סקירה כללית על Cloud VPN

בדף הזה מוסברים מושגים שקשורים ל-Cloud VPN. הגדרות של מונחים שמופיעים במאמרי העזרה של Cloud VPN מפורטות במאמר בנושא מונחי מפתח.

שירות Cloud VPN מרחיב באופן מאובטח את הרשת השכנה אל רשת הענן הווירטואלי הפרטי (VPC) באמצעות חיבור IPsec VPN. חיבור ה-VPN מצפין את התנועה שעוברת בין הרשתות, כאשר שער VPN אחד מטפל בהצפנה והשני מטפל בפענוח. התהליך הזה מגן על הנתונים שלכם במהלך השידור. אפשר גם לחבר שתי רשתות VPC באמצעות חיבור של שני מופעי Cloud VPN. אי אפשר להשתמש ב-Cloud VPN כדי לנתב תעבורה לאינטרנט הציבורי. הוא מיועד לתקשורת מאובטחת בין רשתות פרטיות.

בחירת פתרון רשת היברידית

כדי להחליט אם להשתמש ב-Cloud VPN, ב-Dedicated Interconnect, ב-Partner Interconnect או ב-Cloud Router כחיבור לרשת היברידית ל- Google Cloud, אפשר לעיין במאמר בחירת מוצר לקישוריות לרשת.

נסו בעצמכם

אנחנו ממליצים למשתמשים חדשים ב-Google Cloud ליצור חשבון כדי שיוכלו להעריך את הביצועים של Cloud VPN בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300 $להרצה, לבדיקה ולפריסה של עומסי העבודה.

להתנסות ב-Cloud VPN בחינם
כדי לשפר את האבטחה של חיבור Dedicated Interconnect או Partner Interconnect, אפשר להשתמש ב- HA VPN over Cloud Interconnect. הפתרון הזה יוצר מנהרות HA VPN מוצפנות על גבי קובצי ה-VLAN המצורפים.

סוגי Cloud VPN

‫Google Cloud Cloud VPN מציע שני סוגים של שערי VPN:

בטבלה הבאה מוצגת השוואה בין התכונות של HA VPN לבין התכונות של Classic VPN.

תכונה HA VPN VPN קלאסי
SLA רמת זמינות השירות ברוב הטופולוגיות היא 99.99%, עם כמה חריגים. מידע נוסף זמין במאמר בנושא טופולוגיות של HA VPN. הסכם רמת השירות (SLA) הוא 99.9%.
יצירה של כתובות IP חיצוניות וכללי העברה כתובות IP חיצוניות שנוצרו ממאגר, ללא צורך בכללי העברה. צריך ליצור כתובות IP חיצוניות וכללי העברה.
אפשרויות הניתוב הנתמכות רק ניתוב דינמי (BGP). רק ניתוב סטטי (מבוסס-מדיניות, מבוסס-נתיב).
שתי מנהרות משער Cloud VPN אחד לאותו שער שכן נתמך לא נתמך
חיבור שער Cloud VPN למכונות וירטואליות ב-Compute Engine עם כתובות IP חיצוניות. טופולוגיה נתמכת ומומלצת. מידע נוסף זמין במאמר בנושא טופולוגיות של HA VPN. יש תמיכה.
משאבי API נקרא משאב vpn-gateway. נקרא משאב target-vpn-gateway.
תנועת IPv6 תמיכה ב-dual stack‏ (IPv4 ו-IPv6) ובהגדרה של IPv6 בלבד לא נתמך

מידע על מעבר מ-VPN קלאסי ל-HA VPN זמין במאמר מעבר מ-VPN קלאסי ל-HA VPN.

HA VPN

שער HA VPN הוא פתרון שמספק רשת Cloud VPN בזמינות גבוהה (HA), ומאפשר לחבר באופן מאובטח את הרשת המקומית לרשת ה-VPC דרך חיבור IPsec VPN. בהתאם לטופולוגיה ולתצורה, רמת זמינות השירות ב-HA VPN עומדת על 99.99% או 99.9%.

