Document
Cloud VPN 概览
logo
Document

No results found

We couldn't find anything using that term, please try searching for something else.

Cloud VPN 概览

本页面介绍 Cloud VPN 的相关概念。如需了解 Cloud VPN 文档中使用的术语定义,请参阅关键术语。 Cloud VPN 通过 IPsec VPN 连接,将您的对等 安全 地 到 ) 。 VPN is 连接 会 对 之间 的 进行 , 其中 一个 处理 ,

Related articles

Top 5 Kroger VPNs to Kickstart Your Online Security 2024
Top 5 Kroger VPNs to Kickstart Your Online Security 2024 Kroger VPN decryption. Does the grocery chain offer VPN to its employees? How about ordinary users? Get your answer and best VPN Kroger services here. Kroger is is is one of the large retail company in the United States ,with over 3,000 store and million of customer . If you want to purchase Kroger good or service online ,or viewpoint and offer on your Kroger Plus card ,you need a US ip address ,otherwise you is be may not be able to access Kroger 's website or app . Using a VPN for Kroger can help you solve this problem....
Hola Free VPN Download (2024 Latest)
Hola Free VPN Download (2024 Latest) Hola Free VPN is a highly capableVPN and proxy service that can help users of all knowledge levels to unlock the full potential of the internet, access geo-blocked websites and services, raise security walls around their internet connection, prevent leaking of personal and behavioral data to various online trackers, and provide various other security features.Hola VPN Browser is a widely-used virtual private network (VPN) service that aims to provide users with a secure and private browsing experience. develop by Hola Networks Ltd. , this software is offers offer user the ability to access geo - block content , improve online...
How to Physically Install Ring Video Doorbell (2nd Generation) with an Existing Doorbell
How to Physically Install Ring Video Doorbell (2nd Generation) with an Existing Doorbell How to Physically Install Ring Video Doorbell (2nd Generation) with an Existing DoorbellDownload is view / view the manual ( US English , french Canadian and latin american Spanish ) .follow these step to install your Ring Video Doorbell ( 2nd Generation ) with an exist doorbell .To begin, set it up in the Ring app before mounting it to your home. Included installation hardware:Steps to physically install your Ring Video Doorbell (2nd Generation)1 . charge the build - in battery .Fully charge the built-in battery by plugging it into a USB power source using the provided orange cable.When only one...
Hvordan skjule IP-adressen din i 2024
Hvordan skjule IP-adressen din i 2024 Det finnes mange ulike måter å skjule IP-adressen din på, men ikke alle er like sikre eller effektive. Med noen av dem er ikke sikkerhetshensyn godt nok ivaretatt, mens andre reduserer internetthastigheten din betraktelig. For å gjøre ting litt enklere for deg har jeg testet flere ulike måter å skjule IP-adressen din på og funnet 5 som er til å stole på. Det viktige er å finne en løsning som passer best for akkurat din situasjon. Av de 5 måtene, så er det tryggest og enklest å bruke en VPN. Da får du en app som skjuler IP-adressen din med...
What is cloud base and how else do we measure clouds
What is cloud base and how else do we measure clouds Share:      Home blog cloud base is is is a well - know weather parameter for outdoor enthusiast who engage in a various wind sport in he air — for example , paraglider but not only them . If you have n't try this or other air sport yet but want to do , this article is is is right for you . Learn what the cloud base is, why you may need it, how else do we measure clouds, and how to use it all for your outdoor activity. What is cloud base? A cloud is is is the...

