Cloud VPN の概要

このページでは、Google Cloud VPN に関連するコンセプトについて説明します。Cloud VPN のドキュメントで使用される用語の定義については、主な用語をご覧ください。

Cloud VPN は、IPsec VPN 接続を使用してピア ネットワークを Virtual Private Cloud(VPC)ネットワークへ安全に接続します。2 つのネットワーク間のトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。Cloud VPN の 2 つのインスタンスを相互に接続することもできます。

ハイブリッド ネットワーク ソリューションの選択

Google Cloud へのハイブリッド ネットワーク接続として Cloud VPN、Dedicated Interconnect、Partner Interconnect、Cloud Router のどれを使用するかを判断するには、ネットワーク接続プロダクトの選択をご覧ください。

使ってみる

Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Cloud VPN のパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

Cloud VPN の無料トライアル

Cloud VPN のタイプ

Google Cloud には、HA VPN と Classic VPN の 2 種類の Cloud VPN ゲートウェイがあります。

HA VPN への移行については、Classic VPN から HA VPN への移行をご覧ください。

HA VPN

HA VPN は、単一リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを VPC ネットワークに安全に接続できる、高可用性(HA)Cloud VPN ソリューションです。HA VPN は 99.99% のサービス可用性の SLA を提供します。

HA VPN ゲートウェイを作成すると、Google Cloud は 2 つのインターフェースの定数ごとに 1 つずつ、2 つの外部 IP アドレスを自動的に選択します。各 IP アドレスは、高可用性をサポートするため、一意のアドレスプールから自動的に選択されます。各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。HA VPN ゲートウェイを削除すると、Google Cloud はこうした IP アドレスを開放して再利用できるようにします。アクティブ インターフェース 1 つと外部 IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成できますが、この構成では 99.99% のサービス可用性 SLA は提供されません。

HA VPN ゲートウェイは、API ドキュメントと gcloud コマンドでは、ターゲット VPN ゲートウェイではなく、VPN ゲートウェイと呼ばれます。HA VPN ゲートウェイの転送ルールを作成する必要はありません。

HA VPN は、Google Cloud の外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイやゲートウェイに関する情報を Google Cloud に提供します。

HA VPN の要件

HA VPN のサービスレベル可用性を 99.99% にするには、Cloud VPN の構成は次の要件を満たす必要があります。

  • HA VPN ゲートウェイをピア ゲートウェイに接続すると、Google Cloud 側の接続のみ 99.99% の可用性が保証されます。エンドツーエンドでの可用性は、ピア VPN ゲートウェイの適切な構成が条件となります。

  • 両側が Google Cloud ゲートウェイで適切に構成されている場合、99.99% の可用性が保証されます。

  • 両方の VPN ゲートウェイが VPC ネットワーク内にある場合に高可用性を実現するには、2 つの HA VPN ゲートウェイを使用し、その両方を同じリージョンに配置する必要があります。

    両方のゲートウェイを同じリージョンに配置する必要がある場合でも、VPC ネットワークがグローバル ダイナミック ルーティング モードを使用していれば、ゲートウェイが相互に共有するサブネットへのルートは、どのリージョンでも配置できます。VPC ネットワークでリージョン動的ルーティング モードが使用されている場合、同じリージョン内のサブネットへのルートのみがピア ネットワークと共有されます。学習したルートは、VPN トンネルと同じリージョン内のサブネットにのみ適用されます。

    詳細については、動的ルーティング モードをご覧ください。

  • HA VPN は、外部 VPN ゲートウェイ リソースで構成された Google Cloud IP アドレスを拒否します。たとえば、外部 VPN ゲートウェイ リソースの外部 IP アドレスとして VM インスタンスの外部 IP アドレスを使用します。両側で HA VPN が使用されている場合にのみ、Google Cloud ネットワーク間の HA VPN トポロジがサポートされます。詳細については、Google Cloud ネットワーク間の HA VPN の作成をご覧ください。

  • Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成します。

    • ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
    • 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
    • 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
  • ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。冗長ハードウェア構成の詳細はデバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれている場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。

    ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。

  • ピア VPN ゲートウェイ デバイスは、動的(BGP)ルーティングをサポートする必要があります。

次の図は、トポロジに 2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含む HA VPN のコンセプトを示しています。より詳細な HA VPN トポロジ(構成シナリオ)については、Cloud VPN トポロジをご覧ください。

2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ
2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)

Classic VPN

一方、Classic VPN ゲートウェイには 1 つのインターフェースと 1 つの外部 IP アドレスがあり、動的(BGP)または静的ルーティング(ポリシーベースまたはルートベース)を使用するトンネルがサポートされます。これにより、サービス可用性 99.9% の SLA を提供します。

サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。

API ドキュメントと gcloud コマンドライン ツールでは、Classic VPN はターゲット VPN ゲートウェイと表記されています。

比較表

次の表に、HA VPN の機能と Classic VPN の機能の比較を示します。

機能 HA VPN Classic VPN
SLA 2 つのインターフェースと 2 つの外部 IP アドレスで構成されている場合は、99.99% の SLA を提供します。 99.9% の SLA を提供します。
外部 IP アドレスと転送ルールの作成 プールから作成された外部 IP アドレス。転送ルールは必要ありません。 外部 IP アドレスと転送ルールを作成する必要があります。
サポートされているルーティング オプション 動的ルーティング(BGP)のみ。 静的ルーティング(ポリシーベース、ルートベース)または BGP を使用した動的ルーティング。
1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル サポート対象 サポート対象外
API リソース vpn-gateway リソースともいいます。 target-vpn-gateway リソースともいいます。

仕様

Cloud VPN の仕様は次のとおりです。

  • Cloud VPN では、このセクションに記載されている要件に従って、サイト間の IPsec VPN 接続のみがサポートされます。クライアントからゲートウェイへの接続はサポートされていません。つまり、クライアント PC がクライアント VPN ソフトウェアを使用して VPN にダイヤルインするユースケースはサポートされていません。

    クラウド VPN は IPsec のみをサポートします。他の VPN テクノロジー(SSL VPN など)はサポートされていません。

  • Cloud VPN は、VPC ネットワークとレガシー ネットワークで使用できます。VPC ネットワークの場合、カスタムモードの VPC ネットワークをおすすめします。これにより、ネットワーク内のサブネットで使用される IP アドレス範囲を完全に制御できます。

    • Classic VPN ゲートウェイと HA VPN ゲートウェイでは、外部の(インターネット ルーティング可能な)IPv4 アドレスを使用します。これらのアドレスに許可されるのは ESP、UDP 500、UDP 4500 のトラフィックのみです。これは、Classic VPN 用に構成した Cloud VPN アドレス、または HA VPN 用に自動的に割り振られた IP アドレスに適用されます。

    • VPC ネットワーク内のサブネットで使用される IP アドレスとオンプレミス サブネットの IP アドレス範囲が重複する場合は、ルートの順序を参照して、ルーティング競合の解決方法を確認してください。

  • 次の Cloud VPN トラフィックは Google の本番環境ネットワーク内に残ります。

    • 2 つの HA VPN ゲートウェイ間
    • 2 つの Classic VPN ゲートウェイ間
    • Classic VPN ゲートウェイと、VPN ゲートウェイとして機能する Compute Engine VM の外部 IP アドレスの間
  • Cloud VPN は、オンプレミス ホストの限定公開の Google アクセスで使用できます。詳細については、サービスのプライベート アクセス オプションをご覧ください。

  • 各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたは、ピア VPN ゲートウェイに接続されます。

  • ピア VPN ゲートウェイには静的外部(インターネット ルーティング可能な)IPv4 アドレスが必要です。Cloud VPN を構成するには、この IP アドレスが必要です。

    • ピア VPN ゲートウェイがファイアウォール ルールの内側にある場合は、ESP(IPsec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォール ルールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。
  • Cloud VPN では、事前分割をサポートするようピア VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。

  • Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。

  • Cloud VPN は GRE トラフィック(プレビュー版)をサポートします。GRE のサポートにより、インターネット(外部 IP アドレス)と Cloud VPN または Cloud Interconnect(内部 IP アドレス)から VM への GRE トラフィックを終了できます。カプセル化解除されたトラフィックは到達可能な宛先に転送できます。GRE を使用すると、セキュア アクセス サービスエッジ(SASE)や SD-WAN などのサービスを使用できます。GRE トラフィックを許可するには、ファイアウォール ルールを作成する必要があります。

