静的ルーティングを使用する Classic VPN ゲートウェイを作成する

このページでは、静的ルーティングを使用する Classic VPN ゲートウェイとトンネルを作成する方法を説明します。このトンネルは、ポリシーベースまたはルートベースのトンネルです。

ルートベースの VPN では、リモートトラフィックセレクタのみを指定します。ローカルトラフィックセレクタを指定する必要がある場合は、代わりにポリシーベースルーティングを使用する Cloud VPN トンネルを作成してください。

Classic VPN は IPv6 をサポートしていません。

Cloud VPN の詳細については、次のリソースをご覧ください。

Cloud VPN を設定する前に検討すべきベストプラクティスについては、ベストプラクティスをご覧ください。
Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。

ルーティングオプション

Google Cloud Console を使用してポリシーベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。

トンネルのローカルトラフィックセレクタを、指定する IP 範囲に設定します。
トンネルのリモートトラフィックセレクタを [リモートネットワーク IP の範囲] フィールドに指定する IP 範囲に設定します。
[リモートネットワーク IP の範囲] の各範囲に対して、宛先（接頭辞）が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを Google Cloud が作成します。

ポリシーベースの Classic VPN トンネルを作成すると、[リモートネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] に表示されます。

Google Cloud コンソールを使用してルートベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。

トンネルのローカルとリモートのトラフィックセレクタを任意の IP アドレス（0.0.0.0/0）に設定します。
[リモートネットワーク IP の範囲] の各範囲に対して、宛先（接頭辞）が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを Google Cloud が作成します。

Google Cloud CLI を使用してポリシーベースのトンネルまたはルートベースのトンネルを作成する場合も、トンネルのトラフィックセレクタは同じ方法で定義されます。ただし、カスタム静的ルートの作成は個別のコマンドで行われるため、これらのルートはより詳細に制御できます。

トラフィックセレクタで指定できる CIDR の数は、IKE のバージョンによって異なります。

重要な背景情報については、以下をご覧ください。

始める前に

Google Cloud で次の項目を設定すると、Cloud VPN を簡単に構成できます。

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Google Cloud Console の [プロジェクトセレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

プロジェクトセレクタに移動

Google Cloud プロジェクトで課金が有効になっていることを確認します。

Google Cloud CLI をインストールします。

gcloud CLI を初期化するには:

gcloud init

Google Cloud Console の [プロジェクトセレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

プロジェクトセレクタに移動

Google Cloud プロジェクトで課金が有効になっていることを確認します。

Google Cloud CLI をインストールします。

gcloud CLI を初期化するには:

gcloud init

Google Cloud CLI を使用している場合は、次のコマンドを使用してプロジェクト ID を設定します。このページの gcloud の説明では、コマンド発行前にプロジェクト ID を設定済みであることを前提としています。
```
    gcloud config set project PROJECT_ID
    
```

次のコマンドを実行して、すでに設定されているプロジェクト ID を表示することもできます。
```
    gcloud config list --format='text(core.project)'
    
```

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM のロールが付与されている必要があります。

権限

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

ロール

roles/compute.networkAdmin

カスタム VPC ネットワークとサブネットを作成する

Classic VPN ゲートウェイとトンネルを作成する前に、Classic VPN ゲートウェイが存在するリージョンに Virtual Private Cloud（VPC）ネットワークと少なくとも 1 つのサブネットを作成します。

カスタムモードの VPC ネットワーク（推奨）を作成するには、カスタムモードの VPC ネットワークを作成するをご覧ください。
サブネットを作成するには、サブネットの操作をご覧ください。

