Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para o Cloud VPN

As práticas recomendadas a seguir podem ajudar no planejamento e configuração do Cloud VPN.

Usar projetos Trusted Cloud by S3NS separados para recursos de rede

Para facilitar a configuração dos papéis e das permissões do Identity and Access Management (IAM, na sigla em inglês) sempre que possível, mantenha os recursos do Cloud VPN e do Cloud Router em um projeto separado dos outros recursos do Trusted Cloud .

Roteamento e failover

Escolher o roteamento dinâmico

Escolha um gateway do Cloud VPN que use roteamento dinâmico e o Border Gateway Protocol (BGP). Recomendamos usar a VPN de alta qualidade e implantar dispositivos locais compatíveis com o BGP.

Maximizar a disponibilidade do Cloud VPN

Para alta disponibilidade e um SLA melhor, use a VPN de alta disponibilidade com o BGP. Se a configuração exigir rotas estáticas, use a VPN clássica.

Para mais informações, consulte tipos de VPN na visão geral do Cloud VPN.

Escolher a configuração de túnel apropriada

Escolha a configuração de túnel apropriada com base no número de túneis de VPN de alta disponibilidade:

Se você tiver dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/passiva.
Se você tiver mais de dois túneis de VPN de alta disponibilidade, use uma configuração de túnel ativa/ativa.

Para mais informações, consulte as seguintes seções na visão geral do Cloud VPN:

Confiabilidade

Configurar o gateway de VPN de peering com apenas uma criptografia para cada papel de criptografia

O Cloud VPN pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança é necessária.

Quando o Cloud VPN inicia uma conexão VPN, ele propõe os algoritmos de criptografia configurados no túnel do Cloud VPN. Se você não tiver configurado os algoritmos de criptografia ([Prévia](/products#product-launch-stages)), o túnel do Cloud VPN vai propor os algoritmos na ordem mostrada nas tabelas de criptografia compatíveis para cada função de criptografia. O par que recebe a proposta seleciona um algoritmo.

Se o peering iniciar a conexão, o Cloud VPN selecionará uma criptografia da proposta usando a mesma ordem configurada ou mostrada na tabela para cada papel de criptografia.

Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo, à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves. Como uma mudança na seleção de criptografia pode afetar as características importantes do túnel, como o desempenho ou a MTU, use uma seleção de criptografia estável. Para ver mais informações sobre MTU, consulte Considerações sobre MTU.

Para evitar mudanças frequentes na seleção de criptografia, configure o gateway de VPN de peering e o túnel do Cloud VPN para propor e aceitar apenas uma criptografia para cada função de criptografia. Essa criptografia precisa ser aceita pelo Cloud VPN e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel do Cloud VPN sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.

O Localizador de locais do Cloud ajuda a identificar as Trusted Cloud by S3NS regiões e zonas mais próximas dos seus locais físicos no mundo todo. Ao usar o Cloud Location Finder, você pode tomar decisões informadas sobre qual Trusted Cloud região implantar seus gateways do Cloud VPN, otimizando potencialmente a latência, a localização geográfica e o uso de energia de carbono. Para mais informações, consulte a documentação do Localizador de locais do Google Cloud.

Para pares de túneis de VPN de alta disponibilidade, configure os dois túneis de VPN de alta disponibilidade no gateway de VPN de peering para usar os mesmos valores de vida útil de criptografia e fase IKE 2.

Segurança

Configurar regras de firewall para os gateways de VPN

Crie regras de firewall seguras para o tráfego transmitido pelo Cloud VPN. Para mais informações, consulte a visão geral das regras de firewall da VPC.

Usar chaves pré-compartilhadas fortes

Recomendamos gerar uma chave pré-compartilhada forte para os túneis do Cloud VPN.

Restringir endereços IP para os gateways de VPN de peering

Ao restringir quais endereços IP podem ser especificados para um gateway de VPN de peering, é possível impedir a criação de túneis VPN não autorizados.

Para mais informações, consulte Restringir endereços IP para gateways de VPN de peering.

Configurar a criptografia mais forte no gateway de VPN de peering

Ao configurar o gateway de VPN de peering, escolha a criptografia mais forte para cada papel de criptografia compatível com o gateway de VPN de peering e com o Cloud VPN.

A ordem da proposta listada para o Cloud VPN não é determinada pela força.

Para ver uma lista das criptografias IKE aceitas, consulte Criptografias IKE compatíveis.

A seguir

Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.