本頁面說明與 Cloud VPN 相關的概念。如要瞭解 Cloud VPN 說明文件中使用的術語定義,請參閱「重要術語」。
Cloud VPN 可透過 IPsec VPN 連線,安全地將對等互連網路延伸至 虛擬私有雲 (VPC) 網路。VPN 連線會加密在網路之間傳輸的流量,其中一個 VPN 閘道負責加密,另一個則負責解密。這項程序可在傳輸期間保護您的資料。您也可以連結兩個 Cloud VPN 執行個體,將兩個 VPC 網路互相連線。您無法使用 Cloud VPN 將流量轉送至公開網際網路,因為這項服務專門用於私人網路之間的安全通訊。
選擇混合式網路解決方案
如要判斷要使用 Cloud VPN、專屬互連網路、合作夥伴互連網路或 Cloud Router 做為 Google Cloud的混合式網路連線,請參閱「選擇網路連線產品」。
歡迎試用
如果您未曾使用過 Google Cloud,歡迎建立帳戶,親自體驗實際使用 Cloud VPN 的成效。新客戶可以獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。
免費試用 Cloud VPN如要強化專屬互連網路或合作夥伴互連網路連線的安全性,請使用「採用 Cloud Interconnect 的高可用性 VPN」。這個解決方案會透過 VLAN 連結建立加密的高可用性 VPN 通道。
Cloud VPN 類型
Google Cloud 提供兩種 Cloud VPN 閘道:
高可用性 VPN
高可用性 VPN 為高可用性 (HA) 的 Cloud VPN 解決方案,可讓您透過 IPsec VPN 連線,安全地將地端部署網路連線至虛擬私有雲網路。根據拓撲和設定,高可用性 VPN 可提供 99.99% 或 99.9% 服務可用性的服務水準協議。
建立高可用性 VPN 閘道時, Google Cloud 會自動選擇兩個外部 IP 位址,分別用於兩個介面。每個 IP 位址都是從一組不重複的位址中自動選出,以支援高可用性。每個高可用性 VPN 閘道介面都支援多個通道。您也可以建立多個高可用性 VPN 閘道。刪除高可用性 VPN 閘道時, Google Cloud 會釋出 IP 位址以重複使用。您可以設定僅有一個有效介面和一個外部 IP 位址的高可用性 VPN 閘道,不過此設定不提供可用性服務水準協議。
使用高可用性 VPN 的其中一個選項,就是採用 採用 Cloud Interconnect 的高可用性 VPN。採用 Cloud Interconnect 的高可用性 VPN 可讓您享有 Cloud VPN 的 IPsec 加密安全性,同時享有 Cloud Interconnect 的擴充容量。此外,由於您使用的是 Cloud Interconnect,網路流量絕不會經過公開網際網路。如果您使用合作夥伴互連網路,則必須在 Cloud Interconnect 流量中加入 IPsec 加密,才能在連線至第三方供應商時符合資料安全性和法規遵循規定。高可用性 VPN 會使用 Google Cloud中的外部 VPN 閘道資源,向 Google Cloud 提供有關對等互連 VPN 閘道或閘道的資訊。
在 API 說明文件和 gcloud 指令中,高可用性 VPN 閘道稱為「VPN 閘道」,而���「目標 VPN 閘道」。您不需要為高可用性 VPN 閘道建立任何轉送規則。
高可用性 VPN 可提供 99.99% 或 99.9% 的可用性服務水準協議,具體取決於拓撲或設定情境。如要進一步瞭解高可用性 VPN 拓撲和支援的服務水準協議,請參閱「 高可用性 VPN 拓撲」。
設定高可用性 VPN 時,請考量下列規範:
將高可用性 VPN 閘道連線至其他高可用性 VPN 閘道時,閘道必須使用相同的 IP 堆疊類型。舉例來說,如果您建立的 HA VPN 閘道堆疊類型為
IPV4_IPV6,則另一個 HA VPN 閘道也必須設為IPV4_IPV6。從 Cloud VPN 閘道的角度設定兩個 VPN 通道:
