HA VPN トポロジ

このドキュメントでは、推奨されるトポロジと、各 HA VPN トポロジの可用性サービスレベル契約(SLA)について説明します。Classic VPN トポロジについては、Classic VPN トポロジをご覧ください。両方の VPN タイプを含む Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

このページで使用している用語の定義については、主な用語をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジをサポートします。

  • Google Cloud をピア VPN ゲートウェイに接続する。このトポロジでは、高可用性 SLA を実現するために、HA VPN ゲートウェイからのトンネルが 2 つ必要です。この構成では、HA VPN には次の 3 つの標準的なピア ゲートウェイ構成があります。

    • それぞれ独自の IP アドレスを持つ 2 台の個別のピア VPN ゲートウェイ。
    • 2 つの個別の IP アドレスを持つ 1 台のピア VPN ゲートウェイ。
    • 1 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイ。

  • 複数の Google Cloud VPC ネットワークを接続する。2 つの Google CloudVPN ネットワークを接続するには、各ネットワークに HA VPN ゲートウェイを作成します。 ネットワークは同じ Google Cloud リージョンに配置することも、異なるリージョンに配置することもできます。

    同じリージョンにデプロイされた HA VPN ゲートウェイと、異なるリージョンにデプロイされた HA VPN ゲートウェイでは、得られる可用性 SLA が異なります。詳細については、HA VPN の高可用性構成をご覧ください。

  • HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する。このトポロジでは、HA VPN ゲートウェイを Compute Engine 仮想マシン(VM)インスタンスに接続します。VM インスタンスは同じゾーンに配置することも、異なるゾーンに配置することもできます。

    VPN 接続の可用性 SLA は、Compute Engine VM インスタンスの可用性 SLA によって決まります。

  • Cloud Interconnect を介した HA VPN。このトポロジでは、HA VPN トンネルを作成して、IPsec で暗号化されたトラフィックを Dedicated Interconnect または Partner Interconnect の VLAN アタッチメント経由で伝送します。 HA VPN ゲートウェイ用にリージョン内部 IP アドレス範囲を予約できます。ピア VPN ゲートウェイに内部 IP アドレスを割り当てることもできます。詳細とアーキテクチャ図については、Cloud Interconnect による HA VPN デプロイのアーキテクチャをご覧ください。

    Google Cloudでは、すべてのピア ゲートウェイのシナリオは 1 つの外部ピア VPN リソースとして表されます。

HA VPN の高可用性構成

次の表に、さまざまな HA VPN 構成で提供される可用性 SLA の概要を示します。

トポロジ 説明 可用性 SLA
Google Cloud をピア VPN ゲートウェイに接続する 1 台の HA VPN ゲートウェイを 1 台または 2 台の個別のピア VPN ゲートウェイに接続します。 99.99%
HA VPN ゲートウェイを使用して VPC ネットワークを接続する 各ネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続します。 HA VPN ゲートウェイは同じリージョンにデプロイされます。VPC ネットワークは同じリージョンに配置することも、異なるリージョンに配置することもできます。 99.99%
複数のゾーンの Compute Engine VM インスタンスへの HA VPN HA VPN ゲートウェイを、外部 IP アドレスを持つ Compute Engine VM インスタンスに接続します。 99.9%
単一の Compute Engine VM インスタンスへの HA VPN HA VPN ゲートウェイを、外部 IP アドレスを持つ 1 つの Compute Engine VM インスタンスにのみ接続します。 可用性 SLA は、Compute Engine 向けメモリ最適化マシン ファミリーの単一 VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。

HA VPN 接続で最大限の可用性の SLA を確保するには、HA VPN ゲートウェイからピア VPN ゲートウェイまたは別の HA VPN ゲートウェイへのトンネルを 2 つ構成することをおすすめします。ピア VPN ゲートウェイも同じ可用性 SLA を得るように構成されていることを確認します。

いずれかのトンネルで障害が発生した場合に接続を維持するには、HA VPN ゲートウェイのすべてのインターフェースをピア ゲートウェイまたは別の HA VPN ゲートウェイのすべてのインターフェースに接続します。

Google Cloud をピア VPN ゲートウェイに接続する

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ独自の IP アドレスを持つ 2 台の個別のピア VPN ゲートウェイに接続
  • 1 台の HA VPN ゲートウェイを、2 つの個別の IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続

こうした構成を設定するには、ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。

IPV6_ONLY または IPV4_IPV6 のスタックタイプを使用して HA VPN ゲートウェイをデプロイすると、VPN トンネルで IPv6 トラフィックの交換をサポートできます。VPN トンネル用に作成する BGP セッションでも IPv6 を有効にする必要があります。このシナリオでは、以下のトポロジでオンプレミス サブネットと VPC サブネットに IPv6 アドレスを割り当てることができます。詳細については、IPv6 サポートをご覧ください。

