VLAN アタッチメントを作成する

VLAN アタッチメント(別名 interconnectAttachments)によって、Dedicated Interconnect 接続を介してオンプレミス ネットワークに接続できる Virtual Private Cloud(VPC)ネットワークが決まります。すべてのテストに合格して使用可能な状態になっている接続に VLAN アタッチメントを作成できます。

暗号化されていない VLAN アタッチメントまたは暗号化された VLAN アタッチメントを作成できます。暗号化された VLAN アタッチメントは、Cloud Interconnect を介した HA VPN デプロイで使用されます。暗号化されていない VLAN アタッチメントは、シングル スタック(IPv4 のみ)またはデュアル スタック(IPv4 と IPv6)で作成できます。

デフォルトでは、暗号化されていない VLAN アタッチメントを作成すると、VLAN アタッチメントはシングル スタック(IPv4 のみ)になります。特に指定しない限り、暗号化されていない VLAN アタッチメントに作成するインターフェースは、IPv4 アドレスを持つ単一のインターフェースであり、結果の BGP セッションでは IPv4 ルートのみが交換されます。

IPv6 トラフィックをサポートする必要がある場合は、デュアルスタック(IPv4 と IPv6)の暗号化されていない VLAN アタッチメントを構成する必要があります。デュアルスタック VLAN アタッチメントを使用すると、IPv4 BGP セッションと IPv6 BGP セッションの両方を作成できます。

IPv6 BGP のサポートはプレビュー版です。

暗号化された VLAN アタッチメントは常に「IPv4 のみ」に構成されます。Cloud Interconnect を介した HA VPN のデプロイで、暗号化されたアタッチメントで IPv6 トラフィックをサポートする場合は、デュアルスタック HA VPN ゲートウェイとトンネルをデプロイして構成できます。

VLAN アタッチメントに対する課金は、アタッチメントの作成時に開始し、アタッチメントを削除した時点で停止します。

別の Google Cloud プロジェクトでの接続用に VLAN アタッチメントを作成する必要がある場合は、他のプロジェクトで Dedicated Interconnect 接続を使用するをご覧ください。

Partner Interconnect の VLAN アタッチメントについては、Partner Interconnect 用の VLAN アタッチメントを作成するをご覧ください。

このページで使用している用語の定義については、Cloud Interconnect の主な用語をご覧ください。

Dedicated Interconnect の使用時に発生する可能性のある一般的な問題を解決するには、トラブルシューティングをご覧ください。

VLAN アタッチメントを Cloud Router に関連付ける

Dedicated Interconnect の場合、VLAN アタッチメントによって接続に VLAN が割り当てられ、指定された Cloud Router にその VLAN が関連付けられます。複数の異なる VLAN アタッチメントを同じ Cloud Router に関連付けることができます。

VLAN アタッチメントを作成する際には、アクセスする必要があるサブネットを含むリージョンにある Cloud Router を指定します。VLAN アタッチメントによって、VLAN ID と Border Gateway Protocol(BGP)ピアリング IP アドレスが自動的に割り振られます。この情報を使用して、オンプレミス ルーターを構成し、Cloud Router との BGP セッションを確立します。

VLAN アタッチメントを作成するときに、IPv4 BGP アドレスの候補範囲を手動で指定することもできます。Cloud Router は、この範囲の IPv4 アドレスをインターフェースと BGP ピアに選択します。これらの IPv4 アドレスを選択後に変更することはできません。候補として指定する BGP IPv4 アドレス範囲は、VPC ネットワークのすべてのリージョンの Cloud Router 間で一意である必要があります。

VLAN アタッチメントを作成するときに、IPv6 アドレスの候補範囲を手動で指定することはできません。

Cloud Interconnect を介した HA VPN の場合、暗号化された VLAN アタッチメントでのみ使用される Cloud Router を作成する必要があります。Cloud Router は VLAN アタッチメント経由で VPN ゲートウェイのルートのみを交換します。これにより、暗号化されたトラフィックのみがアタッチメントに送信されます。この Cloud Router は、暗号化されていない VLAN アタッチメントや VPN トンネルには使用できません。

複数の VLAN アタッチメントを利用する

各 VLAN アタッチメントは、料金のページに記載されている区分に従って最大 50 Gbps までの帯域幅をサポートし、Cloud Interconnect の制限で記述されている最大パケットレートをサポートします。アタッチメントを構成する接続の帯域幅容量がこれより大きい場合でも、この最大値を超えることはありません。

接続の帯域幅を最大限活用するには、複数の VLAN アタッチメントが必要になる場合があります。

VPC ネットワークの下り(外向き)トラフィックに複数の VLAN アタッチメントを同時に使用するには、それらを同じリージョンに作成します。次に、同じ MED 値を使用してルートがアドバタイズされるようにオンプレミス ルーターを構成します。VLAN アタッチメントを管理する Cloud Router の BGP セッションによりカスタム動的ルートが登録されると、MED 値に対応するルート優先順位で VPC ネットワークに適用されます。

使用可能な複数のルートの優先度が同じである場合、Google Cloud はアフィニティ用に 5 タプルハッシュを使用してトラフィックを分散し、等価コスト マルチパス(ECMP)ルーティング設計を実装します。詳細については、VPC のドキュメントの適用範囲と順序をご覧ください。

