שער HA VPN דרך Cloud Interconnect מאפשר להצפין את התנועה שעוברת דרך חיבורי Dedicated Interconnect או Partner Interconnect. כדי להשתמש ב-HA VPN דרך Cloud Interconnect, צריך לפרוס מנהרות HA VPN על קובצי ה-VLAN המצורפים.
עם HA VPN over Cloud Interconnect, אתם יכולים לשפר את האבטחה הכוללת של העסק ולשמור על תאימות לתקנות קיימות ועתידיות בתעשייה. לדוגמה, יכול להיות שתידרשו להצפין את התנועה היוצאת מהאפליקציות שלכם או לוודא שהנתונים מוצפנים בזמן המעבר דרך צדדים שלישיים.
יש לכם הרבה אפשרויות לעמוד בדרישות האלה. אפשר לבצע הצפנה בכמה שכבות במודל OSI, ויכול להיות שחלק מהשכבות לא נתמכות באופן אוניברסלי. לדוגמה, לא כל הפרוטוקולים שמבוססים על TCP תומכים ב-Transport Layer Security (TLS), ויכול להיות שלא כל הפרוטוקולים שמבוססים על UDP תומכים בהפעלה של Datagram TLS (DTLS). אחד הפתרונות הוא להטמיע הצפנה בשכבת הרשת באמצעות פרוטוקול IPsec.
כפתרון, ל-HA VPN over Cloud Interconnect יש יתרון של אספקת כלי פריסה באמצעות המסוף, Google Cloud CLI ו-Compute Engine API. Google Cloud אפשר גם להשתמש בכתובות IP פנימיות עבור שערים של HA VPN. חיבורי ה-VLAN שאתם יוצרים ל-HA VPN דרך Cloud Interconnect תומכים בחיבורים לנקודות קצה של Private Service Connect. לבסוף, ל-HA VPN דרך Cloud Interconnect יש הסכם רמת שירות (SLA) שנגזר מהרכיבים הבסיסיים שלו, Cloud VPN ו-Cloud Interconnect. מידע נוסף זמין במאמר בנושא הסכם רמת שירות (SLA).
אפשרות נוספת היא ליצור שער VPN בניהול עצמי (לאGoogle Cloud) ברשת הענן הווירטואלי הפרטי (VPC) ולהקצות כתובת IP פנימית לכל שער. לדוגמה, אתם יכולים להריץ VPN של strongSwan במכונה של Compute Engine. לאחר מכן, מסיימים את מנהרות ה-IPsec בשערי ה-VPN האלה באמצעות Cloud Interconnect מסביבת on-premise. מידע נוסף על אפשרויות HA VPN זמין במאמר בנושא טופולוגיות של HA VPN.
אי אפשר לפרוס שערי VPN ומנהרות VPN קלאסיים דרך Cloud Interconnect.
ארכיטקטורת פריסה
כשפורסים HA VPN דרך Cloud Interconnect, יוצרים שתי שכבות תפעוליות:
- השכבה של Cloud Interconnect, שכוללת את חיבורי ה-VLAN ואת Cloud Router ל-Cloud Interconnect.
- רמת השירות HA VPN, שכוללת את שערי HA VPN ואת המנהרות, וגם את Cloud Router ל-HA VPN.
לכל רמה נדרש Cloud Router משלה:
- ה-Cloud Router ל-Cloud Interconnect משמש אך ורק להחלפת קידומות של שער VPN בין קובצי ה-VLAN המצורפים. Cloud Router הזה משמש רק לחיבורי VLAN של רמת Cloud Interconnect. אי אפשר להשתמש בו ברמת השירות HA VPN.
- ה-Cloud Router עבור HA VPN מחליף קידומות בין רשת ה-VPC לבין הרשת המקומית. מגדירים את Cloud Router עבור HA VPN ואת סשני ה-BGP שלו באותו אופן כמו בהטמעה רגילה של HA VPN.
אתם יוצרים את רמת ה-HA VPN על גבי רמת Cloud Interconnect. לכן, כדי להשתמש בשכבת HA VPN, צריך לוודא ששכבת Cloud Interconnect, שמבוססת על Dedicated Interconnect או על Partner Interconnect, מוגדרת ופועלת בצורה תקינה.
