Cloud VPN のベスト プラクティス

次のベスト プラクティスは、Cloud VPN の計画と構成に役立ちます。

ネットワーク リソースごとに個別の Google Cloud プロジェクトを使用する

Identity and Access Management(IAM)のロールと権限の構成を簡単にするため、可能であれば、Cloud VPN リソースと Cloud Router リソースは他の Google Cloud リソースとは別にします。

ルーティングとフェイルオーバー

動的ルーティングの選択

動的ルーティングと Border Gateway Protocol(BGP)を使用する Cloud VPN ゲートウェイを選択します。HA VPN を使用し、BGP をサポートするオンプレミス デバイスをデプロイすることをおすすめします。

可能な限り HA VPN を使用する

最高レベルの可用性を実現するには、可能な限り HA VPN を使用してください。

詳細については、Cloud VPN の概要の VPN の種類をご覧ください。

適切なトンネル構成を選択する

HA VPN トンネルの数に基づいて、適切なトンネル構成を選択します。

  • HA VPN トンネルが 2 つある場合は、アクティブ / パッシブ トンネル構成を使用します。

  • HA VPN トンネルが 3 つ以上ある場合は、アクティブ / アクティブ トンネル構成を使用します。

詳細については、Cloud VPN の概要の次のセクションをご覧ください。

信頼性

暗号の役割ごとに 1 つの暗号のみを使用するピア VPN ゲートウェイを構成する

Cloud VPN は、新しい Security Associations(SA)が必要な場合に、トラフィックの送信元に応じて IKE リクエストの開始側または応答者として機能します。

Cloud VPN が VPN 接続を開始すると、Cloud VPN は暗号の役割ごとにサポートされている暗号テーブルに示す順序でアルゴリズムを提案します。提案を受け取るピア側は、アルゴリズムを選択します。

ピア側が接続を開始すると、Cloud VPN は暗号の役割ごとにテーブルに示された順序に従って、提案から暗号を選択します。

開始側と応答者のどちら側かによって、選択した暗号が異なる場合があります。たとえば、鍵のローテーション中に新しい Security Associations(SA)が作成されると、選択した暗号が時間とともに変化することがあります。暗号の選択を変更すると、パフォーマンスや MTU などの重要なトンネル特性に影響する可能性があるため、暗号の選択が安定していることを確認してください。MTU の詳細については、MTU に関する考慮事項をご覧ください。

暗号の選択が頻繁に変更されないように、暗号の役割ごとに 1 つの暗号のみを提案して受け入れるようにピア VPN ゲートウェイを構成します。この暗号は、Cloud VPN とピア VPN ゲートウェイの両方でサポートされている必要があります。暗号の役割ごとに暗号のリストを指定しないでください。こうすれば、Cloud VPN トンネルの両側で、IKE ネゴシエーション中に常に同じ IKE 暗号が選択されます。

HA VPN トンネルペアの場合、同じ暗号と IKE フェーズ 2 のライフタイム バリューを使用するように、ピア VPN ゲートウェイに両方の HA VPN トンネルを構成します。

セキュリティ

VPN ゲートウェイのファイアウォール ルールを設定する

Cloud VPN 上を転送されるトラフィックに対してセキュアなファイアウォール ルールを作成します。詳細については、VPC ファイアウォール ルールの概要をご覧ください。

強力な事前共有キーを使用する

Cloud VPN トンネル用に強力な事前共有キーを生成することをおすすめします。

ピア VPN ゲートウェイの IP アドレスを制限する

ピア VPN ゲートウェイに指定できる IP アドレスを制限することで、未承認の VPN トンネルが作成されるのを防ぐことができます。

詳細については、ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。

ピア VPN ゲートウェイに最も強力な暗号を構成する

ピア VPN ゲートウェイを構成する際は、ピア VPN ゲートウェイと Cloud VPN の両方でサポートされている暗号の役割ごとに、最も強力な暗号を選択します。

表示されている Cloud VPN の提案順序は強度順ではありません。

サポートされている IKE 暗号のリストについては、サポートされている IKE の暗号をご覧ください。

次のステップ

  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。