- 如果您有兩個對等點 VPN 閘道裝置,Cloud VPN 閘道中,每個介面的每個通道都必須連線至各自的對等點閘道。
- 如果您有具備兩個介面的單一對等點 VPN 閘道裝置,在 Cloud VPN 閘道中,各個介面的每個通道都必須連線至對等點閘道上各自的介面。
- 如果您有一個具備單一介面的對等點 VPN 閘道裝置,則 Cloud VPN 閘道中每個介面的兩個通道都必須連線至對等點閘道上的相同介面。
對等互連 VPN 裝置必須設定適當的備援機制。裝置供應商會指定充分備援設定的詳細資料,其中可能包含多個硬體執行個體。詳情請參閱對等互連 VPN 裝置的供應商說明文件。
如果需要兩部對等裝置,每部對等裝置都必須連線至不同的高可用性 VPN 閘道介面。如果對等端是 AWS 等其他雲端服務供應商,則必須在 AWS 端設定 VPN 連線,並提供足夠的備援機制。
對等互連 VPN 閘道裝置必須支援動態邊界閘道協定 (BGP) 轉送。
下圖顯示高可用性 VPN 概念,其中的拓撲包含高可用性 VPN 閘道的兩個介面,連結至兩個對等互連 VPN 閘道。如需高可用性 VPN 拓撲 (設定情境) 的詳細資訊,請參閱「高可用性 VPN 拓撲」。
高可用性 VPN 閘道連至兩個對等互連 VPN 閘道 (按一下可放大)。
傳統版 VPN
在高可用性 VPN 推出前建立的所有 Cloud VPN 閘道都視為傳統版 VPN 閘道。如要瞭解如何從傳統版 VPN 改用高可用性 VPN,請參閱「從傳統版 VPN 改用高可用性 VPN」。
與高可用性 VPN 相比,傳統版 VPN 閘道只有單一介面和單一外部 IP 位址,且支援使用靜態路由 (依據政策或路徑) 的通道。您也可以為傳統 VPN 設定動態路由 (BGP),但只能用於連線至在Google Cloud VM 執行個體上執行的第三方 VPN 閘道軟體的通道。
傳統版 VPN 閘道提供服務可用性達 99.9% 的服務水準協議。
傳統版 VPN 閘道不支援 IPv6。
如要瞭解支援的傳統版 VPN 拓撲,請參閱 傳統版 VPN 拓撲頁面。
在 API 說明文件和 Google Cloud CLI 中,傳統版 VPN 稱為「目標 VPN 閘道」。
比較表
下表比較 HA VPN 和傳統 VPN 的功能。
| 功能 | 高可用性 VPN | 傳統版 VPN |
|---|---|---|
| 服務水準協議 | 為大多數拓撲提供 99.99% 的服務水準協議,但有少數例外狀況。 如需更多資訊,請參閱高可用性 VPN 拓撲。 | 提供 99.9% 的服務水準協議。 |
| 建立外部 IP 位址和轉送規則 | 從集區建立的外部 IP 位址,不需要轉送規則。 | 必須建立外部 IP 位址和轉送規則。 |
| 支援的轉送選項 | 僅限動態轉送 (BGP)。 | 靜態路由 (依政策和路由為準)。動態路由僅支援連線至在 Google Cloud VM 執行個體上執行的第三方 VPN 閘道軟體的通道。 |
| 從一個 Cloud VPN 閘道通往同一個對等點閘道的兩個通道 | 支援 | 不支援 |
| 將 Cloud VPN 閘道連結至具備外部 IP 位址的 Compute Engine VM。 | 支援及建議的拓撲。如需更多資訊,請參閱「高可用性 VPN 拓撲」。 | 支援。 |
| API 資源 | 稱為 vpn-gateway 資源。 |
稱為 target-vpn-gateway 資源。 |
| IPv6 流量 | 支援雙重堆疊 (IPv4 和 IPv6) 和僅限 IPv6 的設定 | 不支援 |
規格
Cloud VPN 的規格如下:
- 每個 Cloud VPN 閘道都是區域性資源。建立 Cloud VPN 閘道時,您可以為其位置選取特定Google Cloud 區域。您無法選擇可用區,只能選擇區域。
在符合本節所列條件的情況下,Cloud VPN 僅支援站台對站台 IPsec VPN 連線。不支援用戶端到閘道的情境。換句話說,Cloud VPN 並不支援用戶端電腦必須透過用戶端 VPN 軟體「撥入」VPN 的使用情境。
Cloud VPN 僅支援 IPsec。不支援其他 VPN 技術 (例如 SSL VPN)。