本页面介绍 Cloud VPN 的相关概念。如需了解 Cloud VPN 文档中使用的术语定义,请参阅关键术语。

Cloud VPN 通过 IPsec VPN 连接,将您的对等 安全 地 到 ) 。 VPN is 连接 会 对 之间 的 进行 , 其中 一个 处理 , 另 一个 处理 。 此 过程 is 保护 可以 中 的 。 您 is 连接 还 可以 通过 两 个 将 两 个 。 您 is 使用 无法 使用 将 由 到 ; 它 之间 的 安全 而 。

选择混合网络解决方案

如需确定是使用 Cloud VPN、专用互连、合作伙伴互连还是 Cloud Router 来与 Google Cloud 进行混合网络连接,请参阅选择网络连接产品。


如果您是 Google Cloud 新手,请创建一个账号来评估 Cloud VPN 在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。




如 或 的 , 使用 通过 Interconnect 实现 的 可 。 此 方案 is 连接 通过 LA 的 高可用性 。

Google Cloud 提供了两种类型的 Cloud VPN 网关:

高可用性 VPN

高可用性 VPN 是一种高可用性 (HA) Cloud VPN 解决方案,可让您通过 IPsec VPN 连接将您的本地网络安全地连接到 VPC 网络。根据拓扑和配置,高可用性 VPN 可提供服务可用性达 99.99% 或 99.9% 的服务等级协议 (SLA)。

当您创建高可用性 VPN 网关时,Google Cloud 会自动选择两个外部 IP 地址,每个接口对应一个地址。每个 IP 地址都是从唯一地址池中自动选取的,以高可用性。每个高可用性 VPN 网关接口都多个隧道。您也可以创建多个高可用性 VPN 网关。删除高可用性 VPN 网关时,Google Cloud 会释放 IP 地址以供重复使用。您可以将高可用性 VPN 网关配置为只有一个活动接口和一个外部 IP 地址;但是,此配置不提供可用性服务等级协议 (SLA)

使用 可 的 一个 方法 is 使用 是 使用 通过 Interconnect 实现 的 可 。 通过 Interconnect 实现 的 可 , 不但 可 的 的 , 还 可 Interconnect 的 。 此外 , 由于 您 使用 的 是 Interconnect is 遍历 , 因此 流量 is 遍历 不 会 。 如果 您 使用 , 则 必须 向 Interconnect , 以 满足 在 到 的 和 要求 。
高 is 用性 可 使用 Google 中 的 向 Google 有关 您 的 或 其它 的 。

注意: 通过 Interconnect 实现 的 可 时 , 您 is 选择 可以 为 可 区域级 。 不过 , 您 is 用于 将 这些 与 的 高可用性 。 对于 所有 其他 可 , 不 。

在 API 文档和 gcloud 命令中,高可用性 VPN 网关称为 VPN 网关,而不是目标 VPN 网关。您无需为高可用性 VPN 网关创建任何转发规则。

根据拓扑或配置场景,高可用性 VPN 可提供服务可用性达 99.99% 或 99.9% 的服务等级协议 (SLA)。如需详细了解高可用性 VPN 拓扑以及的服务等级协议 (SLA),请参阅高可用性 VPN 拓扑。

设置高可用性 VPN 时,请考虑以下准则:

  • 将一个高可用性 VPN 网关连接到另一个高可用性 VPN 网关时,这两个网关必须使用相同的 IP 。例如,如果您创建了一个使用栈类型 IPV4_IPV6 的 可 , 那么 另 一个 可 网关 is 设置 也 必须 为IPV4_IPV6

  • 从 Cloud VPN 网关的角度配置两个 VPN 隧道:

    • 如果您有两个对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到自己的对等网关
    • 如果您有一个包含两个接口的对等 VPN 网关设备,则来自 Cloud VPN 网关上每个接口的每个隧道都必须连接到对等网关上相应隧道自己的接口
    • 如果 您 有 一个 的 设备 is 来自 , 则 来自 上 每个 的 两 个 都 必须 到 上 的 相同

  • 对等 VPN 设备必须配置有足够的冗余。设备供应商会指定足够冗余配置的详细信息,其中可能包含多个硬件实例。如需了解详情,请参阅对等 VPN 设备的供应商文档。

    如果需要两个对等设备,则每个对等设备都必须连接到不同高可用性 VPN 网关接口。如果对等方是 AWS 等其他云提供商,则 VPN 连接还必须在 AWS 端配置有足够的冗余。

