Panoramica della VPN ad alta disponibilità su Cloud Interconnect

VPN ad alta disponibilità affidabilità su Cloud Interconnect ti consente di criptare il traffico che attraversa le connessioni Dedicated Interconnect o Partner Interconnect. Per utilizzare VPN ad alta disponibilità affidabilità su Cloud Interconnect, devi eseguire il deployment dei tunnel VPN ad alta affidabilità sui collegamenti VLAN.

Con la VPN ad alta affidabilità su Cloud Interconnect, puoi migliorare la sicurezza complessiva della tua attività e mantenere la conformità con le normative di settore esistenti e future. Ad esempio, potrebbe essere necessario criptare il traffico in uscita dalle applicazioni o assicurarsi che i dati siano criptati in transito tramite terze parti.

Hai a disposizione molte opzioni per soddisfare questi requisiti. La crittografia può essere eseguita su più livelli nello stack OSI e in alcuni livelli potrebbe non essere supportata universalmente. Ad esempio, Transport Layer Security (TLS) non è supportato per tutti i protocolli basati su TCP e l'abilitazione di Datagram TLS (DTLS) potrebbe non essere supportata per tutti i protocolli basati su UDP. Una soluzione consiste nell'implementare la crittografia a livello di rete con il protocollo IPsec.

Come soluzione, VPN ad alta disponibilità ad alta affidabilità su Cloud Interconnect offre il vantaggio di fornire strumenti di deployment utilizzando la Google Cloud console, Google Cloud CLI e l'API Compute Engine. Puoi anche utilizzare indirizzi IP interni per i gateway VPN ad alta disponibilità affidabilità. I collegamenti VLAN che crei per la VPN ad alta disponibilità affidabilità su Cloud Interconnect supportano le connessioni agli endpoint Private Service Connect. Infine, VPN ad alta disponibilità affidabilità su Cloud Interconnect ha uno SLA (accordo sul livello del servizio) derivato dai suoi componenti sottostanti, Cloud VPN e Cloud Interconnect. Per saperne di più, consulta SLA.

Un'altra opzione è creare un gateway VPN (non-Google Cloud) autogestito nella rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP interno a ogni gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Quindi, termina i tunnel IPsec su questi gateway VPN utilizzando Cloud Interconnect da un ambiente on-premise. Per saperne di più sulle opzioni VPN ad alta disponibilità affidabilità, consulta Topologie VPN ad alta affidabilità.

Non puoi eseguire il deployment di gateway e tunnel VPN classica su Cloud Interconnect.

Architettura di deployment

Quando esegui il deployment VPN ad alta disponibilità affidabilità su Cloud Interconnect, crei due livelli operativi:

• Il livello Cloud Interconnect, che include i collegamenti VLAN e il router Cloud per Cloud Interconnect.
• Il livello VPN ad alta affidabilità, che include i gateway e i tunnel VPN ad alta disponibilità affidabilità e il router Cloud per la VPN ad alta disponibilità affidabilità.

Ogni livello richiede il proprio router Cloud:

• Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi del gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità affidabilità.
• Il router Cloud per VPN ad alta disponibilità affidabilità scambia i prefissi tra la rete VPC e la rete on-premise. Configura il router Cloud per la VPN ad alta disponibilità affidabilità e le relative sessioni BGP nello stesso modo in cui faresti per un normale deployment della VPN ad alta disponibilità affidabilità.

Il livello VPN ad alta affidabilità si basa sul livello Cloud Interconnect. Pertanto, il livello VPN ad alta disponibilità affidabilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato e operativo correttamente.

Il seguente diagramma mostra un deployment VPN ad alta disponibilità su Cloud Interconnect.

Gli intervalli di indirizzi IP appresi dal router Cloud sul livello Cloud Interconnect vengono utilizzati per selezionare il traffico interno inviato ai gateway VPN ad alta disponibilità affidabilità e ai collegamenti VLAN.