暗号化されていない VLAN アタッチメントを作成する

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [VLAN アタッチメント] タブに移動します。

    [VLAN アタッチメント] に移動

  2. [VLAN アタッチメントを作成] をクリックします。

  3. [Dedicated Interconnect 接続] を選択します。

  4. [相互接続を暗号化する] セクションで、[暗号化なしの相互接続を設定する] を選択し、[続行] をクリックします。

  5. プロジェクトにアタッチメントを作成するには、[相互接続と冗長性を選択する] セクションで、[このプロジェクト内] を選択します。他のプロジェクトについては、他のプロジェクトで Dedicated Interconnect 接続を使用するをご覧ください。

  6. プロジェクト内の既存の Dedicated Interconnect 接続を選択し、[続行] をクリックします。

  7. [VLAN アタッチメントを追加] を選択して、次の詳細を指定します。

    • 名前: アタッチメントの名前。この名前は Google Cloud コンソールに表示され、Google Cloud CLI でアタッチメントを参照するために使用されます(例: my-attachment)。
    • 説明(省略可): アタッチメントの説明。

  8. アタッチメントのスタックタイプを [IPv4(シングル スタック)] または [IPv4 と IPv6(デュアル スタック)] から選択します。

  9. このアタッチメントに関連付ける Cloud Router を選択します。Cloud Router は、接続する VPC ネットワーク内に存在している必要があります。

    既存の Cloud Router がない場合は、[新しいルーターを作成] を選択します。BGP AS 番号には、プライベート ASN(64512-65535 または 4200000000-4294967294)、または 16550 を使用します。

  10. 省略可: VLAN ID、BGP セッションの特定の IP アドレス範囲、VLAN アタッチメントの容量、最大伝送単位(MTU)を指定するには、[VLAN ID、BGP IP、容量、MTU] をクリックします。

    • VLAN ID を指定するには、[VLAN ID] セクションで [カスタマイズ] を選択します。

      デフォルトでは、VLAN ID が自動的に生成されます。VLAN ID は 2~4093 の範囲で指定できます。接続ですでに使用されている VLAN ID は指定できません。VLAN ID が使用中の場合、別の ID を選択するように求められます。

      VLAN ID を入力しないと、未使用の VLAN ID がランダムに選択され、自動的に VLAN アタッチメントに割り当てられます。

    • BGP セッションの IPv4 アドレス範囲を指定するには、[BGP IPv4 アドレスの割り振り] セクションで、[手動] を選択します。

      BGP IPv4 アドレス範囲は、VPC ネットワークのすべてのリージョンの Cloud Router 間で一意にする必要があります。

      Cloud Router とオンプレミス ルーター間の BGP セッションで使用される IPv4 アドレスは、IPv4 リンクローカル アドレス空間(169.254.0.0/16)から割り振られます。デフォルトでは、IPv4 リンクローカル アドレス空間から未使用のアドレスが選択されます。

      Google によって選択される IPv4 範囲を制限する場合は、IPv4 リンクローカル アドレス空間から最大 16 個のプレフィックスを指定できます。すべてのプレフィックスは 169.254.0.0/16 内に存在し、長さは /29 以下でなければなりません(/28/27 など)。指定した範囲のプレフィックスから未使用の /29 が自動的に選択されます。範囲内の /29 プレフィックスがすべて Google Cloud で使用されている場合、アドレスの割り振りリクエストは失敗します。

      プレフィックスの範囲を指定しない場合は、VPC ネットワーク内の BGP セッションで使用されていない 169.254.0.0/16 から /29 CIDR が選択されます。1 つ以上のプレフィックスを指定すると、指定されたプレフィックスから未使用の /29 CIDR が選択されます。

      /29 が選択されると、Cloud Router に 1 つのアドレスが割り当てられ、オンプレミス ルーターに別のアドレスが割り当てられます。/29 の残りのアドレス空間は、Google が使用するために予約されています。

    • 最大帯域幅を指定するには、[容量] フィールドで値を選択します。値を選択しない場合、Cloud Interconnect では 10 Gbps が使用されます。

      1 つの接続で複数の VLAN アタッチメントを使用する場合は、容量を設定することで各アタッチメントで使用可能な帯域幅量を制御できます。最大帯域幅は概算値であるため、選択した容量を超える帯域幅を VLAN アタッチメントで使用できる可能性があります。

    • アタッチメントの最大伝送単位(MTU)を指定するには、フィールドから値を選択します。

      1,460 バイト、1,500 バイト、または 8,896 バイトの MTU を利用するには、アタッチメントを使用する VPC ネットワークが同じ MTU 値に設定されている必要があります。また、オンプレミス仮想マシン(VM)インスタンスとルーターでも同じ MTU 値が設定されている必要があります。ネットワークにデフォルトの 1460 MTU がある場合は、アタッチメントに 1460 の MTU を選択します。

  11. 複数の VPC ネットワークを接続する場合(冗長性を構築する場合など)、[+ VLAN アタッチメントを追加] をクリックして、接続に追加の VLAN アタッチメントを接続します。VLAN アタッチメントごとに異なる Cloud Router を選択します。詳細については、概要の冗長性セクションをご覧ください。

