ネットワークとトンネル ルーティング

このページでは、サポートされている Virtual Private Cloud ネットワークとルーティング オプションについて説明します。

サポートされているネットワーク

Cloud VPN では VPC カスタム ネットワーク、自動モード ネットワークレガシー ネットワークがサポートされていますが、次に示すベスト プラクティスをご検討ください。

  • レガシー ネットワークの代わりに VPC ネットワークを使用する。レガシー ネットワークはサブネットに対応していないため、ネットワーク全体で単一の IP アドレス範囲を使用します。レガシー ネットワークは VPC ネットワークに変換できません。

  • カスタムモードの VPC ネットワークを使用する。カスタムモードの VPC ネットワークでは、サブネットで使用される IP アドレスの範囲を完全に制御できます。

    • Cloud VPN を使用して 2 つの VPC ネットワークを接続する場合、少なくとも 1 つはカスタムモードのネットワークにする必要があります。これは、自動モード ネットワークでは、そのサブネットに同じ内部 IP アドレス範囲が使用されるためです。

    • 自動モード ネットワークを Cloud VPN で使用する前に、自動モードのネットワークに関する考慮事項を確認してください。自動モードのネットワークでは、追加された新しいリージョンに新しいサブネットが自動的に作成されるなど、Google Cloud リージョンごとにサブネットが自動的に作成されます。Cloud VPN トンネルの接続先のネットワークでは、自動モード ネットワークで使用されている範囲のプライベート IP アドレスは使用しないでください。

VPN トンネルのルーティング オプション

Classic VPN では VPN トンネルの動的および静的なルーティング オプションをサポートしていますが、HA VPN には動的ルーティング オプションが必要です。

動的ルーティングでは、Border Gateway Protocol(BGP)が使用されます。

動的(BGP)ルーティング

動的ルーティングでは、Cloud Router を利用して、ルートの交換が BGP プロトコルで自動的に管理されます。この交換は、対応する Cloud VPN トンネルと同じリージョンにある Cloud Router の BGP インターフェースによって管理されます。ルートの追加と削除は Cloud Router により行われ、トンネルの削除と再作成は必要ありません。

VPC ネットワークの動的ルーティング モードにより、そのネットワークにあるすべての Cloud Router の動作が制御されます。このモードによって、ピア ネットワークから学習したルートが、VPN トンネルと同じリージョン内の Google Cloud リソースにのみ適用されるか、すべてのリージョンに適用されるかが決定されます。管理者は、ピアルーターまたはゲートウェイによってアドバタイズされたルートを制御します。

動的ルーティング モードによって、ピアのルーターまたはゲートウェイと共有するサブネット ルートを、トンネルのリージョンからのもののみにするか、すべてのリージョンからのものにするかも決定されます。これらのサブネット ルートに加えて、Cloud Router にカスタム ルート アドバタイズを構成できます。

静的ルーティング

Classic VPN トンネルは、ポリシーベースおよびルートベースの静的ルーティング オプションをサポートしています。静的ルーティング オプションは、動的(BGP)ルーティングや HA VPN を使用できない場合にのみ使用してください。

  • ポリシーベースのルーティング: ローカル IP 範囲(左側)とリモート IP 範囲(右側)は、トンネル作成プロセスの一部として定義します。

  • ルートベースの VPN: Cloud Console を使用してルートベースの VPN を作成する場合は、リモート IP 範囲のリストのみを指定します。これらの範囲は、ピアリソースへの VPC ネットワーク内のルートを作成するためにのみ使用されます。

これら 2 つの静的ルーティング オプションの詳細については、トラフィック セレクタを参照してください。

トラフィック セレクタ

トラフィック セレクタは、VPN トンネルを確立するために使用される一連の IP アドレス範囲または CIDR ブロックを定義します。これらの範囲は、トンネルの IKE ネゴシエーションの一部として使用されます。文献によっては、トラフィック セレクタは「暗号化ドメイン」とも呼ばれています。

トラフィック セレクタには次の 2 種類があります。

  • ローカル トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、ローカル IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルに対して、ローカル トラフィック セレクタは VPC ネットワークのサブネット用にプライマリとセカンダリのサブネット CIDR のセットを定義し、トンネルの「左側」を表します。

  • リモート トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、リモート IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルに対して、リモート トラフィック セレクタは「右側」、つまりピア ネットワークです。

