本頁面由 Cloud Translation API 翻譯而成。

Cloud VPN 總覽

這個頁面說明與 Cloud VPN 相關的概念。如需 Cloud VPN 說明文件中使用的術語定義，請參閱「重要術語」。

Cloud VPN 透過 IPsec VPN 連線，將對等互連網路安全地延伸至虛擬私有雲 (VPC) 網路。VPN 連線會加密網路間的流量，其中一個 VPN 閘道負責加密，另一個則負責解密。這個程序可保護傳輸中的資料。您也可以連線兩個 Cloud VPN 執行個體，將兩個虛擬私有雲網路互相連線。您無法使用 Cloud VPN 將流量轉送至公開網際網路，因為 Cloud VPN 的設計目的是在私人網路之間建立安全通訊。

選擇混合式網路解決方案

如要判斷要使用 Cloud VPN、專屬互連網路、合作夥伴互連網路還是 Cloud Router 做為 Google Cloud的混合式網路連線，請參閱「選擇網路連線產品」。

歡迎試用

如果您未曾使用過 Google Cloud，歡迎建立帳戶，親自體驗實際使用 Cloud VPN 的成效。新客戶可以獲得價值 $300 美元的免費抵免額，可用於執行、測試及部署工作負載。

免費試用 Cloud VPN

如要提升專屬互連網路或合作夥伴互連網路連線的安全性，請使用採用 Cloud Interconnect 的高可用性 VPN。這項解決方案會透過 VLAN 連結建立加密的高可用性 VPN 通道。

Cloud VPN 類型

Google Cloud 提供兩種 Cloud VPN 閘道：

高可用性 VPN
傳統 VPN

高可用性 VPN

高可用性 VPN 為高可用性 (HA) 的 Cloud VPN 解決方案，可讓您使用 IPsec VPN 連線，安全地將地端部署網路連線至虛擬私有雲網路。根據拓撲和設定，高可用性 VPN 可提供服務可用性達 99.99% 或 99.9% 的服務水準協議。

建立高可用性 VPN 閘道時， Google Cloud 會自動選擇兩個外部 IP 位址，分別用於兩個介面。每個 IP 位址都是從一組不重複的位址中自動選出，以支援高可用性。每個高可用性 VPN 閘道介面都支援多個通道。您也可以建立多個高可用性 VPN 閘道。刪除高可用性 VPN 閘道時， Google Cloud 會釋出 IP 位址以重複使用。您可以設定僅有一個有效介面和一個外部 IP 位址的高可用性 VPN 閘道，不過此設定不提供可用性服務水準協議。

如要使用高可用性 VPN，其中一個選項是透過 Cloud Interconnect 使用高可用性 VPN。採用 Cloud Interconnect 的高可用性 VPN 結合了 Cloud VPN 的 IPsec 加密安全性和 Cloud Interconnect 的高容量，此外，由於您使用 Cloud Interconnect，網路流量絕不會通過公開網際網路。如果您使用合作夥伴互連網路，必須為 Cloud Interconnect 流量新增 IPsec 加密，才能在連線至第三方供應商時，符合資料安全和法規遵循規定。高可用性 VPN 會使用 Google Cloud中的外部 VPN 閘道資源，向 Google Cloud 提供對等互連 VPN 閘道或閘道的相關資訊。

在 API 說明文件和 gcloud 指令中，高可用性 VPN 閘道稱為「VPN 閘道」，而非「目標 VPN 閘道」。您不需要為高可用性 VPN 閘道建立任何轉送規則。

高可用性 VPN 可提供 99.99% 或 99.9% 的可用性服務水準協議，具體視拓撲或設定情境而定。如要進一步瞭解高可用性 VPN 拓撲和支援的服務等級協議，請參閱高可用性 VPN 拓撲。