  12. 必要な VLAN アタッチメントをすべて作成したら、[作成] をクリックします。アタッチメントの作成には数分かかります。

    [BGP セッションの構成] ページに、各 VLAN アタッチメントとその構成ステータスが表示されます。

  13. VLAN アタッチメントごとに BGP セッションを作成し、Cloud Router ネットワークとオンプレミス ルーターの間で BGP ルートを交換するには、[構成] をクリックして、以下の情報を入力します。

    • 名前: BGP セッションの名前。
    • ピア ASN: オンプレミス ルーターの公開または非公開 ASN。
    • アドバタイズされたルートの優先度(MED)(省略可): Cloud Router がルート指標の計算に使用する基本値。このセッションでアドバタイズされたルートはすべて、この基本値を使用します。詳細については、アドバタイズされたプレフィックスと優先度をご覧ください。
    • BGP ピア: このピアとの BGP セッションを有効または無効にできます。無効にした場合、この Cloud Router は BGP 接続リクエストを送信せず、このピアからの BGP 接続リクエストをすべて拒否します。
    • MD5 認証(省略可): Cloud Router とそのピアの間の BGP セッションを認証できます。MD5 認証の使用方法については、MD5 認証を使用するをご覧ください。
    • カスタム アドバタイズ ルート(省略可): Cloud Router が BGP を介してオンプレミス ルーターにアドバタイズするルートを選択できます。構成手順については、カスタム アドバタイズ ルートの概要をご覧ください。
    • カスタム学習ルート: BGP セッションの追加学習済みルートを手動で定義できます。Cloud Router は、BGP ピアからルートを学習したかのように動作します。

    • Cloud Router の Bidirectional Forwarding Detection(BFD)(省略可): リンク切れイベントなどの、転送パスの停止を検出します。ハイブリッド ネットワークの復元性を高めることができます。BFD を使用するように BGP セッションを更新する方法については、BFD の構成をご覧ください。

  14. [保存して次へ] をクリックします。

  15. すべての VLAN アタッチメントに BGP セッションを追加したら、[構成を保存] をクリックします。オンプレミス ルーターで BGP を構成するまで、BGP セッションは非アクティブ状態になります。

gcloud

VLAN アタッチメントを作成する前に、オンプレミス ネットワークからアクセスするネットワークとリージョンに既存の Cloud Router を用意する必要があります。既存の Cloud Router がない場合は、作成します。Cloud Router には、BGP ASN として 16550 が必要です。または、任意のプライベート ASN(64512-65535 または 4200000000-4294967294)を使用できます。

  1. VLAN アタッチメントを作成して、Dedicated Interconnect 接続と Cloud Router の名前を指定します。アタッチメントによって、Cloud Router を接続する接続に VLAN が割り当てられます。

    次の例は、us-central1 リージョン内の Cloud Router my-router に接続する接続 my-interconnect のアタッチメントを作成しています。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --region us-central1 \
    --router my-router \
    --interconnect my-interconnect

    デュアルスタック(IPv4 と IPv6)VLAN アタッチメント

    IPv4 トラフィックと IPv6 トラフィックの両方をサポートできるデュアルスタック VLAN アタッチメントを作成するには、--stack-type IPV4_IPV6 を指定します。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --region us-central1 \
    --router my-router \
    --interconnect my-interconnect
    --stack-type IPV4_IPV6

    IPV4_IPV6 スタックタイプで VLAN アタッチメントを作成すると、Google Cloud により 2600:2d00:0:1::/64 範囲から未使用の /125 CIDR が VLAN アタッチメントの IPv6 アドレスとして自動的に割り当てられます。

    IPV4_IPV6 スタックタイプを選択した場合は、IPv4 BGP セッション、IPv6 BGP セッション、またはその両方を使用して VLAN アタッチメントを構成できます。

    IPv6 BGP のサポートはプレビュー版です。

    --stack-type フラグを省略すると、VLAN アタッチメントは IPv4 のみのアタッチメントとして構成されます。IPv4 専用 VLAN アタッチメントは、IPv4 ルートのみを交換できます。

    アタッチメントの作成後にスタックタイプを変更することもできます。スタックタイプを変更するをご覧ください。

    BGP ピアリングに IPv4 アドレスを割り振る

    BGP ピアリングでは、IPv4 リンクローカル アドレス空間(169.254.0.0/16)から未使用の IPv4 アドレスが割り振られる場合があります。Google によって選択される IPv4 アドレスの範囲を制限するには、次の例のように --candidate-subnets フラグを指定します。

    BGP ピアリングの IPv4 アドレス範囲は、VPC ネットワークのすべてのリージョンの Cloud Router 間で一意にする必要があります。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --router my-router \
    --interconnect my-interconnect \
    --candidate-subnets 169.254.0.0/29,169.254.10.0/24 \
    --region us-central1

    IPv4 リンクローカル アドレス空間から最大 16 個のプレフィックスの範囲を指定できます。すべてのプレフィックスは 169.254.0.0/16 内に存在し、長さは /29 以下でなければなりません(/28/27 など)。指定した範囲のプレフィックスから未使用の /29 が自動的に選択されます。範囲内の /29 プレフィックスがすべて Google Cloud で使用されている場合、アドレスの割り振りリクエストは失敗します。

    候補のサブネット範囲は、IPv4 アドレスに対してのみ指定できます。IPv6 アドレスの候補アドレス範囲は指定できません。

    VLAN ID の構成

    VLAN ID を指定するには、次の例に示すように --vlan フラグを使用します。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --router my-router \
    --interconnect my-interconnect \
    --vlan 5 \
    --region us-central1

    デフォルトでは、VLAN ID が自動的に生成されます。VLAN ID は 2~4093 の範囲で指定できます。Dedicated Interconnect 接続ですでに使用されている VLAN ID は指定できません。VLAN ID が使用中の場合、別の ID を選択するように求められます。

    VLAN ID を入力しないと、未使用の VLAN ID がランダムに選択され、自動的に VLAN アタッチメントに割り当てられます。

    最大帯域幅の構成

    アタッチメントの最大帯域幅を指定するには、次の例に示すように --bandwidth フラグを使用します。1 つの接続で複数の VLAN アタッチメントを使用する場合は、容量を設定することで各アタッチメントで使用可能な帯域幅量を制御できます。最大帯域幅は概算値であるため、選択した容量を超える帯域幅を VLAN アタッチメントで使用できる可能性があります。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --router my-router \
    --interconnect my-interconnect \
    --bandwidth 500M \
    --region us-central1

