Cloud Interconnect を介した HA VPN の概要

Cloud Interconnect を介した HA VPN を使用すると、Dedicated Interconnect 接続または Partner Interconnect 接続を通過するトラフィックを暗号化できます。Cloud Interconnect を介した HA VPN を使用するには、VLAN アタッチメント上に HA VPN トンネルをデプロイします。

Cloud Interconnect を介した HA VPN を使用すると、ビジネスの全体的なセキュリティを向上させ、既存または今後の業界規制を遵守できます。たとえば、アプリケーションから送信されるトラフィックの暗号化や、サードパーティを介した転送中のデータの暗号化が義務付けられる場合があります。

これらの要件を満たすには多くの方法があります。暗号化は OSI スタックの複数のレイヤで可能ですが、一部のレイヤはサポートされない場合があります。たとえば、TLS はすべての TCP ベースのプロトコルでサポートされているわけではありません。また、dTLS の有効化はすべての UDP ベースのプロトコルでサポートされているとは限りません。この問題を解決する方法の一つは、IPsec プロトコルを使用してネットワーク層で暗号化を実装することです。

解決策として、Cloud Interconnect を介した HA VPN には、Google Cloud コンソール、Google Cloud CLI、Compute Engine API でデプロイツールを利用できるという利点があります。また、HA VPN ゲートウェイにプライベート IP アドレスを使用することもできます。Cloud Interconnect を介した HA VPN 用に作成した VLAN アタッチメントでは、Private Service Connect エンドポイントへの接続がサポートされます。最後に、Cloud Interconnect を介した HA VPN では、基盤となるコンポーネント、Cloud VPN、Cloud Interconnect から派生した SLA が提供されます。詳細については、SLA をご覧ください。

このほかにも、Virtual Private Cloud(VPC)ネットワークにセルフマネージド(Google Cloud 以外の)VPN ゲートウェイを作成し、各ゲートウェイにプライベート IP アドレスを割り当てる方法もあります。たとえば、Compute Engine インスタンス上で strongSwan VPN を実行できます。オンプレミス環境から Cloud Interconnect を使用して、それらの VPN ゲートウェイへの IPsec トンネルを終端します。

Cloud Interconnect 経由で Classic VPN ゲートウェイとトンネルをデプロイすることはできません。

デプロイ アーキテクチャ

Cloud Interconnect を介した HA VPN をデプロイするときに、次の 2 つのオペレーション階層が作成されます。

  • Cloud Interconnect 階層。VLAN アタッチメントと、Cloud Interconnect 用の Cloud Router が含まれます。
  • HA VPN 階層。HA VPN ゲートウェイとトンネル、HA VPN 用の Cloud Router が含まれます。

各階層には独自の Cloud Router が必要です。

  • Cloud Interconnect 用の Cloud Router は、VLAN アタッチメント間で VPN ゲートウェイ プレフィックスを交換するためにのみ使用されます。この Cloud Router は、Cloud Interconnect 階層の VLAN アタッチメントでのみ使用されます。HA VPN 階層では使用できません。
  • HA VPN 用の Cloud Router は、VPC ネットワークとオンプレミス ネットワークの間でプレフィックスを交換します。HA VPN 用の Cloud Router とその BGP セッションは、通常の HA VPN デプロイと同じ方法で構成します。

HA VPN 階層は、Cloud Interconnect 階層の上に構築されます。そのため、HA VPN 階層では、Dedicated Interconnect または Partner Interconnect に基づく Cloud Interconnect 階層を適切に構成して運用する必要があります。

次の図は、Cloud Interconnect を介した HA VPN デプロイメントを示しています。

Cloud Interconnect を介した HA VPN のデプロイ アーキテクチャ(クリックして拡大)
図 1. Cloud Interconnect を介した HA VPN のデプロイ アーキテクチャ(クリックして拡大)

HA VPN ゲートウェイと VLAN アタッチメントに送信される内部トラフィックを選択するため、Cloud Interconnect の Cloud Router によって学習された IP アドレス範囲が使用されます。

フェイルオーバー

以降のセクションでは、Cloud Interconnect を介した HA VPN で行われる異なるタイプのフェイルオーバーについて説明します。

Cloud Interconnect のフェイルオーバー

Cloud Interconnect 階層の BGP セッションが停止すると、対応する HA VPN から Cloud Interconnect へのルートが取り消されます。これにより、HA VPN トンネルの中断が発生します。その結果、ルートが他の VLAN アタッチメントでホストされている他の HA VPN トンネルにシフトされます。

次の図は、Cloud Interconnect のフェイルオーバーを示しています。

Cloud Interconnect を介した HA VPN の Cloud Interconnect VLAN アタッチメントのフェイルオーバー(クリックして拡大)
図 2. Cloud Interconnect を介した HA VPN の Cloud Interconnect VLAN アタッチメントのフェイルオーバー(クリックして拡大)

