni presente le seguenti linee guida:

  • Quando connetti un gateway VPN ad alta disponibilità a un altro gateway VPN ad alta disponibilità, i gateway devono utilizzare tipi di stack IP identici. Ad esempio, se crei un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6, anche l'altro gateway VPN ad alta disponibilità deve essere impostato su IPV4_IPV6.

  • Configura due tunnel VPN dal punto di vista del gateway Cloud VPN:

    • Se hai due dispositivi gateway VPN peer, ciascun tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso al proprio gateway peer.
    • Se hai un singolo dispositivo gateway VPN peer con due interfacce, ciascuno dei tunnel da ciascuna interfaccia sul gateway Cloud VPN deve essere connesso alla propria interfaccia sul gateway peer.
    • Se hai un singolo dispositivo gateway VPN peer con una sola interfaccia, entrambi i tunnel da ciascuna interfaccia sul gateway Cloud VPN devono essere connessi alla stessa interfaccia sul gateway peer.

  • Un dispositivo VPN peer deve essere configurato con una ridondanza adeguata. Il fornitore del dispositivo specifica i dettagli di una configurazione adeguatamente ridondante, che potrebbe includere più istanze hardware. Per maggiori dettagli, consulta la documentazione del fornitore per il dispositivo VPN peer.

    Se sono necessari due dispositivi peer, ciascun dispositivo peer deve essere connesso a un'interfaccia del gateway VPN ad alta disponibilità diversa. Se il lato peer è un altro cloud provider come AWS, le connessioni VPN devono essere configurate con una ridondanza adeguata anche sul lato AWS.

  • Il dispositivo gateway VPN peer deve supportare il routing dinamico Border Gateway Protocol (BGP).

    Il seguente diagramma mostra il concetto di VPN ad alta disponibilità, con una topologia che include le due interfacce di un gateway VPN ad alta disponibilità connesso a due gateway VPN peer. Per topologie VPN ad alta disponibilità più dettagliate (scenari di configurazione), consulta Topologie VPN ad alta disponibilità.

    Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer.
    Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer (fai clic per ingrandire).

VPN classica

Tutti i gateway Cloud VPN creati prima dell'introduzione della VPN ad alta disponibilità sono considerati gateway della VPN classica. Per informazioni su come passare dalla VPN classica alla VPN ad alta disponibilità, consulta Passaggio dalla VPN classica alla VPN ad alta disponibilità.

A differenza della VPN ad alta disponibilità, i gateway VPN classica hanno una singola interfaccia, un singolo indirizzo IP esterno e supportano tunnel che utilizzano il routing statico (basato su criteri o su route). Puoi anche configurare il routing dinamico (BGP) per VPN classica, ma solo per i tunnel che si connettono al software del gateway VPN di terze parti in esecuzione su istanze VMGoogle Cloud .

I gateway VPN classica offrono uno SLA (accordo sul livello del servizio) con una disponibilità del servizio del 99,9%.

I gateway VPN classica non supportano IPv6.

Per le topologie VPN classica supportate, consulta la pagina Topologie VPN classica.

Le VPN classiche sono chiamate gateway VPN di destinazione nella documentazione dell'API e nella Google Cloud CLI.

Tabella di confronto

La seguente tabella mette a confronto le funzionalità di VPN ad alta disponibilità con quelle di VPN classica.

Funzionalità VPN ad alta disponibilità VPN classica
SLA Fornisce uno SLA del 99,99% per la maggior parte delle topologie, con alcune eccezioni. Per ulteriori informazioni, consulta Topologie VPN ad alta disponibilità. Fornisce uno SLA del 99,9%.
Creazione di indirizzi IP esterni e regole di inoltro Indirizzi IP esterni creati da un pool; non sono necessarie regole di forwarding. Devono essere creati indirizzi IP esterni e regole di forwarding.
Opzioni di routing supportate Solo routing dinamico (BGP). Routing statico (basato su policy, basato su route). Il routing dinamico è supportato solo per i tunnel che si connettono al software del gateway VPN di terze parti in esecuzione su istanze VM. Google Cloud
Due tunnel da un gateway Cloud VPN allo stesso gateway peer Supportato Non supportata
Connetti un gateway Cloud VPN alle VM Compute Engine con indirizzi IP esterni. Topologia supportata e consigliata. Per ulteriori informazioni, consulta Topologie VPN ad alta disponibilità. Supportato.
Risorse API Nota come risorsa vpn-gateway. Nota come risorsa target-vpn-gateway.
Traffico IPv6 Supporta la configurazione dual-stack (IPv4 e IPv6) e solo IPv6 Non supportata

Specifiche

Cloud VPN ha le seguenti specifiche:

  • Ogni gateway Cloud VPN è una risorsa di regione. Quando crei un gateway Cloud VPN, puoi selezionare una Google Cloud regione specifica per la sua posizione. Non puoi scegliere una zona, solo una regione.

