Informações gerais sobre o Cloud VPN

Nesta página, você verá conceitos relacionados ao Cloud VPN. Para ver definições de termos usados na documentação do Cloud VPN, consulte Termos importantes.

O Cloud VPN conecta com segurança uma rede de peering a uma rede de nuvem privada virtual (VPC) usando uma conexão IPsec VPN. A conexão VPN criptografa o tráfego transmitido entre as redes. Um gateway de VPN processa criptografia e o outro a descriptografia. Essa ação protege os dados durante a transmissão. Também é possível conectar duas redes VPC conectando duas instâncias do Cloud VPN. Não é possível usar o Cloud VPN para rotear o tráfego para a Internet pública. Ele foi projetado para uma comunicação segura entre redes privadas.

Escolher uma solução de rede híbrida

Para escolher entre Cloud VPN, Interconexão dedicada, Interconexão por parceiro ou Cloud Router como sua conexão de rede híbrida com Google Cloud, consulte Como escolher um produto de conectividade de rede.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud VPN em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Teste o Cloud VPN sem custos financeiros
Para melhorar a segurança da sua conexão de Interconexão dedicada ou por parceiro, use a VPN de alta disponibilidade no Cloud Interconnect. Esta solução estabelece túneis de VPN de alta disponibilidade criptografados sobre os anexos da VLAN.

Tipos de Cloud VPN

OGoogle Cloud oferece dois tipos de gateways do Cloud VPN:

A tabela a seguir compara os recursos da VPN de alta disponibilidade com os recursos da VPN clássica.

Recurso VPN de alta disponibilidade VPN clássica
SLA Fornece SLA de 99,99% para a maioria das topologias, com algumas exceções. Para mais informações, consulte Topologias de VPN de alta disponibilidade. Fornece um SLA de 99,9%.
Criação de endereços IP externos e regras de encaminhamento Endereços IP externos criados a partir de um pool. nenhuma regra de encaminhamento necessária. É preciso criar endereços IP externos e regras de encaminhamento.
Opções de roteamento compatíveis Somente roteamento dinâmico (BGP) Apenas roteamento estático (com base em política e rota).
Dois túneis de um gateway da VPN do Cloud para o mesmo gateway de peering Compatível Sem suporte
Conectar um gateway do Cloud VPN às VMs do Compute Engine com endereços IP externos. Topologia compatível e recomendada. Para mais informações, consulte Topologias de VPN de alta disponibilidade. Compatível.
Recursos de API Conhecido como o recurso vpn-gateway. Conhecido como o recurso target-vpn-gateway.
Tráfego IPv6 Oferece suporte a pilha dupla (IPv4 e IPv6) e configuração somente IPv6 Sem suporte

Para informações sobre como migrar da VPN clássica para a VPN de alta disponibilidade, consulte Migrar da VPN clássica para a VPN de alta disponibilidade.

VPN de alta disponibilidade

A VPN de alta disponibilidade é uma solução do Cloud VPN de alta disponibilidade que permite conectar sua rede local à rede VPC com segurança por meio de uma conexão VPN IPsec. Com base na topologia e na configuração, a VPN de alta disponibilidade pode fornecer um SLA de disponibilidade de serviço de 99,99% ou 99,9%.

Quando você cria um gateway de VPN de alta disponibilidade,o Google Cloud escolhe automaticamente dois endereços IP externo, um para cada uma das interfaces. Cada endereço IP é escolhido automaticamente de um pool de endereços exclusivo para oferecer alta disponibilidade. Cada uma das interfaces de gateway da VPN de alta disponibilidade é compatível com vários túneis. Também é possível criar vários gateways de VPN de alta disponibilidade. Quando você exclui o gateway da VPN de alta disponibilidade,o Google Cloud libera os endereços IP para reutilização. É possível configurar um gateway de VPN de alta disponibilidade com apenas uma interface ativa e um endereço IP externo. No entanto, essa configuração não fornece um SLA de disponibilidade.

