Este documento descreve as topologias recomendadas e o contrato de nível de serviço (SLA) de disponibilidade correspondente para cada topologia de VPN de alta disponibilidade. Para topologias de VPN clássica, consulte Topologias de VPN clássica. Para mais informações sobre o Cloud VPN, incluindo os dois tipos, consulte a Visão geral do Cloud VPN.
Para definições de termos usados nesta página, consulte Termos-chave.
Visão geral
A VPN de alta disponibilidade é compatível com uma das seguintes topologias recomendadas:
Conecte-se Trusted Cloud ao gateway de VPN de peering. Essa topologia requer dois túneis de VPN do gateway de VPN de alta disponibilidade para alcançar o SLA de alta disponibilidade. Nessa configuração, a VPN de alta disponibilidade tem três configurações típicas de gateway de peering:
- Dois gateways de VPN de peering separados, cada um com o próprio endereço IP.
- Um gateway de VPN de peering com dois endereços IP separados.
- Um gateway de VPN de peering com um endereço IP.
Conecte várias redes VPC Trusted Cloud . Para conectar duas redes VPC Trusted Cloud, crie um gateway de VPN de alta disponibilidade em cada uma delas.
Conecte um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine. Nesta topologia, você conecta um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine. As instâncias de VM podem estar na mesma zona ou em zonas diferentes.
O SLA de disponibilidade da instância de VM do Compute Engine determina o SLA de disponibilidade da conexão VPN.
VPN de alta disponibilidade pelo Cloud Interconnect. Nessa topologia, você cria túneis de VPN de alta disponibilidade para transportar tráfego criptografado por IPsec por anexos da VLAN de Interconexão dedicada ou Interconexão por parceiro.. O gateway de VPN de peering também pode ter endereços IP internos. Para mais informações e diagramas de arquitetura, consulte Arquitetura de implantação da VPN de alta disponibilidade no Cloud Interconnect.
No Trusted Cloud by S3NS, todos os cenários de gateway de peering são representados por um único recurso de VPN de peering externo.
Configurações de alta disponibilidade para VPN de alta disponibilidade
A tabela a seguir descreve os SLAs de disponibilidade oferecidos por diferentes configurações de VPN de alta disponibilidade:
| Topologia | Descrição | SLA de disponibilidade |
|---|---|---|
| Conecte-se Trusted Cloud ao seu gateway de VPN de peering | Conectar um gateway de VPN de alta disponibilidade a um ou dois gateways de VPN de peering separados | 99,99% |
| Conectar redes VPC usando gateways de VPN de alta disponibilidade | Conecte duas Trusted Cloud redes VPC usando um gateway de VPN de alta disponibilidade em cada rede. | 99,99% |
| VPN de alta disponibilidade para instâncias de VM do Compute Engine em várias zonas | Conecte um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine com endereços IP externos | 99,9% |
| VPN de alta disponibilidade para uma única instância de VM do Compute Engine | Conecte um gateway de VPN de alta disponibilidade a apenas uma instância de VM do Compute Engine com um endereço IP externo | O SLA de disponibilidade é determinado pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine. |
Para garantir o SLA de disponibilidade máxima para suas conexões VPN de alta disponibilidade, recomendamos que você configure dois túneis do seu gateway de VPN de alta disponibilidade para o gateway de VPN de peering ou para outro gateway de VPN de alta disponibilidade. Verifique se o gateway de VPN de peering também está configurado para receber o mesmo SLA de disponibilidade.
Para manter a conectividade em caso de falha de um dos túneis, conecte todas as interfaces do gateway de VPN de alta disponibilidade a todas as interfaces do gateway de peering ou outro gateway de VPN de alta disponibilidade.
Conecte-se Trusted Cloud ao gateway de VPN de peering
Há três configurações típicas de gateway de peering para VPN de alta disponibilidade:
- Um gateway de VPN de alta disponibilidade para dois gateways de VPN de peering separados, cada um com seu próprio endereço IP.
- Um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que usa dois endereços IP separados.
- Um gateway de VPN de alta disponibilidade para um gateway de VPN de peering que usa um endereço IP.
Para definir qualquer uma dessas configurações, consulte Como criar uma VPN de alta disponibilidade para um gateway de VPN de peering.
Se você implantar um gateway de VPN de alta disponibilidade com o tipo de pilha IPV6_ONLY ou IPV4_IPV6, os túneis de VPN poderão oferecer suporte à troca de tráfego IPv6. O IPv6 também precisa estar ativado nas sessões do BGP que você cria para os túneis de VPN. Neste cenário, é possível atribuir endereços IPv6 às sub-redes locais e da VPC nas seguintes topologias. Para mais informações, consulte Suporte a IPv6.