כשיוצרים שער HA VPN,מערכת Google Cloud בוחרת באופן אוטומטי שתי כתובות IP חיצוניות, אחת לכל אחד מהממשקים שלו. כל כתובת IP נבחרת באופן אוטומטי ממאגר כתובות ייחודי כדי לתמוך בזמינות גבוהה. כל אחד מהממשקים של שער HA VPN תומך בכמה מנהרות. אפשר גם ליצור כמה שערי HA VPN. כשמוחקים את שער HA VPN, Google Cloud כתובות ה-IP משוחררות לשימוש חוזר. אפשר להגדיר שער HA VPN עם ממשק פעיל אחד וכתובת IP חיצונית אחת, אבל ההגדרה הזו לא מספקת הסכם רמת שירות (SLA) לגבי זמינות.

אחת מהאפשרויות לשימוש ב-HA VPN היא שימוש ב- HA VPN over Cloud Interconnect. עם HA VPN over Cloud Interconnect, אתם מקבלים את האבטחה של הצפנת IPsec מ-Cloud VPN, בנוסף לקיבולת המוגדלת של Cloud Interconnect. בנוסף, מכיוון שאתם משתמשים ב-Cloud Interconnect, התנועה ברשת שלכם אף פעם לא עוברת דרך האינטרנט הציבורי. אם אתם משתמשים ב-Partner Interconnect, אתם צריכים להוסיף הצפנת IPsec לתעבורה של Cloud Interconnect כדי לעמוד בדרישות של אבטחת נתונים ותאימות כשמתחברים לספקי צד שלישי. שער HA VPN משתמש במשאב שער VPN חיצוני ב- Google Cloud כדי לספק מידע ל- Google Cloud על שער או שערים של VPN עמית.

במסמכי ה-API ובפקודות gcloud, שערי HA VPN נקראים שערי VPN ולא שערי VPN ליעד. לא צריך ליצור כללי העברה לשערי HA VPN.

‫ HA VPN יכול לספק הסכם רמת שירות (SLA) עם זמינות של 99.99% או 99.9%, בהתאם לטופולוגיות או לתרחישי ההגדרה. מידע נוסף על טופולוגיות של HA VPN ועל הסכמי רמת השירות (SLA) הנתמכים זמין במאמר טופולוגיות של HA VPN.

כשמגדירים HA VPN, חשוב להביא בחשבון את ההנחיות הבאות:

  • כשמחברים שער HA VPN לשער HA VPN אחר, השערים צריכים להשתמש באותם סוגים של מחסנית IP. לדוגמה, אם יוצרים שער HA VPN עם סוג הערימה IPV4_IPV6, גם שער ה-HA VPN השני חייב להיות מוגדר ל-IPV4_IPV6.

  • הגדרת שתי מנהרות VPN מנקודת המבט של שער Cloud VPN:

    • אם יש לכם שני מכשירים מקומיים בשער VPN, כל אחת מהמנהרות בכל ממשק בשער ה-Cloud VPN צריכה להיות מחוברת לשער שכן משל עצמה.
    • אם יש לכם מכשיר אחד בשער VPN שכן עם שני ממשקים, כל אחת מהמנהרות בכל ממשק בשער ה-Cloud VPN צריכה להיות מחוברת לממשק משל עצמה בשער השכן.
    • אם יש לכם מכשיר שער VPN שכן יחיד עם ממשק יחיד, שתי המנהרות מכל ממשק בשער ה-Cloud VPN חייבות להיות מחוברות לאותו הממשק בשער השכן.

  • צריך להגדיר במכשיר VPN עמית יתירות מספקת. ספק המכשיר מציין את הפרטים של הגדרה עם יתירות מספקת, שעשויה לכלול כמה מקרים של חומרה. לפרטים, ראו את מאמרי העזרה של הספק עבור מכשיר ה-VPN של קישור בין רשתות שכנות (peering).

    אם נדרשים שני מכשירי עמיתים, כל מכשיר עמיתים צריך להיות מחובר לממשק שונה של שער HA VPN. אם הצד השכן הוא ספק שירותי ענן אחר כמו AWS, צריך להגדיר את חיבורי ה-VPN עם יתירות מספקת גם בצד של AWS.