Cloud VPN 可以與虛擬私有雲網路和舊版網路搭配使用。針對虛擬私人雲端網路,建議您使用自訂模式虛擬私人雲端網路,以便您完全控制網路中子網路使用的 IP 位址範圍。
傳統版 VPN 和高可用性 VPN 閘道會使用外部 (可在網際網路上路由) IPv4 位址。這些位址只允許 ESP、UDP 500 和 UDP 4500 流量。這項規定適用於您為傳統 VPN 設定的 Cloud VPN 位址,或為高可用性 VPN 自動指派的 IP 位址。
如果內部部署子網路的 IP 位址範圍與虛擬私有雲網路的子網路使用的 IP 位址重疊,請參閱「路徑順序」一文,瞭解如何解決轉送���突。
下列 Cloud VPN 流量會保留在 Google 的正式網路中:
- 兩個高可用性 VPN 閘道之間
- 兩個傳統版 VPN 閘道之間
- 在傳統版 VPN 或高可用性 VPN 閘道與扮演 VPN 閘道的 Compute Engine VM 的外部 IP 位址之間
Cloud VPN 可搭配內部部署主機的私人 Google 存取權使用。詳情請參閱「各項服務的私人存取權選項」。
每個 Cloud VPN 閘道都必須連結至其他 Cloud VPN 閘道或對等 VPN 閘道。
對等 VPN 閘道必須具備靜態外部 (可在網際網路上路由) IPv4 位址。您需要這個 IP 位址才能設定 Cloud VPN。
- 如果對等互連 VPN 閘道位於防火牆規則背後,您必須設定防火牆規則,才能將 ESP (IPsec) 通訊協定和 IKE (UDP 500 和 UDP 4500) 流量傳送至該閘道。如果防火牆規則提供網路位址轉譯 (NAT) 功能,請參閱「UDP 封裝與 NAT-T」一文。
Cloud VPN 需要將對等互連 VPN 閘道設定為支援預先分段。您必須在封裝「之前」對封包進行分段。
Cloud VPN 重新執行偵測時,會與 4096 個封包的範圍搭配使用。您無法關閉此功能。
Cloud VPN 支援通用封裝 (GRE) 流量。支援 GRE 可讓您從網際網路 (外部 IP 位址) 和 Cloud VPN 或 Cloud Interconnect (內部 IP 位址) 終止 VM 上的 GRE 流量。然後,解封裝的流量可轉送至可到達的目的地。您可以透過 GRE 使用安全存取服務邊緣 (SASE) 和 SD-WAN 等服務。您必須建立防火牆規則,才能允許 GRE 流量。
為疊加網路進行疑難排解的支援。HA VPN 通道支援 IPv6 流量的交換,但傳統版 VPN 通道則不支援。
網路頻寬
以輸入和輸出流量的總和來說,每個 Cloud VPN 通道最多可支援每秒 25 萬個封包。視通道中的平均封包大小而定,每秒 25 萬個封包相當於 1 Gbps 至 3 Gbps 的頻寬。
與此限制相關的指標為 Sent bytes 和 Received bytes,請參閱「查看記錄和指標」一文瞭解詳情。請注意,指標的單位是「位元組」,而 3 Gbps 限制則是每秒「位元」。轉換為位元組後,上限為每秒 375 MB (MBps)。在根據限制量測用量時,請使用 Sent bytes 和 Received bytes 的總和,與轉換後的 375 MBps 限制量進行比較。
如要瞭解如何建立��訊政策,請參閱「為 VPN 隧道頻寬定義快訊」。
影響頻寬的因素
頻寬會受到多項因素影響,包括:
Cloud VPN 閘道和對等互連閘道之間的網路連線:
兩個閘道之間的網路頻寬。如果您已與 Google 建立直接對等互連關係,透過 VPN 流量傳送至公開網際網路的話,處理量會更高。
封包往返時間 (RTT) 和封包遺失。封包往返時間 (RTT) 或封包遺失率升高,會大幅降低 TCP 效能。
對等互連 VPN 閘道的功能。詳情請參閱裝置的說明文件。
封包大小。Cloud VPN 會在通道模式下使用 IPsec 通訊協定,在封裝安全酬載 (ESP) 中封裝及加密整個 IP 封包,然後將 ESP 資料儲存在第二個外部 IP 封包中。因此,IPsec 封裝封包有閘道 MTU,封裝前後的封包也有酬載 MTU。詳情請參閱「MTU 考量事項」。