  • Cloud VPN supporta solo la connettività VPN IPsec site-to-site, nel rispetto dei requisiti elencati in questa sezione. Non supporta gli scenari da client a gateway. In altre parole, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di "collegarsi" a una VPN utilizzando un software VPN client.

    Cloud VPN supporta solo IPsec. Altre tecnologie VPN (come SSL VPN) non sono supportate.

  • Cloud VPN può essere utilizzata con reti VPC e reti legacy. Per le reti VPC, consigliamo le reti VPC in modalità personalizzata in modo da avere il controllo completo sugli intervalli di indirizzi IP utilizzati dalle subnet nella rete.

    • I gateway VPN classica e VPN ad alta disponibilità utilizzano indirizzi IPv4 esterni (instradabili su internet). Solo il traffico ESP, UDP 500 e UDP 4500 è consentito a questi indirizzi. Ciò vale per gli indirizzi Cloud VPN configurati da te per la VPN classica o per gli indirizzi IP assegnati automaticamente per la VPN ad alta disponibilità.

    • Se gli intervalli di indirizzi IP per le subnet on-premise si sovrappongono agli indirizzi IP utilizzati dalle subnet nella rete VPC, consulta Ordine delle route per determinare come vengono risolti i conflitti di routing.

  • Il seguente traffico Cloud VPN rimane all'interno della rete di produzione di Google:

    • Tra due gateway VPN ad alta disponibilità
    • Tra due gateway VPN classica
    • Tra un gateway VPN classica o VPN ad alta disponibilità e l'indirizzo IP esterno di una VM Compute Engine che funge da gateway VPN

  • Cloud VPN può essere utilizzata con l'accesso privato Google per gli host on-premise. Per saperne di più, vedi Opzioni di accesso privato per i servizi.

  • Ogni gateway Cloud VPN deve essere connesso a un altro gateway Cloud VPN o a un gateway VPN peer.

  • Il gateway VPN peer deve avere un indirizzo IPv4 esterno statico (instradabile su internet). Ti serve questo indirizzo IP per configurare Cloud VPN.

    • Se il gateway VPN peer si trova dietro una regola firewall, devi configurare la regola firewall in modo che trasmetta il protocollo ESP (IPsec) e il traffico IKE (UDP 500 e UDP 4500). Se la regola firewall fornisce la Network Address Translation (NAT), consulta Encapsulamento UDP e NAT-T.

  • Cloud VPN richiede che il gateway VPN peer sia configurato per supportare la pre-frammentazione. I pacchetti devono essere frammentati prima di essere incapsulati.

  • Cloud VPN utilizza il rilevamento del replay con una finestra di 4096 pacchetti. Non puoi disattivare questa funzionalità.

  • Cloud VPN supporta il traffico Generic Routing Encapsulation (GRE). Il supporto di GRE consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può quindi essere inoltrato a una destinazione raggiungibile. GRE ti consente di utilizzare servizi come Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.

  • I tunnel VPN ad alta disponibilità supportano lo scambio di traffico IPv6, mentre i tunnel VPN classica no.

Larghezza di banda della rete

Ogni tunnel Cloud VPN supporta fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. A seconda delle dimensioni medie dei pacchetti nel tunnel, 250.000 pacchetti al secondo equivalgono a una larghezza di banda compresa tra 1 Gbps e 3 Gbps.

Le metriche correlate a questo limite sono Sent bytes e Received bytes, descritte in Visualizzare log e metriche. Tieni presente che l'unità per le metriche è byte, mentre il limite di 3 Gbps si riferisce a bit al secondo. Se convertito in byte, il limite è di 375 megabyte al secondo (MBps). Quando misuri l'utilizzo rispetto al limite, utilizza la somma di Sent bytes e Received bytes rispetto al limite convertito di 375 MBps.

Per informazioni su come creare criteri di avviso, consulta Definire avvisi per la larghezza di banda del tunnel VPN.

