Questa pagina descrive le reti Virtual Private Cloud (VPC) e le opzioni di routing supportate.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.
Reti supportate
Cloud VPN supporta le reti VPC in modalità personalizzata, le reti VPC in modalità automatica e le reti legacy. Tuttavia, ti consigliamo di prendere in esame le seguenti best practice:
Utilizza le reti VPC anziché le reti legacy. Le reti legacy non supportano le subnet; l'intera rete utilizza un unico intervallo di indirizzi IP. Le reti legacy non possono essere convertite in reti VPC.
Utilizza una rete VPC in modalità personalizzata. Le reti VPC in modalità personalizzata ti offrono il pieno controllo sull'intervallo di indirizzi IP utilizzati dalle relative subnet.
Se utilizzi Cloud VPN per connettere due reti VPC, almeno una rete deve essere una rete VPC in modalità personalizzata. Le reti VPC in modalità automatica utilizzano lo stesso intervallo di indirizzi IP interni per le loro subnet.
Esamina le considerazioni per le reti VPC in modalità automatica prima di utilizzarne una con Cloud VPN. Le reti VPC in modalità automatica creano automaticamente una subnet in ogni regione Google Cloud , inclusa la creazione automatica di nuove subnet nelle nuove regioni man mano che vengono aggiunte. Evita di utilizzare gli indirizzi IP interni dell'intervallo utilizzato dalle reti VPC in modalità automatica nella rete a cui si connettono i tunnel Cloud VPN.
Opzioni di routing per i tunnel VPN
La VPN classica supporta le opzioni di routing statico per i tunnel VPN, mentre VPN ad alta disponibilità supporta l'opzione di routing dinamico. Puoi utilizzare i tunnel VPN classici che utilizzano il routing dinamico solo se il gateway VPN classica si connette al software del gateway VPN in esecuzione all'interno di una VM di Compute Engine.
Il routing dinamico utilizza il Border Gateway Protocol (BGP).
Routing dinamico (BGP)
Il routing dinamico utilizza un router Cloud per gestire automaticamente lo scambio di route utilizzando BGP. Uno scambio di questo tipo viene gestito da un'interfaccia BGP su un router Cloud nella stessa regione del tunnel Cloud VPN corrispondente. Il router Cloud aggiunge e rimuove le route senza richiedere l'eliminazione e la ricreazione del tunnel.
La modalità di routing dinamico della tua rete VPC controlla il comportamento di tutti i suoi router Cloud. Questa modalità determina se le route apprese dalla rete peer vengono applicate alle risorse Google Cloud nella stessa regione del tunnel VPN o se vengono applicate in tutte le regioni. Controlli le route annunciate dal router peer o dal gateway.
La modalità di routing dinamico determina anche se le route della subnet solo della regione del tunnel o di tutte le regioni vengono condivise con il router o il gateway peer. Oltre a queste route di subnet, puoi configurare annunci di route personalizzati su un router Cloud.
Routing statico
I tunnel VPN classica supportano opzioni di routing statico basato su criteri e su route. Prendi in considerazione un'opzione di routing statico solo se non puoi utilizzare il routing dinamico (BGP) o VPN ad alta disponibilità.
Routing basato su policy. Gli intervalli IP locali (a sinistra) e gli intervalli IP remoti (a destra) vengono definiti nell'ambito del processo di creazione del tunnel.
VPN basata su route. Quando utilizzi la console Google Cloud per creare una VPN basata su route, specifichi solo un elenco di intervalli IP remoti. Questi intervalli vengono utilizzati solo per creare route nella tua rete VPC alle risorse peer.
Puoi trovare maggiori informazioni su queste due opzioni di routing statico nella sezione successiva.
Selettori di traffico
Un selettore del traffico definisce un insieme di intervalli di indirizzi IP o blocchi CIDR utilizzati per stabilire un tunnel VPN. Questi intervalli vengono utilizzati nell'ambito della negoziazione IKE per il tunnel. Alcuni testi si riferiscono ai selettori di traffico come domini di crittografia.
