Présentation de Cloud VPN

Cette page décrit les concepts liés à Cloud VPN. Pour connaître la définition des termes utilisés dans la documentation Cloud VPN, consultez la section Termes clés.

Cloud VPN connecte votre réseau de pairs à votre réseau cloud privé virtuel (VPC) via une connexion VPN IPsec. La connexion VPN chiffre le trafic circulant entre les réseaux, une passerelle VPN gérant le chiffrement et l'autre traitant le déchiffrement. Ce processus protège vos données pendant leur transmission. Vous pouvez également connecter deux réseaux VPC en connectant deux instances Cloud VPN. Vous ne pouvez pas utiliser Cloud VPN pour acheminer le trafic vers l'Internet public. Il est conçu pour permettre une communication sécurisée entre les réseaux privés.

Choisir une solution de mise en réseau hybride

Pour déterminer s'il convient d'utiliser Cloud VPN, interconnexion dédiée, interconnexion partenaire ou Cloud Router comme connexion réseau hybride à Cloud de Confiance by S3NS, consultez la page Choisir un produit de connectivité réseau.

Types de Cloud VPN

Cloud de Confiance propose deux types de passerelles Cloud VPN :

Le tableau suivant compare les fonctionnalités des VPN haute disponibilité avec les fonctionnalités des VPN classiques.

Caractéristique VPN haute disponibilité VPN classique
Création d'adresses IP externes et de règles de transfert Adresses IP externes créées à partir d'un pool : aucune règle de transfert requise. Les adresses IP externes et les règles de transfert doivent être créées.
Options de routage acceptées Routage dynamique uniquement (BGP). Routage statique uniquement (basé sur des règles ou sur des routes).
Deux tunnels entre une passerelle Cloud VPN et la même passerelle de pairs Compatible Non compatible
Connectez une passerelle Cloud VPN à des VM Compute Engine avec des adresses IP externes. Topologie acceptée et recommandée. Pour en savoir plus, consultez Topologies des VPN haute disponibilité. Compatible
Ressources de l'API Appelée ressource vpn-gateway. Appelée ressource target-vpn-gateway.
Trafic IPv6 Compatible avec la configuration à double pile (IPv4 et IPv6) et IPv6 uniquement Non compatible

Pour savoir comment passer d'un VPN classique à un VPN haute disponibilité, consultez Passer d'un VPN classique à un VPN haute disponibilité.

VPN haute disponibilité

Un VPN haute disponibilité est une solution Cloud VPN offrant une disponibilité élevée. Ce type de VPN vous permet de connecter en toute sécurité votre réseau local à votre réseau de cloud privé virtuel (VPC) via une connexion VPN IPsec.

Lorsque vous créez une passerelle VPN haute disponibilité, Cloud de Confiance by S3NS choisit automatiquement deux adresses IP externes, une pour chacune de ses interfaces. Chaque adresse IP est automatiquement sélectionnée parmi un pool d'adresses unique afin de garantir une disponibilité élevée. Chacune des interfaces de passerelle VPN haute disponibilité accepte plusieurs tunnels. Vous pouvez également créer plusieurs passerelles VPN haute disponibilité. Lorsque vous supprimez la passerelle VPN haute disponibilité, Cloud de Confiance libère les adresses IP afin de les réutiliser. Une seule interface active et une seule adresse IP externe suffisent pour configurer une passerelle VPN haute disponibilité. Toutefois, cette configuration ne garantit pas de disponibilité dans le contrat de niveau de service.

Dans la documentation de l'API et dans les commandes gcloud, les passerelles VPN haute disponibilité sont appelées passerelles VPN, plutôt que passerelles VPN cibles. Vous n'avez pas à créer de règles de transfert pour les passerelles VPN haute disponibilité.

Lors de la configuration d'un VPN haute disponibilité, tenez compte des instructions suivantes :

  • Lorsque vous connectez une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité, celles-ci doivent utiliser des types de piles IP identiques. Par exemple, si vous créez une passerelle VPN haute disponibilité avec le type de pile IPV4_IPV6, l'autre passerelle VPN haute disponibilité doit également être définie sur IPV4_IPV6.

