Catégories
Uncategorized

Présentation de Cloud VPN Google Cloud

Cette page décrit les concepts liés à Google Cloud VPN.

Le VPN Cloud connecte en toute sécurité vos pairs
réseau seul
Réseau de cloud privé virtuel (VPC)
via une connexion VPN IPsec.
Le trafic circulant entre les deux réseaux est crypté par une seule passerelle VPN et
puis déchiffre la deuxième passerelle VPN. Cela protège vos données
voyager via Internet. Vous pouvez également connecter deux boîtiers
VPN Cloud les uns aux autres.

Pour créer un réseau privé virtuel (VPN), voir
Sélectionnez l’option VPN.

Pour les définitions des termes utilisés dans la documentation Cloud VPN,
voir Termes clés.

Choisir une solution de réseau hybride

Pour déterminer s’il faut utiliser un Cloud VPN, une interconnexion dédiée,
ou Partner Interconnect comme connexion réseau hybride
Google Cloud, consultez les ressources suivantes:

Types de VPN cloud

Google Cloud propose deux types de passerelles VPN Cloud,
VPN HA et VPN classique.

Pour plus d’informations sur le passage à un VPN HA, consultez
Passer à HA VPN depuis
VPN classique
.

VPN HA

HA VPN est une solution VPN Cloud hautement disponible (HA) qui vous permet
connectez en toute sécurité votre réseau local à un réseau privé virtuel dans le cloud
via une connexion VPN IPsec dans une région. HA VPN fournit
SLA de 99,99% de disponibilité du service.

Lorsque vous créez une passerelle VPN HA, Google Cloud sélectionne automatiquement
deux adresses IP externes, une pour chacune de ses deux interfaces fixes. Chaque adresse IP est
automatiquement sélectionné dans une base de données unique pour prendre en charge la haute disponibilité. Chacun des
Les interfaces de passerelle VPN HA prennent en charge plusieurs tunnels. Vous pouvez également créer
plusieurs passerelles VPN HA.

Vous pouvez configurer la passerelle VPN HA
avec une seule interface active et une seule adresse IP publique; cependant,
cette configuration ne fournit pas la disponibilité du service SLA à 99,99%.

VPN HA
les candidats sont appelés Passerelles VPN, et non passerelles VPN cibles,,
dans la documentation de l’API et dans les commandes gcloud.

Vous n’avez pas besoin de créer de règles de transfert pour le VPN HA
passerelles.

Le VPN HA utilise une ressource VPN externe
dans Google Cloud pour fournir à Google Cloud des informations sur les vôtres
Passerelle ou passerelle VPN homologue. Voir les définitions pour plus d’informations
pour une source de passerelle VPN externe
et passerelle VPN homologue.

Le diagramme suivant montre le concept de HA VPN, montrant la topologie qui
comprend deux interfaces de passerelle VPN HA connectées à deux pics VPN
passerelles. Pour des topologies VPN HA plus détaillées (scénarios de configuration), voir
Page Topologies de Cloud VPN.


Passerelle VPN HA vers deux passerelles VPN principales (cliquez pour agrandir)
Passerelle VPN HA vers deux passerelles VPN principales (cliquez pour agrandir)

Exigences VPN HA

Votre configuration Cloud VPN doit répondre aux exigences suivantes
pour atteindre une disponibilité de niveau de service de 99,99% pour HA VPN:

