このページでは、Cloud VPN に関連するコンセプトについて説明します。Cloud VPN のドキュメントで使用される用語の定義については、主な用語をご覧ください。
Cloud VPN は、IPsec VPN 接続を使用してピア ネットワークを Virtual Private Cloud(VPC)ネットワークへ安全に拡張します。VPN 接続では、ネットワーク間を移動するトラフィックが暗号化され、一方の VPN ゲートウェイが暗号化を処理し、もう一方の VPN ゲートウェイが復号を処理します。このプロセスにより、送信中のデータが保護されます。また、2 つの Cloud VPN インスタンスを接続して、2 つの VPC ネットワークを接続することもできます。Cloud VPN を使用して、トラフィックを公共のインターネットに転送することはできません。これは、プライベート ネットワーク間のセキュアな通信のために設計されています。
ハイブリッド ネットワーキング ソリューションを選択する
Google Cloud へのハイブリッド ネットワーク接続として Cloud VPN、Dedicated Interconnect、Partner Interconnect、Cloud Router のどれを使用するかを判断するには、Network Connectivity プロダクトの選択をご覧ください。
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Cloud VPN のパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
Cloud VPN の無料トライアルDedicated Interconnect 接続や Partner Interconnect 接続のセキュリティを強化するには、Cloud Interconnect を介した HA VPN を使用します。このソリューションにより、VLAN アタッチメント経由で暗号化された HA VPN トンネルが確立されます。
Cloud VPN のタイプ
Google Cloud には、次の 2 種類の Cloud VPN ゲートウェイがあります。
HA VPN
HA VPN は高可用性(HA)Cloud VPN ソリューションで、IPsec VPN 接続を使用してオンプレミス ネットワークを VPC ネットワークに安全に接続できます。トポロジと構成に基づいて、HA VPN は 99.99% または 99.9% のサービス可用性の SLA を提供できます。
HA VPN ゲートウェイを作成すると、Google Cloud はインターフェースごとに 1 つずつ、2 つの外部 IP アドレスを自動的に選択します。各 IP アドレスは、高可用性をサポートするため、一意のアドレスプールから自動的に選択されます。各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。HA VPN ゲートウェイを削除すると、Google Cloud はこうした IP アドレスを開放して再利用できるようにします。アクティブ インターフェース 1 つと外部 IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成することもできますが、この構成ではサービス可用性 SLA は提供されません。
HA VPN を使用するオプションの一つとして、Cloud Interconnect を介した HA VPN を使用する方法があります。Cloud Interconnect を介した HA VPN では、Cloud VPN による IPsec 暗号化のセキュリティと Cloud Interconnect の大容量が同時に得られます。また、Cloud Interconnect を使用しているため、ネットワーク トラフィックが公共のインターネットを通過することはありません。Partner Interconnect を使用する場合は、サードパーティ プロバイダに接続する際にデータ セキュリティとコンプライアンスの要件を満たすために、Cloud Interconnect トラフィックに IPsec 暗号化を追加する必要があります。HA VPN は、Google Cloud の外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイやゲートウェイに関する情報を Google Cloud に提供します。
HA VPN ゲートウェイは、API ドキュメントと gcloud
コマンドでは、ターゲット VPN ゲートウェイではなく、VPN ゲートウェイと呼ばれます。HA VPN ゲートウェイの転送ルールを作成する必要はありません。
HA VPN は、トポロジまたは構成シナリオに応じて、99.99% または 99.9% の可用性 SLA を提供できます。HA VPN トポロジとサポートされている SLA の詳細については、HA VPN トポロジをご覧ください。
HA VPN を設定する際は、次のガイドラインを考慮してください。
HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続する場合は、これらのゲートウェイで同一の IP スタックタイプを使用する必要があります。たとえば、スタックタイプが
IPV4_IPV6
