このページでは、Google Cloud VPN に関連するコンセプトについて説明します。Cloud VPN のドキュメントで使用される用語の定義については、主な用語をご覧ください。
Cloud VPN は、IPsec VPN 接続を使用してピア ネットワークを Virtual Private Cloud(VPC)ネットワークへ安全に接続します。2 つのネットワーク間のトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。Cloud VPN の 2 つのインスタンスを相互に接続することもできます。
ハイブリッド ネットワーク ソリューションの選択
Google Cloud へのハイブリッド ネットワーク接続として Cloud VPN、Dedicated Interconnect、Partner Interconnect、Cloud Router のどれを使用するかを判断するには、Network Connectivity プロダクトの選択をご覧ください。
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Cloud VPN のパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
Cloud VPN の無料トライアルIPsec 暗号化と、公共のインターネットを通過しない接続が必要な場合は、Cloud Interconnect を介した HA VPN をデプロイします。
Cloud VPN のタイプ
Google Cloud には、HA VPN と Classic VPN の 2 種類の Cloud VPN ゲートウェイがあります。ただし、Classic VPN の特定の機能が非推奨になりました。詳細については、Classic VPN の部分的な非推奨をご覧ください。
HA VPN への移行については、HA VPN に移行するをご覧ください。
HA VPN
HA VPN は、単一リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを VPC ネットワークに安全に接続できる、高可用性(HA)Cloud VPN ソリューションです。HA VPN は 99.99% のサービス可用性の SLA を提供します。
HA VPN ゲートウェイを作成すると、Google Cloud は 2 つのインターフェースの定数ごとに 1 つずつ、2 つの外部 IPv4 アドレスを自動的に選択します。各 IPv4 アドレスは、高可用性をサポートするために、一意のアドレスプールから自動的に選択されます。各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。HA VPN ゲートウェイを削除すると、Google Cloud はこうした IP アドレスを開放して再利用できるようにします。アクティブ インターフェース 1 つと外部 IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成できますが、この構成では 99.99% のサービス可用性 SLA は提供されません。
HA VPN を使用するオプションの一つとして、Cloud Interconnect を介した HA VPN をデプロイする方法があります。Cloud Interconnect を介した HA VPN では、Cloud VPN による IPsec 暗号化の利点を生かしながら、接続容量の大きい Cloud Interconnect をデプロイできます。また、Cloud Interconnect を使用しているため、ネットワーク トラフィックを公共のインターネットを経由させる必要はありません。データの暗号化やその他のコンプライアンス要件を満たすには、Cloud Interconnect トラフィックに IPsec 暗号化を追加することが重要となります。特に、サードパーティのサービス プロバイダに接続する必要がある場合は欠かせない要素となります(これは Partner Interconnect の要件です)。
HA VPN ゲートウェイは、API ドキュメントと gcloud コマンドでは、ターゲット VPN ゲートウェイではなく、VPN ゲートウェイと呼ばれます。HA VPN ゲートウェイの転送ルールを作成する必要はありません。
HA VPN は、Google Cloud の外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイやゲートウェイに関する情報を Google Cloud に提供します。
HA VPN の要件
HA VPN のサービスレベル可用性を 99.99% にするには、Cloud VPN の構成は次の要件を満たす必要があります。
HA VPN ゲートウェイをピア ゲートウェイに接続すると、Google Cloud 側の接続のみ 99.99% の可用性が保証されます。エンドツーエンドでの可用性は、ピア VPN ゲートウェイの適切な構成が条件となります。
両側が Google Cloud ゲートウェイで適切に構成されている場合、99.99% の可用性が保証されます。
両方の VPN ゲートウェイが VPC ネットワーク内にある場合に高可用性を実現するには、2 つの HA VPN ゲートウェイを使用し、その両方を同じリージョンに配置する必要があります。
