HA VPN トポロジ

このドキュメントでは、推奨されるトポロジと、各 HA VPN トポロジに対応する可用性のサービスレベル契約(SLA)について説明します。Classic VPN トポロジについては、Classic VPN トポロジをご覧ください。両方の VPN タイプを含む Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

このページで使用している用語の定義については、主な用語をご覧ください。

概要

HA VPN は、次のいずれかの推奨トポロジをサポートしています。

  • Google Cloud をピア VPN ゲートウェイに接続する。このトポロジでは、高可用性 SLA を実現するために、HA VPN ゲートウェイから 2 つの VPN トンネルが必要です。この構成では、HA VPN には次の 3 つの一般的なピア ゲートウェイ構成があります。

    • それぞれ独自の IP アドレスを持つ 2 つの個別のピア VPN ゲートウェイ。
    • 2 つの個別の IP アドレスを持つ 1 つのピア VPN ゲートウェイ。
    • 1 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイ。

  • 複数の Google Cloud VPC ネットワークを接続する。このトポロジでは、各 VPC ネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続します。VPC ネットワークは、同じリージョンまたは異なる Google Cloud リージョンに配置できます。

    同じリージョンにデプロイされた HA VPN ゲートウェイと、異なるリージョンにデプロイされた HA VPN ゲートウェイでは、アベイラビリティ SLA が異なります。詳細については、HA VPN の高可用性構成をご覧ください。

  • HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する。このトポロジでは、HA VPN ゲートウェイを Compute Engine 仮想マシン(VM)インスタンスに接続します。VM インスタンスは同じゾーンまたは異なるゾーンに配置できます。

    VPN 接続の可用性 SLA は、Compute Engine VM インスタンスの可用性 SLA によって決まります。

  • Cloud Interconnect を介した HA VPN。このトポロジでは、HA VPN トンネルを作成して、IPsec で暗号化されたトラフィックを Dedicated Interconnect または Partner Interconnect の VLAN アタッチメント経由で伝送します。HA VPN ゲートウェイのリージョン内部 IP アドレス範囲を予約できます。ピア VPN ゲートウェイに内部 IP アドレスを割り当てることもできます。詳細とアーキテクチャ図については、Cloud Interconnect を介した HA VPN のデプロイ アーキテクチャをご覧ください。

    Google Cloud では、すべてのピア ゲートウェイのシナリオは 1 つの外部ピア VPN リソースで表されます。

HA VPN の高可用性構成

次の表に、さまざまな HA VPN 構成で提供される可用性 SLA の概要を示します。

トポロジ 説明 可用性 SLA
Google Cloud をピア VPN ゲートウェイに接続する HA VPN ゲートウェイを 1 つまたは 2 つの個別のピア VPN ゲートウェイに接続する 99.99%
HA VPN ゲートウェイを使用して VPC ネットワークを接続する 各ネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続します。HA VPN ゲートウェイは同じリージョンにデプロイされます。VPC ネットワークは、同じリージョンまたは異なるリージョンに配置できます。 99.99%
HA VPN から複数のゾーンの Compute Engine VM インスタンスへの接続 外部 IP アドレスを持つ Compute Engine VM インスタンスに HA VPN ゲートウェイを接続する 99.9%
単一の Compute Engine VM インスタンスへの HA VPN HA VPN ゲートウェイを、外部 IP アドレスを持つ 1 つの Compute Engine VM インスタンスにのみ接続する 可用性 SLA は、Compute Engine のメモリ最適化マシン ファミリーの単一 VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。

HA VPN 接続で最大の可用性 SLA を確保するには、HA VPN ゲートウェイからピア VPN ゲートウェイまたは別の HA VPN ゲートウェイに 2 つのトンネルを構成することをおすすめします。ピア VPN ゲートウェイも同じ可用性 SLA を受信するように構成されていることを確認します。

いずれかのトンネルで障害が発生した場合に接続を維持するには、HA VPN ゲートウェイのすべてのインターフェースをピア ゲートウェイまたは別の HA VPN ゲートウェイのすべてのインターフェースに接続します。

Google Cloud をピア VPN ゲートウェイに接続する

HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。

  • 1 台の HA VPN ゲートウェイを、それぞれ個別の IP アドレスを持つ 2 台のピア VPN ゲートウェイに接続。
  • 1 台の HA VPN ゲートウェイを、2 つの個別 IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続。
  • 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続。

こうした構成を設定するには、HA VPN とピア VPN ゲートウェイ間の接続を作成するをご覧ください。

IPV6_ONLY または IPV4_IPV6 スタックタイプを使用して HA VPN ゲートウェイをデプロイすると、VPN トンネルで IPv6 トラフィックの交換をサポートできます。VPN トンネル用に作成する BGP セッションでも IPv6 を有効にする必要があります。このシナリオでは、次のトポロジでオンプレミス サブネットと VPC サブネットに IPv6 アドレスを割り当てることができます。詳細については、IPv6 サポートをご覧ください。

2 つのピア VPN ゲートウェイを接続する

ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することで、ピア側でも冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。また、いずれかの物理ゲートウェイで障害が発生した場合の保護も確保できます。

このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピア VPN ゲートウェイに接続します。各ピア VPN ゲートウェイには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピア VPN ゲートウェイごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性 SLA が提供されます。

2 つのピア(オンプレミス)VPN ゲートウェイへの HA VPN。
2 つのピア(オンプレミス)VPN ゲートウェイへの HA VPN(クリックして拡大)

2 つの IP アドレスを持つ 1 つのピア VPN ゲートウェイを接続する

このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピア VPN ゲートウェイに接続しています。HA VPN ゲートウェイは、ピア VPN ゲートウェイの外部 IP アドレスごとにトンネルを 1 つずつ、合計 2 つ使用します。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が TWO_IPS_REDUNDANCY になります。

次の例では、99.99% の可用性 SLA が提供されます。

2 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN の接続。
2 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN の接続(クリックして拡大)

1 つの IP アドレスを持つ 1 つのピア VPN ゲートウェイを接続する

このトポロジでは、1 台の HA VPN ゲートウェイが 1 つの外部 IP アドレスを持つ 1 台のピア VPN ゲートウェイに接続しています。HA VPN ゲートウェイは、2 つのトンネルを使用し、両方がピア VPN ゲートウェイの外部 IP アドレスに接続されます。

Google Cloud では、この構成の REDUNDANCY_TYPE は、値が SINGLE_IP_INTERNALLY_REDUNDANT になります。

次の例では、99.99% の可用性 SLA が提供されます。

1 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN の接続。
1 つの IP アドレスを持つ 1 台のピア(オンプレミス)VPN ゲートウェイへの HA VPN の接続(クリックして拡大)

99.99% の可用性 SLA 用に構成する

Google Cloud 側で 99.99% の可用性の SLA をサポートするには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが必要です。

ピア ゲートウェイに 2 つのインターフェースがある場合、各ピア インターフェースから各 HA VPN ゲートウェイ インターフェースへの 2 つのトンネルを構成すると、99.99% の可用性の SLA 要件を満たします。フルメッシュ構成は、Google Cloud 側での 99.99% の可用性 SLA の要件ではありません。この場合、フルメッシュ構成とは、各 HA VPN インターフェースからピア ゲートウェイ上の 2 つのインターフェースへの 2 つのトンネルとして定義されます。VPN ベンダーがフルメッシュ構成を推奨しているかどうかについては、ピア(オンプレミス)VPN ゲートウェイのドキュメントをご覧になるか、VPN ベンダーにお問い合わせください。

2 つのピア インターフェースを持つ構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。

  • HA VPN の interface 0 をピアの interface 0 に接続
  • HA VPN の interface 1 をピアの interface 1 に接続

例として、2 つのピア VPN ゲートウェイに 2 つのインターフェースの図と、1 つのピア VPN ゲートウェイに 2 つのインターフェースの図を示します。

ピア ゲートウェイにピア インターフェースが 1 つしかない場合、各 HA VPN ゲートウェイ インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。1 つのピア VPN ゲートウェイ、1 つのインターフェースの図をご覧ください。

次の例では、99.99% の可用性 SLA が提供されません。

  • HA VPN の interface 0 をピアの interface 0 に接続
高可用性が実現されないトポロジ。
高可用性が実現されないトポロジ(クリックして拡大)

HA VPN ゲートウェイを使用して VPC ネットワークを接続する

各ネットワークで HA VPN ゲートウェイを使用して、2 つの Google Cloud VPC ネットワークを接続できます。VPC ネットワークと HA VPN ゲートウェイは、同じリージョンまたは異なるリージョンに配置できます。

2 つを超える VPC ネットワークを接続するには、推移ルーティングを使用します。推移的ルーティングを実現するには、hub VPC ネットワークを作成し、個々の HA VPN 接続を使用して他の VPC ネットワークをこのハブに接続します。

このトポロジのアベイラビリティ SLA は、HA VPN ゲートウェイが同じリージョンにあるか、異なるリージョンにあるかによって異なります。HA VPN ゲートウェイが同じリージョンにある場合、高可用性の SLA が向上します。

VPC ネットワークを接続する

2 つの VPC ネットワークを接続するには、各ネットワークで HA VPN ゲートウェイを使用します。VPC ネットワークが異なるリージョンにある場合でも、最高のアベイラビリティ SLA を実現するには、HA VPN ゲートウェイを同じリージョンにデプロイする必要があります。各 HA VPN ゲートウェイは、他のゲートウェイを名前で識別します。

次の例では、99.99% の可用性 SLA が提供されます。

Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイの作成をご覧ください。

99.99% の可用性 SLA 用に構成する

99.99% の可用性 SLA を確保するには、各 HA VPN ゲートウェイに 2 つのトンネルを構成して、次の両方が成立するようにします。

  • Tunnel 0 は、一方の HA VPN ゲートウェイの interface 0 を他方の HA VPN ゲートウェイの interface 0 に接続します。
  • Tunnel 1 は、一方の HA VPN ゲートウェイの interface 1 を他方の HA VPN ゲートウェイの interface 1 に接続します。