  • מוודאים ש-Cloud Router מפרסם את אותם קידומות בכל הקישורים, יכול להיות עם עדיפויות שונות.

  • מכשיר שער ה-VPN של העמית צריך לתמוך בניתוח דינמי של פרוטוקול Border Gateway Protocol ‏(BGP).

    בתרשים הבא מוצג הרעיון של HA VPN, עם טופולוגיה שכוללת שני ממשקים של שער HA VPN שמחוברים לשני שערי VPN של עמיתים. למידע נוסף על טופולוגיות של HA VPN (תרחישי הגדרה), אפשר לעיין במאמר בנושא טופולוגיות של HA VPN.

    שער HA VPN לשני שערי VPN של עמיתים.
    שער HA VPN לשני שערי VPN של עמיתים (לחצו להגדלה).

VPN קלאסי

בניגוד ל-HA VPN, לשערי Classic VPN יש ממשק יחיד, כתובת IP חיצונית יחידה ותמיכה במנהרות שמשתמשות בניתוב סטטי (מבוסס מדיניות או מבוסס נתיב).

רמת זמינות השירות בשערי VPN קלאסיים עומדת על 99.9%.

שערי VPN קלאסיים לא תומכים ב-IPv6.

ב דף בנושא טופולוגיות של VPN קלאסי מפורטות טופולוגיות נתמכות של VPN קלאסי.

רשתות VPN קלאסיות נקראות שערי VPN ליעד במסמכי ה-API וב-Google Cloud CLI.

מפרטים

המאפיינים של Cloud VPN הם:

  • כל שער Cloud VPN הוא משאב אזורי. כשיוצרים שער Cloud VPN, אפשר לבחור אזורGoogle Cloud ספציפי למיקום שלו. אי אפשר לבחור תחום, רק אזור.

  • שירות Cloud VPN תומך רק בקישוריות IPsec VPN מאתר לאתר, בכפוף לדרישות שמפורטות בקטע הזה. היא לא תומכת בתרחישים של לקוח לשער. במילים אחרות, Cloud VPN לא תומך בתרחישי שימוש שבהם מחשבי לקוח צריכים להתקשר ל-VPN באמצעות תוכנת VPN ללקוח.

    ‫Cloud VPN תומך רק ב-IPsec. אין תמיכה בטכנולוגיות VPN אחרות (כמו SSL VPN).

  • אפשר להשתמש ב-Cloud VPN עם רשתות VPC ועם רשתות מדור קודם. ברשתות VPC, מומלץ להשתמש ברשתות VPC במצב מותאם אישית כדי שתהיה לכם שליטה מלאה בטווחי כתובות ה-IP שמשמשים את רשתות המשנה ברשת.

    • שערי VPN קלאסי ו-HA VPN משתמשים בכתובות IPv4 חיצוניות (ניתנות לניתוב באינטרנט). רק תנועה מסוג ESP,‏ UDP 500 ו-UDP 4500 מורשית לכתובות האלה. זה רלוונטי לכתובות Cloud VPN שהגדרתם עבור VPN קלאסי או לכתובות IP שהוקצו אוטומטית ל-HA VPN.

    • אם יש חפיפה בין טווחי כתובות ה-IP של תת-רשתות מקומיות לבין כתובות ה-IP שמשמשות תת-רשתות ברשת ה-VPC, כדאי לעיין במאמר בנושא סדר המסלולים כדי להבין איך נפתרים קונפליקטים של ניתוב.

  • תעבורת הנתונים הבאה ב-Cloud VPN נשארת בתוךGoogle Cloud הרשת:

    • בין שני שערי HA VPN
    • בין שני שערי VPN קלאסיים
    • בין שער Classic VPN או HA VPN לבין כתובת ה-IP החיצונית של מכונת VM ב-Compute Engine שפועלת כשער VPN

  • אפשר להשתמש ב-Cloud VPN עם גישה פרטית ל-Google למארחים מקומיים. מידע נוסף זמין במאמר אפשרויות גישה פרטיות לשירותים.

  • כל שער Cloud VPN צריך להיות מחובר לשער Cloud VPN אחר או לשער VPN שכן.