の HA VPN ゲートウェイを作成する場合は、もう一方の HA VPN ゲートウェイもIPV4_IPV6
に設定する必要があります。Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成します。
- ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
- 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
- 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。冗長ハードウェア構成の詳細はデバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれている場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。
ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。
ピア VPN ゲートウェイ デバイスは、動的 Border Gateway Protocol(BGP)ルーティングをサポートする必要があります。
次の図は、トポロジに 2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含む HA VPN のコンセプトを示しています。より詳細な HA VPN トポロジ(構成シナリオ)については、HA VPN トポロジをご覧ください。
Classic VPN
HA VPN の導入前に作成された Cloud VPN ゲートウェイはすべて、Classic VPN ゲートウェイとみなされます。Classic VPN から HA VPN に移行する方法については、Classic VPN から HA VPN に移行するをご覧ください。
HA VPN と比べると、Classic VPN ゲートウェイには 1 つのインターフェースと 1 つの外部 IP アドレスがあり、静的ルーティング(ポリシーベースまたはルートベース)を使用するトンネルがサポートされます。Classic VPN の動的ルーティング(BGP)を構成することもできますが、Google Cloud VM インスタンスで実行されているサードパーティ VPN ゲートウェイ ソフトウェアに接続するトンネルにのみ構成できます。
Classic VPN ゲートウェイは 99.9% のサービス可用性の SLA を提供します。
Classic VPN ゲートウェイは IPv6 をサポートしていません。
サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。
API ドキュメントと Google Cloud CLI では、Classic VPN はターゲット VPN ゲートウェイと表記されています。
比較表
次の表に、HA VPN の機能と Classic VPN の機能の比較を示します。
機能 | HA VPN | Classic VPN |
---|---|---|
SLA | いくつかの例外を除き、ほとんどのトポロジで 99.99% の SLA を提供します。詳細については、HA VPN トポロジをご覧ください。 | 99.9% の SLA を提供します。 |
外部 IP アドレスと転送ルールの作成 | プールから作成された外部 IP アドレス。転送ルールは必要ありません。 | 外部 IP アドレスと転送ルールを作成する必要があります。 |
サポートされているルーティング オプション | 動的ルーティング(BGP)のみ。 | 静的ルーティング(ポリシーベース、ルートベース)。動的ルーティングは、Google Cloud VM インスタンスで実行されているサードパーティ VPN ゲートウェイ ソフトウェアに接続するトンネルでのみサポートされます。 |
1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル | サポート対象 | 非対応 |
外部 IP アドレスを使用して Cloud VPN ゲートウェイを Compute Engine VM に接続します。 | サポートされる推奨トポロジ。詳細については、HA VPN トポロジをご覧ください。 | サポート対象 |
API リソース | vpn-gateway リソースともいいます。 |
target-vpn-gateway リソースともいいます。 |
IPv6 トラフィック | サポート対象(デュアル スタックの IPv4 および IPv6 構成) | サポート対象外 |
仕様
Cloud VPN の仕様は次のとおりです。
Cloud VPN では、このセクションに記載されている要件に従って、サイト間の IPsec VPN 接続のみがサポートされます。クライアントからゲートウェイへの接続はサポートされていません。つまり、クライアント PC がクライアント VPN ソフトウェアを使用して VPN にダイヤルインするユースケースはサポートされていません。
Cloud VPN は IPsec のみをサポートします。他の VPN テクノロジー(SSL VPN など)はサポートされていません。
Cloud VPN は、VPC ネットワークとレガシー ネットワークで使用できます。VPC ネットワークの場合、カスタムモードの VPC ネットワークをおすすめします。これにより、ネットワーク内のサブネットで使用される IP アドレス範囲を完全に制御できます。