Esistono due tipi di selettori di traffico:
Il selettore del traffico locale definisce l'insieme di intervalli IP locali (blocchi CIDR) dal punto di vista del gateway VPN che emette il tunnel VPN. Per i tunnel Cloud VPN, il selettore del traffico locale definisce l'insieme di CIDR di subnet primari e secondari per le subnet nella rete VPC, che rappresentano il lato sinistro del tunnel.
Il selettore di traffico remoto definisce l'insieme di intervalli IP remoti (blocchi CIDR) dal punto di vista del gateway VPN che emette il tunnel VPN. Per i tunnel Cloud VPN, il selettore di traffico remoto è il lato destro o la rete peer.
I selettori del traffico sono una parte intrinseca di un tunnel VPN, utilizzati per stabilire l'handshake IKE. Se è necessario modificare i CIDR locali o remoti, il tunnel Cloud VPN e il tunnel peer corrispondente devono essere eliminati e ricreati.
Opzioni di routing e selettori del traffico
I valori dell'intervallo IP (blocco CIDR) per i selettori di traffico locali e remoti dipendono dall'opzione di routing utilizzata dal tunnel Cloud VPN.
| Tunnel VPN ad alta disponibilità | |||||
|---|---|---|---|---|---|
| Opzione di routing tunnel |
Selettore del traffico locale |
Selettore del traffico remoto |
Route alla rete VPC |
Route alla rete peer |
|
| Richiede il routing dinamico (BGP) |
Sempre0.0.0.0/0 per IPv4 (stack singolo)o 0.0.0.0/0,::/0 per IPv4 e IPv6 (stack doppio) o ::/0 per IPv6 (stack singolo) |
Sempre0.0.0.0/0 per IPv4 (stack singolo)o 0.0.0.0/0,::/0 per IPv4 e IPv6 (stack doppio) o ::/0 per IPv6 (stack singolo) |
A meno che non vengano modificate dagli annunci personalizzati, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN condivide le route con le subnet nella rete VPC in base alla modalità di routing dinamico della rete e alle quote e ai limiti per Cloud Router. | Soggette a limitazioni per le route personalizzate e alle quote e ai limiti per il router Cloud, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN apprende le route inviate dal gateway VPN peer e le aggiunge alla rete VPC come route dinamiche personalizzate. | |
| Tunnel VPN classica | |||||
| Opzione di routing tunnel |
Selettore del traffico locale |
Selettore del traffico remoto |
Route alla rete VPC |
Route alla rete peer |
|
| Routing basato su policy | Configurabile. Consulta tunnel e selettori di traffico basati su policy. |
Obbligatorio. Consulta tunnel e selettori di traffico basati su policy. |
Devi creare e gestire manualmente le route alle subnet nella tua rete VPC sui router peer. | Se utilizzi la console Google Cloud per creare il tunnel VPN basato su criteri, vengono create automaticamente route statiche personalizzate. Se utilizzi gcloud CLI per creare il tunnel, devi utilizzare comandi gcloud aggiuntivi per creare le route. Per istruzioni, vedi
Creare una
VPN classica mediante routing statico.
|
|
| VPN basata su route | Sempre0.0.0.0/0 |
Sempre0.0.0.0/0 |
Devi creare e gestire manualmente le route alle subnet nella tua rete VPC sui router peer. | Se utilizzi la console Google Cloud per creare il tunnel VPN basato su route, le route statiche personalizzate vengono create automaticamente. Se utilizzi
gcloud CLI per creare il
tunnel, devi utilizzare comandi gcloud aggiuntivi per creare le
route. Per istruzioni, vedi
Creare una
VPN classica mediante routing statico.
|
|
Tunnel e selettori di traffico basati su policy
Questa sezione descrive considerazioni speciali per i selettori di traffico quando crei tunnel VPN classica basati su policy. Non si applica a nessun altro tipo di tunnel VPN classica o VPN ad alta disponibilità.
Puoi scegliere di specificare il selettore di traffico locale di un tunnel Cloud VPN basato su criteri quando lo crei:
Selettore del traffico locale personalizzato. Puoi definire il selettore del traffico locale come un insieme di subnet nella rete VPC o un insieme di indirizzi IP interni che includono gli intervalli IP scelti delle subnet nella rete VPC. IKEv1 limita i selettori di traffico locale a un singolo CIDR.
