HA VPN を AWS ピア ゲートウェイに接続する

HA VPN 外部 VPN ゲートウェイとアマゾン ウェブ サービス(AWS)間の接続を構成する場合は、トランジット ゲートウェイか、仮想プライベート ゲートウェイを使用できます。等価コスト マルチパス(ECMP)ルーティングをサポートしているのはトランジット ゲートウェイのみです。有効にすると、ECMP はアクティブなトンネル間でトラフィックを均等に分散します。サポートされているトポロジでは、2 つの AWS サイト間 VPN 接続(AB)が必要です。また、それぞれに 2 つの外部 IP アドレスが必要になります。このトポロジでは、AWS で A1A2B1B2 の 4 つの外部 IP アドレスが生成されます。

既知の問題: VPN トンネルを AWS に構成する場合は、IKEv2 暗号化プロトコルを使用し、AWS 側で変換セットを少なくする必要があります。そうしないと、Cloud VPN トンネルが鍵交換に失敗する可能性があります。たとえば、単一のフェーズ 1 およびフェーズ 2 暗号化アルゴリズム、認証アルゴリズム、DH グループ番号の組み合わせを選択します。この鍵交換の問題は、AWS 変換セットのデフォルトの SA ペイロード サイズが大きいことが原因です。ペイロード サイズが大きいため、Cloud VPN ではサポートされていない、IKE パケットの IP 断片化が AWS 側で発生します。

AWS ピア ゲートウェイへの HA VPN を作成する

  1. 4 つの AWS IP アドレスを、FOUR_IPS_REDUNDANCY を使用して外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
    • HA VPN interface 0 と AWS interface 0
    • HA VPN interface 0 と AWS interface 1
    • HA VPN interface 1 と AWS interface 2
    • HA VPN interface 1 と AWS interface 3

AWS を使用して HA VPN を設定します。

  1. Google Cloudで、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、ゲートウェイ インターフェースごとに 1 つずつで、2 つの外部 IP アドレスが作成されます。次のステップで使用するために外部 IP アドレスを記録します。
  2. AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
    • ダイナミック ルーティング オプション
    • Cloud Router の Google ASN
    • Google Cloud HA VPN ゲートウェイ interfaces 01 の外部 IP アドレス
  3. 使用している AWS VPN オプションに対応する手順を行います。
    • トランジット ゲートウェイ
      1. 最初の顧客ゲートウェイ(interface 0)のトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
    • 仮想プライベート ゲートウェイ
      1. 次の情報を使用して、最初の顧客ゲートウェイ(interface 0)のサイト間 VPN 接続を作成します
        • 仮想プライベート ゲートウェイターゲット ゲートウェイ タイプ
        • ダイナミック ルーティング オプション
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
  4. 作成した両方の接続で AWS 構成ファイルをダウンロードします。ファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。
  5. Google Cloudで、次の操作を行います。
    1. 前の手順でダウンロードしたファイルからの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
    2. 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした各 AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵によって、HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
    3. ダウンロードした AWS 構成ファイルから BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

外部 HA VPN ゲートウェイを構成する

  1. FOUR_IPS_REDUNDANCY を使用して、4 つの AWS IP アドレスを外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
    • HA VPN interface 0 と AWS interface 0
    • HA VPN interface 0 と AWS interface 1
    • HA VPN interface 1 と AWS interface 2
    • HA VPN interface 1 と AWS interface 3

AWS を使用して HA VPN を設定する

  1. Google Cloudで、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、2 つの外部 IP アドレスが作成されます(ゲートウェイ インターフェースごとに 1 つずつ)。次のステップで使用するため、外部 IP アドレスをメモしておきます。
  2. AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
    1. ダイナミック ルーティング オプション
    2. Cloud Router の Google ASN
    3. Google Cloud HA VPN ゲートウェイ interfaces 01 の外部 IP アドレス

  3. 使用している AWS VPN オプションに対応する手順に沿って操作します。

    1. トランジット ゲートウェイ
      1. 最初の顧客ゲートウェイ(interface 0)にトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。
    2. 仮想プライベート ゲートウェイ
      1. 次の情報を使用して、最初の顧客ゲートウェイ(interface 0)にサイト間 VPN 接続を作成します
        • 仮想プライベート ゲートウェイターゲット ゲートウェイ タイプ
        • ダイナミック ルーティング オプション
      2. 2 番目の顧客ゲートウェイ(interface 1)で前の手順を繰り返します。

  4. 作成した両方の接続で AWS 構成ファイルをダウンロードします。このファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。

  5. Google Cloudで、次の操作を行います。

    1. 前のステップでダウンロードしたファイルの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
    2. 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵を持つ HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
    3. ダウンロードした AWS 構成ファイルの BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

次のステップ