設定高可用性 VPN 時，請考量下列準則：

將高可用性 VPN 閘道連線至另一個高可用性 VPN 閘道時，閘道必須使用相同的 IP 堆疊類型。舉例來說，如果您建立的 HA VPN 閘道堆疊類型為 IPV4_IPV6，另一個 HA VPN 閘道也必須設為 IPV4_IPV6。
從 Cloud VPN 閘道的角度，設定兩個 VPN 通道：
- 如果您有兩部對等互連 VPN 閘道裝置，Cloud VPN 閘道中各個介面的每個通道都必須連線至各自的對等互連閘道。
- 如果您有一部具備兩個介面的對等互連 VPN 閘道裝置，Cloud VPN 閘道中各個介面的每個通道都必須連線至對等互連閘道上各自的介面。
- 如果您有一部具備單一介面的對等 VPN 閘道裝置，Cloud VPN 閘道中每個介面的兩個通道都必須連線至對等閘道上的相同介面。
對等互連 VPN 裝置必須設定足夠的備援功能。裝置供應商會指定適當備援設定的詳細資料，可能包括多個硬體執行個體。詳情請參閱對等互連 VPN 裝置的供應商說明文件。

如果需要兩個對等互連裝置，每個對等互連裝置都必須連線至不同的高可用性 VPN 閘道介面。如果對等互連端是 AWS 等其他雲端服務供應商，也必須在 AWS 端設定 VPN 連線，確保有足夠的備援機制。
對等互連 VPN 閘道裝置必須支援動態邊界閘道通訊協定 (BGP) 轉送。

下圖顯示高可用性 VPN 的概念，拓撲包含高可用性 VPN 閘道的兩個介面，分別連至兩個對等互連 VPN 閘道。如需更詳細的高可用性 VPN 拓撲 (設定情境)，請參閱高可用性 VPN 拓撲。

一個高可用性 VPN 閘道連至兩個對等互連 VPN 閘道 (按一下可放大)。

傳統版 VPN

在高可用性 VPN 推出前建立的所有 Cloud VPN 閘道，都視為傳統版 VPN 閘道。如要瞭解如何從傳統版 VPN 移至高可用性 VPN，請參閱「從傳統版 VPN 移至高可用性 VPN」。

與高可用性 VPN 不同，傳統版 VPN 閘道只有一個介面和一個外部 IP 位址，並支援使用靜態路徑 (政策型或路徑型) 的通道。您也可以為傳統 VPN 設定動態轉送 (BGP)，但僅限於連線至在Google Cloud VM 執行個體上執行的第三方 VPN 閘道軟體的通道。

傳統版 VPN 閘道提供服務可用性達 99.9% 的服務水準協議。

傳統版 VPN 閘道不支援 IPv6。

如需支援的傳統版 VPN 拓撲，請參閱傳統版 VPN 拓撲頁面。

在 API 文件和 Google Cloud CLI 中，傳統版 VPN 稱為「目標 VPN 閘道」。

比較表

下表比較 HA VPN 和傳統版 VPN 的功能。

功能	高可用性 VPN	傳統版 VPN
服務水準協議	為大多數拓撲提供 99.99% 的服務水準協議，但有少數例外狀況。詳情請參閱高可用性 VPN 拓撲。	提供 99.9% 的服務水準協議。
建立外部 IP 位址和轉送規則	從集區建立的外部 IP 位址；不需要轉送規則。	必須建立外部 IP 位址和轉送規則。
支援的轉送選項	僅限動態轉送 (BGP)。	靜態路由 (以政策為準、以路由為準)。動態轉送僅支援連線至在 Google Cloud VM 執行個體上執行的第三方 VPN 閘道軟體的通道。注意：自 2025 年 8 月 1 日起，系統將淘汰搭配傳統版 VPN 通道的動態轉送或邊界閘道通訊協定 (BGP)。詳情請參閱「功能淘汰：傳統版 VPN」。
兩條通道會從一個 Cloud VPN 閘道通往同一個對等互連閘道	支援	不支援
將 Cloud VPN 閘道連線至具備外部 IP 位址的 Compute Engine VM。	支援和建議的拓撲。詳情請參閱高可用性 VPN 拓撲。	支援。
API 資源	又稱為 `vpn-gateway` 資源。	又稱為 `target-vpn-gateway` 資源。
IPv6 流量	支援雙重堆疊 (IPv4 和 IPv6) 和僅限 IPv6 的設定	不支援

規格

Cloud VPN 的規格如下：

每個 Cloud VPN 閘道都是區域性資源。建立 Cloud VPN 閘道時，您可以選取特定Google Cloud 區域做為閘道位置。您無法選擇可用區，只能選擇區域。