Reti VPC in modalità personalizzata. Specifica un selettore di traffico locale personalizzato che consiste in un intervallo di indirizzi IP interni.
Reti VPC in modalità automatica. Se non specificato, il selettore del traffico locale è l'intervallo IP primario (blocco CIDR) della subnet creata automaticamente nella stessa regione del tunnel Cloud VPN. Le reti VPC in modalità automatica hanno una subnet per regione con intervalli IP ben definiti.
Reti legacy. Se non specificato, il selettore di traffico locale è definito come l'intero intervallo di indirizzi IP RFC 1918 della rete legacy.
Specifica il selettore di traffico remoto di un tunnel Cloud VPN basato su criteri quando lo crei. Se utilizzi la console Google Cloud per creare il tunnel Cloud VPN, vengono create automaticamente route statiche personalizzate le cui destinazioni corrispondono ai CIDR del selettore del traffico remoto. IKEv1 limita i selettori di traffico remoto a un singolo CIDR. Per istruzioni, consulta Creare una VPN classica mediante routing statico.
Considerazioni importanti per i selettori di traffico
Prima di creare un tunnel basato su policy Cloud VPN, considera quanto segue:
La maggior parte dei gateway VPN trasmette il traffico attraverso un tunnel VPN solo se l'indirizzo IP di origine di un pacchetto rientra nel selettore del traffico locale del tunnel e se l'indirizzo IP di destinazione di un pacchetto rientra nel selettore del traffico remoto del tunnel. Alcuni dispositivi VPN non applicano questo requisito.
Cloud VPN supporta CIDR del selettore di traffico
0.0.0.0/0o::/0(qualsiasi indirizzo IP). Per determinare se anche il tuo gateway VPN peer lo fa, consulta la documentazione fornita con il gateway VPN peer. La creazione di un tunnel VPN basato su policy con entrambi i selettori di traffico impostati su0.0.0.0/0o::/0equivale funzionalmente alla creazione di una VPN basata su route.Leggi attentamente la sezione Più CIDR per selettore di traffico per scoprire come Cloud VPN implementa i protocolli IKEv1 e IKEv2.
Cloud VPN non consente la modifica dei selettori di traffico dopo la creazione di una VPN. Per modificare il selettore del traffico locale o remoto per un tunnel Cloud VPN, devi eliminare il tunnel e ricrearlo. Tuttavia, non devi eliminare il gateway Cloud VPN.
Se converti una rete VPC in modalità automatica in una rete VPC in modalità personalizzata, potresti dover eliminare e ricreare il tunnel Cloud VPN (ma non il gateway). Questo potrebbe verificarsi se aggiungi subnet personalizzate, rimuovi le subnet create automaticamente o modifichi gli intervalli IP secondari di una subnet. Evita di cambiare la modalità di una rete VPC che ha tunnel Cloud VPN esistenti. Per suggerimenti, consulta le considerazioni per le reti VPC in modalità automatica.
Per un comportamento della VPN coerente e prevedibile:
Rendi i selettori di traffico locale e remoto il più specifici possibile.
Imposta il selettore di traffico locale di Cloud VPN in modo che corrisponda al selettore di traffico remoto configurato per il tunnel corrispondente sul gateway VPN peer.
Imposta il selettore di traffico remoto Cloud VPN in modo che corrisponda al selettore di traffico locale configurato per il tunnel corrispondente sul gateway VPN on-premise.
Più CIDR per selettore di traffico
Quando crei un tunnel VPN classica basato su policy, se utilizzi IKEv2, puoi specificare più CIDR per selettore del traffico. Cloud VPN utilizza sempre una singola associazione di sicurezza (SA) secondaria, indipendentemente dalla versione di IKE.