Fattori che influiscono sulla larghezza di banda

La larghezza di banda è influenzata da una serie di fattori, tra cui:

  • La connessione di rete tra il gateway Cloud VPN e il gateway peer:

    • Larghezza di banda della rete tra i due gateway. Se hai stabilito una relazione di peering diretto con Google, la velocità effettiva è superiore rispetto a quando il traffico VPN viene inviato tramite la rete internet pubblica.

    • Tempo di round trip (RTT) e perdita di pacchetti. Valori RTT o tassi di perdita di pacchetti elevati riducono notevolmente le prestazioni TCP.

  • Funzionalità del gateway VPN peer. Per saperne di più, consulta la documentazione del dispositivo.

  • Dimensioni pacchetto. Cloud VPN utilizza il protocollo IPsec in modalità tunnel, incapsulando e criptando interi pacchetti IP in Encapsulating Security Payload (ESP) e memorizzando i dati ESP in un secondo pacchetto IP esterno. Di conseguenza, esiste sia un'MTU del gateway per i pacchetti incapsulati IPsec sia un'MTU del payload per i pacchetti prima e dopo l'incapsulamento IPsec. Per maggiori dettagli, consulta la sezione Considerazioni sulla MTU.

  • Velocità pacchetti. Per l'ingresso e l'uscita, la quantità massima di pacchetti consigliata per ogni tunnel Cloud VPN è di 250.000 pacchetti al secondo (pps). Se devi inviare pacchetti a una velocità superiore, devi creare più tunnel VPN.

Quando misuri la larghezza di banda TCP di un tunnel VPN, devi misurare più di un flusso TCP simultaneo. Se utilizzi lo iperf strumento, utilizza il parametro -P per specificare il numero di stream simultanei.

Supporto IPv6

Cloud VPN supporta IPv6 in VPN ad alta disponibilità, ma non in VPN classica.

Per supportare il traffico IPv6 nei tunnel VPN ad alta disponibilità, procedi nel seguente modo:

  • Utilizza il tipo di stack IPV6_ONLY o IPV4_IPV6 quando crei un gateway VPN ad alta disponibilità e tunnel che connettono reti VPC abilitate per IPv6 con altre reti abilitate per IPv6. Queste reti possono essere reti on-premise, reti multicloud o altre reti VPC.

  • Includi subnet a doppio stack o solo IPv6 nelle tue reti VPC abilitate per IPv6. Inoltre, assegna intervalli IPv6 interni alle subnet.

La tabella seguente riassume gli indirizzi IP esterni consentiti per ogni tipo di stack del gateway VPN ad alta disponibilità.

Tipo di stack Indirizzi IP esterni del gateway supportati
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Vincoli dei criteri dell'organizzazione per IPv6

Puoi disattivare la creazione di tutte le risorse ibride IPv6 nel tuo progetto impostando il seguente criterio dell'organizzazione su true:

  • constraints/compute.disableHybridCloudIpv6

Per la VPN ad alta disponibilità, questo vincolo del criterio dell'organizzazione impedisce la creazione di gateway VPN ad alta disponibilità dual-stack e di gateway VPN ad alta disponibilità solo IPv6 nel progetto. Questa norma impedisce anche la creazione di sessioni BGP IPv6 e di collegamenti VLAN Dedicated Interconnect a doppio stack.

Tipi di stack e sessioni BGP

I gateway VPN ad alta disponibilità supportano diversi tipi di stack. Il tipo di stack di un gateway VPN ad alta disponibilità determina quale versione del traffico IP è consentita nei tunnel VPN ad alta disponibilità.

Quando crei i tunnel VPN ad alta disponibilità per un gateway VPN ad alta disponibilità dual-stack, puoi creare una sessione BGP IPv6 per lo scambio di route IPv6 o una sessione BGP IPv4 che scambia route IPv6 utilizzando BGP multiprotocollo (MP-BGP).

La seguente tabella riassume i tipi di sessioni BGP supportati per ciascun tipo di stack.

Tipo di stack Sessioni BGP supportate Indirizzi IP esterni del gateway
Stack singolo (solo IPv4) BGP IPv4, nessun MP-BGP IPv4
Stack singolo (solo IPv6) BGP IPv6, nessun MP-BGP IPv6
Stack doppio (IPv4 e IPv6)
  • BGP IPv4, con o senza MP-BGP
  • BGP IPv6, con o senza MP-BGP
  • Sia BGP IPv4 che BGP IPv6, nessun MP-BGP
 IPv4 e IPv6

Per ulteriori informazioni sulle sessioni BGP, consulta Stabilire sessioni BGP nella documentazione del router Cloud.