HA VPN トンネルのフェイルオーバー

HA VPN 階層の BGP セッションが停止すると、通常の BGP フェイルオーバーが発生し、HA VPN トンネル トラフィックが他の利用可能な HA VPN トンネルにルーティングされます。Cloud Interconnect 階層の BGP セッションは影響を受けません。

次の図は、HA VPN トンネルのフェイルオーバーを示しています。

Cloud Interconnect を介した HA VPN の HA VPN トンネル フェイルオーバー(クリックして拡大)。
図 3. Cloud Interconnect を介した HA VPN の HA VPN トンネル フェイルオーバー(クリックして拡大)。

SLA

HA VPN は高可用性(HA)Cloud VPN ソリューションです。単一リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを VPC ネットワークに安全に接続できます。HA VPN が単独でデプロイされている場合、適切に構成されていれば、独自の SLA が適用されます。

ただし、HA VPN は Cloud Interconnect の上にデプロイされるため、Cloud Interconnect を介した HA VPN の全体的な SLA は、選択した Cloud Interconnect トポロジの SLA と一致します。

Cloud Interconnect を介した HA VPN の SLA は、デプロイする Cloud Interconnect トポロジによって異なります。

料金の概要

Cloud Interconnect を介した HA VPN デプロイメントでは、次のコンポーネントに対して料金が発生します。

  • Dedicated Interconnect 接続(Dedicated Interconnect 接続を使用する場合)。
  • 各 VLAN アタッチメント。
  • 各 VPN トンネル。
  • Cloud Interconnect 下り(外向き)トラフィックのみ。HA VPN トンネルによって送信される Cloud VPN の下り(外向き)トラフィックは課金されません。
  • HA VPN ゲートウェイに割り当てられたリージョン外部 IP アドレス(外部 IP アドレスを使用する場合)。ただし、VPN トンネルで使用されていない IP アドレスに対してのみ課金されます。

詳細については、Cloud VPN の料金Cloud Interconnect の料金をご覧ください。

制限事項

  • Cloud Interconnect を介した HA VPN では、VLAN アタッチメントを Dataplane v2 で実行する必要があります。Dataplane v2 で検証済みのリージョンのリストについては、ロケーション表(Dedicated Interconnect)またはサービス プロバイダ(Partner Interconnect)をご覧ください。

  • Cloud Interconnect を介した HA VPN では、次の最大伝送単位(MTU)値が区別されます。

  • 各 HA VPN トンネルでは、上り(内向き)と下り(外向き)のトラフィックは、合計で 250,000 パケット/秒までサポートされます。これは HA VPN の制限事項です。詳細については、Cloud VPN のドキュメントで上限をご覧ください。

  • 暗号化を有効にした単一の VLAN アタッチメントの場合、インバウンドとアウトバウンドのスループットの合計は 50 Gbps に制限されます。

  • IPsec 暗号化を Cloud Interconnect に追加すると

    レイテンシが増大します。通常のオペレーションで増加するレイテンシは 5 ミリ秒未満です。

  • VLAN アタッチメントを作成するときに、IPsec 暗号化を選択する必要があります。あとから既存のアタッチメントに暗号化を追加することはできません。

  • 2 つの異なる物理オンプレミス デバイスで VLAN アタッチメントと IPsec トンネルを終端できます。各 VLAN アタッチメントを介した BGP セッション、VPN ゲートウェイ プレフィックスのアドバタイズ、ネゴシエーションは、オンプレミス VLAN アタッチメント デバイスで終端する必要があります。クラウド プレフィックスをアドバタイズする各 VPN トンネルの BGP セッションは VPN デバイスで終端する必要があります。

  • 2 つの Cloud Router の ASN は一致している必要はありません。オンプレミス デバイスとピアリングする Cloud Router インターフェースに、RFC 1918(プライベート)IP アドレスを割り当てることはできません。

  • VLAN アタッチメントごとに、HA VPN ゲートウェイ インターフェース用に予約できる内部 IP アドレス範囲は 1 つだけです。

  • Bidirectional Forwarding Detection(BFD)を有効にしても、Cloud Interconnect を介した HA VPN の障害検出は高速化しません。

  • Cloud Interconnect を介した HA VPN は、IPv4 と IPv6(デュアル スタック)の HA VPN ゲートウェイをサポートしています。デュアルスタック HA VPN ゲートウェイを作成するには、Google Cloud CLI または Cloud Interconnect API を使用する必要があります。Google Cloud コンソールでは、Cloud Interconnect を介した HA VPN のデプロイ ウィザードを使用できません。

次のステップ