Panoramica della VPN ad alta disponibilità su Cloud Interconnect

La VPN ad alta disponibilità su Cloud Interconnect ti consente di criptare il traffico che attraversa le connessioni Dedicated Interconnect o Partner Interconnect. Per utilizzare la VPN ad alta disponibilità su Cloud Interconnect, devi eseguire il deployment di tunnel VPN ad alta disponibilità sui collegamenti VLAN.

Con la VPN ad alta disponibilità su Cloud Interconnect, puoi migliorare la sicurezza complessiva della tua attività e mantenere la conformità alle normative di settore esistenti e future. Ad esempio, potrebbe essere necessario criptare il traffico in uscita dalle tue applicazioni o assicurarsi che i dati siano criptati in transito tramite terze parti.

Hai molte opzioni per soddisfare questi requisiti. La crittografia può essere eseguita in diversi livelli dello stack OSI e in alcuni livelli potrebbe non essere supportata universalmente. Ad esempio, Transport Layer Security (TLS) non è supportato per tutti i protocolli basati su TCP e l'attivazione di Datagram TLS (DTLS) potrebbe non essere supportata per tutti i protocolli basati su UDP. Una soluzione consiste nell'implementare la crittografia a livello di rete con il protocollo IPsec.

Come soluzione, la VPN ad alta disponibilità su Cloud Interconnect offre il vantaggio di fornire strumenti di deployment utilizzando la console Google Cloud , Google Cloud CLI e l'API Compute Engine. Puoi anche utilizzare indirizzi IP interni per i tuoi gateway VPN ad alta disponibilità. I collegamenti VLAN che crei per VPN ad alta disponibilità su Cloud Interconnect supportano le connessioni agli endpoint Private Service Connect. Infine, la VPN ad alta disponibilità su Cloud Interconnect ha uno SLA derivato dai suoi componenti sottostanti, Cloud VPN e Cloud Interconnect. Per ulteriori informazioni, consulta SLA.

Un'altra opzione è creare un gateway VPN autogestito (nonGoogle Cloud) nella tua rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP interno a ogni gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Poi termini i tunnel IPsec a questi gateway VPN utilizzando Cloud Interconnect da un ambiente on-premise. Per ulteriori informazioni sulle opzioni della VPN ad alta disponibilità, consulta Topologie VPN ad alta disponibilità.

Non puoi eseguire il deployment di gateway e tunnel VPN classica su Cloud Interconnect.

Architettura di deployment

Quando esegui il deployment della VPN ad alta disponibilità su Cloud Interconnect, crei due livelli operativi:

  • Il livello Cloud Interconnect, che include i collegamenti VLAN e router Cloudr per Cloud Interconnect.
  • Il livello VPN ad alta disponibilità, che include i gateway e i tunnel VPN ad alta disponibilità e il router Cloud per la VPN ad alta disponibilità.

Ogni livello richiede il proprio router Cloud:

  • Il router Cloud per Cloud Interconnect viene utilizzato esclusivamente per scambiare i prefissi del gateway VPN tra i collegamenti VLAN. Questo router Cloud viene utilizzato solo dai collegamenti VLAN del livello Cloud Interconnect. Non può essere utilizzato nel livello VPN ad alta disponibilità.
  • Il router Cloud per VPN ad alta disponibilità scambia i prefissi tra la tua rete VPC e la tua rete on-premise. Configura router Cloud per la VPN ad alta disponibilità e le relative sessioni BGP nello stesso modo in cui faresti per un deployment VPN ad alta disponibilità normale.

Il livello VPN ad alta disponibilità si basa sul livello Cloud Interconnect. Pertanto, il livello VPN ad alta disponibilità richiede che il livello Cloud Interconnect, basato su Dedicated Interconnect o Partner Interconnect, sia configurato e operativo correttamente.

Il seguente diagramma mostra un deployment di VPN ad alta disponibilità su Cloud Interconnect.

Architettura di deployment per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 1. Architettura di deployment per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Gli intervalli di indirizzi IP appresi dal router cloud nel livello Cloud Interconnect vengono utilizzati per selezionare il traffico interno inviato ai gateway VPN ad alta disponibilità e ai collegamenti VLAN.

Failover

Le sezioni seguenti descrivono diversi tipi di failover della VPN ad alta disponibilità su Cloud Interconnect.

Failover di Cloud Interconnect

Quando la sessione BGP sul livello Cloud Interconnect non è più disponibile, le route VPN ad alta disponibilità a Cloud Interconnect corrispondenti vengono ritirate. Questo ritiro comporta l'interruzione del tunnel VPN ad alta disponibilità. Di conseguenza, le route vengono spostate sugli altri tunnel VPN ad alta disponibilità ospitati sull'altro collegamento VLAN.

Il seguente diagramma mostra il failover di Cloud Interconnect.

Failover del collegamento VLAN Cloud Interconnect per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 2. Failover del collegamento VLAN Cloud Interconnect per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

Failover del tunnel VPN ad alta disponibilità

Quando una sessione BGP nel livello VPN ad alta disponibilità non funziona, si verifica il normale failover BGP e il traffico del tunnel VPN ad alta disponibilità viene indirizzato ad altri tunnel VPN ad alta disponibilità disponibili. Le sessioni BGP del livello Cloud Interconnect non sono interessate.