封包速率。針對輸入和輸出,每個 Cloud VPN 通道的建議封包傳送頻率上限為每秒 25 萬個封包 (pps)。如果您需要以更高的速率傳送封包,就必須建立更多 VPN 通道。
測量 VPN 通道的 TCP 頻寬時,請測量多個同時的 TCP 串流。如果您使用的是 iperf 工具,請使用 -P 參數指定同時串流的數量。
支援 IPv6
Cloud VPN 支援高可用性 VPN 中的 IPv6,但不支援傳統版 VPN。
如要在高可用性 VPN 通道中支援 IPv6 流量,請按照下列步驟操作:
建立高可用性 VPN 閘道和通道時,請使用
IPV6_ONLY或IPV4_IPV6堆疊類型,以便將支援 IPv6 的虛擬私人雲端網路與其他支援 IPv6 的網路連結。這些網路可以是內部部署網路、多雲網路或其他虛擬私有雲網路。在支援 IPv6 的虛擬私有雲網路中加入雙重堆疊子網路或僅限 IPv6 的子網路。此外,請將 內部 IPv6 範圍指派給子網路。
下表列出高可用性 VPN 閘道各個堆疊類型允許的外部 IP 位址。
| 堆疊類型 | 支援的閘道外部 IP 位址 |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4、IPv6 |
| IPV6_ONLY | IPv6 |
IPv6 適用的機構政策限制
如要停用在專案中建立所有 IPv6 混合資源的功能,請將下列機構政策設為 true:
constraints/compute.disableHybridCloudIpv6
針對高可用性 VPN,這項機構政策限制會防止在專案中建立任何雙堆疊高可用性 VPN 閘道和僅限 IPv6 的高可用性 VPN 閘道。這項政策也會防止建立 IPv6 BGP 工作階段和雙堆疊專屬互連網路 VLAN 連結。
堆疊類型和 BGP 工作階段
高可用性 VPN 閘道支援不同的堆疊類型。高可用性 VPN 閘道的堆疊類型會決定高可用性 VPN 通道允許哪個版本的 IP 流量。
為雙堆疊高可用性 VPN 閘道建立高可用性 VPN 通道時,您可以建立 IPv6 BGP ���作階段來交換 IPv6 路徑,也可以建立 IPv4 BGP 工作階段,透過多通訊協定 BGP (MP-BGP) 交換 IPv6 路徑。
下表摘要列出各個堆疊類型支援的 BGP 工作階段類型。
| 堆疊類型 | 支援的 BGP 工作階段 | 閘道外部 IP 位址 |
|---|---|---|
| 單一堆疊 (僅限 IPv4) | IPv4 BGP,沒有 MP-BGP | IPv4 |
| 單一堆疊 (僅限 IPv6) | IPv6 BGP,沒有 MP-BGP | IPv6 |
| 雙重堆疊 (IPv4 和 IPv6) |
|
IPv4 和 IPv6 |
如要進一步瞭解 BGP 工作階段,請參閱 Cloud Router 說明文件中的「建立 BGP 工作階段」一文。
單一堆疊 IPv4 專用閘道
根據預設,高可用性 VPN 閘道會指派僅限 IPv4 的堆疊類型,並自動指派兩個外部 IPv4 位址。
僅支援 IPv4 的高可用性 VPN 閘道只能支援 IPv4 流量。
請按照下列程序建立僅限 IPv4 的高可用性 VPN 閘道和 IPv4 BGP 工作階段。
- 如需高可用性 VPN 至對等互連 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
- 如要瞭解高可用性 VPN 至高可用性 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
單一堆疊僅限 IPv6 閘道
僅限 IPv6 的高可用性 VPN 閘道僅支援 IPv6 流量。根據預設,僅限 IPv6 的高可用性 VPN 閘道會指派兩個外部 IPv6 位址。
請按照下列程序建立僅限 IPv6 的高可用性 VPN 閘道和 IPv6 BGP 工作階段。