両方のゲートウェイを同じリージョンに配置する必要がある場合でも、VPC ネットワークがグローバル ダイナミック ルーティング モードを使用していれば、ゲートウェイが相互に共有するサブネットへのルートは、どのリージョンでも配置できます。VPC ネットワークでリージョン動的ルーティング モードが使用されている場合、同じリージョン内のサブネットへのルートのみがピア ネットワークと共有されます。学習したルートは、VPN トンネルと同じリージョン内のサブネットにのみ適用されます。
詳細については、動的ルーティング モードをご覧ください。
HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続する場合は、これらのゲートウェイで同一の IP スタックタイプを使用する必要があります。たとえば、スタックタイプが
IPV4_IPV6の HA VPN ゲートウェイを作成する場合は、もう一方の HA VPN ゲートウェイもIPV4_IPV6に設定する必要があります。HA VPN は、外部 VPN ゲートウェイ リソースで構成された Google Cloud IP アドレスを拒否します。たとえば、外部 VPN ゲートウェイ リソースの外部 IP アドレスとして VM インスタンスの外部 IP アドレスを使用します。両側で HA VPN が使用されている場合にのみ、Google Cloud ネットワーク間の HA VPN トポロジがサポートされます。詳細については、Google Cloud ネットワーク間の HA VPN の作成をご覧ください。
Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成します。
- ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
- 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
- 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。冗長ハードウェア構成の詳細はデバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれている場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。
ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。
ピア VPN ゲートウェイ デバイスは、動的(BGP)ルーティングをサポートする必要があります。
次の図は、トポロジに 2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含む HA VPN のコンセプトを示しています。より詳細な HA VPN トポロジ(構成シナリオ)については、Cloud VPN トポロジをご覧ください。
Classic VPN
HA VPN の導入前に作成された Cloud VPN ゲートウェイはすべて、Classic VPN ゲートウェイとみなされます。Classic VPN から HA VPN に移行するには、詳しい手順をご覧ください。
HA VPN と比べると、Classic VPN ゲートウェイには 1 つのインターフェースと 1 つの外部 IP アドレスがあり、静的ルーティング(ポリシーベースまたはルートベース)を使用するトンネルがサポートされます。Classic VPN の動的ルーティング(BGP)を構成することもできますが、その対象は Google Cloud VM インスタンスで実行されているサードパーティ VPN ゲートウェイ ソフトウェアに接続するトンネルのみです。
Classic VPN ゲートウェイは 99.9% のサービス可用性の SLA を提供します。
Classic VPN ゲートウェイは IPv6 をサポートしていません。
サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。
API ドキュメントと Google Cloud CLI では、Classic VPN はターゲット VPN ゲートウェイと表記されています。
比較表
次の表に、HA VPN の機能と Classic VPN の機能の比較を示します。
| 機能 | HA VPN | Classic VPN |
|---|---|---|
| SLA | 2 つのインターフェースと 2 つの外部 IP アドレスで構成されている場合は、99.99% の SLA を提供します。 | 99.9% の SLA を提供します。 |
| 外部 IP アドレスと転送ルールの作成 | プールから作成された外部 IP アドレス。転送ルールは必要ありません。 | 外部 IP アドレスと転送ルールを作成する必要があります。 |
| サポートされているルーティング オプション | 動的ルーティング(BGP)のみ。 | 静的ルーティング(ポリシーベース、ルートベース)。動的ルーティングは、Google Cloud VM インスタンスで実行されているサードパーティ VPN ゲートウェイ ソフトウェアに接続するトンネルでのみサポートされます。 |