Uma opção para usar a VPN de alta disponibilidade é implantar a VPN de alta disponibilidade pelo Cloud Interconnect. Com a VPN de alta disponibilidade pelo Cloud Interconnect, você tem a segurança da criptografia IPsec do Cloud VPN, além da maior capacidade do Cloud Interconnect. Além disso, como você está usando o Cloud Interconnect, seu tráfego de rede nunca passa pela Internet pública. Se você usa a Interconexão por parceiro, adicione a criptografia IPsec ao tráfego do Cloud Interconnect para atender aos requisitos de segurança e conformidade de dados ao se conectar a provedores terceirizados. A VPN de alta disponibilidade usa um recurso de gateway de VPN externo em Google Cloud para fornecer informações a Google Cloud sobre o gateway ou gateways de VPN de peering.

Na documentação da API e nos comandos gcloud, os gateways da VPN de alta disponibilidade são chamados de gateways da VPN em vez de gateways da VPN de destino. Você não precisa criar regras de encaminhamento para gateways de VPN de alta disponibilidade.

A VPN de alta disponibilidade pode fornecer um SLA de disponibilidade de 99,99% ou 99,9%, dependendo das topologias ou dos cenários de configuração. Para mais informações sobre topologias de VPN de alta disponibilidade e SLAs com suporte, consulte Topologias de VPN de alta disponibilidade.

Ao configurar a VPN de alta disponibilidade, considere as seguintes diretrizes:

  • Quando você conecta um gateway de VPN de alta disponibilidade a outro, os gateways precisam usar tipos de pilha de IP idênticos. Por exemplo, se você criar um gateway de VPN de alta disponibilidade com o tipo de pilha de IPV4_IPV6, o outro gateway de VPN de alta disponibilidade também precisará ser definido como IPV4_IPV6.

  • Configure dois túneis de VPN a partir da perspectiva do gateway da VPN do Cloud:

    • Se você tiver dois dispositivos de gateway de VPN de peering, será necessário que os túneis de cada interface no gateway de VPN do Cloud estejam conectados ao próprio gateway de peering.
    • Se você tiver um único dispositivo de gateway de VPN de peering com duas interfaces, será necessário que os túneis de cada interface do gateway de VPN do Cloud estejam conectados à própria interface no gateway de peering.
    • Se você tiver um único dispositivo de gateway de VPN de peering com uma única interface, será necessário que ambos os túneis de cada interface no gateway de VPN do Cloud estejam conectados à mesma interface no gateway de peering.

  • Um dispositivo de VPN de peering deve ser configurado com a redundância adequada. O fornecedor do dispositivo especifica os detalhes de uma configuração adequadamente redundante, o que pode incluir várias instâncias de hardware. Para detalhes, consulte a documentação do fornecedor sobre o dispositivo de VPN de peering.

    Se dois dispositivos de peering forem necessários, será preciso que cada um deles esteja conectado a uma interface de gateway de VPN de alta disponibilidade diferente. Se o lado do peering for outro provedor de nuvem, como a AWS, será necessário que as conexões de VPN também estejam configuradas com a redundância adequada no lado da AWS.

  • Seu dispositivo de gateway de VPN de peering precisa ser compatível com o roteamento dinâmico do protocolo de gateway de borda (BGP).

    O diagrama a seguir mostra o conceito de VPN de alta disponibilidade, mostrando uma topologia que inclui as duas interfaces de um gateway de VPN de alta disponibilidade conectadas a dois gateways de VPN de peering. Para ver topologias de VPN de alta disponibilidade mais detalhadas (cenários de configuração), consulte Topologias de VPN de alta disponibilidade.

    Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering.
    Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering (clique para ampliar).

VPN clássica

Por outro lado, os gateways de VPN clássica têm uma única interface, um único endereço IP externo e aceitam túneis que usam roteamento estático (com base em políticas ou rota).

Os gateways de VPN clássica fornecem um SLA de 99,9% de disponibilidade de serviço.