  • Configurez deux tunnels VPN du point de vue de la passerelle Cloud VPN :

    • Si vous disposez de deux passerelles VPN de pairs, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à deux interfaces, vous devez connecter chacun des tunnels de chaque interface de la passerelle Cloud VPN à sa propre interface sur la passerelle de pairs.
    • Si vous disposez d'une seule passerelle VPN de pairs à une seule interface, vous devez connecter les deux tunnels de chaque interface de la passerelle Cloud VPN à la même interface sur la passerelle de pairs.

  • Les appareils de VPN de pairs doivent être configurés avec une redondance adéquate. Le fournisseur de l'appareil spécifie les détails d'une configuration suffisamment redondante, qui peut inclure plusieurs instances matérielles. Pour en savoir plus, reportez-vous à la documentation du fournisseur sur l'appareil du VPN de pairs.

    Si deux appareils de pairs sont requis, vous devez connecter chaque appareil à une passerelle VPN haute disponibilité différente. Si un côté appairé utilise un autre fournisseur de services cloud comme AWS, vous devez définir une redondance adéquate pour les connexions VPN du côté AWS.

  • Votre passerelle VPN de pairs doit accepter le routage BGP (Border Gateway Protocol) dynamique.

VPN classique

Contrairement au VPN haute disponibilité, les passerelles VPN classiques possèdent une interface unique et une seule adresse IP externe, et acceptent les tunnels qui utilisent un routage statique (basé sur des règles ou des routes).

Les passerelles VPN classiques ne sont pas compatibles avec IPv6.

Pour en savoir plus sur les topologies de VPN classiques compatibles, consultez la page Topologies classiques des VPN.

Dans la documentation de l'API et dans Google Cloud CLI, les VPN classiques sont appelés passerelles VPN cibles.

Spécifications

Cloud VPN est soumis aux spécifications ci-dessous.

  • Cloud VPN n'accepte que la connectivité VPN IPsec de site à site, sous réserve du respect des exigences répertoriées dans cette section. Cloud VPN n'est pas compatible avec les scénarios de client à passerelle. En d'autres termes, Cloud VPN n'est pas adapté aux cas d'utilisation où les ordinateurs clients doivent se connecter à un VPN à l'aide d'un logiciel VPN client.

    Cloud VPN n'accepte que le protocole IPSec. Les autres technologies VPN (telles que les VPN SSL) ne sont pas compatibles.

  • Cloud VPN peut être utilisé avec des réseaux VPC.  Pour les réseaux VPC, nous vous recommandons d'utiliser les réseaux VPC en mode personnalisé afin de bénéficier d'un contrôle total sur les plages d'adresses IP utilisées par les sous-réseaux du réseau.

    • Les passerelles de VPN classique et de VPN haute disponibilité utilisent des adresses IPv4 externes (routables sur Internet). Seuls les trafics ESP, UDP 500 et UDP 4500 sont autorisés vers ces adresses. Cela s'applique aux adresses Cloud VPN configurées pour le VPN classique ou aux adresses IP attribuées automatiquement pour le VPN haute disponibilité.

    • Si les plages d'adresses IP des sous-réseaux sur site chevauchent les adresses IP utilisées par les sous-réseaux du réseau VPC, consultez la page Ordre de priorité des routes pour savoir comment résoudre les conflits liés au routage.

  • Le trafic Cloud VPN suivant reste au sein du réseauCloud de Confiance  :

    • Entre deux passerelles VPN haute disponibilité
    • Entre deux passerelles VPN classiques
    • Entre une passerelle VPN classique ou VPN haute disponibilité et l'adresse IP externe d'une VM Compute Engine faisant office de passerelle VPN

  • Cloud VPN peut être utilisé avec l'accès privé à Google pour les hôtes sur site. Pour en savoir plus, consultez la section Options d'accès privé pour les services.

  • Chaque passerelle Cloud VPN doit être connectée à une autre passerelle Cloud VPN ou à une passerelle VPN de pairs.

  • La passerelle VPN de pairs doit posséder une adresse IPv4 externe statique (routable sur Internet). Vous avez besoin de cette adresse IP pour configurer Cloud VPN.

    • Si votre passerelle VPN de pairs se situe derrière une règle de pare-feu, vous devez configurer cette dernière pour qu'elle lui transmette le trafic du protocole ESP (IPSec) et IKE (UDP 500 et UDP 4500). Si le pare-feu assure la traduction des adresses réseau (NAT), consultez la section Encapsulation du protocole UDP et mode NAT-T.

