ネットワークとトンネル ルーティング

このページでは、サポートされている Virtual Private Cloud ネットワークとルーティング オプションについて説明します。

サポートされているネットワーク

Cloud VPN では VPC カスタム ネットワーク、自動モード ネットワークレガシー ネットワークがサポートされていますが、次に示すベスト プラクティスをご検討ください。

  • レガシー ネットワークの代わりに VPC ネットワークを使用する。 レガシー ネットワークはサブネットに対応していないため、ネットワーク全体で単一の IP アドレス範囲を使用します。レガシー ネットワークは VPC ネットワークに変換できません。

  • カスタムモードの VPC ネットワークを使用する。 カスタムモードの VPC ネットワークでは、サブネットで使用される IP アドレスの範囲を完全に制御できます。

    • Cloud VPN を使用して 2 つの VPC ネットワークを接続する場合、少なくとも 1 つはカスタムモードのネットワークにする必要があります。これは、自動モード ネットワークでは、そのサブネットに同じ内部 IP アドレス範囲が使用されるためです。

    • 自動モード ネットワークを Cloud VPN で使用する前に、自動モード ネットワークの考慮事項を確認してください。自動モード ネットワークでは各 GCP リージョンにサブネットが自動的に作成されます。また、新しいリージョンが追加されるときも、そこに新しいサブネットが自動作成されます。Cloud VPN トンネルの接続先のネットワークでは、自動モード ネットワークで使用されている範囲のプライベート IP アドレスは使用しないでください。

VPN トンネルのルーティング オプション

Cloud VPN は、VPN トンネルの動的および静的なルーティング オプションをサポートしています。動的ルーティングでは、境界ゲートウェイ ルーティング プロトコル(BGP)を使用します。

動的(BGP)ルーティング

オンプレミス VPN ゲートウェイが BGP をサポートしている場合は、動的ルーティングが推奨されます。動的ルーティングでは、Cloud Router を使用してルートを自動的に管理します。これは「GCP 行き」のルートをオンプレミス VPN ゲートウェイと共有し、オンプレミス ゲートウェイから学習した、オンプレミス ネットワークへのルートを受け入れます。また、トンネルを削除して再作成することなく BGP を使用してルートを追加および削除します。

オンプレミス ルーターは、BGP 経由で選択ルートをアドバタイズするように構成されています。Cloud VPN トンネル用の Cloud Router 上の BGP インターフェースはそれらのルートを学習し、その動的ルーティング モードに従ってルートを VPC ネットワークに適用します。また、この Cloud Router は、VPC ネットワークへのルートをオンプレミス ゲートウェイと共有します。

静的ルーティング

Cloud VPN は、VPN トンネルのポリシーベースおよびルートベースの両方の静的ルーティング オプションをサポートします。静的ルーティング オプションは、VPN トンネルに動的(BGP)ルーティング オプションを使用できない場合にのみ使用してください。

  • ポリシーベースのルーティング: ローカル IP 範囲(左側)とリモート IP 範囲(右側)は、トンネル作成プロセスの一部として定義します。

  • ルートベースの VPN: GCP Console を使用してルートベースの VPN を作成する場合は、リモート IP 範囲のリストのみを指定します。これらの範囲は、オンプレミス リソースへの VPC ネットワーク内のルートを作成する場合にのみ使用されます。

これら 2 つの静的ルーティング オプションの詳細については、トラフィック セレクタを参照してください。

トラフィック セレクタ

トラフィック セレクタは、VPN トンネルを確立するために使用される一連の IP アドレス範囲または CIDR ブロックを定義します。これらの範囲は、トンネルの IKE ネゴシエーションの一部として使用されます。文献によっては、トラフィック セレクタは「暗号化ドメイン」とも呼ばれています。

トラフィック セレクタには次の 2 種類があります。

  • ローカル トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、ローカル IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルに対して、ローカル トラフィック セレクタは VPC ネットワークのサブネット用にプライマリとセカンダリのサブネット IP 範囲のセットを定義し、トンネルの「左側」を表します。

  • リモート トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、リモート IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルに対して、リモート トラフィック セレクタは「右側」、つまりオンプレミス ネットワークです。

