Contact
ua ro pl hu en

Opțiuni de conectivitate hibridă în Google Cloud: Cloud VPN

Opțiuni de conectivitate hibridă în Google Cloud: Cloud VPN

Mediile cloud hibride sunt o soluție pentru companiile care doresc să își modernizeze infrastructura IT fără a risca securitatea și fiabilitatea sistemelor lor existente. Google Cloud oferă o suită cuprinzătoare de soluții de conectivitate hibridă. Acestea răspund nevoilor diverse ale companiilor, variind de la opțiuni VPN cu costuri reduse până la interconectări dedicate. Sunt soluții care permit comunicarea sigură și eficientă între aplicațiile locale, centrele de date și resursele Google Cloud.

Opțiunile Google Cloud pentru conectivitate hibridă

În Google Cloud avem următoarele cinci opțiuni pentru conectivitate hibridă:

În acest articol voi prezenta pe scurt toate cele cinci opțiuni. În cele din urmă, ne vom concentra atenția pe Cloud VPN. Să aruncăm o privire la diagrama de mai jos pentru a înțelege mai bine când să folosiți fiecare opțiune:

Dedicated Interconnect (Interconectarea dedicată)

Interconectarea dedicată oferă conexiuni fizice directe între rețeaua locală și rețeaua Google. Această opțiune permite să transferați cantități mari de date între rețele, ceea ce poate fi mai rentabil decât achiziționarea de lățime de bandă suplimentară prin internetul public.

Cum funcționează interconectarea dedicată?

Pentru interconectarea dedicată, furnizați o conexiune de interconectare dedicată între rețeaua Google și propria dvs. rețea. Următorul exemplu de diagramă arată o singură conexiune de interconectare dedicată între o rețea Virtual Private Cloud (VPC) și o rețea locală.

Peering cu Google (Peering direct)

Peering-ul direct vă permite să stabiliți o conexiune de peering directă între rețeaua dvs. de afaceri și rețeaua edge Google și să faceți schimb de trafic cloud de mari dimensiuni.

Această capacitate este disponibilă în oricare dintre cele peste 100 de locații din 33 de țări din întreaga lume. Pentru mai multe informații despre locațiile de margine ale Google, consultați site-ul de peering Google.

Când este stabilit, peering-ul direct oferă o cale directă de la rețeaua dvs. locală la serviciile Google, inclusiv produsele Google Cloud care pot fi expuse prin una sau mai multe adrese IP publice. Traficul din rețeaua Google către rețeaua dvs. locală urmează, de asemenea, această cale directă, inclusiv traficul din rețelele VPC din proiectele dvs.

Peeringul direct există în afara Google Cloud. Cu excepția cazului în care trebuie să accesați aplicațiile Google Workspace, metodele recomandate de acces la Google Cloud sunt Interconectare prin furnizor sau Interconectare dedicată.

Cloud VPN

Cloud VPN este un serviciu regional care vă va conecta în siguranță rețeaua locală la GCP VPC folosind un tunel IPSec. Tot traficul care traversează internetul prin tunel este criptat. Sunt acceptate atât cifrurile IKEv1, cât și IKEv2. Conexiunea VPN necesită un gateway VPN Cloud, un gateway VPN local și două tuneluri VPN care sunt configurate din perspectiva fiecărui gateway. O conexiune este stabilită atunci când sunt create ambele tuneluri. Gateway-ul local poate fi un dispozitiv hardware sau software.

Există o cerință specială ca MTU-ul gateway-ului dvs. local să nu fie mai mare de 1.460 de octeți. VPN acceptă atât rute statice, cât și dinamice. Rutele dinamice sunt gestionate de routerele din rețeaua VPC și folosesc Border Gateway Protocol (BGP), în timp ce rutele statice sunt create manual și acceptă rutele următoare.

În acest moment, Google oferă două tipuri de gateway VPN: VPN HA și VPN clasic:

HA VPN

Un VPN HA este o soluție VPN cu o disponibilitate ridicată, care ne permite să ne conectăm rețeaua locală la un VPC GCP într-o singură regiune. Fiind un serviciu cu o disponibilitate ridicată, un VPN HA oferă un SLA (Service Level Agreement/ Acord privind nivelul serviciilor) de 99,99% privind disponibilitatea serviciului.

Când creăm acest tip de VPN, GCP creează automat două adrese IP externe – una pentru fiecare dintre interfețele fixe și fiecare interfață gateway VPN HA acceptă mai multe tuneluri. Trebuie să reținem că este posibil să configurați un VPN HA cu o singură interfață activă și un IP extern, însă aceasta nu va oferi SLA-ul menționat. Există unele cerințe care trebuie să fie în vigoare pentru a atinge SLA-ul de disponibilitate de 99,99%.

