GCP High-Availability (HA) VPN + Cloud Router: Kiến trúc, Thiết kế và Triển khai Thực tế

Tóm tắt nhanh

• Một cổng HA VPN của GCP cho phép tạo nhiều tunnel đến từng giao diện và kết nối nhiều site on-prem về cùng một cổng.
• Có thể triển khai nhiều cổng HA VPN song song trên cloud để tăng khả năng chịu lỗi và mở rộng.
• Để đạt SLA 99,99% (chỉ phía GCP) cho một site on-prem cụ thể, cần hai tunnel IPsec từ site đó đến hai giao diện khác nhau của cổng HA VPN.
• HA VPN hỗ trợ dual-stack (IPv4/IPv6) ở lớp gói gọn đường hầm nội bộ, bắt buộc dùng BGP qua tunnel (chỉ hỗ trợ định tuyến động).
• Cloud Router giữ vai trò control-plane (BGP, cập nhật bảng định tuyến VPC), không forward data. Mỗi tunnel có một phiên eBGP riêng.
• Địa chỉ ngang hàng BGP sử dụng link-local 169.254.0.0/16 (/30). Phải cấu hình mỗi tunnel một cặp /30 unique và dùng đúng địa chỉ link-local đó trên thiết bị on-prem.
• Nếu một VPC trải nhiều vùng (multi-region/zone), bảo đảm link-local BGP unique cho tất cả Cloud Router ở mọi vùng.

---

Khi nào nên chọn HA VPN (so với Classic VPN)?

• Cần SLA cao và tự động failover giữa hai đường hầm.
• Muốn dynamic routing end-to-end với BGP (ECMP, hội tụ nhanh, mở rộng nhiều site).
• Kịch bản multi-site hoặc multi-region cần khả năng mở rộng, cân bằng tải, dự phòng tốt hơn.

---

Mẫu kiến trúc chuẩn (1 site on-prem ↔ 1 VPC)

• On-prem (cặp thiết bị VPN/Router nếu có) ↔ 2 Tunnel IPsec ↔ HA VPN Gateway (GCP)
• Mỗi tunnel có VTI/Route-based riêng với /30 link-local
• Cloud Router gắn với HA VPN, thiết lập eBGP đến on-prem trên mỗi tunnel
• ECMP + BGP để cân bằng tải hoặc chuyển mạch dự phòng tự nhiên
• Nếu yêu cầu “always-on”, xem xét cổng HA VPN thứ hai (đa gateway) hoặc đa khu vực.

---

Kế hoạch địa chỉ & ASN BGP

• Cho mỗi tunnel chọn một /30 trong 169.254.0.0/16 (ví dụ 169.254.10.0/30 cho Tunnel A, 169.254.10.4/30 cho Tunnel B).
  Tránh trùng lặp trên toàn hệ thống (đặc biệt khi VPC multi-region).
• ASN on-prem: dùng private ASN (ví dụ 65010).
  ASN Cloud Router: private ASN khác (ví dụ 64512).
  Không dùng trùng ASN giữa hai đầu.
• Quảng bá prefix đúng phạm vi (VD: subnet on-prem cần reach VPC và ngược lại). Áp dụng prefix-list/route-map để kiểm soát.

---

Thực hành tốt (Best Practices)

• Hai tunnel/connection cho mỗi site on-prem đến hai interface của HA VPN để đạt SLA phía GCP.
• Bật DPD (Dead Peer Detection) và tối ưu BGP timers (thường mặc định đã hợp lý; có thể cân nhắc giảm cho hội tụ nhanh nếu hạ tầng chịu được).
• ECMP: bảo đảm metric/weight đồng nhất để cân bằng; nếu muốn active/standby, điều chỉnh local-pref/AS-path.
• MTU/MSS: kiểm tra PMTUD, cân nhắc MSS clamp trên tunnel để tránh fragment.
• Crypto suite: ưu tiên IKEv2, thuật toán mạnh (AES-GCM, SHA-2, DH nhóm đủ mạnh) theo chính sách doanh nghiệp.
• Giới hạn/quota Cloud Router/HA VPN có thể thay đổi theo thời gian; luôn kiểm tra bản cập nhật và capacity planning.
• Logging/Monitoring: bật VPC Flow Logs, theo dõi BGP session trạng thái, IPsec SA, và Tunnel health.

