Cloud VPN のトポロジ

Cloud VPN では、オンプレミス ホストが 1 つ以上の IPsec VPN トンネルを介してプロジェクトの VPC ネットワーク内の Compute Engine 仮想マシン(VM)インスタンスと通信します。

このページでは、推奨する HA VPN のトポロジについて説明します。Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。両方の VPN タイプの詳細については、Cloud VPN の概要をご覧ください。

Cloud VPN の基本コンセプトについては、Cloud VPN の概要をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジまたは構成シナリオでサイト間 VPN をサポートします。次の用途に対する適切な構成シナリオは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。

  • 1 台の HA VPN ゲートウェイを複数のピア VPN デバイスに接続。このようなトポロジはすべて、HA VPN ゲートウェイの視点から 2 つの VPN トンネルが必要です。最適なトポロジは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。
    • 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別の外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つの外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つの外部 IP アドレスを持つ。
  • 1 台の HA VPN ゲートウェイを 1 台の AWS 仮想プライベートゲートウェイに接続し、ピア ゲートウェイは 4 つのインターフェースを持つ構成。
  • 2 台の HA VPN ゲートウェイ間を接続

99.99% の可用性をサポートする構成

HA VPN 接続で 99.99% の可用性 SLA を保証するには、HA VPN ゲートウェイからピア VPN ゲートウェイ、または別の HA VPN ゲートウェイへの、2 つまたは 4 つのトンネルを適切に構成する必要があります。

適切に構成するとは、HA VPN ゲートウェイの全インターフェースとピア ゲートウェイの全インターフェース、または他の HA VPN ゲートウェイと接続することにより、VPN トンネルが十分な冗長性を提供する必要があるということです。

以降の各セクションでは、VPN 接続の両端でトンネルを構成して、99.99% の可用性を確保する方法について説明します。

帯域幅を拡大する HA VPN の構成

HA VPN の帯域幅を拡大するための推奨方法は、次の方法でスケーリングされます。

既存の HA VPN ゲートウェイの各インターフェースに接続された複数のトンネルをデプロイするのではなく、ゲートウェイをスケーリングします(蝶ネクタイ型構成)。

同じピア VPN ゲートウェイ(外部の VPN ゲートウェイ リソース)に、Cloud VPN の割り当ておよび上限から許される限りのトンネルを追加して、複数の HA VPN ゲートウェイを接続できます。

下に 10 Gbps スループットの HA VPN ゲートウェイの例を示します。次の Google Cloud リソースを使用しています。

  • Cloud Router x 1
  • 合計 8 つの VPN トンネル用に、それぞれ 2 つのトンネルを備えた HA VPN ゲートウェイ x 4
  • 合計で BGP セッション x 8

この構成では、BGP セッションのアクティブ / パッシブ MED 構成が、ゲートウェイごとに interface 0interface 1 のそれぞれに用意されていることを想定しています。つまり、4 つの interface 0 トンネルがアクティブで、4 つの interface 1 トンネルがパッシブです。

HA VPN とピア VPN ゲートウェイ間

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ個別の IP アドレスを持つ 2 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、2 つの個別 IP アドレスを使用する 1 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN デバイスに接続。

こうした構成を設定するには、HA VPN とピア VPN ゲートウェイ間接続の作成をご覧ください。

2 台のピア VPN デバイス

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することで、ピア側でも冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。いずれかのゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピアデバイスに接続します。各ピアデバイスには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピアデバイスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)
HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)

2 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、ピアデバイスの外部 IP アドレスそれぞれにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE でも、値は TWO_IPS_REDUNDANCY になります。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

1 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが 1 つの外部 IP アドレスを持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、2 つのトンネルを使用し、両方がピアデバイスの外部 IP アドレスに接続されます。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が SINGLE_IP_INTERNALLY_REDUNDANT になります。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