- 如需高可用性 VPN 至對等互連 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
- 如要瞭解高可用性 VPN 至高可用性 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
雙堆疊 IPv4 和 IPv6 閘道
以雙重堆疊 (IPv4 和 IPv6) 堆疊類型設定的高可用性 VPN 閘道,可同時支援 IPv4 和 IPv6 流量。
對於雙重堆疊高可用性 VPN 閘道,您可以使用 IPv4 BGP 工作階段、IPv6 BGP 工作階段,或兩者皆可設定 Cloud Router。如果您只設定一個 BGP 工作階段,可以啟用 MP-BGP,讓該工作階段交換 IPv4 和 IPv6 路徑。如果您建立 IPv4 BGP 工作階段和 IPv6 BGP 工作階段,就無法在任何工作階段中啟用 MP-BGP。
如要使用 MP-BGP 在 IPv4 BGP 工作階段中交換 IPv6 路由,您必須使用 IPv6 後續躍點位址設定該工作階段。同樣地,如要使用 MP-BGP 在 IPv6 BGP 工作階段中交換 IPv4 路由,您必須使用 IPv4 下一跳位址設定該工作階段。您可以手動或自動設定這些下一個躍點地址。
如果您手動設定下一個躍點位址,則必須從 Google 擁有的 IPv6 全球單播位址 (GUA) 範圍 2600:2d00:0:2::/63 或 IPv4 連結本機位址範圍 169.254.0.0./16 中選取。這些 IP 位址範圍是由 Google 預先分配。您選取的下一個躍點 IP 位址必須在 VPC 網路中的所有 Cloud Router 中不重複。
如果您選取自動設定, Google Cloud 會為您選取下一個躍點 IP 位址。
請按照下列程序建立雙重堆疊 HA VPN 閘道和所有支援的 BGP 工作階段。
- IPv4 BGP 工作階段 (含或不含 MP-BGP)
- 如要瞭解高可用性 VPN 閘道至對等互連 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
- 如需高可用性 VPN 閘道至高可用性 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv4 BGP 工作階段」。
- IPv6 BGP 工作階段 (含或不含 MP-BGP)
- 如要瞭解高可用性 VPN 閘道至對等互連 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
- 如要瞭解高可用性 VPN 閘道至高可用性 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - IPv6 BGP 工作階段」。
- 同時使用 IPv4 和 IPv6 BGP 工作階段
- 如需高可用性 VPN 閘道至對等互連 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - 包含 IPv4 BGP 和 IPv6 BGP 工作階段」。
- 如需高可用性 VPN 閘道至高可用性 VPN 閘道設定,請參閱「建立高可用性 VPN 閘道」和「建立 BGP 工作階段 - 包含 IPv4 和 IPv6 BGP 工作階段」。
IPsec 和 IKE 支援
Cloud VPN 使用 IKE 預先共用金鑰 (共用密鑰) 和 IKE 加密方式,支援 IKEv1 和 IKEv2。Cloud VPN 僅支援使用預先共用金鑰進行驗證。建立 Cloud VPN 通道時,請指定預先共用金鑰。在對等閘道建立通道時,請指定相同的預先共用金鑰。
Cloud VPN 支援通道模式的 ESP,但不支援AH 或傳輸模式的 ESP。
必須使用 IKEv2,才能透過高可用性 VPN 傳輸 IPv6 流量。
Cloud VPN 不會對傳入驗證封包執行政策相關篩選。系統會根據針對 Cloud VPN 閘道設定的 IP 範圍,對外送封包進行篩選。
