このドキュメントでは、Cloud Interconnect 接続の暗号化された VLAN アタッチメント上に HA VPN をデプロイするために必要な手順について説明します。以下の手順は、Dedicated Interconnect と Partner Interconnect の両方の HA VPN に適用されます。
Cloud Interconnect を介した HA VPN デプロイメントに HA VPN ゲートウェイを作成する場合は、その HA VPN ゲートウェイを暗号化された 2 つの VLAN アタッチメントに関連付けます。それぞれの VLAN アタッチメントを HA VPN ゲートウェイ インターフェースに関連付けます。最初のエッジ アベイラビリティ ドメイン(zone1
)にある最初の VLAN アタッチメントは、HA VPN インターフェース 0
に対応します。zone2
の 2 番目の VLAN アタッチメントは、HA VPN インターフェース 1
に対応しています。
暗号化された VLAN アタッチメントと HA VPN ゲートウェイを作成したら、ピア VPN ゲートウェイへの HA VPN トンネルを作成できます。各 HA VPN トンネルの帯域幅は 3 Gbps です。したがって、VLAN アタッチメントの容量と一致するように、複数の HA VPN トンネルを作成する必要があります。
VLAN の容量と推奨のトンネル数
このセクションでは、VLAN アタッチメントの容量に基づいて、必要になる可能性があるトンネルの数を示します。VLAN アタッチメントの容量には下り(外向き)と上り(内向き)の両方のトラフィックが含まれますが、次の表のトンネル数には、ネットワークの特定のトラフィック パターンが反映されていない可能性があります。
この表を出発点として、HA VPN トンネルのトラフィック使用率をモニタリングしてください。トンネルのフェイルオーバーに十分な容量を確保するため、特定の VPN トンネルの帯域幅が上限の 3 Gbps または 250,000 pps の 50% を超えないようにすることをおすすめします。
Cloud VPN トンネルのモニタリングとアラートの設定の詳細については、ログと指標を表示するをご覧ください。
VLAN アタッチメントの容量 | 各 VLAN アタッチメントのトンネル数 | デプロイメント全体のトンネルの合計数 |
---|---|---|
2 Gbps 以下 | 1 | 2 |
5 Gbps | 2 | 4 |
10 Gbps | 4 | 8 |
20 Gbps | 7 | 14 |
50 Gbps | 17 | 34 |
ゲートウェイとトンネルのマッピング
ピア VPN ゲートウェイと HA VPN ゲートウェイを 1 対 1 でマッピングする必要はありません。ピア VPN ゲートウェイのインターフェースで、その HA VPN ゲートウェイ インターフェースにマッピングされていないインターフェースが残っていれば、HA VPN ゲートウェイの各インターフェースに複数のトンネルを追加できます。特定の HA VPN ゲートウェイ インターフェースと特定のピア VPN ゲートウェイ インターフェースの間には、一意のマッピングまたはトンネルを 1 つだけ構成できます。
次のような構成が可能です。
- 単一のピア VPN ゲートウェイ(複数のインターフェース)にトンネリングする複数の HA VPN ゲートウェイ
- 複数のピア VPN ゲートウェイにトンネリングする単一の HA VPN ゲートウェイ
- 複数のピア VPN ゲートウェイにトンネリングする複数の HA VPN ゲートウェイ
原則として、デプロイする必要がある HA VPN ゲートウェイの数は、オンプレミス ネットワークで使用できる未使用のインターフェースを持つピア VPN ゲートウェイの数によって決まります。
次の図は、HA VPN とピア VPN ゲートウェイのトンネル マッピングの例を示しています。
例 1: 1 つの HA VPN と 2 つのピア VPN
例 2: 2 つの HA VPN と 1 つのピア VPN
HA VPN ゲートウェイを作成する
コンソール
この手順は、Google Cloud コンソールで暗号化された VLAN アタッチメントをすでに作成し、構成していることを前提としています。
Dedicated Interconnect の詳細については、暗号化された VLAN アタッチメントを作成するをご覧ください。
Partner Interconnect については、暗号化された VLAN アタッチメントを作成するをご覧ください。
HA VPN ゲートウェイの作成手順は次のとおりです。
Google Cloud コンソールで、Cloud Interconnect を介した HA VPN のデプロイ ウィザードの次のセクションに進みます。