トラフィック セレクタは、IKE handshake を確立するために使用される VPN トンネルの本質的な部分です。ローカルまたはリモートのいずれかの CIDR を変更する必要がある場合は、Cloud VPN トンネルと、それに対応するピアのトンネルを破棄して再作成する必要があります。

ルーティング オプションとトラフィック セレクタ

ローカルおよびリモートのトラフィック セレクタの IP 範囲(CIDR ブロック)の値は、Cloud VPN トンネルで使用されるルーティング オプションによって異なります。

HA VPN トンネル
トンネル
ルーティング オプション
ローカル
トラフィック セレクタ
リモート
トラフィック セレクタ
VPC ネットワークへの
ルート
ピア ネットワークへの
ルート
動的(BGP)ルーティング
必要
常に
0.0.0.0/0
常に
0.0.0.0/0
カスタム アドバタイズによって変更されない限り、Cloud VPN トンネルの BGP インターフェースを管理する Cloud Router は、ネットワークの動的ルーティング モードCloud Router の割り当てと制限に従って、VPC ネットワーク内のサブネットへのルートを共有します。 Cloud VPN トンネルの BGP インターフェースを管理している Cloud Router は、カスタムルートに関する制限と、Cloud Router の割り当てと制限に従って、ピア VPN ゲートウェイによって送信されたルートを学習し、カスタム動的ルートとしてルートを VPC ネットワークに追加します。
Classic VPN トンネル
トンネル
ルーティング オプション
ローカル
トラフィック セレクタ
リモート
トラフィック セレクタ
VPC ネットワークへの
ルート
ピア ネットワークへの
ルート
動的(BGP)ルーティング 常に
0.0.0.0/0
常に
0.0.0.0/0
カスタム アドバタイズによって変更されない限り、Cloud VPN トンネルの BGP インターフェースを管理する Cloud Router は、ネットワークの動的ルーティング モードCloud Router の割り当てと制限に従って、VPC ネットワーク内のサブネットへのルートを共有します。 Cloud VPN トンネルの BGP インターフェースを管理している Cloud Router は、カスタムルートに関する制限と、Cloud Router の割り当てと制限に従って、ピア VPN ゲートウェイによって送信されたルートを学習し、カスタム動的ルートとしてルートを VPC ネットワークに追加します。
ポリシーベース ルーティング 構成可能。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
必須。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
VPC ネットワーク内のサブネットへのルートをピアルーター上に手動で作成して管理する必要があります。 カスタム静的ルートは、Cloud Console を使用してポリシーベースの VPN トンネルを作成すると自動的に作成されます。gcloud を使用してトンネルを作成する場合は、追加の gcloud コマンドを使用してルートを作成する必要があります。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。
ルートベースの VPN 常に
0.0.0.0/0
常に
0.0.0.0/0
VPC ネットワーク内のサブネットへのルートをピアルーター上に手動で作成して管理する必要があります。 カスタム静的ルートは、Cloud Console を使用してルートベースの VPN トンネルを作成すると自動的に作成されます。gcloud を使用してトンネルを作成する場合は、追加の gcloud コマンドを使用してルートを作成する必要があります。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。

ポリシーベースのトンネルとトラフィック セレクタ

このセクションでは、ポリシーベースの Classic VPN トンネルを作成する際のトラフィック セレクタに関する特別な考慮事項について説明します。この内容は、他の種類の Classic VPN トンネルや HA VPN トンネルには適用されません。

ポリシーベースの Cloud VPN トンネルを作成する際は、そのローカル トラフィック セレクタを指定できます。

  • カスタム ローカル トラフィック セレクタ: ローカル トラフィック セレクタは、VPC ネットワーク内のサブネットのセット、または VPC ネットワーク内の目的のサブネットの IP 範囲を含む内部 IP アドレスのセットとして定義できます。IKEv1 では、ローカル トラフィック セレクタは単一の CIDR に制限されます。

  • カスタムモードの VPC ネットワーク: 内部 IP アドレスの範囲で構成されるカスタム ローカル トラフィック セレクタを指定する必要があります。

  • 自動モード VPC ネットワーク: 指定しない場合、ローカル トラフィック セレクタは、Cloud VPN トンネルと同じリージョンに自動的に作成されたサブネットのプライマリ IP 範囲(CIDR ブロック)になります。自動モード ネットワークには、IP 範囲が明確に定義されたリージョンごとに 1 つのサブネットがあります。