    容量を指定しない場合、Cloud Interconnect ではデフォルトの 10 Gbps が使用されます。詳細については、gcloud compute interconnects attachments dedicated create リファレンスをご覧ください。

    MTU の構成

    アタッチメントのデフォルトの MTU は 1,440 バイトです。アタッチメントに 1,460、1,500、または 8,896 バイトの MTU を指定することもできます。アタッチメントに 1,460、1,500、または 8,896 バイトの MTU を指定するには、次の例に示すように --mtu フラグを使用します。

    gcloud compute interconnects attachments dedicated create my-attachment \
    --router my-router \
    --interconnect my-interconnect \
    --mtu 1500 \
    --region us-central1

    1,460、1,500、または 8,896 バイトの MTU を使用するには、アタッチメントを使用する VPC ネットワークだけでなく、オンプレミスのシステムとルーターにも同じ MTU 値が設定されている必要があります。

  2. 次の例に示すように、割り当てられたリソース(VLAN ID と BGP ピアリング アドレスなど)を取得するようにアタッチメントを記述します。これらの値を使用して、Cloud Router とオンプレミス ルーターを構成します。

    gcloud compute interconnects attachments describe my-attachment \
    --region us-central1

    出力: 

    cloudRouterIpAddress: 169.254.180.81/29
creationTimestamp: '2022-03-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.180.82/29
dataplaneVersion: 2
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
kind: compute#interconnectAttachment
mtu: 1500
name: my-attachment
operationalStatus: ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    • VLAN タグ(1000)は、このアタッチメントを通過するトラフィックを識別します。オンプレミス ルーターでタグ VLAN サブインターフェースを構成するには、この値が必要です。
    • Cloud Router のアドレス(169.254.180.81/29)は IPv4 リンクローカル アドレスです。このアタッチメントに Cloud Router インターフェースを作成すると、インターフェースはこの IP アドレスを使用します。オンプレミス ルーターの BGP ネイバーに同じアドレスを使用します。
    • ユーザーのルーター アドレス(169.254.180.82/29)は IPv4 リンクローカル アドレスです。Cloud Router で、Cloud Router のアドレスを割り当てたインターフェース上に BGP ピアを構成して、このアドレスを指定します。オンプレミス ルーターでは、このアドレスを VLAN サブインターフェースに割り当てます。
    • スタックタイプ(IPV4_ONLY)は、VLAN アタッチメントでサポートされているトラフィックのタイプを示します。

  3. Cloud Router で、VLAN アタッチメントに接続するインターフェースを追加します。

    • VLAN アタッチメントが IPv4 のみの場合は、IPv4 アドレスのインターフェースを作成する必要があります。

    • VLAN アタッチメントがデュアル スタック(IPV4_IPV6)の場合、IPv4 アドレスのインターフェース、IPv6 アドレスのインターフェース、またはその両方を作成できます。

      IPv6 アドレスを使用した BGP ピアリングのサポートはプレビュー版です。

      IPv4 アドレスと IPv6 アドレスの両方のインターフェースを作成すると、同じ VLAN アタッチメントで 2 つの BGP セッションを並行して実行できます。詳細については、Cloud Router のドキュメントの BGP セッションを確立するをご覧ください。

      IPv4 アドレスのインターフェースを作成するには、次のコマンドを実行します。

      gcloud compute routers add-interface my-router \
--region us-central1 \
--interface-name my-router-intf-v4 \
--interconnect-attachment my-attachment

      インターフェースの IPv4 アドレスは、アタッチメントの cloudRouterIpAddress を使用して自動的に構成されます。

      IPv6 アドレスのインターフェースを作成するには、次のコマンドを実行します。

      gcloud beta compute routers add-interface my-router \
 --region us-central1 \
 --interface-name my-router-intf-v6 \
 --interconnect-attachment my-attachment
 --ip-version=IPV6

      インターフェースの IPv6 アドレスは、アタッチメントの cloudRouterIpv6Address を使用して自動的に構成されます。

  4. 作成したインターフェースごとに BGP ピアを追加します。ピア ASN 値には、オンプレミス ルーターで構成するのと同じ番号を使用します。

    gcloud compute routers add-bgp-peer my-router \
    --interface my-router-intf-v4 \
    --region us-central1 \
    --peer-name bgp-for-my-interconnect-v4 \
    --peer-asn 65201

    BGP ピアの IPv4 アドレスは、アタッチメントの customerRouterIpAddress を使用して自動的に構成されます。

    gcloud compute routers add-bgp-peer my-router \
   --interface my-router-intf-v6 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect-v6 \
   --peer-asn 65201

    ピアの IPv6 アドレスは、アタッチメントの customerRouterIpv6Address を使用して自動的に構成されます。

    マルチプロトコル BGP(MP-BGP)構成

    デュアルスタック(IPV4_IPV6)スタックタイプで VLAN アタッチメントを構成した場合は、単一の IPv4 BGP または単一の IPv6 BGP セッションでマルチプロトコル BGP(MP-BGP)を使用できます。両方の BGP セッションを使用している場合、MP-BGP は使用できません。

    MP-BGP を使用すると、IPv4 BGP セッションで IPv6 ルートを交換できます。また、IPv6 BGP セッションで IPv4 ルートを交換することもできます。

    IPv4 BGP セッションで IPv6 ルート交換を有効にするには、次のコマンドを実行します。

    gcloud compute routers add-bgp-peer my-router \
   --interface my-router-intf-v4 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect-v4 \
   --peer-asn 65201 \
   --enable-ipv6