Cloud Interconnect 用 Cloud Router の構成が完了すると、[VPN ゲートウェイの作成] ページが表示されます。
Cloud Interconnect を介した HA VPN の構成ウィザードで、VLAN アタッチメント用に構成した容量に基づいて HA VPN ゲートウェイが自動的に作成されます。たとえば、各 VLAN アタッチメントの容量として 5 Gbps を指定した場合、2 つの HA VPN ゲートウェイが作成されます。
省略可: 各 HA VPN ゲートウェイに生成された名前を変更するには、
「開く」をクリックします。省略可: HA VPN ゲートウェイをさらに追加する場合は、[別のゲートウェイを追加] をクリックします。名前を指定します。必要であれば説明も入力します。次に [完了] をクリックします。
[作成して続行] をクリックします。
gcloud
VLAN の容量とトンネル数の表で、VLAN アタッチメントの容量に必要な VPN トンネルの数を確認します。これらの HA VPN トンネルを作成する前に、HA VPN ゲートウェイを少なくとも 1 つ作成しておく必要があります。
次の例では、5 Gbps の容量の VLAN アタッチメントに 4 つのトンネルが必要になる可能性があります。
HA VPN ゲートウェイを作成します。
たとえば、次のコマンドでは 2 つの HA VPN ゲートウェイを作成し、暗号化された VLAN アタッチメントにゲートウェイ インターフェースを割り当てます。
gcloud compute vpn-gateways create vpn-gateway-a \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
gcloud compute vpn-gateways create vpn-gateway-b \ --network network-a \ --region us-central1 \ --interconnect-attachments \ attachment-a-zone1,attachment-a-zone2
--interconnect-attachments
パラメータには、両方の VLAN アタッチメントを指定します。最初に指定した VLAN アタッチメントが HA VPN ゲートウェイのインターフェース 0(if0
)に割り当てられ、2 番目の VLAN アタッチメントがインターフェース 1(if1
)に割り当てられます。
HA VPN Cloud Router、ピア VPN ゲートウェイ リソース、HA VPN トンネルを構成する
コンソール
Google Cloud コンソールで、Cloud Interconnect を介した HA VPN のデプロイ ウィザードの次のセクションに進みます。
[Cloud Router] セクションで、Cloud Router を選択します。このルーターは、すべての HA VPN トンネルの BGP セッションを管理する専用のルーターです。
ルーターが Partner Interconnect 接続に関連付けられた VLAN アタッチメントの BGP セッションをまだ管理していない場合は、既存の Cloud Router を使用できます。
Cloud Interconnect を介した HA VPN デプロイメントの相互接続層に使用される、暗号化された Cloud Router は使用できません。
使用可能な Cloud Router がない場合は、[新しいルーターを作成] を選択して、次の項目を指定します。
- 名前
- 説明(省略可)
新しいルーターの Google ASN
ネットワーク内の他の場所で使用されていない任意のプライベート ASN(
64512
~65534
、4200000000
~4294967294
)を使用できます。Google ASN は同じ Cloud Router のすべての BGP セッションで使用され、後からの変更はできません。
新しいルーターを作成するには、[作成] をクリックします。
[IKEv1] または [IKEv2] を選択して [IKE バージョン] を構成します。このバージョンは、デプロイメント内のすべての HA VPN トンネルで使用されます。
省略可: [キーを生成] をクリックして、すべての VPN トンネルに使用する IKE 事前共有キーを生成します。このオプションを選択すると、すべての HA VPN ゲートウェイのすべてのトンネルに同じ IKE 事前共有キーが使用されます。事前共有キーは VPN トンネルの作成後に取得できないため、安全な場所に記録してください。
[VPN 構成] セクションで VPN の構成をクリックし、次の項目を指定します。
