ピア VPN 構成テンプレートをダウンロードする

このページでは、サードパーティのピア VPN デバイス用の構成テンプレートをダウンロードする方法について説明します。HA VPN を使用してオンプレミス ネットワークを Google Cloud に接続する際にデバイスを構成します。

ピア VPN ゲートウェイへの HA VPN 接続を作成する最後のステップとして、構成テンプレートをダウンロードできます。また、HA VPN トンネルを確立している既存のピア VPN ゲートウェイの構成テンプレートをダウンロードする方法もあります。

利用可能なベンダー テンプレート

次のサードパーティ VPN デバイス用の構成テンプレートをダウンロードできます。

• ASA 9.13（1）2 以降を実行する Cisco Firepower
• FortiOS 6.2.3 以降を実行する Fortinet FortiGate 200E
• JunOS 18.4R3-S2 以降を実行する Juniper vSRX

これらの構成テンプレートは HA VPN にのみ適用されます。Classic VPN には適用されません。

テンプレートの使用に関する考慮事項

構成テンプレートを使用する際は、次の点に注意してください。

• ピア VPN デバイスの構成テンプレートは、Google Cloud コンソールからのみダウンロードできます。構成テンプレートは、Cloud VPN API または Google Cloud CLI からはアクセスできません。

• 構成テンプレートは、Border Gateway Protocol（BGP）セッションで構成されている VPN トンネルのみをダウンロードできます。

• 構成テンプレートには、次の Google Cloud 機能の構成値が含まれていない場合があります。

  • デュアル スタック（IPv4 と IPv6）または IPv6 のみの HA VPN ゲートウェイ
  • IPv4 BGP セッションのマルチプロトコル BGP（MP-BGP）構成
  • BGP 認証用の MD5
  • IPv6 BGP セッションの構成
  • HA VPN ゲートウェイの外部 IPv6 アドレス

  これらの機能を HA VPN で有効にする場合は、構成テンプレートをダウンロードした後に構成を追加する必要があります。

• VPN デバイスに構成を適用する前に、構成テンプレートでさらにカスタマイズが必要になる場合があります。たとえば、ネットワークや VPN デバイスにインストールされている特定のオペレーティング システムのバージョンのカスタマイズが必要になる場合があります。構成を適用する前に、ダウンロードした構成ファイルの内容を確認し、必要に応じて調整を行ってください。

• 一部のテンプレートには、Google によって事前に選択されたデフォルトが含まれています。たとえば、一部のテンプレートでは IKE フェーズ 1 およびフェーズ 2 の aes256-sha1 アルゴリズムが指定されています。これらのデフォルトは、ネットワークやセキュリティの要件に合わせて変更できます。選択されているデフォルトは、ベンダー デバイスによって異なる場合があります。選択されているデフォルトの詳細については、構成テンプレートの上部にあるコメントをご覧ください。

• 構成テンプレートは、仮想ポートの割り当てや仮想インターフェースの定義など、高度な構成に対応していません。

必要な権限

HA VPN ゲートウェイとトンネルを作成するには、ピア VPN ゲートウェイへの HA VPN ゲートウェイの作成に記載されている権限が必要です。

ピア VPN 構成テンプレートをダウンロードするには、次のプロジェクト権限が必要です。

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM のロールが付与されている必要があります。

権限

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.routers.get
• compute.routers.list

ロール

• roles/compute.networkUser

新しいピア VPN トンネルの構成テンプレートをダウンロードする

新しいピア VPN デバイスのトンネル構成を含む構成テンプレートをダウンロードするには、次の手順を行います。

1. Google Cloud コンソールで、[VPN] ページに移動します。

   [VPN] に移動

2. VPN トンネルと BGP セッションを作成します。

• 新しい HA VPN ゲートウェイを作成する場合は、[VPN 設定ウィザード] をクリックします。ウィザードに沿って、HA VPN ゲートウェイ、ピア VPN ゲートウェイ リソース、VPN トンネル、BGP セッションを構成します。詳細な手順については、HA VPN からピア VPN へのゲートウェイを作成するをご覧ください。

  • 既存の HA VPN ゲートウェイのトンネルを作成するには、次の手順を行います。

    1. [VPN トンネルを作成] をクリックします。
    2. [VPN ゲートウェイ] リストで HA VPN ゲートウェイを選択し、[続行] をクリックします。
    3. ピア VPN ゲートウェイを選択します。VPN トンネルを作成して BGP セッションを構成します。詳細な手順については、HA VPN ゲートウェイからピア VPN ゲートウェイへのトンネルを追加するをご覧ください。

