Cloud VPN のトポロジ

Cloud VPN では、オンプレミス ホストが 1 つ以上の IPsec VPN トンネルを介してプロジェクトの Virtual Private Cloud(VPC)ネットワーク内の Compute Engine 仮想マシン(VM)インスタンスと通信します。

このページでは、推奨する HA VPN のトポロジについて説明します。Classic VPN トポロジについては、Classic VPN トポロジをご覧ください。両方の VPN タイプを含む Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

このページで使用している用語の定義については、主な用語をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジまたは構成シナリオでサイト間 VPN をサポートします。次の用途に対する適切な構成シナリオは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。

  • 1 台の HA VPN ゲートウェイを複数のピア VPN デバイスに接続。次のトポロジは、HA VPN ゲートウェイの視点から 2 つの VPN トンネルが必要です。最適なトポロジは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。
    • 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別の外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つの外部 IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つの外部 IP アドレスを持つ。
  • 1 台の HA VPN ゲートウェイを 1 台の Amazon Web Services(AWS)仮想プライベート ゲートウェイに接続し、ピア ゲートウェイは、4 つのインターフェースを持つ構成。
  • 2 台の HA VPN ゲートウェイ間を接続

99.99% の可用性をサポートする構成

HA VPN 接続で 99.99% の可用性 SLA を保証するには、HA VPN ゲートウェイからピア VPN ゲートウェイ、または別の HA VPN ゲートウェイへの、2 つまたは 4 つのトンネルを適切に構成します。

適切に構成するとは、HA VPN ゲートウェイの全インターフェースとピア VPN ゲートウェイの全インターフェース、または他の HA VPN ゲートウェイと接続することにより、VPN トンネルが十分な冗長性を提供する必要があるということです。

以降の各セクションでは、VPN 接続の両端でトンネルを構成して、99.99% の可用性を確保する方法について説明します。

帯域幅を拡大する HA VPN の構成

HA VPN の帯域幅を拡大するための推奨方法はスケーリングです。HA VPN ゲートウェイをスケーリングするには、次のようにします。

既存の HA VPN ゲートウェイの各インターフェースに接続された複数のトンネルをデプロイするのではなく、ゲートウェイをスケーリングします(蝶ネクタイ型構成)。

同じピア VPN ゲートウェイ(外部の VPN ゲートウェイ リソース)に、Cloud VPN の割り当ておよび上限で許される限りのトンネルを追加して、複数の HA VPN ゲートウェイを接続できます。

次に 10 Gbps スループットの HA VPN ゲートウェイの例を示します。次の Google Cloud リソースを使用しています。

  • Cloud Router x 1
  • 合計 8 つの VPN トンネル用に、それぞれ 2 つのトンネルを備えた HA VPN ゲートウェイ x 4
  • 合計で BGP セッション x 8

この構成では、BGP セッションのアクティブ / パッシブ MED 構成が、ゲートウェイごとに interface 0interface 1 のそれぞれに用意されていることを想定しています。つまり、4 つの interface 0 トンネルがアクティブで、4 つの interface 1 トンネルがパッシブです。

各 Cloud VPN トンネルは、上り(内向き)と下り(外向き)を合わせて最大 3 Gbps までサポートできます。この場合、最大値となる 3 Gbps の帯域幅は、理想的なトラフィック パターンによってのみ実現可能となるため、通常は、トンネルあたり 2.5 Gbps と考える方が確実です。したがって、計算式は、4 * 2.5 = 10 Gbps となります。詳細については、ネットワーク帯域幅をご覧ください。

HA VPN とピア VPN ゲートウェイ間

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ個別の IP アドレスを持つ 2 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、2 つの個別 IP アドレスを使用する 1 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN デバイスに接続。

こうした構成を設定するには、HA VPN とピア VPN ゲートウェイ間接続の作成をご覧ください。

2 台のピア VPN デバイス

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することで、ピア側でも冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。いずれかのゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピアデバイスに接続します。各ピアデバイスには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピアデバイスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性が実現されます。

HA VPN を 2 台のピア(オンプレミス)デバイスに接続。
HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)

2 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、ピアデバイスの外部 IP アドレスそれぞれにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性が実現されます。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続。
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

1 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが 1 つの外部 IP アドレスを持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、2 つのトンネルを使用し、両方がピアデバイスの外部 IP アドレスに接続されます。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が SINGLE_IP_INTERNALLY_REDUNDANT になります。

次の例では、99.99% の可用性が実現されます。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続。
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