在符合本節所列需求的情況下，Cloud VPN 僅支援站台對站台 IPsec VPN 連線，不支援用戶端到閘道的情境。換句話說，Cloud VPN 並不支援用戶端電腦必須透過用戶端 VPN 軟體「撥入」VPN 的使用情境。

Cloud VPN 僅支援 IPsec。系統不支援其他 VPN 技術 (例如 SSL VPN)。
Cloud VPN 可以與虛擬私有雲網路和舊版網路搭配使用。針對虛擬私有雲網路，建議使用自訂模式虛擬私有雲網路，以便完全控管網路中子網路使用的 IP 位址範圍。
- 傳統版 VPN 和高可用性 VPN 閘道使用外部 (可透過網際網路路由傳輸) IPv4 位址。只有 ESP、UDP 500 和 UDP 4500 流量可傳送至這些位址。這適用於您為傳統 VPN 設定的 Cloud VPN 位址，或系統為高可用性 VPN 自動指派的 IP 位址。
- 如果內部部署子網路的 IP 位址範圍與虛擬私有雲網路的子網路使用的 IP 位址重疊，請參閱「路徑順序」一文，瞭解如何解決轉送衝突。
下列 Cloud VPN 流量仍位於 Google 的正式版網路中：
- 兩個高可用性 VPN 閘道之間
- 兩個傳統版 VPN 閘道之間
- 傳統版 VPN 或高可用性 VPN 閘道與 Compute Engine VM 的外部 IP 位址之間 (做為 VPN 閘道)
Cloud VPN 可與「內部部署主機的私人 Google 存取權」搭配使用。詳情請參閱各項服務的私人存取權選項。
每個 Cloud VPN 閘道都必須連結至其他 Cloud VPN 閘道或對等互連 VPN 閘道。
對等互連 VPN 閘道必須具備靜態外部 (可透過網際網路路由傳輸) IPv4 位址。您需要這個 IP 位址才能設定 Cloud VPN。

注意： 您無法使用 RFC 5737 位址做為對等互連 IP 位址。
- 如果對等互連 VPN 閘道在防火牆規則背後，您必須設定防火牆規則，才能為其傳送 ESP (IPsec) 通訊協定與 IKE (UDP 500 和 UDP 4500) 流量。如果防火牆規則提供網路位址轉譯 (NAT)，請參閱 UDP 封裝與 NAT-T。
Cloud VPN 需要將對等互連 VPN 閘道設定為支援預先分段。您必須在封裝「之前」對封包進行分段。
Cloud VPN 重新執行偵測時，會與 4096 個封包的範圍搭配使用。您無法關閉此功能。
Cloud VPN 支援通用轉送封裝 (GRE) 流量。支援 GRE 可讓您在 VM 上終止來自網際網路 (外部 IP 位址) 和 Cloud VPN 或 Cloud Interconnect (內部 IP 位址) 的 GRE 流量。隨後，解封包的流量即可轉送至可連線的目的地。GRE 可讓您使用安全存取服務邊緣 (SASE) 和 SD-WAN 等服務。您必須建立防火牆規則，才能允許 GRE 流量。

注意： VPN 的 GRE 支援僅使用 GRE 版本 0 進行測試。此外，GRE 流量支援不包括支援從 Google Cloud 到
疑難排解疊加網路。
高可用性 VPN 通道支援交換 IPv6 流量，但傳統版 VPN 通道不支援。

網路頻寬

以輸入和輸出流量的總和來說，每個 Cloud VPN 通道最多可以支援每秒 25 萬個封包。視通道中的平均封包大小而定，每秒 25 萬個封包相當於 1 Gbps 至 3 Gbps 的頻寬。

與這項限制相關的指標為 Sent bytes 和 Received bytes，詳情請參閱「查看記錄和指標」。請注意，指標的單位是位元組，而 3 Gbps 的限制是指每秒位元。換算成位元組後，上限為每秒 375 MB。評估用量是否超出限制時，請將 Sent bytes 和 Received bytes 的總和與換算後的 375 MBps 限制進行比較。