  • לשער ה-VPN של העמית צריך להיות כתובת IPv4 חיצונית סטטית (ניתנת לניתוב באינטרנט). צריך את כתובת ה-IP הזו כדי להגדיר Cloud VPN.

    • אם שער ה-VPN השכן נמצא מאחורי כלל חומת אש, צריך להגדיר את כלל חומת האש כך שיעביר אליו תעבורת נתונים של פרוטוקול ESP‏ (IPsec) ו-IKE‏ (UDP 500 ו-UDP 4500). אם כלל חומת האש מספק תרגום כתובות רשת (NAT), כדאי לעיין במאמר בנושא הצפנת UDP ו-NAT-T.

  • כדי להשתמש ב-Cloud VPN, צריך להגדיר את שער ה-VPN של הרשת השכנה כך שיאפשר פיצול מראש. צריך לפצל את המנות לפני שהן עוברות אנקפסולציה.

  • ‫Cloud VPN משתמש בזיהוי של שידור חוזר עם חלון של 4,096 חבילות. אי אפשר להשבית את האפשרות הזו.

  • ‫Cloud VPN תומך בתעבורת נתונים של generic routing encapsulation (GRE). התמיכה ב-GRE מאפשרת לכם להפסיק את תעבורת הנתונים של GRE במכונה וירטואלית מהאינטרנט (כתובת IP חיצונית) ומ-Cloud VPN או מ-Cloud Interconnect (כתובת IP פנימית). אחר כך אפשר להעביר את תעבורת הנתונים שבוטלה בה את פעולת ה-decapsulation ליעד שאפשר להגיע אליו. פרוטוקול GRE מאפשר לכם להשתמש בשירותים כמו Secure Access Service Edge‏ (SASE) ו-SD-WAN. צריך ליצור כלל של חומת אש כדי לאפשר תעבורת GRE.

  • מנהרות HA VPN תומכות בהחלפת תנועת IPv6, אבל מנהרות VPN קלאסיות לא.

רוחב הפס של הרשת

כל מנהרת Cloud VPN תומכת בעד 250,000 מנות בשנייה עבור סכום התעבורה הנכנסת והיוצאת. בהתאם לגודל הממוצע של החבילות במנהרה, 250,000 חבילות לשנייה שוות לרוחב פס של 1 Gbps עד 3 Gbps.

המדדים שקשורים למגבלה הזו הם Sent bytes ו-Received bytes, שמתוארים במאמר הצגת יומנים ומדדים. חשוב לזכור שיחידת המידה של המדדים היא בייט, ואילו המגבלה של 3Gbps מתייחסת לביטים לשנייה. כשממירים את המגבלה לבייטים, היא 375 מגה-בייט לשנייה (MBps). כשמודדים את השימוש מול המגבלה, צריך להשתמש בסכום של Sent bytes ושל Received bytes בהשוואה למגבלה שהומרה של 375MBps.

מידע על יצירת מדיניות התראות זמין במאמר הגדרת התראות לגבי רוחב פס של מנהרת VPN.

גורמים שמשפיעים על רוחב הפס

רוחב הפס מושפע ממספר גורמים, כולל:

  • חיבור הרשת בין שער Cloud VPN לבין שער הרשת השכנה:

    • רוחב הפס של הרשת בין שני השערים. אם יצרתם קשר Direct Peering עם Google, קצב העברת הנתונים יהיה גבוה יותר מאשר אם תעבורת ה-VPN שלכם תישלח דרך האינטרנט הציבורי.

    • זמן הלוך ושוב (RTT) ואובדן חבילות. זמני RTT גבוהים או שיעורי אובדן חבילות גבוהים מפחיתים מאוד את הביצועים של TCP.

  • היכולות של שער ה-VPN של העמית. מידע נוסף זמין במדריך למכשיר.

  • גודל המנות.Cloud VPN משתמש בפרוטוקול IPsec במצב מנהרה, מבצע אנקפסולציה ומצפין חבילות IP שלמות ב-Encapsulating Security Payload‏ (ESP), ואז מאחסן את נתוני ה-ESP בחבילת IP שנייה וחיצונית. לכן, יש MTU של שער לחבילות שעברו אנקפסולציה של IPsec וMTU של מטען ייעודי לחבילות לפני ואחרי אנקפסולציה של IPsec. פרטים נוספים זמינים במאמר בנושא שיקולים לגבי MTU.