  • Cloud VPN requiert que la passerelle VPN de pairs soit configurée pour accepter la préfragmentation. Les paquets doivent être fragmentés avant d'être encapsulés.

  • Cloud VPN utilise la détection de répétition avec un intervalle de 4 096 paquets. Vous ne pouvez pas désactiver cette fonctionnalité.

  • Cloud VPN accepte le trafic GRE (encapsulation de routage générique). Grâce à la compatibilité GRE, vous pouvez interrompre le trafic GRE sur une VM depuis Internet (adresse IP externe), et Cloud VPN ou Cloud Interconnect (adresse IP interne). Le trafic déchiffré peut alors être transmis à une destination accessible. GRE vous permet d'utiliser des services tels que SASE (Secure Service Access Edge) et SD-WAN. Vous devez créer une règle de pare-feu pour autoriser le trafic GRE.

  • Les tunnels VPN haute disponibilité acceptent l'échange de trafic IPv6, contrairement aux tunnels VPN classiques.

Bande passante réseau

Chaque tunnel Cloud VPN accepte jusqu'à 250 000 paquets par seconde pour la somme du trafic entrant et sortant. En fonction de la taille moyenne des paquets dans le tunnel, 250 000 paquets par seconde équivaut à entre 1 et 3 Gbit/s de bande passante.

Les métriques associées à cette limite sont Sent bytes et Received bytes. Notez bien que les métriques sont exprimées en octets tandis que la limite de 3 Gbit/s fait référence à des bits par seconde. Une fois convertie en octets, la limite est de 375 mégaoctets par seconde (Mo/s). Lorsque vous comparez l'utilisation à la limite, utilisez la somme de Sent bytes et de Received bytes, et comparez cette valeur à la limite après conversion, soit 375 Mo/s.

Facteurs ayant une incidence sur la bande passante

La bande passante est influencée par un certain nombre de facteurs, y compris les suivants :

  • La connexion réseau entre la passerelle Cloud VPN et votre passerelle de pairs :

    • Bande passante réseau entre les deux passerelles. Le débit est plus élevé si vous avez établi une relation d'appairage direct avec Google que si votre trafic VPN était envoyé via l'Internet public.

    • Délai aller-retour (DAR) et perte de paquets : les taux élevés de DAR ou de perte de paquets réduisent considérablement les performances TCP.

  • Fonctionnalités de votre passerelle VPN de pairs. Pour en savoir plus, consultez la documentation sur votre appareil.

  • Taille des paquets. Cloud VPN utilise le protocole IPsec en mode tunnel : il encapsule et chiffre les paquets IP entiers dans Encapsulating Security Payload (ESP), puis stocke les données ESP dans un deuxième paquet IP externe. Par conséquent, il existe à la fois une MTU de passerelle pour les paquets encapsulés IPsec et une MTU de charge utile pour les paquets avant et après l'encapsulation IPsec. Pour en savoir plus, consultez la section Considérations relatives aux MTU.

  • Débit de paquets. Pour les entrées et les sorties, le débit de paquets maximal recommandé pour chaque tunnel Cloud VPN est de 250 000 paquets par seconde (pps). Pour envoyer des paquets à une vitesse supérieure, vous devez créer d'autres tunnels VPN.

Lorsque vous mesurez la bande passante TCP d'un tunnel VPN, vous devez mesurer plusieurs flux TCP simultanés. Si vous utilisez l'outil iperf, utilisez le paramètre -P pour spécifier le nombre de flux simultanés.

Compatibilité IPv6

Cloud VPN est compatible avec le protocole IPv6 dans les VPN haute disponibilité, mais pas dans les VPN classiques.

Pour accepter le trafic IPv6 dans les tunnels VPN haute disponibilité, procédez comme suit :

  • Utilisez le type de pile IPV6_ONLY ou IPV4_IPV6 lorsque vous créez une passerelle VPN haute disponibilité et des tunnels qui connectent des réseaux VPC compatibles IPv6 à d'autres réseaux compatibles IPv6. Il peut s'agir de réseaux sur site, de réseaux multicloud ou d'autres réseaux VPC.

  • Incluez des sous-réseaux à double pile ou IPv6 uniquement dans vos réseaux VPC compatibles avec IPv6. Attribuez également des plages IPv6 internes aux sous-réseaux.