Classic VPN ゲートウェイと HA VPN ゲートウェイでは、外部の(インターネット ルーティング可能な)IPv4 アドレスを使用します。これらのアドレスに許可されるのは ESP、UDP 500、UDP 4500 のトラフィックのみです。これは、Classic VPN 用に構成した Cloud VPN アドレス、または HA VPN 用に自動的に割り振られた IP アドレスに適用されます。
VPC ネットワーク内のサブネットで使用される IP アドレスとオンプレミス サブネットの IP アドレス範囲が重複する場合は、ルートの順序を参照して、ルーティング競合の解決方法を確認してください。
次の Cloud VPN トラフィックは Google の本番環境ネットワーク内に残ります。
- 2 つの HA VPN ゲートウェイ間
- 2 つの Classic VPN ゲートウェイ間
- Classic VPN または HA VPN ゲートウェイと、VPN ゲートウェイとして機能する Compute Engine VM の外部 IP アドレスの間
Cloud VPN は、オンプレミス ホストの限定公開の Google アクセスで使用できます。詳細については、サービスのプライベート アクセス オプションをご覧ください。
各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたは、ピア VPN ゲートウェイに接続されます。
ピア VPN ゲートウェイには静的外部(インターネット ルーティング可能な)IPv4 アドレスが必要です。Cloud VPN を構成するには、この IP アドレスが必要です。
- ピア VPN ゲートウェイがファイアウォール ルールの内側にある場合は、ESP(IPsec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォール ルールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。
Cloud VPN では、事前分割をサポートするようピア VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。
Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。
Cloud VPN は、汎用ルーティング カプセル化(GRE)トラフィックをサポートしています。GRE のサポートにより、インターネット(外部 IP アドレス)と、Cloud VPN または Cloud Interconnect(内部 IP アドレス)からの GRE トラフィックを VM で終端できます。カプセル化解除されたトラフィックは到達可能な宛先に転送できます。GRE を使用すると、セキュア アクセス サービスエッジ(SASE)や SD-WAN などのサービスを使用できます。GRE トラフィックを許可するには、ファイアウォール ルールを作成する必要があります。
HA VPN トンネルは IPv6 トラフィックの交換をサポートしていますが、Classic VPN トンネルはサポートしていません。
ネットワーク帯域幅
各 Cloud VPN トンネルでは、上り(内向き)と下り(外向き)のトラフィック合わせて、1 秒あたり最大 250,000 パケットをサポートします。トンネルの平均パケットサイズに応じて、250,000 パケット/秒は 1 Gbps~3 Gbps の帯域幅に相当します。
この上限に関連する指標は Sent bytes
と Received bytes
です。詳しくは、ログと指標を表示するをご覧ください。指標の単位はバイトで、3 Gbps の上限は 1 秒あたりのビット数を表します。バイト数に変換した場合、上限は 375 MB/秒(MBps)になります。上限に対する使用量を測定する場合は、Sent bytes
と Received bytes
の合計値を変換後の上限(375 MBps)と比較します。
アラート ポリシーを作成する方法については、VPN トンネル帯域幅にアラートを定義するをご覧ください。
帯域幅に影響する要因
帯域幅は、次のようなさまざまな要因の影響を受けます。
Cloud VPN ゲートウェイとピア ゲートウェイ間のネットワーク接続:
2 つのゲートウェイ間のネットワーク帯域幅。Google とのダイレクト ピアリングの関係が確立していれば、VPN トラフィックが公共のインターネット経由で送信される場合よりもスループットが高くなります。
ラウンド トリップ時間(RTT)とパケットロス。RTT やパケットロス率が高いと、TCP のパフォーマンスが大幅に低下します。
ピア VPN ゲートウェイの機能。詳細については、デバイスのドキュメントをご覧ください。
パケットサイズ。Cloud VPN はトンネルモードで IPsec プロトコルを使用します。ESP で IP パケット全体をカプセル化して暗号化し、カプセル化セキュリティ ペイロード(ESP)データを外側から 2 番目の IP パケットに格納します。したがって、IPsec カプセル化パケットのゲートウェイ MTU と、IPsec カプセル化パケットの前後のペイロード MTU があります。詳細については、MTU に関する考慮事項をご覧ください。