ピア VPN ゲートウェイ: 既存のピア VPN ゲートウェイを選択するか、[新しいピア VPN ゲートウェイを作成する] を選択して新規に作成します。ピア VPN ゲートウェイを作成するには、次の項目を指定します。
- 名前
2 つのインターフェース
1 つまたは 4 つのインターフェースを指定する必要がある場合は、Google Cloud コンソールでこのピア VPN ゲートウェイを作成することはできません。その場合は、Google Cloud CLI を使用してください。たとえば、アマゾン ウェブ サービス(AWS)に接続する場合は、ピア VPN ゲートウェイで 4 つのインターフェースを割り当てる必要があります。
[IP アドレス] フィールドに、2 つのピア VPN ゲートウェイ インターフェースの IPv4 アドレスを入力します。
[作成] をクリックします。
[
ENCRYPTED VLAN_ATTACHMENT_1
経由の VPN トンネル] と [ENCRYPTED VLAN_ATTACHMENT_2
経由の VPN トンネル] で、それぞれのトンネルに次のフィールドを構成します。- 名前: 生成されたトンネル名をそのまま使用することも、名前を変更することもできます。
- 説明: 任意。
- [関連付けられているピア VPN ゲートウェイ インターフェース] で、このトンネルと HA VPN インターフェースに関連付けるピア VPN ゲートウェイ インターフェースと IP アドレスの組み合わせを選択します。このインターフェースは実際のピアルーターのインターフェースと一致させる必要があります。
- IKE 事前共有キー: すべてのトンネルに事前共有キーを生成していない場合は、[IKE 事前共有キー] を指定します。ピア ゲートウェイに作成した事前共有キーに対応する事前共有キー(共有シークレット)を使用します。ピア VPN ゲートウェイで事前共有キーをまだ構成しておらず、これから生成する場合は、[生成してコピー] をクリックします。事前共有キーは VPN トンネルの作成後に取得できないため、安全な場所に記録してください。
両方のトンネルの構成が完了したら、[完了] をクリックします。
HA VPN ゲートウェイごとに前の 2 つの手順を繰り返して、すべてのゲートウェイとそのトンネルを構成します。
さらにトンネルを追加する必要がある場合は、[VPN 構成を追加] をクリックして次のフィールドを構成します。
- VPN ゲートウェイ: 暗号化された VLAN アタッチメントに関連付けられている HA VPN ゲートウェイのいずれかを選択します。
ピア VPN ゲートウェイ: 既存のピア VPN ゲートウェイを選択するか、[新しいピア VPN ゲートウェイを作成する] を選択して新規に作成します。新しいピア VPN ゲートウェイを作成するには、次の項目を指定します。
- 名前
- 2 つのインターフェース
1 つまたは 4 つのインターフェースを指定する必要がある場合は、Google Cloud コンソールでこのピア VPN ゲートウェイを作成することはできません。その場合は、Google Cloud CLI を使用してください。たとえば、AWS に接続する場合は、ピア VPN ゲートウェイに 4 つのインターフェースを割り当てる必要があります。
[IP アドレス] フィールドに、2 つのピア VPN ゲートウェイ インターフェースの IPv4 アドレスを入力します。
[作成] をクリックします。
すべての HA VPN トンネルの構成が完了したら、[作成して続行] をクリックします。
gcloud
このルーターは、すべての HA VPN トンネルの BGP セッションを管理する専用のルーターです。
ルーターが Partner Interconnect 接続に関連付けられた VLAN アタッチメントの BGP セッションをまだ管理していない場合は、既存の Cloud Router を使用できます。Cloud Interconnect を介した HA VPN デプロイメントの Cloud Interconnect 層に使用される、暗号化された Cloud Router は使用できません。
Cloud Router を作成するには、次のコマンドを実行します。
gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK \ --asn=GOOGLE_ASN
以下を置き換えます。
ROUTER_NAME
: Cloud VPN ゲートウェイと同じリージョン内の Cloud Router の名前REGION
: ゲートウェイとトンネルを作成する Google Cloud リージョンNETWORK
: Google Cloud ネットワークの名前GOOGLE_ASN
