HA VPN ゲートウェイに内部 IP アドレス範囲を割り当てる

Cloud Interconnect を介した HA VPN をデプロイする場合、HA VPN ゲートウェイ インターフェースにリージョン内部 IP アドレスを使用するか、リージョン外部 IP アドレスを使用するかを選択できます。VPN トンネルに外部 IP アドレスを使用する必要がある場合(別のクラウド プロバイダに接続する場合など)を除き、Cloud Interconnect を介した HA VPN にはリージョン内部 IP アドレスを使用することをおすすめします。

リージョン内部 IP アドレス(RFC 1918 のみ)を使用する場合は、VLAN アタッチメントにプライベート IPv4 アドレス範囲を予約する必要があります。その範囲の IP アドレスは、HA VPN ゲートウェイ インターフェースにのみ使用されます。HA VPN は、これらの IP アドレスを使用して 1 つ以上のピア VPN ゲートウェイと通信します。

リージョン内部 IP アドレスを使用するように VLAN アタッチメントを構成しない場合、アドレスプールから 2 つのリージョン外部 IP アドレスが選択され、各インターフェースに割り振られます。

リージョン内部 IP アドレスと外部 IP アドレスのどちらを選択した場合でも、Cloud Interconnect を介した HA VPN のパケットは公共のインターネットを通過しません。

Cloud Router BGP インターフェースの IP アドレスの要件は、Cloud Interconnect を使用しない HA VPN デプロイメントで使用されているアドレスの要件と同じです。BGP インターフェースには、169.254.0.0/16 アドレス空間のリンクローカル IPv4 アドレスを割り当てる必要があります。

プレフィックスの長さと HA VPN ゲートウェイ インターフェース

リージョン内部 IPv4 アドレス範囲を予約する場合は、プレフィックスの長さを構成します。プレフィックスの長さによって範囲のサイズが決まります。Cloud Interconnect を介した HA VPN の場合、この構成により、HA VPN ゲートウェイ インターフェースで使用可能なリージョン内部 IP アドレスの数が決まります。

プレフィックスの長さ(--prefix-length)は 26~29 の範囲で設定する必要があります。この範囲のサイズは後で変更できません。

プレフィックスの長さを指定する際は、アタッチメントの容量と一致するプレフィックスの長さを選択してください。後で必要になったときに追加の HA VPN ゲートウェイに対応できるように、VLAN アタッチメントに十分な範囲を予約します。

VLAN アタッチメントの容量 HA VPN ゲートウェイ インターフェースに予約する必要がある IP アドレスの最小数 使用するプレフィックスの長さ
2 Gbps 以下 1 /29
5 Gbps 2 /29
10 Gbps 4 /29
20 Gbps 7 /28
50 Gbps 17 /26

考慮事項

HA VPN ゲートウェイにリージョン内部 IP アドレスを予約する場合は、次の点に注意してください。

  • 同じ Virtual Private Cloud(VPC)ネットワーク内の異なる予約範囲を重複させることはできません。
  • 予約範囲は、同じ仮想ネットワーク内の仮想マシン(VM)インスタンスに使用されるサブネットと重複することはできません。
  • --purpose=IPSEC_INTERCONNECT を使用して内部 IP アドレス範囲を予約する場合は、範囲のプレフィックス長を 26~29 にする必要があります。
  • Dedicated Interconnect を使用する場合、プレフィックスの長さが VLAN アタッチメントの帯域幅と一致しないアドレス範囲を適用すると、エラーが発生します。
  • VLAN アタッチメントごとに指定できる内部 IP アドレス範囲は 1 つのみです。
  • Cloud Interconnect を介した HA VPN デプロイメントの 1 つの VLAN アタッチメントにリージョン内部 IP アドレスを割り当てる場合は、デプロイメント内の他の VLAN アタッチメントにも同じ内部 IP アドレスを使用する必要があります。他の VLAN アタッチメントでリージョン外部 IP アドレスを使用できません。

リージョン内部 IP 範囲を予約する

これらの IP アドレス範囲は、HA VPN ゲートウェイに IP アドレスを割り振るために使用されます。

コンソール

暗号化された VLAN アタッチメントを作成するときに、内部 IP 範囲を作成することもできます。

[VLAN アタッチメントを作成] ページで、[内部リージョン IP アドレス] を選択します。

gcloud

リージョン内部 IP アドレス範囲を予約するには、次のコマンドを使用します。

gcloud compute addresses create ADDRESS_NAME \
   --region REGION \
   --addresses=IP_ADDRESS \
   --prefix-length=PREFIX_LENGTH \
   --network=NETWORK_NAME \
   --purpose=IPSEC_INTERCONNECT

次のように置き換えます。

  • ADDRESS_NAME: リージョン内部 IP アドレス範囲の名前。
  • REGION: VLAN アタッチメントと HA VPN ゲートウェイを作成するリージョン。
  • IP_ADDRESS: 予約する RFC 1918 内部 IP アドレス範囲の最初の IP アドレス。
  • PREFIX_LENGTH: アタッチメントの容量に対応する 2629 までの CIDR プレフィックスの長さ。プレフィックス長と HA VPN ゲートウェイ インターフェースをご覧ください。
  • NETWORK_NAME: VPC ネットワークの名前。

たとえば、プレフィックスの長さが 29 の 2 つのリージョン内部 IP アドレス範囲を予約するには、次のコマンドを使用します。

gcloud compute addresses create ip-range-1 \
  --region us-central1 \
  --addresses=192.168.1.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT
gcloud compute addresses create ip-range-2 \
  --region us-central1 \
  --addresses=192.168.2.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT

出力例:

Created [https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-1].
NAME          REGION       NETWORK
ip-range-1    us-central1  network-a

Created https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-2].
NAME          REGION       NETWORK
ip-range-2    us-central1  network-a

次のステップ