    --enable-ipv6 フラグを省略すると、IPv4 BGP セッションは IPv4 ルートのみを交換します。BGP セッションでの IPv6 ルート交換は後で有効にすることもできます。

    IPv6 BGP セッションで IPv4 ルート交換を有効にするには、次のコマンドを実行します。

    gcloud beta compute routers add-bgp-peer my-router \
   --interface my-router-intf-v6 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect \
   --peer-asn 65201 \
   --enable-ipv4

    詳細については、IPv4 または IPv6 BGP セッションでマルチプロトコル MP-BGP を構成するをご覧ください。

    IPv4 BGP セッションで IPv6 ルート交換を有効にする場合は、アタッチメントの customerRouterIpv6Address をネクストホップとして使用して IPv6 ルートをアドバタイズするように、オンプレミス ルーターを構成する必要があります。

    IPv6 BGP セッションで IPv4 ルート交換を有効にする場合は、アタッチメントの customerRouterIpAddress をネクストホップとして使用して IPv4 ルートをアドバタイズするように、オンプレミス ルーターを構成する必要があります。

    IPv4 または IPv6 のネクストホップ アドレスを取得するようにアタッチメントを記述します。

    gcloud compute interconnects attachments describe my-attachment \
    --region us-central1

    出力:

    cloudRouterIpAddress: 169.254.180.81/29
cloudRouterIpv6Address: 2600:2d00:0:1:8000:12:0:299/125
creationTimestamp: '2022-03-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.180.82/29
customerRouterIpv6Address: 2600:2d00:0:1:8000:12:0:29a/125
dataplaneVersion: 2
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
kind: compute#interconnectAttachment
mtu: 1500
name: my-attachment
operationalStatus: ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
stackType: IPV4_IPV6
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    カスタム アドバタイズ ルートとルート優先度(MED)の構成

    基本優先度値を指定するには、--advertised-route-priority フラグを使用します。Cloud Router は、この値を使用して、このセッションでアドバタイズするすべてのルートのルート指標を計算します。詳細については、Cloud Router のドキュメントのアドバタイズされたプレフィックスと優先度をご覧ください。

    --advertisement-mode フラグを使用して、この BGP セッションのカスタム アドバタイズ モードを有効にすることもできます。--advertisement-groups--advertisement-ranges を使用して、BGP セッションのカスタム アドバタイズ ルートを定義します。カスタム アドバタイズ ルートを使用すると、Cloud Router が BGP 経由でオンプレミス ルーターにアドバタイズするルートを選択できます。IPv4 と IPv6 の両方のカスタム アドバタイズ ルートを指定できます。ただし、IPv6 カスタム アドバタイズ ルートは、IPv6 ルート交換が有効になっている BGP セッションでのみアドバタイズされます。IPv4 カスタム アドバタイズ ルートは、IPv4 ルート交換が有効になっている BGP セッションでのみアドバタイズされます。

    構成手順については、カスタム アドバタイズ ルートの概要をご覧ください。

    カスタム学習ルートの構成

    カスタム学習ルートを構成する場合は、--set-custom-learned-route-ranges フラグを使用します。必要に応じて、--custom-learned-route-priority フラグを使用して、ルートの優先度を 065535 (両端を含む)の範囲で設定できます。各 BGP セッションには、セッションに構成したすべてのカスタム学習ルートに適用される優先度値が 1 つあります。この機能を使用すると、Cloud Router は BGP ピアからこれらのルートを学習したかのように動作します。詳細については、カスタム学習ルートをご覧ください。

    gcloud compute routers add-bgp-peer my-router \
    --interface my-router-i1-intf-v4 \
    --region us-central1 \
    --peer-name bgp-for-my-interconnect \
    --peer-asn 65201 \
    --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
    --custom-learned-route-priority 200

    MD5 認証の構成

    MD5 認証を使用する場合は、md5-authentication-key フラグを追加します。この機能の詳細については、MD5 認証の使用をご覧ください。

    gcloud compute routers add-bgp-peer my-router \
   --interface my-router-i1-intf-v4 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect \
   --peer-asn 65201 \
   --md5-authentication-key 'secret_key_value'

    Bidirectional Forwarding Detection(BFD)

    Cloud Router に Bidirectional Forwarding Detection(BFD)を追加する場合は、BFD セッションを使用して BGP ピアを構成できます。BFD は、リンクダウン イベントなどの転送パスの停止を検出し、ハイブリッド ネットワークの復元性を高めます。BFD を使用するように BGP セッションを更新する場合は、Cloud Router の BFD の構成をご覧ください。

重複する Dedicated Interconnect 接続を作成して冗長性を確保する場合は、2 番目の接続でこれらの手順を繰り返し、同じ Cloud Router を指定します。詳細については、冗長性と SLA をご覧ください。

暗号化された VLAN アタッチメントを作成する

コンソール

  1. Google Cloud コンソールで、Cloud Interconnect の [VLAN アタッチメント] タブに移動します。

    [VLAN アタッチメント] に移動

  2. [VLAN アタッチメントを作成] をクリックします。

  3. [Dedicated Interconnect 接続] を選択します。

  4. [相互接続を暗号化する] セクションで、[相互接続を介した HA VPN を設定する] を選択し、[続行] をクリックします。

  5. [相互接続の選択] セクションで、Cloud Interconnect 経由で HA VPN をデプロイする既存の 2 つの Dedicated Interconnect 接続を選択します。