ゲートウェイとトンネルを作成する

コンソール

ゲートウェイの構成

Google Cloud Console で、[VPN] ページに移動します。

[VPN] に移動
ゲートウェイを初めて作成する場合は、[VPN 接続を作成] をクリックします。
[VPN 設定ウィザード] を選択します。
[Classic VPN] オプションボタンを選択します。
[続行] をクリックします。
[VPN 接続の作成] ページで、次のゲートウェイ設定を指定します。
- 名前: VPN ゲートウェイの名前。この名前は後で変更できません。
- 説明: 必要に応じて、説明を追加します。
- ネットワーク: VPN ゲートウェイとトンネルを作成する既存の VPC ネットワークを指定します。
- リージョン: Cloud VPN ゲートウェイとトンネルはリージョンオブジェクトです。ゲートウェイが配置される Google Cloud リージョンを選択します。別のリージョン内にあるインスタンスなどのリソースでは、ルートの順序の対象となる下り（外向き）トラフィック用のトンネルを使用できます。パフォーマンスの向上のために、ゲートウェイとトンネルは、関連する Google Cloud リソースと同じリージョン内に配置してください。
- IP アドレス - 既存のリージョンの外部 IP アドレスを作成または選択します。

トンネルの構成

新しいトンネルの場合、[トンネル] セクションで次の設定を指定します。
- 名前: VPN トンネルの名前。この名前は後で変更できません。
- 説明: 説明を任意で入力します。
- リモートピア IP アドレス: ピア VPN ゲートウェイの外部 IP アドレスを指定します。
- IKE バージョン: ピア VPN ゲートウェイでサポートされている適切な IKE バージョンを選択します。IKEv2 がピアデバイスでサポートされていれば、このバージョンを選択してください。
  既知の問題: VPN トンネルを AWS に構成する場合は、IKEv2 暗号化プロトコルを使用し、AWS 側で変換セットを少なくする必要があります。そうしないと、Cloud VPN トンネルが鍵交換に失敗する可能性があります。たとえば、単一のフェーズ 1 およびフェーズ 2 暗号化アルゴリズム、認証アルゴリズム、DH グループ番号の組み合わせを選択します。
  
  この鍵交換の問題は、AWS 変換セットのデフォルトの Security Association（SA）ペイロードサイズが大きいことが原因です。ペイロードサイズが大きいため、Cloud VPN ではサポートされていない、IKE パケットの IP 断片化が AWS 側で発生します。
- IKE 事前共有キー: 認証用の事前共有キー（共有シークレット）を指定します。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強い共有鍵を生成するには、こちらの手順で操作してください。
ポリシーベースのトンネルの場合
1. [ルーティングオプション] で [ポリシーベース] を選択します。
2. [リモートネットワーク IP の範囲] で、ピアネットワークで使用される IP 範囲をスペース区切りリストで指定します。これは、リモートトラフィックセレクタ、つまり Cloud VPN の観点から見ると右側です。
  
  ポリシーベースの Classic VPN トンネルを作成すると、[リモートネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] に表示されます。
3. [ローカル IP 範囲] で、次のいずれかの方法を選択します。
  - 既存のローカル IP 範囲を選択するには、[ローカルサブネットワーク] メニューを使用します。
  - VPC ネットワークで使用される IP 範囲のスペース区切りのリストを入力するには、[ローカル IP 範囲] フィールドを使用します。重要な考慮事項について、ポリシーベースのトンネルとトラフィックセレクタをご覧ください。
ルートベースのトンネルの場合
1. [ルーティングオプション] で [ルートベース] を選択します。
2. [リモートネットワーク IP の範囲] で、ピアネットワークで使用される IP 範囲をスペース区切りリストで指定します。これらの範囲は、ネクストホップがこの VPN トンネルであるカスタム静的ルートを作成するために使用されます。
同じゲートウェイ上でトンネルを追加作成する場合は、[トンネルの追加] をクリックし、上記の手順を繰り返します。後でトンネルを追加することもできます。
[作成] をクリックします。

gcloud

Cloud VPN ゲートウェイを作成するには、次のコマンドシーケンスを完了します。コマンドでは、以下を置き換えます。

PROJECT_ID: オブジェクトの ID
NETWORK: Google Cloud ネットワークの名前
REGION: ゲートウェイとトンネルを作成する Google Cloud リージョン
GW_NAME: ゲートウェイの名前
GW_IP_NAME: ゲートウェイが使用する外部 IP アドレスの名前
（省略可）--target-vpn-gateway-region は、Classic VPN ゲートウェイが動作するリージョンです。--region と同じ値になります。指定しない場合、このオプションが自動的に設定されます。このオプションは、このコマンド呼び出しのデフォルトの compute/region プロパティ値をオーバーライドします。

