VPN オプションの選択

Google Cloud には、HA VPN と Classic VPN の 2 種類の Cloud VPN ゲートウェイがあります。

HA VPN への移行については、Classic VPN から HA VPN への移行をご覧ください。

HA VPN

HA VPN は、単一リージョン内の IPsec VPN 接続を使用して、オンプレミス ネットワークを Virtual Private Cloud ネットワークに安全に接続できる、高可用性(HA)仮想クラウド VPN ソリューションです。HA VPN は 99.99% のサービス可用性の SLA を提供します。

HA VPN ゲートウェイを作成すると、Google Cloud は 2 つのインターフェースの定数ごとに 1 つずつ、2 つの外部 IP アドレスを自動的に選択します。各 IP アドレスは、高可用性をサポートするため、一意のアドレスプールから自動的に選択されます。HA VPN ゲートウェイを削除すると、Google Cloud はこれらのアドレスを再利用できるようにするため解放します。

各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。

アクティブ インターフェース 1 つとパブリック IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成できますが、この構成では 99.99% のサービス可用性 SLA は提供されません。

HA VPN ゲートウェイは、API ドキュメントと gcloud コマンドでは、ターゲット VPN ゲートウェイではなく VPN ゲートウェイと呼ばれます。

HA VPN ゲートウェイの転送ルールを作成する必要はありません。

HA VPN は、Google Cloud の外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイやゲートウェイに関する情報を Google Cloud に提供します。詳細については、外部 VPN ゲートウェイ リソースピア VPN ゲートウェイをご覧ください。

次の図は、トポロジに 2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含む HA VPN のコンセプトを示しています。HA VPN トポロジ(構成シナリオ)の詳細については、Cloud VPN トポロジのページをご覧ください。


2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)
2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)

HA VPN の要件

HA VPN のサービスレベル可用性を 99.99% にするには、Cloud VPN の構成は次の要件を満たす必要があります。

  • HA VPN ゲートウェイをピア ゲートウェイに接続すると、Google Cloud 側の接続のみ 99.99% の可用性が保証されます。エンドツーエンドでの可用性は、ピア VPN ゲートウェイの適切な構成が条件となります。
  • 両側が Google Cloud ゲートウェイで適切に構成されている場合、99.99% の可用性が保証されます。
  • 両方の VPN ゲートウェイが VPC ネットワーク内にある場合に高可用性を実現するには、2 つの HA VPN ゲートウェイを使用し、その両方を同じリージョンに配置する必要があります。両方のゲートウェイを同じリージョンに配置する必要がある場合でも、Vertual Private Cloud ネットワークがグローバル ダイナミック ルーティング モードを使用していれば、お互いが共有するサブネットへのルートは、どのリージョンでも配置できます。VPC ネットワークがリージョン ダイナミック ルーティング モードを使用する場合、同じリージョン内のサブネットへのルートのみがピア ネットワークと共有され、学習したルートは、VPN トンネルとして同じリージョン内のサブネットにのみ適用されます。VPC ネットワークの動的ルーティング モードの詳細については、VPC ネットワークの概要をご覧ください。
  • Google Cloud IP アドレスが外部 VPN ゲートウェイ リソースで構成された場合、HA VPN は Google Cloud IP アドレスを拒否します。この例では、外部 VPN ゲートウェイ リソースの外部 IP アドレスとして、VM インスタンスの外部 IP アドレスを使用しています。Google Cloud HA VPN ゲートウェイへの Google Cloud の作成のドキュメントにあるとおり、HA VPN Google Cloud と Google Cloud を接続するトポロジでサポート対象となるのは、両側で HA VPN が使用される場合のみです。
  • Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成する必要があります。
    • ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
    • 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
    • 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。
  • ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。適切な冗長構成の詳細は、デバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれる場合と含まれない場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。
  • ピア VPN ゲートウェイ デバイスは、動的(BGP)ルーティングをサポートする必要があります。

Classic VPN

一方、Classic VPN ゲートウェイは 1 つのインターフェースと 1 つの外部 IP アドレスを持ち、動的(BGP)または静的ルーティング(ルートベースまたはポリシーベース)をサポートします。これにより、サービス可用性 99.9% の SLA を提供します。

サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。

Classic VPN は、API ドキュメントや gcloud コマンドではターゲット VPN ゲートウェイと呼ばれます。

比較表

次の表は、HA VPN の機能と Classic VPN の機能を比較したものです。

機能 HA VPN Classic VPN
SLA 2 つのインターフェースと 2 つの外部 IP で構成した場合、99.99% の SLA を提供 99.9% の SLA を提供
外部 IP と転送ルールの作成 プールから作成されたパブリック IP。転送ルールは必要ありません。 パブリック IP と転送ルールを作成する必要があります
サポートされているルーティング オプション 動的ルーティング(BGP)のみ 静的ルーティング(ポリシーベース、ルートベース)または BGP を使用した動的ルーティング
1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル サポート対象 サポート対象外
API リソース VPN ゲートウェイ リソースとして知られています。 ターゲット VPN ゲートウェイ リソースとして知られています。

次のステップ

HA VPN の作成

Classic VPN の作成

詳細設定

  • 高可用性、高スループット、複数サブネットのシナリオについては、高度な構成をご覧ください。

既存の Cloud VPN の管理