| 1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル | サポート対象 | サポート対象外 |
| API リソース | vpn-gateway リソースともいいます。 |
target-vpn-gateway リソースともいいます。 |
| IPv6 トラフィック | サポート対象(デュアル スタックの IPv4 および IPv6 構成) | サポート対象外 |
仕様
Cloud VPN の仕様は次のとおりです。
Cloud VPN では、このセクションに記載されている要件に従って、サイト間の IPsec VPN 接続のみがサポートされます。クライアントからゲートウェイへの接続はサポートされていません。つまり、クライアント PC がクライアント VPN ソフトウェアを使用して VPN にダイヤルインするユースケースはサポートされていません。
クラウド VPN は IPsec のみをサポートします。他の VPN テクノロジー(SSL VPN など)はサポートされていません。
Cloud VPN は、VPC ネットワークとレガシー ネットワークで使用できます。VPC ネットワークの場合、カスタムモードの VPC ネットワークをおすすめします。これにより、ネットワーク内のサブネットで使用される IP アドレス範囲を完全に制御できます。
Classic VPN ゲートウェイと HA VPN ゲートウェイでは、外部の(インターネット ルーティング可能な)IPv4 アドレスを使用します。これらのアドレスに許可されるのは ESP、UDP 500、UDP 4500 のトラフィックのみです。これは、Classic VPN 用に構成した Cloud VPN アドレス、または HA VPN 用に自動的に割り振られた IP アドレスに適用されます。
VPC ネットワーク内のサブネットで使用される IP アドレスとオンプレミス サブネットの IP アドレス範囲が重複する場合は、ルートの順序を参照して、ルーティング競合の解決方法を確認してください。
次の Cloud VPN トラフィックは Google の本番環境ネットワーク内に残ります。
- 2 つの HA VPN ゲートウェイ間
- 2 つの Classic VPN ゲートウェイ間
- Classic VPN ゲートウェイと、VPN ゲートウェイとして機能する Compute Engine VM の外部 IP アドレスの間
Cloud VPN は、オンプレミス ホストの限定公開の Google アクセスで使用できます。詳細については、サービスのプライベート アクセス オプションをご覧ください。
各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたは、ピア VPN ゲートウェイに接続されます。
ピア VPN ゲートウェイには静的外部(インターネット ルーティング可能な)IPv4 アドレスが必要です。Cloud VPN を構成するには、この IP アドレスが必要です。
- ピア VPN ゲートウェイがファイアウォール ルールの内側にある場合は、ESP(IPsec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォール ルールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。
Cloud VPN では、事前分割をサポートするようピア VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。
Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。
Cloud VPN は GRE トラフィックをサポートします。GRE のサポートにより、インターネット(外部 IP アドレス)と Cloud VPN または Cloud Interconnect(内部 IP アドレス)から VM への GRE トラフィックを終了できます。カプセル化解除されたトラフィックは到達可能な宛先に転送できます。GRE を使用すると、セキュア アクセス サービスエッジ(SASE)や SD-WAN などのサービスを使用できます。GRE トラフィックを許可するには、ファイアウォール ルールを作成する必要があります。
HA VPN トンネルは IPv6 トラフィックの交換をサポートしていますが、Classic VPN トンネルはサポートしていません。
ネットワーク帯域幅
各 Cloud VPN トンネルでは、上り(内向き)と下り(外向き)のトラフィック合わせて、1 秒あたり最大 250,000 パケットをサポートします。トンネルの平均パケットサイズに応じて、1 秒あたり 250,000 パケットは 1 Gbps ~ 3 Gbps の帯域幅に相当します。
この上限に関連する指標は Sent bytes と Received bytes です。詳しくは、ログと指標を表示するをご覧ください。指標の単位はバイトで、3 Gbps の上限は 1 秒あたりのビット数を表します。バイト数に変換した場合、上限は 375 MB/秒(MBps)になります。上限に対する使用量を測定する場合は、Sent bytes と Received bytes の合計値を変換後の上限(375 MBps)と比較します。