99.99% の可用性を保証

Google Cloud 側で 99.99% の SLA をサポートするには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合、各ピア インターフェースから各 HA VPN ゲートウェイ インターフェースへの 2 つのトンネルを構成すると、99.99% の SLA 要件を満たします。フルメッシュ構成は、Google Cloud 側での 99.99% SLA の要件ではありません。この場合、フルメッシュ構成とは、Google Cloud 側からの合計 4 つのトンネルに対して、各 HA VPN インターフェースからピア ゲートウェイ上の 2 つのインターフェースへの 2 つのトンネルとして定義されます。VPN ベンダーがフルメッシュ構成を推奨しているかどうかについては、ピア(オンプレミス)VPN デバイスのドキュメントをご覧になるか、VPN ベンダーにお問い合わせください。

2 つのピア インターフェースを持つ構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 台のピアデバイスに 2 つのインターフェースの図と、1 台のピアデバイスに 2 つのインターフェースの図を示します。

ピア ゲートウェイにピア インターフェースが 1 つしかない場合、各 HA VPN ゲートウェイ インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。1 台のピアデバイスに 1 つのインターフェースの図をご覧ください。

次の例では、99.99% の可用性が実現されません

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ。
高可用性が実現されないトポロジ(クリックして拡大)

HA VPN と AWS ピア ゲートウェイ間

HA VPN 外部 VPN ゲートウェイを Amazon Web Services(AWS)に構成する場合は、トランジット ゲートウェイか、仮想プライベート ゲートウェイを使用できます。等価コスト マルチパス(ECMP)ルーティングをサポートしているのはトランジット ゲートウェイのみです。有効にすると、ECMP はアクティブなトンネル間でトラフィックを均等に分散します。サポートされているトポロジでは、それぞれ 2 つの外部 IP アドレスを持つ 2 つの AWS サイト間 VPN 接続(AB)が必要です。このトポロジでは、AWS で A1A2B1、および B2 の 4 つの外部 IP アドレスが生成されます。

  1. 4 つの AWS IP アドレスを、FOUR_IPS_REDUNDANCY を使用して外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
    • HA VPN interface 0 と AWS interface 0
    • HA VPN interface 0 と AWS interface 1
    • HA VPN interface 1 と AWS interface 2
    • HA VPN interface 1 と AWS interface 3

AWS を使用して HA VPN を設定します。

  1. Google Cloud で、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、ゲートウェイ インターフェースごとに 1 つずつで、2 つの外部 IP アドレスが作成されます。次のステップで使用するために外部 IP アドレスを記録します。
  2. AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
    • ダイナミック ルーティング オプション
    • Cloud Router の Google ASN
    • Google Cloud HA VPN ゲートウェイの外部 IP アドレス(interfaces 01
  3. 使用している AWS VPN オプションに対応する手順を行います。
    • トランジット ゲートウェイ
      1. 最初の顧客ゲートウェイ(interface 0)のトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
    • 仮想プライベート ゲートウェイ
      1. 次の情報を使用して、最初の顧客ゲートウェイ(interface 0)のサイト間 VPN 接続を作成します
        • 仮想プライベート ゲートウェイターゲット ゲートウェイ タイプ
        • ダイナミック ルーティング オプション
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
  4. 作成した両方の接続で AWS 構成ファイルをダウンロードします。ファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。
  5. Google Cloud で次の操作を行います。
    1. 前の手順でダウンロードしたファイルからの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
    2. 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした各 AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵によって、HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
    3. ダウンロードした AWS 構成ファイルから BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

Google Cloud ネットワーク間の HA VPN

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。次の例では、99.99% の可用性が実現されます。

Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

それぞれの HA VPN ゲートウェイからみて、次の両方が成り立つトンネルを 2 つ作成します。

  • 一方の HA VPN ゲートウェイの interface 0 と、他方の HA VPN の interface 0 を接続
  • 一方の HA VPN ゲートウェイの interface 1 と、他方の HA VPN の interface 1 を接続

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイの作成をご覧ください。

99.99% の可用性を保証

HA VPN と HA VPN ゲートウェイの接続で 99.99% の可用性を実現するには、両方のゲートウェイで次のインターフェースが対応している必要があります。

  • HA VPN の interface 0 に対し HA VPN の interface 0
  • HA VPN の interface 1 に対し HA VPN の interface 1

次のステップ

  • VPN トンネルとゲートウェイを維持するためのリソースを確認するには、入門ガイドの VPN の管理をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。