如要瞭解建立高強度預先共用金鑰的規範,請參閱「產生高強度的預先共用金鑰」。如需 Cloud VPN 支援的加密方式與設定參數,請參閱「支援的 IKE 加密方式」。
IKE 和死節點偵測
Cloud VPN 會根據 RFC 3706 的「DPD 通訊協定」一節,支援死對等互連偵測 (DPD)。
為確認對等端是否運作,Cloud VPN 可能會隨時傳送 DPD 封包,這符合 RFC 3706 的規定。如果在多次重試後未傳回 DPD 要求,Cloud VPN 會判斷 VPN 通道處於不健康狀態。不健康的 VPN 通道會導致系統移除使用此通道做為下一個躍點的路徑 (BGP 路徑或靜態路徑),進而觸發虛擬機器流量備援至其他健康的 VPN 通道。
在 Cloud VPN 中無法設定 DPD 間隔。
UDP 封裝與 NAT-T
如要瞭解如何設定對等裝置,以便透過 Cloud VPN 支援 NAT 周遊 (NAT-T),請參閱進階總覽中的「UDP 封裝」。
將 Cloud VPN 做為資料移轉網路
使用 Cloud VPN 前,請務必詳閱 Google Cloud的《一般服務條款第 2 節》。
您可以使用 Network Connectivity Center,透過高可用性 VPN 通道連結內部部署網路,並在兩者之間傳遞流量,做為資料移轉網路。您可以將一組通道連結至每個地端部署位置的 Network Connectivity Center 輪輻,藉此連線網路。接著,您可以將每個輪輻連結至 Network Connectivity Center 中樞。
如要進一步瞭解 Network Connectivity Center,請參閱 Network Connectivity Center 總覽。
支援自備 IP (BYOIP)
如要瞭解如何搭配 Cloud VPN 使用 BYOIP 位址,請參閱「支援 BYOIP 位址」一文。
高可用性 VPN 的主動/主動和主動/被動轉送選項
Cloud VPN 通道可在關閉之後自動重新啟動。如果整個虛擬 VPN 裝置失敗,Cloud VPN 會使用相同設定自動實例化新裝置,新閘道和通道會自動連線。
連線至高可用性 VPN 閘道的 VPN 通道,必須使用動態 (BGP) 轉送。視您如何為高可用性 VPN 通道設定路徑優先順序,您可以建立主動/主動或主動/被動轉送設定。在上述兩種轉送設定中,兩個 VPN 通道都會保持啟用狀態。
下表比較主動/主動或主動/被動轉送設定的功能。
| 功能 | 主動-主動 | 主動-被動 |
|---|---|---|
| 處理量 | 有效的匯總傳輸量是兩個隧道的總和傳輸量。 | 從兩個有效的通道減少為一個後,整體有效處理量會減半,可能導致連線速度變慢或封包遺失。 |
| 路徑通告 | 您的對等網關會宣傳對等網路的路徑,並為每個通道提供相同的多出口鑑別 (MED) 值。 管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入 VPC 網路,並以相同的優先順序設為自訂動態路徑。 傳送至對等網路的輸出流量會使用等價多路徑 (ECMP) 轉送。 同一個 Cloud Router 會使用相同的優先順序,向 VPC 網路通告路徑。 您的對等閘道會使用 ECMP 來使用這些路徑,將輸出流量傳送至 Google Cloud。 |
您的對等網關會使用每個通道不同的 MED 值,宣傳對等網路的路徑。 管理 Cloud VPN 通道的 Cloud Router 會將這些路徑匯入 VPC 網路,並設為具有不同優先順序的自訂動態路徑。 只要相關聯的通道可用,輸出流量傳送至對等網路時,就會使用優先順序最高的路徑。 同一個 Cloud Router 會使用每個通道的不同優先順序,將路徑通告至 VPC 網路。 您的對等閘道只能使用最高優先順序的通道,將流量傳送至 Google Cloud。 |
| 容錯移轉 | 如果通道發生異常 (例如 DPD 關閉),Cloud Router 就會撤銷下一個躍點為無法使用的通道的已學習路徑。 如果 BGP 工作階段發生故障,Cloud Router 會移除已知路徑,其中下一個躍點為無法使用的通道,而不會導致通道處於不健康狀態。 提款程序可能需要 40 到 60 秒,這段期間可能會發生封包遺失的情形。 |