Le tableau suivant récapitule les adresses IP externes autorisées pour chaque type de pile de passerelle VPN haute disponibilité.

Type de pile Adresses IP externes de passerelle compatibles
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Contraintes applicables aux règles d'administration pour IPv6

Vous pouvez désactiver la création de ressources IPv6 hybrides dans votre projet en définissant la règle d'administration suivante sur "true" :

  • constraints/compute.disableHybridCloudIpv6

Pour les VPN haute disponibilité, cette contrainte de règle d'administration empêche la création de passerelles VPN haute disponibilité double pile et de passerelles VPN haute disponibilité IPv6 uniquement dans le projet. Cette règle empêche également la création de sessions BGP IPv6 et de rattachements de VLAN Dedicated Interconnect à double pile.

Types de piles et sessions BGP

Les passerelles VPN haute disponibilité acceptent différents types de piles. Le type de pile d'une passerelle VPN haute disponibilité détermine la version du trafic IP autorisée dans vos tunnels VPN haute disponibilité.

Lorsque vous créez les tunnels VPN haute disponibilité pour une passerelle VPN haute disponibilité à double pile, vous pouvez créer une session BGP IPv6 pour l'échange de route IPv6 ou une session BGP IPv4 qui échange des routes IPv6 via le protocole BGP multiprotocole (MP-BGP).

Le tableau suivant récapitule les types de sessions BGP compatibles pour chaque type de pile.

Type de pile Sessions BGP compatibles Adresses IP externes de la passerelle
Pile unique (IPv4 uniquement) IPv4 BGP, pas de MP-BGP IPv4
Pile unique (IPv6 uniquement) IPv4 BGP, pas de MP-BGP IPv6
Double pile (IPv4 et IPv6)
  • IPv4 BGP, avec ou sans MP-BGP
  • IPv6 BGP, avec ou sans MP-BGP
  • IPv4 BGP et IPv6 BGP, pas MP-BGP
 IPv4 et IPv6

Pour en savoir plus sur les sessions BGP, consultez la section Établir des sessions BGP dans la documentation de Cloud Router.

Passerelles IPv4 uniquement à pile unique

Par défaut, une passerelle VPN haute disponibilité se voit attribuer le type de pile IPv4 uniquement et se voit automatiquement attribuer deux adresses IPv4 externes.

Une passerelle VPN haute disponibilité IPv4 uniquement n'accepte que le trafic IPv4.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité IPv4 uniquement et des sessions IPv4 BGP.

Passerelles IPv6 uniquement à simple pile

Une passerelle VPN haute disponibilité IPv6-only n'accepte que le trafic IPv6. Par défaut, une passerelle VPN haute disponibilité IPv6 uniquement se voit attribuer deux adresses IPv6 externes.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité IPv6-only et des sessions BGP IPv6.

Passerelles IPv4 et IPv6 à double pile

Une passerelle VPN haute disponibilité configurée avec les types de piles double pile (IPv4 et IPv6) peut accepter aussi bien le trafic IPv4 que le trafic IPv6.

Pour une passerelle VPN haute disponibilité à double pile, vous pouvez configurer votre routeur Cloud Router avec une session IPv4 BGP, une session IPv6 BGP ou les deux. Si vous ne configurez qu'une seule session BGP, vous pouvez activer MP-BGP pour permettre à cette session d'échanger des routes IPv4 et IPv6. Si vous créez une session IPv4 BGP et une session IPv6 BGP, vous ne pouvez pas activer MP-BGP sur les deux sessions.

Pour échanger des routes IPv6 sur une session IPv4 BGP à l'aide de MP-BGP, vous devez configurer cette session avec des adresses de saut suivant IPv6. De même, pour échanger des routes IPv4 sur une session IPv6 BGP à l'aide de MP-BGP, vous devez configurer cette session avec des adresses de saut suivant IPv4. Vous pouvez configurer ces adresses de saut suivant manuellement ou automatiquement.

Si vous configurez les adresses de prochain saut manuellement, vous devez les sélectionner dans la plage d'adresses IPv6 GUA (Global Unicast Address) 2600:2d00:0:2::/63 de Google ou dans la plage d'adresses IPv4 de liaison locale 169.254.0.0./16. Ces plages d'adresses IP sont préallouées par Google. Les adresses IP de prochain saut que vous sélectionnez doivent être uniques pour tous les routeurs Cloud Router de votre réseau VPC.