1. [まとめとリマインダー] ページで [構成のダウンロード] をクリックします。[構成のダウンロード] ダイアログが表示されます。

2. [ベンダー] リストで、ピア VPN デバイスのベンダーを選択します。

3. ピア VPN デバイスのベンダーがリストにない場合は、[その他] を選択して、次の手順を行います。

   1. ダイアログに表示された構成値を記録します。これらの値を使用して、ピア VPN デバイスを構成します。
   2. [キャンセル] をクリックしてダイアログを閉じます。
   3. サードパーティの VPN を使用するページとピア VPN ゲートウェイを構成するページの手順に沿って、ピア VPN デバイスを構成します。

4. いずれかのベンダーを選択した場合は、[プラットフォーム] リストから VPN デバイスのプラットフォームを選択します。

5. [ソフトウェア] リストで、VPN デバイスのソフトウェア バージョンを選択します。ソフトウェア バージョンは、VPN デバイスに必要な最小限のソフトウェア バージョンを表します。

6. ピア VPN デバイスの選択をすべて行うと、テンプレートのコンテンツが書式なしテキストで表示されます。構成ファイルをダウンロードするには、次のいずれかを行います。

   • [content_copyコピー] をクリックして、テンプレートの内容をバッファに格納します。
   • [ダウンロード] をクリックして、ファイルをローカルに保存します。

7. ファイルを開くか、任意のテキスト エディタに内容を貼り付けます。

8. ファイル内のすべての _SNAKE_CASE_ 変数を、VPN ゲートウェイとネットワークの適切な値に置き換えます。

   VPN トンネルがまだ作成されていないため、各トンネル用に構成した IKE 事前共有鍵は構成テンプレートに保存されます。_IKE_SHARED_SECRET_PLACEHOLDER_ 変数はすでに置き換えられているため、置き換えないでください。

9. 更新された構成ファイルのコマンドを使用して構成を完了します。デバイスに構成ファイル全体を読み込むか、インタラクティブ プロンプトからコマンドを入力します。詳細については、ピア VPN ベンダーのドキュメントをご覧ください。

既存のトンネルの構成テンプレートをダウンロードする

既存のピア VPN デバイスとトンネルの構成テンプレートをダウンロードするには、次の手順を行います。

1. Google Cloud コンソールで、[VPN] ページに移動します。

   [VPN] に移動

2. [ピア VPN ゲートウェイ] をクリックします。

3. ダウンロードする構成のあるピア VPN ゲートウェイと VPN トンネルの横にある more_vert [アクション] をクリックし、[構成のダウンロード] を選択します。

4. [構成のダウンロード] ダイアログで、ダウンロードする構成のある VPN トンネルを選択します。BGP セッションで構成されている VPN トンネルのみ選択できます。

5. [ベンダー] リストで、ピア VPN デバイスのベンダーを選択します。

6. ピア VPN デバイスのベンダーがリストにない場合は、[その他] を選択して、次の手順を行います。

   1. ダイアログに表示された構成値を記録します。これらの値を使用して、ピア VPN デバイスを構成します。
   2. [キャンセル] をクリックしてダイアログを閉じます。
   3. サードパーティの VPN を使用するページとピア VPN ゲートウェイを構成するページの手順に沿って、ピア VPN デバイスを構成します。

7. いずれかのベンダーを選択した場合は、[プラットフォーム] リストから VPN デバイスのプラットフォームを選択します。

8. [ソフトウェア] リストで、VPN デバイスのソフトウェア バージョンを選択します。ソフトウェア バージョンは、VPN デバイスに必要な最小限のソフトウェア バージョンを表します。

9. ピア VPN デバイスの選択をすべて行うと、テンプレートのコンテンツが書式なしテキストで表示されます。構成ファイルをダウンロードするには、次のいずれかを行います。

   • [content_copy コピー] をクリックして、テンプレートの内容をバッファに格納します。
   • [ダウンロード] をクリックして、ファイルをローカルに保存します。

10. ファイルを開くか、任意のテキスト エディタに内容を貼り付けます。

11. ファイル内のすべての _SNAKE_CASE_ 変数を、VPN ゲートウェイとネットワークの適切な値に置き換えます。

    これらの VPN トンネルはすでに作成されているため、_IKE_SHARED_SECRET_PLACEHOLDER_ は、トンネルに構成された IKE 事前共有キーに置き換える必要があります。

12. 更新された構成ファイルのコマンドを使用して構成を完了します。デバイスに構成ファイル全体を読み込むか、インタラクティブ プロンプトからコマンドを入力します。詳細については、ピア VPN ベンダーのドキュメントをご覧ください。

次のステップ

• VPN トンネルのステータスを確認する。VPN ステータスの確認をご覧ください。
• Cloud Logging と Monitoring の情報を表示する。ログと指標の表示をご覧ください。
• Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。