Ce document décrit les topologies recommandées et le contrat de niveau de service (SLA) correspondant pour chaque topologie de VPN haute disponibilité. Pour en savoir plus sur les topologies des VPN classiques, consultez la section Topologies des VPN classiques. Pour en savoir plus sur Cloud VPN, y compris sur les deux types de VPN, consultez la présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.
Présentation
Le VPN haute disponibilité prend en charge l'une des topologies recommandées suivantes:
Connectez Google Cloud à votre passerelle VPN de pair. Cette topologie nécessite deux tunnels VPN du point de vue de la passerelle VPN haute disponibilité pour atteindre le contrat de niveau de service haute disponibilité. Dans cette configuration, le VPN ha ute disponibilité dispose de trois configurations de passerelle de pairs classiques:
- Deux passerelles VPN de pairs distinctes, chacune avec sa propre adresse IP.
- Une passerelle VPN de pairs avec deux adresses IP distinctes.
- Une passerelle VPN de pairs unique avec une seule adresse IP.
Connecter plusieurs réseaux VPC Google Cloud Dans cette topologie, vous connectez deux réseaux VPC Google Cloud à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau VPC. Les réseaux VPC peuvent se trouver dans la même région ou dans différentes régions Google Cloud.
Le contrat de niveau de service de disponibilité est différent pour les passerelles VPN haute disponibilité déployées dans la même région et pour celles déployées dans différentes régions. Pour en savoir plus, consultez la section Configurations de haute disponibilité pour le VPN haute disponibilité.
Connecter une passerelle VPN haute disponibilité à des instances de VM Compute Engine Dans cette topologie, vous connectez une passerelle VPN haute disponibilité à une instance de machine virtuelle (VM) Compute Engine. Vos instances de VM peuvent se trouver dans la même zone ou dans des zones différentes.
Le contrat de niveau de service de disponibilité de l'instance de VM Compute Engine détermine le contrat de niveau de service de disponibilité pour la connexion VPN.
VPN haute disponibilité sur Cloud Interconnect Dans cette topologie, vous créez des tunnels VPN haute disponibilité pour acheminer le trafic chiffré IPsec via des rattachements de VLAN d'interconnexion dédiée ou partenaire. Vous pouvez réserver les plages d'adresses IP internes régionales pour vos passerelles VPN haute disponibilité. Votre passerelle VPN de pairs peut également posséder des adresses IP internes. Pour en savoir plus et obtenir des schémas d'architecture, consultez la section Architecture de déploiement d'un VPN haute disponibilité via Cloud Interconnect.
Dans Google Cloud, tous les scénarios de passerelles de pairs sont représentés par une seule ressource de VPN pair externe.
Configuration de haute disponibilité pour le VPN haute disponibilité
Le tableau suivant présente les contrats de niveau de service de disponibilité proposés par différentes configurations de VPN haute disponibilité:
| Topologie | Description | Garantie de disponibilité dans le contrat de niveau de service |
|---|---|---|
| Connecter Google Cloud à votre passerelle VPN de pairs | Connecter une passerelle VPN haute disponibilité à une ou deux passerelles VPN pairs distinctes | 99,99 % |
| Connecter des réseaux VPC à l'aide de passerelles VPN haute disponibilité | Connecter deux réseaux VPC Google Cloud à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau Les passerelles VPN haute disponibilité sont déployées dans la même région. Les réseaux VPC peuvent se trouver dans la même région ou dans des régions différentes. | 99,99 % |
| VPN haute disponibilité vers des instances de VM Compute Engine dans plusieurs zones | Connecter une passerelle VPN haute disponibilité aux instances de VM Compute Engine avec des adresses IP externes | 99,9 % |
| VPN haute disponibilité vers une seule instance de VM Compute Engine | Connecter une passerelle VPN haute disponibilité à une seule instance de VM Compute Engine disposant d'une adresse IP externe | Le contrat de niveau de service de disponibilité est déterminé par le contrat de niveau de service de disponibilité fourni pour une instance de VM unique de famille de machines à mémoire optimisée pour Compute Engine. Pour en savoir plus, consultez le contrat de niveau de service de Compute Engine. |
Pour vous assurer d'obtenir le contrat de niveau de service de disponibilité maximal pour vos connexions VPN haute disponibilité, nous vous recommandons de configurer deux tunnels depuis votre passerelle VPN haute disponibilité vers votre passerelle VPN de pairs ou vers une autre passerelle VPN haute disponibilité. Assurez-vous que la passerelle VPN de pairs est également configurée pour recevoir le même contrat de niveau de service garantissant une disponibilité.
