Cloud VPN の概要

このページでは、Google Cloud VPN に関連する概念について説明します。

Cloud VPN は、IPsec VPN 接続を使用してピア ネットワークを Virtual Private Cloud(VPC)ネットワークへ安全に接続します。2 つのネットワーク間のトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。Cloud VPN の 2 つのインスタンスを相互に接続することもできます。

仮想プライベート ネットワーク(VPN)を作成するには、VPN オプションの選択をご覧ください。

Cloud VPN のドキュメントで使用される用語の定義については、主な用語をご覧ください。

ハイブリッド ネットワーク ソリューションの選択

Google Cloud へのハイブリッド ネットワーク接続として Cloud VPN、Dedicated Interconnect、Partner Interconnect のどれを使用するかを決定するには、ネットワーク接続プロダクトを選択する方法をご覧ください。

Cloud VPN のタイプ

Google Cloud には、HA VPN と Classic VPN の 2 種類の Cloud VPN ゲートウェイがあります。

HA VPN への移行については、Classic VPN から HA VPN への移行をご覧ください。

HA VPN

HA VPN は、単一リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを Virtual Private Cloud ネットワークに安全に接続できる、高可用性(HA)仮想クラウド VPN ソリューションです。HA VPN は 99.99% のサービス可用性の SLA を提供します。

HA VPN ゲートウェイを作成すると、Google Cloud は 2 つのインターフェースの定数ごとに 1 つずつ、2 つの外部 IP アドレスを自動的に選択します。各 IP アドレスは、高可用性をサポートするため、一意のアドレスプールから自動的に選択されます。HA VPN ゲートウェイを削除すると、Google Cloud はこれらのアドレスを再利用できるようにするため解放します。

各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。

アクティブ インターフェース 1 つとパブリック IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成できますが、この構成では 99.99% のサービス可用性 SLA は提供されません。

HA VPN ゲートウェイは、API ドキュメントと gcloud コマンドでは、ターゲット VPN ゲートウェイではなく VPN ゲートウェイと呼ばれます。

HA VPN ゲートウェイの転送ルールを作成する必要はありません。

HA VPN は、Google Cloud の外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイやゲートウェイに関する情報を Google Cloud に提供します。詳細については、外部 VPN ゲートウェイ リソースピア VPN ゲートウェイをご覧ください。

HA VPN の要件

HA VPN のサービスレベル可用性を 99.99% にするには、Cloud VPN の構成は次の要件を満たす必要があります。

  • HA VPN ゲートウェイをピア ゲートウェイに接続すると、Google Cloud 側の接続のみ 99.99% の可用性が保証されます。エンドツーエンドでの可用性は、ピア VPN ゲートウェイの適切な構成が条件となります。
  • 両側が Google Cloud ゲートウェイで適切に構成されている場合、99.99% の可用性が保証されます。
  • 両方の VPN ゲートウェイが VPC ネットワーク内にある場合に高可用性を実現するには、2 つの HA VPN ゲートウェイを使用し、その両方を同じリージョンに配置する必要があります。両方のゲートウェイを同じリージョンに配置する必要がある場合でも、Vertual Private Cloud ネットワークがグローバル ダイナミック ルーティング モードを使用していれば、お互いが共有するサブネットへのルートは、どのリージョンでも配置できます。VPC ネットワークがリージョン ダイナミック ルーティング モードを使用する場合、同じリージョン内のサブネットへのルートのみがピア ネットワークと共有され、学習したルートは、VPN トンネルとして同じリージョン内のサブネットにのみ適用されます。VPC ネットワークの動的ルーティング モードの詳細については、VPC ネットワークの概要をご覧ください。
  • Google Cloud IP アドレスが外部 VPN ゲートウェイ リソースで構成された場合、HA VPN は Google Cloud IP アドレスを拒否します。この例では、外部 VPN ゲートウェイ リソースの外部 IP アドレスとして、VM インスタンスの外部 IP アドレスを使用しています。Google Cloud HA VPN ゲートウェイへの Google Cloud の作成のドキュメントにあるとおり、HA VPN Google Cloud と Google Cloud を接続するトポロジでサポート対象となるのは、両側で HA VPN が使用される場合のみです。
  • Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成する必要があります。
    • ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
    • 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
    • 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
  • ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。適切な冗長構成の詳細は、デバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれる場合と含まれない場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。
  • ピア VPN ゲートウェイ デバイスは、動的(BGP)ルーティングをサポートする必要があります。

