Cloud VPN – Übersicht

Auf dieser Seite werden Konzepte im Zusammenhang mit Google Cloud VPN beschrieben. Definitionen der in der Cloud VPN-Dokumentation verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Mit Cloud VPN können Sie Ihr Peer-Netzwerk über eine IPsec-VPN-Verbindung sicher auf Ihr Virtual Private Cloud-Netzwerk (VPC) erweitern. Die VPN-Verbindung verschlüsselt den Traffic, der zwischen den Netzwerken übertragen wird. Dabei übernimmt ein VPN-Gateway die Verschlüsselung und ein anderer die Entschlüsselung. Dadurch werden Ihre Daten während der Übertragung geschützt. Sie können auch zwei VPC-Netzwerke miteinander verbinden, indem Sie zwei Cloud VPN-Instanzen verbinden. Sie können Cloud VPN nicht verwenden, um Traffic an das öffentliche Internet weiterzuleiten. Es ist für eine sichere Kommunikation zwischen privaten Netzwerken konzipiert.

Hybride Netzwerklösung auswählen

Bestimmen Sie anhand des Artikels Produkt für Network Connectivity auswählen, ob Sie Cloud VPN, Dedicated Interconnect, Partner Interconnect oder Cloud Router für die Verbindung Ihres hybriden Netzwerks zu Cloud de Confiance by S3NSverwenden sollten.

Cloud VPN-Typen

Cloud de Confiance bietet zwei Arten von Cloud VPN-Gateways:

In der folgenden Tabelle werden HA VPN-Features mit klassischen VPN-Features verglichen.

Funktion HA VPN Klassisches VPN
Externe IP-Adressen und Weiterleitungsregeln erstellen Externe IP-Adressen, die aus einem Pool erstellt wurden; keine Weiterleitungsregeln erforderlich. Externe IP-Adressen und Weiterleitungsregeln müssen erstellt werden.
Unterstützte Routingoptionen Nur dynamisches Routing (BGP). Nur statisches (richtlinienbasiertes, routenbasiertes) Routing.
Zwei Tunnel von einem Cloud VPN-Gateway zum selben Peer-Gateway Unterstützt Nicht unterstützt
Verbinden Sie ein Cloud VPN-Gateway mit Compute Engine-VMs mit externen IP-Adressen. Unterstützte und empfohlene Topologie. Weitere Informationen finden Sie unter HA VPN-Topologien. Unterstützt.
API-Ressourcen Wird als Ressource vpn-gateway bezeichnet. Wird als Ressource target-vpn-gateway bezeichnet.
IPv6-Traffic Unterstützt Dual-Stack- (IPv4 und IPv6) und Nur-IPv6-Konfiguration Nicht unterstützt

Informationen zum Wechsel vom klassischen VPN zum HA VPN finden Sie unter Von einem klassischen VPN zu HA VPN wechseln.

HA VPN

HA VPN ist eine Cloud VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung sicher mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden können.

Wenn Sie ein HA VPN-Gateway erstellen,wählt Cloud de Confiance by S3NS automatisch zwei externe IP-Adressen aus, eine für jede Schnittstelle. Jede IP-Adresse wird automatisch aus einem eindeutigen Adresspool ausgewählt, um eine hohe Verfügbarkeit zu unterstützen. Jede HA VPN-Gateway-Schnittstelle unterstützt mehrere Tunnel. Sie können auch mehrere HA VPN-Gateways erstellen. Wenn Sie das HA VPN-Gateway löschen,gibt Cloud de Confiance die IP-Adressen für die erneute Verwendung frei. Sie können ein HA VPN-Gateway mit nur einer aktiven Schnittstelle und einer externen IP-Adresse konfigurieren. Allerdings bietet diese Konfiguration kein Verfügbarkeits-SLA.

In der API-Dokumentation und in gcloud-Befehlen werden HA VPN-Gateways als VPN-Gateways und nicht als Ziel-VPN-Gateways bezeichnet. Für HA VPN-Gateways müssen keine Weiterleitungsregeln erstellt werden.

Beachten Sie beim Einrichten von HA VPN die folgenden Richtlinien:

  • Wenn Sie ein HA VPN-Gateway mit einem anderen HA VPN-Gateway verbinden, müssen die Gateways identische IP-Stack-Typen verwenden. Wenn Sie beispielsweise ein HA VPN-Gateway mit dem Stacktyp IPV4_IPV6 erstellen, muss das andere HA VPN-Gateway auch auf IPV4_IPV6 gesetzt sein.

  • Konfigurieren Sie zwei VPN-Tunnel aus der Perspektive des Cloud VPN-Gateways:

    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.