如要瞭解如何建立快訊政策，請參閱為 VPN 通道頻寬定義快訊。

影響頻寬的因素

頻寬會受到多項因素影響，包括：

Cloud VPN 閘道與對等互連閘道之間的網路連線：
- 兩個閘道之間的網路頻寬。如果您已與 Google 建立直接對等互連關係，則傳輸量會高於透過公開網際網路傳送 VPN 流量。
- 封包往返時間 (RTT) 和封包遺失。封包往返時間或封包遺失率偏高，會大幅降低 TCP 效能。
對等互連 VPN 閘道的功能。詳情請參閱裝置的說明文件。
封包大小。Cloud VPN 會在通道模式下使用 IPsec 通訊協定，將整個 IP 封包封裝並加密至封裝安全酬載 (ESP)，然後將 ESP 資料儲存在第二個外部 IP 封包中。因此，IPsec 封裝封包有閘道 MTU，IPsec 封裝前後的封包則有酬載 MTU。詳情請參閱「MTU 注意事項」。
封包速率。建議每個 Cloud VPN 通道的輸入和輸出封包傳送速率上限為每秒 25 萬個封包 (pps)。如需以較高的速率傳送封包，請建立更多 VPN 通道。

測量 VPN 通道的 TCP 頻寬時，應測量多個同步 TCP 串流。如果您使用 iperf 工具，請使用 -P 參數指定同步串流數量。

支援 IPv6

Cloud VPN 支援高可用性 VPN 中的 IPv6，但傳統版 VPN 不支援。

如要在高可用性 VPN 通道中支援 IPv6 流量，請完成下列步驟：

建立高可用性 VPN 閘道和通道時，請使用 IPV6_ONLY 或 IPV4_IPV6 堆疊類型，將啟用 IPv6 的虛擬私有雲網路與其他啟用 IPv6 的網路連線。這些網路可以是內部部署網路、多雲網路或其他虛擬私有雲網路。
在啟用 IPv6 的虛擬私有雲網路中，加入雙重堆疊子網路或僅限 IPv6 的子網路。此外，請將內部 IPv6 範圍指派給子網路。

下表摘要說明高可用性 VPN 閘道各堆疊類型允許的外部 IP 位址。

堆疊類型	支援的閘道外部 IP 位址
IPV4_ONLY	IPv4
IPV4_IPV6	IPv4、IPv6
IPV6_ONLY	IPv6

IPv6 適用的機構政策限制

如要禁止在專案中建立所有 IPv6 混合資源，請將下列機構政策設為 true：

constraints/compute.disableHybridCloudIpv6

如果是高可用性 VPN，這項機構政策限制會禁止在專案中建立任何雙堆疊高可用性 VPN 閘道和僅限 IPv6 的高可用性 VPN 閘道。這項政策也會禁止建立 IPv6 BGP 工作階段，以及雙重堆疊專屬互連網路 VLAN 連結。

堆疊類型和 BGP 工作階段

高可用性 VPN 閘道支援不同的堆疊類型。高可用性 VPN 閘道的堆疊類型會決定高可用性 VPN 通道允許的 IP 流量版本。

為雙重堆疊高可用性 VPN 閘道建立高可用性 VPN 通道時，您可以建立 IPv6 BGP 工作階段來交換 IPv6 路徑，也可以建立 IPv4 BGP 工作階段，透過多通訊協定 BGP (MP-BGP) 交換 IPv6 路徑。

下表摘要說明各堆疊類型支援的 BGP 工作階段類型。

堆疊類型	支援的 BGP 工作階段	閘道外部 IP 位址
單一堆疊 (僅限 IPv4)	IPv4 BGP，沒有 MP-BGP	IPv4
單一堆疊 (僅限 IPv6)	IPv6 BGP，沒有 MP-BGP	IPv6
雙重堆疊 (IPv4 和 IPv6)	IPv4 BGP，無論是否使用 MP-BGP IPv6 BGP，無論是否使用 MP-BGP IPv4 BGP 和 IPv6 BGP，沒有 MP-BGP	IPv4 和 IPv6

