Cloud VPN の概要

このページでは、Google Cloud VPN に関連する概念について説明します。

仮想プライベート ネットワーク(VPN)を作成するには、VPN ルーティング オプションの選択をご覧ください。

はじめに

Cloud VPN を使用すると、IPsec VPN 接続を介してオンプレミス ネットワークから Google Cloud Platform(GCP)Virtual Private Cloud(VPC)ネットワークに安全に接続できます。2 つのネットワーク間のトラフィックは一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。

特徴

Cloud VPN には次のような機能が用意されています。

VPN トポロジ

次の図は、Cloud VPN ゲートウェイとオンプレミス VPN ゲートウェイの間の VPN 接続を簡単に示したものです。

Cloud VPN では、オンプレミス ホストが 1 つ以上の IPsec VPN トンネルを介してプロジェクトの VPC ネットワーク内の Compute Engine 仮想マシン(VM)インスタンスと通信します。

VPN 図(クリックして拡大)
VPN 図(クリックして拡大)

ハイブリッド ネットワーキングのための VPN の選択

Interconnect タイプを選択する方法を参照して、GCP へのハイブリッド ネットワーキング接続として Cloud VPN、Cloud Interconnect – Dedicated、Cloud Interconnect – Partner のどれを使用するかを決定します。このページでは Cloud VPN でどのタイプの VPN シナリオがサポートされるかについても取り上げます。

用語

VPN に関するドキュメント全体で使用する用語の定義を次に示します。

プロジェクト ID
GCP プロジェクトの ID。これは、ユーザーが作成したプロジェクトのわかりやすい名前ではありません。ID を検索するには、GCP Console のプロジェクト ID 列を参照してください。詳細については、プロジェクトの識別をご覧ください。
Internet Key Exchange(IKE)
IKE は、認証に使用され、トラフィックを暗号化するためのセッションキーをネゴシエートするために使用されるプロトコルです。
Cloud VPN ゲートウェイ
Google が管理する GCP 内で実行されている仮想 VPN ゲートウェイです。ユーザーがプロジェクトで指定した構成が使用されます。各 Cloud VPN ゲートウェイは、リージョンの外部 IP アドレスを使用するリージョン リソースです。Cloud VPN ゲートウェイは、オンプレミス VPN ゲートウェイまたは別の Cloud VPN ゲートウェイに接続できます。
オンプレミス VPN ゲートウェイ
Cloud VPN ゲートウェイに接続される、GCP 内にない VPN ゲートウェイです。データセンター内の物理デバイスか、別のクラウド プロバイダのネットワーク内にある物理ベースまたはソフトウェア ベースの VPN プロダクトです。Cloud VPN の手順は VPC ネットワークの観点から書かれているため、「オンプレミス ゲートウェイ」は Cloud VPN への接続用のゲートウェイです。
VPN トンネル
VPN トンネルは 2 つの VPN ゲートウェイを接続し、暗号化されたトラフィックが通過する仮想メディアとして機能します。2 つの VPN ゲートウェイ間の接続を確立するには、2 つの VPN トンネルを確立する必要があります。各トンネルではゲートウェイの観点から接続が定義され、2 つのトンネルが確立されて初めてトラフィックが通過できます。Cloud VPN トンネルは、常に特定の Cloud VPN ゲートウェイ リソースに関連付けられます。

トンネル ルーティング オプション

Cloud VPN は、VPN トンネル用の 3 つの異なるルーティング方法を提供します。

動的(BGP)ルーティング
Cloud Router で Border Gateway Protocol(BGP)を使用して Cloud VPN トンネルのルートを管理できるのは、対応する VPN ゲートウェイまたはオンプレミス VPN ゲートウェイで BGP がサポートされている場合です。このルーティング方法を使用すると、トンネル構成を変更せずにルートの更新や交換が可能になります。GCP サブネットへのルートはオンプレミス VPN ゲートウェイにエクスポートされ、オンプレミス VPN ゲートウェイから確認したオンプレミス サブネットへのルートは VPC ネットワークに適用されます。どちらのルートもネットワークの動的ルーティング オプションに従います。動的ルーティングは、ルートが変更されたときにトンネルを再作成する必要がないため、このルーティング オプションの使用をおすすめします。
ポリシーベース ルーティング
このルーティング オプションでは、Cloud VPN トンネルの作成時にリモート ネットワークの IP 範囲とローカル サブネットを指定します。Cloud VPN の観点では、リモート ネットワークの IP 範囲は VPN トンネルの「右側」であり、ローカル サブネットは「左側」です。トンネルの作成時に各リモート ネットワーク範囲の静的ルートが GCP によって自動的に作成されます。オンプレミス VPN ゲートウェイでそれに対応するトンネルを作成するときは、左右の範囲が逆になります。
ルートベースの VPN
このルーティング オプションでは、リモート ネットワークの IP 範囲(右側)だけを指定します。すべての受信トラフィックは、手動で作成したルートに従って、トンネルを通って受け入れられます。