  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Der Geräteanbieter gibt die Details einer ausreichend redundanten Konfiguration an, die mehrere Hardwareinstanzen enthalten kann. Weitere Informationen finden Sie in der Anbieterdokumentation für das Peer-VPN-Gerät.

    Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.

  • Ihr Peer-VPN-Gateway-Gerät muss das dynamische Border Gateway Protocol-Routing (BGP) unterstützen.

Klassisches VPN

Im Gegensatz zu HA VPN haben Gateways für das klassische VPN eine einzige Schnittstelle sowie eine einzige externe IP-Adresse und unterstützen Tunnel, die statisches Routing (richtlinien- oder routenbasiert) verwenden.

Klassisches VPN-Gateways unterstützen IPv6 nicht.

Informationen zu unterstützten Topologien für klassisches VPN finden Sie auf der Seite zu den Topologien für klassisches VPN.

Klassische VPNs werden in der API-Dokumentation und im Google Cloud CLI als Ziel-VPN-Gateways bezeichnet.

Spezifikationen

Für Cloud VPN gilt Folgendes:

  • Cloud VPN unterstützt ausschließlich Site-to-Site-IPsec-VPN-Verbindungen, für die die Voraussetzungen in diesem Abschnitt erfüllt werden müssen. Client-zu-Gateway-Szenarien werden nicht unterstützt. Mit anderen Worten: Cloud VPN unterstützt keine Anwendungsfälle, bei denen sich Clientcomputer mithilfe von Client-VPN-Software bei einem VPN "einwählen" müssen.

    Cloud VPN unterstützt nur IPSec. Andere VPN-Technologien (wie SSL-VPN) werden nicht unterstützt.

  • Cloud VPN kann mit VPC-Netzwerken verwendet werden. Für VPC-Netzwerke empfehlen wir VPC-Netzwerke im benutzerdefinierten Modus, damit Sie vollständige Kontrolle über die IP-Adressbereiche haben, die von den Subnetzen im Netzwerk verwendet werden.

    • Klassische VPN- und HA VPN-Gateways verwenden externe (im Internet routingfähige) IPv4-Adressen. Für diese Adressen ist nur ESP-, UDP 500- und UDP 4500-Traffic zulässig. Dies gilt für Cloud VPN-Adressen, die Sie für klassisches VPN konfiguriert haben, oder für automatisch zugewiesene Adressen für HA VPN.

    • Wenn sich IP-Adressbereiche für lokale Subnetze mit den IP-Adressen von Subnetzen in Ihrem VPC-Netzwerk überschneiden, können Sie unter Reihenfolge der Routen erfahren, wie sich Routingkonflikte beheben lassen.

  • Der folgende Cloud VPN-Traffic verbleibt imCloud de Confiance -Netzwerk:

    • Zwischen zwei HA VPN-Gateways
    • Zwischen zwei klassischen VPN-Gateways
    • Zwischen einem Klassisches VPN- oder HA VPN-Gateway und der externen IP-Adresse einer Compute Engine-VM, die als VPN-Gateway fungiert

  • Cloud VPN kann mit privatem Google-Zugriff für lokale Hosts verwendet werden. Weitere Informationen finden Sie unter Private Zugriffsoptionen für Dienste.

  • Jedes Cloud VPN-Gateway muss mit einem anderen Cloud VPN-Gateway oder einem Peer-VPN-Gateway verbunden sein.

  • Das Peer-VPN-Gateway muss eine statische externe (im Internet routingfähige) IPv4-Adresse haben. Sie benötigen diese IP-Adresse, um Cloud VPN zu konfigurieren.

    • Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass das ESP-Protokoll (IPsec) und IKE-Traffic (UDP 500 und UDP 4500) an das Gateway übertragen werden. Wenn die Firewall Network Address Translation (NAT) bietet, finden Sie weitere Informationen im Abschnitt zu UDP-Kapselung und NAT-T.

  • Cloud VPN setzt voraus, dass das Peer-VPN-Gateway die Vorfragmentierung unterstützt. Pakete müssen vor dem Kapseln fragmentiert werden.

  • Cloud VPN verwendet die Wiedergabeerkennung mit einem Fenster von 4.096 Paketen. Dies ist nicht deaktivierbar.

  • Cloud VPN unterstützt GRE-Traffic (Generic Routing Encapsulation). Dank der Unterstützung für GRE können Sie den GRE-Traffic auf einer VM aus dem Internet (externe IP-Adresse) und Cloud VPN oder Cloud Interconnect (interne IP-Adresse) beenden. Der gekapselte Traffic kann dann an ein erreichbares Ziel weitergeleitet werden. GRE ermöglicht es Ihnen, Dienste wie SASE (Secure Access Service Edge) und SD-WAN zu verwenden. Sie müssen eine Firewallregel erstellen, um GRE-Traffic zuzulassen.