  • שיעור החבילות. לגבי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress), קצב החבילות המקסימלי המומלץ לכל מנהרת Cloud VPN הוא 250,000 חבילות לשנייה (pps). אם אתם צריכים לשלוח חבילות בקצב גבוה יותר, אתם צריכים ליצור עוד מנהרות VPN.

כשמודדים את רוחב הפס של TCP במנהרת VPN, צריך למדוד יותר מזרם TCP אחד בו-זמנית. אם אתם משתמשים בiperf כלי, אתם יכולים להשתמש בפרמטר -P כדי לציין את מספר הסטרימינגים בו-זמנית.

תמיכה ב-IPv6

‫Cloud VPN תומך ב-IPv6 ב-HA VPN, אבל לא ב-VPN קלאסי.

כדי לתמוך בתנועת IPv6 במנהרות HA VPN, צריך לבצע את הפעולות הבאות:

בטבלה הבאה מפורטות כתובות ה-IP החיצוניות שמותרות לכל סוג של מחסנית של שער HA VPN.

סוג הערימה כתובות IP חיצוניות נתמכות של שערים
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, ‏ IPv6
IPV6_ONLY IPv6

מגבלות שקשורות למדיניות הארגון לגבי IPv6

כדי להשבית את היצירה של כל המשאבים ההיברידיים של IPv6 בפרויקט, צריך להגדיר את מדיניות הארגון הבאה כ-True:

  • constraints/compute.disableHybridCloudIpv6

ב-HA VPN, מגבלת מדיניות הארגון הזו מונעת את היצירה של שערי HA VPN עם תמיכה כפולה בשני הפרוטוקולים ושערי HA VPN עם תמיכה רק ב-IPv6 בפרויקט. המדיניות הזו גם מונעת יצירה של סשנים של IPv6 BGP ושל צירופים ל-VLAN של Dedicated Interconnect עם תמיכה ב-IPv4 ו-IPv6.

סוגי מחסנית וסשנים של BGP

שערי HA VPN תומכים בסוגים שונים של מחסניות. סוג ה-stack של שער HA VPN קובע איזו גרסה של תעבורת IP מותרת במנהרות HA VPN.

כשיוצרים מנהרות HA VPN לשער HA VPN עם תמיכה כפולה בפרוטוקולים, אפשר ליצור סשן BGP של IPv6 להחלפת מסלולים של IPv6, או סשן BGP של IPv4 שמחליף מסלולים של IPv6 באמצעות BGP מרובה פרוטוקולים (MP-BGP).

בטבלה הבאה מפורטים סוגי סשנים של BGP שנתמכים בכל סוג של מחסנית.

סוג הערימה סשנים נתמכים של BGP כתובות IP חיצוניות של שערים
מערך יחיד (IPv4 בלבד) ‫IPv4 BGP, ללא MP-BGP IPv4
סטאק יחיד (IPv6 בלבד) ‫IPv6 BGP, no MP-BGP IPv6
ערימה כפולה (IPv4 ו-IPv6)
  • ‫IPv4 BGP, עם או בלי MP-BGP
  • ‫IPv6 BGP, עם או בלי MP-BGP
  • גם IPv4 BGP וגם IPv6 BGP, ללא MP-BGP
 ‏IPv4 ו-‎IPv6

מידע נוסף על סשנים של BGP זמין במאמר יצירת סשנים של BGP במאמרי העזרה של Cloud Router.

שערי IPv4 בלבד עם ערימה יחידה

כברירת מחדל, לשער HA VPN מוקצה סוג הערימה IPv4-only, ומוקצות לו באופן אוטומטי שתי כתובות IPv4 חיצוניות.

שער HA VPN עם IPv4 בלבד יכול לתמוך רק בתעבורת IPv4.

כדי ליצור שערים של HA VPN עם IPv4 בלבד וסשנים של BGP עם IPv4, פועלים לפי ההוראות הבאות.