Conectar dois gateways de VPN de peering
Se o gateway do lado do peering for baseado em hardware, ter um segundo gateway do lado do peering fornecerá redundância e failover nesse lado da conexão. Um segundo gateway físico permite que você use um dos gateways off-line para fazer upgrades de software ou outras manutenções programadas. Ele também protege se houver uma falha em um dos gateways físicos.
Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a dois gateways de VPN de peering. Cada gateway de VPN de peering tem uma interface e um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, um para cada gateway de VPN de peering.
Em Trusted Cloud, o REDUNDANCY_TYPE para essa configuração assume o
valor TWO_IPS_REDUNDANCY.
O exemplo a seguir fornece um SLA de disponibilidade de 99,99%.
Conectar um gateway de VPN de peering com dois endereços IP
Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering com dois endereços IP externo separados. O gateway de VPN de alta disponibilidade usa dois túneis: um para cada endereço IP externo no gateway de VPN de peering.
Em Trusted Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor TWO_IPS_REDUNDANCY.
O exemplo a seguir fornece um SLA de disponibilidade de 99,99%.
Conectar um gateway de VPN de peering com um endereço IP
Essa topologia descreve um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN de peering com um endereço IP externo. O gateway de VPN de alta disponibilidade usa dois túneis, ambos para o único endereço IP externo no gateway de VPN de peering.
Em Trusted Cloud, o REDUNDANCY_TYPE para essa configuração assume o valor
SINGLE_IP_INTERNALLY_REDUNDANT.
O exemplo a seguir fornece um SLA de disponibilidade de 99,99%.
Configurar para SLA de disponibilidade de 99,99%
Para atender ao SLA de 99,99% no lado do Trusted Cloud , precisa haver um túnel partindo de cada uma das duas interfaces no gateway da VPN de alta disponibilidade em direção às interfaces correspondentes no gateway de peering.
Se o gateway de peering tiver duas interfaces, a configuração de dois túneis (um de cada interface de peering para cada interface do gateway de VPN de alta disponibilidade) atenderá aos requisitos do SLA de disponibilidade de 99,99%. Uma configuração de malha completa não é obrigatória para um SLA de disponibilidade de 99,99% no lado do Trusted Cloud . Nesse caso, uma malha completa é definida como dois túneis de cada interface de VPN de alta disponibilidade para cada uma das duas interfaces no gateway de peering. Para confirmar se seu fornecedor de VPN recomenda uma configuração de malha completa, consulte a documentação do gateway de VPN de peering local ou entre em contato com o fornecedor da VPN.
Nas configurações com duas interfaces de peering, os túneis em cada uma destas interfaces no gateway da HA VPN de alta disponibilidade correspondem às interfaces correspondentes no gateway de peering ou nos gateways de:
interface 0da VPN de alta disponibilidade parainterface 0de peeringinterface 1da VPN de alta disponibilidade parainterface 1de peering
Os exemplos são mostrados nos diagramas com dois gateways de VPN de peering e duas interfaces e um gateway de VPN de peering e duas interfaces.
Se houver apenas uma interface de peering em um gateway de peering, cada túnel de cada interface do gateway de VPN de alta disponibilidade precisa se conectar à interface de peering única. Consulte o diagrama para um gateway de VPN de peering, uma interface.
O exemplo a seguir não fornece um SLA de disponibilidade de 99,99%:
interface 0da VPN de alta disponibilidade parainterface 0de peering
Opções de roteamento ativo/ativo e ativo/passivo para VPN de alta disponibilidade
Se um túnel do Cloud VPN ficar fora de serviço, ele será reiniciado automaticamente. Se um dispositivo de VPN virtual inteiro falhar, o Cloud VPN instanciará um novo automaticamente com a mesma configuração. O gateway e o túnel novos se conectam automaticamente.
Túneis de VPN conectados a gateways de VPN de alta disponibilidade usam roteamento dinâmico (BGP). Dependendo de como você configura as prioridades de rota para túneis de VPN de alta disponibilidade, é possível criar uma configuração de roteamento ativo/ativo ou ativo/passivo. Nas duas configurações de roteamento, os dois túneis de VPN permanecem ativos.
