Cloud VPN のトポロジ

Cloud VPN では、オンプレミス ホストが 1 つ以上の IPsec VPN トンネルを介してプロジェクトの VPC ネットワーク内の Compute Engine 仮想マシン(VM)インスタンスと通信します。

このページでは、推奨する HA VPN のトポロジについて説明します。Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。

Cloud VPN の基本コンセプトについては、Cloud VPN の概要をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジまたは構成シナリオでサイト間 VPN をサポートします。次の用途に対する適切な構成シナリオは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。

  • 1 台の HA VPN ゲートウェイを複数のピア VPN デバイスに接続。このようなトポロジはすべて、HA VPN ゲートウェイの視点から 2 つの VPN トンネルが必要です。最適なトポロジは、ピア VPN ゲートウェイのベンダーに確認したうえで判断してください。
    • 1 台の HA VPN ゲートウェイと 2 台の別々のピア VPN デバイスを接続し、各ピアデバイスが個別のパブリック IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 2 つのパブリック IP アドレスを持つ。
    • 1 台の HA VPN ゲートウェイと 1 台のピア VPN デバイスを接続し、ピアデバイスが 1 つのパブリック IP アドレスを持つ。
  • 1 台の HA VPN ゲートウェイを 1 台の AWS 仮想プライベートゲートウェイに接続し、ピア ゲートウェイは 4 つのインターフェースを持つ構成。
  • 2 台の HA VPN ゲートウェイ間を接続

99.99% の可用性をサポートする構成

HA VPN 接続で 99.99% の可用性 SLA を保証するには、HA VPN ゲートウェイからピア VPN ゲートウェイ、または別の HA VPN ゲートウェイへの、2 つまたは 4 つのトンネルを適切に構成する必要があります。

適切に構成するとは、HA VPN ゲートウェイの全インターフェースとピア ゲートウェイの全インターフェース、または他の HA VPN ゲートウェイと接続することにより、VPN トンネルが十分な冗長性を提供する必要があるということです。

以降の各セクションでは、VPN 接続の両端でトンネルを構成して、99.99% の可用性を確保する方法について説明します。

帯域幅を拡大する HA VPN の構成

HA VPN の帯域幅を拡大するための推奨方法は、次の方法でスケーリングされます。

既存の HA VPN ゲートウェイの各インターフェースに接続された複数のトンネルをデプロイするのではなく、ゲートウェイを拡張します(蝶ネクタイ型構成)。

同じピア VPN ゲートウェイ(外部の VPN ゲートウェイ リソース)に、Cloud VPN の割り当ておよび上限から許される限りのトンネルを追加して、複数の HA VPN ゲートウェイを接続できます。

下に 10 Gbps スループットの HA VPN ゲートウェイの例を示します。次の Google Cloud リソースを使用しています。

  • Cloud Router x 1
  • 合計 8 つの VPN トンネル用に、それぞれ 2 つのトンネルを備えた HA VPN ゲートウェイ x 4
  • 合計で BGP セッション x 8

この構成では、BGP セッションのアクティブ / パッシブ MED 構成が、ゲートウェイごとに interface 0interface 1 のそれぞれに用意されていることを想定しています。つまり、4 つの interface 0 トンネルがアクティブで、4 つの interface 1 トンネルがパッシブです。

HA VPN とピア VPN ゲートウェイ間

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ個別の IP アドレスを持つ 2 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、2 つの個別 IP アドレスを使用する 1 台のピア VPN デバイスに接続。
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN デバイスに接続。

こうした構成を設定するには、HA VPN とピア VPN ゲートウェイ間接続の作成をご覧ください。

2 台のピア VPN デバイス

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することで、ピア側でも冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。いずれかのゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピアデバイスに接続します。各ピアデバイスには、1 つのインターフェースと 1 つのパブリック IP アドレスがあります。HA VPN ゲートウェイは、ピアデバイスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)
HA VPN を 2 台のピア(オンプレミス)デバイスに接続(クリックして拡大)

2 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが、個別のパブリック IP アドレスを 2 つ持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、ピアデバイスのパブリック IP アドレスそれぞれにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE でも、値は TWO_IPS_REDUNDANCY になります。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

1 つの IP アドレスを持つ 1 台のピア VPN デバイス

このトポロジでは、1 台の HA VPN ゲートウェイが 1 つのパブリック IP アドレスを持つ 1 台のピアデバイスに接続しています。HA VPN ゲートウェイは、2 つのトンネルを使用し、両方がピアデバイスのパブリック IP アドレスに接続されます。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が SINGLE_IP_INTERNALLY_REDUNDANT になります。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)デバイスへの HA VPN の接続(クリックして拡大)