הדיאגרמה הבאה מתארת פריסה של HA VPN דרך Cloud Interconnect.
טווחי כתובות ה-IP שנלמדים על ידי Cloud Router ברמת Cloud Interconnect משמשים לבחירת התעבורה הפנימית שנשלחת לשערי HA VPN ולחיבורי ה-VLAN.
מעבר לגיבוי (Failover)
בקטעים הבאים מתוארים סוגים שונים של מעבר לגיבוי בענן (failover) של HA VPN דרך Cloud Interconnect.
מעבר לגיבוי ב-Cloud Interconnect
כשסשן ה-BGP ברמת Cloud Interconnect מושבת, המסלולים התואמים של HA VPN ל-Cloud Interconnect מבוטלים. הביטול הזה מוביל להפסקת מנהרת ה-HA VPN. כתוצאה מכך, המסלולים מועברים למנהרות HA VPN אחרות שמתארחות בצירוף ל-VLAN אחר.
הדיאגרמה הבאה מתארת יתירות כשל ב-Cloud Interconnect.
מעבר אוטומטי לגיבוי במנהרת HA VPN
כשסשן BGP ברמת HA VPN מושבת, מתבצע מעבר יתירות כשל רגיל של BGP, והתנועה במנהרת HA VPN מנותבת למנהרות HA VPN זמינות אחרות. הסשנים של BGP ברמת Cloud Interconnect לא מושפעים.
התרשים הבא מתאר יתירות כשל במנהרת HA VPN.
SLA
HA VPN הוא פתרון שמספק רשת Cloud VPN בזמינות גבוהה (HA), ומאפשר לחבר באופן מאובטח את הרשת המקומית לרשת ה-VPC באמצעות חיבור IPsec VPN בGoogle Cloud אזור יחיד. ל-HA VPN, כשפורסים אותו לבד, יש SLA משלו אם הוא מוגדר בצורה נכונה.
עם זאת, מכיוון ש-HA VPN נפרס על גבי Cloud Interconnect, רמת הזמינות הכוללת של HA VPN דרך Cloud Interconnect זהה לרמת הזמינות של טופולוגיית Cloud Interconnect שבחרתם לפרוס.
הסכם ה-SLA של HA VPN דרך Cloud Interconnect תלוי בטופולוגיה של Cloud Interconnect שבוחרים לפרוס. כדי לעמוד בדרישות של הסכם רמת שירות (SLA), הפריסות שלכם צריכות לכלול שער עם 2 צירופים ל-VLAN שמשויכים אליו (מעבר לגיבוי בעת כשל).
פריסות עם צירוף יחיד ל-VLAN
אין הסכם רמת שירות (SLA) לפריסות של שערים עם צירוף ל-VLAN יחיד.
פריסה במספר אזורים לאפליקציות ברמת הייצור
אם הפריסה משתמשת בטופולוגיה של Cloud Interconnect בכמה אזורים, רמת זמינות השירות של פריסת HA VPN over Cloud Interconnect היא 99.99%.
- בנושא Dedicated Interconnect, אפשר לעיין במאמר השגת זמינות של 99.99% ל-Dedicated Interconnect.
- ב-Partner Interconnect, אפשר לעיין במאמר הגדרת זמינות של 99.99% ל-Partner Interconnect.
פריסה באזור יחיד לאפליקציות לא קריטיות
אם הפריסה משתמשת בטופולוגיה של Cloud Interconnect באזור יחיד, רמת זמינות השירות של פריסת HA VPN over Cloud Interconnect היא 99.9%.
- ב-Dedicated Interconnect, אפשר לעיין במאמר בנושא הגדרת זמינות של 99.9% ל-Dedicated Interconnect.
- ב-Partner Interconnect, אפשר לעיין במאמר הגדרת זמינות של 99.9% ב-Partner Interconnect.
סיכום התמחור
בפריסות של HA VPN דרך Cloud Interconnect, החיוב הוא על הרכיבים הבאים:
- חיבור Dedicated Interconnect, אם אתם משתמשים ב-Dedicated Interconnect.
- כל צירוף ל-VLAN.
- כל מנהרת VPN.
- תעבורה יוצאת (egress) רק של Cloud Interconnect. לא נחייב אתכם על תנועת היציאה של Cloud VPN שמועברת דרך מנהרות HA VPN.
