HA VPN トポロジ

Cloud VPN では、オンプレミス ホストが 1 つ以上の IPsec VPN トンネルを介してプロジェクトの Virtual Private Cloud(VPC)ネットワーク内の Compute Engine 仮想マシン(VM)インスタンスと通信します。

このページでは、推奨する HA VPN のトポロジについて説明します。Classic VPN トポロジについては、Classic VPN トポロジをご覧ください。両方の VPN タイプを含む Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

このページで使用している用語の定義については、主な用語をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジまたは構成シナリオでサイト間 VPN をサポートします。次の用途に対する適切な構成シナリオは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。

  • 1 台の HA VPN ゲートウェイを複数のピア VPN デバイスに接続。次のトポロジは、HA VPN ゲートウェイの視点から 2 つの VPN トンネルが必要です。最適なトポロジは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。
    • 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別の外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つの外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つの外部 IP アドレスを持つ。
  • 1 台の HA VPN ゲートウェイを 1 台の Amazon Web Services(AWS)仮想プライベート ゲートウェイに接続し、ピア ゲートウェイは、4 つのインターフェースを持つ構成。
  • 2 台の HA VPN ゲートウェイ間を接続

  • Cloud Interconnect を介した HA VPN の 2 つの VLAN アタッチメントに関連付けられている 1 つ以上の HA VPN ゲートウェイ。各 HA VPN ゲートウェイは 1 つ以上のピア VPN デバイスに接続されます。

    このトポロジでは、HA VPN トンネルを作成して、IPsec で暗号化されたトラフィックを Dedicated Interconnect または Partner Interconnect の VLAN アタッチメント経由で伝送します。HA VPN ゲートウェイのリージョン内部 IP アドレス範囲を予約できます。ピア VPN デバイスに内部 IP アドレスを割り当てることもできます。詳細とアーキテクチャ図については、Cloud Interconnect を介した HA VPN の概要をご覧ください。

99.99% の可用性をサポートする構成

HA VPN 接続で 99.99% の可用性 SLA を保証するには、HA VPN ゲートウェイからピア VPN ゲートウェイ、または別の HA VPN ゲートウェイへの、2 つまたは 4 つのトンネルを適切に構成します。

適切に構成するとは、HA VPN ゲートウェイの全インターフェースとピア VPN ゲートウェイの全インターフェース、または他の HA VPN ゲートウェイと接続することにより、VPN トンネルが十分な冗長性を提供する必要があるということです。

以降の各セクションでは、VPN 接続の両端でトンネルを構成して、99.99% の可用性を確保する方法について説明します。

帯域幅を拡大する HA VPN の構成

HA VPN ゲートウェイの帯域幅を増やすには、HA VPN トンネルを追加します。

必要なトンネルの数を計算するには、各トンネルで利用可能な上り(内向き)と下り(外向き)の帯域幅の合計として 3 Gbps を使用します。たとえば、上り(内向き)と下り(外向き)に 12 Gbps が必要な場合は、4 つのトンネルを同時に使用する必要があります(12 ÷ 3 = 4)。VPN 帯域幅の計算の詳細については、ネットワーク帯域幅をご覧ください。

HA VPN の帯域幅を増やす場合は、次のガイドラインを考慮してください。

  • VPN トンネルの割り当てを確認する

    HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続している場合を除き、各 HA VPN ゲートウェイは各インターフェースで無制限の数の VPN トンネルをサポートします。

    ただし、VPN トンネルの割り当てにより、プロジェクト内の VPN トンネルの合計数が制限されます。

  • HA VPN ゲートウェイを追加して、2 つの HA VPN 間にトンネルを追加する

    HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続する場合、インターフェースごとの 1 つのトンネル(0 または 1)は、もう一方の HA VPN ゲートウェイで対応するインターフェース(0 または 1)にのみ接続できます。つまり、HA VPN ゲートウェイのペア間で、最大 2 つの HA VPN トンネルがあります。

