Vista geral do Cloud VPN

Esta página descreve conceitos relacionados com a Cloud VPN. Para ver as definições dos termos usados na documentação da Cloud VPN, consulte Termos principais.

A Cloud VPN estende em segurança a sua rede de pares à sua rede de nuvem virtual privada (VPC) através de uma ligação IPsec VPN. A ligação VPN encripta o tráfego que viaja entre as redes, com um gateway VPN a processar a encriptação e o outro a processar a desencriptação. Este processo protege os seus dados durante a transmissão. Também pode ligar duas redes VPC através da ligação de duas instâncias do Cloud VPN. Não pode usar a Cloud VPN para encaminhar tráfego para a Internet pública. Esta foi concebida para uma comunicação segura entre redes privadas.

Escolha uma solução de rede híbrida

Para determinar se deve usar a Cloud VPN, a Interligação dedicada, a Interligação de parceiros ou o Cloud Router como ligação de rede híbrida para Cloud de Confiance by S3NS, consulte o artigo Escolher um produto de conetividade de rede.

Tipos de Cloud VPN

Cloud de Confiance oferece dois tipos de gateways do Cloud VPN:

A tabela seguinte compara as funcionalidades da VPN de HA com as funcionalidades da VPN clássica.

Funcionalidade HA VPN VPN clássica
Criação de endereços IP externos e regras de encaminhamento Endereços IP externos criados a partir de um conjunto; não são necessárias regras de encaminhamento. Os endereços IP externos e as regras de encaminhamento têm de ser criados.
Opções de planeamento de trajeto suportadas Apenas encaminhamento dinâmico (BGP). Apenas encaminhamento estático (baseado em políticas e em rotas).
Dois túneis de um gateway do Cloud VPN para o mesmo gateway de intercâmbio Suportado Não suportado
Ligue um gateway de VPN do Google Cloud a VMs do Compute Engine com endereços IP externos. Topologia suportada e recomendada. Para mais informações, consulte as topologias de HA VPN. Compatível.
Recursos da API Conhecido como o recurso vpn-gateway. Conhecido como o recurso target-vpn-gateway.
Tráfego IPv6 Suporta pilha dupla (IPv4 e IPv6) e configuração apenas IPv6 Não suportado

Para obter informações sobre como mudar da VPN clássica para a VPN de alta disponibilidade, consulte o artigo Mude da VPN clássica para a VPN de alta disponibilidade.

HA VPN

A VPN de alta disponibilidade (HA) é uma solução de Cloud VPN que lhe permite ligar em segurança a sua rede no local à sua rede VPC através de uma ligação VPN IPsec.

Quando cria um gateway de VPN de alta disponibilidade,o Google Cloud Cloud de Confiance by S3NS escolhe automaticamente dois endereços IP externos, um para cada uma das respetivas interfaces. Cada endereço IP é escolhido automaticamente a partir de um conjunto de endereços exclusivo para suportar a elevada disponibilidade. Cada uma das interfaces do gateway de VPN de HA suporta vários túneis. Também pode criar vários gateways de HA VPN. Quando elimina o gateway de VPN de alta disponibilidade, Cloud de Confiance liberta os endereços IP para reutilização. Pode configurar um gateway de VPN de HA com apenas uma interface ativa e um endereço IP externo; no entanto, esta configuração não oferece um SLA de disponibilidade.

Na documentação da API e nos comandos gcloud, os gateways de VPN de HA são referidos como gateways de VPN e não como gateways de VPN de destino. Não tem de criar regras de encaminhamento para gateways de VPN de HA.

Ao configurar a VPN de HA, considere as seguintes diretrizes:

  • Quando liga um gateway de VPN de HA a outro gateway de VPN de HA, os gateways têm de usar tipos de pilha de IP idênticos. Por exemplo, se criar um gateway de VPN de HA com o tipo de pilha IPV4_IPV6, o outro gateway de VPN de HA também tem de estar definido como IPV4_IPV6.

