Questa pagina descrive le reti e il routing Virtual Private Cloud (VPC) supportati le opzioni di CPU e memoria disponibili.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.
Reti supportate
Cloud VPN supporta le reti VPC in modalità personalizzata e automatica reti VPC e reti legacy. Tuttavia, ti consigliamo di attenerti alle seguenti best practice:
Utilizza le reti VPC invece delle reti legacy. Precedente le reti non supportano le subnet, l'intera rete utilizza un singolo intervallo indirizzi IP esterni. Le reti legacy non possono essere convertite in reti VPC reti.
Utilizza una rete VPC in modalità personalizzata. VPC in modalità personalizzata le reti offrono il controllo completo sull'intervallo dagli indirizzi IP utilizzati dalle rispettive subnet.
Se utilizzi Cloud VPN per connettere due reti VPC, almeno una rete deve essere una rete VPC in modalità personalizzata. Le reti VPC in modalità automatica utilizzano lo stesso intervallo di indirizzi IP interni indirizzi IP per le rispettive subnet.
Esamina le considerazioni relative alla modalità automatica Reti VPC prima di utilizzarne una con Cloud VPN. VPC in modalità automatica le reti creano automaticamente una subnet in ogni regione Google Cloud, inclusa la creazione automatica di nuove subnet in nuove regioni man mano che vengono aggiunte. Evita di utilizzare indirizzi IP interni dell'intervallo utilizzato dalle reti VPC in modalità automatica la rete a cui si connettono i tunnel Cloud VPN.
Opzioni di routing per i tunnel VPN
La VPN classica supporta opzioni di routing statico per la VPN tunnel, mentre la VPN ad alta disponibilità supporta l'opzione di routing dinamico. Puoi usare tunnel VPN classica che utilizzano il routing dinamico solo se il gateway della VPN classica si connette al gateway VPN di un software in esecuzione all'interno di una VM di Compute Engine.
Il routing dinamico utilizza il parametro Border Gateway Protocol (BGP).
Routing dinamico (BGP)
Il routing dinamico utilizza una dal router Cloud a gestire automaticamente lo scambio di route mediante BGP. Un BGP su un router Cloud nella stessa regione dell'interfaccia Il tunnel Cloud VPN gestisce questo scambio. Cloud Router aggiunge e rimuove le route senza richiedere l'eliminazione e la ricreazione del tunnel.
La modalità di routing dinamico del tuo La rete VPC controlla il comportamento di tutti i suoi componenti i router Cloud. Questa modalità determina se le route apprese dalla rete peer vengono applicate alle risorse Google Cloud nella stessa regione del tunnel VPN o in tutte le regioni. Sei tu a controllare le route annunciate dal router o dal gateway peer.
La modalità di routing dinamico determina anche se route di subnet solo la regione del tunnel o tutte le regioni sono condivise con il tuo router o gateway peer. Nel oltre a queste route di subnet, puoi configurare route personalizzate pubblicità su un router Cloud.
Routing statico
I tunnel VPN classica supportano il formato statico basato su criteri e uno basato su route le opzioni di routing. Prendi in considerazione un'opzione di routing statico solo se non puoi usare il targeting dinamico (BGP) o VPN ad alta disponibilità.
Routing basato su criteri. Intervalli IP locali (lato sinistro) e intervalli IP remoti (lato destro) fanno parte del processo di creazione del tunnel.
VPN basata su route. Quando utilizzi la console Google Cloud per creare una VPN basata su route, specifichi solo un elenco di intervalli IP remoti. Questi intervalli vengono utilizzati solo per creare route nella rete VPC alle risorse peer.
Puoi trovare ulteriori informazioni su queste due opzioni di routing statico nella sezione successiva.
Selettori di traffico
Un selettore del traffico definisce un insieme di intervalli di indirizzi IP o blocchi CIDR utilizzati per stabilire un tunnel VPN. Questi intervalli vengono utilizzati nell'ambito della negoziazione IKE per nel tunnel. In alcune letteratura, i selettori del traffico vengono chiamati domini di crittografia.
Esistono due tipi di selettori del traffico:
Il selettore del traffico locale definisce l'insieme di intervalli IP locali (blocchi CIDR) dal punto di vista del gateway VPN che emette il tunnel VPN. Per i tunnel VPN cloud, il selettore del traffico locale definisce l'insieme di CIDR di subnet principali e secondarie per le subnet nella rete VPC, che rappresenta il lato sinistro del tunnel.
