Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud dari S3NS. Lihat Perbedaan dari Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik terbaik untuk Cloud VPN

Praktik terbaik berikut dapat bermanfaat ketika merencanakan dan mengonfigurasi Cloud VPN.

Menggunakan project Trusted Cloud by S3NS terpisah untuk resource jaringan

Untuk mempermudah konfigurasi peran dan izin Identity and Access Management (IAM) jika memungkinkan, usahakan agar resource Cloud VPN dan Cloud Router Anda berada di project yang terpisah dari resource Trusted Cloud Anda yang lain.

Pemilihan rute dan failover

Pilih pemilihan rute dinamis

Pilih gateway Cloud VPN yang menggunakan pemilihan rute dinamis dan Border Gateway Protocol (BGP). Google merekomendasikan penggunaan VPN dengan ketersediaan tinggi (HA) dan men-deploy perangkat lokal yang mendukung BGP.

Memaksimalkan ketersediaan Cloud VPN

Untuk ketersediaan tinggi dan SLA yang lebih baik, gunakan VPN dengan ketersediaan tinggi (HA) dengan BGP. Jika penyiapan Anda memerlukan rute statis, gunakan VPN Klasik.

Untuk informasi lebih lanjut, lihatjenis-jenis VPN di ringkasan Cloud VPN.

Memilih konfigurasi tunnel yang sesuai

Pilih konfigurasi tunnel yang sesuai berdasarkan jumlah tunnel VPN dengan ketersediaan tinggi (HA):

Jika Anda memiliki dua tunnel VPN dengan ketersediaan tinggi (HA), gunakan konfigurasi tunnel aktif/pasif.
Jika Anda memiliki lebih dari dua tunnel VPN dengan ketersediaan tinggi (HA), gunakan konfigurasi tunnel aktif/aktif.

Untuk mengetahui informasi lebih lanjut, lihat bagian berikut dalam ringkasan Cloud VPN:

Keandalan

Mengonfigurasi gateway VPN peer Anda hanya dengan satu cipher untuk setiap peran cipher

Cloud VPN dapat bertindak sebagai inisiator atau penerima respons atas permintaan IKE bergantung pada asal traffic saat pengaitan keamanan baru dibutuhkan.

Saat memulai koneksi VPN, Cloud VPN mengusulkan algoritma cipher yang dikonfigurasi di tunnel Cloud VPN. Jika Anda belum mengonfigurasi algoritma cipher ([Pratinjau](/products#product-launch-stages)), tunnel Cloud VPN akan mengusulkan algoritma cipher sesuai urutan yang ditampilkan dalam tabel cipher yang didukung untuk setiap peran cipher. Sisi pembanding yang menerima usulan akan memilih algoritme.

Jika sisi peer yang menginisiasi koneksi, maka Cloud VPN akan memilih cipher dari usulan menggunakan urutan yang sama seperti yang dikonfigurasi atau ditampilkan dalam tabel untuk setiap peran cipher.

Bergantung pada sisi mana yang merupakan inisiator atau penerima respons, cipher yang dipilih dapat berbeda. Misalnya, cipher yang dipilih bahkan dapat berubah seiring waktu saat pengaitan keamanan (SA) baru dibuat selama rotasi kunci. Karena perubahan pemilihan cipher dapat memengaruhi karakteristik tunnel penting, seperti performa atau MTU, gunakan pemilihan cipher yang stabil. Untuk mengetahui informasi lebih lanjut tentang MTU, lihat pertimbangan MTU.

Agar tidak sering mengubah pemilihan cipher, konfigurasikan gateway VPN peer dan tunnel Cloud VPN untuk mengusulkan dan hanya menerima satu cipher untuk setiap peran cipher. Cipher ini harus didukung oleh Cloud VPN dan gateway VPN peer Anda. Jangan berikan daftar cipher untuk setiap peran cipher. Praktik terbaik ini memastikan bahwa kedua sisi tunnel Cloud VPN Anda selalu memilih cipher IKE yang sama selama negosiasi IKE.

Cloud Location Finder membantu Anda mengidentifikasi region dan zona terdekat dengan lokasi fisik Anda di seluruh dunia. Trusted Cloud by S3NS Dengan menggunakan Cloud Location Finder, Anda dapat membuat keputusan yang tepat tentang region tempat Anda men-deploy gateway Cloud VPN, yang berpotensi mengoptimalkan latensi, lokasi geografis, dan penggunaan energi karbon. Trusted Cloud Untuk mengetahui informasi selengkapnya, lihat dokumentasi Cloud Location Finder.

Untuk sambungan tunnel VPN dengan ketersediaan tinggi (HA), konfigurasikan tunnel VPN dengan ketersediaan tinggi (HA) pada gateway VPN peer untuk menggunakan cipher dan nilai masa aktif Fase 2 IKE yang sama.

Keamanan

Menyiapkan aturan firewall untuk gateway VPN Anda

Buat aturan firewall aman untuk traffic yang melalui Cloud VPN. Untuk informasi lebih lanjut, lihat Ringkasan aturan VPC firewall.

Menggunakan pre-shared key yang kuat

Google menyarankan agar membuat pre-shared key yang kuat untuk tunnel Cloud VPN Anda.

Membatasi alamat IP untuk gateway VPN pembanding

Dengan membatasi manakah alamat IP yang dapat ditentukan oleh gateway VPN peer, Anda dapat mencegah pembuatan tunnel VPN yang tidak sah.

Untuk informasi lebih lanjut, lihat Membatasi alamat IP untuk gateway VPN peer.

Mengonfigurasi cipher paling kuat di gateway VPN peer Anda

Ketika mengonfigurasi gateway VPN peer, pilih cipher paling kuat untuk setiap peran cipher yang didukung oleh gateway VPN peer dan Cloud VPN Anda.

Perintah usulan yang tercantum untuk Cloud VPN tidak diurutkan berdasarkan kekuatan.

Untuk daftar cipher IKE yang didukung, lihat Cipher IKE yang didukung.

Langkah selanjutnya

Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.