A tabela a seguir compara os recursos de uma configuração de roteamento ativo/ passivo com os de um ativo/passivo.
| Engenharia de | Ativo-ativo | Ativo-passivo |
|---|---|---|
| Capacidade | A capacidade agregada efetiva é a capacidade combinada dos dois túneis. | Após a redução de dois túneis ativos para um, a capacidade geral efetiva é cortada pela metade, o que resulta em conectividade mais lenta ou pacotes descartados. |
| Divulgação de rota | Seu gateway de peering divulga as rotas da rede de peering com valores idênticos de discriminador de várias saídas (MED, na sigla em inglês) para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades idênticas. O tráfego de saída enviado para sua rede de peering usa roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). O mesmo Cloud Router usa prioridades idênticas para divulgar rotas na sua rede VPC. Com o ECMP, o gateway de peering usa essas rotas e envia o tráfego de saída para Trusted Cloud. |
O gateway de peering divulga as rotas da rede de peering com valores MED diferentes para cada túnel. O Cloud Router que estiver gerenciando os túneis do Cloud VPN importa esses valores como rotas dinâmicas personalizadas na sua rede VPC com prioridades diferentes. O tráfego de saída enviado para sua rede de peering usa a rota com a prioridade mais alta, desde que o túnel associado esteja disponível. O mesmo Cloud Router usa prioridades diferentes para cada túnel para divulgar rotas na sua rede VPC. Seu gateway de par só pode usar o túnel com prioridade mais alta para enviar tráfego ao Trusted Cloud. |
| Failover | Se o túnel se tornar não íntegro, por exemplo, porque o DPD está inativo, o Cloud Router retirará as rotas aprendidas que tenham como próximos saltos o túnel indisponível. Se uma sessão do BGP ocorrer, o Cloud Router removerá as rotas aprendidas que tenham como próximos saltos o túnel indisponível, sem causar a integridade do túnel. O processo de retirada pode levar de 40 a 60 segundos, período em que a perda de pacotes é esperada. |
Se o túnel se tornar não íntegro, por exemplo, porque o DPD está inativo, o Cloud Router retirará as rotas aprendidas que tenham como próximos saltos o túnel indisponível. Se uma sessão do BGP ocorrer, o Cloud Router removerá as rotas aprendidas que tenham como próximos saltos o túnel indisponível, sem causar a integridade do túnel. O processo de retirada pode levar de 40 a 60 segundos, período em que a perda de pacotes é esperada. Usa no máximo um túnel por vez, de modo que o segundo túnel seja capaz de lidar com toda a largura de banda de saída se o primeiro túnel falhar e precisar sofrer failover. |
Roteamento ativo/passivo em topologias de malha completa
Se o Cloud Router receber o mesmo prefixo com valores de MED diferentes por meio de uma determinada interface do Cloud VPN, ele importará somente a rota com a prioridade mais alta para a rede VPC. As outras rotas inativas não ficam visíveis no console do Trusted Cloud ou na Google Cloud CLI. Se a rota com a prioridade mais alta ficar indisponível, o Cloud Router a removerá e importará automaticamente a melhor rota seguinte para a rede VPC.
Como usar vários túneis ou gateways
Dependendo da configuração do gateway de peering, é possível construir rotas de forma que parte do tráfego atravesse um túnel e outra atravesse outro túnel devido às prioridades da rota (valores MED). Da mesma forma, é possível ajustar a prioridade básica que o Cloud Router usa para compartilhar suas rotas de rede VPC. Essas situações demonstram possíveis configurações de roteamento que não são puramente ativo/ativo nem puramente ativo/passivo.
Opção de roteamento recomendada
Ao usar um único gateway de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativo/passivo. Com essa configuração, a capacidade de largura de banda observada no momento da operação de túnel normal corresponde à capacidade de largura de banda observada durante o failover. Esse tipo de configuração é mais fácil de gerenciar, já que o limite de largura de banda observado permanece constante, exceto no cenário de vários gateways descrito anteriormente.
Ao usar vários gateways de VPN de alta disponibilidade, recomendamos o uso de uma configuração de roteamento ativa/ativa. Com essa configuração, a capacidade de largura de banda observada no momento da operação normal do túnel é duas vezes maior do que a capacidade de largura de banda garantida. No entanto, essa configuração não supre efetivamente os túneis e pode causar a queda do tráfego em caso de failover.
Conectar redes VPC usando gateways de VPN de alta disponibilidade
É possível conectar duas redes VPC Trusted Cloud usando um gateway de VPN de alta disponibilidade em cada rede.
É possível conectar mais de duas redes VPC usando o roteamento transitivo. Para fazer o roteamento transitivo, crie uma rede VPC de hub e conecte as outras redes VPC a esse hub usando conexões individuais de VPN de alta disponibilidade.