  • Lorsque vous connectez la passerelle VPN HA à votre passerelle homologue, 99,99%
    la disponibilité est garantie uniquement
    sur la page Google Cloud Connections. La disponibilité ultime en dépend
    configuration correcte de la passerelle VPN homologue.
  • Si les deux côtés sont Google Cloud
    passerelles et sont correctement configurés, disponibles de bout en bout à 99,99%
    est garanti.
  • Pour obtenir une haute disponibilité lorsque les deux passerelles VPN sont situées dans le VPC
    réseau, vous devez utiliser deux passerelles VPN HA et les deux doivent être
    situé dans la même région.
    Bien que les deux passerelles doivent être situées dans la même région, les itinéraires vers leurs sous-réseaux
    qui partagent entre eux peuvent être situés dans n’importe quelle région s’ils sont utilisés par votre réseau de cloud privé virtuel
    mode de routage dynamique global. Si votre réseau VPC utilise régional
    mode de routage dynamique
    , seuls les itinéraires vers un sous-réseau de la même région sont partagés avec un réseau homologue,
    et les routes apprises s’appliquent uniquement aux sous-réseaux dans la même région que le tunnel VPN. Pour plus
    pour plus d’informations sur la façon de router dynamiquement un réseau VPC, consultez
    aperçu des réseaux VPC.
  • Le VPN HA rejette les adresses IP Google Cloud lorsqu’il est configuré
    dans la source de passerelle VPN externe. Un exemple de ceci est l’utilisation d’une adresse IP externe
    Instance de machine virtuelle en tant qu’adresse IP externe pour une ressource VPN externe. Seulement pris en charge
    La topologie Cloud VPN Google Cloud à Google HA est là où
    Le VPN HA est utilisé des deux côtés, comme indiqué dans
    Création de Google Cloud-in-Google Cloud
    Passerelles VPN HA.
  • Vous devez configurer deux tunnels VPN du point de vue de la passerelle VPN VPN:
    • Si tu as deux périphériques de passerelle VPN homologues, chacun des tunnels avec chaque interface activée
      La passerelle VPN cloud doit être connectée à sa passerelle homologue.
    • Si tu as un périphérique de passerelle VPN homologue avec deux interfaces, chacun des tunnels
      de chaque interface sur la passerelle Cloud VPN doit être connectée à sa propre interface
      sur un pair.
    • Si tu as un périphérique de passerelle VPN homologue avec une interface, tous les deux
      les tunnels de chaque interface de la passerelle Cloud VPN doivent être connectés à la même interface
      sur un pair.
  • Le périphérique VPN homologue doit être configuré avec une redondance adéquate. Détails adéquats
    la configuration redondante est déterminée par le fournisseur de l’appareil et peut être ou non multiple
    instance matérielle. Consultez la documentation du fournisseur pour le périphérique VPN homologue pour plus de détails. Si
    deux périphériques homologues sont requis, chaque périphérique homologue doit être connecté à un VPN HA différent
    interface de passerelle. Si le côté homologue est un autre fournisseur de cloud comme AWS, il doit y avoir des connexions VPN
    configuré avec une redondance adéquate et du côté AWS.
  • Votre passerelle VPN homologue doit prendre en charge le routage dynamique (BGP).

VPN classique

En revanche, les passerelles VPN classiques ont une interface, une adresse IP externe,
et prendre en charge les tunnels utilisant dynamique (BGP)
ou routage statique (basé sur l’itinéraire ou la politique). Ils fournissent un service SLA à 99,9%
disponibilité.

Pour les topologies VPN classiques prises en charge, consultez la section
Une page avec des topologies VPN classiques.

Les VPN classiques sont appelés passerelles VPN cibles dans l’API
documentation et dans les commandes gcloud.

Tableau de comparaison

Le tableau suivant compare les fonctionnalités VPN HA avec celles du VPN classique.

Fonctionnalité VPN HA VPN classique
SLA Il fournit un SLA à 99,99% s’il est configuré avec deux interfaces et deux
IP externes
Fournit un SLA à 99,9%
Création d’adresses IP externes et de règles de transfert Adresses IP publiques créées à partir du pool. Aucune règle de transfert requise Les adresses IP publiques et les règles de transfert doivent être créées
Les options de routage sont prises en charge Routage dynamique (BGP) uniquement Routage statique (basé sur une politique, basé sur un itinéraire) ou routage dynamique utilisant BGP
Deux tunnels d’une passerelle Cloud VPN vers la même passerelle homologue Prise en charge Non supporté
Ressources API Connu comme une ressource de passerelle VPN Également connu sous le nom de source de passerelle cible-vpn

Caractéristiques

Cloud VPN a les spécifications suivantes:

Gamme réseau

Chaque tunnel VPN Cloud peut prendre en charge jusqu’à 3 Gbit / s. Bande passante réelle
dépend de plusieurs facteurs:

  • Connexion réseau entre la passerelle Cloud VPN et votre homologue
    passerelle:

    • Bande passante réseau entre deux passes. Le débit est plus élevé si vous êtes trop
      ils ont établi le peering direct
      relation avec Google que si votre trafic VPN est envoyé par le public
      l’Internet.
    • Temps de trajet de retour (RTT) et perte de paquets.
      Les taux élevés de perte de RTT et / ou de paquets sont considérablement réduits
      Performances TCP.
  • Caractéristiques de votre passerelle VPN homologue. Consultez la documentation de votre appareil
    pour plus d’informations.
  • Taille du paquet. Cloud VPN utilise un Unité de transmission maximale
    (MTU)

    de 1460 octets. Les passerelles VPN homologues doivent être configurées pour ne pas utiliser de MTU supérieurs
    de 1460 octets. Parce que le traitement d’un paquet particulier se produit au niveau du paquet
    la vitesse des paquets, un nombre important de petits paquets peut réduire la
    bande passante. Pour calculer l’ESP, vous devrez peut-être également configurer un MTU
    valeurs pour système envoyer du trafic via des tunnels VPN à des valeurs inférieures à
    Tunnel MTU. Voir MTU
    considérations
    pour plus de détails
    discussion et recommandations.
  • Taux d’emballage. Vitesse maximale du colis recommandée pour l’entrée et la sortie
    pour chaque tunnel Cloud VPN, il y a 250 000 paquets par seconde (pps). Si vous
    vous devez envoyer des paquets à une vitesse plus élevée, vous devez créer plus de tunnels VPN.

Lorsque vous mesurez la bande passante TCP d’un tunnel VPN, vous devez mesurer plus d’un
flux TCP simultané. Si tu utilises
outil iperf,,
utiliser -P pour spécifier le nombre de flux simultanés.

Prise en charge IPsec et IKE

Notez que Cloud VPN ne filtre pas les politiques sur
paquets d’authentification entrants. Les paquets sortants sont filtrés en fonction de la plage IP
configuré sur la passerelle Cloud VPN.

  • Cloud VPN prend uniquement en charge la clé pré-partagée (secret partagé) pour
    authentification. Vous devez indiquer un secret commun lors de la création
    Tunnel VPN Cloud. Ce même secret doit être énoncé au moment de la création
    un tunnel sur un passage égal. Voir ces lignes directrices pour la création
    un secret partagé fort
    .

  • Pour les codes et les paramètres de configuration pris en charge par Cloud VPN,
    voir Codes IKE pris en charge.

Encapsulation UDP et NAT-T

Pour plus d’informations sur la configuration d’un périphérique homologue pour prendre en charge NAT-T
VPN Cloud, voir Section UDP et NAT-T dans
Revue avancée
.

Cloud VPN en tant que réseau de transit

Veuillez lire attentivement Google Cloud
Conditions de service spécifiques
avant d’utiliser un Cloud VPN.

N’utilisez pas de tunnels VPN Cloud pour connecter deux ou plusieurs extensions
réseaux dans le seul but de faire passer le trafic via le VPC
réseau en tant que réseau de transit. Configurations de concentrateur
comme ceux-ci sont une violation de Google Cloud
Conditions spéciales de service

Options de routage actif / actif et actif / passif pour VPN HA

Si le cloud du tunnel VPN se bloque, il redémarre automatiquement. Si l’ensemble
le périphérique VPN virtuel échoue, Cloud VPN en lance automatiquement un nouveau
un avec la même configuration. Le nouveau passage et le tunnel sont automatiquement connectés.

Les tunnels VPN connectés aux passerelles VPN HA doivent utiliser des tunnels dynamiques
(BGP) de routage. Selon la façon dont vous configurez les priorités de l’itinéraire
Tunnels VPN HA, vous pouvez créer des actifs / actifs ou
configuration de routage active / passive. Pour ces deux configurations de routage,
les deux tunnels VPN restent actifs.

Le tableau suivant compare les fonctionnalités de actif / actif ou
configuration de routage active / passive.

Fonctionnalité Actif / actif Actif Passif
Bande passante Le débit total effectif est bande passante combinée des deux tunnels. Après réduction de deux tunnels actifs à un,
le débit total effectif est divisé par deuxce qui peut entraîner
connexion plus lente ou paquets jetés.
Annonce d’itinéraire Votre passerelle homologue annonce des réseaux homologues
les itinéraires sont valeurs MED identiques pour chaque tunnel. le
Cloud Router qui gère l’importation de tunnels VPN Cloud
comme dynamique personnalisée
itinéraires dans votre réseau VPC avec priorités identiques.