Il selettore del traffico remoto definisce l'insieme di intervalli di indirizzi IP remote (CIDR) blocchi) dalla prospettiva del gateway VPN che emette il tunnel VPN. Per nei tunnel Cloud VPN, il selettore del traffico remoto è lato destro oppure o una rete peer.
I selettori del traffico sono una parte intrinseca di un tunnel VPN, utilizzato per stabilire l'handshake IKE. Se devi modificare i CIDR locali o remoti, il tunnel Cloud VPN e il tunnel della controparte peer devono essere distrutte e ricreate.
Opzioni di routing e selettori del traffico
I valori dell'intervallo IP (blocco CIDR) per i selettori del traffico locale e remoto dipendono sull'opzione di routing utilizzata dal tunnel Cloud VPN.
| Tunnel VPN ad alta disponibilità | |||||
|---|---|---|---|---|---|
| Opzione di routing per tunnel |
Selettore del traffico locale |
Selettore del traffico remoto |
Route al VPC rete |
Instrada alla rete peer |
|
| Richiede il routing dinamico (BGP) |
Sempre0.0.0.0/0 per IPv4 (stack singolo)o 0.0.0.0/0,::/0 per IPv4 e IPv6 (stack doppio) o ::/0 per IPv6 (stack singolo) |
Sempre0.0.0.0/0 per IPv4 (stack singolo)o 0.0.0.0/0,::/0 per IPv4 e IPv6 (stack doppio) o ::/0 per IPv6 (stack singolo) |
A meno che non venga modificato da personalizzato pubblicità, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN condivide le route subnet nella rete VPC in base routing dinamico modalità della rete e le quote e limiti per il router Cloud. | Soggetto a limitazioni su route personalizzate e delle quote e dei limiti Router Cloud, il router Cloud che gestisce il BGP dell'interfaccia Il tunnel Cloud VPN apprende le route inviate dalla VPN peer e li aggiunge alla rete VPC come route dinamiche personalizzate. | |
| Tunnel VPN classica | |||||
| Opzione di routing per tunnel |
Selettore del traffico locale |
Selettore del traffico remoto |
Route al VPC rete |
Instrada alla rete peer |
|
| Routing dinamico (BGP) | Sempre0.0.0.0/0 |
Sempre0.0.0.0/0 |
A meno che non venga modificato da annunci personalizzati, il router Cloud la gestione dell'interfaccia BGP per il tunnel Cloud VPN condivide alle subnet nella rete VPC in base modalità di routing dinamico della rete, quote e limiti per il router Cloud. | Soggetto a restrizioni sulle route personalizzate, alle quote e limiti per il router Cloud, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN apprende le route inviate dal gateway VPN peer e lo aggiunge alla rete VPC come route dinamiche personalizzate. | |
| Routing basato su criteri | Configurabile. Vedi tunnel e traffico basati su criteri selettori. |
Obbligatorio. Vedi tunnel e traffico basati su criteri selettori. |
Devi creare e gestire manualmente le route alle subnet la tua rete VPC sui router peer. | Se utilizzi la console Google Cloud per creare il tunnel VPN basato su criteri, le route statiche personalizzate vengono create automaticamente. Se utilizzi gcloud CLI per creare
devi utilizzare altri comandi gcloud per creare il tunnel
route. Per istruzioni, vedi
Crea un
VPN classica con routing statico
|
|
| VPN basata su route | Sempre0.0.0.0/0 |
Sempre0.0.0.0/0 |
Devi creare e gestire manualmente le route alle subnet la tua rete VPC sui router peer. | Se utilizzi la console Google Cloud per creare la VPN basata su route
vengono create automaticamente route statiche personalizzate. Se utilizzi
con gcloud CLI per creare
devi utilizzare altri comandi gcloud per creare il tunnel
route. Per istruzioni, consulta
Creare una VPN classica mediante routing statico.
|
|
Tunnel basati su criteri e selettori di traffico
Questa sezione descrive considerazioni specifiche per i selettori del traffico quando per creare tunnel VPN classica basati su criteri. Non si applica a qualsiasi altro tipo di VPN classica o VPN ad alta disponibilità tunnel.