Os gateways de VPN clássica não são compatíveis com IPv6.

Para topologias de VPN clássica compatíveis, consulte a página Topologias de VPN clássica.

VPNs clássicas são chamadas de gateways de VPN de destino na documentação da API e na Google Cloud CLI.

Especificações

O Cloud VPN tem as seguintes especificações:

  • Cada gateway do Cloud VPN é um recurso regional. Ao criar um gateway do Cloud VPN, você pode selecionar uma Google Cloud região específica para a localização dele. Não é possível escolher uma zona, apenas uma região.

  • O Cloud VPN é compatível apenas com conectividade VPN IPsec de site para site, sujeito aos requisitos listados nesta seção. Não há suporte para cenários de cliente para gateway. Em outras palavras, o Cloud VPN não é compatível com casos de uso em que os computadores clientes precisam "discar" para uma VPN usando software de VPN cliente.

    O Cloud VPN aceita apenas o IPsec. Outras tecnologias VPN, como VPN SSL, não são compatíveis.

  • O Cloud VPN pode ser usado com redes VPC e redes legadas. Para redes VPC, recomendamos redes VPC de modo personalizado para que você tenha controle total sobre os intervalos de endereços IP usados pelas sub-redes na rede.

    • Gateways de VPN clássica e de VPN de alta disponibilidade usam endereços IPv4 externos (roteáveis na Internet). Somente o tráfego ESP, UDP 500 e UDP 4500 é permitido nesses endereços. Isso se aplica aos endereços do Cloud VPN que você configurou para a VPN clássica ou aos endereços atribuídos automaticamente para a VPN de alta disponibilidade.

    • Se os intervalos de endereços IP para sub-redes locais se sobrepuserem a endereços IP usados por sub-redes em sua rede VPC, para determinar como os conflitos de roteamento são resolvidos, consulte Ordem de rotas.

  • O seguinte tráfego do Cloud VPN permanece na rede Google Cloud :

    • Entre dois gateways de VPN de alta disponibilidade
    • Entre dois gateways de VPN clássica
    • Entre uma VPN clássica ou um gateway de VPN de alta disponibilidade e o endereço IP externo de uma VM do Compute Engine que atua como um gateway da VPN

  • O Cloud VPN pode ser usado com o Acesso privado do Google para hosts no local. Para mais informações, consulte Opções de acesso privado para serviços.

  • É necessário que cada gateway do Cloud VPN esteja conectado a outro gateway do Cloud VPN ou a um gateway de VPN de peering.

  • É necessário que o gateway de VPN de peering tenha um endereço IPv4 externo estático (roteável na Internet). Esse endereço IP é necessário para configurar o Cloud VPN.

    • Se o gateway de VPN de peering estiver protegido por firewall, configure o firewall para transmitir a ele o protocolo ESP (IPsec) e o tráfego do IKE (UDP 500 e UDP 4500). Se o firewall fornecer conversão de endereços de rede (NAT), consulte Encapsulamento UDP e NAT-T.

  • O Cloud VPN requer que o gateway da VPN de peering seja compatível com a pré-fragmentação. É necessário fragmentar os pacotes antes do encapsulamento.

  • O Cloud VPN usa a detecção de nova reprodução com uma janela de 4.096 pacotes. Não é possível desativá-la.

  • O Cloud VPN é compatível com tráfego de encapsulamento de roteamento genérico (GRE, na sigla em inglês). A compatibilidade com GRE permite que você encerre o tráfego GRE de uma VM da Internet (endereço IP externo) e do Cloud VPN ou do Cloud Interconnect (endereço IP interno). O tráfego delimitado pode ser encaminhado para um destino acessível. O GRE permite que você use serviços como o Secure Access Service Edge (SASE) e o SD-WAN. É necessário criar uma regra de firewall para permitir o tráfego GRE.

  • Os túneis de VPN de alta disponibilidade são compatíveis com a troca de tráfego IPv6, mas os túneis de VPN clássica não.