Gateway solo IPv4 con stack singolo

Per impostazione predefinita, a un gateway VPN ad alta disponibilità viene assegnato il tipo di stack solo IPv4 e vengono assegnati automaticamente due indirizzi IPv4 esterni.

Un gateway VPN ad alta disponibilità solo IPv4 può supportare solo il traffico IPv4.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv4 e sessioni BGP IPv4.

Gateway solo IPv6 con stack singolo

Un gateway VPN ad alta disponibilità solo IPv6 supporta solo il traffico IPv6. Per impostazione predefinita, a un gateway VPN ad alta disponibilità solo IPv6 vengono assegnati due indirizzi IPv6 esterni.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità solo IPv6 e sessioni BGP IPv6.

Gateway IPv4 e IPv6 a doppio stack

Un gateway VPN ad alta disponibilità configurato con il tipo di stack (IPv4 e IPv6) a doppio stack può supportare il traffico IPv4 e IPv6.

Per un gateway VPN ad alta disponibilità a doppio stack, puoi configurare router Cloud con una sessione BGP IPv4, una sessione BGP IPv6 o entrambe. Se configuri una sola sessione BGP, puoi abilitare MP-BGP per consentire a questa sessione di scambiare route IPv4 e IPv6. Se crei una sessione BGP IPv4 e una sessione BGP IPv6, non puoi abilitare MP-BGP in nessuna delle due sessioni.

Per scambiare route IPv6 su una sessione BGP IPv4 utilizzando MP-BGP, devi configurare la sessione con indirizzi hop successivi IPv6. Analogamente, per scambiare route IPv4 in una sessione BGP IPv6 utilizzando MP-BGP, devi configurare la sessione con indirizzi next hop IPv4. Puoi configurare questi indirizzi hop successivo manualmente o automaticamente.

Se configuri manualmente gli indirizzi hop successivo, devi selezionarli dall'intervallo di indirizzi unicast globali (GUA) IPv6 di proprietà di Google 2600:2d00:0:2::/63 o dall'intervallo di indirizzi link-local IPv4 169.254.0.0./16. Questi intervalli di indirizzi IP sono preassegnati da Google. Gli indirizzi IP hop successivo che selezioni devono essere univoci in tutti i router Cloud all'interno della tua rete VPC.

Se selezioni la configurazione automatica, Google Cloud seleziona gli indirizzi IP dell'hop successivo per te.

Utilizza le seguenti procedure per creare gateway VPN ad alta disponibilità dual-stack e tutte le sessioni BGP supportate.

Supporto di IPsec e IKE

Cloud VPN supporta IKEv1 e IKEv2 utilizzando una chiave precondivisa IKE (segreto condiviso) e crittografie IKE. Cloud VPN supporta solo una chiave precondivisa per l'autenticazione. Quando crei il tunnel Cloud VPN, specifica una chiave precondivisa. Quando crei il tunnel nel gateway peer, specifica la stessa chiave precondivisa. Per informazioni sulla creazione di una chiave precondivisa efficace, consulta la sezione Generazione di una chiave precondivisa efficace.

Cloud VPN supporta ESP in modalità tunnel con autenticazione, ma non supporta AH o ESP in modalità di trasporto.

Devi utilizzare IKEv2 per abilitare il traffico IPv6 nella VPN ad alta disponibilità.

Cloud VPN non esegue il filtraggio correlato alle norme sui pacchetti di autenticazione in entrata. I pacchetti in uscita vengono filtrati in base all'intervallo IP configurato sul gateway Cloud VPN.

Configura le cifrature nel tunnel Cloud VPN

Con Cloud VPN, puoi configurare le cifrature che ti aiutano ad adattare le connessioni VPN per soddisfare le esigenze di conformità e sicurezza.

Puoi configurare le opzioni di crittografia quando crei tunnel Cloud VPN. Tuttavia, una volta configurate, non puoi modificare le opzioni di crittografia selezionate in un secondo momento; devi eliminare e ricreare il tunnel. La selezione della crittografia è disponibile solo con IKEv2, non con IKEv1.