La seguente tabella riassume il supporto di Cloud VPN per più CIDR per selettore di traffico nei tunnel VPN basati su policy.
| Versione IKE | Più CIDR per selettore di traffico |
|---|---|
| IKEv1 | No Il protocollo IKEv1 supporta un solo CIDR per SA figlio, come definito in RFC 2407 e RFC 2409. Poiché Cloud VPN richiede una singola SA secondaria per tunnel VPN, quando utilizzi IKEv1, puoi fornire un solo CIDR per il selettore del traffico locale e un solo CIDR per il selettore del traffico remoto. Cloud VPN non supporta la creazione di un tunnel VPN utilizzando IKEv1 con più SA secondarie, ognuna con un singolo CIDR. |
| IKEv2 | Sì, se sono soddisfatte le seguenti condizioni:
Una best practice consiste nell'utilizzare 30 o meno CIDR per selettore di traffico in modo da non creare un pacchetto di proposta IKE che superi l'MTU massima. |
Strategie di selezione del traffico
Prendi in considerazione le seguenti strategie se il gateway VPN on-premise crea più SA secondarie per tunnel VPN o se più CIDR per selettore del traffico farebbero superare i 1460 byte a una proposta IKE per IKEv2 (per i dettagli, vedi Opzioni di routing e selettori del traffico):
Utilizza il routing dinamico per il tunnel VPN. Se il gateway VPN peer supporta BGP, configura i selettori di traffico locali e remoti per il tunnel VPN in modo da consentire qualsiasi indirizzo IP. Utilizza
0.0.0.0/0solo per IPv4 o utilizza0.0.0.0/0,::/0per il traffico IPv4 e IPv6. Le route vengono scambiate automaticamente tra il gateway VPN peer e il router Cloud associato al tunnel Cloud VPN. Se puoi utilizzare il routing dinamico, valuta la VPN ad alta disponibilità.Utilizza selettori di traffico CIDR singoli e generici e routing statico dei tunnel:
Utilizza una VPN basata su route. Entrambi i selettori di traffico sono
0.0.0.0/0per definizione per le VPN basate su route. Puoi creare route più specifiche dei selettori di traffico.Utilizza il routing basato su criteri e configura i selettori di traffico locali e remoti in modo che siano il più ampi possibile. Per i tunnel Cloud VPN basati su policy, puoi creare route verso le reti on-premise nella tua rete VPC le cui destinazioni sono più specifiche dei blocchi CIDR specificati nei selettori del traffico remoto. Utilizza gcloud CLI per creare le route separatamente dai tunnel VPN seguendo i passaggi descritti in Creazione di una VPN classica mediante routing statico.
Utilizza il routing basato su criteri per creare più tunnel Cloud VPN in modo che ogni tunnel abbia un solo blocco CIDR per il selettore del traffico locale e un solo blocco CIDR per il selettore del traffico remoto. Configura il tunnel corrispondente on-premise in modo simile. Cloud VPN supporta più tunnel per gateway; tuttavia, l'utilizzo di più tunnel ha alcune implicazioni:
- Il gateway VPN peer deve offrire indirizzi IP esterni separati a cui ogni tunnel Cloud VPN può connettersi. I tunnel sullo stesso gateway VPN classica devono connettersi a indirizzi IP del gateway peer univoci. Il gateway VPN peer potrebbe anche richiedere che i suoi tunnel si connettano a indirizzi IP univoci. In alcune situazioni, devi creare un gateway Cloud VPN separato per ogni tunnel Cloud VPN.
- Quando utilizzi la console Google Cloud per creare tunnel Cloud VPN basati su route o su criteri, le route alla rete peer vengono create automaticamente oltre al tunnel. Se le route vengono create automaticamente per più tunnel VPN che utilizzano gli stessi selettori del traffico remoto, come nel caso della creazione di VPN basate su route, puoi avere più route nella rete VPC, tutte con destinazioni identiche ma hop successivi diversi. Ciò può portare a un comportamento imprevedibile o inatteso perché il traffico viene inviato a un tunnel VPN in base all'applicabilità e all'ordine delle route. Se non utilizzi il routing dinamico (BGP) dei tunnel, crea e rivedi le route statiche sia nella rete VPC sia nella rete peer.
Passaggi successivi
- Per scoprire i concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
- Per utilizzare scenari di alta disponibilità e alto throughput o più scenari di subnet, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.