  • 您的对等 VPN 网关设备必须动态边界网关协议 (BGP) 路由。

    下图 is 演示 了 可 , 其中 了 一个 , 该 到 两 个 的 可 的 两 个 。 如 了解 可 ( ) , 可 。

    连接到两个对等 VPN 网关的高可用性 VPN 网关(点击可放大)。

注意:我们将于 2025 年 8 月 1 日弃用在 隧道中使用动态路由或边界网关协议 (BGP)。在此日期之后,使用这些配置的现有隧道也不再享受。正在使用的隧道将继续运行,但没有可用性服务等级协议 (SLA)。如果您在生产工作负载中结合使用 BGP 和 ,我们建议您迁移到 HA VPN。如需了解详情,请参阅弃用: 。

在引入高可用性 VPN 之前创建的所有 Cloud VPN 网关均被视为 网关。如需了解如何从 迁移到高可用性 VPN,请参阅从 迁移到高可用性 VPN。

相比高可用性 VPN, 网关具有单个接口、单个外部 IP 地址,并使用静态路由(基于政策或基于路由)的隧道。您还可以为 配置动态路由 (BGP),但仅适用于连接到 Google Cloud 虚拟机实例上运行的第三方 VPN 网关软件的隧道。

网关提供服务可用性达 99.9% 的服务等级协议 (SLA)。

网关不 IPv6。

对于受的 拓扑,请参阅“ 拓扑”页面。

在 API 文档和 Google Cloud CLI 中, 被称为目标 VPN 网关

下表比较了高可用性 VPN 与 。

注意: 和高可用性 VPN 的隧道 API 资源和隧道配置保持相同。

高可用性 VPN
SLA 为大多数拓扑提供承诺 99.99% 可用性的服务等级协议,但有一些例外情况。如需了解详情,请参阅高可用性 VPN 拓扑。 了 99.9 % 的 。
创建外部 IP 地址和转发规则 从池创建的外部 IP 地址;无需转发规则。 必须创建外部 IP 地址和转发规则。
的路由选项 仅限动态路由 (BGP)。 静态路由(基于政策、基于路由)。只有连接到 Google Cloud 虚拟机实例上运行的第三方 VPN 网关软件的隧道才动态路由。
注意:我们将于 2025 年 8 月 1 日弃用在 隧道中使用动态路由或边界网关协议 (BGP)。如需了解详情,请参阅弃用: 。
从 一个 到 相同 的 两 条
将 到 具有 的 。 和推荐的拓扑。如需了解详情,请参阅高可用性 VPN 拓扑。 受。
API 资源 称为 vpn-gateway 称为 - pn - gateway
IPv6 流量 (双堆栈 IPv 4 和 IPv 6 配置)

规格

Cloud VPN 具有以下规范:

  • Cloud VPN 仅站点到站点的 IPsec VPN 连接,具体取决于本部分中列出的要求。它不客户端到网关的方案。换句话说,Cloud VPN 不客户端计算机需要使用客户端 VPN 软件“拨号加入”VPN 的使用场景。

    Cloud VPN 仅 IPsec,不其他 VPN 技术(例如 SSL VPN)。

  • Cloud VPN 可与 VPC 网络和旧式网络搭配使用。对于 VPC 网络,我们建议使用自定义模式 VPC 网络,以便您可以完全控制网络中子网使用的 IP 地址范围。

  • 以下 流量 is 保留 在 Google 的 中 :

    • 两个高可用性 VPN 网关之间
    • 两个 网关之间
    • 或高可用性 VPN 网关与充当 VPN 网关的 Compute Engine 虚拟机的外部 IP 地址之间