- כתובות IP חיצוניות אזוריות שמוקצות לשערי HA VPN, אם בוחרים להשתמש בכתובות IP חיצוניות. עם זאת, החיוב מתבצע רק על כתובות ה-IP שלא נמצאות בשימוש במנהרות VPN.
מידע נוסף זמין במאמרים בנושא תמחור של Cloud VPN ותמחור של Cloud Interconnect.
מגבלות
הגדרה:
שער HA VPN הוא משאב שלא ניתן לשנות. אחרי שיוצרים ומקשרים צירוף ל-VLAN, אי אפשר לשנות את הקישורים בין הצירוף לממשקים של שער HA VPN.
לדוגמה, אם מחליטים מאוחר יותר שצריך להגדיר מעבר לגיבוי בעת כשל, צריך ליצור שער HA VPN חדש ואז למחוק את השער המקורי ואת המנהרות שלו.
כשיוצרים את הצירוף ל-VLAN, צריך לבחור הצפנת IPsec. אי אפשר להוסיף הצפנה לקובץ מצורף קיים במועד מאוחר יותר.
לכל צירוף ל-VLAN, אפשר להזמין רק טווח אחד של כתובות IP פנימיות לממשקי שער HA VPN.
הפעלת Bidirectional Forwarding Detection (BFD) לא מספקת זיהוי מהיר יותר של כשלים ב-HA VPN בפריסות של Cloud Interconnect.
שערי HA VPN תומכים ב-IPv4 וב-IPv6 (dual-stack) דרך Cloud Interconnect. כדי ליצור שערים של HA VPN עם תמיכה ב-dual-stack, צריך להשתמש ב-Google Cloud CLI או ב-Cloud Interconnect API. אי אפשר להשתמש באשף הפריסה של HA VPN over Cloud Interconnect במסוף Google Cloud .
מטען ייעודי (payload) וזמן אחזור:
HA VPN over Cloud Interconnect מבחין בין הערכים הבאים של יחידת השידור המקסימלית (MTU):
HA VPN over Cloud Interconnect gateway MTU: 1440 bytes.
HA VPN over Cloud Interconnect payload MTU: is between 1354 to 1386 bytes, depending on the cipher used. מידע נוסף זמין במאמר בנושא ערכי MTU של תנועה מוצפנת.
כל מנהרת HA VPN יכולה לתמוך בעד 250,000 מנות בשנייה, בסך הכול לתעבורת נתונים נכנסת (ingress) ויוצאת (egress). זוהי מגבלה של HA VPN. מידע נוסף זמין בקטע מגבלות במאמרי העזרה בנושא Cloud VPN.
לצירוף ל-VLAN יחיד עם הצפנה מופעלת, התפוקה המשולבת של נתונים נכנסים ויוצאים מוגבלת ל-50 Gbps.
במונחים של זמן אחזור, הוספת הצפנת IPsec ל-Cloud Interconnect
עומס תנועה קל. במהלך פעילות רגילה, זמן האחזור הנוסף הוא פחות מ-5 אלפיות השנייה.
אפשר לסיים את הקבצים המצורפים של VLAN ואת מנהרות ה-IPsec בשני מכשירים פיזיים שונים באתר. הפעלת סשנים של BGP בכל צירוף ל-VLAN, פרסום וניהול משא ומתן על קידומות של שער VPN, צריכה להסתיים במכשיר של צירוף ל-VLAN מקומי. סשנים של BGP בכל מנהרת VPN, שבהם מוצגים קידומות הענן (כמו תמיד), צריכים להסתיים במכשיר ה-VPN.
מספרי ה-ASN של שני נתבי הענן יכולים להיות שונים. לא ניתן להקצות ל-Cloud Router ממשקים שיוצרים קשר עם מכשירים מקומיים כתובות IP פרטיות (RFC 1918).
מה השלב הבא?
כדי לפעול לפי השלבים הנדרשים לפריסת HA VPN דרך Cloud Interconnect, אפשר לעיין במאמר תהליך הפריסה של HA VPN דרך Cloud Interconnect.
כדי לפרוס HA VPN דרך Cloud Interconnect
שימוש ב-Terraform, אפשר לעיין בדוגמאות ל-Terraform ל-HA VPN דרך Cloud Interconnect.