Tweet
Overlay VPN Tunnels to a Cloud Gateway trong Google Cloud Platform (GCP)
Trong bài này, chúng ta sẽ tìm hiểu kiến trúc và các thành phần cần thiết để triển khai Site-to-Site VPN trong GCP, từ đó cho phép kết nối bảo mật giữa hệ thống on-premises và tài nguyên trên cloud thông qua các đường hầm IPsec. Nội dung bao gồm cả kiến trúc, các bước triển khai cloud resources, và những điểm cần chú ý khi cấu hình thiết bị biên tại chỗ.
Kiến trúc Site-to-Site VPN trong GCP
Trong GCP, có hai kiến trúc chính của Cloud VPN dựa trên IPsec:
Điểm khác biệt chính giữa Classic VPN và HA VPN
Thực hành triển khai (Step-by-Step)
Lời khuyên thực tế
Anh em trong cộng đồng MCSA-AZURE-AWS có thể bắt đầu lab với Classic VPN để nắm nguyên lý, sau đó chuyển qua HA VPN để luyện triển khai thực tế.
Trong bài này, chúng ta sẽ tìm hiểu kiến trúc và các thành phần cần thiết để triển khai Site-to-Site VPN trong GCP, từ đó cho phép kết nối bảo mật giữa hệ thống on-premises và tài nguyên trên cloud thông qua các đường hầm IPsec. Nội dung bao gồm cả kiến trúc, các bước triển khai cloud resources, và những điểm cần chú ý khi cấu hình thiết bị biên tại chỗ.
Kiến trúc Site-to-Site VPN trong GCP
Trong GCP, có hai kiến trúc chính của Cloud VPN dựa trên IPsec:
- Classic VPN
- Endpoint VPN gốc trên GCP được gọi là Cloud VPN Gateway.
- Mỗi gateway có một giao diện duy nhất với một external IP.
- Hỗ trợ static routing qua tunnel (chỉ IPv4).
- Có hỗ trợ hạn chế cho BGP, nhưng thường chỉ khi chạy qua các virtual appliances của bên thứ ba trong GCP.
- Một Cloud VPN Gateway có thể kết thúc nhiều IPsec tunnels, đến từ nhiều thiết bị on-prem hoặc cùng một thiết bị với nhiều địa chỉ nguồn khác nhau.
- Hỗ trợ redundancy và ECMP load-balancing bằng cách cấu hình nhiều tuyến tĩnh có cùng priority trên cả hai đầu tunnel.
- Có thể dùng nhiều Cloud VPN Gateways trên GCP để tăng throughput và tính sẵn sàng, nhưng sẽ yêu cầu quản trị phức tạp hơn.
- High-Availability (HA) VPN
- Được thiết kế để cung cấp 99.99% SLA cho dịch vụ VPN trong một region.
- Một HA VPN gateway có hai interface, mỗi interface có một external IP riêng, được phân bổ từ các dải IP độc lập.
- Cung cấp khả năng dự phòng cao hơn so với Classic VPN.
- Hỗ trợ dynamic routing với BGP, giúp việc quản lý routing đơn giản và linh hoạt hơn, đặc biệt khi mở rộng nhiều site.
Điểm khác biệt chính giữa Classic VPN và HA VPN
- Classic VPN:
- Dễ triển khai, phù hợp lab hoặc môi trường nhỏ.
- Chỉ hỗ trợ static routes.
- Khả năng high availability hạn chế, cần nhiều manual config.
- HA VPN:
- Sử dụng BGP để tự động cập nhật routing.
- SLA 99.99% → phù hợp sản xuất (production).
- Có thể mở rộng và tăng redundancy tốt hơn nhiều.
Thực hành triển khai (Step-by-Step)
- Tạo VPC network trong GCP để lưu trữ workload.
- Tạo Cloud VPN Gateway (Classic hoặc HA).
- Tạo Tunnel IPsec (chọn shared secret, IKEv2, thuật toán mã hóa).
- Cấu hình Routing:
- Classic VPN → dùng Static Routes.
- HA VPN → dùng Dynamic Routing với BGP.
- Cấu hình thiết bị biên on-premises:
- Tạo IPsec tunnel tương ứng.
- Áp dụng cùng các thông số IKE/ESP.
- Thiết lập routing phù hợp (static hoặc BGP).
Lời khuyên thực tế
- Nếu lab học → Classic VPN là lựa chọn nhanh gọn.
- Nếu triển khai production → luôn chọn HA VPN để tận dụng BGP và đảm bảo SLA.
- Khi kết nối nhiều site → nên dùng BGP để tránh “route management hell” khi số lượng static routes quá lớn.
- Luôn kiểm tra MTU và MSS trong các thiết bị biên để tránh fragmentation khi đi qua IPsec.
Anh em trong cộng đồng MCSA-AZURE-AWS có thể bắt đầu lab với Classic VPN để nắm nguyên lý, sau đó chuyển qua HA VPN để luyện triển khai thực tế.
Attached Files