Puoi scegliere di specificare il selettore del traffico locale di un tunnel VPN Cloud basato su criteri al momento della creazione:
Selettore del traffico locale personalizzato. Puoi definire il selettore del traffico locale un insieme di subnet nella rete VPC o un insieme di indirizzi IP che includono gli intervalli IP che hai scelto di subnet nella rete VPC. IKEv1 limita il traffico locale selettori su un singolo CIDR.
Reti VPC in modalità personalizzata. Specifica un traffico locale personalizzato composto da un intervallo di indirizzi IP interni.
Reti VPC in modalità automatica. Se non specificato, il traffico locale è l'intervallo IP principale (blocco CIDR) dell'account creato automaticamente nella stessa regione del tunnel Cloud VPN. Modalità automatica Le reti VPC hanno una subnet per regione con IP ben definito intervalli di tempo.
Reti legacy. Se non specificato, viene definito il selettore del traffico locale come l'intero intervallo di indirizzi IP RFC 1918 della rete legacy.
Specifica il selettore del traffico remoto di un tunnel Cloud VPN basato su criteri quando lo crei. Se utilizzi la console Google Cloud per creare Tunnel Cloud VPN, route statiche personalizzate le cui destinazioni corrispondono i CIDR del selettore del traffico remoto vengono creati automaticamente. IKEv1 limita i selettori del traffico remoti a un solo CIDR. Per istruzioni, vedi Crea un VPN classica con routing statico
Considerazioni importanti per i selettori del traffico
Prima di creare un tunnel basato su criteri di Cloud VPN, considera la seguenti:
La maggior parte dei gateway VPN passa il traffico attraverso un tunnel VPN solo se l'IP di origine di un pacchetto rientra nel selettore del traffico locale del tunnel e se l'indirizzo IP di destinazione di un pacchetto si inserisce nel traffico remoto del tunnel selettore. Alcuni dispositivi VPN non applicano questo requisito.
Cloud VPN supporta i CIDR dei selettori di traffico di
0.0.0.0/0o::/0(qualsiasi indirizzo IP). Per determinare se anche il gateway VPN peer funziona, consulta la documentazione fornita con il gateway VPN peer. La creazione di un tunnel VPN basato su criteri con entrambi i selettori del traffico impostati su0.0.0.0/0oppure::/0è funzionalmente equivalente alla creazione di una VPN basata su route.Esamina attentamente più CIDR per selettore di traffico come Cloud VPN implementa i protocolli IKEv1 e IKEv2.
Cloud VPN non consente di modificare i selettori di traffico dopo aver creato una VPN. Per modificare il selettore del traffico locale o remoto per un tunnel Cloud VPN, devi eliminare il tunnel e poi ricrearlo. Tuttavia, non è necessario eliminare il gateway Cloud VPN.
Se converti una rete VPC in modalità automatica in una rete VPC in modalità personalizzata, potrebbe essere necessario eliminare e ricreare il tunnel VPN Cloud (ma non il gateway). Ciò potrebbe verificarsi se puoi aggiungere subnet personalizzate, rimuovere quelle create automaticamente o modificare gli intervalli IP secondari di qualsiasi subnet. Evita di cambiare la modalità Rete VPC con tunnel Cloud VPN esistenti. Per suggerimenti, consulta le considerazioni sulla modalità automatica reti VPC.
Per un comportamento VPN coerente e prevedibile, segui questi passaggi:
Rendi il selettori del traffico locale e remoto il più specifico possibile.
Fai in modo che il selettore del traffico locale di Cloud VPN sia lo stesso del selettore del traffico locale selettore di traffico configurato per il tunnel corrispondente sul peer un gateway VPN ad alta disponibilità.
Imposta il selettore di traffico remoto Cloud VPN come il selettore di traffico locale configurato per il tunnel corrispondente sul gateway VPN on-premise.
Più CIDR per selettore di traffico
Quando crei un tunnel VPN classica basato su criteri, se utilizzi IKEv2, puoi specificare più CIDR per selettore di traffico. Cloud VPN utilizza sempre una singola associazione di sicurezza secondaria (SA), indipendentemente dalla versione di IKE.