  • Configure dois túneis VPN na perspetiva do gateway do Cloud VPN:

    • Se tiver dois dispositivos de gateway VPN de pares, cada um dos túneis de cada interface no gateway da Cloud VPN tem de estar ligado ao seu próprio gateway de pares.
    • Se tiver um único dispositivo de gateway de VPN de pares com duas interfaces, cada um dos túneis de cada interface no gateway de VPN do Google Cloud tem de estar ligado à sua própria interface no gateway de pares.
    • Se tiver um único dispositivo de gateway de VPN de pares com uma única interface, ambos os túneis de cada interface no gateway de VPN do Google Cloud têm de estar ligados à mesma interface no gateway de pares.

  • Um dispositivo VPN de pares tem de ser configurado com redundância adequada. O fornecedor do dispositivo especifica os detalhes de uma configuração adequadamente redundante, que pode incluir várias instâncias de hardware. Para obter detalhes, consulte a documentação do fornecedor do dispositivo VPN de pares.

    Se forem necessários dois dispositivos de pares, cada dispositivo de par tem de estar ligado a uma interface de gateway de VPN de HA diferente. Se o lado do par for outro fornecedor de nuvem, como a AWS, as ligações VPN têm de ser configuradas com uma redundância adequada também no lado da AWS.

  • O seu dispositivo de gateway VPN de pares tem de suportar o encaminhamento dinâmico do protocolo de gateway de limites (BGP).

VPN clássica

Ao contrário da VPN de HA, os gateways da VPN clássica têm uma única interface, um único endereço IP externo e suportam túneis que usam o encaminhamento estático (com base em políticas ou com base em rotas).

Os gateways de VPN clássicos não suportam IPv6.

Para topologias de VPN clássica suportadas, consulte a página de topologias de VPN clássica.

As VPNs clássicas são referidas como gateways VPN de destino na documentação da API e na CLI do Google Cloud.

Especificações

O Cloud VPN tem as seguintes especificações:

  • A VPN na nuvem só é compatível com a conetividade VPN IPsec de site a site, sujeita aos requisitos indicados nesta secção. Não suporta cenários de cliente para gateway. Por outras palavras, a Cloud VPN não suporta exemplos de utilização em que os computadores cliente têm de "ligar" a uma VPN através de software de VPN cliente.

    A VPN na nuvem só suporta IPsec. Outras tecnologias de VPN (como a VPN SSL) não são suportadas.

  • O Cloud VPN pode ser usado com redes VPC. Para as redes VPC, recomendamos as redes VPC no modo personalizado para ter controlo total sobre os intervalos de endereços IP usados pelas sub-redes na rede.

    • Os gateways de VPN clássica e VPN de alta disponibilidade usam endereços IPv4 externos (encaminháveis pela Internet). Apenas o tráfego ESP, UDP 500 e UDP 4500 é permitido para estas moradas. Isto aplica-se aos endereços da VPN na nuvem configurados por si para a VPN clássica ou aos endereços IP atribuídos automaticamente para a VPN de alta disponibilidade.

    • Se os intervalos de endereços IP para sub-redes no local se sobrepuserem aos endereços IP usados por sub-redes na sua rede VPC, para determinar como os conflitos de encaminhamento são resolvidos, consulte a Ordem das rotas.

  • O seguinte tráfego da VPN do Google Cloud permanece na Cloud de Confiance rede:

    • Entre dois gateways de VPN de alta disponibilidade
    • Entre dois gateways do Classic VPN
    • Entre um gateway de VPN clássica ou VPN de alta disponibilidade e o endereço IP externo de uma VM do Compute Engine que atua como um gateway de VPN

  • A Cloud VPN pode ser usada com o acesso privado à Google para anfitriões no local. Para mais informações, consulte o artigo Opções de acesso privado para serviços.

  • Cada gateway do Cloud VPN tem de estar ligado a outro gateway do Cloud VPN ou a um gateway do VPN de pares.

  • O gateway de VPN de pares tem de ter um endereço IPv4 externo estático (encaminhável pela Internet). Precisa deste endereço IP para configurar o Cloud VPN.

    • Se o seu gateway de VPN de pares estiver protegido por uma regra de firewall, tem de configurar a regra de firewall para transmitir o protocolo ESP (IPsec) e o tráfego IKE (UDP 500 e UDP 4500) para o mesmo. Se a regra de firewall fornecer tradução de endereços de rede (NAT), consulte Encapsulamento UDP e NAT-T.