Să discutăm despre asta în mai multe detalii:

  • Disponibilitatea este garantată numai pe partea Google Cloud a conexiunii, ceea ce înseamnă că disponibilitatea end-to-end va depinde de configurația corectă a gateway-ului VPN peer. Dacă există configurația corectă, atunci ambele părți sunt gateway-uri Google Cloud și va fi garantată disponibilitatea de la un capăt la altul la 99,99%. Pentru a obține o disponibilitate ridicată atunci când ambele gateway-uri VPN sunt în rețele VPC, trebuie să folosim două gateway-uri VPN HA și ambele trebuie să fie în aceeași regiune.
  • Deși ambele gateway-uri trebuie să fie în aceeași regiune, dacă rețeaua noastră VPC este configurată pentru modul de rutare dinamică globală, rutele către subrețelele pe care gateway-urile le partajează pot fi în orice regiune. Dacă ne configuram rețeaua VPC pentru modul de rutare dinamică regională, atunci numai rutele către subrețele din aceeași regiune vor fi partajate cu rețeaua peer. Rutele învățate sunt aplicate numai subrețelelor din aceeași regiune cu tunelul VPN.
  • VPN HA trebuie, de asemenea, să respingă adresele IP Google Cloud dacă sunt configurate într-o resursă gateway VPN externă; de exemplu, folosind adresa IP externă a unei instanțe VM ca adresă IP externă pentru resursa gateway VPN externă. VPN HA trebuie utilizat pe ambele părți ale unei rețele Google Cloud pentru a obține o topologie VPN HA pe deplin acceptată.

De asemenea, trebuie să ne asigurăm că configurăm două tuneluri VPN din perspectiva gateway-ului Cloud VPN. Aceasta vine cu cerințe specifice, în funcție de designul nostru:

  • Două dispozitive peer VPN gateway: această configurație necesită ca fiecare dintre tunelurile de la fiecare interfață de pe gateway-ul Cloud VPN să fie conectat la propriul său gateway peer.
  • Dispozitivul gateway VPN peer unic cu două interfețe: această configurație necesită ca fiecare dintre tunelurile de la fiecare interfață de pe gateway-ul Cloud VPN să fie conectat la propria interfață pe gateway-ul peer.
  • Dispozitivul gateway VPN peer unic cu o singură interfață: această configurație necesită ca ambele tuneluri de la fiecare interfață de pe gateway-ul Cloud VPN să fie conectate la aceeași interfață pe gateway-ul peer
  • Un dispozitiv VPN peer trebuie configurat cu redundanța corespunzătoare. Furnizorul dispozitivului va specifica detaliile unei configurații redundante, iar aceasta poate diferi în funcție de furnizor.
  • Dacă designul nostru necesită două dispozitive peer, atunci fiecare dispozitiv peer ar trebui să fie conectat la o interfață gateway VPN HA diferită. Dacă partea peer este de la alt furnizor, de exemplu Azure, atunci conexiunile VPN ar trebui să fie configurate cu redundanță corespunzătoare și pe partea de Azure.
  • De asemenea, dispozitivul nostru gateway VPN peer trebuie să accepte rutare dinamică (BGP).

Următoarea diagramă prezintă conceptul HA VPN, arătând o topologie care include cele două interfețe ale unui gateway HA VPN conectat la două gateway-uri peer VPN:

Classic VPN 

Toate gateway-urile Cloud VPN create înainte de introducerea VPN HA sunt considerate gateway-uri VPN clasice.

Gateway-urile VPN clasice au o singură interfață și o singură adresă IP externă. Aceștia acceptă tuneluri care utilizează BGP sau rutare statică și vor oferi un SLA de disponibilitate a serviciilor de 99,9%.. De la finalul anului 2021, nu se mai poate folosi rutarea statică pentru a crea tuneluri VPN clasice care se conectează la un alt gateway VPN clasic și nici să conectăm o rețea VPC clasică la o altă rețea de furnizor de cloud. De asemenea, nu veți putea crea un nou tunel VPN clasic. Google ne încurajează să migram traficul de producție către un VPC HA.

Tabel comparativ

Următorul tabel compară caracteristicile VPN HA cu caracteristicile VPN clasice:

CaracteristicaHA VPNClassic VPN
SLAOferă 99,99% SLA pentru majoritatea topologiilor, cu câteva excepții.Oferă un SLA de 99,9%.
Crearea de adrese IP externe și reguli de redirecționareAdrese IP externe create dintr-un pool; nu sunt necesare reguli de transmitere.Trebuie create adrese IP externe și reguli de redirecționare.
Opțiuni de rutare acceptateDoar rutare dinamică (BGP).Rutare statică (pe bază de politici, bazată pe rută). Rutarea dinamică este acceptată numai pentru tunelurile care se conectează la software-ul gateway VPN terță parte care rulează pe instanțele VM Google Cloud.
Două tuneluri de la un gateway Cloud VPN la același gateway peerAcceptat.Nu este acceptat.
Conectați un gateway Cloud VPN la VM Compute Engine cu adrese IP externeTopologie acceptată și recomandată. Pentru mai multe informații, consultați Topologii VPN HA.Acceptat.
Resurse APICunoscută ca resursa vpn-gateway.Cunoscută ca resursa target-vpn-gateway.
Trafic IPv6Acceptat (configurație dual stack IPv4 și IPv6)Nu este acceptat.

