Questo documento descrive le topologie consigliate e il corrispondente accordo sul livello del servizio (SLA) di disponibilità per ciascuna topologia VPN ad alta disponibilità. Per le topologie VPN classica, consulta Topologie VPN classica. Per ulteriori informazioni su Cloud VPN, inclusi entrambi i tipi di VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.
Panoramica
La VPN ad alta disponibilità supporta una delle seguenti topologie consigliate:
Connettiti Trusted Cloud al gateway VPN peer. Questa topologia richiede due tunnel VPN dal gateway VPN ad alta disponibilità per raggiungere lo SLA di alta disponibilità. In questa configurazione, la VPN ad alta disponibilità ha tre configurazioni tipiche di gateway peer:
- Due gateway VPN peer separati, ognuno con il proprio indirizzo IP.
- Un gateway VPN peer con due indirizzi IP separati.
- Un gateway VPN peer con un indirizzo IP.
Connetti più reti VPC. Trusted Cloud Per connettere due reti VPC, crea un gateway VPN ad alta disponibilità in ogni rete.Le reti possono trovarsi nella stessa regione o in regioni diverse. Trusted Cloud
Connetti un gateway VPN ad alta disponibilità alle istanze VM di Compute Engine. In questa topologia, connetti un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine. Le istanze VM possono trovarsi nella stessa zona o in zone diverse.
Lo SLA di disponibilità dell'istanza VM di Compute Engine determina lo SLA di disponibilità per la connessione VPN.
VPN ad alta disponibilità su Cloud Interconnect. In questa topologia, crei tunnel VPN ad alta disponibilità per trasportare il traffico criptato con IPsec tramite i collegamenti VLAN di Dedicated Interconnect o Partner Interconnect.. Il gateway VPN peer può avere anche indirizzi IP interni. Per ulteriori informazioni e diagrammi dell'architettura, consulta Architettura del deployment della VPN ad alta disponibilità su Cloud Interconnect.
In Trusted Cloud by S3NS, tutti gli scenari di gateway peer sono rappresentati da una singola risorsa VPN peer esterna.
Configurazioni ad alta disponibilità per la VPN ad alta disponibilità
La seguente tabella illustra gli SLA di disponibilità offerti da diverse configurazioni VPN ad alta disponibilità:
| Topologia | Descrizione | Disponibilità garantita da SLA |
|---|---|---|
| Connettiti Trusted Cloud al tuo gateway VPN peer | Connetti un gateway VPN ad alta disponibilità a uno o due gateway VPN peer separati | 99,99% |
| Connetti le reti VPC utilizzando gateway VPN ad alta disponibilità | Connetti due reti VPC Trusted Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. | 99,99% |
| VPN ad alta disponibilità alle istanze VM di Compute Engine in più zone | Connetti un gateway VPN ad alta disponibilità a istanze VM di Compute Engine con indirizzi IP esterni | 99,9% |
| VPN ad alta disponibilità a una singola istanza VM di Compute Engine | Connetti un gateway VPN ad alta disponibilità a una sola istanza VM di Compute Engine con un indirizzo IP esterno | Lo SLA di disponibilità è determinato dallo SLA di disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per ulteriori informazioni, consulta l'Accordo sul livello del servizio (SLA) Compute Engine. |
Per contribuire a garantire lo SLA (accordo sul livello del servizio) con disponibilità massima per le connessioni VPN ad alta disponibilità, ti consigliamo di configurare due tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità. Assicurati che anche il gateway VPN peer sia configurato per ricevere lo stesso SLA di disponibilità.
Per mantenere la connettività in caso di errore di uno dei tunnel, connetti tutte le interfacce del gateway VPN ad alta disponibilità a tutte le interfacce del gateway peer o di un altro gateway VPN ad alta disponibilità.
Connettiti Trusted Cloud al gateway VPN peer
Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità:
- Un gateway VPN ad alta disponibilità connesso a due gateway VPN peer separati, ognuno con il proprio indirizzo IP
- Un gateway VPN ad alta disponibilità connesso a un gateway VPN peer che utilizza due indirizzi IP separati
- Un gateway VPN ad alta disponibilità connesso a un gateway VPN peer che utilizza un indirizzo IP
Per configurare una di queste configurazioni, consulta Creazione di una VPN ad alta disponibilità connessa a un gateway VPN peer.