שערי IPv6 בלבד עם ערימה יחידה

שער HA VPN עם IPv6 בלבד תומך רק בתנועה של IPv6. כברירת מחדל, לשער HA VPN עם IPv6 בלבד מוקצות שתי כתובות IPv6 חיצוניות.

כדי ליצור שערים של HA VPN עם IPv6 בלבד וסשנים של BGP עם IPv6, פועלים לפי ההוראות הבאות.

שערי IPv4 ו-IPv6 עם תמיכה כפולה

שער HA VPN שהוגדר עם סוג הערימה dual-stack (IPv4 ו-IPv6) יכול לתמוך בתנועה של IPv4 ו-IPv6.

בשער HA VPN עם תמיכה ב-dual-stack, אפשר להגדיר את Cloud Router עם סשן BGP של IPv4, סשן BGP של IPv6 או שניהם. אם מגדירים רק סשן BGP אחד, אפשר להפעיל MP-BGP כדי לאפשר לסשן הזה להחליף מסלולים של IPv4 ו-IPv6. אם יוצרים סשן BGP מסוג IPv4 וסשן BGP מסוג IPv6, אי אפשר להפעיל MP-BGP באף אחד מהסשנים.

כדי להחליף מסלולי IPv6 בסשן BGP של IPv4 באמצעות MP-BGP, צריך להגדיר את הסשן הזה עם כתובות IPv6 של הניתור הבא. באופן דומה, כדי להחליף מסלולי IPv4 בסשן BGP של IPv6 באמצעות MP-BGP, צריך להגדיר את הסשן הזה עם כתובות IPv4 של ה-next hop. אפשר להגדיר את כתובות הניתוב הבאות באופן ידני או אוטומטי.

אם מגדירים ידנית את כתובות הניתוב הבא, צריך לבחור אותן מתוך טווח כתובות ה-IPv6 הגלובליות מסוג Unicast (GUA) שבבעלות Google‏ 2600:2d00:0:2::/63, או מתוך טווח כתובות ה-IPv4 המקומיות מסוג Link-local‏ 169.254.0.0./16. טווחי כתובות ה-IP האלה מוקצים מראש על ידי Google. כתובות ה-IP של הניתור הבא שבוחרים צריכות להיות ייחודיות בכל הנתבים של Cloud ברשת ה-VPC.

אם בוחרים בהגדרה אוטומטית, Google Cloud המערכת בוחרת בשבילכם את כתובות ה-IP של הניתור הבא.

כדי ליצור שערים של HA VPN עם תמיכה ב-IPv4 ו-IPv6 וכל סוגי הסשנים הנתמכים של BGP, צריך לפעול לפי ההוראות הבאות.

תמיכה ב-IPsec וב-IKE

‫Cloud VPN תומך ב-IKEv1 וב-IKEv2 באמצעות מפתח ששותף מראש של IKE (סוד משותף) והצפנות של IKE. ‫Cloud VPN תומך רק במפתח משותף מראש לאימות. כשיוצרים את מנהרת Cloud VPN, מציינים מפתח משותף מראש. כשיוצרים את המנהרה בשער העמית, מציינים את אותו מפתח ששותף מראש. למידע על יצירת מפתח חזק ששותף מראש, ראו יצירת מפתח חזק ששותף מראש.

‫Cloud VPN תומך ב-ESP במצב מנהור עם אימות, אבל לא תומך ב-AH או ב-ESP במצב העברה.

כדי להפעיל תנועה של IPv6 ב-HA VPN, צריך להשתמש ב-IKEv2.

ב-Cloud VPN לא מתבצעת סינון של מנות אימות נכנסות שקשורות למדיניות. מנות יוצאות מסוננות על סמך טווח כתובות ה-IP שהוגדר בשער Cloud VPN.

הגדרת הצפנות במנהרת Cloud VPN

באמצעות Cloud VPN, אפשר להגדיר הצפנות שיעזרו לכם להתאים את חיבורי ה-VPN לדרישות התאימות והאבטחה.

