本頁面由 Cloud Translation API 翻譯而成。

採用 Cloud Interconnect 的高可用性 VPN 總覽

透過採用 Cloud Interconnect 的高可用性 VPN，您可以加密透過專屬互連網路或合作夥伴互連網路連線傳輸的流量。如要使用「採用 Cloud Interconnect 的高可用性 VPN」，請透過 VLAN 連結部署高可用性 VPN 通道。

透過 Cloud Interconnect 上的高可用性 VPN，您可以提升企業的整體安全性，並遵守現行和即將推出的產業法規。舉例來說，您可能需要加密應用程式的外送流量，或確保資料在透過第三方傳輸時會加密。

您可以透過多種方式滿足這些需求。加密作業可在 OSI 堆疊中的多個層級執行，但部分層級可能不支援通用加密。舉例來說，並非所有以 TCP 為基礎的通訊協定都支援傳輸層安全標準 (TLS)，而且並非所有以 UDP 為基礎的通訊協定都支援啟用 Datagram TLS (DTLS)。其中一個解決方案是使用 IPsec 通訊協定，在網路層實作加密。

解決方案：採用 Cloud Interconnect 的高可用性 VPN 具有優勢，可透過 Google Cloud 控制台、Google Cloud CLI 和 Compute Engine API 提供部署工具。您也可以為高可用性 VPN 閘道使用內部 IP 位址。您為「採用 Cloud Interconnect 的高可用性 VPN」建立的 VLAN 連結支援連線至 Private Service Connect 端點。最後，採用 Cloud Interconnect 的高可用性 VPN 服務水準協議 (SLA) 是根據其基礎元件 (Cloud VPN 和 Cloud Interconnect) 而定。詳情請參閱「服務等級協議」。

您也可以在虛擬私有雲 (VPC) 網路中建立自行管理 (非Google Cloud) 的 VPN 閘道，並為每個閘道指派內部 IP 位址。舉例來說，您可以在 Compute Engine 執行個體上執行 strongSwan VPN。接著從內部部署環境透過 Cloud Interconnect 將 IPsec 通道與 VPN 閘道連接。如要進一步瞭解高可用性 VPN 選項，請參閱高可用性 VPN 拓撲。

您無法透過 Cloud Interconnect 部署傳統版 VPN 閘道和通道。

部署架構

部署採用 Cloud Interconnect 的高可用性 VPN 時，您會建立兩個作業層級：

Cloud Interconnect 層級，包括 VLAN 連結和 Cloud Interconnect 的 Cloud Router。
高可用性 VPN 層級，包括高可用性 VPN 閘道和通道，以及高可用性 VPN 的 Cloud Router。

每個層級都需要自己的 Cloud Router：

Cloud Interconnect 的 Cloud Router 專用於在 VLAN 連結之間交換 VPN 閘道前置字元。這個 Cloud Router 僅供 Cloud Interconnect 層級的 VLAN 連結使用。無法用於高可用性 VPN 層級。
高可用性 VPN 的 Cloud Router 會在虛擬私有雲網路與地端部署網路之間交換前置字元。設定高可用性 VPN 的 Cloud Router 和 BGP 工作階段時，與一般高可用性 VPN 部署作業相同。

您會在 Cloud Interconnect 層級上建構高可用性 VPN 層級。因此，高可用性 VPN 層級需要以專屬互連網路或合作夥伴互連網路為基礎，正確設定並運作 Cloud Interconnect 層級。

下圖顯示採用 Cloud Interconnect 的高可用性 VPN 部署作業。

採用 Cloud Interconnect 的高可用性 VPN 部署架構 (點選即可放大)。 — **圖 1.** 採用 Cloud Interconnect 的高可用性 VPN 部署架構 (按一下即可放大)。

Cloud Router 在 Cloud Interconnect 層級取得的 IP 位址範圍，可用於選取傳送至高可用性 VPN 閘道和 VLAN 連結的內部流量。

容錯移轉

以下各節說明不同類型的 HA VPN over Cloud Interconnect 容錯移轉。

Cloud Interconnect 容錯移轉

當 Cloud Interconnect 層級的 BGP 工作階段中斷時，系統會撤銷對應的「高可用性 VPN 至 Cloud Interconnect」路徑。撤銷後，高可用性 VPN 通道會中斷連線。因此，路徑會轉移至其他 VLAN 連結上代管的其他高可用性 VPN 通道。

下圖說明 Cloud Interconnect 容錯移轉。

**圖 2.** 採用 Cloud Interconnect 的高可用性 VPN 的 Cloud Interconnect VLAN 連結容錯移轉 (按一下即可放大)。

高可用性 VPN 通道容錯移轉

當高可用性 VPN 層級的 BGP 工作階段中斷時，系統會正常進行 BGP 容錯移轉，並將高可用性 VPN 通道流量路由至其他可用的高可用性 VPN 通道。Cloud Interconnect 層級的 BGP 工作階段不受影響。

下圖顯示高可用性 VPN 通道容錯移轉。

採用 Cloud Interconnect 的高可用性 VPN 隧道容錯移轉 (按一下可放大圖片)。 — **圖 3.** 採用 Cloud Interconnect 的高可用性 VPN 隧道容錯移轉 (按一下即可放大)。

服務水準協議

高可用性 VPN 是高可用性 (HA) 的 Cloud VPN 解決方案，可讓您在單一Google Cloud 區域中使用 IPsec VPN 連線，安全地將地端部署網路連線至虛擬私有雲網路。高可用性 VPN 單獨部署時，只要設定正確，就會有自己的服務水準協議。