ネットワーク帯域幅

各 Cloud VPN トンネルでは、上り(内向き)と下り(外向き)を合わせて 3 ギガビット/秒(Gbps)までサポートされます。

この上限に関連する指標は、Sent bytesReceived bytes です。詳しくは、Cloud VPN のモニタリング指標をご覧ください。指標の単位はバイトで、3 Gbps の上限は 1 秒あたりのビット数を表します。バイト数に変換した場合、上限は 375 MB/秒(MBps)になります。上限に対する使用量を測定する場合は、Sent bytesReceived bytes の合計値を変換後の上限(375 MBps)と比較します。

アラート ポリシーを作成する方法については、VPN トンネル帯域幅にアラートを定義するをご覧ください。

帯域幅に影響する要因

実際の帯域幅は次の要因によって決まります。

  • Cloud VPN ゲートウェイとピア ゲートウェイ間のネットワーク接続:

    • 2 つのゲートウェイ間のネットワーク帯域幅。Google とのダイレクト ピアリングの関係が確立していれば、VPN トラフィックが公共のインターネット経由で送信される場合よりもスループットが高くなります。

    • ラウンド トリップ時間(RTT)とパケットロス。RTT やパケットロス率が高いと、TCP のパフォーマンスが大幅に低下します。

  • ピア VPN ゲートウェイの機能。詳細については、デバイスのドキュメントをご覧ください。

  • パケットサイズ。Cloud VPN で使用される Maximum Transmission Unit(MTU)は 1,460 バイトです。ピア VPN ゲートウェイは、1,460 バイト以下の MTU を使用するように構成してください。パケット単位で処理が発生するため、特定のパケットレートで小さなパケットが多いと全体的なスループットが低下します。ESP オーバーヘッドを考慮すると、VPN トンネル経由でトラフィックを送信しているシステムの MTU 値を MTU トンネルより低い値に設定する必要があります。詳しい説明と推奨事項については、MTU に関する考慮事項をご覧ください。

  • パケットレート。上りと下りの場合、各 Cloud VPN トンネルの推奨最大パケットレートは 1 秒あたり 250,000 パケット(pps)です。パケットを高速で送信する必要がある場合は、さらに VPN トンネルを作成する必要があります。

VPN トンネルの TCP 帯域幅を測定する際には、複数の TCP ストリームを同時に測定する必要があります。iperf ツールを使用している場合は、-P パラメータを使用して同時ストリームの数を指定します。

トンネル MTU

Cloud VPN では常に 1,460 バイトの MTU が使用されます。トンネルの片側の VM とネットワークで MTU が高い場合、Cloud VPN は MSS クランプを使用して TCP MTU を 1460 に減らします。VPN ゲートウェイは、パス MTU 検出(PMTUD)を有効にするため、ICMP エラー メッセージを使用して UDP パケットに低い MTU を設定する場合もあります。

UDP パケットがドロップされた場合、トンネル全体で通信を行う特定の VM の MTU を減らすことができます。Windows VM とユーザー提供イメージの場合は、MTU を低く設定します。Google が提供する Linux イメージの場合、これらの VM の DHCP MTU の更新も無効にする必要があります。

IPsec と IKE のサポート

Cloud VPN は、IKE 事前共有キー(共有シークレット)と IKE 暗号を使用した IKEv1IKEv2 をサポートしています。Cloud VPN の認証では、事前共有キーのみがサポートされます。Cloud VPN トンネルを作成する場合は、事前共有キーを指定します。ピア ゲートウェイでトンネルを作成する場合は、同じ事前共有キーを指定します。

Cloud VPN は、認証でトンネルモードの ESP をサポートしますが、AH またはトランスポート モードの ESP はサポートしません。

Cloud VPN では、受信する認証パケットに対するポリシー関連のフィルタリングは行われません。送信するパケットは、Cloud VPN ゲートウェイで構成されている IP 範囲に基づいてフィルタリングされます。