次の図は HA VPN のコンセプトを示したもので、2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含むトポロジを示しています。HA VPN トポロジ(構成シナリオ)の詳細については、Cloud VPN トポロジのページをご覧ください。

2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)
2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)

従来の VPN

一方、Classic VPN ゲートウェイは 1 つのインターフェースと 1 つの外部 IP アドレスを持ち、動的(BGP)または静的ルーティング(ルートベースまたはポリシーベース)を使用するトンネルをサポートします。これにより、サービス可用性 99.9% の SLA を提供します。

サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。

Classic VPN は、API ドキュメントや gcloud コマンドではターゲット VPN ゲートウェイと呼ばれます。

比較表

次の表は、HA VPN の機能と Classic VPN の機能を比較したものです。

機能 HA VPN Classic VPN
SLA 2 つのインターフェースと 2 つの外部 IP で構成した場合、99.99% の SLA を提供 99.9% の SLA を提供
外部 IP と転送ルールの作成 プールから作成された外部 IP。転送ルールは必要ありません。 外部 IP と転送ルールを作成する必要があります
サポートされているルーティング オプション 動的ルーティング(BGP)のみ 静的ルーティング(ポリシーベース、ルートベース)または BGP を使用した動的ルーティング
1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル サポート対象 サポート対象外
API リソース VPN ゲートウェイ リソースとして知られています。 ターゲット VPN ゲートウェイ リソースとして知られています。

HA VPN の要件

HA VPN のサービスレベル可用性を 99.99% にするには、Cloud VPN の構成は次の要件を満たす必要があります。

  • HA VPN ゲートウェイをピア ゲートウェイに接続すると、Google Cloud 側の接続のみ 99.99% の可用性が保証されます。エンドツーエンドでの可用性は、ピア VPN ゲートウェイの適切な構成が条件となります。
  • 両側が Google Cloud ゲートウェイで適切に構成されている場合、エンドツーエンドの 99.99% の可用性が保証されます。
  • 両方の VPN ゲートウェイが VPC ネットワーク内にある場合に高可用性を実現するには、2 つの HA VPN ゲートウェイを使用し、その両方を同じリージョンに配置する必要があります。両方のゲートウェイを同じリージョンに配置する必要がある場合でも、Vertual Private Cloud ネットワークがグローバル ダイナミック ルーティング モードを使用していれば、お互いが共有するサブネットへのルートは、どのリージョンでも配置できます。VPC ネットワークがリージョン ダイナミック ルーティング モードを使用する場合、同じリージョン内のサブネットへのルートのみがピア ネットワークと共有され、学習したルートは、VPN トンネルとして同じリージョン内のサブネットにのみ適用されます。VPC ネットワークの動的ルーティング モードの詳細については、VPC ネットワークの概要をご覧ください。
  • Google Cloud IP アドレスが外部 VPN ゲートウェイ リソースで構成された場合、HA VPN は Google Cloud IP アドレスを拒否します。この例では、外部 VPN ゲートウェイ リソースの外部 IP アドレスとして、VM インスタンスの外部 IP アドレスを使用しています。Google Cloud HA VPN ゲートウェイへの Google Cloud の作成のドキュメントにあるとおり、HA VPN Google Cloud と Google Cloud を接続するトポロジでサポート対象となるのは、両側で HA VPN が使用される場合のみです。
  • Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成する必要があります。
    • ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
    • 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
    • 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
  • ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。適切な冗長構成の詳細は、デバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれる場合と含まれない場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。
  • ピア VPN ゲートウェイ デバイスは、動的(BGP)ルーティングをサポートする必要があります。