如果通道發生異常 (例如 DPD 關閉),Cloud Router 就會撤銷下一個躍點為無法使用的通道的已學習路徑。 如果發生 BGP 工作階段中斷的情況,Cloud Router 會移除已知路徑,其中下一個躍點為無法使用的通道,而不會導致通道處於不健康狀態。 提款程序可能需要 40 到 60 秒,在這段期間內,封包可能會遺失。 每次最多使用一個通道,這樣如果第一個通道發生故障並需要備援���第二個通道就能處理所有傳出頻寬。 |
在完整網狀拓撲中使用主動/被動轉送
如果 Cloud Router 透過特定 Cloud VPN 介面收到相同前置字節但 MED 值不同的資料,系統只會將優先順序最高的路徑匯入 VPC 網路。其他未啟用的路徑不會顯示在 Google Cloud 控制台或 Google Cloud CLI 中。如果優先順序最高的路徑無法使用,Cloud Router 會撤銷該路徑,並自動將次佳路徑匯入 VPC 網路。
使用多個通道或閘道
視對等閘道設定而定,您可以根據路徑優先順序 (MED 值) 建構路徑,讓部分流量穿越一個通道,其他流量穿越另一個通道。同樣地,您也可以調整 Cloud Router 用於共用 VPC 網路路徑的基本優先順序。這些情況說明瞭可能的轉送設定,既非純粹主動/主動,也非純粹主動/被動。
建議的路由選項
使用單一高可用性 VPN 閘道時,建議您使用主動-被動式轉送設定。在這種設定下,正常通道運作期間觀察到的頻寬容量會與備援期間觀察到的頻寬容量相符。除了先前所述的多個閘道情境,觀察到的頻寬限制會維持不變,因此這類設定較容易管理。
使用多個高可用性 VPN 閘道時,建議您使用主動/主動轉送設定。在這種設定下,正常隧道運作期間觀察到的頻寬容量是最大頻寬容量的兩倍。不過,這項設定會有效地為通道提供不足的資源,並可能導致備援失敗時流量中斷。
透過 Cloud VPN 通道限制對等 IP 位址
如果您是機構政策管理員 (roles/orgpolicy.policyAdmin),可以建立政策限制,限制使用者可為對等互連 VPN 閘道指定的 IP 位址。
這項限制適用於特定專案、資料夾或機構中的所有 Cloud VPN 通道 (包括傳統版 VPN 和 HA VPN)。
如需限制 IP 位址的步驟,請參閱「限制對等互連 VPN 閘道的 IP 位址」。
以圖形呈現並監控 Cloud VPN 連線
Network Topology 是一種視覺化工具,可顯示虛擬私有雲網路的拓撲、與內部部署網路的混合式連線,以及相關指標。您可以在「網路拓撲」檢視畫面中,將 Cloud VPN 閘道和 VPN 通道視為實體。
基本實體是特定階層結構的最低層級,代表可透過網路直接與其他資源通訊的資源。網路拓樸會將基本實體匯總為可展開或收合階層式實體。當您初次查看網路拓樸圖時,系統會將所有基本實體匯總至其頂層階層。
舉例來說,網路拓撲會將 VPN 通道匯總至 VPN 閘道連線。您可以展開或收合 VPN 閘道圖示,查看階層。
詳情請參閱「網路拓撲總覽」。
維護與可用性
Cloud VPN 會定期進行維護。在維護期間,Cloud VPN 通道會離線,導致網路流量的短暫中斷。維護完成時,系統會自動重新建立 Cloud VPN 通道。
Cloud VPN 的維護是一項正常的操作工作,可能會在任何時間發生,而不預先通知。維護時間設計的足夠短,不會影響 Cloud VPN 服務水準協議。
高可用性 VPN 是設定高可用性 VPN 的建議方法。如需設定選項,請參閱 高可用性 VPN 拓撲頁面。如果您使用傳統版 VPN 來實現備援和高傳輸量選項,請參閱傳統版 VPN 拓撲頁面。
最佳做法
如要有效建構 Cloud VPN,請參考下列最佳做法。
後續步驟
如要使用高可用性和高總處理量情境或多個子網路情境,請參閱「進階設定」。
如要解決使用 Cloud VPN 時可能遇到的常見��題,請參閱疑難排解。
進一步瞭解 高可用性 VPN 建議使用的拓撲。