  • HA VPN-Tunnel unterstützen den Austausch von IPv6-Traffic, Klassisches VPN-Tunnel jedoch nicht.

Netzwerkbandbreite

Jeder Cloud VPN-Tunnel unterstützt für den gesamten ein- und ausgehenden Traffic bis zu 250.000 Pakete pro Sekunde. Je nach durchschnittlicher Paketgröße im Tunnel entsprechen 250.000 Pakete pro Sekunde einer Bandbreite zwischen 1 und 3 Gbit/s.

Die mit diesem Limit verbundenen Messwerte sind Sent bytes und Received bytes. Die Einheit für die Messwerte ist Byte. Das Limit von 3 Gbit/s bezieht sich auf Bits pro Sekunde. Bei der Konvertierung in Byte beträgt das Limit 375 Megabyte pro Sekunde (Mbit/s). Wenn Sie die Nutzung mit dem Limit vergleichen, verwenden Sie die Summe von Sent bytes und Received bytes und vergleichen Sie sie mit dem konvertierten Limit von 375 Mbit/s.

Faktoren, die sich auf die Bandbreite auswirken

Die Bandbreite wird von einer Reihe von Faktoren beeinflusst, darunter:

  • Die Netzwerkverbindung zwischen dem Cloud VPN-Gateway und Ihrem Peer-Gateway:

    • Netzwerkbandbreite zwischen den beiden Gateways. Wenn Sie eine Direct Peering-Beziehung zu Google hergestellt haben, ist der Durchsatz höher, als wenn Ihr VPN-Traffic über das öffentliche Internet gesendet wird.

    • Umlaufzeit (Round-Trip Time, RTT) und Paketverlust. Erhöhte RTT- und Paketverlustraten verringern die TCP-Leistung erheblich.

  • Funktionen Ihres Peer-VPN-Gateways. Weitere Informationen finden Sie in der Dokumentation Ihres Geräts.

  • Paketgröße. Cloud VPN verwendet das IPsec-Protokoll im Tunnelmodus, kapselt und verschlüsselt ganze IP-Pakete in Encapsulating Security Payload (ESP) und speichert sie dann in einem zweiten, äußeren IP-Paket. Daher gibt es sowohl eine Gateway-MTU für die IPsec-gekapselten Pakete als auch eine Nutzlast-MTU für Pakete vor und nach der IPsec-Kapselung. Weitere Informationen finden Sie unter Überlegungen zur MTU.

  • Paketrate. Für ein- und ausgehenden Traffic beträgt die empfohlene maximale Paketrate für jeden Cloud VPN-Tunnel 250.000 Pakete pro Sekunde (pps). Wenn es für Sie erforderlich ist, dass Pakete mit einer höheren Rate gesendet werden, müssen Sie weitere VPN-Tunnel erstellen.

Für die Messung der TCP-Bandbreite eines VPN-Tunnels empfiehlt es sich, mehrere gleichzeitige TCP-Streams zu messen. Wenn Sie das iperf-Tool nutzen, geben Sie mit dem Parameter -P die Anzahl der gleichzeitigen Streams an.

IPv6-Unterstützung

Cloud VPN unterstützt IPv6 in HA VPN, jedoch nicht im klassischen VPN.

So unterstützen Sie IPv6-Traffic in HA VPN-Tunneln:

  • Verwenden Sie den Stacktyp IPV6_ONLY oder IPV4_IPV6, wenn Sie ein HA VPN-Gateway und Tunnel erstellen, die IPv6-fähige VPC-Netzwerke mit anderen IPv6-fähigen Netzwerken verbinden. Diese Netzwerke können lokale Netzwerke, Multi-Cloud-Netzwerke oder andere VPC-Netzwerke sein.

  • Fügen Sie Ihren IPv6-fähigen VPC-Netzwerken Dual-Stack-Subnetze oder reine IPv6-Subnetze hinzu. Weisen Sie den Subnetzen außerdem interne IPv6-Bereiche zu.

In der folgenden Tabelle sind die für jeden Stacktyp des HA VPN-Gateways zulässigen externen IP-Adressen zusammengefasst.