パケットレート。上り(内向き)と下り(外向き)の場合、各 Cloud VPN トンネルの推奨最大パケットレートは 1 秒あたり 250,000 パケット(pps)です。パケットを高速で送信する必要がある場合は、さらに VPN トンネルを作成する必要があります。
VPN トンネルの TCP 帯域幅を測定する際には、複数の TCP ストリームを同時に測定する必要があります。iperf
ツールを使用している場合は、-P
パラメータを使用して同時ストリームの数を指定します。
IPv6 サポート
Cloud VPN は HA VPN で IPv6 をサポートしていますが、Classic VPN ではサポートしていません。
HA VPN トンネルで IPv6 トラフィックをサポートするには、次のようにします。
HA VPN ゲートウェイを作成し、IPv6 が有効な VPC ネットワークと IPv6 が他のネットワークを接続するトンネルを作成する場合は、
IPV6_ONLY
またはIPV4_IPV6
スタックタイプを使用します。これらのネットワークは、オンプレミス ネットワーク、マルチクラウド ネットワーク、または他の VPC ネットワークです。IPv6 が有効な VPC ネットワークにデュアルスタック サブネットを含めます。サブネットには必ず内部 IPv6 範囲を割り当ててください。
次の表は、HA VPN ゲートウェイのスタックタイプごとに許可される外部 IP アドレスをまとめたものです。
スタックタイプ | サポートされているゲートウェイの外部 IP アドレス |
---|---|
IPV4_ONLY | IPv4 |
IPV4_IPV6 | IPv4、IPv6 |
IPV6_ONLY | IPv6 |
IPv6 の組織のポリシーに関する制約
次の組織のポリシーを true に設定すると、プロジェクトでの IPv6 ハイブリッド リソースの作成をすべて無効にできます。
constraints/compute.disableHybridCloudIpv6
HA VPN では、プロジェクトでデュアルスタック HA VPN ゲートウェイと IPv6 のみの HA VPN ゲートウェイを作成できなくなります。
スタックタイプと BGP セッション
HA VPN ゲートウェイは、さまざまなスタックタイプをサポートしています。HA VPN ゲートウェイのスタックタイプによって、HA VPN トンネルで許可される IP トラフィックのバージョンが決まります。
デュアルスタック HA VPN ゲートウェイの HA VPN トンネルを作成する場合は、IPv6 ルート交換用の IPv6 BGP セッションを作成するか、マルチプロトコル BGP(MP-BGP)を使用して IPv6 ルートを交換する IPv4 BGP セッションを作成します。
次の表に、各スタックタイプでサポートされている BGP セッションのタイプを示します。
スタックタイプ | サポートされている BGP セッション | ゲートウェイの外部 IP アドレス |
---|---|---|
シングルスタック(IPv4 のみ) | IPv4 BGP、MP-BGP なし | IPv4 |
シングルスタック(IPv6 のみ) | IPv6 BGP、MP-BGP なし | IPv6 |
デュアルスタック(IPv4 と IPv6) |
|
IPv4 と IPv6 |
BGP セッションの詳細については、Cloud Router のドキュメントの BGP セッションを確立するをご覧ください。
シングルスタック IPv4 専用ゲートウェイ
デフォルトでは、HA VPN ゲートウェイには「IPv4 のみ」のスタックタイプが割り当てられ、2 つの外部 IPv4 アドレスが自動的に割り当てられます。
IPv4 のみの HA VPN ゲートウェイは、IPv4 トラフィックのみをサポートできます。
IPv4 のみの HA VPN ゲートウェイと IPv4 BGP セッションを作成するには、次の操作を行います。
- HA VPN からピア VPN ゲートウェイへの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 BGP セッションをご覧ください。
- HA VPN から HA VPN へのゲートウェイの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 BGP セッションをご覧ください。
シングルスタック IPv6 専用ゲートウェイ
IPv6 のみの HA VPN ゲートウェイは、IPv6 トラフィックのみをサポートします。デフォルトでは、IPv6 のみの HA VPN ゲートウェイには 2 つの外部 IPv6 アドレスが割り当てられます。
IPv6 のみの HA VPN ゲートウェイと IPv6 BGP セッションを作成するには、次の操作を行います。
- HA VPN からピア VPN ゲートウェイへの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv6 BGP セッションをご覧ください。
- HA VPN から HA VPN へのゲートウェイの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv6 BGP セッションをご覧ください。