仕様

Cloud VPN の仕様は次のとおりです。

  • Cloud VPN は、VPC ネットワークとレガシー ネットワークで使用できます。VPC では、ネットワークのサブネットで使用される IP アドレスの範囲を完全に制御できるよう、カスタムモードで使用することをおすすめします。詳細については、一般的な VPC ネットワークレガシー ネットワークカスタムモード ネットワークのドキュメントをご覧ください。

    • Classic VPN ゲートウェイと HA VPN ゲートウェイでは、外部の(インターネット ルーティング可能な)IPv4 アドレスを使用します。これらのアドレスに許可されるのは ESP、UDP 500、UDP 4500 のトラフィックのみです。これは、Classic VPN 用に構成した Cloud VPN アドレス、または HA VPN 用に自動的に割り当てられたアドレスに適用されます。

    • VPC ネットワークのサブネットで使用される IP アドレスとオンプレミス サブネットの IP アドレス範囲が重複している場合は、ルートの順序を参照してルーティングの競合の解決方法を確認します。

  • Cloud VPN は、オンプレミス ホストの限定公開の Google アクセスと組み合わせて使用できます。詳細については、限定公開の Google アクセス オプションをご覧ください。

  • 各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたは、ピア VPN ゲートウェイに接続されます。

  • ピア VPN ゲートウェイには静的外部(インターネット ルーティング可能な)IPv4 アドレスが必要です。Cloud VPN を構成するには、IP アドレスが必要です。

    • ピア VPN ゲートウェイがファイアウォールの内側にある場合は、ESP(IPsec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。
  • Cloud VPN では、事前分割をサポートするようピア VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。

  • Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。

ネットワーク帯域幅

各 Cloud VPN トンネルでは、最大 3 Gbps までサポートされます。実際の帯域幅は次の要因によって決まります。

  • Cloud VPN ゲートウェイとピア ゲートウェイ間のネットワーク接続:
    • 2 つのゲートウェイ間のネットワーク帯域幅。Google とのダイレクト ピアリングの関係を確立している場合、VPN トラフィックが公共のインターネット経由で送信されるよりもスループットが高くなります。
    • ラウンド トリップ時間(RTT)とパケットロス。 RTT やパケットロス率が高いと、TCP のパフォーマンスが大幅に低下します。
  • ピア VPN ゲートウェイの機能。詳しくは、使用しているデバイスのドキュメントをご覧ください。
  • パケットサイズ。Cloud VPN で使用される Maximum Transmission Unit(MTU)は 1,460 バイトです。ピア VPN ゲートウェイは、1,460 バイト以下の MTU を使用するように構成してください。パケット単位で処理が発生するため、特定のパケットレートで小さなパケットが多いと全体的なスループットが低下します。ESP オーバーヘッドを考慮すると、VPN トンネル経由でトラフィックを送信しているシステムの MTU 値を MTU トンネルより低い値に設定する必要があります。詳しい説明と推奨事項については、MTU に関する考慮事項をご覧ください。
  • パケットレート。上りと下りの場合、各 Cloud VPN トンネルの推奨最大パケットレートは 1 秒あたり 250,000 パケット(pps)です。パケットを高速で送信する必要がある場合は、VPN トンネルをさらに作成する必要があります。

VPN トンネルの TCP 帯域幅を測定する際には、複数の TCP ストリームを同時に測定する必要があります。iperf ツールを使用する場合、-P パラメータを使用して同時ストリームの数を指定します。

IPsec と IKE のサポート

Cloud VPN では、受信する認証パケットに対するポリシー関連のフィルタリングは行われません。 送信するパケットは、Cloud VPN ゲートウェイで構成されている IP 範囲に基づいてフィルタリングされます。