Trafic sortant envoyé vers vos réseaux homologues
Multi-fois à coûts égaux (ECMP)
routage
.
Le même Cloud Router annonce également les itinéraires vers votre VPC
utiliser le réseau priorités identiques. Votre passerelle de pairs peut utiliser
ces itinéraires pour envoyer du trafic sortant vers Google Cloud utilisant ECMP
aussi.

Votre passerelle homologue annonce les routes du réseau homologue
différentes valeurs MED pour chaque tunnel. Routeur Cloud
La gestion du cloud par tunnel VPN les importe en tant que dynamique personnalisée
itinéraires dans votre réseau VPC avec différentes priorités.

Le trafic envoyé vers votre réseau de pairs utilise l’itinéraire avec le plus grand
priorité, tant que le tunnel associé est disponible. Le même
Cloud Router annonce également des itinéraires vers votre VPC
utiliser le réseau priorités différentes pour chaque tunnel. Votre pair
la passerelle peut uniquement envoyer du trafic vers Google Cloud
en utilisant le tunnel avec la plus haute priorité.

Basculement si un tunnel devient inaccessible, Cloud Router
tire les itinéraires dynamiques personnalisés appris dont les prochains sauts sont
tunnel inaccessible.
Ce processus de retrait peut prendre un certain temps
à 40
secondes
, pendant laquelle une perte de paquets est attendue.
Utilisez un maximum d’un tunnel à la fois,
pour que le deuxième tunnel puisse gérer toute votre bande passante
au cas où le premier tunnel échouerait et devrait être manqué.

Si un tunnel devient inaccessible,
Cloud Router extrait les itinéraires dynamiques personnalisés appris
dont les prochains sauts sont un tunnel inaccessible. Cette procédure de retrait peut
prendre
jusqu’à 40 secondes,
au cours de laquelle une perte de paquets est attendue.

Utilisation de plusieurs tunnels ou passages

Selon la configuration de la passerelle homologue, il est possible de construire des routes
de sorte qu’un trafic traverse un tunnel et un autre trafic
passer par un autre tunnel en raison de la priorité de l’itinéraire (valeurs MED). De même, vous pouvez
personnaliser la priorité de base utilisée par Cloud Router pour partager votre
Itinéraires du réseau VPC. Ces situations montrent qu’elles sont possibles
configurations de routage qui ne sont ni exclusivement actives / actives ni propres
actif Passif.

Lorsque vous utilisez une passerelle VPN HA, nous vous recommandons d’utiliser un
configuration de routage active / passive. Avec cette configuration,
la capacité de bande passante observée au moment du fonctionnement normal du tunnel correspond
capacité de bande passante observée lors de l’abandon. Ce type de configuration est
plus facile à gérer, car la bande passante observée reste constante, sauf pour
le scénario à passes multiples décrit précédemment.

Lors de l’utilisation de plusieurs passerelles VPN HA, actif / actif
la configuration est recommandée. Avec cette configuration, la bande passante observée
pendant le fonctionnement normal, la capacité est deux fois plus garantie
capacité de bande passante. Cependant, cette configuration est effectivement soumise aux dispositions
tunnel et peut entraîner une baisse du trafic en cas d’abandon.

Maintenance et disponibilité

Le VPN Cloud subit une maintenance occasionnelle. Pendant la maintenance,
Les tunnels VPN Cloud sont téléchargés hors ligne, ce qui entraîne de courts plantages
trafic réseau. Une fois la maintenance terminée, les tunnels VPN Cloud sont
il est automatiquement rétabli.

La maintenance de Cloud VPN est une tâche opérationnelle normale qui peut être
arriver à tout moment sans préavis. Les périodes de maintenance sont conçues pour être
assez court pour ne pas être affecté par Cloud VPN SLA.

HA VPN est la méthode de configuration recommandée
VPN haute disponibilité (HA). Voir la section pour les options de configuration
Page de topologie VPN HA.
Si vous utilisez un VPN classique pour la redondance et une bande passante élevée
options, voir
Une page avec des topologies VPN classiques.

Les meilleures pratiques

Utilisez ces meilleures pratiques pour
créez votre VPN Cloud de la manière la plus efficace.

Et après?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.