デュアルスタック(IPv4 と IPv6)ゲートウェイ
デュアルスタック(IPv4 と IPv6)のスタックタイプで構成された HA VPN ゲートウェイは、IPv4 トラフィックと IPv6 トラフィックの両方をサポートできます。
デュアルスタック HA VPN ゲートウェイの場合、IPv4 BGP セッション、IPv6 BGP セッション、またはその両方を使用して Cloud Router を構成できます。 BGP セッションを 1 つだけ構成する場合は、MP-BGP を有効にして、そのセッションで IPv4 ルートと IPv6 ルートの両方を交換できます。IPv4 BGP セッションと IPv6 BGP セッションを作成した場合、どちらのセッションでも MP-BGP を有効にできません。
MP-BGP を使用して IPv4 BGP セッションで IPv6 ルートを交換するには、IPv6 ネクストホップ アドレスを使用してセッションを構成する必要があります。同様に、MP-BGP を使用して IPv6 BGP セッションで IPv4 ルートを交換するには、IPv4 ネクストホップ アドレスを使用してセッションを構成する必要があります。これらのネクストホップ アドレスは、手動または自動で構成できます。
ネクストホップ アドレスを手動で構成する場合は、Google 所有の IPv6 グローバル ユニキャスト アドレス(GUA)範囲 2600:2d00:0:2::/63
または IPv4 リンクローカル アドレス範囲 169.254.0.0./16
から選択する必要があります。これらの IP アドレス範囲は Google によって事前に割り振られています。選択するネクストホップ IP アドレスは、VPC ネットワーク内のすべての Cloud Router で一意である必要があります。
自動構成を選択すると、Google Cloud がネクストホップ IP アドレスを選択します。
デュアルスタック HA VPN ゲートウェイとサポートされているすべての BGP セッションを作成するには、次の操作を行います。
- IPv4 BGP セッション(MP-BGP あり、なし)
- HA VPN ゲートウェイからピア VPN ゲートウェイへの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 BGP セッションをご覧ください。
- HA VPN ゲートウェイから HA VPN へのゲートウェイの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 BGP セッションをご覧ください。
- IPv6 BGP セッション(MP-BGP あり、なし)
- HA VPN ゲートウェイからピア VPN ゲートウェイへの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv6 BGP セッションをご覧ください。
- HA VPN ゲートウェイから HA VPN へのゲートウェイの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv6 BGP セッションをご覧ください。
- IPv4 と IPv6 の両方の BGP セッション
- HA VPN ゲートウェイからピア VPN ゲートウェイへの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 と IPv6 の両方の BGP セッションをご覧ください。
- HA VPN ゲートウェイから HA VPN へのゲートウェイの構成については、HA VPN ゲートウェイを作成すると BGP セッションを作成する - IPv4 と IPv6 の両方の BGP セッションをご覧ください。
IPsec と IKE のサポート
Cloud VPN は、IKE 事前共有キー(共有シークレット)と IKE 暗号を使用した IKEv1 と IKEv2 をサポートしています。Cloud VPN の認証では、事前共有キーのみがサポートされます。Cloud VPN トンネルを作成する場合は、事前共有キーを指定します。ピア ゲートウェイでトンネルを作成する場合は、同じ事前共有キーを指定します。
Cloud VPN は、認証でトンネルモードの ESP をサポートしますが、AH またはトランスポート モードの ESP はサポートしません。
HA VPN で IPv6 トラフィックを有効にするには、IKEv2 を使用します。
Cloud VPN では、受信する認証パケットに対するポリシー関連のフィルタリングは行われません。送信するパケットは、Cloud VPN ゲートウェイで構成されている IP 範囲に基づいてフィルタリングされます。
強力な事前共有キーを作成するためのガイドラインについては、強力な事前共有キーの生成をご覧ください。Cloud VPN でサポートされる暗号や構成パラメータを確認するには、サポートされている IKE の暗号をご覧ください。
IKE と Dead Peer Detection
Cloud VPN は、RFC 3706 の DPD プロトコル セクションに沿って、Dead Peer Detection(DPD)をサポートしています。