Puoi configurare le cifrature sia per la negoziazione SA IKE (fase 1) sia per la negoziazione SA IPsec (fase 2). Se non configuri un'opzione di crittografia per una fase, Cloud VPN utilizza la crittografia predefinita per questa opzione.

Devi configurare le cifrature dall'elenco di cifrature supportate che soddisfano i seguenti criteri:

  • Se specifichi cifrari AEAD per la crittografia, non puoi specificare cifrari separati per l'integrità perché Cloud VPN utilizza gli stessi cifrari di crittografia per la gestione dell'integrità.

  • Se specifichi cifratura non AEAD per la crittografia, puoi specificare anche le cifrature per l'integrità. Se non specifichi cifratura di integrità, Cloud VPN utilizza le opzioni di cifratura predefinite per l'integrità.

  • Se specifichi un mix di crittografie AEAD e non AEAD per la crittografia, devi elencare le crittografie AEAD prima di quelle non AEAD. Cloud VPN utilizza le stesse crittografie per la gestione dell'integrità per le crittografie AEAD.

    Per i cifrari non AEAD, puoi specificare i cifrari di integrità. Se non specifichi cifrari di integrità, Cloud VPN utilizza le opzioni di cifratura predefinite per l'integrità.

Per scoprire di più sulle cifrature supportate, sull'ordine di cifratura predefinito e sui parametri di configurazione supportati da Cloud VPN, consulta Cifrature IKE supportate.

Utilizza le seguenti procedure per configurare le opzioni di crittografia (anteprima) per i vari gateway Cloud VPN:

  • Per configurare le opzioni di crittografia per la VPN classica utilizzando il routing statico, consulta Creare un gateway e un tunnel.

  • Per configurare le opzioni di crittografia per la VPN ad alta disponibilità connessa a un gateway VPN peer, consulta Creare tunnel VPN.

IKE e rilevamento peer morto

Cloud VPN supporta il rilevamento peer morto (DPD), come descritto nella sezione Protocollo DPD della RFC 3706.

Per verificare che il peer sia attivo, Cloud VPN potrebbe inviare pacchetti DPD in qualsiasi momento, in conformità con la RFC 3706. Se le richieste DPD non vengono restituite dopo diversi tentativi, Cloud VPN riconosce che il tunnel VPN non è integro. Il tunnel VPN non integro a sua volta causa la rimozione delle route che utilizzano questo tunnel come hop successivo (route BGP o route statiche), attivando un failover del traffico VM su altri tunnel VPN integri.

L'intervallo DPD non è configurabile in Cloud VPN.

Incapsulamento UDP e NAT-T

Per informazioni su come configurare il dispositivo peer per supportare NAT-Traversal (NAT-T) con Cloud VPN, consulta Incapsulamento UDP nella panoramica avanzata.

Cloud VPN come rete di trasferimento di dati

Prima di utilizzare Cloud VPN, esamina attentamente la Sezione 2 dei Termini di servizio generali per Google Cloud.

Utilizzando Network Connectivity Center, puoi utilizzare i tunnel VPN ad alta disponibilità per connettere le reti on-premise tra loro, trasferendo il traffico tra le reti come rete di trasferimento dei dati. Connetti le reti collegando una coppia di tunnel a uno spoke di Network Connectivity Center per ogni località on-premise. Quindi, connetti ogni spoke a un hub di Network Connectivity Center.

Per ulteriori informazioni su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.

Supporto Bring your own IP (BYOIP)

Per informazioni sull'utilizzo degli indirizzi BYOIP con Cloud VPN, consulta Supporto per gli indirizzi BYOIP.

Opzioni di routing attiva/attiva e attiva/passiva per la VPN ad alta disponibilità

Se un tunnel Cloud VPN non funziona, viene riavviato automaticamente. Se un intero dispositivo VPN virtuale non funziona, Cloud VPN ne crea automaticamente uno nuovo con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.

I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). In base al modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attiva-attiva o attiva-passiva. Per entrambe queste configurazioni di routing, entrambi i tunnel VPN rimangono attivi.

La tabella seguente confronta le funzionalità di una configurazione di routing attiva/attiva o attiva/passiva.

Funzionalità Active-active Attivo-passivo
Velocità effettiva Il throughput aggregato effettivo è il throughput combinato di entrambi i tunnel. Dopo la riduzione da due tunnel attivi a uno, la velocità effettiva complessiva viene dimezzata, il che può comportare una connettività più lenta o pacchetti persi.
Annuncio di route

Il gateway peer annuncia le route della rete peer con valori di discriminatore multi-exit (MED) identici per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche.