如要進一步瞭解 BGP 工作階段，請參閱 Cloud Router 說明文件中的「建立 BGP 工作階段」一文。

僅限 IPv4 的單一堆疊閘道

根據預設，高可用性 VPN 閘道會指派僅限 IPv4 的堆疊類型，並自動指派兩個外部 IPv4 位址。

僅支援 IPv4 的高可用性 VPN 閘道只能支援 IPv4 流量。

請按照下列程序建立僅限 IPv4 的高可用性 VPN 閘道和 IPv4 BGP 工作階段。

如要設定高可用性 VPN 至對等互連 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
如要瞭解高可用性 VPN 至高可用性 VPN 閘道的設定，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。

僅限單一堆疊 IPv6 的閘道

僅支援 IPv6 的高可用性 VPN 閘道只支援 IPv6 流量。按照預設，系統會為僅支援 IPv6 的高可用性 VPN 閘道指派兩個外部 IPv6 位址。

請按照下列程序建立僅限 IPv6 的高可用性 VPN 閘道和 IPv6 BGP 工作階段。

如要設定高可用性 VPN 至對等互連 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
如要瞭解高可用性 VPN 至高可用性 VPN 閘道的設定，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。

雙堆疊 IPv4 和 IPv6 閘道

如果高可用性 VPN 閘道設為雙重堆疊 (IPv4 和 IPv6) 堆疊類型，就能同時支援 IPv4 和 IPv6 流量。

如果是雙重堆疊高可用性 VPN 閘道，您可以設定 Cloud Router 的 IPv4 BGP 工作階段、IPv6 BGP 工作階段，或同時設定兩者。如果只設定一個 BGP 工作階段，可以啟用 MP-BGP，允許該工作階段交換 IPv4 和 IPv6 路徑。如果您建立 IPv4 BGP 工作階段和 IPv6 BGP 工作階段，就無法在任一工作階段啟用 MP-BGP。

如要透過 MP-BGP 在 IPv4 BGP 工作階段交換 IPv6 路由，您必須使用 IPv6 下一個躍點位址設定該工作階段。同樣地，如要在 IPv6 BGP 工作階段上使用 MP-BGP 交換 IPv4 路由，您必須使用 IPv4 下一躍點位址設定該工作階段。您可以手動或自動設定這些下一個躍點位址。

如果手動設定下一個躍點位址，則必須從 Google 擁有的 IPv6 全域單點傳播位址 (GUA) 範圍 2600:2d00:0:2::/63，或從 IPv4 連結本機位址範圍 169.254.0.0./16 選取。這些 IP 位址範圍是由 Google 預先分配。您選取的下一個躍點 IP 位址，在虛擬私有雲網路中的所有 Cloud Router 之間必須是唯一的。

如果選取自動設定， Google Cloud 會為您選取下一個躍點 IP 位址。

請按照下列程序建立雙重堆疊高可用性 VPN 閘道，以及所有支援的 BGP 工作階段。

IPv4 BGP 工作階段，可使用 MP-BGP
- 如要設定高可用性 VPN 閘道至對等互連 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
- 如要設定高可用性 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
IPv6 BGP 工作階段，可使用 MP-BGP
- 如要設定高可用性 VPN 閘道至對等互連 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
- 如要設定高可用性 VPN 閘道至高可用性 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
IPv4 和 IPv6 BGP 工作階段
- 如要設定高可用性 VPN 閘道至對等互連 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 和 IPv6 BGP 工作階段」。
- 如要設定高可用性 VPN 閘道至高可用性 VPN 閘道，請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 和 IPv6 BGP 工作階段」。

支援 IPsec 和 IKE

Cloud VPN 支援使用 IKE 預先共用金鑰 (共用密鑰) 和 IKE 加密方式，透過 IKEv1 和 IKEv2 建立連線。Cloud VPN 僅支援使用預先共用金鑰進行驗證。建立 Cloud VPN 通道時，請指定預先共用金鑰。在對等互連閘道建立通道時，請指定這個預先共用金鑰。如要瞭解如何建立高強度的預先共用金鑰，請參閱「產生高強度的預先共用金鑰」。

