Cloud Interconnect を介した HA VPN をデプロイする場合、HA VPN ゲートウェイ インターフェースにリージョン内部 IP アドレスを使用するか、リージョン外部 IP アドレスを使用するかを選択できます。VPN トンネルに外部 IP アドレスを使用する必要がある場合(別のクラウド プロバイダに接続する場合など)を除き、Cloud Interconnect を介した HA VPN にはリージョン内部 IP アドレスを使用することをおすすめします。
リージョン内部 IP アドレス(RFC 1918 のみ)を使用する場合は、VLAN アタッチメントにプライベート IPv4 アドレス範囲を予約する必要があります。その範囲の IP アドレスは、HA VPN ゲートウェイ インターフェースにのみ使用されます。HA VPN は、これらの IP アドレスを使用して 1 つ以上のピア VPN ゲートウェイと通信します。
リージョン内部 IP アドレスを使用するように VLAN アタッチメントを構成しない場合、アドレスプールから 2 つのリージョン外部 IP アドレスが選択され、各インターフェースに割り振られます。
リージョン内部 IP アドレスと外部 IP アドレスのどちらを選択した場合でも、Cloud Interconnect を介した HA VPN のパケットは公共のインターネットを通過しません。
Cloud Router BGP インターフェースの IP アドレスの要件は、Cloud Interconnect を使用しない HA VPN デプロイメントで使用されているアドレスの要件と同じです。BGP インターフェースには、169.254.0.0/16
アドレス空間のリンクローカル IPv4 アドレスを割り当てる必要があります。
プレフィックスの長さと HA VPN ゲートウェイ インターフェース
リージョン内部 IPv4 アドレス範囲を予約する場合は、プレフィックスの長さを構成します。プレフィックスの長さによって、予約済み範囲のサイズが決まります。Cloud Interconnect を介した HA VPN の場合、この構成により、HA VPN ゲートウェイ インターフェースで使用可能なリージョン内部 IP アドレスの数が決まります。
プレフィックスの長さ(--prefix-length
)は 26 ~ 30 の範囲で設定する必要があります。この範囲のサイズは後で変更できません。
プレフィックスの長さを指定する際は、アタッチメントの容量と一致するプレフィックスの長さを選択してください。後で必要になったときに追加の HA VPN ゲートウェイに対応できるように、VLAN アタッチメントに十分な範囲を予約します。
VLAN アタッチメントの容量 | HA VPN ゲートウェイ インターフェースに予約する必要がある IP アドレスの最小数 | 使用するプレフィックスの長さ |
---|---|---|
2 Gbps 以下 | 1 | /29 |
5 Gbps | 2 | /29 |
10 Gbps | 4 | /29 |
20 Gbps | 7 | /28 |
50 Gbps | 17 | /26 |
考慮事項
HA VPN ゲートウェイにリージョン内部 IP アドレスを予約する場合は、次の点に注意してください。
- 同じ Virtual Private Cloud(VPC)ネットワーク内の異なる予約範囲を重複させることはできません。
- 予約範囲は、同じ仮想ネットワーク内の仮想マシン(VM)インスタンスに使用されるサブネットと重複することはできません。
--purpose=IPSEC_INTERCONNECT
を使用して内部 IP アドレス範囲を予約する場合は、範囲のプレフィックス長を 26~29 にする必要があります。- Dedicated Interconnect を使用する場合、プレフィックスの長さが VLAN アタッチメントの帯域幅と一致しないアドレス範囲を適用すると、エラーが発生します。
- VLAN アタッチメントごとに指定できる内部 IP アドレス範囲は 1 つのみです。
- Cloud Interconnect を介した HA VPN デプロイメントの 1 つの VLAN アタッチメントにリージョン内部 IP アドレスを割り当てる場合は、デプロイメント内の他の VLAN アタッチメントにも同じ内部 IP アドレスを使用する必要があります。他の VLAN アタッチメントでリージョン外部 IP アドレスを使用できません。
リージョン内部 IP 範囲を予約する
これらの IP アドレス範囲は、HA VPN ゲートウェイに IP アドレスを割り振るために使用されます。
コンソール
暗号化された VLAN アタッチメントを作成するときに、内部 IP 範囲を作成することもできます。
[VLAN アタッチメントを作成] ページで、[内部リージョン IP アドレス] を選択します。
Dedicated Interconnect 用に暗号化された VLAN アタッチメントを作成するには、暗号化された VLAN アタッチメントを作成するをご覧ください。
Partner Interconnect 用に暗号化された VLAN アタッチメントを作成するには、暗号化された VLAN アタッチメントを作成するをご覧ください。
gcloud
リージョン内部 IP アドレス範囲を予約するには、次のコマンドを使用します。
gcloud compute addresses create ADDRESS_NAME \ --region REGION \ --addresses=IP_ADDRESS \ --prefix-length=PREFIX_LENGTH \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
次のように置き換えます。
ADDRESS_NAME
: リージョン内部 IP アドレス範囲の名前。REGION
: VLAN アタッチメントと HA VPN ゲートウェイを作成するリージョン。IP_ADDRESS
: 予約する RFC 1918 内部 IP アドレス範囲の最初の IP アドレス。PREFIX_LENGTH
: アタッチメントの容量に対応する26
~29
までの CIDR プレフィックスの長さ。プレフィックス長と HA VPN ゲートウェイ インターフェースをご覧ください。NETWORK_NAME
: VPC ネットワークの名前。
たとえば、プレフィックスの長さが 29
の 2 つのリージョン内部 IP アドレス範囲を予約するには、次のコマンドを使用します。
gcloud compute addresses create ip-range-1 \ --region us-central1 \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
gcloud compute addresses create ip-range-2 \ --region us-central1 \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=network-a \ --purpose=IPSEC_INTERCONNECT
出力例:
Created [https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-1]. NAME REGION NETWORK ip-range-1 us-central1 network-a
Created https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/addresses/ip-range-2]. NAME REGION NETWORK ip-range-2 us-central1 network-a
次のステップ
Cloud Interconnect の接続タイプを選択するには、ネットワーク接続プロダクトの選択をご覧ください。
Cloud Interconnect の計画と構成を行う際のベスト プラクティスについては、ベスト プラクティスをご覧ください。