Se implementi un gateway VPN ad alta disponibilità con tipo di stack IPV6_ONLY o IPV4_IPV6, i tuoi tunnel VPN possono supportare lo scambio di traffico IPv6. IPv6 deve essere attivato anche nelle sessioni BGP che crei per i tunnel VPN. In questo scenario, puoi assegnare indirizzi IPv6 alle subnet on-premise e alle subnet VPC nelle seguenti topologie. Per maggiori informazioni, consulta Supporto IPv6.
Connetti due gateway VPN peer
Se il gateway lato peer è basato su hardware, avere un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per gli upgrade del software o altre operazioni di manutenzione pianificate. Inoltre, ti protegge nel caso si verifichi un errore in uno dei gateway fisici.
In questa topologia, un gateway VPN ad alta disponibilità si connette a due gateway VPN peer. Ogni gateway VPN peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni gateway VPN peer.
In Trusted Cloud, il parametro REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce uno SLA con disponibilità del 99,99%.
Connetti un gateway VPN peer con due indirizzi IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer con due indirizzi IP esterni separati. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni indirizzo IP esterno sul gateway VPN peer.
In Trusted Cloud, REDUNDANCY_TYPE per questa configurazione assume
il valore TWO_IPS_REDUNDANCY.
L'esempio seguente fornisce uno SLA con disponibilità del 99,99%.
Connettere un gateway VPN peer con un indirizzo IP
Questa topologia descrive un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer con un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, entrambi verso l'unico indirizzo IP esterno sul gateway VPN peer.
In Trusted Cloud, il parametro REDUNDANCY_TYPE per questa configurazione assume il valore
SINGLE_IP_INTERNALLY_REDUNDANT.
L'esempio seguente fornisce uno SLA con disponibilità del 99,99%.
Configurare lo SLA con disponibilità del 99,99%
Per soddisfare lo SLA (accordo sul livello del servizio) con disponibilità del 99,99% sul lato Trusted Cloud , deve esistere un tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità alle interfacce corrispondenti sul gateway peer.
Se il gateway peer ha due interfacce, la configurazione di due tunnel, uno da ogni interfaccia peer a ogni interfaccia del gateway VPN ad alta disponibilità, soddisfa i requisiti per lo SLA di disponibilità del 99,99%. Una configurazione full mesh non è richiesta per lo SLA con disponibilità del 99,99% sul lato Trusted Cloud . In questo caso, una mesh completa è definita come due tunnel da ogni interfaccia VPN ad alta disponibilità a ciascuna delle due interfacce sul gateway peer. Per verificare se il tuo fornitore di VPN consiglia una configurazione mesh completa, consulta la documentazione del gateway VPN peer (on-premise) o contatta il fornitore della VPN.
Nelle configurazioni con due interfacce peer, i tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità corrispondono alle interfacce corrispondenti sul gateway o sui gateway peer:
- VPN ad alta disponibilità
interface 0a peerinterface 0 - VPN ad alta disponibilità
interface 1a peerinterface 1
Gli esempi sono mostrati nei diagrammi per due gateway VPN peer, due interfacce e un gateway VPN peer, due interfacce.
Se è presente una sola interfaccia peer su un gateway peer, ogni tunnel da ogni interfaccia gateway VPN ad alta disponibilità deve connettersi alla singola interfaccia peer. Consulta il diagramma per un gateway VPN peer, un'interfaccia.
Il seguente esempio non fornisce uno SLA con disponibilità del 99,99%:
- VPN ad alta disponibilità
interface 0a peerinterface 0
Opzioni di routing attiva/attiva e attiva/passiva per la VPN ad alta disponibilità
Se un tunnel Cloud VPN non funziona, viene riavviato automaticamente. Se un intero dispositivo VPN virtuale non funziona, Cloud VPN ne crea automaticamente uno nuovo con la stessa configurazione. Il nuovo gateway e il nuovo tunnel si connettono automaticamente.
I tunnel VPN connessi a gateway VPN ad alta disponibilità devono utilizzare il routing dinamico (BGP). In base al modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attiva-attiva o attiva-passiva. Per entrambe queste configurazioni di routing, entrambi i tunnel VPN rimangono attivi.