Cloud VPN 支援通道模式的 ESP 與驗證搭配使用，但不支援 AH 或傳輸模式的 ESP。

必須使用 IKEv2，才能透過高可用性 VPN 傳輸 IPv6 流量。

Cloud VPN 不會對傳入驗證封包執行政策相關篩選。系統會根據針對 Cloud VPN 閘道設定的 IP 範圍，對外送封包進行篩選。

在 Cloud VPN 通道中設定密碼

透過 Cloud VPN，您可以設定密碼，根據法規遵循和安全性需求調整 VPN 連線。

建立 Cloud VPN 通道時，您可以設定密碼選項。不過，設定完成後，您就無法再修改所選的密碼選項，必須刪除並重新建立通道。只有 IKEv2 支援選擇密碼，IKEv1 則不支援。

您可以為 IKE SA 協商 (階段 1) 和 IPsec SA 協商 (階段 2) 設定密碼。如果您未設定階段的密碼選項，Cloud VPN 會使用該選項的預設密碼。

您必須從支援的密碼清單中，設定符合下列條件的密碼：

如果您為加密指定 AEAD 密碼，就無法為完整性指定個別密碼，因為 Cloud VPN 會使用相同的加密密碼來處理完整性。
如果您指定非 AEAD 密碼進行加密，也可以指定用於完整性的密碼。如未指定完整性密碼，Cloud VPN 會使用完整性的預設密碼選項。
如果您同時指定 AEAD 和非 AEAD 密碼進行加密，請務必先列出 AEAD 密碼，再列出非 AEAD 密碼。Cloud VPN 使用相同的加密密碼，處理 AEAD 密碼的完整性。

對於非 AEAD 密碼，您可以指定完整性密碼。如果您未指定完整性密碼，Cloud VPN 會使用完整性的預設密碼選項。

如要進一步瞭解 Cloud VPN 支援的加密方式、預設加密方式順序和設定參數，請參閱「支援的 IKE 加密方式」。

請按照下列程序，為各種 Cloud VPN 閘道設定密碼選項 (預先發布)：

如要使用靜態轉送為傳統版 VPN 設定密碼選項，請參閱「建立閘道和通道」。
如要為高可用性 VPN 至對等互連 VPN 閘道設定密碼選項，請參閱「建立 VPN 通道」。

IKE 和無效對等互連偵測

Cloud VPN 支援死對等互連偵測 (DPD)，詳情請參閱 RFC 3706 的「DPD Protocol」(DPD 通訊協定)一節。

為驗證對等互連是否仍處於連線狀態，Cloud VPN 可能隨時傳送 DPD 封包 (根據 RFC 3706)。如果多次重試後仍未傳回 DPD 要求，Cloud VPN 會將 VPN 通道視為不正常。不正常的 VPN 通道會導致系統移除使用該通道做為下一個躍點的路徑 (BGP 路徑或靜態路徑)，進而觸發虛擬機器流量容錯移轉至其他正常的 VPN 通道。

您無法在 Cloud VPN 中設定 DPD 間隔。

UDP 封裝與 NAT-T

如要瞭解如何設定對等互連裝置，以支援透過 Cloud VPN 進行 NAT 周遊 (NAT-T)，請參閱進階總覽中的「UDP 封裝」一節。

將 Cloud VPN 做為資料移轉網路

使用 Cloud VPN 前，請詳閱《一般服務條款》的第 2 節 Google Cloud。

使用 Network Connectivity Center，您可以透過高可用性 VPN 通道連結內部部署網路，在這些網路之間傳輸流量，做為資料移轉網路。如要連線網路，請為每個地端部署位置將一對通道附加至網路連線中心輻射。然後將每個輪輻連線至 Network Connectivity Center 中樞。

如要進一步瞭解 Network Connectivity Center，請參閱 Network Connectivity Center 總覽。

支援自備 IP (BYOIP)

如要瞭解如何搭配 Cloud VPN 使用自備 IP 位址，請參閱「支援自備 IP 位址」一文。

高可用性 VPN 的主動/主動和主動/被動轉送選項

Cloud VPN 通道可在關閉之後自動重新啟動。如果整個虛擬 VPN 裝置失敗，Cloud VPN 會使用相同設定自動實例化新裝置，新閘道與通道會自動連線。

連線至高可用性 VPN 閘道的 VPN 通道，必須使用動態 (BGP) 轉送。視您如何為高可用性 VPN 通道設定路徑優先順序，您可以建立主動/主動或主動/被動轉送設定。在這兩種轉送設定中，兩個 VPN 通道都會保持啟用狀態。