  • Cloud VPN の認証では、事前共有キー(共有シークレット)のみがサポートされます。Cloud VPN トンネルを作成するときに共有シークレットを指定してください。ピア ゲートウェイでトンネルを作成するときも、同じシークレットを指定する必要があります。詳細については、強力な共有シークレットを作成するためのガイドラインをご覧ください。

  • Cloud VPN でサポートされる暗号や構成パラメータを確認するには、サポートされている IKE の暗号をご覧ください。

UDP カプセル化と NAT-T

Cloud VPN で NAT-T をサポートするようにピアデバイスを構成する方法については、詳細概要の UDP と NAT-T セクションをご覧ください。

トランジット ネットワークとしての Cloud VPN

Cloud VPN を使用する前に、Google Cloud のサービス固有の規約をよくご確認ください。

トランジット ネットワークとしての VPC ネットワーク経由で、トラフィックの通過のみの目的で Cloud VPN トンネルを複数のオンプレミス ネットワークへ接続するのに使用しないでください。このようなハブアンドスポーク構成は、Google Cloud サービス固有の規約に違反しています。

HA VPN のアクティブ / パッシブとアクティブ / パッシブのルーティング オプション

Cloud VPN トンネルは、停止しても自動的に再開されます。仮想 VPN デバイス全体が停止した場合、Cloud VPN では同じ構成の新しいインスタンスが自動的に作成されます。新しいゲートウェイとトンネルは自動的に接続されます。

HA VPN ゲートウェイに接続されている VPN トンネルでは動的(BGP)ルーティングを使用する必要があります。HA VPN トンネルのルート優先度の構成方法に応じて、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を作成できます。どちらのルーティング構成でも、両方の VPN トンネルはアクティブのままです。

次の表では、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を比較しています。

機能 アクティブ / アクティブ アクティブ / パッシブ
スループット 有効な総スループットは、両方のトンネルの結合スループットです。 2 つのアクティブなトンネルを 1 つに減らすと、全体的なスループットは半減し、接続が遅くなる、またはパケットが破棄されます。
ルート アドバタイズ ピア ゲートウェイは、トンネルごとの同一の MED 値を持つピア ネットワークのルートをアドバタイズします。Cloud VPN トンネルを管理する Cloud Router は、同じ優先度の VPC ネットワークのカスタム動的ルートとして、これらをインポートします。

ピア ネットワークに送信された下りトラフィックで等価コスト マルチパス(ECMP)ルーティングが使用されます。同じ Cloud Router も同じ優先度の VPC ネットワークにルートをアドバタイズします。ピア ゲートウェイはこれらのルートを使用して ECMP を使用する Google Cloud に下りトラフィックを送信することもできます。
ピア ゲートウェイは、トンネルごとの異なる MED 値を持つピア ネットワークのルートをアドバタイズします。Cloud VPN トンネルを管理する Cloud Router は、異なる優先度の VPC ネットワークのカスタム動的ルートとして、これらをインポートします。

ピア ネットワークに送信される下りトラフィックは、関連付けられたトンネルが使用可能である限り、最も優先度の高いルートを使用します。同じ Cloud Router もトンネルごとに異なる優先度の VPC ネットワークにルートをアドバタイズします。ピア ゲートウェイは最高優先度のトンネルを使用する Google Cloud にのみトラフィックを送信できます。
フェイルオーバー 1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルである、学習済みのカスタム動的ルートを取り消します。この取り消し処理には最大 40 秒かかり、その間パケットロスが予想されます。 一度に最大 1 つのトンネルを使用しますが、1 つ目のトンネルで障害が発生し、フェイル オーバーが必要なイベントのすべての下り帯域幅を 2 つ目のトンネルで処理できます。

1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルである学習済みのカスタム動的ルートを取り消します。この取り消し処理には最大 40 秒かかり、その間パケットロスが予想されます。