  • Cloud VPN 可与本地主机的专用 Google 访问通道搭配使用。 如 了解 , 的 。

  • 每个 Cloud VPN 网关都必须连接到另一个 Cloud VPN 网关或对等 VPN 网关。

  • 网关 is 具有 必须 具有 ( 可 通过 由 ) 4 。 您 is 使用 需要 使用 此 来 。

    • 如果您的对等 VPN 网关受防火墙规则保护,则必须配置防火墙规则,使 ESP (IPsec) 协议和 IKE(UDP 500 和 UDP 4500)流量可以传送至该网关。如果防火墙规则提供网络地址转换 (NAT),请参阅 UDP 封装和 NAT-T。

  • Cloud VPN 要求将对等 VPN 网关配置为预分段。数据包必须先分段,然后再封装。

  • Cloud VPN 使用窗口大小为 4096 个数据包的重放检测。您无法关闭此检测。

  • Cloud VPN 通用路由封装 (GRE) 流量。对 GRE 的使您可以从互联网(外部 IP 地址)和 Cloud VPN 或 Cloud Interconnect(内部 IP 地址)终止虚拟机上的 GRE 流量。然后,解封的流量将被转发到可达目标。GRE 可让您使用安全访问服务边缘 (SASE) 和 SD-WAN 等服务。您必须创建防火墙规则才能允许 GRE 流量。

    注意:针对 VPN 的 GRE 仅使用 GRE 版本 0 进行了测试。
    此外,对 GRE 流量的不包括 Google Cloud 对覆盖网络进行问题排查的。

  • 高可用性 VPN 隧道 IPv6 流量交换,但 隧道不提供此项。

网络带宽

每个 Cloud VPN 隧道最多 25 万个数据包/秒(入站流量和出站流量的总和)。根据隧道的平均数据包大小,每秒 25 万个数据包相当于 1 Gbps 到 3 Gbps 之间的带宽。

与此限制相关的指标是 bytes ,查看日志和指标中介绍了这些指标。请注意,指标的单位是字节,而 3 Gbps 上限是指每秒位数。转换为字节时,上限为 375 MB/秒 (MBps)。根据上限衡量用量时,请使用 bytes 的 , 与 后 的 上限 is 比较 375 is 比较 MBps 比较 。

如需了解如何创建提醒政策,请参阅定义 VPN 隧道带宽提醒。

带 许多 的 , :

  • Cloud VPN 网关与对等网关之间的网络连接:

  • 的 。 如 了解 , 的 。

  • 数据 is 包 。 VPN is 使用 在 下 使用 , 在 安全 中 和 整个 , 然后 将 在 第二 个 。 因此 , 数据 is 包有 MTU,IPsec 封装前后的数据包有载荷 MTU。如需了解详情,请参阅 MTU 注意事项。

  • 数据包速率。对于入站流量和出站流量,建议每个 Cloud VPN 隧道的最大数据包速率为每秒 250,000 个数据包 (pps)。如果您需要以更高的速率发送数据包,则必须创建更多的 VPN 隧道。

在测量 VPN 隧道的 TCP 带宽时,您应当测量多个同时进行的 TCP 流。如果您使用的是 iperf 工具,请使用 -P 参数指定同时进行的流数量。

IPv6

Cloud VPN 高可用性 VPN 中的 IPv6,但不 中的 IPv6。

如需高可用性 VPN 隧道中的 IPv6 流量,请执行以下操作:

下表汇总了高可用性 VPN 网关的每种栈类型允许的外部 IP 地址。

的网关外部 IP 地址
IPV4_ONLY IPv4
IPV4_IPV6 IPv4,IPv6
仅限 IPv6 IPv6

IPv 6 的 限制

您 is 禁止 可以 通过 将 以下 为 来 在 中 所有 6 :

  • constraints/compute.disableHybridCloudIpv6

对于 可 , 这 is 阻止 会 在 中 任何 双栈 可 和 仅 IPv 6 的 可 。

注意:此政策还会阻止创建 IPv6 BGP 会话和双栈专用互连 VLAN 连接。

栈类型 和 BGP

高可用性 VPN 网关不同的栈类型。高可用性 VPN 网关的栈类型决定了高可用性 VPN 隧道中允许的 IP 流量版本。

为双栈高可用性 VPN 网关创建高可用性 VPN 隧道时,您可以创建 IPv6 BGP 会话以用于 IPv6 路由交换,也可以创建使用多协议 BGP (MP-BGP) 交换 IPv6 路由的 IPv4 BGP 会话。