下表比較主動/主動或主動/被動轉送設定的功能。

功能	主動-主動	主動/被動
處理量	有效匯總輸送量是兩個通道的合併輸送量。	從兩個有效通道減少為一個後，整體有效總處理量會減半，可能導致連線速度變慢或封包遺失。
路徑通告	對等閘道會公告對等網路的路徑，每個通道的多出口鑑別 (MED) 值都相同。管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入虛擬私有雲端網路，做為優先順序相同的自訂動態路徑。傳送至對等互連網路的輸出流量會使用等價多路徑 (ECMP) 轉送。相同的 Cloud Router 會使用相同的優先順序，向 VPC 網路通告路徑。對等互連閘道會使用 ECMP，透過這些路徑將輸出流量傳送至 Google Cloud。	對等閘道會通告對等網路的路徑，每個通道的 MED 值不同。管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入虛擬私有雲網路，做為不同優先順序的自訂動態路徑。傳送至對等互連網路的輸出流量會使用優先順序最高的路徑，前提是相關聯的通道可用。相同的 Cloud Router 會為每個通道使用不同的優先順序，向 VPC 網路通告路徑。對等互連閘道只能使用優先順序最高的通道，將流量傳送至 Google Cloud。
容錯移轉	如果通道狀況不佳 (例如 DPD 停止運作)，Cloud Router 就會撤銷取得的路徑，這些路徑的下一個躍點是無法使用的通道。如果 BGP 工作階段中斷，Cloud Router 會移除下一個躍點為無法使用通道的已知路徑，不會導致通道狀況不佳。提款程序可能需要 40 至 60 秒，這段期間可能會發生封包遺失。	如果通道狀況不佳 (例如 DPD 停止運作)，Cloud Router 就會撤銷取得的路徑，這些路徑的下一個躍點是無法使用的通道。如果 BGP 工作階段停止運作，Cloud Router 會移除下一個躍點為無法使用通道的已知路徑，不會導致通道狀況不佳。提款程序可能需要 40 至 60 秒，這段期間可能會發生封包遺失。一次最多使用一個通道，因此如果第一個通道發生故障並需要容錯移轉，第二個通道就能處理所有輸出頻寬。