אתם יכולים להגדיר אפשרויות הצפנה כשאתם יוצרים מנהרות Cloud VPN. עם זאת, אחרי שמגדירים את האפשרויות, אי אפשר לשנות אותן בהמשך. צריך למחוק את המנהרה וליצור אותה מחדש. אפשר לבחור צופן רק ב-IKEv2 ולא ב-IKEv1.

אפשר להגדיר הצפנה גם למשא ומתן על IKE SA (שלב 1) וגם למשא ומתן על IPsec SA (שלב 2). אם לא מגדירים אפשרות הצפנה לשלב מסוים, Cloud VPN משתמש בהצפנה שמוגדרת כברירת מחדל לאותו שלב.

צריך להגדיר צפנים מתוך רשימת הצפנים הנתמכים שעומדים בקריטריונים הבאים:

  • אם מציינים צפנים של AEAD להצפנה, אי אפשר לציין צפנים נפרדים לשמירה על שלמות הנתונים כי Cloud VPN משתמש באותם צפנים להצפנה כדי לטפל בשלמות הנתונים.

  • אם מציינים צפנים שאינם AEAD להצפנה, אפשר גם לציין צפנים לשמירה על תקינות הנתונים. אם לא מציינים צפנים שלמות, Cloud VPN משתמש באפשרויות הצפנה שמוגדרות כברירת מחדל לשלמות.

  • אם מציינים שילוב של צפנים מסוג AEAD וצפנים שלא מסוג AEAD להצפנה, צריך לציין את צפני ה-AEAD לפני הצפנים שלא מסוג AEAD. ‫Cloud VPN משתמש באותם צפנים להצפנה כדי לטפל בשלמות של צפני AEAD.

    עבור הצפנות שאינן AEAD, אפשר לציין את הצפנות שלמות הנתונים. אם לא מציינים צפנים שלמות, Cloud VPN משתמש באפשרויות ברירת המחדל של הצפנים לשלמות.

מידע נוסף על הצפנות הנתמכות, סדר הצפנות שמוגדר כברירת מחדל ופרמטרים של הגדרות שנתמכים על ידי Cloud VPN זמין במאמר צפנות IKE נתמכות.

כדי להגדיר אפשרויות הצפנה לשערי Cloud VPN שונים, צריך לבצע את הפעולות הבאות:

  • כדי להגדיר אפשרויות הצפנה ל-VPN קלאסי באמצעות ניתוב סטטי, אפשר לעיין במאמר בנושא יצירת שער ומנהרה.

  • כדי להגדיר אפשרויות הצפנה ל-HA VPN לשער VPN עמית, אפשר לעיין במאמר בנושא יצירת מנהרות VPN.

IKE וזיהוי של עמיתים לא פעילים

‫Cloud VPN תומך בזיהוי עמיתים לא פעילים (DPD), בהתאם לקטע DPD Protocol של RFC 3706.

כדי לוודא שהצד השני פעיל, Cloud VPN עשוי לשלוח חבילות DPD בכל שלב, בהתאם ל-RFC 3706. אם בקשות ה-DPD לא מוחזרות אחרי כמה ניסיונות חוזרים, Cloud VPN מזהה שמנהרת ה-VPN לא תקינה. מנהרת ה-VPN הלא תקינה גורמת להסרת המסלולים שמשתמשים במנהרה הזו כנקודת קפיצה הבאה (מסלולי BGP או מסלולים סטטיים), ומפעילה מעבר לגיבוי (failover) של תנועת המכונה הווירטואלית למנהרות VPN אחרות תקינות.

אי אפשר להגדיר את מרווח הזמן של DPD ב-Cloud VPN.

אנקפסולציה של UDP ו-NAT-T

מידע על הגדרת מכשיר עמית לתמיכה ב-NAT-Traversal‏ (NAT-T) באמצעות Cloud VPN זמין במאמר UDP encapsulation (הצפנת נתונים במעבר ב-UDP) במאמר בנושא סקירה כללית מתקדמת.

‫Cloud VPN כרשת להעברת נתונים

לפני שמשתמשים ב-Cloud VPN, חשוב לעיין בקפידה בקטע 2 של התנאים וההגבלות הכלליים של השירות ל- Google Cloud.