強力な事前共有キーを作成するためのガイドラインについては、強力な事前共有キーの生成をご覧ください。Cloud VPN でサポートされる暗号や構成パラメータを確認するには、サポートされている IKE の暗号をご覧ください。

UDP カプセル化と NAT-T

Cloud VPN で NAT-Traversal(NAT-T)をサポートするようピアデバイスを構成する方法については、「高度な概要」の UDP カプセル化をご覧ください。

データ転送ネットワークとしての Cloud VPN

Cloud VPN を使用する前に、Google Cloud の一般利用規約の第 2 条をよくお読みください。

Network Connectivity Center を使用すると、HA VPN トンネルを使用して、オンプレミス ネットワークを相互接続し、データ転送ネットワークとしてトラフィックを受け渡すことができます。オンプレミスのロケーションごとにトンネルのペアを使用して Network Connectivity Center のスポークに接続し、ネットワークに接続します。各スポークをネットワーク接続センターのハブに接続します。

Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。

HA VPN のアクティブ / パッシブとアクティブ / パッシブのルーティング オプション

Cloud VPN トンネルは、停止しても自動的に再開されます。仮想 VPN デバイス全体が停止した場合、Cloud VPN では同じ構成の新しいインスタンスが自動的に作成されます。新しいゲートウェイとトンネルは自動的に接続されます。

HA VPN ゲートウェイに接続されている VPN トンネルでは動的(BGP)ルーティングを使用する必要があります。HA VPN トンネルのルート優先度の構成方法に応じて、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を作成できます。どちらのルーティング構成でも、両方の VPN トンネルはアクティブのままです。

次の表では、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を比較しています。

機能 アクティブ / アクティブ アクティブ / パッシブ
スループット 有効な総スループットは、両方のトンネルの結合スループットです。 2 つのアクティブなトンネルを 1 つに減らすと、全体的なスループットは半減し、接続が遅くなるか、パケットが破棄されます。
ルート アドバタイズ

ピア ゲートウェイは、トンネルごとに同一の MED 値を持つピア ネットワークのルートをアドバタイズします。

Cloud VPN トンネルを管理する Cloud Router は、同じ優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。

ピア ネットワークに送信された下り(外向き)トラフィックで等価コスト マルチパス(ECMP)ルーティングが使用されます。

同じ Cloud Router が同じ優先度を使用して VPC ネットワークへのルートをアドバタイズします。

ピア ゲートウェイは、これらのルートを ECMP で使用し Google Cloud に下り(外向き)トラフィックを送信します。

ピア ゲートウェイは、トンネルごとに異なる MED 値を持つピア ネットワークのルートをアドバタイズします。

Cloud VPN トンネルを管理する Cloud Router は、異なる優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。

ピア ネットワークに送信される下り(外向き)トラフィックは、関連付けられたトンネルが使用可能である限り、最も優先度の高いルートを使用します。

同じ Cloud Router は、各トンネルの異なる優先度を使用して、VPC ネットワークにルートをアドバタイズします。

ピア ゲートウェイは、優先度が最も高いトンネルを使用して、Google Cloud にトラフィックを送信します。

フェイルオーバー

1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルで、学習済みのカスタム動的ルートを取り消します。この取り消し処理には最大 40 秒かかり、その間パケットロスが予想されます。

1 つのトンネルが使用不能になった場合、Cloud Router はネクストホップが使用不能なトンネルで、学習済みのカスタム動的ルートを取り消します。この取り消し処理には最大 40 秒かかり、その間パケットロスが予想されます。

一度に最大 1 つのトンネルを使用します。最初のトンネルで障害が発生し、もう一方のトンネルでフェイルオーバーが必要な場合、2 番目のトンネルですべての下り(外向き)帯域幅を処理できます。

フルメッシュ トポロジでのアクティブ / パッシブ ルーティング

Cloud Router が特定の Cloud VPN インターフェースを介して異なる MED 値を持つ同じ接頭辞を受信すると、優先度が最も高いルートのみが VPC ネットワークにインポートされます。他の無効なルートは、Google Cloud Console または gcloud コマンドライン ツールに表示されません。優先度の最も高いルートが利用できなくなった場合、Cloud Router によってルートが取り消され、次の最適ルートが VPC ネットワークに自動的にインポートされます。