ピアが動作していることを確認するため、Cloud VPN は RFC 3706 に沿って常時 DPD パケットを送信することが可能です。何度か再試行しても DPD リクエストが返されない場合、Cloud VPN は VPN トンネルが異常であることを認識します。VPN トンネルが異常であると認識されると、このトンネルをネクストホップとして使用するルート(BGP ルートまたは静的ルート)が削除され、正常な他の VPN トンネルへの VM トラフィックのフェイルオーバーがトリガーされます。
Cloud VPN では、DPD の間隔を構成することはできません。
UDP カプセル化と NAT-T
Cloud VPN で NAT-Traversal(NAT-T)をサポートするようピアデバイスを構成する方法については、「高度な概要」の UDP カプセル化をご覧ください。
データ転送ネットワークとしての Cloud VPN
Cloud VPN を使用する前に、Google Cloud の一般利用規約の第 2 条をよくお読みください。
Network Connectivity Center を使用すると、HA VPN トンネルを使用して、オンプレミス ネットワークを相互接続し、データ転送ネットワークとしてトラフィックを受け渡すことができます。オンプレミスのロケーションごとにトンネルのペアを使用して Network Connectivity Center のスポークに接続し、ネットワークに接続します。各スポークを Network Connectivity Center のハブに接続します。
Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。
お客様所有 IP アドレスの使用(BYOIP)に関するサポート
Cloud VPN での BYOIP アドレスの使用については、BYOIP アドレスのサポートをご覧ください。
HA VPN のアクティブ / アクティブとアクティブ / パッシブのルーティング オプション
Cloud VPN トンネルは、停止しても自動的に再開されます。仮想 VPN デバイス全体が停止した場合、Cloud VPN では同じ構成の新しいインスタンスが自動的に作成されます。新しいゲートウェイとトンネルは自動的に接続されます。
HA VPN ゲートウェイに接続されている VPN トンネルでは動的(BGP)ルーティングを使用する必要があります。HA VPN トンネルのルート優先度の構成方法に応じて、アクティブ / アクティブまたはアクティブ / パッシブのルーティング構成を作成できます。どちらのルーティング構成でも、両方の VPN トンネルはアクティブのままです。
次の表では、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を比較しています。
機能 | アクティブ / アクティブ | アクティブ / パッシブ |
---|---|---|
スループット | 有効な総スループットは、両方のトンネルの結合スループットです。 | 2 つのアクティブなトンネルを 1 つに減らすと、全体的なスループットは半減し、接続が遅くなるか、パケットが破棄されます。 |
ルート アドバタイズ | ピア ゲートウェイは、トンネルごとに同一の Multi-Exit Discriminator(MED)値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、同じ優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信された下り(外向き)トラフィックで等価コスト マルチパス(ECMP)ルーティングが使用されます。 同じ Cloud Router が同じ優先度を使用して VPC ネットワークへのルートをアドバタイズします。 ピア ゲートウェイは、これらのルートを ECMP で使用し Google Cloud に下り(外向き)トラフィックを送信します。 |
ピア ゲートウェイは、トンネルごとに異なる MED 値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、異なる優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信される下り(外向き)トラフィックは、関連付けられたトンネルが使用可能である限り、最も優先度の高いルートを使用します。 同じ Cloud Router は、各トンネルの異なる優先度を使用して、VPC ネットワークにルートをアドバタイズします。 ピア ゲートウェイは、優先度が最も高いトンネルを使用して、Google Cloud にトラフィックを送信します。 |
フェイルオーバー | DPD が停止しているなど、トンネルが異常である場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを取り消します。 BGP セッションが停止した場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを削除します。この場合、トンネルが異常であるとは認識されません。 この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 |