  • レガシー ネットワーク: 指定されていない場合、ローカル トラフィック セレクタは、レガシー ネットワークからなる RFC 1918 IP アドレス範囲全体として定義されます。

ポリシーベースの Cloud VPN トンネルを作成する際は、そのリモート トラフィック セレクタを指定する必要があります。Cloud Console を使用して Cloud VPN トンネルを作成すると、宛先がリモート トラフィック セレクタの CIDR に対応するカスタム静的ルートが自動的に作成されます。IKEv1 では、リモート トラフィック セレクタは単一の CIDR に制限されます。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。

トラフィック セレクタに関する重要な考慮事項

Cloud VPN のポリシーベースのトンネルを作成する前に、次の点について検討してください。

  • ほとんどの VPN ゲートウェイでは、パケットのソース IP がトンネルのローカル トラフィック セレクタに適合し、パケットの宛先 IP がトンネルのリモート トラフィック セレクタに適合する場合にのみ、VPN トンネルを介してトラフィックが通過できます。一部の VPN デバイスでは、この要件は適用されません。

  • Cloud VPN ではトラフィック セレクタの CIDR 0.0.0.0/0(任意の IP アドレス)がサポートされます。ピア VPN ゲートウェイでもサポートされるかについては、当該ゲートウェイに付属のドキュメントをご確認ください。両方のトラフィック セレクタを 0.0.0.0/0 に設定してポリシーベースの VPN トンネルを作成した場合、機能的にはルートベースの VPN を作成した場合と同じになります。

  • Cloud VPN での IKEv1 と IKEv2 プロトコルの実装方法については、トラフィック セレクタごとに複数の CIDR を指定をご覧ください。

  • Cloud VPN では、VPN の作成後にトラフィック セレクタを編集できません。Cloud VPN トンネルのローカルまたはリモートのトラフィック セレクタを変更するには、トンネルを削除してから再作成する必要があります。ただし、Cloud VPN ゲートウェイを削除する必要はありません

  • 自動モードの VPC ネットワークをカスタムモードの VPC ネットワークに変換する場合、特に、カスタム サブネットの追加、自動作成されたサブネットの削除、サブネットのセカンダリ IP 範囲の変更を行う際に、Cloud VPN トンネル(ゲートウェイではない)を削除して再作成する必要が生じることがあります。既存の Cloud VPN トンネルを含む VPC ネットワークではモードを切り替えないでください。 推奨事項については、自動モードの VPC ネットワークに関する考慮事項をご覧ください。

VPN の一貫性のある予測可能な動作のために、次の点に注意してください。

  • ローカルとリモートのトラフィック セレクタはできるだけ具体的にします。

  • Cloud VPN のローカル トラフィック セレクタは、ピア VPN ゲートウェイ上の対応するトンネル用に構成されたリモート トラフィック セレクタと同じにします。

  • Cloud VPN リモート トラフィック セレクタは、オンプレミス VPN ゲートウェイ上の対応するトンネル用に構成されたローカル トラフィック セレクタと同じにします。

トラフィック セレクタごとに複数の CIDR を指定

ポリシーベースの Classic VPN トンネルを作成する場合、IKEv2 を使用すると、トラフィック セレクタごとに複数の CIDR を指定できます。Cloud VPN では、IKE バージョンに関係なく常に単一の子 SA が使用されます。

次の表は、Cloud VPN がポリシーベースの VPN トンネルで、トラフィック セレクタごとに複数の CIDR を指定することをサポートしているかどうかをまとめたものです。

IKE バージョン トラフィック セレクタごとに複数の CIDR を指定
IKEv1 サポートされません
IKEv1 プロトコルでは、RFC 2407 と RFC 2409 の定義に従い、子 SA(セキュリティ アソシエーション)ごとに CIDR が 1 つだけサポートされます。Cloud VPN では VPN トンネルごとに子 SA が 1 つ必要であるため、IKEv1 を使用する場合は、ローカル トラフィック セレクタとリモート トラフィック セレクタのそれぞれに、CIDR を 1 つだけ指定できます。