2 台のピア VPN ゲートウェイを接続する

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することにより、ピア側で冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。また、いずれかの物理ゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピア VPN ゲートウェイに接続します。各ピア VPN ゲートウェイには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピア VPN ゲートウェイごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloudでは、この構成の REDUNDANCY_TYPE の値は TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性 SLA が実現されます。

2 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN。
2 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN(クリックして拡大)

2 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイを接続する

このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピア VPN ゲートウェイに接続します。HA VPN ゲートウェイは、ピア VPN ゲートウェイの外部 IP アドレスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloudでは、この構成の REDUNDANCY_TYPE の値は TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性 SLA が実現されます。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN。
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN(クリックして拡大)

1 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイを接続する

このトポロジでは、1 台の HA VPN ゲートウェイが、1 つの外部 IP アドレスを持つ 1 台のピア VPN ゲートウェイに接続します。HA VPN ゲートウェイでは 2 つのトンネルを使用し、両方のトンネルがピア VPN ゲートウェイの 1 つの外部 IP アドレスに接続されます。

Google Cloudでは、この構成の REDUNDANCY_TYPE の値は SINGLE_IP_INTERNALLY_REDUNDANT になります。

次の例では、99.99% の可用性 SLA が実現されます。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN。
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN(クリックして拡大)

99.99% の可用性 SLA 用に構成する

Google Cloud 側で 99.99% の可用性 SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが 1 つ必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合は、各ピア インターフェースから HA VPN ゲートウェイの各インターフェースへのトンネルを 1 つずつ、計 2 つのトンネルを構成すると、99.99% の可用性 SLA の要件が満たされます。フルメッシュ構成は、 Google Cloud 側での 99.99% の可用性 SLA の要件ではありません。この場合、フルメッシュ構成とは、各 HA VPN インターフェースからピア ゲートウェイの 2 つのインターフェースそれぞれへの 2 つのトンネルとして定義されます。VPN ベンダーがフルメッシュ構成を推奨しているかどうかについては、ピア(オンプレミス)VPN ゲートウェイのドキュメントをご覧になるか、VPN ベンダーにお問い合わせください。

2 つのピア インターフェースを持つ構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 台のピア VPN ゲートウェイに 2 つのインターフェースの図と、1 台のピア VPN ゲートウェイに 2 つのインターフェースの図を示します。

1 台のピア ゲートウェイにピア インターフェースが 1 つしかない場合、HA VPN ゲートウェイの各インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。1 台のピア VPN ゲートウェイに 1 つのインターフェースの図をご覧ください。

次の例では、99.99% の可用性 SLA は実現されません

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ。
高可用性が実現されないトポロジ(クリックして拡大)

HA VPN ゲートウェイを使用して VPC ネットワークを接続する

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。 VPC ネットワークと HA VPN ゲートウェイは、同じリージョンに配置することも、異なるリージョンに配置することもできます。

3 つ以上の VPC ネットワークを接続するには、推移的ルーティングを使用します。推移的ルーティングを実現するには、ハブ VPC ネットワークを作成し、個別の HA VPN 接続を使用して他の VPC ネットワークをこのハブに接続します。

このトポロジの可用性 SLA は、HA VPN ゲートウェイが同じリージョンにあるか、別々のリージョンにあるかによって異なります。HA VPN ゲートウェイが同じリージョンにある場合、より高い可用性の SLA を得られます。

VPC ネットワークを接続する

それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの VPC ネットワークを接続できます。 VPC ネットワークが別々のリージョンにある場合でも、最適な可用性の SLA を得るには、HA VPN ゲートウェイを同じリージョンにデプロイする必要があります。 各 HA VPN ゲートウェイは他のゲートウェイを名前で識別します。

次の例では、99.99% の可用性 SLA が実現されます。

Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイを作成するをご覧ください。

99.99% の可用性 SLA 用に構成する

注意: 99.99% の可用性 SLA を実現するには、両方の HA VPN ゲートウェイが同じリージョンに存在する必要があります。それぞれの HA VPN ゲートウェイで 1 つのインターフェースに 1 つのトンネルのみを構成しても、99.99% の可用性 SLA は実現されません。

99.99% の可用性 SLA を確保するには、各 HA VPN ゲートウェイに 2 つのトンネルを構成して、次の両方を満たすようにします。

  • Tunnel 0 は、一方の HA VPN ゲートウェイの interface 0 を他方の HA VPN ゲートウェイの interface 0 に接続します。
  • Tunnel 1 は、一方の HA VPN ゲートウェイの interface 1 を他方の HA VPN ゲートウェイの interface 1 に接続します。

それぞれのネットワークで異なるリージョンに配置された HA VPN ゲートウェイを使用して、2 つの VPC ネットワークを接続できます。ただし、このトポロジで提供されるのは 99.9% の可用性 SLA になります。