Largura de banda da rede

Cada túnel do Cloud VPN aceita até 250.000 pacotes por segundo para a soma do tráfego de entrada e saída. Dependendo do tamanho médio do pacote no túnel, 250.000 pacotes por segundo são equivalentes a uma largura de banda entre 1 Gbps e 3 Gbps.

As métricas relacionadas a esse limite são Sent bytes e Received bytes, descritas em Ver registros e métricas. Considere que a unidade das métricas é bytes, enquanto o limite de 3 Gbps se refere a bits por segundo. Quando convertido em bytes, o limite é de 375 megabytes por segundo (MBps). Ao medir o uso em relação ao limite, use a soma de Sent bytes e Received bytes em comparação com o limite convertido de 375 MBps.

Para mais informações sobre como criar políticas de alertas, consulte Definir alertas para a largura de banda do túnel de VPN.

Fatores que afetam a largura de banda

A largura de banda é influenciada por vários fatores, incluindo:

  • A conexão de rede entre o gateway do Cloud VPN e seu gateway de peering:

    • Largura de banda da rede entre os dois gateways. Se você tiver estabelecido uma relação de Peering direto com o Google, a capacidade será maior do que se o tráfego da VPN for enviado pela Internet pública.

    • Tempo de retorno (RTT, na sigla em inglês) e perda de pacote: taxas elevadas de RTT ou perda de pacotes reduzem significativamente o desempenho do TCP.

  • Recursos do gateway da VPN de peering. Para mais informações, consulte a documentação do dispositivo.

  • Tamanho do pacote. O Cloud VPN usa o protocolo IPsec no modo de túnel, encapsulando e criptografando pacotes IP inteiros no Encapsulating Security Payload (ESP) e armazenando os dados do ESP em um segundo pacote de IP externo. Consequentemente, há uma MTU de gateway para os pacotes encapsulados por IPsec e uma MTU de payload para pacotes antes e depois do encapsulamento do IPsec. Para detalhes, consulte Considerações sobre MTU.

  • Taxa de pacotes. Para entrada e saída, a taxa máxima de pacotes recomendada para cada túnel do Cloud VPN é de 250.000 pacotes por segundo (pps). Se você precisar enviar pacotes a uma taxa mais alta, será necessário criar mais túneis de VPN.

Ao medir a largura de banda TCP de um túnel de VPN, meça mais de um fluxo TCP simultâneo. Se você estiver usando a ferramenta iperf, use o parâmetro -P para especificar o número de streams simultâneos.

Suporte ao IPv6

O Cloud VPN é compatível com o IPv6 na VPN de alta disponibilidade, mas não na VPN clássica.

Para oferecer suporte ao tráfego IPv6 em túneis de VPN de alta disponibilidade, faça o seguinte:

  • Use o tipo de pilha IPV6_ONLY ou IPV4_IPV6 ao criar um gateway e túneis de VPN de alta disponibilidade que conectem redes VPC ativadas para IPv6 a outras redes IPv6 compatíveis com as redes VPC. Essas redes podem ser redes locais, redes de várias nuvens ou outras redes VPC.

  • Inclua sub-redes de pilha dupla ou somente IPv6 nas redes VPC ativadas para IPv6. Além disso, atribua intervalos IPv6 internos às sub-redes.

A tabela a seguir resume os endereços IP externos permitidos para cada tipo de pilha do gateway de VPN de alta disponibilidade.

Tipo de pilha Endereços IP externos de gateway compatíveis
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Restrições da política da organização para IPv6

É possível desativar a criação de todos os recursos híbridos IPv6 em seu projeto definindo a seguinte política da organização como verdadeira:

  • constraints/compute.disableHybridCloudIpv6

Para a VPN de alta disponibilidade, essa restrição de política da organização impede a criação de gateways de VPN de alta disponibilidade de pilha dupla e gateways de VPN de alta disponibilidade somente IPv6 no projeto. Essa política também impede a criação de sessões IPv6 do BGP e anexos da VLAN de Interconexão dedicada de pilha dupla.