DPD が停止しているなど、トンネルが異常である場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを取り消します。 BGP セッションが停止した場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを削除します。この場合、トンネルが異常であるとは認識されません。 この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 一度に最大 1 つのトンネルを使用します。最初のトンネルで障害が発生し、もう一方のトンネルでフェイルオーバーが必要な場合、2 番目のトンネルですべての下り(外向き)帯域幅を処理できます。 |
フルメッシュ トポロジでのアクティブ / パッシブ ルーティング
Cloud Router が特定の Cloud VPN インターフェースを介して異なる MED 値を持つ同じプレフィックスを受信すると、優先度が最も高いルートのみが VPC ネットワークにインポートされます。他の無効なルートは、Google Cloud コンソールまたは Google Cloud CLI に表示されません。優先度の最も高いルートが利用できなくなった場合、Cloud Router によってルートが取り消され、次の最適ルートが VPC ネットワークに自動的にインポートされます。
複数のトンネルまたはゲートウェイの使用
ピア ゲートウェイの構成によっては、優先度(MED 値)に応じてトンネルを通過するトラフィックを変更できるルートの作成が可能です。同様に、Cloud Router が VPC ネットワーク ルートの共有に使用する基本優先度を調整できます。これらの状況では、純粋にアクティブ / アクティブまたは、アクティブ / パッシブでもないルーティング構成が考えられます。
推奨ルーティング オプション
単一の HA VPN ゲートウェイを使用する場合は、アクティブ / パッシブのルーティング構成を使用することをおすすめします。この構成では、通常のトンネル操作時に観測された帯域幅容量が、フェイル オーバー時に観測された帯域幅容量と一致します。前述の複数ゲートウェイの場合を除いて、観測された帯域幅の上限は一定のままであるため、このタイプの構成は管理が容易です。
複数の HA VPN ゲートウェイを使用する場合は、アクティブ / アクティブ ルーティング構成の使用をおすすめします。この構成では、通常のトンネル運用時に観測される帯域幅が、最大帯域幅の 2 倍になります。ただし、この構成ではトンネルが所定の数を下回り、フェイルオーバー時にトラフィックが低下する可能性があります。
Cloud VPN トンネルを経由したピア IP アドレスの制限
組織のポリシー管理者(roles/orgpolicy.policyAdmin
)はポリシー制約を作成して、ユーザーがピア VPN ゲートウェイに指定できる IP アドレスを制限できます。
この制限は、特定のプロジェクト、フォルダ、組織内のすべての Cloud VPN トンネル(Classic VPN と HA VPN の両方)に適用されます。
IP アドレスを制限する手順については、ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。
Cloud VPN 接続の可視化とモニタリング
ネットワーク トポロジは、VPC ネットワークのトポロジ、オンプレミス ネットワークとのハイブリッド接続、および関連付けられた指標を表示する可視化ツールです。ネットワーク トポロジ ビューでは、Cloud VPN ゲートウェイと VPN トンネルをエンティティとして表示できます。
基本エンティティは特定の階層の最下位レベルであり、ネットワークを介して他のリソースと直接通信できるリソースを表します。ネットワーク トポロジは、基本エンティティを、展開および折りたたみが可能な階層エンティティに集約しています。最初にネットワーク トポロジのグラフを表示すると、すべての基本エンティティが最上位の階層に集約されます。
たとえば、ネットワーク トポロジは、VPN トンネルを VPN ゲートウェイ接続に集約します。VPN ゲートウェイのアイコンを展開または折りたたむことで、階層を表示できます。
詳細については、ネットワーク トポロジの概要をご覧ください。
メンテナンスと可用性
Cloud VPN は定期的なメンテナンスを行います。メンテナンス中、Cloud VPN トンネルはオフラインになり、ネットワーク トラフィックが短時間で低下します。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。
Cloud VPN のメンテナンスは通常の運用作業ですが、予告なしに行われる可能性があります。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。
HA VPN は、高可用性 VPN を構成する場合に推奨の方法です。構成オプションについては、HA VPN トポロジのページをご覧ください。Classic VPN を冗長性と高スループット オプションに使用する場合は、Classic VPN トポロジのページをご覧ください。
ベスト プラクティス
Cloud VPN を効果的に構築するには、こちらのベスト プラクティスを使用してください。
次のステップ
高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。
HA VPN の推奨トポロジについて学習する。