באמצעות Network Connectivity Center, אפשר להשתמש במנהרות HA VPN כדי לחבר בין רשתות מקומיות ולהעביר ביניהן תנועה כרשת להעברת נתונים. כדי לחבר את הרשתות, צריך לצרף זוג מנהרות לכל מיקום מקומי ב-NCC. אחר כך מחברים כל רשת מסוג Spoke לרשת מסוג Hub של NCC.

מידע נוסף על NCC זמין בסקירה הכללית על NCC.

תמיכה בהעברת כתובות IP משלכם (BYOIP)

מידע על שימוש בכתובות BYOIP עם Cloud VPN זמין במאמר תמיכה בכתובות BYOIP.

הגבלת כתובות IP של עמיתים דרך מנהרת Cloud VPN

אם יש לכם הרשאת אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin), אתם יכולים ליצור אילוץ מדיניות שמגביל את כתובות ה-IP שהמשתמשים יכולים לציין עבור שערים של VPN עמית לעמית.

ההגבלה חלה על כל מנהרות Cloud VPN – גם VPN קלאסי וגם HA VPN – בפרויקט, בתיקייה או בארגון ספציפיים.

הוראות להגבלת כתובות IP מפורטות במאמר הגבלת כתובות IP עבור שערים של רשתות VPN עמיתות.

הדמיה ומעקב של חיבורי Cloud VPN

הכלי 'טופולוגיה של הרשת' הוא כלי להמחשה שמציג את הטופולוגיה של רשתות ה-VPC, את הקישוריות ההיברידית לרשתות המקומיות וממנה ואת המדדים שקשורים לכך. אתם יכולים לראות את שערי Cloud VPN ואת מנהרות ה-VPN כישויות בתצוגה הטופולוגיה של הרשת.

ישות בסיסית היא הרמה הנמוכה ביותר בהיררכיה מסוימת, והיא מייצגת משאב שיכול לתקשר ישירות עם משאבים אחרים ברשת. הכלי 'טופולוגיה של הרשת' מצליב בין ישויות בסיסיות לישויות היררכיות שאפשר להרחיב או לכווץ. כשמציגים לראשונה גרף של הטופולוגיה של הרשת, כל ישויות הבסיס מצורפות להיררכיה ברמה העליונה.

לדוגמה, הטופולוגיה של הרשת צוברת מנהרות VPN בחיבור של שער ה-VPN. כדי לראות את ההיררכיה, מרחיבים או מכווצים את הסמלים של שער ה-VPN.

מידע נוסף זמין במאמר בנושא סקירה כללית על הטופולוגיה של הרשת.

תחזוקה וזמינות

מתבצעת תחזוקה תקופתית של Cloud VPN, שבמהלכה מנהרות Cloud VPN נשארות אונליין והתנועה ברשת לא מושפעת. בתרחישים נדירים, יכול להיות שהמנהרות יתנתקו לזמן קצר, מה שעלול לגרום לירידה רגעית בתעבורת הנתונים ברשת. אחרי שהתחזוקה מסתיימת, מנהרות Cloud VPN מוקמים מחדש באופן אוטומטי. אנחנו חוקרים את האירועים האלה כדי ליישם פעולות מתקנות ולשפר את נהלי התחזוקה העתידיים.

תחזוקה של Cloud VPN היא משימה תפעולית רגילה שיכולה להתבצע בכל שלב ללא הודעה מוקדמת. תקופות התחזוקה מתוכננות להיות קצרות מספיק כדי שלא תהיה השפעה על הסכם רמת השירות של Cloud VPN.

‫HA VPN היא השיטה המומלצת להגדרת VPN עם זמינות גבוהה. אפשרויות ההגדרה מפורטות בדף בנושא טופולוגיות של HA VPN. אם אתם משתמשים ב-Classic VPN לאפשרויות של יתירות ושל תפוקה גבוהה, תוכלו לעיין בטופולוגיות של Classic VPN.

שיטות מומלצות

כדי להגדיר את Cloud VPN בצורה יעילה, כדאי להשתמש בשיטות המומלצות האלה.

המאמרים הבאים