    そのため、HA VPN ゲートウェイ間の VPN トンネルの数を増やすには、HA VPN ゲートウェイの追加ペアを作成する必要があります。

  • VPN トンネルのペアを追加する

    HA VPN とオンプレミス ピア VPN ゲートウェイの間の帯域幅を増やすには、VPN トンネルのペアを追加します。

    たとえば、2 つのトンネル(1 つはアクティブ、1 つはパッシブ)のオンプレミス ピア VPN ゲートウェイに接続する HA VPN ゲートウェイの帯域幅を 2 倍にするには、2 つの VPN トンネルを追加します。アクティブ トンネルとパッシブ トンネルをそれぞれ 1 つずつ追加します。

    4 つのトンネルの BGP セッションはすべて同じ接頭辞を受け取ります。2 つのアクティブ トンネルは、同じ高い優先度を持つ接頭辞を受け取り、2 つのパッシブ トンネルは同じ低い優先度の接頭辞を受け取ります。

  • ピア VPN ゲートウェイのインターフェースを照合する

    99.99% の稼働時間の SLA を継続して得るには、ピア VPN ゲートウェイのインターフェースを一致させる必要があります。

    オンプレミス VPN ゲートウェイに接続する HA VPN ゲートウェイの帯域幅を 2 倍にする場合は、ピア VPN ゲートウェイのインターフェースとトンネルを照合します。インターフェース 0 に 2 つのアクティブ トンネルを配置し、インターフェース 1 に 2 つのパッシブ トンネルを配置します。または、インターフェース 1 に 2 つのアクティブ トンネルを配置し、インターフェース 0 に 2 つのパッシブ トンネルを配置します。

帯域幅の増加の例

12 Gbps スループットを持つオンプレミス ピア VPN ゲートウェイへの HA VPN 接続で使用される Google Cloud リソースのリストは次のとおりです。

  • 1 つの Cloud Router
  • 1 つの HA VPN ゲートウェイと、次の合計 8 つの VPN トンネル。
    • インターフェース 0 に接続された 4 つのアクティブ トンネル
    • インターフェース 1 に接続された 4 つのパッシブ トンネル
  • 合計 8 つの BGP セッション(各 BGP セッションが 1 つの HA VPN トンネルに対応)

HA VPN とピア VPN ゲートウェイ間

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ個別の IP アドレスを持つ 2 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、2 つの個別 IP アドレスを使用する 1 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN デバイスに接続。

こうした構成を設定するには、HA VPN とピア VPN ゲートウェイ間の接続を作成するをご覧ください。

IPv4 と IPv6 のデュアルスタック タイプを使用した HA VPN ゲートウェイをデプロイすると、VPN トンネルで IPv6 トラフィックの交換をサポートできます。VPN トンネル用に作成する BGP セッションでも IPv6 を有効にする必要があります。このシナリオでは、以下のトポロジでオンプレミス サブネットと VPC サブネットに IPv6 アドレスを割り当てることができます。

2 台のピア VPN デバイス

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することで、ピア側でも冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。いずれかのゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピアデバイスに接続します。各ピアデバイスには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピアデバイスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性が実現されます。

HA VPN を 2 台のピア(オンプレミス)デバイスに接続。
HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)

2 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、ピアデバイスの外部 IP アドレスそれぞれにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性が実現されます。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続。
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

1 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが 1 つの外部 IP アドレスを持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、2 つのトンネルを使用し、両方がピアデバイスの外部 IP アドレスに接続されます。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が SINGLE_IP_INTERNALLY_REDUNDANT になります。

次の例では、99.99% の可用性が実現されます。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続。
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

99.99% の可用性の保証

Google Cloud 側で 99.99% の SLA をサポートするには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合、各ピア インターフェースから各 HA VPN ゲートウェイ インターフェースへの 2 つのトンネルを構成すると、99.99% の SLA 要件を満たします。フルメッシュ構成は、Google Cloud 側での 99.99% SLA の要件ではありません。この場合、フルメッシュ構成とは、Google Cloud 側からの合計 4 つのトンネルに対して、各 HA VPN インターフェースからピア ゲートウェイ上の 2 つのインターフェースへの 2 つのトンネルとして定義されます。VPN ベンダーがフルメッシュ構成を推奨しているかどうかについては、ピア(オンプレミス)VPN デバイスのドキュメントをご覧になるか、VPN ベンダーにお問い合わせください。