---

Quy trình triển khai rút gọn

1. Tạo HA VPN Gateway trong VPC, chọn vùng phù hợp với workload.
2. Tạo Cloud Router (gán ASN), liên kết với HA VPN.
3. Tạo 2 Tunnel cho mỗi site on-prem, mỗi tunnel gán /30 link-local khác nhau. Ghi lại:
   • Peer public IP (on-prem) ↔ GCP public IP (per interface)
   • Cặp 169.254.x.x/30 và ASN hai phía
4. Cấu hình on-prem:
   • IKEv2/IPsec route-based (VTI) trỏ về IP public của HA VPN interface tương ứng
   • Đặt IP link-local /30 lên VTI
   • Thiết lập eBGP qua VTI đến Cloud Router, quảng bá các mạng on-prem cần reach cloud
5. Xác minh: trạng thái IKE/IPsec SA, VTI up, BGP Established, routes learned/advertised, lưu lượng end-to-end.

---

Ví dụ cấu hình tham khảo (Cisco IOS-XE – rút gọn, minh họa) ! IKEv2 proposal/policy/profile (ví dụ) crypto ikev2 proposal IKEV2-PROP encryption aes-gcm-256 prf sha256 group 19 ! crypto ikev2 policy IKEV2-POL proposal IKEV2-PROP ! crypto ikev2 keyring IKEV2-KR peer GCP-PEER-A address <GCP_Public_IP_A> pre-shared-key local <your_psk> pre-shared-key remote <your_psk> ! crypto ikev2 profile IKEV2-PROF match address local <OnPrem_Public_IP> match identity remote address <GCP_Public_IP_A> 255.255.255.255 authentication local pre-share authentication remote pre-share keyring local IKEV2-KR dpd 10 3 on-demand ! IPsec transform & profile crypto ipsec transform-set TS esp-gcm 256 mode tunnel ! crypto ipsec profile IPSEC-PROF set transform-set TS set ikev2-profile IKEV2-PROF ! Tunnel interface (VTI) cho Tunnel A interface Tunnel10 ip address 169.254.10.1 255.255.255.252 ! link-local /30 tunnel source <OnPrem_Public_IP_Interface> tunnel destination <GCP_Public_IP_A> tunnel mode ipsec ipv4 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360 ! BGP router bgp 65010 ! ASN on-prem (ví dụ) bgp log-neighbor-changes neighbor 169.254.10.2 remote-as 64512 ! ASN Cloud Router (ví dụ) neighbor 169.254.10.2 timers 20 60 ! address-family ipv4 neighbor 169.254.10.2 activate network 10.10.0.0 mask 255.255.0.0 ! advertise on-prem prefixes exit-address-family
Lặp lại tương tự cho Tunnel B với /30 khác (ví dụ 169.254.10.4/30) và peer public IP thứ hai của HA VPN. Nếu muốn ECMP, đảm bảo cả hai phiên BGP Established và thuộc tính định tuyến cân bằng.

---

Kiểm thử & Vận hành

• IPsec: kiểm tra SA/SPD, DPD, rekey; xác thực crypto suite đúng chính sách.
• BGP: show bgp summary, kiểm tra số prefix learned/advertised, thuộc tính path/med/local-pref.
• Định tuyến: traceroute qua hai tunnel, tắt/mất một đường để xác minh failover; kiểm tra ECMP thực tế (counters).
• Giám sát: tích hợp cảnh báo khi BGP down, Tunnel down, mất cân bằng tải hoặc tụt throughput; theo dõi VPC Flow Logs.

---

Mở rộng đa site, đa vùng

• Multi-site on-prem: mỗi site 2 tunnel về cùng HA VPN hoặc về nhiều HA VPN gateway để tách tải/miền lỗi.
• Multi-region VPC: mỗi vùng có Cloud Router riêng; bắt buộc /30 link-local unique; đánh giá định tuyến chéo vùng (VPC peering, routing export/import).
• Transit kiến trúc: cân nhắc Cloud Router + HA VPN kết hợp Network Connectivity Center hoặc giải pháp SD-WAN để tối ưu mesh, quản trị tập trung.

---

Những lỗi hay gặp

• Dùng sai cặp /30 link-local giữa hai đầu → BGP không lên.
• Trộn policy-based và route-based trên on-prem → không chạy BGP qua tunnel.
• ASN trùng hoặc quảng bá quá rộng gây vòng lặp/đòn bẩy route không mong muốn.
• Bỏ qua MSS clamp/MTU → ứng dụng chậm do fragment/PMTUD fail.
• Không tính quota/giới hạn tài nguyên → hết chỗ cho phiên/tunnel/prefix.

​