アラート ポリシーを作成する方法については、VPN トンネル帯域幅にアラートを定義するをご覧ください。
VPN トンネルの使用率の Recommender の使用方法については、VPN トンネルの過剰使用を確認するをご覧ください。
帯域幅に影響する要因
実際の帯域幅は次の要因によって決まります。
Cloud VPN ゲートウェイとピア ゲートウェイ間のネットワーク接続:
2 つのゲートウェイ間のネットワーク帯域幅。Google とのダイレクト ピアリングの関係が確立していれば、VPN トラフィックが公共のインターネット経由で送信される場合よりもスループットが高くなります。
ラウンド トリップ時間(RTT)とパケットロス。RTT やパケットロス率が高いと、TCP のパフォーマンスが大幅に低下します。
ピア VPN ゲートウェイの機能。詳細については、デバイスのドキュメントをご覧ください。
パケットサイズ。Cloud VPN で使用される Maximum Transmission Unit(MTU)は 1,460 バイトです。ピア VPN ゲートウェイは、1,460 バイト以下の MTU を使用するように構成してください。パケット単位で処理が発生するため、特定のパケットレートで小さなパケットが多いと全体的なスループットが低下します。ESP オーバーヘッドを考慮すると、VPN トンネル経由でトラフィックを送信しているシステムの MTU 値を MTU トンネルより低い値に設定する必要があります。詳しい説明と推奨事項については、MTU に関する考慮事項をご覧ください。
パケットレート。上りと下りの場合、各 Cloud VPN トンネルの推奨最大パケットレートは 1 秒あたり 250,000 パケット(pps)です。パケットを高速で送信する必要がある場合は、さらに VPN トンネルを作成する必要があります。
VPN トンネルの TCP 帯域幅を測定する際には、複数の TCP ストリームを同時に測定する必要があります。iperf ツールを使用している場合は、-P パラメータを使用して同時ストリームの数を指定します。
トンネル MTU
Cloud VPN では常に 1,460 バイトの MTU が使用されます。トンネルの片側の VM とネットワークで MTU が高い場合、Cloud VPN は MSS クランプを使用して TCP MTU を 1460 に減らします。VPN ゲートウェイは、パス MTU 検出(PMTUD)を有効にするため、ICMP エラー メッセージを使用して UDP パケットに低い MTU を設定する場合もあります。
UDP パケットがドロップされた場合、トンネル全体で通信を行う特定の VM の MTU を減らすことができます。Windows VM とユーザー提供イメージの場合は、MTU を低く設定します。Google が提供する Linux イメージの場合、これらの VM の DHCP MTU の更新も無効にする必要があります。
IPv6 サポート
Cloud VPN は HA VPN で IPv6 をサポートしていますが、Classic VPN ではサポートしていません。
IPv6 対応 VPC ネットワークと他の IPv6 対応ネットワークを接続する HA VPN ゲートウェイとトンネルを作成できます。これらのネットワークは、オンプレミス ネットワーク、マルチクラウド ネットワーク、または他の VPC ネットワークです。HA VPN トンネルで IPv6 トラフィックを転送するには、IPv6 対応の VPC ネットワークにデュアル スタックのサブネットを含める必要があります。また、サブネットに内部 IPv6 範囲を割り当てる必要があります。
IPv6 対応 HA VPN ゲートウェイの VPN トンネルを作成する場合は、BGP セッションで IPv6 プレフィックス交換を有効にするように、関連する Cloud Router も構成する必要があります。Cloud Router はマルチプロトコル BGP(MP-BGP)を使用し、BGP IPv4 アドレス経由で IPv6 プレフィックスをアドバタイズします。IPv6 接頭辞をアドバタイズするには、Cloud Router の BGP セッションで IPv6 ネクストホップ アドレスの構成が必要です。BGP セッションの IPv6 ネクストホップ アドレスは、自動または手動で構成できます。
IPv6 のネクストホップ アドレスを手動で構成する場合は、2600:2d00:0:2::/64 または 2600:2d00:0:3::/64 の範囲からアドレスを選択する必要があります。これらの範囲は Google によって事前に割り当てられています。指定する IPv6 ネクストホップ アドレスは、VPC ネットワークのすべてのリージョンのすべての Cloud Router 間で一意にする必要があります。
自動構成を選択すると、Google Cloud は 2600:2d00:0:2::/64 または 2600:2d00:0:3::/64 の範囲から IPv6 ネクストホップ アドレスを作成します。
BGP セッションでは IPv6 プレフィックスを交換できますが、Cloud Router の BGP ピアと BGP ピアには、自動または手動で IPv4 アドレスを割り当てる必要があります。IPv6 専用 BGP セッションはサポートされていません。IPv6 サポートの詳細については、Cloud Router についてをご覧ください。