トラフィック セレクタは、IKE handshake を確立するために使用される VPN トンネルの本質的な部分です。ローカルまたはリモートのいずれかの IP 範囲を変更する必要がある場合は、Cloud VPN トンネルと、それに対応するオンプレミスのトンネルを破棄して再作成する必要があります。

ルーティング オプションとトラフィック セレクタ

ローカルおよびリモートのトラフィック セレクタの IP 範囲(CIDR ブロック)の値は、Cloud VPN トンネルで使用されるルーティング オプションによって異なります。

トンネル
ルーティング オプション
ローカル
トラフィック セレクタ
リモート
トラフィック セレクタ
ルート
から VPC ネットワークへ
ルート
からオンプレミス ネットワークへ
動的(BGP)ルーティング 常に
0.0.0.0/0
常に
0.0.0.0/0
カスタム アドバタイズによって変更されない限り、Cloud VPN トンネルの BGP インターフェースを管理する Cloud Router は、ネットワークの動的ルーティング モードCloud Router の割り当てと制限に従って、VPC ネットワーク内のサブネットへのルートを共有します。 Cloud VPN トンネルの BGP インターフェースを管理している Cloud Router は、カスタムルートに関する制限と、Cloud Router の割り当てと制限に従って、オンプレミス VPN ゲートウェイによって送信されたルートを学習し、カスタム動的ルートとしてルートを VPC ネットワークに追加します。
ポリシーベース ルーティング 構成可能。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
必須。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
VPC ネットワーク内のサブネットへのルートをオンプレミス ルーター上に手動で作成して管理する必要があります。 カスタム静的ルートは、GCP Console を使用してポリシーベースの VPN トンネルを作成すると自動的に作成されます。gcloud を使用してトンネルを作成する場合は、追加の gcloud コマンドを使用してルートを作成する必要があります。方法については、ポリシーベースの VPN の作成をご覧ください。
ルートベースの VPN 常に
0.0.0.0/0
常に
0.0.0.0/0
VPC ネットワーク内のサブネットへのルートをオンプレミス ルーター上に手動で作成して管理する必要があります。 カスタム静的ルートは、GCP Console を使用してルートベースの VPN トンネルを作成すると自動的に作成されます。gcloud を使用してトンネルを作成する場合は、追加の gcloud コマンドを使用してルートを作成する必要があります。方法については、ルートベースの VPN の作成をご覧ください。

ポリシーベースのトンネルとトラフィック セレクタ

このセクションでは、ポリシーベースの Cloud VPN トンネルを作成する際のトラフィック セレクタに関する特別な考慮事項について説明します。この内容は、動的(BGP)ルーティングを使用する VPN トンネルやルートベースの VPN には適用されません。

ポリシーベースの Cloud VPN トンネルを作成する際は、そのローカル トラフィック セレクタを指定できます。

  • カスタム ローカル トラフィック セレクタ: ローカル トラフィック セレクタは、VPC ネットワーク内の一連のサブネットまたは RFC 1918 CIDR として定義できます。RFC 1918 CIDR には、VPC ネットワーク内のサブネットからなる目的の IP 範囲が含まれます。IKEv1 では、ローカル トラフィック セレクタは単一の CIDR に制限されます。

  • カスタムモードの VPC ネットワーク: RFC 1918 CIDR で構成されるカスタム ローカル トラフィック セレクタを指定する必要があります。

  • 自動モード VPC ネットワーク: 未指定の場合、ローカル トラフィック セレクタは、Cloud VPN トンネルと同じリージョン内の自動作成されたサブネットのプライマリ IP 範囲です。自動モード ネットワークには、IP 範囲が明確に定義されたリージョンごとに 1 つのサブネットがあります。

  • レガシー ネットワーク: 指定されていない場合、ローカル トラフィック セレクタは、レガシー ネットワークからなる RFC 1918 IP アドレス範囲全体として定義されます。