複数のトンネルまたはゲートウェイの使用

ピア ゲートウェイの構成によっては、優先度(MED 値)に応じてトンネルを通過するトラフィックを変更できるルートの作成が可能です。同様に、Cloud Router が VPC ネットワーク ルートの共有に使用する基本優先度を調整できます。これらの状況では、純粋にアクティブ / アクティブまたは、アクティブ / パッシブでもないルーティング構成が考えられます。

単一の HA VPN ゲートウェイを使用する場合は、アクティブ / パッシブのルーティング構成を使用することをおすすめします。この構成では、通常のトンネル操作時に観測された帯域幅容量が、フェイル オーバー時に観測された帯域幅容量と一致します。前述の複数ゲートウェイの場合を除いて、観測された帯域幅の上限は一定のままであるため、このタイプの構成は管理が容易です。

複数の HA VPN ゲートウェイを使用する場合は、アクティブ / アクティブ ルーティング構成の使用をおすすめします。この構成では、通常のトンネル運用時の観測された帯域幅が、保証されている帯域幅容量の 2 倍になります。ただし、この構成ではトンネルが規定数を下回り、フェイルオーバー時にトラフィックが低下する可能性があります。

Cloud VPN トンネルを経由したピア IP アドレスの制限

組織ポリシー管理者は、特定のプロジェクト、フォルダ、組織で新しい Cloud VPN トンネルを作成する際、ユーザーが指定を許可されたピア IP アドレスのセットを定義する組織ポリシー制約を作成できます。

ピア ゲートウェイの IP アドレスには、オンプレミス ゲートウェイまたは他の Cloud VPN ゲートウェイの IP アドレスのいずれかを使用できます。

新しい Cloud VPN トンネルの作成時に指定できるピア IP アドレスのリストを制御するには、Resource Manager 制約 constraints/compute.restrictVpnPeerIPs を使用します。

次の例では、組織ポリシーの管理者が、許可されたピア VPN ゲートウェイの IP アドレスを定義する組織ポリシー制約を作成します。この制約は、IP アドレス 100.1.1.1 のみで構成される allowList を持ちます。

network-a VPC ネットワークを含むプロジェクトのネットワーク管理者は、ピア ゲートウェイの IP アドレス 100.1.1.1 に接続する新しい Cloud VPN トンネルのみを作成できます。この制約により、別のピア ゲートウェイ IP アドレスへの新しい Cloud VPN トンネルを作成できなくなります。

VPN ピアを制限する組織のポリシー。
VPN ピアを制限する組織ポリシー(クリックして拡大)

IP アドレスの制限方法については、以下のページをご覧ください。

考慮事項

  • ピア ゲートウェイの IP アドレスを制限する組織ポリシーの制約は、新しい Cloud VPN トンネルにのみ適用されます。制約を適用すると、Cloud VPN トンネルの作成が禁止されます。詳細については、Resource Manager の階層についてをご覧ください。

  • この制約は、静的ルーティングまたは BGP による動的ルーティングを使用する Classic VPN トンネルや、HA VPN トンネルに適用できます。

  • 1 つの既存のポリシーに複数の allowedList エントリまたは deniedList エントリを指定できますが、両方を同時に使用することはできません。

  • 適切な権限を持つネットワーク管理者は、VPN トンネルのライフサイクルと整合性を管理して、維持する必要があります。

メンテナンスと可用性

Cloud VPN は定期的なメンテナンスを行います。メンテナンス中、Cloud VPN トンネルはオフラインになり、ネットワーク トラフィックが短時間で低下します。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。

Cloud VPN のメンテナンスは通常の運用作業ですが、予告なしに行われる可能性があります。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。

HA VPN は、高可用性 VPN を構成する場合に推奨の方法です。構成オプションについては、HA VPN トポロジのページをご覧ください。Classic VPN を冗長性とハイスループット オプションに使用する場合は、Classic VPN トポロジのページをご覧ください。

ベスト プラクティス

Cloud VPN を効果的に構築するには、こちらのベスト プラクティスを使用してください。

次のステップ

  • VPN トンネルとゲートウェイを維持するためのリソースを確認するには、入門ガイドの VPN の管理をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。