יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שיטות מומלצות לשימוש ב-Cloud VPN

השיטות המומלצות הבאות יכולות לעזור בתכנון ובהגדרה של Cloud VPN.

שימוש בפרויקטים נפרדים Cloud de Confiance by S3NS למשאבי רשת

כדי להקל על הגדרת התפקידים וההרשאות בניהול הזהויות והגישה (IAM), מומלץ להפריד בין משאבי Cloud VPN ו-Cloud Router לבין שאר המשאבים Cloud de Confiance בפרויקט.

ניתוב ומעבר לגיבוי (failover)

בחירת ניתוב דינמי

בוחרים שער Cloud VPN שמשתמש בניתוב דינמי ובפרוטוקול Border Gateway Protocol ‏ (BGP). ‫Google ממליצה להשתמש ב-HA VPN ולפרוס מכשירים מקומיים שתומכים ב-BGP.

איך ממקסמים את הזמינות של Cloud VPN

כדי להשיג זמינות גבוהה ו-SLA טוב יותר, כדאי להשתמש ב-HA VPN עם BGP. אם ההגדרה שלכם דורשת מסלולים סטטיים, צריך להשתמש ב-VPN קלאסי.

מידע נוסף זמין במאמר סוגי VPN בסקירה הכללית על Cloud VPN.

בחירת הגדרות המנהרה המתאימות

בוחרים את הגדרת המנהרה המתאימה לפי מספר מנהרות ה-HA VPN:

אם יש לכם שתי מנהרות HA VPN, צריך להשתמש בהגדרת מנהרה פעילה/סבילה.
אם יש לכם יותר משתי מנהרות HA VPN, צריך להשתמש בהגדרת מנהרה פעילה/פעילה.

מידע נוסף זמין בסעיפים הבאים במאמר בנושא Cloud VPN:

אמינות

השיטות המומלצות הבאות יכולות לעזור לשפר את המהימנות של הגדרת Cloud VPN.

שימוש בלוחות בקרה מוגדרים מראש לניטור פרואקטיבי של מנהרות Cloud VPN

מומלץ להשתמש בלוחות הבקרה המוגדרים מראש במסוף Cloud VPN כדי לעקוב אחרי מנהרות Cloud VPN והתקינות הכללית של הפרויקט בתצוגה אחת.

זו הדרך הכי מהירה לזהות בעיות בביצועים ברמת הפרויקט.

חשיפה בכל הפרויקט: בכרטיסייה Observability (יכולת צפייה), בודקים את המצב הכללי של כל המנהרות.
תצוגה של נתונים ספציפיים למנהרה: בכרטיסייה Monitoring אפשר לראות יומנים משולבים של מנהרות Cloud VPN ויומנים של שער Cloud VPN כדי לבצע אבחון מהיר של בעיות שקשורות למנהרה ספציפית.

מידע נוסף זמין במאמר בנושא הצגת מרכזי בקרה ב-Monitoring

הגדרת שער VPN של עמיתים עם צופן אחד בלבד לכל תפקיד צופן

‫Cloud VPN יכול לפעול כיוזם או כמשיב לבקשות IKE, בהתאם למקור התנועה כשנדרש שיוך אבטחה חדש.

כש-Cloud VPN יוזם חיבור VPN, הוא מציע את אלגוריתמי ההצפנה שהוגדרו במנהרת Cloud VPN. אם לא הגדרתם את אלגוריתמי ההצפנה, מנהרת Cloud VPN מציעה את אלגוריתמי ההצפנה לפי הסדר שמוצג בטבלאות ההצפנה הנתמכות לכל תפקיד הצפנה. הצד השני שמקבל את ההצעה בוחר אלגוריתם.

אם הצד השכן יוזם את החיבור, שירות Cloud VPN בוחר צופן מההצעה לפי אותו סדר שהוגדר או שמופיע בטבלה לכל תפקיד צופן.

יכול להיות שהצופן שנבחר יהיה שונה, בהתאם לצד שיוזם את החיבור או לצד שמגיב. לדוגמה, יכול להיות שהצופן שנבחר ישתנה עם הזמן כשנוצרים שיוכים חדשים של אבטחה (SA) במהלך רוטציית מפתחות. שינוי בבחירת ההצפנה יכול להשפיע על מאפיינים חשובים של המנהרה, כמו הביצועים או MTU, ולכן מומלץ להשתמש בבחירת הצפנה יציבה. מידע נוסף על MTU זמין במאמר שיקולים לגבי MTU.

כדי למנוע שינויים תכופים בבחירת הצפנה, צריך להגדיר את שער ה-VPN של העמית ואת מנהרת Cloud VPN כך שיציעו ויקבלו רק שיטת הצפנה אחת לכל תפקיד הצפנה. הצופן הזה צריך להיות נתמך גם על ידי Cloud VPN וגם על ידי שער ה-VPN של העמית. אל תספקו רשימה של הצפנות לכל תפקיד הצפנה. השיטה המומלצת הזו מבטיחה שבמהלך משא ומתן של IKE, שני הצדדים של מנהרת Cloud VPN תמיד יבחרו את אותו צופן IKE.

בעזרת Cloud Location Finder תוכלו לזהות את האזורים והאזורים הגיאוגרפיים הקרובים ביותר למיקומים הפיזיים שלכם ברחבי העולם. Cloud de Confiance by S3NS בעזרת Cloud Location Finder, תוכלו לקבל החלטות מושכלות לגבי Cloud de Confiance האזור שבו כדאי לפרוס את שער Cloud VPN, וכך לשפר את זמן האחזור, המיקום הגיאוגרפי וצריכת האנרגיה של פליטת פחמן. מידע נוסף זמין במאמר בנושא Cloud Location Finder.

במנהרות HA VPN, מגדירים את שתי מנהרות ה-HA VPN בשער ה-VPN של העמית כך שישתמשו באותם ערכים של הצפנה ושל זמן החיים של IKE Phase 2.

אבטחה

הגדרת כללים לחומת האש עבור שערי ה-VPN

יוצרים כללים מאובטחים של חומת אש לתעבורת נתונים שעוברת דרך Cloud VPN. מידע נוסף זמין בסקירה הכללית על הכללים של חומת האש ב-VPC.

שימוש במפתחות חזקים ששותפו מראש

‫Google ממליצה ליצור מפתח משותף מראש חזק למנהרות Cloud VPN.

הגבלת כתובות IP לשערי VPN של עמיתים

הגבלת כתובות ה-IP שאפשר לציין עבור שער VPN עמית מאפשרת למנוע יצירה של מנהרות VPN לא מורשות.

מידע נוסף מופיע במאמר בנושא הגבלת כתובות IP לשערי VPN של עמיתים.

הגדרת הצופן החזק ביותר בשער ה-VPN של עמית

כשמגדירים את שער ה-VPN של העמית, צריך לבחור את ההצפנה החזקה ביותר לכל תפקיד הצפנה שנתמך גם על ידי שער ה-VPN של העמית וגם על ידי Cloud VPN.

סדר ההצעות שמופיע ב-Cloud VPN לא נקבע לפי עוצמה.

רשימת הצפנים הנתמכים של IKE מופיעה במאמר צפנים נתמכים של IKE.

המאמרים הבאים

כדי להשתמש בתרחישים של זמינות גבוהה וקצב העברה גבוה או בתרחישים של כמה רשתות משנה, אפשר לעיין במאמר בנושא הגדרות מתקדמות.
כדי לעזור לכם לפתור בעיות נפוצות שאתם עלולים להיתקל בהן כשאתם משתמשים ב-Cloud VPN, תוכלו לעיין במאמר בנושא פתרון בעיות.