    • 現在のプロジェクトで接続を使用するには、[このプロジェクト内] を選択します。
    • 別のプロジェクトで接続を使用するには、[別のプロジェクト] を選択し、プロジェクトのプロジェクト ID を入力します。
    • [相互接続 1] フィールドで、最初の接続を選択します。
    • [相互接続 2] フィールドで、2 番目の接続を選択します。同じ大都市圏(メトロ)にホストされているが、最初の接続とは異なるエッジ アベイラビリティ ドメインにホストされている接続を選択してください。たとえば、最初の接続が ord-zone1 にある場合は、2 番目の接続が ord-zone2 にあることを確認します。

  6. 既存の 2 つの Dedicated Interconnect 接続を選択したら、[続行] をクリックします。

  7. [VLAN アタッチメントを作成] ページで、[VPC ネットワーク] を選択します。

  8. [暗号化された相互接続ルーター] フィールドで、暗号化された VLAN アタッチメントに関連付ける Cloud Router を選択します。Cloud Router は、接続する VPC ネットワーク内に存在している必要があります。また、指定した Cloud Router は暗号化された VLAN アタッチメントでのみ使用できます。このルーターは、HA VPN とピア VPN トンネル インターフェースのルートのみをアドバタイズします。

    暗号化された既存の Cloud Router を使用できない場合は、[新しいルーターを作成] を選択し、Dataplane v2 と互換性のあるリージョンを指定します。ロケーションで Dataplane V2 と互換性のあるリージョンを確認するには、ロケーションの表をご覧ください。BGP AS 番号には、プライベート ASN(64512-65535 または 4200000000-4294967294)、または 16550 を使用します。

  9. 2 つの VLAN アタッチメントを構成します。VLAN アタッチメント 1VLAN アタッチメント 2 に、次のフィールドを構成します。

    • 名前: アタッチメントの名前。この名前は Google Cloud コンソールに表示され、Google Cloud CLI でアタッチメントを参照するために使用されます(例: my-attachment)。
    • 説明: 説明を入力します(任意)。

  10. BGP セッションの VLAN ID または特定の IP アドレス範囲を構成するには、[VLAN ID、BGP IP] をクリックします。

    • VLAN ID を指定するには、[VLAN ID] セクションで [カスタマイズ] を選択します。
    • BGP セッションの IPv4 アドレス範囲を指定するには、[BGP IP アドレスの割り振り] セクションで、[手動] を選択します。

    VLAN ID を指定しない場合、または BGP IPv4 アドレスを手動で割り振らない場合、これらの値は Google Cloud によって自動的に割り当てられます。

  11. [容量] フィールドで、各 VLAN アタッチメントの最大帯域幅を選択します。VLAN アタッチメント 1 に選択した値は、VLAN アタッチメント 2 に自動的に適用されます。値を選択しない場合、Cloud Interconnect では 10 Gbps が使用されます。選択した容量によって、デプロイする HA VPN トンネルの数が決まります。

  12. [VPN ゲートウェイの IP アドレス] セクションで、HA VPN トンネル インターフェースに使用する IP アドレスのタイプを選択します。

    • 内部リージョン IP アドレスを選択する場合は、[新しい IP アドレス範囲を追加] をクリックして、名前IP 範囲を入力します。[IP 範囲] には、プレフィックスの長さが 2629 のリージョン内部 IPv4 範囲を指定します。プレフィックスの長さによって、VPN トンネル インターフェースで使用可能な IPv4 アドレスの数が決まります。この長さはアタッチメントの容量に基づいている必要があります。詳細については、HA VPN ゲートウェイに内部 IP アドレス範囲を割り当てるをご覧ください。
    • 外部リージョン IP アドレスを選択すると、VLAN アタッチメントで作成した HA VPN トンネル インターフェースにリージョン外部 IP アドレスが自動的に割り当てられます。

    どちらの VLAN アタッチメントでも、VPN ゲートウェイの IPv4 アドレスに同じタイプのアドレス(内部または外部)を使用する必要があります。

  13. 両方の VLAN アタッチメントを作成したら、[作成] をクリックします。アタッチメントの作成には少し時間がかかります。

  14. [相互接続ルーターの構成] ページに、各 VLAN アタッチメントとその構成ステータスが表示されます。

  15. VLAN アタッチメントごとに BGP セッションを作成し、Cloud Router ネットワークとオンプレミス ルーターの間でルートを交換するには、[構成] をクリックして、以下の情報を入力します。

    • 名前: BGP セッションの名前。
    • ピア ASN: オンプレミス ルーターの公開または非公開 ASN。

    • アドバタイズされたルートの優先度(MED)(省略可): Cloud Router がルート指標の計算に使用する基本値。このセッションでアドバタイズされたルートはすべて、この基本値を使用します。詳細については、アドバタイズされたプレフィックスと優先度をご覧ください。

      この Cloud Router は、HA VPN およびピア VPN トンネル インターフェースのルートのみをアドバタイズします。

    • BGP ピア: このピアとの BGP セッションを有効または無効にできます。無効にした場合、この Cloud Router は BGP 接続リクエストを送信せず、このピアからの BGP 接続リクエストをすべて拒否します。

    • MD5 認証(省略可): Cloud Router とそのピアの間の BGP セッションを認証できます。MD5 認証の使用方法については、MD5 認証を使用するをご覧ください。

    Bidirectional Forwarding Detection(BFD)を有効にしないでください。Cloud Interconnect レベルで BFD を有効にしても、HA VPN トンネル トラフィックの障害検出は速くなりません。