ネットワーク タイプとルーティング オプションの詳細については、VPC ネットワーク タイプとルーティング オプションの選択ページを参照してください。

仕様

VPN と GCP ネットワークを使用して 2 つ以上のオンプレミス ロケーションを相互にリンクするハブ アンド スポーク構成を作成することは技術的には可能ですが、このような設定は利用規約に違反します。複数のオンプレミス ロケーションが関係していなければ、GCP ネットワークのハブ アンド スポーク リンクを作成できます。

Cloud VPN の仕様は次のとおりです。

  • Cloud VPN は、VPC ネットワークレガシー ネットワークで使用できます。VPC の場合、ネットワーク内のサブネットで使用される IP アドレスの範囲を詳細に制御できるカスタムモードが推奨されます。

    • オンプレミス サブネットの IP アドレス範囲が VPC ネットワーク内のサブネットで使用される IP アドレスと重複する場合は、ルートの順序を参照して、ルーティングの競合を解決する方法を調べてください。
  • Cloud VPN をオンプレミス ホスト用の限定公開の Google アクセスと併用することで、外部 IP アドレスではなく内部 IP アドレスを使用してオンプレミス ホストから Google の API やサービスにアクセスできます。詳細については、VPC のドキュメントにある限定公開のアクセス オプションをご覧ください。

  • 各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたはオンプレミスの VPN ゲートウェイに接続します。

  • オンプレミス VPN ゲートウェイには、静的な外部 IP アドレスが必要です。Cloud VPN を構成するには、その IP アドレスを知る必要があります。

    • オンプレミス VPN ゲートウェイがファイアウォールの内側にある場合は、ESP(IPSec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。
  • Cloud VPN の認証では、事前共有キー(共有シークレット)のみがサポートされます。Cloud VPN トンネルを作成するときに共有シークレットを指定してください。オンプレミス ゲートウェイでトンネルを作成するときも、同じシークレットを指定する必要があります。強力な共有シークレットを作成するためのガイドラインをご覧ください。

  • Cloud VPN で使用される Maximum Transmission Unit(MTU)は 1,460 バイトです。オンプレミス VPN ゲートウェイは、1,460 バイト以下の MTU を使用するように構成してください。

    • ESP オーバーヘッドを考慮すると、トンネル経由でトラフィックを送信しているシステムの MTU 値を低い値に設定する必要があります。詳しい説明と推奨事項については、MTU に関する考慮事項をご覧ください。
  • Cloud VPN では、事前分割をサポートするようオンプレミス VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。

  • Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。

  • Cloud VPN でサポートされている暗号と構成パラメータについては、サポートされる IKE 暗号を参照してください。

メンテナンスと可用性

Cloud VPN は定期的なメンテナンスを行います。メンテナンス中、Cloud VPN トンネルはオフラインになり、ネットワーク トラフィックが短時間で低下します。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。

Cloud VPN のメンテナンスは、予告なしにいつでも発生する可能性のある通常の運用上の作業です。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。

複数のトンネルを使用して、可用性の高い VPN 構成を設計できます。これを行うためのいくつかの戦略については、冗長性と高スループットを実現する VPN ページで説明します。

UDP カプセル化と NAT-T

Cloud VPN は、NAT トラバーサル(NAT-T)のために UDP カプセル化による 1 対 1 の NAT のみをサポートしています。NAT とポートベースの 1 対多のアドレス変換はサポートされていません。つまり、Cloud VPN は、単一のパブリック IP アドレスを共有する複数のオンプレミス VPN ゲートウェイまたはピア VPN ゲートウェイに接続できません

1 対 1 NAT を使用する場合、オンプレミスの VPN ゲートウェイは、内部(プライベート)アドレスではなく、パブリック IP アドレスを使用して自身を識別するように構成する必要があります。Cloud VPN ゲートウェイは、オンプレミス VPN ゲートウェイに接続するように Cloud VPN トンネルを構成するとき、外部 IP アドレスを指定します。Cloud VPN は、オンプレミス VPN ゲートウェイがその外部 IP アドレスを ID として使用することを想定しています。

1 対 1 の NAT の背後にある VPN ゲートウェイの詳細については、トラブルシューティングのページを参照してください。

おすすめの方法

こちらのおすすめの設定を使用して、Cloud VPN を最も効果的な方法で構築してください。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...