Cloud VPN の概要

このページでは、Google Cloud VPN に関連する概念について説明します。バーチャル プライベート ネットワーク(VPN)の作成手順については、VPN の作成をご覧ください。

はじめに

Google Cloud VPN を使用すると、オンプレミス ネットワークと Google Cloud Platform(GCP)の Virtual Private Cloud(VPC)ネットワーク間の接続を、安全な IPsec VPN 経由で確立できます。2 つのネットワーク間のトラフィックは一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号化されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。

  • SLA で 99.9% の可用性を保証しています。
  • サイト間 VPN をサポートしており、1 つの VPN ゲートウェイに対して複数のトンネルを設定できます。
  • インスタンスと既存インフラストラクチャの間のトラフィックを管理できるように静的ルートと動的ルートの両方(Cloud Router 経由)をサポートしています。
  • 共有シークレット(IKE 事前共有鍵)を使用した IKEv1 と IKEv2 の両方をサポートしています。
  • 認証にはトンネルモードの ESP を使用します。AH またはトランスポート モードの ESP はサポートしていません。

Cloud VPN の用途

Cloud VPN を使用して、2 つの異なる VPC ネットワークまたはリージョンを接続することができます。

Cloud VPN でサポートされるのは、IPsec のゲートウェイ間のシナリオだけです。クライアント側に物理または仮想の専用の IPsec VPN ゲートウェイを用意する必要があります。現在のところ、クライアントからゲートウェイへ(モバイル通信)のシナリオはサポートしていません。つまり、ノートパソコンのクライアント ソフトウェアでは使用できず、完全な IPsec VPN ゲートウェイ ソフトウェアが必要になります。Cloud VPN では、IPsec 以外の VPN テクノロジーはサポートしていません。

用語

このドキュメントで使用する用語の定義を次に示します。

Cloud VPN ゲートウェイ
GCP で実行される仮想 VPN ゲートウェイ。この仮想端末の管理は Google が行いますが、それぞれのお客様に専用のものが用意されます。
ピア VPN ゲートウェイ
お客様側のゲートウェイ。多くの場合は、お客様側で用意した物理端末が使用されます。ただし、Cloud VPN ゲートウェイをもう 1 つ使用したり、別のプロバイダのネットワークで実行している仮想ゲートウェイを使用することもできます。
手順は VPC ネットワークの観点から書かれているため、「リモートピア」は Cloud VPN への接続用のゲートウェイです。
プロジェクト ID
GCP で生成されるプロジェクト ID。お客様が指定するプロジェクト名とは異なります。

VPN トラフィック セレクタ

VPN トンネルを作成する場合、許可される送信先 IP アドレス範囲をトンネルに通知し、その IP 範囲に送信されるパケットをトンネルに転送するルートを作成する必要があります。

トラフィック セレクタとは、指定のアドレスと一致するトラフィックについてトンネルの通過を許可するように IKE ピア間で規定した取り決めのことです。サブネットを使用する場合は、Google Cloud Platform のどの CIDR 範囲を VPN トンネルに対して有効にするかを指定する必要があります。これらの範囲は、Cloud Platform Console では [ローカル IP 範囲] フィールド、--local_traffic_selector コマンドライン ツールでは gcloud フィールドで指定します。これらの範囲はトンネルの作成時に設定され、接続時の IKE ハンドシェイクで使用されるため、それ以降に変更することはできません。

トラフィック セレクタで指定される CIDR 範囲の最大数は 128 です。

VPN の設定によっては、トラフィック セレクタで指定していないトラフィックの通過が IKE ハンドシェイクで許可されることがあります。VPN の動作が予測可能で一貫した動作になるように、トンネルの作成時に指定した接頭辞と一致するルートを指定してください。

トラフィック セレクタと自動モード VPC ネットワーク

VPN ゲートウェイのネットワークが自動モードの VPC ネットワークの場合、VPN ゲートウェイと同じリージョンにあるサブネットの CIDR 範囲はピア VPN に自動的に通知されます。そのサブネットでのみトンネルを使用する場合は、トラフィック セレクタを手動で指定する必要はありません。ルートについては、以下に示す手順に従って指定してください。

自動モードの VPC ネットワークであっても、ゲートウェイが含まれているサブネットとは別のサブネットでトンネルを使用する場合は、その範囲を指定してルートを作成する必要があります。このフィールドを使用する場合、ゲートウェイのローカルのサブネットも指定する必要があります。

自動モード VPC ネットワークを使用していて、トラフィック セレクタを指定していない場合は、デフォルトの動作として、Cloud VPN ゲートウェイにローカルのサブネットを使用してトンネルが作成されます。

トラフィック セレクタとカスタムモード VPC ネットワーク

VPN ゲートウェイのネットワークがカスタムモード VPC ネットワークの場合、デフォルトではピア VPN に IP 接頭辞は通知されません。トラフィック セレクタを使用して、トンネル経由でルーティングするサブネットの IP 接頭辞を指定する必要があります。また、トンネルまでのトラフィックのルートも指定する必要があります。

VPN 図

次の図は、Cloud VPN ゲートウェイとピア VPN ゲートウェイの間の VPN 接続を簡単に示したものです。

図

要件

VPN を使用するための要件は次のとおりです。

  • トンネルの反対側のピア VPN ゲートウェイを用意する必要があります。
  • ピア VPN ゲートウェイの静的外部 IP アドレスを設定する必要があります。この IP アドレスは Cloud VPN を設定する際に必要になります。ピア VPN ゲートウェイがファイアウォールの内側にある場合は、ESP と IKE のトラフィックを許可するようにファイアウォールを設定してください。
  • VPC ネットワークの CIDR 範囲が、VPN のピア側のネットワークの CIDR 範囲と競合していないことを確認する必要があります。
  • VPN の共有シークレットを指定する必要があります。既存のピア VPN ゲートウェイと同じにすることも、新規に設定することもできます。
  • Cloud VPN では、IKEv2(推奨)と IKEv1 の両方がサポートされます。ピア VPN ゲートウェイでサポートされるバージョンを確認しておいてください。

次のステップ

  • VPN の設定手順については、VPN の作成をご覧ください。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Compute Engine ドキュメント