Cloud Interconnect を介した HA VPN を使用すると、Dedicated Interconnect 接続または Partner Interconnect 接続を通過するトラフィックを暗号化できます。Cloud Interconnect を介した HA VPN を使用するには、VLAN アタッチメントで INKHA VPN トンネルをデプロイします。
Cloud Interconnect を介した HA VPN を使用すると、ビジネスの全体的なセキュリティを向上させ、既存または今後の業界規制を遵守できます。たとえば、アプリケーションから送信されるトラフィックの暗号化や、サードパーティを介した転送中のデータの暗号化が義務付けられる場合があります。
これらの要件を満たす方法は数多くあります。暗号化は OSI スタックの複数のレイヤで実行できますが、レイヤによってはサポートされない場合があります。たとえば、Transport Layer Security(TLS)は、TCP ベースのプロトコルすべてでサポートされているわけではありません。また、Datagram TLS(DTLS)の有効化は、UDP ベースのプロトコルすべてでサポートされているとは限りません。この問題を解決する方法の 1 つは、IPsec プロトコルを使用してネットワーク層で暗号化を実装することです。
Cloud Interconnect を介した HA VPN をソリューションとして使用した場合、Google Cloud コンソール、Google Cloud CLI、Compute Engine API でデプロイツールを利用できるという利点があります。また、HA VPN ゲートウェイに内部 IP アドレスを使用することもできます。Cloud Interconnect を介した HA VPN 用に作成した VLAN アタッチメントでは、Private Service Connect エンドポイントへの接続がサポートされます。最後に、Cloud Interconnect を介した HA VPN では、基盤となるコンポーネント、Cloud VPN、Cloud Interconnect から派生した SLA が提供されます。詳細については、SLA をご覧ください。
このほかに、Virtual Private Cloud(VPC)ネットワークにセルフマネージド(Google Cloud 以外の)VPN ゲートウェイを作成し、各ゲートウェイに内部 IP アドレスを割り当てるという方法もあります。たとえば、Compute Engine インスタンス上で strongSwan VPN を実行できます。オンプレミス環境から Cloud Interconnect を使用して、それらの VPN ゲートウェイへの IPsec トンネルを終端します。HA VPN オプションの詳細については、HA VPN トポロジをご覧ください。
Cloud Interconnect 経由で Classic VPN ゲートウェイとトンネルをデプロイすることはできません。
デプロイ アーキテクチャ
Cloud Interconnect を介した HA VPN をデプロイするときに、次の 2 つのオペレーション階層が作成されます。
- Cloud Interconnect 階層。VLAN アタッチメントと、Cloud Interconnect 用の Cloud Router が含まれます。
- HA VPN 階層。HA VPN ゲートウェイとトンネル、HA VPN 用の Cloud Router が含まれます。
各階層には独自の Cloud Router が必要です。
- Cloud Interconnect 用の Cloud Router は、VLAN アタッチメント間で VPN ゲートウェイ プレフィックスを交換するためにのみ使用されます。この Cloud Router は、Cloud Interconnect 階層の VLAN アタッチメントでのみ使用されます。HA VPN 階層では使用できません。
- HA VPN 用の Cloud Router は、VPC ネットワークとオンプレミス ネットワークの間でプレフィックスを交換します。HA VPN 用の Cloud Router とその BGP セッションは、通常の HA VPN デプロイと同じ方法で構成します。
HA VPN 階層は、Cloud Interconnect 階層の上に構築されます。そのため、HA VPN 階層では、Dedicated Interconnect または Partner Interconnect に基づく Cloud Interconnect 階層を適切に構成して運用する必要があります。
次の図は、Cloud Interconnect を介した HA VPN デプロイメントを示しています。
HA VPN ゲートウェイと VLAN アタッチメントに送信される内部トラフィックを選択するため、Cloud Interconnect の Cloud Router によって学習された IP アドレス範囲が使用されます。
フェイルオーバー
以降のセクションでは、Cloud Interconnect を介した HA VPN で行われる異なるタイプのフェイルオーバーについて説明します。
Cloud Interconnect のフェイルオーバー
Cloud Interconnect 階層の BGP セッションが停止すると、対応する HA VPN から Cloud Interconnect へのルートが取り消されます。これにより、HA VPN トンネルの中断が発生します。その結果、ルートが他の VLAN アタッチメントでホストされている他の HA VPN トンネルにシフトされます。
次の図は、Cloud Interconnect のフェイルオーバーを示しています。
HA VPN トンネルのフェイルオーバー
HA VPN 階層の BGP セッションが停止すると、通常の BGP フェイルオーバーが発生し、HA VPN トンネル トラフィックが他の利用可能な HA VPN トンネルにルーティングされます。Cloud Interconnect 階層の BGP セッションは影響を受けません。
次の図は、HA VPN トンネルのフェイルオーバーを示しています。
SLA
HA VPN は高可用性(HA)Cloud VPN ソリューションです。単一の Google Cloud リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを VPC ネットワークに安全に接続できます。HA VPN が単独でデプロイされている場合、適切に構成されていれば、独自の SLA が適用されます。