Pour maintenir la connectivité en cas de défaillance de l'un des tunnels, connectez toutes les interfaces de la passerelle VPN haute disponibilité à toutes les interfaces de la passerelle de pairs ou d'une autre passerelle VPN haute disponibilité.
Connecter Google Cloud à votre passerelle VPN de pair
Il existe trois configurations de passerelle de pairs pour les VPN haute disponibilité :
- Une passerelle VPN haute disponibilité vers deux passerelles VPN pairs distinctes, chacune avec sa propre adresse IP
- Une passerelle VPN haute disponibilité vers une passerelle VPN pair utilisant deux adresses IP distinctes
- Une passerelle VPN haute disponibilité vers une passerelle VPN pair utilisant une adresse IP
Pour réaliser l'une de ces configurations, consultez la section Créer une passerelle depuis un VPN haute disponibilité vers un VPN de pairs.
Si vous déployez une passerelle VPN haute disponibilité avec un type de pile IPV6_ONLY ou IPV4_IPV6, vos tunnels VPN peuvent accepter l'échange de trafic IPv6. Le protocole IPv6 doit également être activé dans les sessions BGP que vous créez pour les tunnels VPN. Dans ce scénario, vous pouvez attribuer des adresses IPv6 aux sous-réseaux sur site et aux sous-réseaux VPC dans les topologies suivantes. Pour en savoir plus, consultez la page Compatibilité IPv6.
Connecter deux passerelles VPN de pairs
Si votre passerelle côté pairs est matérielle, la mise en place d'une deuxième passerelle côté pairs offre des fonctionnalités de redondance et de basculement de ce côté de la connexion. La présence d'une deuxième passerelle physique vous permet de mettre l'une des passerelles hors connexion pour les mises à niveau logicielles ou pour d'autres opérations de maintenance planifiées. Elle vous protège également en cas de défaillance d'une des passerelles physiques.
Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux passerelles VPN de pairs. Chaque passerelle VPN de pairs possède une interface et une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque passerelle VPN paire.
Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.
L'exemple suivant assure une disponibilité de 99,99% dans le cadre du contrat de niveau de service.
Connecter une passerelle VPN de pairs avec deux adresses IP
Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à une passerelle VPN de pair disposant de deux adresses IP externes distinctes. La passerelle VPN haute disponibilité utilise deux tunnels, un tunnel vers chaque adresse IP externe sur la passerelle VPN paire.
Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur TWO_IPS_REDUNDANCY.
L'exemple suivant assure une disponibilité de 99,99% dans le cadre du contrat de niveau de service.
Connecter une passerelle VPN de pairs avec une seule adresse IP
Cette topologie décrit une passerelle VPN haute disponibilité qui se connecte à une passerelle VPN de pair disposant d'une adresse IP externe. La passerelle VPN haute disponibilité utilise deux tunnels, tous deux reliés à la même adresse IP externe sur la passerelle VPN du pair.
Dans Google Cloud, le paramètre REDUNDANCY_TYPE de cette configuration prend la valeur SINGLE_IP_INTERNALLY_REDUNDANT.
L'exemple suivant assure une disponibilité de 99,99% dans le cadre du contrat de niveau de service.
Configurer pour un SLA de disponibilité de 99,99 %
Pour respecter le contrat de niveau de service garantissant 99,99 % de disponibilité du côté de Google Cloud, un tunnel doit relier chacune des deux interfaces de la passerelle VPN haute disponibilité aux interfaces correspondantes de la passerelle de pairs.
Si la passerelle de pairs comporte deux interfaces, alors la configuration de deux tunnels, chacun reliant une interface pair à une interface de passerelle VPN haute disponibilité, répond aux exigences de 99,99 % de disponibilité imposées par le contrat de niveau de service. Une configuration de réseau maillé complet n'est pas requise pour un contrat de niveau de service garantissant une disponibilité de 99,99 % du côté de Google Cloud. Dans ce cas, un réseau maillé complet est constitué de deux tunnels reliant chaque interface VPN haute disponibilité à chacune des deux interfaces de la passerelle de pairs. Pour vérifier si votre fournisseur VPN recommande une configuration de réseau maillé complet, consultez la documentation de votre passerelle VPN pair (sur site), ou contactez votre fournisseur VPN.