Stacktyp Unterstützte externe Gateway-IP-Adressen
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Einschränkungen für Organisationsrichtlinien für IPv6

Sie können das Erstellen aller IPv6-Hybridressourcen in Ihrem Projekt deaktivieren, indem Sie die folgende Organisationsrichtlinie auf „true“ setzen:

  • constraints/compute.disableHybridCloudIpv6

Für HA VPN wird durch diese Organisationsrichtlinieneinschränkung die Erstellung von Dual-Stack-HA VPN-Gateways und reinen IPv6-HA VPN-Gateways im Projekt verhindert. Diese Richtlinie verhindert auch die Erstellung von IPv6-BGP-Sitzungen und Dual-Stack-VLAN-Anhängen für Dedicated Interconnect.

Stacktypen und BGP-Sitzungen

HA VPN-Gateways unterstützen verschiedene Stack-Typen. Der Stacktyp eines HA VPN-Gateways bestimmt, welche Version des IP-Traffics in Ihren HA VPN-Tunneln zulässig ist.

Wenn Sie die HA VPN-Tunnel für ein Dual-Stack-HA VPN-Gateway erstellen, können Sie entweder eine IPv6-BGP-Sitzung für den IPv6-Routenaustausch oder eine IPv4-BGP-Sitzung erstellen, die IPv6-Routen mithilfe von Multiprotocol BGP (MP-BGP) austauscht.

In der folgenden Tabelle sind die für jeden Stacktyp unterstützten Typen von BGP-Sitzungen zusammengefasst.

Stacktyp Unterstützte BGP-Sitzungen Externe Gateway-IP-Adressen
Single-Stack (nur IPv4) IPv4-BGP, kein MP-BGP IPv4
Single-Stack (nur IPv6) IPv6-BGP, kein MP-BGP IPv6
Dual-Stack (IPv4 und IPv6)
  • IPv4-BGP mit oder ohne MP-BGP
  • IPv6-BGP mit oder ohne MP-BGP
  • Sowohl IPv4- als auch IPv6-BGP, ohne MP-BGP
 IPv4 und IPv6

Weitere Informationen zu BGP-Sitzungen finden Sie in der Cloud Router-Dokumentation unter BGP-Sitzungen erstellen.

Nur-Stack-IPv4-Gateways

Standardmäßig wird einem HA VPN-Gateway der reine IPv4-Stack-Typ zugewiesen und ihm werden automatisch zwei externe IPv4-Adressen zugewiesen.

Ein reines IPv4-HA VPN-Gateway unterstützt nur IPv4-Traffic.

Mit den folgenden Verfahren erstellen Sie ausschließlich IPv4-HA VPN-Gateways und IPv4-BGP-Sitzungen.

Nur-Stack-IPv6-Gateways

Ein reines IPv6-HA VPN-Gateway unterstützt nur IPv6-Traffic. Standardmäßig werden einem reinen IPv6-HA VPN-Gateway zwei externe IPv6-Adressen zugewiesen.

Mit den folgenden Verfahren erstellen Sie ausschließlich IPv6-HA VPN-Gateways und IPv6-BGP-Sitzungen.

Dual-Stack-IPv4- und IPv6-Gateways

Ein HA VPN-Gateway, das mit dem Dual-Stack-Stacktyp (IPv4 und IPv6) konfiguriert ist, kann sowohl IPv4- als auch IPv6-Traffic unterstützen.

Bei einem Dual-Stack-HA VPN-Gateway können Sie Ihren Cloud Router mit einer IPv4-BGP-Sitzung, einer IPv6-BGP-Sitzung oder beidem konfigurieren. Wenn Sie nur eine BGP-Sitzung konfigurieren, können Sie MP-BGP aktivieren, damit diese Sitzung sowohl IPv4- als auch IPv6-Routen austauschen kann. Wenn Sie eine IPv4-BGP-Sitzung und eine IPv6-BGP-Sitzung erstellen, können Sie MP-BGP in keiner der Sitzungen aktivieren.

Um IPv6-Routen in einer IPv4-BGP-Sitzung über MP-BGP auszutauschen, müssen Sie diese Sitzung mit IPv6-Adressen für den nächsten Hop konfigurieren. Ebenso müssen Sie für den Austausch von IPv4-Routen in einer IPv6-BGP-Sitzung mithilfe von MP-BGP diese Sitzung mit den IPv4-Adressen des nächsten Hops konfigurieren. Sie können diese Adressen des nächsten Hops entweder manuell oder automatisch konfigurieren.

Wenn Sie die Adressen des nächsten Hops manuell konfigurieren, müssen Sie diese aus dem GUA-IPv6-Bereich (Global Unicast Address) 2600:2d00:0:2::/63 von Google oder aus dem IPv4-Link-Local-Adressbereich 169.254.0.0./16 auswählen. Diese IP-Adressbereiche werden von Google vorab zugewiesen. Die von Ihnen ausgewählten IP-Adressen des nächsten Hops müssen für alle Cloud Router in Ihrem VPC-Netzwerk eindeutig sein.