ただし、HA VPN は Cloud Interconnect の上にデプロイされるため、Cloud Interconnect を介した HA VPN の全体的な SLA は、選択した Cloud Interconnect トポロジの SLA と一致します。
Cloud Interconnect を介した HA VPN の SLA は、デプロイする Cloud Interconnect トポロジによって異なります。
本番環境レベルのアプリケーション向けのマルチリージョン デプロイ
デプロイメントでマルチリージョンの Cloud Interconnect トポロジを使用している場合、Cloud Interconnect を介した HA VPN の SLA は 99.99% になります。
- Dedicated Interconnect の詳細については、Dedicated Interconnect で 99.99% の可用性を実現するをご覧ください。
- Partner Interconnect については、Partner Interconnect で 99.99% の可用性を実現するをご覧ください。
重要性の低いアプリケーション向けの単一リージョンのデプロイ
デプロイメントで単一リージョンの Cloud Interconnect トポロジを使用している場合、Cloud Interconnect を介した HA VPN の SLA は 99.9% です。
- Dedicated Interconnect の詳細については、Dedicated Interconnect で 99.9% の可用性を実現するをご覧ください。
- Partner Interconnect については、Partner Interconnect で 99.9% の可用性を実現するをご覧ください。
料金の概要
Cloud Interconnect を介した HA VPN デプロイメントでは、次のコンポーネントに対して料金が発生します。
- Dedicated Interconnect 接続(Dedicated Interconnect 接続を使用する場合)。
- 各 VLAN アタッチメント。
- 各 VPN トンネル。
- Cloud Interconnect 下り(外向き)トラフィックのみ。HA VPN トンネルによって送信される Cloud VPN の下り(外向き)トラフィックは課金されません。
- HA VPN ゲートウェイに割り当てられたリージョン外部 IP アドレス(外部 IP アドレスを使用する場合)。ただし、VPN トンネルで使用されていない IP アドレスに対してのみ課金されます。
詳細については、Cloud VPN の料金と Cloud Interconnect の料金をご覧ください。
制限事項
Cloud Interconnect を介した HA VPN では、次の最大伝送単位(MTU)値が区別されます。
Cloud Interconnect 経由の HA VPN ゲートウェイ MTU: 1,440 バイト。
Cloud Interconnect を介した HA VPN のペイロード MTU: 使用する暗号に応じて、1,354~1,386 バイトです。詳細については、暗号化されたトラフィックの MTU 値をご覧ください。
各 HA VPN トンネルでは、上り(内向き)と下り(外向き)のトラフィックは、合計で 250,000 パケット/秒までサポートされます。これは HA VPN の制限事項です。詳細については、Cloud VPN ドキュメントの上限をご覧ください。
暗号化を有効にした単一の VLAN アタッチメントの場合、インバウンドとアウトバンドのスループットの合計は 50 Gbps に制限されます。
IPsec 暗号化を Cloud Interconnect に追加すると
レイテンシが増大します。通常のオペレーションで増加するレイテンシは 5 ミリ秒未満です。
VLAN アタッチメントを作成するときに、IPsec 暗号化を選択する必要があります。あとから既存のアタッチメントに暗号化を追加することはできません。
2 つの異なる物理オンプレミス デバイスで VLAN アタッチメントと IPsec トンネルを終端できます。各 VLAN アタッチメントを介した BGP セッション、VPN ゲートウェイ プレフィックスのアドバタイズ、ネゴシエーションは、オンプレミス VLAN アタッチメント デバイスで終端する必要があります。各 VPN トンネル上の BGP セッションは、(通常どおり)クラウド プレフィックスをアドバタイズし、VPN デバイス上で終端する必要があります。
2 つの Cloud Router の ASN は一致している必要はありません。オンプレミス デバイスとピアリングする Cloud Router インターフェースに、RFC 1918(プライベート)IP アドレスを割り当てることはできません。
VLAN アタッチメントごとに、HA VPN ゲートウェイ インターフェース用に予約できる内部 IP アドレス範囲は 1 つだけです。
Bidirectional Forwarding Detection(BFD)を有効にしても、Cloud Interconnect Deployment を介した HA VPN の障害検出は高速化しません。
Cloud Interconnect を介した HA VPN は、IPv4 と IPv6(デュアル スタック)の HA VPN ゲートウェイをサポートしています。デュアルスタック HA VPN ゲートウェイを作成するには、Google Cloud CLI または Cloud Interconnect API を使用する必要があります。Google Cloud コンソールでは、Cloud Interconnect を介した HA VPN のデプロイ ウィザードを使用できません。
次のステップ
Cloud Interconnect を介した HA VPN をデプロイするために必要な手順については、Cloud Interconnect を介した HA VPN のデプロイ プロセスをご覧ください。
Terraform を使用して Cloud Interconnect を介した HA VPN をデプロイするには、
Cloud Interconnect を介した HA VPN を構成するには、Cloud Interconnect を介した HA VPN を構成するをご覧ください。