Dans les configurations comportant deux interfaces de pairs, les tunnels de chacune des interfaces suivantes sur la passerelle VPN haute disponibilité se rapportent aux interfaces correspondantes sur la ou les passerelles de pairs :
interface 0de VPN haute disponibilité correspondant àinterface 0pairinterface 1de VPN haute disponibilité correspondant àinterface 1pair
Des exemples sont présentés dans les illustrations pour deux passerelles VPN paires et deux interfaces ou pour une passerelle VPN paire et deux interfaces.
S'il n'existe qu'une seule interface pair sur une passerelle de pairs, chaque tunnel de chaque interface de passerelle VPN haute disponibilité doit se connecter à l'interface pair unique. Consultez le schéma pour une seule passerelle VPN de pairs, une seule interface.
L'exemple suivant n'assure pas un contrat de niveau de service garantissant une disponibilité de 99,99 % :
interface 0de VPN haute disponibilité correspondant àinterface 0pair
Connecter des réseaux VPC à l'aide de passerelles VPN haute disponibilité
Vous pouvez connecter deux réseaux VPC Google Cloud à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau. Les réseaux VPC et les passerelles VPN haute disponibilité peuvent se trouver dans la même région ou dans des régions différentes.
Vous pouvez connecter plus de deux réseaux VPC à l'aide du routage transitif. Pour obtenir un routage transitif, créez un réseau VPC hub et connectez vos autres réseaux VPC à ce hub à l'aide de connexions VPN haute disponibilité individuelles.
Le contrat de niveau de service de disponibilité dans cette topologie dépend de la localisation des passerelles VPN haute disponibilité dans la même région ou dans des régions différentes. Vous bénéficiez d'un contrat de niveau de service de disponibilité plus élevé si les passerelles VPN haute disponibilité se trouvent dans la même région.
Connecter des réseaux VPC
Vous pouvez connecter deux réseaux VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau. Les passerelles VPN haute disponibilité doivent être déployées dans la même région pour obtenir le meilleur contrat de niveau de service de disponibilité, même si les réseaux VPC se trouvent dans des régions différentes. Chaque passerelle VPN haute disponibilité identifie l'autre passerelle par son nom.
L'exemple suivant assure une disponibilité de 99,99% dans le cadre du contrat de niveau de service.
Pour réaliser cette configuration, consultez la section Créer deux passerelles VPN haute disponibilité entièrement configurées connectées entre elles.
Configurer pour un SLA de disponibilité de 99,99 %
Pour garantir un contrat de niveau de service avec une disponibilité de 99,99 %, configurez chaque passerelle VPN haute disponibilité avec deux tunnels, afin que les deux conditions suivantes soient remplies:
Tunnel 0connecteinterface 0sur une passerelle VPN haute disponibilité àinterface 0sur l'autre passerelle VPN haute disponibilité.Tunnel 1connecteinterface 1sur une passerelle VPN haute disponibilité àinterface 1sur l'autre passerelle VPN haute disponibilité.
Vous pouvez connecter deux réseaux VPC à l'aide d'une passerelle VPN haute disponibilité dans chaque réseau, où les passerelles VPN haute disponibilité se trouvent dans des régions différentes. Toutefois, cette topologie offre un contrat de niveau de service garantissant une disponibilité de 99,9 %.
Sauf si vous avez besoin que les passerelles VPN haute disponibilité se trouvent dans différentes régions, nous vous déconseillons de les placer dans des régions différentes. Les réseaux VPC sont des ressources globales. Vous pouvez donc utiliser le VPN haute disponibilité pour connecter des ressources dans différentes régions, même si les passerelles VPN haute disponibilité sont déployées dans la même région.
L'exemple suivant assure une disponibilité de 99,9% dans le contrat de niveau de service.
Pour réaliser cette configuration, consultez la section Créer deux passerelles VPN haute disponibilité entièrement configurées connectées entre elles.
Configurer pour un contrat de niveau de service garantissant une disponibilité de 99,9 %
Pour garantir un contrat de niveau de service garantissant une disponibilité de 99,9% si les passerelles VPN se trouvent dans différentes régions, configurez chaque passerelle VPN haute disponibilité avec deux tunnels, afin que les deux conditions suivantes soient remplies:
Tunnel 0connecteinterface 0sur une passerelle VPN haute disponibilité àinterface 0sur l'autre passerelle VPN haute disponibilité.Tunnel 1connecteinterface 1sur une passerelle VPN haute disponibilité àinterface 1sur l'autre passerelle VPN haute disponibilité.
Pour obtenir un meilleur contrat de niveau de service de disponibilité, déployez les passerelles VPN haute disponibilité dans la même région . Cette configuration vous permet également de connecter des réseaux VPC dans différentes régions.