各ネットワークで HA VPN ゲートウェイを使用して、2 つの VPC ネットワークを接続できます。HA VPN ゲートウェイは異なるリージョンに配置します。ただし、このトポロジでは 99.9% の可用性 SLA が提供されます。

HA VPN ゲートウェイを異なるリージョンに配置する要件がない限り、HA VPN ゲートウェイを異なるリージョンに配置することはおすすめしません。VPC ネットワークはグローバル リソースであるため、HA VPN ゲートウェイを同じリージョンにデプロイしながら、HA VPN を使用して異なるリージョンのリソースを接続できます。

次の例では、99.9% の可用性 SLA が提供されます。

複数のリージョンの Google Cloud ネットワーク間の HA VPN ゲートウェイ。
Google Cloud ネットワーク間の HA VPN ゲートウェイ(クリックして拡大)

この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイの作成をご覧ください。

99.9% の可用性 SLA 用に構成する

VPN ゲートウェイが異なるリージョンにある場合に 99.9% の可用性 SLA を確保するには、各 HA VPN ゲートウェイに 2 つのトンネルを構成して、次の両方が成立するようにします。

  • Tunnel 0 は、一方の HA VPN ゲートウェイの interface 0 を他方の HA VPN ゲートウェイの interface 0 に接続します。
  • Tunnel 1 は、一方の HA VPN ゲートウェイの interface 1 を他方の HA VPN ゲートウェイの interface 1 に接続します。

より優れた可用性 SLA を取得するには、HA VPN ゲートウェイを同じリージョンにデプロイします。この構成では、異なるリージョンの VPC ネットワークを接続することもできます。

HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する

HA VPN を使用すると、IPsec を実装したネットワーク仮想アプライアンスとして機能する HA VPN ゲートウェイと Compute Engine VM インスタンスの間に安全な接続を確立できます。このトポロジは、正しく構成されている場合、99.9% の可用性 SLA を提供します。

HA VPN ゲートウェイを複数の VM インスタンスに接続する

このトポロジでは、HA VPN ゲートウェイが 2 つの Compute Engine VM インスタンスに接続します。HA VPN ゲートウェイと VM は 2 つの異なる Virtual Private Cloud ネットワークにあります。2 つの VM は異なるゾーンにあり、各 VM に外部 IP アドレスがあります。VM インスタンスはピア VPN ゲートウェイのように動作します。

このトポロジは、Compute Engine VM インスタンスでホストされているサードパーティのネットワーク仮想アプライアンス VM に HA VPN を接続する場合に特に便利です。たとえば、このトポロジを使用すると、VPN 接続のダウンタイムなしでネットワーク仮想アプライアンス VM のいずれかをアップグレードできます。

この図では、HA VPN ゲートウェイは network-a という名前の VPC ネットワークにあり、2 つの VM は network-b にあります。どちらの VPC ネットワークも us-central1 にあります。network-a の HA VPN ゲートウェイは、network-b の各 VM の外部 IP アドレスで構成されています。HA VPN ゲートウェイと VM を 2 つの異なるリージョンに配置することもできます。このトポロジを使用して可用性を向上させることをおすすめします。

次の例では、99.9% の可用性 SLA が提供されます。

HA VPN ゲートウェイを 2 つの Compute Engine VM インスタンスに接続するトポロジ。各 VM は異なるゾーンにあります。
HA VPN ゲートウェイを 2 つの Compute Engine VM インスタンスに接続するトポロジ(各 VM が異なるゾーンにある)(クリックして拡大)

この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。

99.9% の可用性 SLA 用に構成する

99.9% の SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれから各 VM の対応するインターフェースへのトンネルが 2 つ以上必要です。このトポロジを使用して、高可用性 SLA を取得することをおすすめします。

HA VPN ゲートウェイの次の各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。

  • us-central1-a ゾーンの interface 0us-central1-vm-aTunnel 0
  • us-central1-a ゾーンの interface 1us-central1-vm-aTunnel 1
  • us-central1-b ゾーンの interface 0us-central1-vm-bTunnel 2
  • us-central1-b ゾーンの interface 1us-central1-vm-bTunnel 3

HA VPN ゲートウェイ HA VPN を単一の VM インスタンスに接続する

HA VPN を使用すると、HA VPN ゲートウェイを、ネットワーク仮想アプライアンスとして機能し、IPsec VPN 実装を実行する Compute Engine 仮想マシン(VM)インスタンスに接続できます。HA VPN ゲートウェイと VM は 2 つの異なる VPC にあります。VM に外部 IP アドレスがあります。

全体的な可用性は、Compute Engine のメモリ最適化マシン ファミリーの単一の VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。

HA VPN ゲートウェイを Compute Engine VM に接続するトポロジ。
HA VPN ゲートウェイを Compute Engine VM に接続するトポロジ(クリックして拡大)

この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。

99.9% の可用性 SLA 用に構成する

99.9% の可用性 SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースから Compute Engine VM のインターフェースに 2 つのトンネルが必要です。

HA VPN ゲートウェイの次の各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。

  • us-central1-a ゾーンの interface 0us-central1-vm-aTunnel 0
  • us-central1-a ゾーンの interface 1us-central1-vm-aTunnel 1

次のステップ

  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。