Il traffico in uscita inviato alla rete peer utilizza il routing ECMP (Equal-cost multipath).

Lo stesso router Cloud utilizza priorità identiche per annunciare le route alla tua rete VPC.

Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico di uscita a Google Cloud.

Il gateway peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel.

Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse.

Il traffico in uscita inviato alla tua rete peer utilizza la route con la priorità più alta, a condizione che il tunnel associato sia disponibile.

Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per annunciare le route alla tua rete VPC.

Il gateway peer può utilizzare solo il tunnel con la priorità più alta per inviare traffico a Google Cloud.
Failover

Se il tunnel non è integro, ad esempio perché DPD non è attivo,router Cloudr ritira le route apprese i cui hop successivi sono il tunnel non disponibile.

Se si verifica un'interruzione della sessione BGP, router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare l'interruzione del tunnel.

La procedura di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti.

Se il tunnel non è integro, ad esempio perché DPD non è attivo,router Cloudr ritira le route apprese i cui hop successivi sono il tunnel non disponibile.

Se si verifica un'interruzione della sessione BGP, router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare l'interruzione del tunnel.

La procedura di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti.

Utilizza al massimo un tunnel alla volta, in modo che il secondo tunnel possa gestire tutta la larghezza di banda di uscita se il primo tunnel non funziona e deve essere sottoposto a failover.

Routing attivo/passivo nelle topologie mesh complete

Se Cloud Router riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Le altre route inattive non sono visibili nella console Google Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è più disponibile, router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.

Utilizzo di più tunnel o gateway

A seconda della configurazione del gateway peer, è possibile costruire route in modo che parte del traffico attraversi un tunnel e un'altra parte un altro tunnel a causa delle priorità delle route (valori MED). Allo stesso modo, puoi modificare la priorità di base che router Cloud utilizza per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono puramente attiva/attiva né puramente attiva/passiva.

Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.

Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attiva/attiva. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel è il doppio di quella massima. Tuttavia, questa configurazione esegue il provisioning dei tunnel e può causare la perdita di traffico in caso di failover.

Limitare gli indirizzi IP peer tramite un tunnel Cloud VPN

Se sei un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin), puoi creare un vincolo dei criteri che limiti gli indirizzi IP che gli utenti possono specificare per i gateway VPN peer.

La limitazione si applica a tutti i tunnel Cloud VPN, sia VPN classica che VPN ad alta disponibilità, in un progetto, una cartella o un'organizzazione specifici.

Per i passaggi che descrivono come limitare gli indirizzi IP, vedi Limita gli indirizzi IP per i gateway VPN peer.

Visualizzazione e monitoraggio delle connessioni Cloud VPN

Network Topology è uno strumento di visualizzazione che mostra la topologia delle tue reti VPC, la connettività ibrida da e verso le tue reti on-premise e le metriche associate. Puoi visualizzare i gateway Cloud VPN e i tunnel VPN come entità nella visualizzazione Network Topology.

Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse su una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. La prima volta che visualizzi un grafico di Network Topology, tutte le entità di base vengono aggregate nella gerarchia di primo livello.

Ad esempio, Network Topology aggrega i tunnel VPN nella connessione del gateway VPN. Puoi visualizzare la gerarchia espandendo o comprimendo le icone del gateway VPN.

Per saperne di più, consulta la panoramica di Network Topology.

Manutenzione e disponibilità

Cloud VPN è sottoposta a manutenzione periodica. Durante la manutenzione, i tunnel Cloud VPN vengono disattivati, con conseguenti brevi cali del traffico di rete. Al termine della manutenzione, i tunnel Cloud VPN vengono ristabiliti automaticamente.

La manutenzione di Cloud VPN è un'attività operativa normale che può verificarsi in qualsiasi momento senza preavviso. I periodi di manutenzione sono progettati per essere sufficientemente brevi in modo che lo SLA di Cloud VPN non sia interessato.

La VPN ad alta disponibilità è il metodo consigliato per configurare le VPN ad alta disponibilità. Per le opzioni di configurazione, consulta la pagina delle topologie VPN ad alta disponibilità. Se utilizzi VPN classica per le opzioni di ridondanza e velocità effettiva elevata, consulta la pagina Topologie VPN classica.

Best practice

Per creare Cloud VPN in modo efficace, utilizza queste best practice.

Passaggi successivi