La tabella seguente riassume il supporto di Cloud VPN per più CIDR per selettore di traffico nei tunnel VPN basati su criteri.
| Versione IKE | Più CIDR per selettore di traffico |
|---|---|
| IKEv1 | No Il protocollo IKEv1 supporta solo un singolo CIDR per SA secondaria come definito in RFC 2407 e RFC 2409. Poiché Cloud VPN richiede un singolo SA secondario per ogni tunnel VPN, quando Se usi IKEv1, puoi fornire un solo CIDR per il traffico locale e un singolo CIDR per il selettore del traffico remoto. Cloud VPN non supporta la creazione di un tunnel VPN utilizzando IKEv1 con più SA secondarie, ciascuna con un singolo CIDR. |
| IKEv2 | Sì, se vengono soddisfatte le seguenti condizioni:
Una best practice consiste nell'utilizzare al massimo 30 CIDR per selettore di traffico in modo da non creare un pacchetto di proposta IKE che superi l'MTU massimo. |
Strategie di selezione del traffico
Considera le seguenti strategie se il tuo gateway VPN on-premise crea più SA secondarie per tunnel VPN o se più CIDR per selettore di traffico causa il superamento di 1460 byte da parte di una proposta IKE per IKEv2 (per i dettagli, Opzioni di routing e selettori del traffico):
Utilizza il routing dinamico per il tunnel VPN. Se le tue il gateway VPN peer supporta BGP, configura i selettori del traffico sia locale che remoto per consentire al tunnel VPN di consentire qualsiasi indirizzo IP. Utilizza
0.0.0.0/0solo per IPv4 oppure utilizza0.0.0.0/0,::/0per il traffico IPv4 e IPv6. Le route vengono scambiate automaticamente tra il gateway VPN peer e il router Cloud associati al tunnel Cloud VPN. Se puoi utilizzare le risorse dinamiche, il routing, considera la VPN ad alta disponibilità.Utilizza selettori del traffico CIDR singoli e ampi e il routing del tunnel statico:
Utilizza una VPN basata su route. Entrambi i selettori del traffico sono
0.0.0.0/0per definizione per le VPN basate su route. Puoi creare route più specifici dei selettori del traffico.Utilizza il routing basato su criteri e configura il routing locale e da remoto del traffico. Per soluzioni basate su criteri I tunnel Cloud VPN, puoi creare route on-premise reti nella tua rete VPC le cui destinazioni sono specifici dei blocchi CIDR specificati nei selettori del traffico remoto. Utilizza gcloud CLI per creare le route separatamente dai tunnel VPN seguendo i passaggi descritti in Creare una VPN classica mediante routing statico.
Utilizza il routing basato su criteri per creare più tunnel Cloud VPN in modo che ogni tunnel abbia un solo blocco CIDR per il selettore del traffico locale e un solo blocco CIDR per il selettore del traffico remoto. configura l'ambiente on-premise tunnel della controparte in modo simile. Cloud VPN supporta più tunnel per gateway. Tuttavia, l'utilizzo di più tunnel ha alcune implicazioni:
- Il gateway VPN peer deve offrire indirizzi IP esterni separati a cui può connettersi ogni tunnel Cloud VPN. I tunnel sullo stesso gateway VPN classico devono connettersi a indirizzi IP gateway peer univoci. Il gateway VPN peer potrebbe anche richiedere che i suoi tunnel si connettono a indirizzi IP univoci. In alcune situazioni, è necessario crea un gateway Cloud VPN separato per Cloud VPN tunnel.
- Quando utilizzi la console Google Cloud per creare tunnel VPN Cloud basati su route o su criteri, oltre al tunnel vengono creati automaticamente i route per la rete peer. Se le route vengono create automaticamente per più tunnel VPN che utilizzano ciascuno gli stessi selettori del traffico remoto, come nel caso in cui crei VPN basate su route, puoi avere più route nella rete VPC, tutte con destinazioni identiche, ma hop successivi diversi. Ciò può determinare comportamenti imprevedibili o imprevisti, il traffico viene recapitato a un tunnel VPN in base all'applicabilità e l'ordine delle route. In caso contrario utilizzare il routing dinamico (BGP) in tunnel, creare e rivedere le route statiche sia la rete VPC che la rete peer.
Passaggi successivi
- Per conoscere i concetti base di Cloud VPN, consulta Panoramica di Cloud VPN.
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.