Conectar redes VPC
É possível conectar duas redes VPC usando um gateway de VPN de alta disponibilidade em cada uma. Cada gateway de VPN de alta disponibilidade identifica o outro pelo nome.
O exemplo a seguir fornece um SLA de disponibilidade de 99,99%.
Para definir essa configuração, consulte Como criar dois gateways de VPN de alta disponibilidade totalmente configurados que se conectam entre si.
Configurar para SLA de disponibilidade de 99,99%
Para garantir um SLA de disponibilidade de 99,99%, configure cada gateway de VPN de alta disponibilidade com dois túneis para que as duas afirmações a seguir sejam verdadeiras:
Tunnel 0conectainterface 0em um gateway de VPN de alta disponibilidade ainterface 0no outro gateway de VPN de alta disponibilidade.Tunnel 1conectainterface 1em um gateway de VPN de alta disponibilidade ainterface 1no outro gateway de VPN de alta disponibilidade.
Conectar um gateway de VPN de alta disponibilidade a instâncias de VM do Compute Engine
Com a VPN de alta disponibilidade, é possível estabelecer uma conexão segura entre um gateway de VPN de alta disponibilidade e instâncias de VM do Compute Engine que funcionam como dispositivos virtuais de rede com uma implementação de IPsec. Essa topologia oferece um SLA de disponibilidade de 99,9% quando configurada corretamente.
Conectar o gateway de VPN de alta disponibilidade a várias instâncias de VM
Nessa topologia, um gateway de VPN de alta disponibilidade se conecta a duas instâncias de VM do Compute Engine. O gateway da VPN de alta disponibilidade e as VMs estão em duas redes de nuvem privada virtual diferentes. As duas VMs estão em zonas diferentes, e cada uma delas tem um endereço IP externo. As instâncias de VM se comportam como gateways de VPN de peering.
Essa topologia é especialmente útil quando você quer conectar a VPN de alta disponibilidade a uma VM de dispositivo virtual de rede de terceiros hospedada em uma instância de VM do Compute Engine. Por exemplo, usando essa topologia, é possível fazer upgrade de uma das VMs de dispositivo virtual de rede sem inatividade para a conexão VPN.
No diagrama, o gateway da VPN de alta disponibilidade está em uma rede VPC
chamada network-a, e as duas VMs estão em network-b. As duas redes VPC estão localizadas em us-central1. O gateway da VPN de alta disponibilidade
em network-a é configurado com os endereços IP externos de cada uma
das VMs em network-b.
Recomendamos que você use essa topologia para melhorar a disponibilidade.
O exemplo a seguir fornece um SLA de disponibilidade de 99,9%.
Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.
Configurar para SLA de disponibilidade de 99,9%
Para atender ao SLA de 99,9%, é preciso haver pelo menos dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para as interfaces correspondentes em cada uma das VMs. Recomendamos que você use essa topologia para ter um SLA de disponibilidade maior.
Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:
Tunnel 0deinterface 0aus-central1-vm-ana zonaus-central1-aTunnel 1deinterface 1aus-central1-vm-ana zonaus-central1-aTunnel 2deinterface 0aus-central1-vm-bna zonaus-central1-bTunnel 3deinterface 1aus-central1-vm-bna zonaus-central1-b
Conectar um gateway de VPN de alta disponibilidade a uma única instância de VM
A VPN de alta disponibilidade permite conectar um gateway de VPN de alta disponibilidade a uma instância de máquina virtual (VM) do Compute Engine que funciona como um dispositivo virtual de rede e executa uma implementação de VPN IPsec. O gateway de VPN de alta disponibilidade e a VM estão em duas VPCs diferentes. A VM tem um endereço IP externo.
A disponibilidade geral é determinada pelo SLA de disponibilidade fornecido para uma única instância de VM da família de máquinas com otimização de memória do Compute Engine. Para mais informações, consulte o Contrato de nível de serviço (SLA) do Compute Engine.
Para definir essa configuração, consulte Conectar uma VPN de alta disponibilidade a VMs do Compute Engine.
Configurar para SLA de disponibilidade de 99,9%
Para atender ao SLA de disponibilidade de 99,9%, é preciso haver dois túneis de cada uma das duas interfaces no gateway da VPN de alta disponibilidade para a interface da VM do Compute Engine.
Dois túneis em cada uma das seguintes interfaces no gateway da VPN de alta disponibilidade se conectam às interfaces na VM:
Tunnel 0deinterface 0aus-central1-vm-ana zonaus-central1-aTunnel 1deinterface 1aus-central1-vm-ana zonaus-central1-a
A seguir
- Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.