Cloud VPN では、IKEv1 を使用する VPN トンネルで複数の子 SA(それぞれに CIDR が 1 つある)を持つものは作成できません
IKEv2 サポートされます。ただし、次のすべての条件が満たされる場合に限ります。
  • ピア VPN ゲートウェイで単一の子 SA が使用されている。ローカル トラフィック セレクタのすべての CIDR とリモート トラフィック セレクタのすべての CIDR は、単一の子 SA に含まれている必要があります
  • 構成した CIDR の数が原因で IKE プロポーザル パケットが Cloud VPN の最大 MTU である 1,460 バイトを超えることはない。 IKE プロポーザルがこの MTU を超えると Cloud VPN トンネルは確立されません。
  • オンプレミス ゲートウェイでサポートされている CIDR の数に関する制限を超えていない。詳細については、ゲートウェイのベンダーのドキュメントをご覧ください。

最大 MTU を超える IKE プロポーザル パケットを作成しないよう、トラフィック セレクタごとに使用する CIDR の数を 30 以下にすることをおすすめします。

トラフィック セレクタ戦略

オンプレミス VPN ゲートウェイで VPN トンネルごとに複数の子 SA が作成される場合、またはトラフィック セレクタごとに複数の CIDR が指定されているために IKEv2 での IKE プロポーザルが 1,460 バイトを超えた場合、次の戦略の導入を検討してください。

  1. VPN トンネルの動的ルーティングを使用します。ピア VPN ゲートウェイが BGP をサポートしている場合、VPN トンネルのローカル トラフィック セレクタとリモート トラフィック セレクタはいずれも、定義上 0.0.0.0/0 です。ピア VPN ゲートウェイと Cloud VPN トンネルに関連付けられた Cloud Router との間でルートが自動的に交換されます。動的ルーティングを使用できる場合は、HA VPN を検討してください。

  2. 範囲の広い単一の CIDR トラフィック セレクタと静的トンネル ルーティングを使用します。

    • ルートベースの VPN を使用します。両方のトラフィック セレクタは、ルートベース VPN の定義により 0.0.0.0/0 です。トラフィック セレクタよりも具体的なルートを作成できます。

    • ポリシーベースのルーティングを使用し、できる限り範囲が広くなるようにローカルとリモートのトラフィック セレクタを構成します。ポリシーベースの Cloud VPN トンネルでは、リモート トラフィック セレクタ内の CIDR よりも具体的な宛先を持つ VPC ネットワーク内のオンプレミス ネットワークへのルートを作成できます。簡単に作成するには、静的ルーティングを使用する Classic VPN の作成ページの gcloud の手順に従って、VPN トンネルとは別にルートを作成します。

  3. ポリシーベース ルーティングを使用して複数の Cloud VPN トンネルを作成することで、各トンネルにローカル トラフィック セレクタ用の CIDR ブロックと、リモート トラフィック セレクタ用の CIDR ブロックをそれぞれ 1 つだけ作成するようにします。オンプレミスの対応するトンネルも同様の方法で構成します。Cloud VPN ではゲートウェイごとに複数のトンネルを使用できます。ただし、複数のトンネルを使用することでいくつかの影響が生じます。

    • ピア VPN ゲートウェイは、各 Cloud VPN トンネルが接続できる、個別の外部 IP アドレスを用意する必要があります。同じ Classic VPN ゲートウェイ上のトンネルは、それぞれを固有のピア ゲートウェイ IP アドレスに接続しなければなりません。ピア VPN ゲートウェイでも、トンネルを固有の IP アドレスに接続しなければならない場合もあります。場合によっては、Cloud VPN トンネルごとに個別の Cloud VPN ゲートウェイを作成する必要があります。
    • Cloud Console を使用してルートベースまたはポリシーベースの Cloud VPN トンネルを作成すると、トンネルに加えてピア ネットワークへのルートも自動的に作成されます。それぞれが同じリモート トラフィック セレクタを使用する複数の VPN トンネルに対してルートが自動的に作成される場合は(ルートベースの VPN を作成した場合など)、すべて同じ宛先でネクストホップが異なる複数のルートが VPC ネットワーク内に作成される可能性があります。この場合、ルートの適用範囲と順序に従ってトラフィックが VPN トンネルに配信されるため、予測不能で想定外の動作につながることがあります。動的(BGP)トンネル ルーティングを使用しない場合は、VPC ネットワークとピア ネットワークの両方で静的ルートを慎重に作成して確認する必要があります。

次のステップ

その他の VPN のコンセプト

Cloud VPN の概念に関するその他の情報については、ページ下部のナビゲーション矢印を使用して次の概念に移動するか、以下のリンクを使用してください。

VPN 関連