HA VPN ゲートウェイを異なるリージョンに配置する要件がない限り、HA VPN ゲートウェイを異なるリージョンに配置することはおすすめしません。VPC ネットワークはグローバル リソースであるため、HA VPN を使用して、HA VPN ゲートウェイを同じリージョンにデプロイしつつ、異なるリージョンのリソースを接続できます。

次の例では、99.9% の可用性 SLA が実現されます。

複数のリージョンの Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイを作成するをご覧ください。

99.9% の可用性 SLA 用に構成する

VPN ゲートウェイが別々のリージョンにある場合に 99.9% の可用性 SLA を確保するには、各 HA VPN ゲートウェイに 2 つのトンネルを構成して、次の両方を満たすようにします。

  • Tunnel 0 は、一方の HA VPN ゲートウェイの interface 0 を他方の HA VPN ゲートウェイの interface 0 に接続します。
  • Tunnel 1 は、一方の HA VPN ゲートウェイの interface 1 を他方の HA VPN ゲートウェイの interface 1 に接続します。

より高い可用性の SLA を得るには、HA VPN ゲートウェイを同じリージョンにデプロイします。この構成では、別々のリージョンにある VPC ネットワークを接続することもできます。

HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する

HA VPN により、HA VPN ゲートウェイと、IPsec 実装を使用してネットワーク仮想アプライアンスとして機能する Compute Engine VM インスタンスとの間に、安全な接続を確立できます。このトポロジは、正しく構成されている場合、99.9% の可用性 SLA を提供します。

HA VPN ゲートウェイを複数の VM インスタンスに接続する

このトポロジでは、1 台の HA VPN ゲートウェイが 2 つの Compute Engine VM インスタンスに接続します。HA VPN ゲートウェイと VM は 2 つの異なる Virtual Private Cloud ネットワークに存在します。2 つの VM は異なるゾーンに存在し、各 VM に外部 IP アドレスがあります。これらの VM インスタンスはピア VPN ゲートウェイのように動作します。

このトポロジは、Compute Engine VM インスタンスでホストされているサードパーティのネットワーク仮想アプライアンス VM に HA VPN を接続する場合に特に便利です。たとえば、このトポロジを使用すると、VPN 接続のダウンタイムなしでネットワーク仮想アプライアンス VM のいずれかをアップグレードできます。

この図では、HA VPN ゲートウェイは network-a という名前の VPC ネットワークにあり、2 つの VM は network-b にあります。どちらの VPC ネットワークも us-central1 に配置されています。network-a の HA VPN ゲートウェイは、network-b の各 VM の外部 IP アドレスを使用して構成されています。 HA VPN ゲートウェイと VM を 2 つの異なるリージョンに配置することもできます。 可用性を高めるには、このトポロジを使用することをおすすめします。

次の例では、99.9% の可用性 SLA が実現されます。

1 台の HA VPN ゲートウェイを 2 つの Compute Engine VM インスタンス(各 VM は異なるゾーンに存在)に接続するトポロジ。
1 台の HA VPN ゲートウェイを 2 つの Compute Engine VM インスタンス(各 VM は異なるゾーンに存在)に接続するトポロジ(クリックして拡大)

この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。

99.9% の可用性 SLA 用に構成する

99.9% の SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれから各 VM の対応するインターフェースへのトンネルが 2 つ以上必要です。より高い可用性の SLA を得るには、このトポロジを使用することをおすすめします。

次のように、HA VPN ゲートウェイの各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。

  • interface 0 から us-central1-a ゾーンの us-central1-vm-a への Tunnel 0
  • interface 1 から us-central1-a ゾーンの us-central1-vm-a への Tunnel 1
  • interface 0 から us-central1-b ゾーンの us-central1-vm-b への Tunnel 2
  • interface 1 から us-central1-b ゾーンの us-central1-vm-b への Tunnel 3

HA VPN で HA VPN ゲートウェイを単一の VM インスタンスに接続する

HA VPN を使用すると、HA VPN ゲートウェイを、ネットワーク仮想アプライアンスとして機能して IPsec VPN 実装を実行する Compute Engine 仮想マシン(VM)インスタンスに接続できます。この HA VPN ゲートウェイと VM は 2 つの異なる VPC に存在します。VM には外部 IP アドレスがあります。

全体的な可用性は、Compute Engine 向けメモリ最適化マシン ファミリーの単一の VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。

HA VPN ゲートウェイを Compute Engine VM に接続するトポロジ。
HA VPN ゲートウェイを Compute Engine VM に接続するトポロジ(クリックして拡大)

この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。

99.9% の可用性 SLA 用に構成する

99.9% の可用性 SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれから Compute Engine VM のインターフェースへのトンネルが 2 つ必要です。

次のように、HA VPN ゲートウェイの各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。

  • interface 0 から us-central1-a ゾーンの us-central1-vm-a への Tunnel 0
  • interface 1 から us-central1-a ゾーンの us-central1-vm-a への Tunnel 1

次のステップ

  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。