功能

主動-主動

主動/被動

處理量

有效匯總輸送量是兩個通道的合併輸送量。

從兩個有效通道減少為一個後，整體有效總處理量會減半，可能導致連線速度變慢或封包遺失。

路徑通告

對等閘道會公告對等網路的路徑，每個通道的多出口鑑別 (MED) 值都相同。

管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入虛擬私有雲端網路，做為優先順序相同的自訂動態路徑。

傳送至對等互連網路的輸出流量會使用等價多路徑 (ECMP) 轉送。

相同的 Cloud Router 會使用相同的優先順序，向 VPC 網路通告路徑。

對等互連閘道會使用 ECMP，透過這些路徑將輸出流量傳送至 Google Cloud。

對等閘道會通告對等網路的路徑，每個通道的 MED 值不同。

管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入虛擬私有雲網路，做為不同優先順序的自訂動態路徑。

傳送至對等互連網路的輸出流量會使用優先順序最高的路徑，前提是相關聯的通道可用。

相同的 Cloud Router 會為每個通道使用不同的優先順序，向 VPC 網路通告路徑。

對等互連閘道只能使用優先順序最高的通道，將流量傳送至 Google Cloud。

容錯移轉

如果通道狀況不佳 (例如 DPD 停止運作)，Cloud Router 就會撤銷取得的路徑，這些路徑的下一個躍點是無法使用的通道。

如果 BGP 工作階段中斷，Cloud Router 會移除下一個躍點為無法使用通道的已知路徑，不會導致通道狀況不佳。

提款程序可能需要 40 至 60 秒，這段期間可能會發生封包遺失。

如果通道狀況不佳 (例如 DPD 停止運作)，Cloud Router 就會撤銷取得的路徑，這些路徑的下一個躍點是無法使用的通道。

如果 BGP 工作階段停止運作，Cloud Router 會移除下一個躍點為無法使用通道的已知路徑，不會導致通道狀況不佳。

提款程序可能需要 40 至 60 秒，這段期間可能會發生封包遺失。

一次最多使用一個通道，因此如果第一個通道發生故障並需要容錯移轉，第二個通道就能處理所有輸出頻寬。

全網格拓撲中的主動/被動轉送

如果 Cloud Router 透過特定 Cloud VPN 介面收到具有不同 MED 值的相同前置字元，則只會將優先順序最高的路徑匯入 VPC 網路。其他非使用中的路徑不會顯示在 Google Cloud 控制台或 Google Cloud CLI 中。如果優先順序最高的路徑無法使用，Cloud Router 會撤銷該路徑，並自動將次佳路徑匯入 VPC 網路。

使用多個通道或閘道

視對等互連閘道設定而定，您可以建構路徑，讓部分流量透過一個通道傳輸，其他流量則透過另一個通道傳輸，這是因為路徑優先順序 (MED 值) 不同。同樣地，您也可以調整 Cloud Router 用來共用 VPC 網路路徑的基本優先順序。這些情況顯示的可能轉送設定，既非純粹的主動/主動，也非純粹的主動/被動。

建議的轉送選項

使用單一高可用性 VPN 閘道時，建議採用主動/被動轉送設定。透過這項設定，正常通道運作時的頻寬容量，會與容錯移轉期間的頻寬容量相符。這類設定較容易管理，因為觀察到的頻寬限制會保持不變，但先前所述的多個閘道情境除外。

使用多個高可用性 VPN 閘道時，建議採用主動/主動轉送設定。採用這項設定後，正常通道運作時的頻寬容量會是最大頻寬容量的兩倍。不過，這項設定會有效率地提供通道，並在故障轉移時導致流量遭到捨棄。

透過 Cloud VPN 通道限制對等互連 IP 位址

如果您是機構政策管理員 (roles/orgpolicy.policyAdmin)，可以建立政策限制，限制使用者可為對等互連 VPN 閘道指定的 IP 位址。

這項限制適用於特定專案、資料夾或機構中的所有 Cloud VPN 通道，包括傳統版 VPN 和高可用性 VPN。

如要瞭解如何限制 IP 位址，請參閱「限制對等互連 VPN 閘道 IP 位址」一文。

查看及監控 Cloud VPN 連線

網路拓撲是一種視覺化工具，可顯示虛擬私有雲網路的拓撲、與地端部署網路之間的混合式連線，以及相關指標。您可以在網路拓撲檢視畫面中，將 Cloud VPN 閘道和 VPN 通道視為實體。

基礎實體是特定階層的最低層級，代表可透過網路直接與其他資源通訊的資源。網路拓撲會將基本實體匯總為階層式實體，您可以展開或收合這些實體。首次查看網路拓撲圖時，系統會將所有基本實體匯總至頂層階層。

舉例來說，網路拓撲會將 VPN 通道匯總至 VPN 閘道連線。您可以展開或收合 VPN 閘道圖示，查看階層。

詳情請參閱 Network Topology 總覽。

維護與可用性

Cloud VPN 會定期進行維護。在維護期間，Cloud VPN 通道會離線，導致網路流量的短暫中斷。維護完成時，系統會自動重新建立 Cloud VPN 通道。

Cloud VPN 的維護是一項正常的操作工作，可能會在任何時間發生，而不預先通知。維護時間設計的足夠短，不會影響 Cloud VPN 服務水準協議。

建議使用高可用性 VPN 設定高可用性 VPN。如需設定選項，請參閱高可用性 VPN 拓撲頁面。如果您使用傳統版 VPN 進行備援和高輸送量選項，請參閱傳統版 VPN 拓撲頁面。

最佳做法

如要有效建構 Cloud VPN，請採用這些最佳做法。

後續步驟

如要使用高可用性和高總處理量情境或多個子網路情境，請參閱「進階設定」。
如要解決使用 Cloud VPN 時可能遇到的常見問題，請參閱疑難排解。
進一步瞭解高可用性 VPN 建議使用的拓撲。