Failover

Le sezioni che seguono descrivono i diversi tipi di failover della VPN ad alta disponibilità affidabilità su Cloud Interconnect.

Failover di Cloud Interconnect

Quando la sessione BGP sul livello Cloud Interconnect non è attiva, le route VPN ad alta disponibilità affidabilità a Cloud Interconnect corrispondenti vengono ritirate. Questo ritiro comporta l'interruzione del tunnel VPN ad alta disponibilità affidabilità. Di conseguenza, le route vengono spostate sugli altri tunnel VPN ad alta disponibilità affidabilità ospitati sull'altro collegamento VLAN.

Il seguente diagramma mostra il failover di Cloud Interconnect.

Failover del tunnel VPN ad alta disponibilità affidabilità

Quando una sessione BGP sul livello VPN ad alta disponibilità non è attiva, si verifica un normale failover BGP e il traffico del tunnel VPN ad alta disponibilità affidabilità viene instradato ad altri tunnel VPN ad alta disponibilità affidabilità disponibili. Le sessioni BGP del livello Cloud Interconnect non sono interessate.

Il seguente diagramma mostra il failover del tunnel VPN ad alta disponibilità affidabilità.

SLA

La VPN ad alta affidabilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC (Virtual Private Cloud) utilizzando una connessione VPN IPsec in una singola Google Cloud regione. La VPN ad alta disponibilità affidabilità, di cui è stato eseguito il deployment autonomamente, ha un proprio SLA se configurata correttamente.

Tuttavia, poiché VPN ad alta disponibilità ad alta affidabilità viene eseguita su Cloud Interconnect, lo SLA complessivo per VPN ad alta disponibilità ad alta affidabilità su Cloud Interconnect corrisponde allo SLA della topologia Cloud Interconnect che scegli di eseguire il deployment.

Lo SLA per VPN ad alta disponibilità affidabilità su Cloud Interconnect dipende dalla topologia Cloud Interconnect che scegli di eseguire il deployment. Per avere diritto a uno SLA, i deployment devono avere un gateway con 2 collegamenti VLAN associati (failover).

• Deployment con un singolo collegamento VLAN

  Non è previsto uno SLA per i deployment di gateway con un singolo collegamento VLAN.

• Deployment multiregionale per applicazioni di livello di produzione

  Se il deployment utilizza una topologia Cloud Interconnect multiregionale, il deployment della VPN ad alta disponibilità su Cloud Interconnect ha uno SLA del 99,99%.

  • Per Dedicated Interconnect, consulta Stabilisci una disponibilità del 99,99% per Dedicated Interconnect.
  • Per Partner Interconnect, consulta Stabilisci una disponibilità del 99,99% per Partner Interconnect.

• Deployment a singola regione per applicazioni non critiche

  Se il deployment utilizza una topologia Cloud Interconnect a singola regione, il deployment della VPN ad alta disponibilità su Cloud Interconnect ha uno SLA del 99,9%.

  • Per Dedicated Interconnect, consulta Stabilisci una disponibilità del 99,9% per Dedicated Interconnect.
  • Per Partner Interconnect, consulta Stabilisci una disponibilità del 99,9% per Partner Interconnect.

Riepilogo dei prezzi

Per i deployment della VPN ad alta affidabilità su Cloud Interconnect vengono addebitati i costi per i seguenti componenti:

• La connessione Dedicated Interconnect, se utilizzi Dedicated Interconnect.
• Ogni collegamento VLAN.
• Ogni tunnel VPN.
• Solo il traffico in uscita di Cloud Interconnect. Non ti vengono addebitati costi per il traffico in uscita di Cloud VPN trasportato dai tunnel VPN ad alta disponibilità.
• Indirizzi IP esterni regionali assegnati ai gateway VPN ad alta disponibilità, se scegli di utilizzare indirizzi IP esterni. Tuttavia, ti vengono addebitati solo gli indirizzi IP non utilizzati dai tunnel VPN.