  • O Cloud VPN requer que o gateway de VPN de intercâmbio esteja configurado para suportar a pré-fragmentação. Os pacotes têm de ser fragmentados antes de serem encapsulados.

  • A VPN na nuvem usa a deteção de repetição com uma janela de 4096 pacotes. Não pode desativar esta opção.

  • A VPN na nuvem suporta tráfego de encapsulamento de encaminhamento genérico (GRE). O suporte para GRE permite-lhe terminar o tráfego GRE numa VM a partir da Internet (endereço IP externo) e do Cloud VPN ou Cloud Interconnect (endereço IP interno). O tráfego desencapsulado pode, em seguida, ser encaminhado para um destino acessível. O GRE permite-lhe usar serviços como Secure Access Service Edge (SASE) e SD-WAN. Tem de criar uma regra de firewall para permitir o tráfego GRE.

  • Os túneis de VPN de HA suportam a troca de tráfego IPv6, mas os túneis de VPN clássica não.

Largura de banda da rede

Cada túnel do Cloud VPN suporta até 250 000 pacotes por segundo para a soma do tráfego de entrada e saída. Consoante o tamanho médio dos pacotes no túnel, 250 000 pacotes por segundo equivalem a uma largura de banda entre 1 Gbps e 3 Gbps.

As métricas relacionadas com este limite são Sent bytes e Received bytes. Tenha em atenção que a unidade das métricas é bytes, enquanto o limite de 3 Gbps se refere a bits por segundo. Quando convertido em bytes, o limite é de 375 megabytes por segundo (MBps). Ao medir a utilização em função do limite, use a soma de Sent bytes e Received bytes em comparação com o limite convertido de 375 MBps.

Fatores que afetam a largura de banda

A largura de banda é influenciada por vários fatores, incluindo os seguintes:

  • A ligação de rede entre o gateway da Cloud VPN e o seu gateway paritário:

    • Largura de banda da rede entre os dois gateways. Se tiver estabelecido uma relação de intercâmbio direto com a Google, a taxa de transferência é superior à do tráfego da VPN enviado através da Internet pública.

    • Tempo de ida e volta (RTT) e perda de pacotes. As taxas elevadas de RTT ou de perda de pacotes reduzem significativamente o desempenho do TCP.

  • Capacidades do seu gateway de VPN de intercâmbio. Para mais informações, consulte a documentação do dispositivo.

  • Tamanho do pacote. A VPN na nuvem usa o protocolo IPsec no modo de túnel, encapsulando e encriptando pacotes IP inteiros no Encapsulating Security Payload (ESP) e, em seguida, armazenando os dados ESP num segundo pacote IP externo. Consequentemente, existe um MTU de gateway para os pacotes encapsulados IPsec e um MTU de carga útil para os pacotes antes e depois do encapsulamento IPsec. Para ver detalhes, consulte as considerações sobre a MTU.

  • Taxa de pacotes. Para a entrada e a saída, a taxa máxima de pacotes recomendada para cada túnel de VPN na nuvem é de 250 000 pacotes por segundo (pps). Se precisar de enviar pacotes a uma taxa mais elevada, tem de criar mais túneis de VPN.

Ao medir a largura de banda TCP de um túnel VPN, deve medir mais do que um fluxo TCP simultâneo. Se estiver a usar a iperfferramenta, use o parâmetro -P para especificar o número de streams simultâneas.

Suporte de IPv6

O Cloud VPN suporta IPv6 na VPN de alta disponibilidade, mas não na VPN clássica.

Para suportar o tráfego IPv6 em túneis de VPN de HA, faça o seguinte:

  • Use o tipo de pilha IPV6_ONLY ou IPV4_IPV6 quando criar um gateway de VPN de alta disponibilidade e túneis que ligam redes VPC com IPv6 ativado a outras redes com IPv6 ativado. Estas redes podem ser redes nas instalações, redes multinuvem ou outras redes da VPC.

  • Inclua sub-redes de pilha dupla ou sub-redes apenas IPv6 nas suas redes de VPC com IPv6 ativado. Além disso, atribua intervalos IPv6 internos às sub-redes.

A tabela seguinte resume os endereços IP externos permitidos para cada tipo de pilha do gateway de VPN de alta disponibilidade.