2 つのピア インターフェースを持つ構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 台のピアデバイスに 2 つのインターフェースの図と、1 台のピアデバイスに 2 つのインターフェースの図を示します。

ピア ゲートウェイにピア インターフェースが 1 つしかない場合、各 HA VPN ゲートウェイ インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。1 台のピアデバイスに 1 つのインターフェースの図をご覧ください。

次の例では、99.99% の可用性が実現されません

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ。
高可用性が実現されないトポロジ(クリックして拡大)

HA VPN と AWS ピア ゲートウェイ間

HA VPN 外部 VPN ゲートウェイを Amazon Web Services(AWS)に構成する場合は、トランジット ゲートウェイか、仮想プライベート ゲートウェイを使用できます。等価コスト マルチパス(ECMP)ルーティングをサポートしているのはトランジット ゲートウェイのみです。有効にすると、ECMP はアクティブなトンネル間でトラフィックを均等に分散します。サポートされているトポロジでは、それぞれ 2 つの外部 IP アドレスを持つ 2 つの AWS サイト間 VPN 接続(AB)が必要です。このトポロジでは、AWS で A1A2B1、および B2 の 4 つの外部 IP アドレスが生成されます。

  1. 4 つの AWS IP アドレスを、FOUR_IPS_REDUNDANCY を使用して外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
    • HA VPN interface 0 と AWS interface 0
    • HA VPN interface 0 と AWS interface 1
    • HA VPN interface 1 と AWS interface 2
    • HA VPN interface 1 と AWS interface 3

AWS を使用して HA VPN を設定します。

  1. Google Cloud で、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、ゲートウェイ インターフェースごとに 1 つずつで、2 つの外部 IP アドレスが作成されます。次のステップで使用するために外部 IP アドレスを記録します。
  2. AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
    • ダイナミック ルーティング オプション
    • Cloud Router の Google ASN
    • Google Cloud HA VPN ゲートウェイの外部 IP アドレス(interfaces 01
  3. 使用している AWS VPN オプションに対応する手順を行います。
    • トランジット ゲートウェイ
      1. 最初の顧客ゲートウェイ(interface 0)のトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
    • 仮想プライベート ゲートウェイ
      1. 次の情報を使用して、最初の顧客ゲートウェイ(interface 0)のサイト間 VPN 接続を作成します
        • 仮想プライベート ゲートウェイターゲット ゲートウェイ タイプ
        • ダイナミック ルーティング オプション
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
  4. 作成した両方の接続で AWS 構成ファイルをダウンロードします。ファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。
  5. Google Cloud で次の操作を行います。
    1. 前の手順でダウンロードしたファイルからの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
    2. 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした各 AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵によって、HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
    3. ダウンロードした AWS 構成ファイルから BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

Google Cloud ネットワーク間の HA VPN

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。両方の HA VPN ゲートウェイが同じリージョンにある必要があります。

IPv4 と IPv6 のデュアルスタック タイプで 2 つの HA VPN ゲートウェイをデプロイすると、VPN トンネルで IPv6 トラフィックの交換をサポートできます。VPN トンネル用に作成する BGP セッションでも IPv6 を有効にする必要があります。このシナリオでは、以下のトポロジで VPC サブネットに IPv6 アドレスを割り当てることができます。

次の例では、99.99% の可用性が実現されます。

Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

それぞれの HA VPN ゲートウェイからみて、次の両方が成り立つトンネルを 2 つ作成します。

  • 一方の HA VPN ゲートウェイの interface 0 と、他方の HA VPN の interface 0 を接続
  • 一方の HA VPN ゲートウェイの interface 1 と、他方の HA VPN の interface 1 を接続

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイの作成をご覧ください。

99.99% の可用性の保証

HA VPN と HA VPN ゲートウェイの接続で 99.99% の可用性を実現するには、両方のゲートウェイで次のインターフェースが対応している必要があります。

  • HA VPN の interface 0 に対し HA VPN の interface 0
  • HA VPN の interface 1 に対し HA VPN の interface 1

次のステップ

  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。