Per saperne di più, consulta Prezzi di Cloud VPN e Prezzi di Cloud Interconnect.

Limitazioni

• Configurazione:

  • Il gateway VPN ad alta affidabilità è una risorsa immutabile. Dopo aver creato e associato un collegamento VLAN, non puoi modificare le associazioni tra il collegamento e le interfacce del gateway VPN ad alta disponibilità affidabilità.

    Ad esempio, se in un secondo momento decidi di configurare per il failover, devi creare un nuovo gateway VPN ad alta disponibilità ed eliminare il gateway originale e i relativi tunnel.

  • Quando crei il collegamento VLAN, devi selezionare la crittografia IPsec. Non puoi aggiungere la crittografia a un collegamento esistente in un secondo momento.

  • Per ogni collegamento VLAN, puoi riservare un solo intervallo di indirizzi IP interni per le interfacce del gateway VPN ad alta disponibilità.

  • L'abilitazione di Bidirectional Forwarding Detection (BFD) non fornisce un rilevamento degli errori più rapido per i deployment della VPN ad alta disponibilità su Cloud Interconnect.

  • VPN ad alta disponibilità affidabilità su Cloud Interconnect supporta i gateway VPN ad alta disponibilità ad alta affidabilità IPv4 e IPv6 (dual-stack). Per creare gateway VPN ad alta disponibilità affidabilità dual-stack, devi utilizzare Google Cloud CLI o l'API Cloud Interconnect. Non puoi utilizzare la procedura guidata di deployment della VPN ad alta affidabilità su Cloud Interconnect nella Google Cloud console.

• Payload e latenza:

  • VPN ad alta disponibilità affidabilità su Cloud Interconnect distingue tra i seguenti valori MTU (Maximum Transmission Unit):

    • MTU del gateway VPN ad alta affidabilità su Cloud Interconnect: 1440 byte.

    • MTU del payload della VPN ad alta affidabilità su Cloud Interconnect : da 1354 a 1386 byte, a seconda del cifrario utilizzato. Per saperne di più, consulta Valori MTU del traffico criptato.

  • Ogni tunnel VPN ad alta affidabilità può supportare fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. Si tratta di una limitazione della VPN ad alta disponibilità. Per saperne di più, consulta Limiti nella documentazione di Cloud VPN.

  • Per un singolo collegamento VLAN con la crittografia abilitata, la velocità effettiva combinata in entrata e in uscita è limitata a 50 Gbps.

  • In termini di latenza, l'aggiunta della crittografia IPsec a Cloud Interconnect

    il traffico aggiunge un po' di ritardo. Durante le normali operazioni, la latenza aggiunta è inferiore a 5 millisecondi.

• Puoi terminare i collegamenti VLAN e i tunnel IPsec su due dispositivi on-premise fisici diversi. Le sessioni BGP su ogni collegamento VLAN, che pubblicizzano e negoziano i prefissi del gateway VPN, devono terminare sul dispositivo di collegamento VLAN on-premise. Le sessioni BGP su ogni tunnel VPN, che pubblicizzano i prefissi cloud (come di consueto), devono terminare sul dispositivo VPN.

• Gli ASN dei due router Cloud possono essere diversi. Non è possibile assegnare indirizzi IP RFC 1918 (privati) alle interfacce del router Cloud che eseguono il peering con i dispositivi on-premise.

Passaggi successivi

• Per seguire i passaggi necessari per eseguire il deployment della VPN ad alta disponibilità affidabilità su Cloud Interconnect, consulta Processo di deployment della VPN ad alta affidabilità su Cloud Interconnect.

• Per eseguire il deployment VPN ad alta disponibilità affidabilità su Cloud Interconnect

  utilizzando Terraform, consulta Esempi di Terraform per la VPN ad alta disponibilità affidabilità su Cloud Interconnect.

• Per configurare VPN ad alta disponibilità ad alta affidabilità su Cloud Interconnect, consulta Configura la VPN ad alta affidabilità su Cloud Interconnect.