IPsec と IKE のサポート
Cloud VPN は、IKE 事前共有キー(共有シークレット)と IKE 暗号を使用した IKEv1 と IKEv2 をサポートしています。Cloud VPN の認証では、事前共有キーのみがサポートされます。Cloud VPN トンネルを作成する場合は、事前共有キーを指定します。ピア ゲートウェイでトンネルを作成する場合は、同じ事前共有キーを指定します。
Cloud VPN は、認証でトンネルモードの ESP をサポートしますが、AH またはトランスポート モードの ESP はサポートしません。
HA VPN で IPv6 トラフィックを有効にするには、IKEv2 を使用する必要があります。
Cloud VPN では、受信する認証パケットに対するポリシー関連のフィルタリングは行われません。送信するパケットは、Cloud VPN ゲートウェイで構成されている IP 範囲に基づいてフィルタリングされます。
強力な事前共有キーを作成するためのガイドラインについては、強力な事前共有キーの生成をご覧ください。Cloud VPN でサポートされる暗号や構成パラメータを確認するには、サポートされている IKE の暗号をご覧ください。
UDP カプセル化と NAT-T
Cloud VPN で NAT-Traversal(NAT-T)をサポートするようピアデバイスを構成する方法については、「高度な概要」の UDP カプセル化をご覧ください。
データ転送ネットワークとしての Cloud VPN
Cloud VPN を使用する前に、Google Cloud の一般利用規約の第 2 条をよくお読みください。
Network Connectivity Center を使用すると、HA VPN トンネルを使用して、オンプレミス ネットワークを相互接続し、データ転送ネットワークとしてトラフィックを受け渡すことができます。オンプレミスのロケーションごとにトンネルのペアを使用して Network Connectivity Center のスポークに接続し、ネットワークに接続します。各スポークをネットワーク接続センターのハブに接続します。
Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。
HA VPN のアクティブ / アクティブとアクティブ / パッシブのルーティング オプション
Cloud VPN トンネルは、停止しても自動的に再開されます。仮想 VPN デバイス全体が停止した場合、Cloud VPN では同じ構成の新しいインスタンスが自動的に作成されます。新しいゲートウェイとトンネルは自動的に接続されます。
HA VPN ゲートウェイに接続されている VPN トンネルでは動的(BGP)ルーティングを使用する必要があります。HA VPN トンネルのルート優先度の構成方法に応じて、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を作成できます。どちらのルーティング構成でも、両方の VPN トンネルはアクティブのままです。
次の表では、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を比較しています。
| 機能 | アクティブ / アクティブ | アクティブ / パッシブ |
|---|---|---|
| スループット | 有効な総スループットは、両方のトンネルの結合スループットです。 | 2 つのアクティブなトンネルを 1 つに減らすと、全体的なスループットは半減し、接続が遅くなるか、パケットが破棄されます。 |
| ルート アドバタイズ | ピア ゲートウェイは、トンネルごとに同一の MED 値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、同じ優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信された下り(外向き)トラフィックで等価コスト マルチパス(ECMP)ルーティングが使用されます。 同じ Cloud Router が同じ優先度を使用して VPC ネットワークへのルートをアドバタイズします。 ピア ゲートウェイは、これらのルートを ECMP で使用し Google Cloud に下り(外向き)トラフィックを送信します。 |
ピア ゲートウェイは、トンネルごとに異なる MED 値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、異なる優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信される下り(外向き)トラフィックは、関連付けられたトンネルが使用可能である限り、最も優先度の高いルートを使用します。 同じ Cloud Router は、各トンネルの異なる優先度を使用して、VPC ネットワークにルートをアドバタイズします。 ピア ゲートウェイは、優先度が最も高いトンネルを使用して、Google Cloud にトラフィックを送信します。 |
| フェイルオーバー | 1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルで、学習済みのルートを取り消します。この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 |