Tipos de pilha e sessões do BGP

Os gateways de VPN de alta disponibilidade são compatíveis com diferentes tipos de pilha. O tipo de pilha de um gateway da VPN de alta disponibilidade determina qual versão do tráfego IP é permitida nos túneis de VPN de alta disponibilidade.

Ao criar túneis de VPN de alta disponibilidade para um gateway de VPN de alta disponibilidade de pilha dupla, é possível criar uma sessão IPv6 do BGP para troca de rotas IPv6 ou uma sessão IPv4 do BGP que troca rotas IPv6 usando BGP multiprotocolo (MP-BGP, na sigla em inglês).

A tabela a seguir resume os tipos de sessões do BGP compatíveis com cada tipo de pilha.

Tipo de pilha Sessões do BGP compatíveis Endereços IP externos do gateway
Pilha única (somente IPv4) BGP IPv4, sem MP-BGP IPv4
Pilha única (somente IPv6) BGP IPv6, sem MP-BGP IPv6
Pilha dupla (IPv4 e IPv6)
  • BGP IPv4, com ou sem MP-BGP
  • BGP IPv6, com ou sem MP-BGP
  • BGP IPv4 e IPv6, sem MP-BGP (pré-lançamento)
 IPv4 e IPv6

Para mais informações sobre sessões do BGP, consulte Estabelecer sessões do BGP na documentação do Cloud Router.

Gateways somente IPv4 de pilha única

Por padrão, um gateway de VPN de alta disponibilidade recebe o tipo de pilha somente IPv4 e dois endereços IPv4 externos são atribuídos automaticamente.

Um gateway de VPN de alta disponibilidade somente para IPv4 oferece suporte apenas ao tráfego IPv4.

Use os procedimentos a seguir para criar gateways de VPN de alta disponibilidade somente IPv4 e sessões IPv4 do BGP.

Gateways somente IPv6 de pilha única

Um gateway de VPN de alta disponibilidade somente IPv6 oferece suporte apenas ao tráfego IPv6. Por padrão, um gateway de VPN de alta disponibilidade somente IPv6 recebe dois endereços IPv6 externos.

Use os procedimentos a seguir para criar gateways de VPN de alta disponibilidade somente IPv6 e sessões IPv6 do BGP.

Gateways IPv4 e IPv6 de pilha dupla

Um gateway de VPN de alta disponibilidade configurado com o tipo de pilha de pilha dupla (IPv4 e IPv6) oferece suporte para tráfego IPv4 e IPv6.

Para um gateway de VPN de alta disponibilidade de pilha dupla, é possível configurar seu Cloud Router com uma sessão IPv4 do BGP, uma sessão IPv6 do BGP ou ambas. Se você configurar apenas uma sessão do BGP, será possível ativar o MP-BGP para permitir que essa sessão troque rotas IPv4 e IPv6. Se você criar uma sessão IPv4 do BGP e uma sessão IPv6 do BGP, não será possível ativar o MP-BGP em nenhuma das sessões.

Para trocar rotas IPv6 em uma sessão IPv4 do BGP usando MP-BGP, é preciso configurar essa sessão com endereços IPv6 do próximo salto. Da mesma forma, para trocar rotas IPv4 em uma sessão IPv6 do BGP usando MP-BGP, você precisa configurar essa sessão com endereços de próximo salto IPv4. É possível configurar esses endereços do próximo salto manual ou automaticamente.

Se você configurar manualmente os endereços do próximo salto, será necessário selecioná-los no intervalo de endereços unicast globais (GUA, na sigla em inglês) IPv6 de propriedade do Google 2600:2d00:0:2::/63 ou no intervalo de endereços link-local IPv4 169.254.0.0./16. Esses intervalos de endereços IP são pré-alocados pelo Google. Os endereços IP do próximo salto selecionados precisam ser exclusivos em todos os Cloud Routers na rede VPC.

