規劃及設定 Cloud VPN 時,可以參考下列最佳做法。
為網路資源使用不同的專案 Trusted Cloud by S3NS
為簡化 Identity and Access Management (IAM) 角色和權限的設定,請盡可能將 Cloud VPN 和 Cloud Router 資源放在與其他 Trusted Cloud 資源不同的專案中。
轉送和容錯移轉
選擇動態轉送
選擇使用動態轉送和邊界閘道通訊協定 (BGP) 的 Cloud VPN 閘道。Google 建議使用高可用性 VPN,並部署支援 BGP 的內部部署裝置。
盡量提高 Cloud VPN 可用性
如要提高可用性並享有更優質的服務水準協議,請搭配 BGP 使用高可用性 VPN。如果設定需要靜態路徑,請使用傳統版 VPN。
詳情請參閱 Cloud VPN 總覽中的VPN 類型。
選擇適當的通道設定
根據高可用性 VPN 通道數量,選擇適當的通道設定:
如果您有兩個高可用性 VPN 通道,請使用主動/被動通道設定。
如果您有超過兩個高可用性 VPN 通道,請使用主動/主動通道設定。
詳情請參閱 Cloud VPN 總覽中的下列章節:
可靠性
為每個密碼角色設定一個密碼,設定對等互連 VPN 閘道
需要新的安全關聯時,Cloud VPN 可根據流量來源,做為 IKE 要求的啟動器或回應器。
Cloud VPN 啟動 VPN 連線時,會提議使用 Cloud VPN 通道中設定的加密演算法。如果尚未設定加密演算法 ([預覽版](/products#product-launch-stages)),Cloud VPN 通道會按照支援的加密表格中顯示的順序,為每個加密角色提議加密演算法。接收提案的對等端選取演算法。
如果對等端啟動連線,Cloud VPN 會從提案中選取密碼,選取順序與每個密碼角色在表格中設定或顯示的順序相同。
視哪一方是發起者或回應者而定,選取的密碼可能會有所不同。舉例來說,在金鑰輪替期間建立新的安全關聯 (SA) 時,所選的密碼可能會隨之變更。因為變更加密選項可能會影響重要的通道特性,例如效能或 MTU,請使用穩定的加密選項。如要進一步瞭解 MTU,請參閱 MTU 注意事項。
為避免頻繁變更加密方式選取項目,請將對等互連 VPN 閘道和 Cloud VPN 通道設定為只為每個加密方式角色提議及接受一種加密方式。Cloud VPN 和對等互連 VPN 閘道都必須支援此密碼。請勿為每個密碼角色提供密碼清單。這項最佳做法可確保 Cloud VPN 通道兩端在 IKE 協商期間,一律選取相同的 IKE 密碼。
Cloud Location Finder 可協助您找出全球實體位置最近的 Trusted Cloud by S3NS 區域和可用區。使用 Cloud Location Finder,您可以根據資訊決定要在哪個 Trusted Cloud 區域部署 Cloud VPN 閘道,進而可能改善延遲時間、地理位置和碳能源用量。詳情請參閱 Cloud Location Finder 說明文件。
如果是高可用性 VPN 通道配對,請在對等互連 VPN 閘道上設定兩個高可用性 VPN 通道,使用相同的密碼和 IKE 第 2 階段生命週期值。
安全性
為 VPN 閘道設定防火牆規則
為透過 Cloud VPN 傳輸的流量建立安全防火牆規則。 詳情請參閱虛擬私有雲防火牆規則總覽。
使用高強度的預先共用金鑰
Google 建議您為 Cloud VPN 通道產生高強度預先共用金鑰。
限制對等互連 VPN 閘道的 IP 位址
限制可為對等互連 VPN 閘道指定的 IP 位址,可防止建立未經授權的 VPN 通道。
詳情請參閱「限制對等互連 VPN 閘道的 IP 位址」。
在對等互連 VPN 閘道上設定最強大的密碼
設定對等互連 VPN 閘道時,請為對等互連 VPN 閘道和 Cloud VPN 支援的每個密碼角色,選擇最強大的密碼。
Cloud VPN 的提案順序並非依強度排序。
如需支援的 IKE 加密方式清單,請參閱「支援的 IKE 加密方式」。