  16. [保存して次へ] をクリックします。

  17. すべての VLAN アタッチメントに BGP セッションを追加したら、[構成を保存] をクリックします。オンプレミス ルーターで BGP を構成するまで、BGP セッションは非アクティブ状態になります。

  18. [ VPN ゲートウェイの作成] ページで、VLAN アタッチメントの HA VPN を構成して(Cloud Interconnect デプロイメントを介した HA VPN の構成」を参照)、Cloud Interconnect を介した HA VPN のデプロイを完了し、[作成して続行] をクリックします。

  19. [VPN トンネルの作成] ページで、HA VPN ゲートウェイごとに 2 つの VPN トンネル(各インターフェースに 1 つのトンネル)を作成します。VPN トンネルのピア側をピア VPN ゲートウェイの対応インターフェースとして指定し、[作成して続行] をクリックします。

  20. [VPN ルーターの構成] ページで、[BGP セッションを構成] をクリックして、HA VPN トンネルごとに Cloud Router に BGP セッションを設定します(カスタム学習ルートの指定と管理を参照)。

gcloud

  1. Cloud Interconnect 用に暗号化された Cloud Router を作成します。

    オンプレミス ネットワークから接続するネットワークとリージョンに Cloud Router を作成します。Cloud Interconnect を介した HA VPN のデプロイメントで使用するこのルーターを識別するには、--encrypted-interconnect-router フラグを指定します。Cloud Router には、BGP ASN として 16550 が必要です。または、任意のプライベート ASN(64512-65535 または 4200000000-4294967294)を使用できます。

    次の例では、リージョン us-central1 に ASN が 65001interconnect-router という名前のルーターを作成します。

     gcloud compute routers create interconnect-router \
    --region us-central1 \
    --network network-a \
    --asn 65001 \
    --encrypted-interconnect-router

  2. 省略可: プレフィックスの長さが 2629 のリージョン内部 IPv4 範囲を予約します。

    プレフィックスの長さによって、VPN ゲートウェイ インターフェースで使用可能な IPv4 アドレスの数が決まります。予約する必要のある IPv4 アドレスの数は、関連する VLAN アタッチメントの容量によって異なります。

    たとえば、10 Gbps の容量を持つ最初の VLAN アタッチメントの範囲を予約するには、次のようにします。

     gcloud compute addresses create ip-range-1 \
    --region us-central1 \
    --addresses=192.168.1.0 \
    --prefix-length=29 \
    --network=network-a \
    --purpose=IPSEC_INTERCONNECT

    2 番目の VLAN アタッチメントのアドレス範囲を予約するには:

    gcloud compute addresses create ip-range-2 \
   --region us-central1 \
   --addresses=192.168.2.0 \
   --prefix-length=29 \
   --network=network-a \
   --purpose=IPSEC_INTERCONNECT

    リージョン内部アドレスの予約の詳細については、HA VPN ゲートウェイに内部 IP アドレス範囲を割り当てるをご覧ください。

  3. 最初の接続と暗号化された Cloud Router の名前を指定して、暗号化された最初の VLAN アタッチメントを作成します。

    次の例では、リージョン us-central1 の暗号化された Cloud Router interconnect-router に接続する接続 my-interconnect-ead-1 に、暗号化されたアタッチメントを作成します。このコマンドでは、リージョン内部 IPv4 アドレス範囲 ip-range-1 も指定します。この範囲は、このアタッチメントに作成されるすべての HA VPN トンネル インターフェースに使用されます。

    gcloud compute interconnects attachments dedicated create ha-vpn-attachment-1 \
    --region us-central1 \
    --router interconnect-router \
    --interconnect my-interconnect-ead-1 \
    --bandwidth=10g \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1

    アタッチメントの HA VPN ゲートウェイ インターフェースにリージョン外部 IPv4 アドレスを使用する場合は、--ipsec-internal-addresses フラグを省略します。すべての HA VPN ゲートウェイ インターフェースに、リージョン外部 IPv4 アドレスが自動的に割り当てられます。

    gcloud compute interconnects attachments dedicated create my-attachment-1 \
    --region us-central1 \
    --router interconnect-router \
    --interconnect my-interconnect-ead-1 \
    --bandwidth=10g \
    --encryption IPSEC

    暗号化された VLAN アタッチメントを含むカスタム MTU(--mtu)を設定することはできません。暗号化された VLAN アタッチメントはすべて、デフォルト値の 1,440 バイトの MTU を使用する必要があります。

    また、Cloud Interconnect 経由で HA VPN にデュアル スタック VLAN アタッチメントを作成することはできません。暗号化された VLAN アタッチメントでサポートされるスタックタイプ(--stack-type)は IPV4_ONLY のみです。

  4. 2 番目の Cloud Interconnect 接続の名前と、Cloud Interconnect 用の Cloud Router の名前を指定して、暗号化された 2 つ目の VLAN アタッチメントを作成します。

    次の例では、リージョン us-central1 の暗号化された Cloud Router interconnect-router に接続する Dedicated Interconnect 接続 my-interconnect-ead-2 に、暗号化されたアタッチメントを作成します。このコマンドでは、リージョン内部 IPv4 アドレス範囲 ip-range-2 も指定します。これは、このアタッチメントに作成されるすべての HA VPN ゲートウェイ インターフェースに使用されます。

    gcloud compute interconnects attachments dedicated create my-attachment-2 \
    --region us-central1 \
    --router interconnect-router \
    --interconnect my-interconnect-ead-2 \
    --bandwidth=10g \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2

    2 番目の VLAN アタッチメントを作成するときに、最初のアタッチメントの作成時に使用したのと同じタイプの IPv4 アドレス指定スキーム(内部または外部)を指定します。最初のアタッチメントに内部アドレス範囲を指定した場合は、予約済みの別の内部 IPv4 アドレス範囲を指定します。