1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルで、学習済みのルートを取り消します。この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 一度に最大 1 つのトンネルを使用します。最初のトンネルで障害が発生し、もう一方のトンネルでフェイルオーバーが必要な場合、2 番目のトンネルですべての下り(外向き)帯域幅を処理できます。 |
フルメッシュ トポロジでのアクティブ / パッシブ ルーティング
Cloud Router が特定の Cloud VPN インターフェースを介して異なる MED 値を持つ同じ接頭辞を受信すると、優先度が最も高いルートのみが VPC ネットワークにインポートされます。他の無効なルートは、Google Cloud コンソールまたは Google Cloud CLI に表示されません。優先度の最も高いルートが利用できなくなった場合、Cloud Router によってルートが取り消され、次の最適ルートが VPC ネットワークに自動的にインポートされます。
複数のトンネルまたはゲートウェイの使用
ピア ゲートウェイの構成によっては、優先度(MED 値)に応じてトンネルを通過するトラフィックを変更できるルートの作成が可能です。同様に、Cloud Router が VPC ネットワーク ルートの共有に使用する基本優先度を調整できます。これらの状況では、純粋にアクティブ / アクティブまたは、アクティブ / パッシブでもないルーティング構成が考えられます。
推奨ルーティング オプション
単一の HA VPN ゲートウェイを使用する場合は、アクティブ / パッシブのルーティング構成を使用することをおすすめします。この構成では、通常のトンネル操作時に観測された帯域幅容量が、フェイル オーバー時に観測された帯域幅容量と一致します。前述の複数ゲートウェイの場合を除いて、観測された帯域幅の上限は一定のままであるため、このタイプの構成は管理が容易です。
複数の HA VPN ゲートウェイを使用する場合は、アクティブ / アクティブ ルーティング構成の使用をおすすめします。この構成では、通常のトンネル運用時の観測された帯域幅が、保証されている帯域幅容量の 2 倍になります。ただし、この構成ではトンネルが規定数を下回り、フェイルオーバー時にトラフィックが低下する可能性があります。
Cloud VPN トンネルを経由したピア IP アドレスの制限
組織のポリシー管理者はポリシー制約を作成して、ユーザーがピア VPN ゲートウェイに指定できる IP アドレスを制限できます。
この制限は、特定のプロジェクト、フォルダ、組織内のすべての Cloud VPN トンネル(Classic VPN と HA VPN の両方)に適用されます。
IP アドレスを制限する手順については、ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。
Cloud VPN 接続の可視化とモニタリング
ネットワーク トポロジは、VPC ネットワークのトポロジ、オンプレミス ネットワークとのハイブリッド接続、および関連付けられた指標を表示する可視化ツールです。ネットワーク トポロジ ビューでは、Cloud VPN ゲートウェイと VPN トンネルをエンティティとして表示できます。
基本エンティティは特定の階層の最下位レベルであり、ネットワークを介して他のリソースと直接通信できるリソースを表します。ネットワーク トポロジは、基本エンティティを、展開および折りたたみが可能な階層エンティティに集約しています。最初にネットワーク トポロジのグラフを表示すると、すべての基本エンティティが最上位の階層に集約されます。
たとえば、ネットワーク トポロジは、VPN トンネルを VPN ゲートウェイ接続に集約します。VPN ゲートウェイのアイコンを展開または折りたたむことで、階層を表示できます。
詳細については、ネットワーク トポロジの概要をご覧ください。
メンテナンスと可用性
Cloud VPN は定期的なメンテナンスを行います。メンテナンス中、Cloud VPN トンネルはオフラインになり、ネットワーク トラフィックが短時間で低下します。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。
Cloud VPN のメンテナンスは通常の運用作業ですが、予告なしに行われる可能性があります。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。
HA VPN は、高可用性 VPN を構成する場合に推奨の方法です。構成オプションについては、HA VPN トポロジのページをご覧ください。Classic VPN を冗長性とハイスループット オプションに使用する場合は、Classic VPN トポロジのページをご覧ください。
ベスト プラクティス
Cloud VPN を効果的に構築するには、こちらのベスト プラクティスを使用してください。
次のステップ
高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。