HA VPN 外部 VPN ゲートウェイとアマゾン ウェブ サービス(AWS)間の接続を構成する場合は、トランジット ゲートウェイか、仮想プライベート ゲートウェイを使用できます。等価コスト マルチパス(ECMP)ルーティングをサポートしているのはトランジット ゲートウェイのみです。有効にすると、ECMP はアクティブなトンネル間でトラフィックを均等に分散します。サポートされているトポロジでは、2 つの AWS サイト間 VPN 接続(A、B)が必要です。また、それぞれに 2 つの外部 IP アドレスが必要になります。このトポロジでは、AWS で A1、A2、B1、B2 の 4 つの外部 IP アドレスが生成されます。
既知の問題: VPN トンネルを AWS に構成する場合は、IKEv2 暗号化プロトコルを使用し、AWS 側で変換セットを少なくする必要があります。そうしないと、Cloud VPN トンネルが鍵交換に失敗する可能性があります。たとえば、単一のフェーズ 1 およびフェーズ 2 暗号化アルゴリズム、認証アルゴリズム、DH グループ番号の組み合わせを選択します。この鍵交換の問題は、AWS 変換セットのデフォルトの SA ペイロード サイズが大きいことが原因です。ペイロード サイズが大きいため、Cloud VPN ではサポートされていない、IKE パケットの IP 断片化が AWS 側で発生します。
AWS ピア ゲートウェイへの HA VPN を作成する
HA VPN 外部 VPN ゲートウェイをアマゾン ウェブ サービス(AWS)に構成する場合は、トランジット ゲートウェイか、仮想プライベート ゲートウェイを使用できます。等価コスト マルチパス(ECMP)ルーティングをサポートしているのはトランジット ゲートウェイのみです。有効にすると、ECMP はアクティブなトンネル間でトラフィックを均等に分散します。サポートされているトポロジでは、それぞれ 2 つの外部 IP アドレスを持つ 2 つの AWS サイト間 VPN 接続(A、B)が必要です。このトポロジでは、AWS で A1、A2、B1、および B2 の 4 つの外部 IP アドレスが生成されます。
- 4 つの AWS IP アドレスを、
FOUR_IPS_REDUNDANCYを使用して外部 HA VPN ゲートウェイとして構成します。ここで、 - AWS IP
0=A1 - AWS IP
1=A2 - AWS IP
2=B1 - AWS IP
3=B2 - HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
- HA VPN
interface 0と AWSinterface 0 - HA VPN
interface 0と AWSinterface 1 - HA VPN
interface 1と AWSinterface 2 - HA VPN
interface 1と AWSinterface 3
AWS を使用して HA VPN を設定します。
- Google Cloud で、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、ゲートウェイ インターフェースごとに 1 つずつで、2 つの外部 IP アドレスが作成されます。次のステップで使用するために外部 IP アドレスを記録します。
- AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
- ダイナミック ルーティング オプション
- Cloud Router の Google ASN
- Google Cloud HA VPN ゲートウェイの外部 IP アドレス(
interfaces 0と1)
- 使用している AWS VPN オプションに対応する手順を行います。
- トランジット ゲートウェイ
- 最初の顧客ゲートウェイ(
interface 0)のトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。 - 2 番目の顧客ゲートウェイ(
interface 1)で前の手順を繰り返します。 - 仮想プライベート ゲートウェイ
- 次の情報を使用して、最初の顧客ゲートウェイ(
interface 0)のサイト間 VPN 接続を作成します。- 仮想プライベート ゲートウェイのターゲット ゲートウェイ タイプ
- ダイナミック ルーティング オプション
- 2 番目の顧客ゲートウェイ(
interface 1)で前の手順を繰り返します。
- 作成した両方の接続で AWS 構成ファイルをダウンロードします。ファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。
- Google Cloud で次の操作を行います。
- 前の手順でダウンロードしたファイルからの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
- 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした各 AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵によって、HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
- ダウンロードした AWS 構成ファイルから BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。
外部 HA VPN ゲートウェイを構成する
FOUR_IPS_REDUNDANCYを使用して、4 つの AWS IP アドレスを外部 HA VPN ゲートウェイとして構成します。ここで、- AWS IP
0=A1 - AWS IP
1=A2 - AWS IP
2=B1 - AWS IP
3=B2
- AWS IP
- HA VPN ゲートウェイに 4 つのトンネルを作成し、次の構成を使用して 99.99% の SLA を実現します。
- HA VPN
interface 0と AWSinterface 0 - HA VPN
interface 0と AWSinterface 1 - HA VPN
interface 1と AWSinterface 2 - HA VPN
interface 1と AWSinterface 3
- HA VPN
AWS を使用して HA VPN を設定する
- Google Cloud で、必要なリージョンに HA VPN ゲートウェイと Cloud Router を作成します。これにより、2 つの外部 IP アドレスが作成されます(ゲートウェイ インターフェースごとに 1 つずつ)。次のステップで使用するため、外部 IP アドレスをメモしておきます。
- AWS で、次の情報を使用して 2 つの顧客ゲートウェイを作成します。
- ダイナミック ルーティング オプション
- Cloud Router の Google ASN
- Google Cloud HA VPN ゲートウェイの外部 IP アドレス(
interfaces 0と1)
使用している AWS VPN オプションに対応する手順に沿って操作します。
- トランジット ゲートウェイ
- 最初の顧客ゲートウェイ(
interface 0)にトランジット ゲートウェイ VPN アタッチメントを作成し、ダイナミック ルーティング オプションを使用します。 - 2 番目の顧客ゲートウェイ(
interface 1)で前の手順を繰り返します。
- 最初の顧客ゲートウェイ(
- 仮想プライベート ゲートウェイ
- 次の情報を使用して、最初の顧客ゲートウェイ(
interface 0)にサイト間 VPN 接続を作成します。- 仮想プライベート ゲートウェイのターゲット ゲートウェイ タイプ
- ダイナミック ルーティング オプション
- 2 番目の顧客ゲートウェイ(
interface 1)で前の手順を繰り返します。
- 次の情報を使用して、最初の顧客ゲートウェイ(
- トランジット ゲートウェイ
作成した両方の接続で AWS 構成ファイルをダウンロードします。このファイルには、事前共有認証キー、外部トンネル IP アドレス、内部トンネル IP アドレスなど、この手順の次のステップで必要な情報が含まれています。
Google Cloud で次の操作を行います。
- 前のステップでダウンロードしたファイルの AWS 外部 IP アドレスを使用して、4 つのインターフェースを持つ新しいピア VPN ゲートウェイを作成します。
- 手順 1 で作成した HA VPN ゲートウェイに 4 つの VPN トンネルを作成します。ダウンロードした AWS 構成ファイルの情報を使用して、適切なピア VPN ゲートウェイ インターフェースと事前共有鍵を持つ HA VPN ゲートウェイ インターフェースを各トンネルに構成します。
- ダウンロードした AWS 構成ファイルの BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。
次のステップ
- ピア VPN ゲートウェイで許可される IP アドレスを制御する。ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。