Connecter une passerelle VPN haute disponibilité à des instances de VM Compute Engine
Avec un VPN haute disponibilité, vous pouvez établir une connexion sécurisée entre une passerelle VPN haute disponibilité et des instances de VM Compute Engine qui fonctionnent comme des dispositifs réseau virtuels avec une implémentation IPsec. Cette topologie fournit une garantie de disponibilité de 99,9% dans le contrat de niveau de service lorsqu'elle est correctement configurée.
Connecter une passerelle VPN haute disponibilité à plusieurs instances de VM
Dans cette topologie, une passerelle VPN haute disponibilité se connecte à deux instances de VM Compute Engine. La passerelle VPN haute disponibilité et les VM se trouvent dans deux réseaux cloud privés virtuels différents. Les deux VM se trouvent dans des zones différentes, et chacune d'elles dispose d'une adresse IP externe. Les instances de VM se comportent comme des passerelles VPN de pairs.
Cette topologie est particulièrement utile lorsque vous souhaitez connecter un VPN haute disponibilité à une VM de dispositif virtuel de réseau tiers hébergée dans une instance de VM Compute Engine. Par exemple, en utilisant cette topologie, vous pouvez mettre à niveau l'une des VM de dispositif virtuel de réseau sans aucun temps d'arrêt de la connexion VPN.
Dans le schéma, la passerelle VPN haute disponibilité se trouve sur un réseau VPC nommé network-a, et les deux VM se trouvent dans network-b. Les deux réseaux VPC se trouvent dans us-central1. La passerelle VPN haute disponibilité de la région network-a est configurée avec les adresses IP externes de chacune des VM dans la région network-b. Vous pouvez également disposer de la passerelle VPN haute disponibilité et des VM dans deux régions différentes. Nous vous recommandons d'utiliser cette topologie pour améliorer la disponibilité.
L'exemple suivant assure une disponibilité de 99,9% dans le contrat de niveau de service.
Pour réaliser cette configuration, consultez la section Connecter un VPN haute disponibilité à des VM Compute Engine.
Configurer pour un contrat de niveau de service garantissant une disponibilité de 99,9 %
Pour respecter le contrat de niveau de service garantissant une disponibilité de 99,9 %, il doit y avoir au moins deux tunnels de chacune des deux interfaces de la passerelle VPN haute disponibilité vers les interfaces correspondantes de chacune des VM. Nous vous recommandons d'utiliser cette topologie pour obtenir un contrat de niveau de service de disponibilité plus élevé.
Deux tunnels sur chacune des interfaces suivantes de la passerelle VPN haute disponibilité se connectent aux interfaces de la VM :
Tunnel 0deinterface 0àus-central1-vm-adans la zoneus-central1-aTunnel 1deinterface 1àus-central1-vm-adans la zoneus-central1-aTunnel 2deinterface 0àus-central1-vm-bdans la zoneus-central1-bTunnel 3deinterface 1àus-central1-vm-bdans la zoneus-central1-b
Connecter une passerelle VPN haute disponibilité à une seule instance de VM
Un VPN haute disponibilité vous permet de connecter une passerelle VPN haute disponibilité à une instance de machine virtuelle (VM) Compute Engine fonctionnant comme un dispositif virtuel de réseau et exécutant une mise en œuvre de VPN IPsec. La passerelle VPN haute disponibilité et la VM se trouvent dans deux VPC différents. La VM dispose d'une adresse IP externe.
La disponibilité globale est déterminée par le contrat de niveau de service fourni à une instance de VM unique de famille de machines à mémoire optimisée pour Compute Engine. Pour en savoir plus, consultez le contrat de niveau de service de Compute Engine.
Pour réaliser cette configuration, consultez la section Connecter un VPN haute disponibilité à des VM Compute Engine.
Configurer pour un contrat de niveau de service garantissant une disponibilité de 99,9 %
Pour respecter le contrat de niveau de service garantissant une disponibilité à 99,9 %, il doit y avoir deux tunnels entre chacune des deux interfaces de la passerelle VPN haute disponibilité vers l'interface de la VM Compute Engine.
Deux tunnels sur chacune des interfaces suivantes de la passerelle VPN haute disponibilité se connectent aux interfaces de la VM :
Tunnel 0deinterface 0àus-central1-vm-adans la zoneus-central1-aTunnel 1deinterface 1àus-central1-vm-adans la zoneus-central1-a
Étapes suivantes
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.