Se você selecionar a configuração automática, Google Cloud selecionará os endereços IP do próximo salto para você.

Use os procedimentos a seguir para criar gateways de VPN de alta disponibilidade de pilha dupla e todas as sessões do BGP compatíveis.

Suporte a IPsec e IKE

O Cloud VPN aceita o IKEv1 e o IKEv2 usando uma chave pré-compartilhada IKE (chave secreta compartilhada) e criptografias IKE. O Cloud VPN aceita apenas uma chave pré-compartilhada para autenticação. Ao criar o túnel do Cloud VPN, especifique uma chave pré-compartilhada. Ao criar o túnel no gateway de peering, especifique essa mesma chave pré-compartilhada. Para informações sobre como criar uma chave pré-compartilhada forte, consulte Gerar uma chave pré-compartilhada forte.

O Cloud VPN é compatível com ESP no modo de túnel com autenticação, mas não é compatível com cabeçalho de autenticação (AH, na sigla em inglês) nem ESP no modo de transporte.

É preciso usar o IKEv2 para ativar o tráfego IPv6 na VPN de alta disponibilidade.

O Cloud VPN não faz filtragem relacionada a política nos pacotes de autenticação recebidos. Os pacotes enviados são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.

Configurar criptografias no túnel do Cloud VPN

Com o Cloud VPN, é possível configurar algoritmos que ajudam a personalizar as conexões de VPN para atender às necessidades de conformidade e segurança.

É possível configurar opções de criptografia ao criar túneis do Cloud VPN. No entanto, depois de configuradas, não é possível modificar as opções de criptografia selecionadas. É necessário excluir e recriar o túnel. A seleção de criptografia está disponível apenas com IKEv2, não com IKEv1.

É possível configurar algoritmos de criptografia para a negociação de SA do IKE (fase 1) e de SA do IPsec (fase 2). Se você não configurar uma opção de criptografia para uma fase, o Cloud VPN usará a criptografia padrão para essa opção.

Você precisa configurar criptografias da lista compatível que atendam aos seguintes critérios:

  • Se você especificar cifras AEAD para criptografia, não poderá especificar cifras separadas para integridade porque o Cloud VPN usa as mesmas cifras de criptografia para processar a integridade.

  • Se você especificar criptografias não AEAD para criptografia, também poderá especificar criptografias para integridade. Se você não especificar criptografias de integridade, o Cloud VPN usará as opções de criptografia padrão para integridade.

  • Se você especificar uma combinação de criptografias AEAD e não AEAD para criptografia, liste as AEAD antes das não AEAD. O Cloud VPN usa as mesmas cifras de criptografia para processar a integridade das cifras AEAD.

    Para cifras não AEAD, é possível especificar as cifras de integridade. Se você não especificar cifras de integridade, o Cloud VPN usará as opções de cifra padrão para integridade.

Para saber mais sobre as criptografias aceitas, a ordem padrão de criptografia e os parâmetros de configuração compatíveis com o Cloud VPN, consulte Criptografias IKE aceitas.

Use os procedimentos a seguir para configurar opções de criptografia para os vários gateways do Cloud VPN:

  • Para configurar opções de criptografia para a VPN clássica usando roteamento estático, consulte Criar um gateway e um túnel.

  • Para configurar opções de criptografia para VPN de alta disponibilidade em um gateway de VPN de peering, consulte Criar túneis de VPN.

IKE e detecção de peering inativo

O Cloud VPN é compatível com a detecção de peer inativo (DPD, na sigla em inglês), de acordo com a seção Protocolo DPD da RFC 3706.

Para verificar se o par está ativo, o Cloud VPN pode enviar pacotes de DPD a qualquer momento, de acordo com a RFC 3706. Se as solicitações de DPD não forem retornadas após várias tentativas, o Cloud VPN reconhecerá que o túnel da VPN não está íntegro. O túnel VPN não íntegro, por sua vez, causa a remoção das rotas que usam esse túnel como um próximo salto (rotas BGP ou estáticas) que acionam um failover do tráfego da VM para outros túneis íntegros.