La tabella seguente confronta le funzionalità di una configurazione di routing attiva/attiva o attiva/passiva.
| Funzionalità | Active-active | Attivo-passivo |
|---|---|---|
| Velocità effettiva | Il throughput aggregato effettivo è il throughput combinato di entrambi i tunnel. | Dopo la riduzione da due tunnel attivi a uno, la velocità effettiva complessiva viene dimezzata, il che può comportare una connettività più lenta o pacchetti persi. |
| Annuncio di route | Il gateway peer annuncia le route della rete peer con valori di discriminatore multi-exit (MED) identici per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità identiche. Il traffico in uscita inviato alla rete peer utilizza il routing ECMP (Equal-cost multipath). Lo stesso router Cloud utilizza priorità identiche per annunciare le route alla tua rete VPC. Il gateway peer utilizza ECMP per utilizzare queste route per inviare il traffico di uscita a Trusted Cloud. |
Il gateway peer pubblicizza le route della rete peer con valori MED diversi per ogni tunnel. Il router Cloud che gestisce i tunnel Cloud VPN importa queste route come route dinamiche personalizzate nella tua rete VPC con priorità diverse. Il traffico in uscita inviato alla tua rete peer utilizza la route con la priorità più alta, a condizione che il tunnel associato sia disponibile. Lo stesso router Cloud utilizza priorità diverse per ogni tunnel per annunciare le route alla tua rete VPC. Il gateway peer può utilizzare solo il tunnel con la priorità più alta per inviare traffico a Trusted Cloud. |
| Failover | Se il tunnel non è integro, ad esempio perché DPD non è attivo,router Cloudr ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un'interruzione della sessione BGP, router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare l'interruzione del tunnel. La procedura di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. |
Se il tunnel non è integro, ad esempio perché DPD non è attivo,router Cloudr ritira le route apprese i cui hop successivi sono il tunnel non disponibile. Se si verifica un'interruzione della sessione BGP, router Cloud rimuove le route apprese i cui hop successivi sono il tunnel non disponibile, senza causare l'interruzione del tunnel. La procedura di ritiro può richiedere 40-60 secondi, durante i quali è prevista la perdita di pacchetti. Utilizza al massimo un tunnel alla volta, in modo che il secondo tunnel possa gestire tutta la larghezza di banda di uscita se il primo tunnel non funziona e deve essere sottoposto a failover. |
Routing attivo/passivo nelle topologie mesh complete
Se Cloud Router riceve lo stesso prefisso con valori MED diversi tramite una determinata interfaccia Cloud VPN, importa solo la route con la priorità più alta nella rete VPC. Le altre route inattive non sono visibili nella console Trusted Cloud o tramite Google Cloud CLI. Se la route con la priorità più alta non è più disponibile, router Cloud la ritira e importa automaticamente la route migliore successiva nella rete VPC.
Utilizzo di più tunnel o gateway
A seconda della configurazione del gateway peer, è possibile costruire route in modo che parte del traffico attraversi un tunnel e un'altra parte un altro tunnel a causa delle priorità delle route (valori MED). Allo stesso modo, puoi modificare la priorità di base che router Cloud utilizza per condividere le route di rete VPC. Queste situazioni mostrano possibili configurazioni di routing che non sono puramente attive/attive né puramente attive/passive.
Opzione di routing consigliata
Quando utilizzi un singolo gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attivo-passivo. Con questa configurazione, la capacità di larghezza di banda osservata al momento del normale funzionamento del tunnel corrisponde alla capacità di larghezza di banda osservata durante il failover. Questo tipo di configurazione è più facile da gestire perché il limite di larghezza di banda osservato rimane costante, ad eccezione dello scenario con più gateway descritto in precedenza.
Quando utilizzi più gateway VPN ad alta disponibilità, ti consigliamo di utilizzare una configurazione di routing attiva/attiva. Con questa configurazione, la capacità di larghezza di banda osservata durante il normale funzionamento del tunnel è il doppio di quella massima. Tuttavia, questa configurazione esegue il provisioning dei tunnel e può causare la perdita di traffico in caso di failover.
Connettere reti VPC utilizzando gateway VPN ad alta disponibilità
Puoi connettere due Trusted Cloud reti VPC utilizzando un gateway VPN ad alta disponibilità in ogni rete.
Puoi connettere più di due reti VPC utilizzando il routing transitivo. Per ottenere il routing transitivo, crea una rete VPC hub e connetti le altre reti VPC a questo hub utilizzando singole connessioni VPN ad alta disponibilità.
Connetti reti VPC
Puoi connettere due reti VPC utilizzando un gateway VPN ad alta disponibilità in ogni rete. Ogni gateway VPN ad alta disponibilità identifica l'altro gateway in base al nome.
L'esempio seguente fornisce uno SLA con disponibilità del 99,99%.
Per configurare questa configurazione, consulta Crea due gateway VPN ad alta disponibilità completamente configurati che si connettono tra loro.