AWS ピア ゲートウェイ

HA VPN 外部 VPN ゲートウェイを Amazon Web Services(AWS)に構成する場合、サポートされるトポロジには、それぞれ 2 つの外部 IP アドレスを持つ AB の 2 つの AWS 仮想プライベート ゲートウェイが必要です。このトポロジでは、AWS で A1A2B1、および B2 の合計 4 つの外部 IP アドレスが生成されます。

  1. 4 つの AWS IP アドレスを、FOUR_IPS_REDUNDANCY を使用して外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、99.99% の SLA を達成します。次の構成を使用します。
    • HA VPN インターフェース 0 と AWS インターフェース 0
    • HA VPN インターフェース 0 と AWS インターフェース 1
    • HA VPN インターフェース 1 と AWS インターフェース 2
    • HA VPN インターフェース 1 と AWS インターフェース 3

Amazon Web Services(AWS)で HA VPN を構成するための全般的な構成手順の概要。

  1. HA VPN ゲートウェイと Cloud Router を作成します。これにより、GCP 側に 2 つの外部 IP アドレスが作成されます。
  2. 2 つの AWS 仮想プライベート ゲートウェイを作成します。これにより、AWS 側に 4 つの外部アドレスが作成されます。
  3. AWS 仮想プライベート ゲートウェイごとに 1 つずつ、2 つの AWS Site-to-Site VPN 接続とカスタマー ゲートウェイを作成します。各トンネルで重複しないように、リンクローカル トンネル IP 範囲を 4 つ指定します。例えば、169.254.1.4/30 です。
  4. 汎用デバイスタイプの AWS 構成ファイルをダウンロードします。
  5. HA VPN ゲートウェイで 4 つの VPN トンネルを作成します。
  6. ダウンロードした AWS 構成ファイルの BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

99.99% の可用性を保証

Google Cloud 側で 99.99% の SLA をサポートするには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合、各ピア インターフェースから各 HA VPN ゲートウェイ インターフェースへの 2 つのトンネルを構成すると、99.99% の SLA 要件を満たします。フルメッシュ構成は、Google Cloud 側での 99.99% SLA の要件ではありません。この場合、フルメッシュ構成とは、Google Cloud 側からの合計 4 つのトンネルに対して、各 HA VPN インターフェースからピア ゲートウェイ上の 2 つのインターフェースへの 2 つのトンネルとして定義されます。ピア(オンプレミス)VPN デバイスのドキュメントをご覧いただくか、VPN ベンダーに問い合わせて、フルメッシュ構成が推奨されるかどうかを確認してください。

次の例では、99.99% の可用性が実現されます。

この構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 台のピアデバイスに 2 つのインターフェースの図と、1 台のピアデバイスに 2 つのインターフェースの図を示します。

ピア ゲートウェイにピア インターフェースが 1 つしかない場合、各 HA VPN ゲートウェイ インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。この例を、1 台のピアデバイスに 1 つのインターフェースの図に示します。

次の例では、99.99% の可用性が実現されません。

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ(クリックして拡大)
高可用性が実現されないトポロジ(クリックして拡大)

Google Cloud と Google Cloud HA VPN ゲートウェイの接続

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。

Google Cloud と Google Cloud HA VPN ゲートウェイの接続(クリックして拡大)
Google Cloud と Google Cloud HA VPN ゲートウェイの接続(クリックして拡大)

それぞれの HA VPN ゲートウェイからみて、次の両方が成り立つトンネルを 2 つ作成します。

  • 一方の HA VPN ゲートウェイの interface 0 と、他方の HA VPN の interface 0 を接続
  • 一方の HA VPN ゲートウェイの interface 1 と、他方の HA VPN の interface 1 を接続。

この構成を設定するには、HA VPN と HA VPN ゲートウェイ間の接続の作成をご覧ください。

99.99% の可用性を保証

HA VPN と HA VPN ゲートウェイの接続で 99.99% の可用性を実現するには、両方のゲートウェイで次のインターフェースが対応している必要があります。

  • HA VPN の interface 0 に対し HA VPN の interface 0
  • HA VPN の interface 1 に対し HA VPN の interface 1

次のステップ