Tipo de pilha Endereços IP externos do gateway suportados
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Restrições de políticas da organização para IPv6

Pode desativar a criação de todos os recursos híbridos de IPv6 no seu projeto definindo a seguinte política da organização como verdadeira:

  • constraints/compute.disableHybridCloudIpv6

Para a VPN de alta disponibilidade, esta restrição da política da organização impede a criação de gateways de VPN de alta disponibilidade de pilha dupla e gateways de VPN de alta disponibilidade apenas IPv6 no projeto. Esta política também impede a criação de sessões BGP IPv6 e anexos de VLAN de interconexão dedicada de pilha dupla.

Tipos de pilha e sessões de BGP

Os gateways de VPN de alta disponibilidade suportam diferentes tipos de stacks. O tipo de pilha de um gateway de VPN de alta disponibilidade determina que versão do tráfego de IP é permitida nos seus túneis de VPN de alta disponibilidade.

Quando cria os túneis de VPN de alta disponibilidade para um gateway de VPN de alta disponibilidade de pilha dupla, pode criar uma sessão BGP IPv6 para a troca de rotas IPv6 ou uma sessão BGP IPv4 que troca rotas IPv6 através do BGP multiprotocolo (MP-BGP).

A tabela seguinte resume os tipos de sessões BGP suportados para cada tipo de pilha.

Tipo de pilha Sessões de BGP suportadas Endereços IP externos do gateway
Pilha única (apenas IPv4) BGP IPv4, sem MP-BGP IPv4
Pilha única (apenas IPv6) BGP IPv6, sem MP-BGP IPv6
Pilha dupla (IPv4 e IPv6)
  • BGP IPv4, com ou sem MP-BGP
  • BGP IPv6, com ou sem MP-BGP
  • BGP IPv4 e BGP IPv6, sem MP-BGP
 IPv4 e IPv6

Para mais informações sobre sessões BGP, consulte o artigo Estabeleça sessões BGP na documentação do Cloud Router.

Gateways de pilha única apenas IPv4

Por predefinição, é atribuído a um gateway de VPN de alta disponibilidade o tipo de pilha apenas IPv4 e são-lhe atribuídos automaticamente dois endereços IPv4 externos.

Um gateway de VPN de alta disponibilidade apenas IPv4 só pode suportar tráfego IPv4.

Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade apenas IPv4 e sessões BGP IPv4.

Gateways de pilha única apenas IPv6

Um gateway de VPN de alta disponibilidade apenas IPv6 suporta apenas tráfego IPv6. Por predefinição, a um gateway de VPN de alta disponibilidade apenas IPv6 são atribuídos dois endereços IPv6 externos.

Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade apenas IPv6 e sessões BGP IPv6.

Gateways IPv4 e IPv6 de pilha dupla

Um gateway de VPN de alta disponibilidade configurado com o tipo de pilha de pilha dupla (IPv4 e IPv6) pode suportar tráfego IPv4 e IPv6.

Para um gateway de VPN de HA de pilha dupla, pode configurar o seu Cloud Router com uma sessão BGP IPv4, uma sessão BGP IPv6 ou ambas. Se configurar apenas uma sessão BGP, pode ativar o MP-BGP para permitir que essa sessão troque rotas IPv4 e IPv6. Se criar uma sessão de BGP IPv4 e uma sessão de BGP IPv6, não pode ativar o MP-BGP em nenhuma das sessões.

Para trocar rotas IPv6 numa sessão BGP IPv4 através do MP-BGP, tem de configurar essa sessão com endereços de salto seguinte IPv6. Da mesma forma, para trocar rotas IPv4 numa sessão BGP IPv6 com MP-BGP, tem de configurar essa sessão com endereços de próximo salto IPv4. Pode configurar estes endereços de próximo salto de forma manual ou automática.

Se configurar manualmente os endereços do próximo salto, tem de os selecionar no intervalo de endereços de unicast global (GUA) IPv6 pertencentes à Google 2600:2d00:0:2::/63, ou no intervalo de endereços locais de ligação IPv4 169.254.0.0./16. Estes intervalos de endereços IP são pré-atribuídos pela Google. Os endereços IP do próximo salto que selecionar têm de ser únicos em todos os Cloud Routers na sua rede VPC.