Il seguente diagramma mostra il failover del tunnel VPN ad alta disponibilità.

Failover del tunnel VPN ad alta disponibilità per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).
Figura 3. Failover del tunnel VPN ad alta disponibilità per la VPN ad alta disponibilità su Cloud Interconnect (fai clic per ingrandire).

SLA

VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete VPC utilizzando una connessione VPN IPsec in una singola Google Cloud regione. La VPN ad alta disponibilità, di per sé, ha un proprio SLA se configurata correttamente.

Tuttavia, poiché la VPN ad alta disponibilità viene implementata su Cloud Interconnect, il contratto di servizio complessivo per la VPN ad alta disponibilità su Cloud Interconnect corrisponde al contratto di servizio della topologia Cloud Interconnect che scegli di implementare.

Lo SLA per la VPN ad alta disponibilità su Cloud Interconnect dipende dalla topologia Cloud Interconnect che scegli di eseguire il deployment. Per avere diritto a un SLA, i tuoi deployment devono avere un gateway con due collegamenti VLAN associati (failover).

Riepilogo dei prezzi

Per i deployment di VPN ad alta disponibilità su Cloud Interconnect, ti vengono addebitati i costi per i seguenti componenti:

  • La tua connessione Dedicated Interconnect, se utilizzi Dedicated Interconnect.
  • Ogni collegamento VLAN.
  • Ogni tunnel VPN.
  • Solo traffico in uscita di Cloud Interconnect. Non ti vengono addebitati costi per il traffico in uscita di Cloud VPN trasportato dai tunnel VPN ad alta disponibilità.
  • Indirizzi IP esterni regionali assegnati ai gateway VPN ad alta disponibilità, se scegli di utilizzare indirizzi IP esterni. Tuttavia, ti vengono addebitati solo gli indirizzi IP non utilizzati dai tunnel VPN.

Per ulteriori informazioni, consulta Prezzi di Cloud VPN e Prezzi di Cloud Interconnect.

Limitazioni

  • Configurazione:

    • Il gateway VPN ad alta disponibilità è una risorsa immutabile. Una volta creato e associato un collegamento VLAN, non puoi modificare le associazioni tra il collegamento e le interfacce del gateway VPN ad alta disponibilità.

      Ad esempio, se in un secondo momento decidi di configurare il failover, devi creare un nuovo gateway VPN ad alta disponibilità ed eliminare il gateway originale e i relativi tunnel.

    • Devi selezionare la crittografia IPsec quando crei il collegamento VLAN. Non puoi aggiungere la crittografia a un allegato esistente in un secondo momento.

    • Per ogni collegamento VLAN, puoi prenotare un solo intervallo di indirizzi IP interni per le interfacce del gateway VPN ad alta disponibilità.

    • L'attivazione di Bidirectional Forwarding Detection (BFD) non fornisce un rilevamento dei guasti più rapido per i deployment VPN ad alta disponibilità su Cloud Interconnect.

    • La VPN ad alta disponibilità su Cloud Interconnect supporta gateway VPN ad alta disponibilità IPv4 e IPv6 (dual-stack). Per creare gateway VPN ad alta disponibilità dual stack, devi utilizzare Google Cloud CLI o l'API Cloud Interconnect. Non puoi utilizzare la procedura guidata di deployment della VPN ad alta disponibilità su Cloud Interconnect nella console Google Cloud .

  • Payload e latenza:

    • La VPN ad alta disponibilità su Cloud Interconnect distingue tra i seguenti valori dell'unità massima di trasmissione (MTU):

    • Ogni tunnel VPN ad alta disponibilità può supportare fino a 250.000 pacchetti al secondo per la somma del traffico in entrata e in uscita. Si tratta di una limitazione della VPN ad alta disponibilità. Per saperne di più, consulta la sezione Limiti nella documentazione di Cloud VPN.

    • Per un singolo collegamento VLAN con la crittografia abilitata, il throughput in entrata e in uscita combinato è limitato a 50 Gbps.

    • In termini di latenza, l'aggiunta della crittografia IPsec a Cloud Interconnect

      il traffico aggiunge un po' di ritardo. Durante le normali operazioni, la latenza aggiuntiva è inferiore a 5 millisecondi.

  • Puoi terminare i collegamenti VLAN e i tunnel IPsec su due diversi dispositivi on-premise fisici. Le sessioni BGP su ogni collegamento VLAN, che pubblicizzano e negoziano i prefissi del gateway VPN, devono terminare sul dispositivo di collegamento VLAN on-premise. Le sessioni BGP su ciascun tunnel VPN, che annunciano i prefissi cloud (come di consueto), devono terminare sul dispositivo VPN.

  • Gli ASN dei due router Cloud possono essere diversi. Alle interfacce router Cloud che eseguono il peering con i dispositivi on-premise non possono essere assegnati indirizzi IP RFC 1918 (privati).

Passaggi successivi