  5. 次の例に示すように、アタッチメントに対して describe コマンドを実行し、アタッチメントによって割り当てられたリソース(VLAN ID、BGP ピアリング IPv4 アドレスなど)を取得します。これらの値を使用して、Cloud Router とオンプレミス ルーターを構成します。

    最初の VLAN アタッチメント:

    gcloud compute interconnects attachments describe my-attachment-1 \
  --region us-central1

    出力:

    adminEnabled: true
bandwidth: BGP_10G
cloudRouterIpAddress: 169.254.61.89/29
creationTimestamp: '2022-05-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.61.90/29
dataplaneVersion: 2
encryption: IPSEC
id: '2973197662755397267'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-1
kind: compute#interconnectAttachment
name: my-attachment-1
operationalStatus: OS_ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-1
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    2 番目の VLAN アタッチメント:

    gcloud compute interconnects attachments describe my-attachment-2 \
   --region us-central1

    出力:

    adminEnabled: true
bandwidth: BGP_10G
cloudRouterIpAddress: 169.254.116.185/29
creationTimestamp: '2022-05-22T10:31:40.829-07:00'
customerRouterIpAddress: 169.254.116.186/29
dataplaneVersion: 2
encryption: IPSEC
id: '2973197662755397269'
interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-2
kind: compute#interconnectAttachment
name: my-attachment-2
operationalStatus: OS_ACTIVE
privateInterconnectInfo:
  tag8021q: 1000
region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-2
stackType: IPV4_ONLY
state: ACTIVE
type: DEDICATED
vlanTag8021q: 1000

    • VLAN タグ(1000)は、このアタッチメントを通過するトラフィックを識別します。オンプレミス ルーターでタグ VLAN サブインターフェースを構成するには、この値が必要です。
    • Cloud Router の IPv4 アドレス(169.254.61.89/29169.254.116.185/29)はリンクローカル IPv4 アドレスです。これらのアタッチメントに Cloud Router インターフェースを作成すると、これらの IPv4 アドレスがインターフェースに使用されます。オンプレミス ルーターの BGP ネイバーに同じアドレスを使用します。
    • ユーザーのルーターの IPv4 アドレス(169.254.61.90/29169.254.116.186/29)もリンクローカル IPv4 アドレスです。Cloud Router で、Cloud Router のアドレスが割り当てられているインターフェースを使用して、2 つの BGP ピアを構成します。これらのアドレスは、オンプレミス ルーターの VLAN サブインターフェースに割り当てます。

  6. Cloud Router に 2 つのインターフェースを追加します。

    各インターフェースはいずれかの VLAN アタッチメントに接続します。インターフェース IP アドレスは、アタッチメントの cloudRouterIpAddress を使用して自動的に構成されます。

    gcloud compute routers add-interface interconnect-router \
    --region us-central1 \
    --interface-name interconnect-router-int-1 \
    --interconnect-attachment my-attachment-1

    gcloud compute routers add-interface interconnect-router \
    --region us-central1 \
    --interface-name interconnect-router-int-2 \
    --interconnect-attachment my-attachment-2

  7. インターフェースに BGP ピアを追加します。

    ピア ASN 値には、オンプレミス ルーターで構成するのと同じ番号を使用します。ピア IPv4 アドレスは、アタッチメントの customerRouterIpAddress を使用して自動的に構成されます。

    gcloud compute routers add-bgp-peer my-router \
   --interface interconnect-router-int-1 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect-1 \
   --peer-asn 65201

    基本優先度値を指定するには、--advertised-route-priority フラグを使用します。Cloud Router は、この値を使用して、このセッションでアドバタイズするすべてのルートのルート指標を計算します。詳細については、Cloud Router のドキュメントのアドバタイズされたプレフィックスと優先度をご覧ください。

    カスタム学習ルートを構成する場合は、--set-custom-learned-route-ranges フラグを使用します。必要に応じて、--custom-learned-route-priority フラグを使用して、ルートの優先度を 065535 (両端を含む)の範囲で設定できます。各 BGP セッションには、セッションに構成したすべてのカスタム学習ルートに適用される優先度値が 1 つあります。この機能を使用すると、Cloud Router は BGP ピアからこれらのルートを学習したかのように動作します。詳細については、カスタム学習ルートをご覧ください。

    gcloud compute routers add-bgp-peer my-router \
   --interface interconnect-router-int-1 \
   --region us-central1 \
   --peer-name bgp-for-my-interconnect-1 \
   --peer-asn 65201 \
   --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
   --custom-learned-route-priority 200

    MD5 認証を使用する場合は、md5-authentication-key フラグを追加します。この機能の詳細については、MD5 認証の使用をご覧ください。

    Bidirectional Forwarding Detection(BFD)を有効にしないでください。Cloud Interconnect レベルで BFD を有効にしても、HA VPN トンネル トラフィックの障害検出は速くなりません。

  8. VLAN アタッチメントの HA VPN を構成して、Cloud Interconnect を介した HA VPN デプロイを完了します。

    Cloud Interconnect を介した HA VPN の構成をご覧ください。

Dedicated Interconnect の使用の制限

デフォルトでは、どの VPC ネットワークでも Cloud Interconnect を使用できます。Cloud Interconnect を使用できる VPC ネットワークを制御するには、組織のポリシーを設定します。詳細については、Cloud Interconnect の使用を制限するをご覧ください。

次のステップ

前へ
接続をテストする
次へ
オンプレミス ルーターの構成