Concentriamoci sui prodotti per la connettività di rete Google Cloud: peering, Cloud VPN e Cloud Interconnect. Se stai cercando di connetterti a due reti VPC, potresti prendere in considerazione il peering VPC. Il peering VPC consente la connettività RFC 1918 privata su due reti VPC, indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione. Ricorda che ogni rete VPC ha regole firewall che definiscono il traffico consentito o non consentito tra le reti. Questo diagramma mostra una connessione peering VPC tra due reti che appartengono a diversi progetti e diverse organizzazioni. Come puoi notare, gli intervalli di subnet non si sovrappongono. Questo requisito è necessario per stabilire una connessione. A proposito, per poter stabilire una connessione, gli amministratori di rete devono configurare una richiesta di peering VPC per ciascuna rete VPC. Cloud VPN connette in sicurezza la rete on-premise alla rete VPC di Google Cloud tramite un tunnel VPN IPsec. Il traffico tra le due reti viene criptato da un gateway VPN, quindi viene decriptato dall'altro gateway VPN. Ciò protegge i dati mentre vengono trasferiti su Internet pubblico ed è il motivo per cui Cloud VPN è utile per le connessioni dati di volume ridotto. Come servizio gestito, Cloud VPN offre uno SLA con uptime mensile del 99,9% per la configurazione VPN classica e del 99,99% per la configurazione VPN ad alta disponibilità. I gateway della VPN classica hanno una singola interfaccia e un singolo indirizzo IP esterno, mentre i gateway della VPN ad alta disponibilità hanno due interfacce con due indirizzi IP esterni, uno per ogni gateway. La scelta del gateway VPN dipende dalle opzioni di routing e dal requisito dello SLA. Cloud VPN supporta VPN site-to-site, route statiche e dinamiche tramite router Cloud e crittografie IKEv1 e IKEv2. Tuttavia, le route statiche sono supportate solo dalla VPN classica. Inoltre, Cloud VPN non supporta i casi d'uso in cui i computer client hanno bisogno di connettersi a una VPN utilizzando un software VPN client. Per ulteriori informazioni sullo SLA e su queste funzionalità, consulta la documentazione. Esaminiamo un esempio di Cloud VPN. Questo diagramma mostra una connessione VPN classica tra il tuo VPC e la rete on-premise. La tua rete VPC ha subnet in us-east1 e us-west1, con risorse Google Cloud in ognuna delle due aree geografiche. Queste risorse sono in grado di comunicare tramite i loro indirizzi IP interni poiché il routing all'interno di una rete viene configurato automaticamente, a condizione che le regole firewall consentano la comunicazione. Per connetterti alla rete on-premise e alle sue risorse, devi configurare il gateway Cloud VPN, i gateway VPN on-premise e due tunnel VPN. Il gateway Cloud VPN è una risorsa di area geografica che utilizza un indirizzo IP esterno a livello di area geografica. Il gateway VPN on-premise può essere un dispositivo fisico nel tuo data center o un'offerta VPN fisica o basata su software nella rete di un altro cloud provider. Anche questo gateway VPN ha un indirizzo IP esterno. Un tunnel VPN connette quindi i gateway VPN e funge da mezzo virtuale tramite cui viene inviato il traffico criptato. Per creare una connessione tra due gateway VPN, devi impostare due tunnel VPN. Ogni tunnel definisce una connessione dal punto di vista del suo gateway e il traffico può passare solo quando viene impostata la coppia di tunnel. Una cosa da ricordare quando usi Cloud VPN è che l'unità massima di trasmissione (MTU) per il gateway VPN on-premise non può superare i 1460 byte. Ciò è dovuto alla crittografia e all'incapsulamento dei pacchetti. Per ulteriori informazioni su questa considerazione relativa alla MTU, consulta la documentazione. Oltre alla VPN classica, Google Cloud offre anche un altro tipo di gateway Cloud VPN, la VPN ad alta disponibilità. La VPN ad alta disponibilità è una soluzione Cloud VPN ad alta disponibilità che ti consente di connettere in modo sicuro la rete on-premise alla rete Virtual Private Cloud (VPC) attraverso una connessione VPN IPsec in una singola area geografica. La VPN ad alta disponibilità offre uno SLA con disponibilità del servizio del 99,99%. Per garantire uno SLA con disponibilità del 99,99% per le connessioni VPN ad alta disponibilità, devi configurare adeguatamente due o quattro tunnel dal gateway VPN ad alta disponibilità al gateway VPN peer o a un altro gateway VPN ad alta disponibilità. Quando crei un gateway VPN ad alta disponibilità, Google Cloud sceglie automaticamente due indirizzi IP esterni, uno per ognuna delle due interfacce di cui dispone il gateway. Ogni indirizzo IP viene scelto automaticamente da un pool di indirizzi univoci per supportare l'alta disponibilità. Ognuna delle interfacce dei gateway VPN ad alta disponibilità supporta più tunnel. Puoi anche creare più gateway VPN ad alta disponibilità. Quando elimini un gateway VPN ad alta disponibilità, Google Cloud rilascia gli indirizzi IP affinché possano essere riutilizzati. Puoi configurare un gateway VPN ad alta disponibilità con solo un'interfaccia attiva e un indirizzo IP esterno. Questa configurazione non offre però uno SLA con disponibilità del servizio del 99,99%. I tunnel VPN connessi a gateway VPN ad alta disponibilità devono usare il routing dinamico BGP. In base al modo in cui configuri le priorità delle route per i tunnel VPN ad alta disponibilità, puoi creare una configurazione di routing attiva/attiva o attiva/passiva. La VPN ad alta disponibilità supporta la VPN site-to-site in una delle seguenti topologie o scenari di