ポリシーベースの Cloud VPN トンネルを作成する際は、そのリモート トラフィック セレクタを指定する必要があります。GCP Console を使用して Cloud VPN を作成する場合、宛先がリモート トラフィック セレクタの CIDR に対応するカスタム静的ルートが自動的に作成されます。IKEv1 では、リモート トラフィック セレクタは単一の CIDR に制限されます。方法については、ポリシーベースの VPN の作成をご覧ください。

トラフィック セレクタに関する重要な考慮事項

Cloud VPN のポリシーベースのトンネルを作成する前に、次の点について検討してください。

  • ほとんどの VPN ゲートウェイでは、パケットのソース IP がトンネルのローカル トラフィック セレクタに適合し、パケットの宛先 IP がトンネルのリモート トラフィック セレクタに適合する場合にのみ、VPN トンネルを介してトラフィックが通過できます。一部の VPN デバイスでは、この要件は適用されません。

  • Cloud VPN ではトラフィック セレクタの CIDR 0.0.0.0/0(任意の IP アドレス)がサポートされます。このセレクタも機能するか確認するには、オンプレミス VPN ゲートウェイのドキュメントをご覧ください。両方のトラフィック セレクタを 0.0.0.0/0 に設定してポリシーベースの VPN トンネルを作成した場合、機能的にはルートベースの VPN を作成した場合と同じになります。

  • Cloud VPN での IKEv1 と IKEv2 プロトコルの実装方法については、トラフィック セレクタごとに複数の CIDR を指定をご覧ください。

  • Cloud VPN では、VPN の作成後にトラフィック セレクタを編集できません。Cloud VPN トンネルのローカルまたはリモートのトラフィック セレクタを変更するには、いったんトンネルを削除してから再作成する必要があります。ただし、Cloud VPN ゲートウェイを削除する必要はありません

  • 自動モードの VPC ネットワークをカスタムモードの VPC ネットワークに変換する場合、特に、カスタム サブネットの追加、自動作成されたサブネットの削除、サブネットのセカンダリ IP 範囲の変更を行う際に、Cloud VPN トンネル(ゲートウェイではない)を削除して再作成する必要が生じることがあります。既存の Cloud VPN トンネルを含む VPC ネットワークではモードを切り替えないでください。推奨事項については、自動モード ネットワークの考慮事項をご覧ください。

VPN の一貫性のある予測可能な動作のために、次の点に注意してください。

  • ローカルとリモートのトラフィック セレクタはできるだけ具体的にします。

  • Cloud VPN のローカル トラフィック セレクタは、オンプレミス VPN ゲートウェイ上の対応するトンネル用に構成されたリモート トラフィック セレクタと同じにします。

  • Cloud VPN リモート トラフィック セレクタは、オンプレミス VPN ゲートウェイ上の対応するトンネル用に構成されたローカル トラフィック セレクタと同じにします。

トラフィック セレクタごとに複数の CIDR を指定

ポリシーベースの Cloud VPN トンネルの作成時、IKEv2 を使用する場合はトラフィック セレクタごとに複数の CIDR を指定できます。Cloud VPN では、IKE バージョンに関係なく常に単一の子 SA が使用されます。

次の表は、Cloud VPN がポリシーベースの VPN トンネルで、トラフィック セレクタごとに複数の CIDR を指定することをサポートしているかどうかをまとめたものです。

IKE バージョン トラフィック セレクタごとに複数の CIDR を指定
IKEv1 いいえ
IKEv1 プロトコルでは、RFC 2407 と RFC 2409 の定義に従い、子 SA(セキュリティ アソシエーション)ごとに CIDR が 1 つだけサポートされます。Cloud VPN では VPN トンネルごとに子 SA が 1 つ必要であるため、IKEv1 を使用する場合、ローカル トラフィック セレクタとリモート トラフィック セレクタそれぞれに CIDR を 1 つだけ指定できます。