Wenn Sie die automatische Konfiguration auswählen,wählt Cloud de Confiance die IP-Adressen des nächsten Hops für Sie aus.

Verwenden Sie die folgenden Verfahren, um Dual-Stack-HA VPN-Gateways und alle unterstützten BGP-Sitzungen zu erstellen.

IPsec- und IKE-Support

Cloud VPN unterstützt IKEv1 und IKEv2. Dazu werden ein vorinstallierter IKE-Schlüssel (gemeinsames Secret) und IKE-Chiffren verwendet. Cloud VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel. Geben Sie beim Erstellen des Cloud VPN-Tunnels einen vorinstallierten Schlüssel an. Wenn Sie den Tunnel am Peer-Gateway erstellen, geben Sie denselben vorinstallierten Schlüssel an. Informationen zum Erstellen eines starken vorinstallierten Schlüssels finden Sie unter Starken vorinstallierten Schlüssel generieren.

Cloud VPN unterstützt ESP im Tunnelmodus mit Authentifizierung, jedoch nicht AH oder ESP im Transportmodus.

Sie müssen IKEv2 verwenden, um IPv6-Traffic im HA VPN zu aktivieren.

Eingehende Authentifizierungspakete werden von Cloud VPN nicht nach bestimmten Richtlinien gefiltert. Ausgehende Pakete werden anhand des IP-Bereichs gefiltert, der im Cloud VPN-Gateway konfiguriert wurde.

IKE und Dead-Peer-Erkennung

Cloud VPN unterstützt die Dead-Peer-Erkennung (DPD) gemäß dem Abschnitt DPD-Protokoll von RFC 3706.

Um zu überprüfen, ob der Peer aktiv ist, kann Cloud VPN jederzeit DPD-Pakete gemäß RFC 3706 senden. Wenn die DPD-Anfragen nach mehreren Versuchen nicht zurückgegeben werden, erkennt Cloud VPN, dass der VPN-Tunnel fehlerhaft ist. Der fehlerhafte VPN-Tunnel führt wiederum dazu, dass die Routen mit diesem Tunnel als nächster Hop (BGP-Routen oder statische Routen) entfernt werden. Dies führt zu einem Failover des VM-Traffics zu anderen VPN-Tunneln, die fehlerfrei sind.

Das DPD-Intervall kann in Cloud VPN nicht konfiguriert werden.

UDP-Kapselung und NAT-T

Informationen zur Konfiguration des Peer-Geräts, um NAT-Traversal (NAT-T) mit Cloud VPN zu unterstützen, finden Sie unter UDP-Kapselung in der erweiterten Übersicht.

BYOIP (Bring your own IP) Unterstützung

Informationen zur Verwendung von BYOIP-Adressen mit Cloud VPN finden Sie unter Unterstützung für BYOIP-Adressen.

Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken

Als Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) können Sie eine Richtlinieneinschränkung erstellen, die die IP-Adressen einschränkt, die Nutzer für Peer-VPN-Gateways angeben können.

Die Einschränkung gilt für alle Cloud VPN-Tunnel – sowohl klassisches VPN als auch HA VPN – in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation.

Eine Anleitung zum Einschränken von IP-Adressen finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.

Wartung und Verfügbarkeit

Cloud VPN wird regelmäßig gewartet. Während der Wartungsarbeiten bleiben Cloud VPN-Tunnel online und der Netzwerkverkehr ist nicht betroffen. In seltenen Fällen können Tunnel kurzzeitig offline gehen, was zu einem vorübergehenden Rückgang des Netzwerktraffics führen kann. Nach Abschluss der Wartung werden die Cloud VPN-Tunnel automatisch wiederhergestellt. Diese Vorfälle werden untersucht, um Korrekturmaßnahmen zu ergreifen und zukünftige Wartungsverfahren zu verbessern.

Die Wartung von Cloud VPN zählt zu den normalen betrieblichen Aufgaben, die jederzeit ohne vorherige Ankündigung erfolgen können.

HA VPN ist die empfohlene Methode zum Konfigurieren von VPNs mit Hochverfügbarkeit. Informationen zu Konfigurationsoptionen finden Sie auf der Seite "HA VPN-Topologien". Wenn Sie aus Gründen der Redundanz und für Optionen mit hohem Durchsatz klassisches VPN verwenden, finden Sie weitere Informationen auf der Seite "Klassische VPN-Topologien".

Best Practices

Mit diesen Best Practices können Sie Ihr Cloud VPN effektiv erstellen.

Nächste Schritte