Configurare lo SLA con disponibilità del 99,99%
Per garantire uno SLA (accordo sul livello del servizio) con disponibilità del 99,99%, configura ogni gateway VPN ad alta disponibilità con due tunnel in modo che siano vere entrambe le seguenti condizioni:
Tunnel 0connetteinterface 0su un gateway VPN ad alta disponibilità ainterface 0sull'altro gateway VPN ad alta disponibilità.Tunnel 1connetteinterface 1su un gateway VPN ad alta disponibilità ainterface 1sull'altro gateway VPN ad alta disponibilità.
Connetti un gateway VPN ad alta disponibilità alle istanze VM di Compute Engine
Con la VPN ad alta disponibilità, puoi stabilire una connessione sicura tra un gateway VPN ad alta disponibilità e le istanze VM di Compute Engine che fungono da appliance virtuali di rete con un'implementazione IPsec. Se configurata correttamente, questa topologia fornisce uno SLA con disponibilità del 99,9%.
Connetti il gateway VPN ad alta disponibilità a più istanze VM
In questa topologia, un gateway VPN ad alta disponibilità si connette a due istanze VM di Compute Engine. Il gateway VPN ad alta disponibilità e le VM si trovano in due reti Virtual Private Cloud diverse. Le due VM si trovano in zone diverse e ognuna ha un indirizzo IP esterno. Le istanze VM si comportano come gateway VPN peer.
Questa topologia è particolarmente utile quando vuoi connettere la VPN ad alta disponibilità a una VM di appliance virtuale di rete di terze parti ospitata in un'istanza VM di Compute Engine. Ad esempio, utilizzando questa topologia, puoi eseguire l'upgrade di una delle VM dell'appliance virtuale di rete senza tempi di inattività per la connessione VPN.
Nel diagramma, il gateway VPN ad alta disponibilità si trova in una rete VPC denominata network-a e le due VM si trovano in network-b. Entrambe le reti VPC si trovano in us-central1. Il gateway VPN ad alta disponibilità in network-a è configurato con gli indirizzi IP esterni di ciascuna delle VM in network-b.
Ti consigliamo di utilizzare questa topologia per migliorare la disponibilità.
L'esempio seguente fornisce uno SLA (accordo sul livello del servizio) con disponibilità del 99,9%.
Per configurare questa configurazione, vedi Connettere la VPN ad alta disponibilità alle VM Compute Engine.
Configura per lo SLA con disponibilità del 99,9%
Per rispettare lo SLA del 99,9%, devono essere presenti almeno due tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità alle interfacce corrispondenti su ciascuna delle VM. Ti consigliamo di utilizzare questa topologia per ottenere uno SLA di disponibilità più elevato.
Due tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità si connettono alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-aTunnel 2dainterface 0aus-central1-vm-bnella zonaus-central1-bTunnel 3dainterface 1aus-central1-vm-bnella zonaus-central1-b
Connetti la VPN ad alta disponibilità del gateway VPN ad alta disponibilità a una singola istanza VM
La VPN ad alta disponibilità consente di connettere un gateway VPN ad alta disponibilità a un'istanza di macchina virtuale (VM) Compute Engine che funge da appliance virtuale di rete ed esegue un'implementazione VPN IPsec. Il gateway VPN ad alta disponibilità e la VM si trovano in due VPC diversi. La VM ha un indirizzo IP esterno.
La disponibilità complessiva è determinata dallo SLA di disponibilità fornito per una singola istanza VM della famiglia di macchine ottimizzate per la memoria per Compute Engine. Per saperne di più, consulta l'Accordo sul livello del servizio (SLA) Compute Engine.
Per configurare questa configurazione, vedi Connettere la VPN ad alta disponibilità alle VM Compute Engine.
Configura per lo SLA con disponibilità del 99,9%
Per soddisfare lo SLA di disponibilità del 99,9%, devono essere presenti due tunnel da ciascuna delle due interfacce sul gateway VPN ad alta disponibilità all'interfaccia della VM Compute Engine.
Due tunnel su ciascuna delle seguenti interfacce sul gateway VPN ad alta disponibilità si connettono alle interfacce sulla VM:
Tunnel 0dainterface 0aus-central1-vm-anella zonaus-central1-aTunnel 1dainterface 1aus-central1-vm-anella zonaus-central1-a
Passaggi successivi
- Per utilizzare scenari di alta disponibilità e alto throughput o più scenari di subnet, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.