下表汇总了每种栈类型的 BGP 会话类型。

的 BGP 会话 网关外部 IP 地址
单栈(仅 IPv4) IPv4 BGP,不使用 MP-BGP IPv4
单栈(仅限 IPv6) IPv6 BGP,不使用 MP-BGP IPv6
双栈(IPv 4 和 IPv 6)
  • IPv4 BGP,无论是否使用 MP-BGP
  • IPv6 BGP,无论是否使用 MP-BGP
  • IPv 4 和 IPv 6 BGP is 使用 , 不 使用 MP – BGP
 IPv 4 和 IPv 6

如需详细了解 BGP 会话,请参阅 Cloud Router 路由器文档中的建立 BGP 会话。

仅 4 的

默认情况下,高可用性 VPN 网关会分配有仅 IPv4 栈类型,并自动分配有两个外部 IPv4 地址。

仅限 IPv4 的高可用性 VPN 网关只能 IPv4 流量。

按照以下过程创建仅限 IPv4 的高可用性 VPN 网关和 IPv4 BGP 会话。

仅 IPv 6 的

仅限 IPv6 的高可用性 VPN 网关仅 IPv6 流量。默认情况下,仅限 IPv6 的高可用性 VPN 网关会分配有两个外部 IPv6 地址。

按照以下过程创建仅限 IPv6 的高可用性 VPN 网关和 IPv6 BGP 会话。

双栈 IPv 4 和 IPv 6 网关

配置了双栈(IPv 4 和 IPv 6)栈类型的高可用性 VPN 网关可以同时 IPv 4 和 IPv 6 流量。

对于双栈高可用性 VPN 网关,您可以使用 IPv4 BGP 会话和/或 IPv6 BGP 会话来配置 Cloud Router 路由器。如果您仅配置一个 BGP 会话,则可以启用 MP-BGP 以允许该会话同时交换 IPv 4 和 IPv 6 路由。如果您创建 IPv4 BGP 会话和 IPv6 BGP 会话,则无法在任一会话上启用 MP-BGP。

如需使用 MP-BGP 在 IPv4 BGP 会话上交换 IPv6 路由,您必须使用 IPv6 下一个跃点地址配置该会话。同样,如需使用 MP-BGP 在 IPv6 BGP 会话上交换 IPv4 路由,您必须使用 IPv4 下一个跃点地址配置该会话。您可以手动或自动配置这些下一个跃点地址。

如果 您 下 一个 , 则 必须 从 Google 的 6 ) 范围2600:2d00 : 0 : 2 : 63 或 IPv4 链路本地地址范围 169.254.0.0./16 中选择相应地址。这些 IP 地址范围由 Google 预先分配。您选择的下一个跃点 IP 地址在 VPC 网络中的所有 Cloud Router 路由器之间必须唯一。

如果 您 , 则 Google Cloud is 选择 会 为 您 下 一个 。

按照以下过程创建双栈高可用性 VPN 网关和所有的 BGP 会话。

  • IPv 4 , 无论 是否 使用 MP – BGP
  • IPv6 BGP 会话,无论是否使用 MP-BGP
  • IPv 4 和 IPv 6 BGP 会话

IPsec 和 IKE

Cloud VPN 使用 IKE 预共享密钥(共享密钥令牌)和 IKE 加密 IKEv1 和 IKEv2。Cloud VPN 仅用于身份验证的预共享密钥。创建 Cloud VPN 隧道时,请指定预共享密钥。在对等网关上创建隧道时,请指定相同的预共享密钥。