Cloud VPN では、それぞれに CIDR が 1 つ設定された複数の子 SA の IKEv1 を使用した VPN トンネルの作成はサポートされません
IKEv2 はい。ただし、次のすべての条件が満たされる場合です。
  • オンプレミス VPN ゲートウェイで単一の子 SA が使用されている。ローカル トラフィック セレクタのすべての CIDR とリモート トラフィック セレクタのすべての CIDR は、単一の子 SA に含まれている必要があります
  • 構成した CIDR の数が原因で IKE プロポーザル パケットが Cloud VPN の最大 MTU である 1,460 バイトを超えることはない。IKE プロポーザルがこの MTU を超えると Cloud VPN トンネルは確立されません。
  • オンプレミス ゲートウェイでサポートされている CIDR の数に関する制限を超えていない。詳細については、ゲートウェイのベンダーのドキュメントをご覧ください。

作成する IKE プロポーザル パケットが最大 MTU を超えないよう、トラフィック セレクタごとに使用する CIDR の数を 30 以下にすることをおすすめします。

トラフィック セレクタ戦略

オンプレミス VPN ゲートウェイで VPN トンネルごとに複数の子 SA が作成される場合、またはトラフィック セレクタごとに複数の CIDR が指定されているために IKEv2 での IKE プロポーザルが 1,460 バイトを超えた場合、次の戦略の導入を検討してください。

  1. VPN トンネルの動的ルーティングを使用します。オンプレミス VPN ゲートウェイが BGP をサポートしている場合、VPN トンネルのローカル トラフィック セレクタとリモート トラフィック セレクタはいずれも、定義上 0.0.0.0/0 です。オンプレミス VPN ゲートウェイと Cloud VPN トンネルに関連付けられた Cloud Router との間でルートが自動的に交換されます。

  2. 範囲の広い単一の CIDR トラフィック セレクタと静的トンネル ルーティングを使用します。

    • ルートベースの VPN を使用します。両方のトラフィック セレクタは、ルートベース VPN の定義により 0.0.0.0/0 です。トラフィック セレクタよりも具体的なルートを作成できます。

    • ポリシーベースのルーティングを使用し、できる限り範囲が広くなるようにローカルとリモートのトラフィック セレクタを構成します。ポリシーベースの Cloud VPN トンネルでは、リモート トラフィック セレクタ内の CIDR よりも具体的な宛先を持つ VPC ネットワーク内のオンプレミス ネットワークへのルートを作成できます。簡単に作成するには、ポリシーベース VPN の作成ページの gcloud の手順に従って、VPN トンネルとは別にルートを作成します。

  3. ポリシーベース ルーティングを使用して複数の Cloud VPN トンネルを作成することで、各トンネルにローカル トラフィック セレクタ用の CIDR ブロックと、リモート トラフィック セレクタ用の CIDR ブロックをそれぞれ 1 つだけ作成するようにします。オンプレミスの対応するトンネルも同様の方法で構成します。Cloud VPN ではゲートウェイごとに複数のトンネルを使用できます。ただし、複数のトンネルを使用することでいくつかの影響が生じます。

    • オンプレミス VPN ゲートウェイは、同じパブリック IP アドレスで終了する複数のトンネルをサポートする必要があります。これにより、単一の Cloud VPN ゲートウェイを使用してすべてのトンネルを保持できます。複数のトンネルがサポートされない場合は、Cloud VPN トンネルごとに別々の Cloud VPN ゲートウェイを使用する必要があります。
    • GCP Console を使用してルートベースまたはポリシーベースの Cloud VPN トンネルを作成すると、トンネルに加えてオンプレミス ネットワークへのルートも自動的に作成されます。それぞれが同じリモート トラフィック セレクタを使用する複数の VPN トンネルに対してルートが自動的に作成される場合は(ルートベースの VPN を作成した場合など)、すべて同じ宛先でネクストホップが異なる複数のルートが VPC ネットワーク内に作成される可能性があります。この場合、ルートの適用範囲と順序に従ってトラフィックが VPN トンネルに配信されるため、予測不能で想定外の動作につながることがあります。動的(BGP)トンネル ルーティングを使用しない場合は、VPC ネットワークとオンプレミス ネットワークの両方で、静的ルートを慎重に作成して確認する必要があります。

次のステップ

VPN のその他の概念

Cloud VPN の概念に関するその他の情報については、ページ下部のナビゲーション矢印を使用して次の概念に移動するか、以下のリンクを使用してください。

VPN 関連

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...