Si vous sélectionnez la configuration automatique, Cloud de Confiance sélectionne pour vous les adresses IP de prochain saut.

Utilisez les procédures suivantes pour créer des passerelles VPN haute disponibilité à double pile et toutes les sessions BGP compatibles.

Compatibilité IPsec et IKE

Cloud VPN accepte IKEv1 et IKEv2 avec une clé pré-partagée IKE (secret partagé) et des algorithmes de chiffrement IKE. Cloud VPN n'accepte qu'une clé pré-partagée pour l'authentification. Lorsque vous créez le tunnel Cloud VPN, spécifiez une clé pré-partagée. Lorsque vous créez le tunnel sur la passerelle de pairs, spécifiez cette même clé pré-partagée. Pour en savoir plus sur la création d'une clé pré-partagée sécurisée, consultez Générer une clé pré-partagée sécurisée.

Cloud VPN est compatible avec ESP en mode tunnel avec authentification, mais n'est pas compatible avec AH ou ESP en mode de transport.

Vous devez utiliser IKEv2 pour activer le trafic IPv6 dans les VPN haute disponibilité.

Il n'applique pas de filtrage lié aux règles aux paquets d'authentification entrants. Les paquets sortants sont filtrés en fonction de la plage d'adresses IP qui est configurée sur la passerelle Cloud VPN.

IKE et DPD (Dead Peer Detection)

Cloud VPN est compatible avec la détection des pairs morts (DPD), comme décrit dans la section Protocole DPD de la RFC 3706.

Pour vérifier que le pair est actif, Cloud VPN peut envoyer des paquets DPD à tout moment, conformément à la RFC 3706. Si les requêtes DPD ne sont pas renvoyées après plusieurs tentatives, Cloud VPN reconnaît que le tunnel VPN n'est pas sain. Le tunnel VPN défaillant entraîne à son tour la suppression des routes qui utilisent ce tunnel comme prochain saut (routes BGP ou routes statiques), ce qui déclenche un basculement du trafic de la VM vers d'autres tunnels VPN opérationnels.

L'intervalle DPD n'est pas configurable dans Cloud VPN.

Encapsulation du protocole UDP et mode NAT-T

Pour plus d'informations sur la configuration de votre appareil pair pour prendre en charge NAT-Traversal (NAT-T) avec Cloud VPN, consultez la section Encapsulation UDP dans la présentation avancée.

Compatibilité avec l'utilisation de vos propres adresses IP (BYOIP)

Pour plus d'informations sur l'utilisation des adresses BYOIP avec Cloud VPN, consultez la section Compatibilité avec les adresses BYOIP.

Restreindre les adresses IP d'appairage via un tunnel Cloud VPN

Si vous êtes administrateur de règles d'administration roles/orgpolicy.policyAdmin, vous pouvez créer une contrainte de règle qui limite les adresses IP que les utilisateurs peuvent spécifier pour les passerelles VPN de pairs.

La restriction s'applique à tous les tunnels Cloud VPN, qu'il s'agisse de VPN classiques ou de VPN haute disponibilité, dans un projet, un dossier ou une organisation spécifique.

Pour connaître la procédure à suivre pour restreindre les adresses IP, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.

Maintenance et disponibilité

Cloud VPN fait l'objet d'une maintenance périodique pendant laquelle les tunnels Cloud VPN restent en ligne et le trafic réseau n'est pas affecté. Dans de rares cas, les tunnels peuvent être brièvement mis hors connexion, ce qui peut entraîner une baisse momentanée du trafic réseau. Une fois la maintenance terminée, les tunnels Cloud VPN sont automatiquement rétablis. Nous analysons ces incidents pour mettre en œuvre des mesures correctives et améliorer les futures procédures de maintenance.

La maintenance de Cloud VPN est une tâche opérationnelle normale pouvant survenir à tout moment sans préavis.

Le VPN haute disponibilité est la méthode recommandée pour configurer des VPN haute disponibilité. Pour en savoir plus sur les options de configuration, consultez la page Topologies des VPN haute disponibilité. Si vous utilisez le VPN classique pour les options de redondance et de haut débit, consultez la page Topologies des VPN classiques.

Bonnes pratiques

Pour créer efficacement un Cloud VPN, suivez ces bonnes pratiques.

Étapes suivantes