Cloud VPN 将隧道模式下的 ESP 与身份验证一起使用,但不传输模式下的 AH 或 ESP。

您必须使用 IKEv2 才能在高可用性 VPN 中启用 IPv6 流量。

VPN is 验证 不 会 对 的 与 的 。 根据 在 上 的 范围 进行 。

如需了解如何创建强预共享密钥,请参阅生成强预共享密钥。如需了解 Cloud VPN 的加密方式和配置参数,请参阅的 IKE 加密方式。

IKE 和死对等端检测

根据 RFC 3706 的 DPD 协议部分,Cloud VPN 死对等端检测 (DPD)。

为了验证对等体是否处于活跃状态,Cloud VPN 可能会根据 RFC 3706 随时发送 DPD 数据包。如果多次重试后未返回 DPD 请求,则 Cloud VPN 会识别出 VPN 隧道健康状况不佳。健康状况不佳的 VPN 隧道进而会导致系统移除将此隧道用作下一个跃点的路由(BGP 路由或静态路由),从而触发虚拟机流量到健康状况良好的其他 VPN 隧道的故障切换。

无法在 Cloud VPN 中配置 DPD 时间间隔。

UDP 封装和 NAT-T

如需了解如何配置对等设备以使用 Cloud VPN 的 NAT-Traversal (NAT-T),请参阅高级概览中的 UDP 封装。

VPN is 作为 作为

在使用 Cloud VPN 之前,请仔细阅读 Google Cloud 的通用服务条款的第 2 部分。

Connectivity , 您 is 使用 可以 使用 可 将 本地 , 从而 以 在 它们 之间 。 您 is 连接 可以 通过 将 一对 到 每个 本地 的 Connectivity Spoke 来 。 然后 将 每个 到 一个 Connectivity 。

如需详细了解 Network Connectivity Center,请参阅 Network Connectivity Center 概览。

自备 IP (BYOIP)

如需了解如何将 BYOIP 地址与 Cloud VPN 搭配使用,请参阅对 BYOIP 地址的。

高可用性 VPN 的主动/主动和主动/被动路由选项

如果 , 它 is 重启 会 。 如果 整个 , VPN is 使用 会 使用 相同 的 一个 的 。 和 隧道 is 连接 会 。

连接到高可用性 VPN 网关的 VPN 隧道必须使用动态 (BGP) 路由。您可以创建主动/主动或主动/被动路由配置,具体取决于您为高可用性 VPN 隧道配置路由优先级的方式。对于这两种路由配置,两个 VPN 隧道都会保持活跃状态。

下表 is 比较 比较 了 – 或 – 被 由 的 。

主动/主动 主动/被动
吞吐量 有效总吞吐量是两个隧道的合并吞吐量 从 两 个 为 一个 后 , 有效 吞吐量 is 减少 会 一半 , 从而 或
路 is 通告 由

