صفحهی پیش رو مفاهیم جامع و دقیق مرتبط با Cloud VPN را توضیح میدهد. برای آشنایی با اصطلاحات استفاده شده در مستندات Cloud VPN میتوانید به بخش واژگان کلیدی مراجعه کنید.
Cloud VPN این امکان را فراهم میکند که شبکهی همتای شما از طریق یک اتصال امن VPN مبتنی بر IPsec به شبکهی Virtual Private Cloud (VPC) در Google Cloud متصل شود. این اتصال VPN با رمزگذاری ترافیک در حال انتقال میان شبکهها، امنیت دادهها را تضمین میکند. یک دروازهی VPN مسئول رمزگذاری و دیگری مسئول رمزگشایی اطلاعات است. این فرایند از دسترسی غیرمجاز به دادهها جلوگیری کرده و امکان برقراری ارتباط ایمن بین شبکههای خصوصی را فراهم میکند. همچنین امکان اتصال مستقیم دو شبکهی VPC به یکدیگر با استفاده از Cloud VPN وجود دارد. لازم به ذکر است که Cloud VPN برای مسیریابی به اینترنت عمومی طراحی نشده و صرفاً برای ارتباطات داخلی امن کاربرد دارد.
انتخاب راهکار شبکهی هیبریدی
اگر قصد دارید بین Cloud VPN، Dedicated Interconnect، Partner Interconnect یا Cloud Router یکی را انتخاب کنید، توصیه میشود ابتدا راهنمای انتخاب محصول اتصال شبکه را مطالعه کنید تا با مزایا و معایب هر گزینه آشنا شوید و متناسب با نیازهای زیرساختی خود تصمیمگیری کنید.
تجربهی عملی
اگر تازه وارد دنیای Google Cloud هستید، میتوانید با ایجاد حساب کاربری، عملکرد Cloud VPN را در سناریوهای واقعی آزمایش کنید. به کاربران جدید ۳۰۰ دلار اعتبار رایگان اعطا میشود که میتوانند از آن برای اجرای، آزمایش و استقرار بارهای کاری خود بهره ببرند.
افزایش امنیت اتصالات Interconnect
برای افزایش امنیت در اتصال Dedicated Interconnect یا Partner Interconnect، میتوانید از HA VPN بر روی Cloud Interconnect استفاده کنید. این راهکار باعث ایجاد تونلهای رمزگذاری شدهی HA VPN روی اتصال VLAN شده و امنیت بیشتری را به همراه خواهد داشت.
انواع Cloud VPN
گوگل دو نوع دروازهی Cloud VPN ارائه میدهد:
- HA VPN
- Classic VPN
HA VPN
HA VPN (High Availability VPN) راهکاری با دسترسپذیری بسیار بالا برای اتصال ایمن شبکههای داخلی به Google Cloud است. این سرویس با بهرهگیری از IPsec VPN، با توجه به توپولوژی انتخابی میتواند سطح دسترسپذیری ۹۹.۹۹٪ یا ۹۹.۹٪ را ارائه دهد.
هنگام ایجاد یک دروازهی HA VPN، Google Cloud به طور خودکار دو آدرس IP خارجی به هر رابط اختصاص میدهد. این آدرسها از دامنههای مختلف گرفته شده تا از افزونگی و عدم وابستگی به یک نقطهی شکست اطمینان حاصل شود. هر رابط میتواند چندین تونل VPN را پشتیبانی کند.
یکی از سناریوهای پیشرفته این است که HA VPN را با Cloud Interconnect ترکیب کنید. این کار باعث میشود دادههای شما از امنیت رمزگذاری IPsec برخوردار شوند و در عین حال ترافیک شما به جای عبور از اینترنت عمومی، از طریق زیرساخت خصوصی گوگل منتقل شود.
نکته مهم: هنگام اتصال دو دروازهی HA VPN، حتماً نوع پشتهی IP (IPv4 یا IPv6 یا ترکیبی) باید در هر دو طرف یکسان باشد.
نکات بیشتر دربارهی HA VPN
- پشتیبانی کامل از مسیریابی پویا (BGP)
- امکان ایجاد دو تونل همزمان به منظور افزایش افزونگی
- اطمینان از وجود افزونگی کافی در دستگاههای همتا
Classic VPN
هشدار مهم: پشتیبانی از مسیریابی پویا (BGP) برای Classic VPN از ۱ اوت ۲۰۲۵ متوقف میشود. توصیه میشود بارهای کاری حساس خود را هرچه سریعتر به HA VPN منتقل کنید.