O intervalo da DPD não é configurável no Cloud VPN.

Encapsulamento UDP e NAT-T

Para informações sobre como configurar o dispositivo de mesmo nível para que seja compatível com o NAT-Traversal (NAT-T) com o Cloud VPN, consulte encapsulamento UDP na visão geral avançada.

Cloud VPN como rede de transferência de dados

Antes de usar o Cloud VPN, consulte com atenção a seção 2 dos Termos de serviço gerais do Google Cloud.

Usando o Network Connectivity Center, você pode usar túneis de VPN de alta disponibilidade para conectar redes locais, transmitindo tráfego entre elas como uma rede de transferência de dados. Conecte as redes anexando um par de túneis a um centro de conectividade de rede selecionado para cada local. Depois, conecte cada spoke a um hub do Network Connectivity Center.

Para mais informações sobre a central de conectividade de rede, consulte a Visão geral da central de conectividade de rede.

Suporte para trazer seu próprio IP (BYOIP).

Para informações sobre o uso de endereços BYOIP com o Cloud VPN, consulte Suporte para endereços BYOIP.

Como restringir endereços IP de peering por meio de um túnel do Cloud VPN

Se você for um administrador de políticas da organização (roles/orgpolicy.policyAdmin), poderá criar uma restrição de política para os endereços IP que os usuários podem especificar para os gateways de VPN de peering.

A restrição se aplica a todos os túneis do Cloud VPN (VPN clássica e VPN de alta disponibilidade) em um projeto, uma pasta ou uma organização específica.

Veja as etapas que descrevem como restringir endereços IP em Restringir endereços IP para gateways de VPN de peering.

Como visualizar e monitorar conexões do Cloud VPN

A Topologia de rede é uma ferramenta de visualização que mostra a topologia das redes VPC, conectividade híbrida de e para redes locais e as métricas associadas. É possível visualizar os gateways e túneis de VPN do Cloud VPN como entidades na visualização da Topologia de rede.

A entidade base é o nível mais baixo de uma determinada hierarquia e representa um recurso que pode se comunicar diretamente com outros recursos em uma rede. A Topologia de rede agrega entidades de base em entidades hierárquicas que podem ser expandidas ou recolhidas. Ao visualizar um gráfico da Topologia de rede pela primeira vez, ele agrega todas as entidades base na hierarquia de nível superior dele.

Por exemplo, a Topologia de rede agrega túneis da VPN na conexão de gateway da VPN. É possível visualizar a hierarquia expandindo ou recolhendo os ícones do gateway da VPN.

Para mais informações, consulte a visão geral da Topologia de rede.

Manutenção e disponibilidade

O Cloud VPN passa por manutenção periódica, em que os túneis do Cloud VPN permanecem on-line e o tráfego de rede não é afetado. Em casos raros, os túneis podem ficar off-line por um breve período, o que pode causar uma queda momentânea no tráfego da rede. Depois que a manutenção é concluída, os túneis do Cloud VPN são restabelecidos automaticamente. Esses incidentes são investigados para implementar ações corretivas e melhorar os procedimentos de manutenção futuros.

A manutenção do Cloud VPN é uma tarefa operacional normal que ocorre a qualquer momento sem aviso prévio. Os períodos de manutenção são projetados para serem curtos o suficiente para que o SLA do Cloud VPN não seja afetado.

A VPN de alta disponibilidade é o método recomendado para configurar VPNs de alta disponibilidade. Para ver opções de configuração, consulte a página de topologias da VPN de alta disponibilidade. Se você estiver usando a VPN clássica para ter opções de redundância e alta capacidade, consulte a página de topologias da VPN clássica.

Práticas recomendadas

Para criar o Cloud VPN com eficiência, use estas práticas recomendadas.

A seguir