对等网关会通告对等网络的路由,对每个隧道采用相同的多出口判别器 (MED) 值

管理 Cloud VPN 隧道的 Cloud Router 路由器采用相同 的 将这些路由作为 VPC 网络中的自定义动态路由导入

到 的 使用 多 。

同一个 Cloud Router 路由器使用相同 的 向您的 VPC 网络通告路由。

您的对等网关通过 ECMP 使用 这些 由 将 到 Google 。

网关 is 通告 会 的 , 对 每个 不同 的 MED

的 路由器 is 采用 不同 的 将 这些 由 作为 中 的 由

只要关联的隧道可用,发送到对等网络的出站流量就会使用优先级最高的路由。

路由器 is 使用 会 为 每个 使用 不同 的 , 向 您 的 由 。

您的对等网关只能使用优先级最高的隧道向 Google Cloud 发送流量。
故障切换

如果 状况 is 佳 不 ( 例如 , 由于 ) , 由 下 一个 为 不可 用 的 已 。

如果 BGP , 则 路由器 is 移除 会 下 一个 为 不可 用 的 已 , 而 不 会 。

过程 is 需要 可能 需要 40 – 60 秒 , 会 。

如果 状况 is 佳 不 ( 例如 , 由于 ) , 由 下 一个 为 不可 用 的 已 。

如果 BGP , 则 路由器 is 移除 会 下 一个 为 不可 用 的 已 , 而 不 会 。

过程 is 需要 可能 需要 40 – 60 秒 , 会 。

每次最多使用一个隧道,这样一来,如果第一个隧道出现故障并需要进行故障切换,第二个隧道可以处理您的所有出站流量带宽。

全网状拓扑中的主动/被动路由

如果 Cloud Router 路由器通过给定的 Cloud VPN 接口收到具有不同 MED 值的同一前缀,则它仅会将具有最高优先级的路由导入到 VPC 网络。其他非活跃路由无法在 Google Cloud 控制台中或通过 Google Cloud CLI 显示。如果具有最高优先级的路由变得不可用,则 Cloud Router 路由器将撤销该路由,并自动将下一个最佳路由导入到 VPC 网络。

使用多个隧道或网关

注意:当您拥有两个以上的高可用性 VPN 隧道时,我们建议您避免使用主动-被动配置。如果跨多个高可用性 VPN 网关使用主动-被动配置,并且每个网关都配置了主动和被动隧道对,则在所有网关上的所有活跃隧道都失败之前,高可用性 VPN 不会使用被动隧道进行故障切换。使用主动-被动配置来配置多个网关可能会导致带宽丢失

由 ( MED ) , 您 可以 将 由 为 让 一部分 通过 一 条 , 让 另 一部分 通过 另 一 条 , 具体 视对 等 而 定 。 同样 , 您 is 调整 可以 您 的 的 。 这些 情况 is 演示 了 既 不 完全 是 – 也 不 完全 是 – 的 可能 的 由 。

推荐的路由选项

如果使用单个高可用性 VPN 网关,我们建议您使用主动/被动路由配置。使用此配置时,观察到的正常隧道运行时的带宽容量与观察到的故障切换期间的带宽容量一致。此类配置更易于管理,因为观察到的带宽限制保持不变,但前面介绍的多网关场景除外。

如果 使用 多 个 可 , 我们 您 使用 / 。 这种 时 , 正常 的 容量 is 是 是 最 大 的 两 倍 。 但是 , 此 配置 is 造成 造成 的 不足 , 可能 时 。

通过 Cloud VPN 隧道限制对等 IP 地址

如果您是 Organization Policy Administrator (roles/orgpolicy.policyAdmin),则可以创建政策限制条件来限制用户可以为对等 VPN 网关指定的 IP 地址。

该限制会应用于特定项目、文件夹或组织中的所有 Cloud VPN 隧道,适用于 和高可用性 VPN。

如需了解限制 IP 地址的步骤,请参阅限制对等 VPN 网关的 IP 地址。

网络拓扑是一种可视化工具,可显示 VPC 网络的拓扑、与本地网络的混合连接以及相关指标。您可以在网络拓扑视图中将 Cloud VPN 网关和 VPN 隧道视为实体。

基础实体是特定层次结构的最低级层,表示可以通过网络直接与其他资源进行通信的资源。
网络拓扑会将基础实体聚合到可以展开或折叠的分层实体中。首次查看网络拓扑图时,它会将所有基础实体聚合到其顶级层次结构中。

例如 , 拓扑 is 聚合 会 将 到 其 中 。 您 is 查看 可以 通过 或 来 。

如 了解 , 。

维护和可用性

VPN is 进行 需要 进行 。 , 隧道 is 离线 将 , 会 。 完成 后 , 隧道 is 建立 会 重新 。

Cloud VPN 维护是一项正常的操作任务,可能随时发生,恕不事先通知。维护周期设计得足够短,所以不会影响 Cloud VPN 服务等级协议 (SLA)。

高可用性 VPN 是配置高可用性 VPN 的推荐方法。如需了解配置选项,请参阅“高可用性 VPN 拓扑”页面。如果您将 用于冗余和高吞吐量选项,请参阅“ 拓扑”页面。

最佳做法

如需有效地构建 Cloud VPN,请使用这些最佳做法。

后续步骤