不過，由於高可用性 VPN 是部署在 Cloud Interconnect 之上，因此採用 Cloud Interconnect 的高可用性 VPN 整體服務水準協議，與您選擇部署的 Cloud Interconnect 拓撲服務水準協議相符。

透過 Cloud Interconnect 使用高可用性 VPN 的服務水準協議，取決於您選擇部署的 Cloud Interconnect 拓撲。如要符合服務水準協議資格，部署作業必須具備與 2 個 VLAN 連結相關聯的閘道 (容錯移轉)。

部署單一 VLAN 連結

如果閘道部署項目只有一個 VLAN 連結，則不適用服務水準協議。
正式版等級應用程式的多區域部署

如果部署作業使用多區域 Cloud Interconnect 拓撲，則採用 Cloud Interconnect 的高可用性 VPN 部署作業服務水準協議為 99.99%。
- 如為專屬互連網路，請參閱「為專屬互連網路建立 99.99% 的可用性」。
- 如為合作夥伴互連網路，請參閱「為合作夥伴互連網路建立 99.99% 的可用性」。
一般應用程式的單一區域部署

如果部署作業使用單一區域 Cloud Interconnect 拓撲，則採用 Cloud Interconnect 的高可用性 VPN 部署作業服務水準協議為 99.9%。
- 如為專屬互連網路，請參閱「為專屬互連網路建立 99.9% 的可用性」。
- 如要瞭解如何為合作夥伴互連網路建立 99.9% 的可用性，請參閱這篇文章。

定價摘要

針對採用 Cloud Interconnect 的高可用性 VPN 部署作業，下列元件皆須收費：

專屬互連網路連線 (如果您使用專屬互連網路)。
每個 VLAN 連結。
每個 VPN 通道。
僅限 Cloud Interconnect 輸出流量。您不需為高可用性 VPN 通道傳輸的 Cloud VPN 輸出流量付費。
指派給高可用性 VPN 閘道的區域外部 IP 位址 (如果您選擇使用外部 IP 位址)。不過，只有 VPN 通道未使用的 IP 位址才會產生費用。

詳情請參閱 Cloud VPN 定價和 Cloud Interconnect 定價。

限制

設定：
- 高可用性 VPN 閘道是不可變更的資源。建立並建立 VLAN 連結的關聯後，您就無法變更連結與 HA VPN 閘道介面之間的關聯。
  
  舉例來說，如果您之後決定要設定容錯移轉，就必須建立新的 HA VPN 閘道，然後刪除原始閘道及其通道。
- 建立 VLAN 連結時，您必須選取 IPsec 加密。您無法在之後為現有附件新增加密功能。
- 每個 VLAN 連結只能為高可用性 VPN 閘道介面保留一個內部 IP 位址範圍。
- 啟用雙向轉送偵測 (BFD) 無法加快採用 Cloud Interconnect 的高可用性 VPN 部署作業偵測失敗的速度。
- 採用 Cloud Interconnect 的高可用性 VPN 支援 IPv4 和 IPv6 (雙堆疊) 高可用性 VPN 閘道。如要建立雙堆疊高可用性 VPN 閘道，請使用 Google Cloud CLI 或 Cloud Interconnect API。您無法在 Google Cloud 控制台使用「採用 Cloud Interconnect 的高可用性 VPN」部署精靈。
有效負載和延遲：
- 採用 Cloud Interconnect 的高可用性 VPN 會區分下列最大傳輸單位 (MTU) 值：
  - 採用 Cloud Interconnect 閘道 MTU 的高可用性 VPN：1440 個位元組。
  - 採用 Cloud Interconnect 的高可用性 VPN 酬載 MTU：介於 1354 到 1386 位元組之間，視使用的密碼而定。詳情請參閱「加密流量 MTU 值」。
- 以輸入和輸出流量的總和來說，每個高可用性 VPN 通道最多可以支援每秒 25 萬個封包。這是 HA VPN 的限制。詳情請參閱 Cloud VPN 說明文件中的限制。
- 如果啟用加密功能，單一 VLAN 連結的總傳入和傳出輸送量上限為 50 Gbps。
- 就延遲時間而言，在 Cloud Interconnect 中新增 IPsec 加密功能
  
  車流量正常，但會稍微延誤。在正常運作期間，增加的延遲時間不到 5 毫秒。
您可以在兩個不同的實體內部部署裝置上終止 VLAN 連結和 IPsec 通道。每個 VLAN 連結的 BGP 工作階段 (會通告及協商 VPN 閘道前置字元)，應在內部部署 VLAN 連結裝置上終止。每個 VPN 通道的 BGP 工作階段 (照常通告雲端前置字元) 應在 VPN 裝置上終止。
兩個 Cloud Router 的 ASN 可以不同。與內部部署裝置對等的 Cloud Router 介面無法指派 RFC 1918 (私人) IP 位址。

後續步驟

如要按照必要步驟部署採用 Cloud Interconnect 的高可用性 VPN，請參閱「採用 Cloud Interconnect 的高可用性 VPN 部署程序」。
如要部署採用 Cloud Interconnect 的高可用性 VPN

使用 Terraform，請參閱採用 Cloud Interconnect 的高可用性 VPN Terraform 範例。
如要設定採用 Cloud Interconnect 的高可用性 VPN，請參閱「設定採用 Cloud Interconnect 的高可用性 VPN」。

採用 Cloud Interconnect 的高可用性 VPN 總覽 透過集合功能整理內容 你可以依據偏好儲存及分類內容。