ゲートウェイリソースの構成

ターゲット VPN ゲートウェイオブジェクトを作成します。

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

リージョンの外部（静的）IP アドレスを予約します。

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

IP アドレスをメモします（ピア VPN ゲートウェイを構成するときに使用します）。

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

転送ルールを 3 つ作成します。このルールは、ESP（IPsec）、UDP 500、UDP 4500 のトラフィックをゲートウェイに送信するよう Google Cloud に指示します。

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Cloud VPN トンネルの作成

コマンドでは、以下を置き換えます。
- TUNNEL_NAME: トンネルの名前
- ON_PREM_IP: ピア VPN ゲートウェイの外部 IP アドレス
- IKE_VERS: 1（IKEv1 の場合）または 2（IKEv2 の場合）
  既知の問題: VPN トンネルを AWS に構成する場合は、IKEv2 暗号化プロトコルを使用し、AWS 側で変換セットを少なくします。そうしないと、Cloud VPN トンネルが鍵交換に失敗する可能性があります。たとえば、単一のフェーズ 1 およびフェーズ 2 暗号化アルゴリズム、認証アルゴリズム、DH グループ番号の組み合わせを選択します。
  
  この鍵交換の問題は、AWS 変換セットのデフォルトの SA ペイロードサイズが大きいことが原因です。ペイロードサイズが大きいため、Cloud VPN ではサポートされていない、IKE パケットの IP 断片化が AWS 側で発生します。
- SHARED_SECRET: 事前共有キー（共有シークレット）。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強い共有鍵を生成するには、こちらの手順で操作してください。
ポリシーベースの VPN の場合:
- LOCAL_IP_RANGES: Google Cloud IP 範囲のカンマ区切りのリスト。たとえば、VPC ネットワーク内のサブネットごとに CIDR ブロックを指定できます。これは Cloud VPN の観点から見ると「左側」です。
- REMOTE_IP_RANGES: ピアネットワーク IP 範囲のカンマ区切りリスト。これは Cloud VPN の観点から見ると「右側」です。
ポリシーベースの VPN トンネルを構成するには、次のコマンドを実行します。
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
ルーティングオプションとトラフィックセレクタで定義されるとおり、ルートベースの VPN の場合、ローカルとリモートのトラフィックセレクタはどちらも 0.0.0.0/0 です。

ルートベースの VPN トンネルを構成するには、次のコマンドを実行します。
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
前の手順の --remote-traffic-selector オプションで指定したリモート IP 範囲ごとに静的ルートを作成します。このコマンドをリモート IP 範囲ごとに繰り返します。ROUTE_NAME はルートの一意の名前に、REMOTE_IP_RANGE は該当するリモート IP 範囲に置き換えます。
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
注: ルート作成用の gcloud コマンドでは、デフォルトの優先度 1000 が使用されます。優先度の高いルートの作成が必要な場合は、ルートの作成時に --priority フラグに低い数値を指定してください。作成済みのルートの優先度は変更できませんが、カスタムの静的ルートは、VPN トンネルを再作成せずに削除して置き換えることができます。VPC ネットワークでルートがどのように動作するかについては、ルートの概要とルートの順序をご覧ください。

構成の完了

新しい Cloud VPN ゲートウェイとゲートウェイに関連付けられた VPN トンネルを使用する前に、次の手順を行います。

ピア VPN ゲートウェイを設定し、対応するトンネルを構成します。手順については、以下をご覧ください。
- 特定のピア VPN デバイスの具体的な構成ガイドについては、サードパーティ VPN の使用をご覧ください。
- 一般的な構成パラメータについては、ピア VPN ゲートウェイを構成するをご覧ください。
必要に応じて、Google Cloud とピアネットワークにファイアウォールルールを構成します。
VPN トンネルと転送ルールのステータスを確認します。
プロジェクトのルーティングテーブルに移動し、Next hop type:VPN tunnel をフィルタリングして VPN ルートを表示します。

[ルート] に移動

次のステップ

ピア VPN ゲートウェイで許可される IP アドレスを制御する。ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。
高可用性と高スループットのシナリオ、または複数のサブネットシナリオを使用する。高度な構成をご覧ください。
Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。