このページでは、VPN の構成を完了する手順について説明します。
構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成します。
- Cloud VPN に対応する VPN トンネル
- Border Gateway Protocol(BGP)セッション(Cloud Router で動的ルーティングを使用している場合)
- ファイアウォール ルール
- IKE 設定
ピア ゲートウェイを設定する場合のベスト プラクティスについては、ピア ゲートウェイのドキュメントをご覧いただくか、メーカーにお問い合わせください。一部のサポートされているサードパーティの VPN デバイスとサービスのガイドについては、Cloud VPN でのサードパーティ VPN の使用をご覧ください。
Cloud VPN の詳細については、次のリソースをご覧ください。
Cloud VPN を設定する前に考慮すべきベスト プラクティスについては、Cloud VPN のベスト プラクティスをご覧ください。
Cloud VPN について詳しくは、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。
HA VPN 用の外部ピア VPN ゲートウェイ リソースの構成
HA VPN では、Google Cloud の物理ピア ゲートウェイとなる外部ピア VPN ゲートウェイ リソースを構成します。このリソースをスタンドアロン リソースとして作成し、後で使用することもできます。
外部ピア VPN ゲートウェイ リソースを作成するには、物理ピア ゲートウェイ(サードパーティのソフトウェア ベース ゲートウェイの場合もあります)から次の値を取得する必要があります。VPN を確立するには、外部ピア VPN ゲートウェイ リソースの値が物理ピア ゲートウェイの構成と一致する必要があります。
- 物理 VPN ゲートウェイ上のインターフェースの数
- 1 つ以上のピア ゲートウェイまたはインターフェースの外部 IP アドレス
- BGP エンドポイントの IP アドレス
- IKE 事前共有キー(共有シークレット)
- ASN 番号
スタンドアロンの外部ピア VPN ゲートウェイ リソースを作成するには、次の手順を行います。
Console
Google Cloud Console で、[VPN] ページに移動します。
[ピア VPN ゲートウェイの作成] をクリックします。
ピア ゲートウェイに名前を付けます。
物理ピア ゲートウェイのインターフェース数(
one、twoまたはfour)を選択します。物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。
[作成] をクリックします。
gcloud
次のコマンドを実行する場合は、物理 VPN ゲートウェイのインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。
gcloud compute external-vpn-gateways create mygateway \ --interfaces 0=35.254.128.120,1=35.254.128.121
コマンドの出力は次の例のようになります。
Creating external VPN gateway...done. NAME REDUNDANCY_TYPE mygateway TWO_IPS_REDUNDANCY
API
このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。
POST リクエストを行うには、externalVpnGateways.insert メソッドを使用します。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
{
"name": "mygateway",
"interfaces": [
{
"id": 0,
"ipAddress": "35.254.128.120"
},
{
"id": 1,
"ipAddress": "35.254.128.121"
},
],
"redundancyType": "TWO_IPS_REDUNDANCY"
}
VPN トンネルの構成
作成した各 Cloud VPN トンネルに対応するトンネルを作成するには、ピア VPN ゲートウェイのドキュメントをご覧ください。
HA VPN の場合、ピア ゲートウェイに 2 つのトンネルを構成します。ピア ゲートウェイの 1 つのトンネルは、interface 0 の Cloud VPN トンネルに対応している必要があります。ピア ゲートウェイの別のトンネルは、interface 1 の Cloud VPN トンネルに対応している必要があります。
ピア ゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意の外部 IP アドレスも使用する必要があります。
動的ルーティング用の BGP セッションの構成
動的ルーティングの場合のみ、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするように、ピア VPN ゲートウェイを構成します。
ピア ゲートウェイを構成するには、Cloud Router の ASN と IP アドレス、Cloud VPN ゲートウェイの情報を使用します。Google ASN、構成済みピア ネットワークの ASN、BGP IP アドレスを取得するには、Cloud Router の概要情報を使用します。
HA VPN の場合、Google ASN(ピア VPN ゲートウェイにとってのピア ASN)は両方のトンネルで同じになります。
ファイアウォール ルールの構成
ピア ネットワークのファイアウォール ルールの構成手順については、ファイアウォール ルールの構成をご覧ください。
IKE の構成
ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。
ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。
Cloud VPN をサードパーティ VPN ソリューションに接続する方法については、Cloud VPN でのサードパーティ VPN の使用をご覧ください。IPsec の暗号化と認証の設定については、サポートされている IKE の暗号をご覧ください。
IKEv1 と IKEv2 の共通のパラメータ
| 設定 | 値 |
|---|---|
| IPsec Mode | ESP+Auth トンネルモード(サイト間) |
| Auth Protocol | psk |
| Shared Secret | IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。 |
| Start | auto(ピアデバイスが切断された場合、自動的に再接続する必要があります) |
| PFS(Perfect Forward Secrecy) | on |
| DPD(Dead Peer Detection) | 推奨: Aggressive。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。 |
| INITIAL_CONTACT ( uniqueids ともいいます) |
推奨: on(restart ともいいます)。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。 |
| TSi(Traffic Selector - Initiator) | サブネット ネットワーク: レガシー ネットワーク: ネットワークの範囲。 |
| TSr(Traffic Selector - Responder) | IKEv2: IKEv1: |
| MTU | ピア VPN デバイスの最大伝送単位(MTU)は 1,460 バイト以下にする必要があります。パケットが断片化されてから暗号化されるように、デバイスで事前分割化を有効にします。詳細については、MTU に関する考慮事項をご覧ください。 |
IKEv1 のみの追加パラメータ
| 設定 | 値 |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| PFS Algorithm | Group 2(MODP_1024) |
次のステップ
- VPN トンネルとゲートウェイを維持するためのリソースを確認するには、入門ガイドの VPN の管理をご覧ください。
- 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
- Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。