: ピア ネットワークでまだ使用していないプライベート ASN(64512
~65534
、4200000000
~4294967294
)。この Google ASN は同じ Cloud Router のすべての BGP セッションに使用され、後で変更できません。
作成するルーターは、次の出力例のようになります。
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
1 つ以上の外部ピア VPN ゲートウェイを作成します。
gcloud compute external-vpn-gateways create peer-gw \ --interfaces 0=ON_PREM_GW_IP_0,1=ON_PREM_GW_IP_1
次のように置き換えます。
ON_PREM_GW_IP_0
: ピア VPN ゲートウェイのインターフェース0
に割り当てられた IP アドレスON_PREM_GW_IP_1
: ピア VPN ゲートウェイのインターフェース1
に割り当てられた IP アドレス
デプロイに必要な数の外部ピア VPN ゲートウェイを作成します。
HA VPN ゲートウェイを作成するで作成した HA VPN ゲートウェイごとに、インターフェース
0
と1
に VPN トンネルを作成します。各コマンドで、外部 VPN ゲートウェイと以前に作成したインターフェースとして VPN トンネルのピア側を指定します。たとえば、HA VPN ゲートウェイを作成するで作成した 2 つの HA VPN ゲートウェイの例で 4 つのトンネルを作成するには、次のコマンドを実行します。
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 0
gcloud compute vpn-tunnels create tunnel-a-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-a \ --interface 1
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-0 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 0 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 0
gcloud compute vpn-tunnels create tunnel-b-to-on-prem-if-1 \ --peer-external-gateway peer-gw \ --peer-external-gateway-interface 1 \ --region us-central1 \ --ike-version 2 \ --shared-secret SHARED_SECRET \ --router vpn-router \ --vpn-gateway vpn-gateway-b \ --interface 1
BGP セッションを構成する
コンソール
Google Cloud コンソールで、Cloud Interconnect を介した HA VPN のデプロイ ウィザードの次のセクションに進みます。
すべての HA VPN トンネルを作成したら、各トンネルに BGP セッションを構成する必要があります。
各トンネルの横にある [BGP セッションを構成する] をクリックします。
BGP セッションを作成するの手順に沿って、VPN トンネルごとに BGP を構成します。
gcloud
すべての HA VPN トンネルを作成したら、各トンネルに BGP セッションを構成する必要があります。
トンネルごとに、BGP セッションを作成するの手順に沿って操作します。
HA VPN の構成を完了する
新しい Cloud VPN ゲートウェイとそれに関連付けられた VPN トンネルを使用する前に、次の手順を完了します。
- オンプレミス ネットワークにピア VPN ゲートウェイを設定し、対応するトンネルを構成します。手順については、以下をご覧ください。
- 特定のピア VPN デバイスの具体的な構成ガイドについては、サードパーティ VPN の使用をご覧ください。
- 一般的な構成パラメータについては、ピア VPN ゲートウェイを構成するをご覧ください。
- 必要に応じて、Google Cloud とピア ネットワークにファイアウォール ルールを構成します。
- VPN トンネルのステータスを確認します。この手順では、HA VPN ゲートウェイの高可用性構成の確認も行います。
次のステップ
HA VPN トンネルを追加する必要がある場合は、VPN トンネルを追加するをご覧ください。
HA VPN のモニタリングの詳細については、ログと指標を表示するをご覧ください。