Se selecionar a configuração automática,o sistema Cloud de Confiance seleciona os endereços IP do próximo salto por si.

Use os procedimentos seguintes para criar gateways de VPN de alta disponibilidade de pilha dupla e todas as sessões BGP suportadas.

Compatibilidade com IPsec e IKE

A VPN Cloud suporta IKEv1 e IKEv2 através de uma chave pré-partilhada IKE (segredo partilhado) e cifras IKE. O Cloud VPN só suporta uma chave pré-partilhada para autenticação. Quando criar o túnel do Cloud VPN, especifique uma chave pré-partilhada. Quando criar o túnel no gateway de pares, especifique esta mesma chave pré-partilhada. Para obter informações sobre como criar uma chave pré-partilhada forte, consulte o artigo Gere uma chave pré-partilhada forte.

A VPN do Google Cloud suporta o ESP no modo de túnel com autenticação, mas não suporta o AH nem o ESP no modo de transporte.

Tem de usar o IKEv2 para ativar o tráfego IPv6 na VPN de alta disponibilidade.

A VPN na nuvem não realiza filtragem relacionada com políticas em pacotes de autenticação recebidos. Os pacotes de saída são filtrados com base no intervalo de IP configurado no gateway do Cloud VPN.

IKE e deteção de pares inativos

A VPN do Google Cloud suporta a deteção de pares inativos (DPD), de acordo com a secção DPD Protocol de RFC 3706.

Para verificar se o par está ativo, o Cloud VPN pode enviar pacotes DPD em qualquer altura, de acordo com a RFC 3706. Se os pedidos DPD não forem devolvidos após várias tentativas, a VPN do Google Cloud reconhece que o túnel de VPN não está em bom estado. Por sua vez, o túnel de VPN não saudável faz com que as rotas que usam este túnel como um salto seguinte (rotas BGP ou rotas estáticas) sejam removidas, o que aciona uma comutação por falha do tráfego de VM para outros túneis de VPN saudáveis.

O intervalo DPD não é configurável no Cloud VPN.

Encapsulamento UDP e NAT-T

Para informações sobre como configurar o seu dispositivo de pares para suportar a NAT-Traversal (NAT-T) com a VPN na nuvem, consulte o artigo Encapsulamento UDP na vista geral avançada.

Compatibilidade com a funcionalidade Traga o seu próprio IP (BYOIP)

Para ver informações sobre a utilização de endereços BYOIP com a VPN do Google Cloud, consulte o artigo Suporte para endereços BYOIP.

Restringir endereços IP de pares através de um túnel do Cloud VPN

Se for um administrador da política da organização (roles/orgpolicy.policyAdmin), pode criar uma restrição de política que restrinja os endereços IP que os utilizadores podem especificar para gateways de VPNs de pares.

A restrição aplica-se a todos os túneis de VPN do Cloud, tanto a VPN clássica como a VPN de alta disponibilidade, num projeto, numa pasta ou numa organização específicos.

Para ver os passos que descrevem como restringir endereços IP, consulte o artigo Restrinja endereços IP para gateways de VPN de pares.

Manutenção e disponibilidade

A VPN na nuvem é submetida a manutenção periódica durante a qual os túneis da VPN na nuvem permanecem online e o tráfego de rede não é afetado. Em cenários raros, os túneis podem ficar brevemente offline, o que pode causar uma diminuição momentânea no tráfego de rede. Após a conclusão da manutenção, os túneis da VPN na nuvem são restabelecidos automaticamente. Estes incidentes são investigados para implementar ações corretivas e melhorar os procedimentos de manutenção futuros.

A manutenção da Cloud VPN é uma tarefa operacional normal que pode ocorrer em qualquer altura sem aviso prévio.

A VPN de alta disponibilidade é o método recomendado para configurar VPNs de alta disponibilidade. Para ver as opções de configuração, consulte a página de topologias de VPN de alta disponibilidade. Se estiver a usar a VPN clássica para opções de redundância e débito elevado, consulte a página Topologias de VPN clássica.

Práticas recomendadas

Para criar a sua VPN do Google Cloud de forma eficaz, use estas práticas recomendadas.

O que se segue?