configurazione consigliati: un gateway VPN ad alta disponibilità connesso a dispositivi VPN peer, un gateway VPN ad alta disponibilità connesso a un gateway privato virtuale AWS o due gateway VPN ad alta disponibilità connessi tra loro. Esaminiamo queste configurazioni più nel dettaglio. Esistono tre configurazioni tipiche di gateway peer per la VPN ad alta disponibilità: un gateway VPN ad alta disponibilità connesso a due dispositivi VPN peer separati, ognuno col suo indirizzo IP, un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza due indirizzi IP separati e un gateway VPN ad alta disponibilità connesso a un dispositivo VPN peer che utilizza un indirizzo IP. Vediamo un esempio. In questa topologia, un gateway VPN ad alta disponibilità si connette a due dispositivi peer. Ogni dispositivo peer ha un'interfaccia e un indirizzo IP esterno. Il gateway VPN ad alta disponibilità utilizza due tunnel, uno per ogni dispositivo peer. Se il gateway lato peer è basato su hardware, avere un secondo gateway lato peer fornisce ridondanza e failover su quel lato della connessione. Un secondo gateway fisico ti consente di disconnettere uno dei gateway per gli upgrade del software o altre operazioni di manutenzione pianificate. Inoltre, ti protegge nel caso si verifichi un errore in uno dei dispositivi. In Google Cloud, il parametro REDUNDANCY_TYPE per questa configurazione assume il valore TWO_IPS_REDUNDANCY. L'esempio illustrato qui fornisce una disponibilità del 99,99%. Quando configuri un gateway VPN ad alta disponibilità esterno che si connette ad Amazon Web Services, puoi utilizzare un gateway di transito o un gateway privato virtuale. Solo il gateway di transito supporta il routing ECMP. Se abilitato, il routing ECMP distribuisce equamente il traffico tra i tunnel attivi. Vediamo un esempio. In questa topologia, è necessario configurare tre componenti gateway principali per questa configurazione: un gateway VPN ad alta disponibilità in Google Cloud con due interfacce, due gateway privati virtuali AWS, connessi al gateway VPN ad alta disponibilità, e una risorsa gateway VPN esterno in Google Cloud che rappresenta il gateway privato virtuale AWS. Questa risorsa fornisce a Google Cloud informazioni sul gateway AWS. La configurazione AWS supportata utilizza in tutto quattro tunnel: due tunnel da un gateway privato virtuale AWS a un'interfaccia del gateway VPN ad alta disponibilità e due tunnel dall'altro gateway privato virtuale AWS all'altra interfaccia del gateway VPN ad alta disponibilità. Puoi connettere due reti VPC Google Cloud utilizzando un gateway VPN ad alta disponibilità in ogni rete. La configurazione illustrata fornisce una disponibilità del 99,99%. Crei due tunnel dal punto di vista di ogni gateway VPN ad alta disponibilità. Connetti l'interfaccia 0 su un gateway VPN ad alta disponibilità all'interfaccia 0 sull'altra VPN ad alta disponibilità e l'interfaccia 1 su un gateway VPN ad alta disponibilità all'interfaccia 1 sull'altra VPN ad alta disponibilità. Per ulteriori informazioni sulla VPN ad alta disponibilità, consulta la documentazione. Per informazioni sul passaggio alla VPN ad alta disponibilità, fai sempre riferimento alla documentazione. In precedenza, abbiamo accennato che Cloud VPN supporta sia le route statiche che quelle dinamiche. Per utilizzare le route dinamiche, devi configurare i router Cloud. Un router Cloud può gestire i file per un tunnel Cloud VPN utilizzando il protocollo Border Gateway Protocol, o BGP. Questo metodo di routing consente di aggiornare e scambiare le route senza modificare la configurazione del tunnel. Ciò permette alle nuove subnet, come quelle in gestione temporanea nella rete VPC e quelle nel Rack 30 della rete peer, di essere annunciate senza interruzioni tra le reti. Se hai bisogno di una connessione ad alta velocità dedicata tra le reti, prendi in considerazione l'utilizzo di Cloud Interconnect. Cloud Interconnect offre due opzioni per estendere le reti on-premise: Dedicated Interconnect e Partner Interconnect. Dedicated Interconnect offre una connessione diretta a una struttura di colocation. La struttura di colocation deve supportare circuiti da 10 Gbps o da 100 Gbps e una connessione dedicata può raggruppare fino a otto connessioni da 10 Gbps o due da 100 Gbps per un massimo di 200 Gbps. Partner Interconnect offre una connessione attraverso un provider di servizi. Ciò è utile per i requisiti di larghezza di banda inferiori che partono da 50 Mbps. In entrambi i casi, Cloud Interconnect consente di accedere alle risorse VPC tramite uno spazio di indirizzi IP interni. Puoi anche configurare l'accesso privato Google per consentire agli host on-premise di accedere ai servizi Google tramite indirizzi IP privati. Per utilizzare Dedicated Interconnect, devi eseguire il provisioning di una connessione incrociata tra la rete Google e il tuo router in una struttura di colocation comune, come illustrato nel diagramma. Per scambiare le route tra le reti, devi configurare una sessione BGP sull'interconnessione tra il router Cloud e il router on-premise. Ciò consentirà al traffico degli utenti dalla rete on-premise di raggiungere le risorse Google Cloud sulla rete VPC e viceversa. Partner Interconnect offre connettività tra la tua rete on-premise e la tua rete VPC tramite un provider di servizi supportato. Ciò è utile se il data center si trova in una località fisica che non raggiunge una struttura di colocation di Dedicated Interconnect o se le esigenze di dati non richiedono una connessione Dedicated Interconnect.