複数のトンネルまたは、ゲートウェイの使用

ピア ゲートウェイの構成によっては、トラフィックの一部がトンネルを通過し、他のトラフィックがルートの優先度(MED 値)によって別のトンネルを通過するようなルートを構築できます。同様に、Cloud Router が VPC ネットワーク ルートの共有に使用する基本優先度を調整できます。これらの状況では、純粋にアクティブ / アクティブまたは、アクティブ / パッシブでもないルーティング構成が考えられます。

単一の HA VPN ゲートウェイを使用する場合は、アクティブ / パッシブのルーティング構成を使用することをおすすめします。この構成では、通常のトンネル操作時に観測された帯域幅容量が、フェイル オーバー時に観測された帯域幅容量と一致します。前述の複数ゲートウェイの場合を除いて、観測された帯域幅の上限は一定のままであるため、このタイプの構成は管理が容易です。

複数の HA VPN ゲートウェイを使用する場合は、アクティブ / アクティブの構成を推奨します。この構成では、通常運用時の観測された帯域幅は、保証されている帯域幅容量の 2 倍になります。ただし、この構成ではトンネルが規定数を下回り、フェイルオーバー時にトラフィックが低下する可能性があります。

Cloud VPN トンネルを介したピア IP アドレスの制限

組織ポリシー管理者は、特定のプロジェクト、フォルダ、組織で新しい Cloud VPN トンネルを作成する際、ユーザーが指定を許可されたピア IP アドレスのセットを定義するために、組織ポリシー制約を作成できます。

ピア ゲートウェイの IP アドレスは、オンプレミス ゲートウェイまたは他の Cloud VPN ゲートウェイの IP アドレスのどちらかにできます。

Resource Manager の制約 constraints/compute.restrictVpnPeerIPs を使用して、新しい Cloud VPN トンネルの作成時にユーザーが指定できるピア IP のリストを制御します。

次の例では、組織ポリシー管理者が、許可されたピア VPN ゲートウェイ IP アドレスを定義する組織ポリシー制約を作成しています。この制約には、IP アドレス 100.1.1.1 のみで構成される allowList があります。

network-a VPC ネットワークを含むプロジェクトのネットワーク管理者は、ピア ゲートウェイの IP アドレス 100.1.1.1 に接続する新しい Cloud VPN トンネルのみを作成できます。この制約により、別のピア ゲートウェイ IP アドレスへの新しい Cloud VPN トンネルを作成できなくなります。

VPN ピアを制限する組織ポリシー(クリックして拡大)
VPN ピアを制限する組織ポリシー(クリックして拡大)

IP アドレスを制限する手順については、以下のページをご覧ください。

考慮事項

  • ピア ゲートウェイの IP アドレスを制限する組織ポリシー制約は、新しい Cloud VPN トンネルにのみ適用されます。制約の適用後に作成された Cloud VPN トンネルは、制約によって禁止されます。詳細については、Resource Manager の階層についてをご覧ください。

  • この制約は、静的ルーティングまたは BGP による動的ルーティングを使用する Classic VPN トンネルや、HA VPN トンネルに適用できます。

  • 1 つの既存のポリシーに複数の allowedList エントリまたは deniedList エントリを指定できますが、両方を同時に使用することはできません。

  • 適切な権限を持つネットワーク管理者は、VPN トンネルのライフサイクルと整合性を管理して、維持する必要があります。

メンテナンスと可用性

Cloud VPN は定期的なメンテナンスを行います。メンテナンス中、Cloud VPN トンネルはオフラインになり、ネットワーク トラフィックが短時間で低下します。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。

Cloud VPN のメンテナンスは、予告なしにいつでも発生する可能性のある通常の運用上の作業です。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。

HA VPN は、高可用性(HA)VPN を構成する場合に推奨される方法です。構成オプションについては、HA VPN トポロジのページをご覧ください。Classic VPN を冗長性とハイスループット オプションに使用する場合は、Classic VPN トポロジのページをご覧ください。

おすすめ

こちらのおすすめの設定を使用して、Cloud VPN を最も効果的な方法で構築してください。

次のステップ