Classic VPN نسخهی اولیهی سرویس Cloud VPN بوده و دارای محدودیتهای زیر است:
- تنها یک رابط کاربری و یک آدرس IP خارجی
- پشتیبانی از مسیریابی استاتیک و محدود مسیریابی پویا
- عدم پشتیبانی از IPv6
- ارائهی سطح دسترسپذیری ۹۹.۹٪
مقایسهی HA VPN و Classic VPN
| ویژگی | HA VPN | Classic VPN |
|---|---|---|
| SLA | ۹۹.۹۹٪ (یا ۹۹.۹٪) | ۹۹.۹٪ |
| ایجاد IP خارجی | خودکار، بدون نیاز به قوانین فوروارد | دستی، نیازمند تنظیم قوانین فوروارد |
| مسیریابی | فقط پویا (BGP) | استاتیک و پویای محدود |
| IPv6 | پشتیبانی کامل | عدم پشتیبانی |
مشخصات Cloud VPN
- هر دروازه یک منبع منطقهای است.
- تنها از پروتکل IPsec پشتیبانی میکند.
- سناریوهای سایت به سایت پشتیبانی میشوند (اتصال کلاینت به سرور پشتیبانی نمیشود).
- قابلیت اتصال با Private Google Access برای دسترسی ایمن به سرویسهای گوگل از منابع داخلی.
- نرخ انتقال ۲۵۰ هزار بسته در ثانیه برای هر تونل.
فاکتورهای مؤثر بر پهنای باند Cloud VPN
- کیفیت اتصال بین دروازههای VPN
- میزان تاخیر رفت و برگشت (RTT) و نرخ از دست رفتن بستهها
- توان عملیاتی دستگاههای همتا
- اندازه و نرخ ارسال بستهها
پشتیبانی از IPv6
HA VPN از IPv6 در کنار IPv4 یا به صورت اختصاصی پشتیبانی میکند. پیکربندیهای موجود شامل:
- IPv4-only
- IPv6-only
- Dual-stack (IPv4 + IPv6)
نکته: محدودیتهای سازمانی میتوانند ایجاد شوند تا امکان ایجاد منابع IPv6 محدود شود.
رمزنگاری و امنیت در Cloud VPN
Cloud VPN با استفاده از پروتکلهای IKEv1 و IKEv2 و کلیدهای پیشاشتراکی احراز هویت را انجام میدهد. ویژگیهای امنیتی شامل:
- رمزگذاری ESP در حالت تونل
- تشخیص خودکار همتای مرده (DPD)
- پشتیبانی از NAT Traversal (NAT-T)
برای ارتقاء امنیت، توصیه میشود کلیدهای قوی و غیرقابل حدس انتخاب شود.
Cloud VPN به عنوان شبکهی انتقال داده
با استفاده از Network Connectivity Center میتوانید تونلهای HA VPN را برای اتصال شبکههای مختلف داخلی به یکدیگر ایجاد کرده و یک شبکهی انتقال دادهی خصوصی بسازید.
گزینههای مسیریابی Active-Active و Active-Passive
در HA VPN میتوانید از استراتژیهای زیر استفاده کنید:
- Active-Active: استفاده همزمان از هر دو تونل برای افزایش پهنای باند و افزونگی.
- Active-Passive: استفاده از یک تونل فعال و داشتن یک تونل آماده برای جایگزینی در زمان خرابی.
توصیه کاربردی:
- برای یک دروازه HA VPN بهتر است Active-Passive انتخاب شود.
- برای چندین دروازه HA VPN Active-Active کارایی بیشتری خواهد داشت.
محدودسازی آدرسهای IP همتا
با اعمال محدودیتهای سازمانی، میتوان لیست IPهای مجاز برای اتصال به Cloud VPN را مشخص کرد. این کار موجب افزایش امنیت و کنترل بهتر بر ارتباطات شبکهای میشود.
مانیتورینگ و نگهداری Cloud VPN
- مشاهدهی ارتباطات با ابزار Network Topology
- نگهداری دورهای Cloud VPN که ممکن است باعث قطع کوتاه مدت شود اما طراحی شده تا SLA حفظ شود.
بهترین روشها برای پیادهسازی Cloud VPN
- انتخاب HA VPN به جای Classic VPN برای پروژههای جدید
- طراحی توپولوژی با در نظر گرفتن نیازهای افزونگی و پهنای باند
- نظارت دائمی بر سلامت تونلها و پهنای باند مصرفی
- استفاده از کلیدهای رمزنگاری قوی و فعالسازی DPD
- استفاده از Private Google Access برای منابع داخلی
منبع : cloud.google