AWS ピア ゲートウェイ

HA VPN 外部 VPN ゲートウェイを Amazon Web Services(AWS)に構成する場合、サポートされるトポロジには、それぞれ 2 つのパブリック IP アドレスを持つ AB の 2 つの AWS 仮想プライベート ゲートウェイが必要です。このトポロジでは、AWS で A1A2B1、および B2 の合計 4 つのパブリック IP アドレスが生成されます。

  1. 4 つの AWS IP アドレスを、FOUR_IPS_REDUNDANCY を使用して外部 HA VPN ゲートウェイとして構成します。ここで、
    • AWS IP 0 = A1
    • AWS IP 1 = A2
    • AWS IP 2 = B1
    • AWS IP 3 = B2
  2. HA VPN ゲートウェイに 4 つのトンネルを作成し、99.99% の SLA を達成します。次の構成を使用します。
    • HA VPN インターフェース 0 と AWS インターフェース 0
    • HA VPN インターフェース 0 と AWS インターフェース 1
    • HA VPN インターフェース 1 と AWS インターフェース 2
    • HA VPN インターフェース 1 と AWS インターフェース 3

Amazon Web Services(AWS)で HA VPN を構成するための全般的な構成手順の概要。

  1. HA VPN ゲートウェイと Cloud Router を作成します。これにより、GCP 側に 2 つのパブリック IP アドレスが作成されます。
  2. 2 つの AWS 仮想プライベート ゲートウェイを作成します。これにより、AWS 側に 4 つのパブリック アドレスが作成されます。
  3. AWS 仮想プライベート ゲートウェイごとに 1 つずつ、2 つの AWS Site-to-Site VPN 接続とカスタマー ゲートウェイを作成します。各トンネルで重複しないように、リンクローカル トンネル IP 範囲を 4 つ指定します。例えば、169.254.1.4/30 です。
  4. 汎用デバイスタイプの AWS 構成ファイルをダウンロードします。
  5. HA VPN ゲートウェイで 4 つの VPN トンネルを作成します。
  6. ダウンロードした AWS 構成ファイルの BGP IP アドレスを使用して、Cloud Router で BGP セッションを構成します。

99.99% の可用性を保証

GCP 側で 99.99% の SLA をサポートするには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合、各ピア インターフェースから各 HA VPN ゲートウェイ インターフェースへの 2 つのトンネルを構成すると、99.99% の SLA 要件を満たします。フルメッシュ構成は、GCP 側での 99.99% SLA の要件ではありません。この場合、フルメッシュ構成とは、Google Cloud 側からの合計 4 つのトンネルに対して、各 HA VPN インターフェースからピア ゲートウェイ上の 2 つのインターフェースへの 2 つのトンネルとして定義されます。ピア(オンプレミス)VPN デバイスのドキュメントをご覧いただくか、VPN ベンダーに問い合わせて、フルメッシュ構成が推奨されるかどうかを確認してください。

次の例では、99.99% の可用性が実現されます。

この構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 台のピアデバイスに 2 つのインターフェースの図と、1 台のピアデバイスに 2 つのインターフェースの図を示します。

ピア ゲートウェイにピア インターフェースが 1 つしかない場合、各 HA VPN ゲートウェイ インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。この例を、1 台のピアデバイスに 1 つのインターフェースの図に示します。

次の例では、99.99% の可用性が実現されません。

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ(クリックして拡大)
高可用性が実現されないトポロジ(クリックして拡大)

Google Cloud と Google Cloud HA VPN ゲートウェイの接続

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。

Google Cloud と Google Cloud HA VPN ゲートウェイの接続(クリックして拡大)
Google Cloud と Google Cloud HA VPN ゲートウェイの接続(クリックして拡大)

それぞれの HA VPN ゲートウェイからみて、次の両方が成り立つトンネルを 2 つ作成します。

  • 一方の HA VPN ゲートウェイの interface 0 と、他方の HA VPN の interface 0 を接続
  • 一方の HA VPN ゲートウェイの interface 1 と、他方の HA VPN の interface 1 を接続。

この構成を設定するには、HA VPN と HA VPN ゲートウェイ間の接続の作成をご覧ください。

99.99% の可用性を保証

HA VPN と HA VPN ゲートウェイの接続で 99.99% の可用性を実現するには、両方のゲートウェイで次のインターフェースが対応している必要があります。

  • HA VPN の interface 0 に対し HA VPN の interface 0
  • HA VPN の interface 1 に対し HA VPN の interface 1

次のステップ