ルートの順序

このページでは、VPC ネットワークとレガシー ネットワークで Cloud VPN トンネルのルートが解釈される仕組みについて説明します。GCP のルートに関する重要な背景情報については、ルートの概要をご覧ください。このドキュメントは、ルートの適用範囲と順序が理解されていることを前提としています。

VPN ルート

VPN ルートは、GCP ネットワークから送信されるトラフィックの下りパスを定義します。

  • 動的ルーティングを使用する Cloud VPN トンネルのルートは、Cloud Router によって管理されます。これらのルートは手動で編集や削除ができません。オンプレミスまたはピア ネットワークへの宛先を持つルートは、ピア VPN ゲートウェイの BGP アドバタイズに基づいて、トンネルに関連付けられた Cloud Router によって自動的に作成、削除されます。動的ルートのネクストホップは、オンプレミス ピアの BGP IP アドレスです。

  • GCP Console を使用して、ポリシーベース ルーティングまたはルートベース VPN を使用するトンネルを作成すると、GCP によって、リモート トラフィック セレクタの各 IP 範囲に一致する宛先を持つ静的ルートが作成されます。gcloud コマンドを使用してトンネルを作成する場合は、対応する静的ルートを手動で作成する必要があります。VPN 静的ルートのネクストホップは、適切な Cloud VPN トンネルです。

ルーティングの例

GCP では、パケットのネクストホップを選択するために特定の手順に従います。次の例は、VPN ルートがサブネット ルートと連携してどのように機能するかを示しています。GCP によるルートの選択方法については、VPC のドキュメントにあるルーティング順序をご覧ください。

各例では、10.2.0.0/16 はオンプレミスのネットワーク IP アドレス範囲を表します。

  • GCP サブネットの IP 範囲が同じである場合: GCP ネットワークに、10.2.0.0/16 の範囲を使用するサブネットが含まれている場合、リモート トラフィック セレクタに 10.2.0.0/16 が含まれていると、GCP ではポリシーベースのルーティングまたはルートベースの VPN を使用して Cloud VPN トンネルを作成できません。Cloud VPN トンネルで動的ルーティングが使用されている場合、関連する Cloud Router では、宛先が 10.2.0.0/16 のアドバタイズされたルートがすべて無視されます。10.2.0.0/16 宛てのトラフィックは GCP に残ります。

  • GCP サブネットの IP 範囲が広い場合: GCP ネットワークに、10.0.0.0/8 などの広範で包括的な IP 範囲を使用するサブネットが含まれている場合、リモート トラフィック セレクタに 10.0.0.0/8 かそれより狭い範囲が含まれていると、GCP ではポリシーベースのルーティングまたはルートベースの VPN を使用して Cloud VPN トンネルを作成できません。Cloud VPN トンネルで動的ルーティングが使用されている場合、関連する Cloud Router では、宛先が 10.0.0.0/8 に収まる(より狭い範囲を含む)アドバタイズされたルートがすべて無視されます。10.0.0.0/8 宛てのすべてのトラフィックは GCP に残ります。

  • GCP サブネットの IP 範囲が狭い場合: GCP ネットワークに、10.2.99.0/24 などの狭範で内包的な IP 範囲のサブネットが含まれている場合、任意のルーティング オプションを使用して、より広い 10.2.0.0/16 範囲への Cloud VPN トンネルを作成できます10.2.99.0/24 宛てのトラフィックは引き続き GCP サブネットにルーティングされます。宛先が 10.2.0.0/16 で、10.2.99.0/24 の外部へのトラフィック(10.2.100.8 宛てなど)は、VPN トンネルを介して送信されます。

他の VPN ルート

サブネット ルートで宛先が見つからない場合、GCP は次の方法で VPN トンネルのルートを解決します。

  • トンネルが起動していない場合、Cloud VPN トンネルをネクストホップとして使用するルートは無視されます。

  • GCP は、最も狭い範囲の宛先を持つルートのネクストホップにパケットを送信します。

  • 最も狭い範囲の宛先を持つルートが複数ある場合、ルートの優先度が考慮されます。

    • 優先度の最も高い単一ルートが利用可能な場合、パケットはそのネクストホップに送信されます。

      • 同じ優先度のルートが複数存在する場合、ECMP を使用して、いずれかのルートのネクストホップにパケットが配信されます。つまり、トラフィックは複数のネクストホップに分散されるため、該当する利用可能な Cloud VPN トンネル間でバランスが取られます。このバランシングはハッシュに基づくため、トンネルが稼働している限り、同じフローからのパケットはすべて同じトンネルを通ります。

トンネルがダウンした場合

Cloud VPN トンネルが利用できない場合、GCP は関連ルートを以下のように解釈します。

  • Cloud VPN トンネルが動的ルーティングを使用する場合、Cloud VPN トンネルに関連付けられた Cloud Router では、トンネルがダウンしたときに学習済みのルートが自動的に削除されます。学習済みのルートとは、対応するオンプレミスまたはピア VPN ゲートウェイについての BGP IP のネクストホップを使用したルートです。サブネット ルートとの競合がない場合、学習済みのルートはトンネルが元どおりに稼働したとき再度追加されます。使用するネットワークに応じて、関連付けられた Cloud Router がルートを削除するために最大 40 秒の処理時間を要することがあります。

  • ポリシーベースのルーティングまたはルートベースの VPN を使用するトンネルには、対応する静的ルートがあります。GCP では、ダウンしている Cloud VPN トンネルを指定するネクストホップを持つ静的ルートは無視されます。

2 つ目の Cloud VPN トンネルが同じ宛先への代替パスを提供する場合でも、1 つの Cloud VPN トンネルがダウンするとパケットロスが発生することが予想されます。処理中のパケットが削除される可能性があり、動的ルートの削除は、関連する Cloud Router が処理を完了した後に初めて行われます。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...