Cerințe pentru a crea o conexiune între Cloud VPN și on premises:

Conectarea Cloud VPN cu on-premises în GCP implică stabilirea unei conexiuni sigure între rețeaua locală și rețeaua Google Cloud Platform (GCP). Pentru a asigura o conexiune de succes și fără întreruperi, trebuie îndeplinite mai multe cerințe.

Cerințe rețelei locale (on prem):

  1. Rețea locală rutabilă: rețeaua dvs. locală trebuie să fie conectată direct la internetul public și să aibă o adresă IP externă statică. Această adresă IP va servi ca adresă IP a gateway-ului VPN peer, permițând comunicarea între rețelele dvs. locale și GCP.
  2. Activarea redirecționării IP: redirecționarea IP trebuie să fie activată pe routerul dvs. local. Acest lucru permite routerului să direcționeze traficul între rețeaua locală și rețeaua GCP, asigurând un transfer de date fără întreruperi.
  3. Configurare subrețeaua VPN Gateway: creați o subrețea dedicată în rețeaua locală pentru a servi drept subrețea VPN Gateway. Această subrețea va găzdui dispozitivul VPN gateway, responsabil pentru stabilirea și menținerea conexiunii tunelului VPN.

Cerințele rețelei GCP

  • Rețea VPC: veți avea nevoie de o rețea VPC în GCP pe care doriți să o conectați la rețeaua locală. Această rețea ar trebui să aibă resursele necesare, cum ar fi subrețele, tabele de rutare și firewall-uri, pentru a facilita conexiunea VPN.
  • Alocarea subrețelei VPN Gateway: Alocați o subrețea dedicată în rețeaua dvs. GCP VPC pentru a găzdui dispozitivul GCP VPN gateway. Această subrețea va acționa ca omologul gateway-ului VPN din rețeaua dvs. locală, permițând comunicarea securizată între cele două rețele.
  • Adresă IP publică statică: obțineți o adresă IP publică statică pentru dispozitivul gateway VPN GCP. Această adresă IP va fi utilizată de gateway-ul VPN local pentru a stabili o conexiune securizată cu gateway-ul VPN GCP.

Reguli pentru firewall:

  • Reguli de firewall de rețea locală: implementați reguli de firewall în rețeaua dvs. locală pentru a permite traficul specific din rețeaua GCP, cum ar fi traficul web sau accesul la baza de date. Acest lucru asigură că numai traficului autorizat i se permite să traverseze tunelul VPN.     
  • Reguli  firewall de rețea GCP: configurați reguli de firewall în rețeaua dvs. GCP pentru a permite traficul din rețeaua locală, urmând același principiu de a permite numai traficul autorizat.

Configurația tunelului VPN:

  • Crearea tunelului VPN: stabiliți un tunel VPN între gateway-urile VPN din rețeaua locală și rețeaua GCP. Acest tunel va cripta și încapsula traficul, asigurând o comunicare sigură între cele două rețele.
  • Selecția protocolului VPN: alegeți un protocol VPN adecvat, cum ar fi IPsec, pentru a stabili tunelul VPN. Aceste protocoale asigură transmisie de date sigură și fiabilă prin internetul public.
  • Criptare VPN: implementați algoritmi de criptare puternici, cum ar fi AES-256, pentru a proteja datele schimbate prin tunelul VPN. Acest lucru protejează informațiile sensibile împotriva interceptării sau accesului neautorizat.

Îndeplinind aceste cerințe, puteți stabili o conexiune Cloud VPN sigură și fiabilă între rețeaua locală și GCP, permițând transferul de date fără întreruperi și o conectivitate îmbunătățită la rețea.

Opțiunile Google Cloud pentru conectivitate hibridă
Dedicated Interconnect (Interconectarea dedicată)
Peering cu Google (Peering direct)
Cloud VPN
Classic VPN
Cerințe pentru a crea o conexiune între Cloud VPN și on premises:

Laura Paraschiv are peste 5 ani de activitate ca jurnalist și alți 5 ani experiență de content writer și marketer. Nu are nicio problemă în a scrie pentru orice public sau industrie, dar mai mereu se bâlbâie când trebuie să scrie despre sine.