このページでは、静的ルーティングを使用して Classic VPN ゲートウェイとトンネルを作成する方法を説明します。このトンネルは、ポリシーベースまたはルートベースのトンネルです。
ルートベースの VPN では、リモート トラフィック セレクタのみを指定します。ローカル トラフィック セレクタを指定する必要がある場合は、代わりにポリシーベース ルーティングを使用する Cloud VPN トンネルを作成してください。
Classic VPN は IPv6 をサポートしていません。
Cloud VPN の詳細については、次のリソースをご覧ください。
Cloud VPN を設定する前に検討すべきベスト プラクティスについては、ベスト プラクティスをご覧ください。
Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。
ルーティング オプション
Google Cloud コンソールを使用してポリシーベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。
- トンネルのローカル トラフィック セレクタを、指定する IP 範囲に設定します。
- トンネルのリモート トラフィック セレクタを [リモート ネットワーク IP の範囲] フィールドに指定する IP 範囲に設定します。
- [リモート ネットワーク IP の範囲] の各範囲に対して、宛先(接頭辞)が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを Google Cloud が作成します。
ポリシーベースの Classic VPN トンネルを作成すると、[リモート ネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] に表示されます。
Google Cloud コンソールを使用してルートベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。
- トンネルのローカルとリモートのトラフィック セレクタを任意の IP アドレス(
0.0.0.0/0
)に設定します。 - [リモート ネットワーク IP の範囲] の各範囲に対して、宛先(接頭辞)が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを Google Cloud が作成します。
Google Cloud CLI を使用してポリシーベースのトンネルまたはルートベースのトンネルを作成する場合も、トンネルのトラフィック セレクタは同じ方法で定義されます。ただし、カスタム静的ルートの作成は個別のコマンドで行われるため、これらのルートはより詳細に制御できます。
トラフィック セレクタで指定できる CIDR の数は、IKE のバージョンによって異なります。
重要な背景情報については、以下をご覧ください。
始める前に
Google Cloud で次の項目を設定すると、Cloud VPN を簡単に構成できます。
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Google Cloud CLI を使用している場合は、次のコマンドを使用してプロジェクト ID を設定します。このページの
gcloud
の説明では、コマンド発行前にプロジェクト ID を設定済みであることを前提としています。gcloud config set project PROJECT_ID
-
次のコマンドを実行して、すでに設定されているプロジェクト ID を表示することもできます。
gcloud config list --format='text(core.project)'
カスタム VPC ネットワークとサブネットの作成
Classic VPN ゲートウェイとトンネルを作成する前に、Classic VPN ゲートウェイが存在するリージョンに Virtual Private Cloud(VPC)ネットワークと少なくとも 1 つのサブネットを作成します。
- カスタムモードの VPC ネットワーク(推奨)を作成するには、カスタムモードの VPC ネットワークの作成をご覧ください。
- サブネットを作成するには、サブネットの操作をご覧ください。
ゲートウェイとトンネルを作成する
コンソール
ゲートウェイの構成
Google Cloud コンソールで、[VPN] ページに移動します。
ゲートウェイを初めて作成する場合は、[VPN 接続を作成] をクリックします。
[VPN 設定ウィザード] を選択します。
[Classic VPN] オプション ボタンを選択します。
[続行] をクリックします。
[VPN 接続の作成] ページで、次のゲートウェイ設定を指定します。
- 名前: VPN ゲートウェイの名前。この名前は後で変更できません。
- 説明: 必要に応じて、説明を追加します。
- ネットワーク: VPN ゲートウェイとトンネルを作成する既存の VPC ネットワークを指定します。
- リージョン: Cloud VPN ゲートウェイとトンネルはリージョン オブジェクトです。ゲートウェイが配置される Google Cloud リージョンを選択します。別のリージョン内にあるインスタンスなどのリソースでは、ルートの順序の対象となる下り(外向き)トラフィック用のトンネルを使用できます。パフォーマンスの向上のために、ゲートウェイとトンネルは、関連する Google Cloud リソースと同じリージョン内に配置してください。
- IP アドレス - 既存のリージョンの外部 IP アドレスを作成または選択します。
トンネルの構成
新しいトンネルの場合、[トンネル] セクションで次の設定を指定します。
- 名前: VPN トンネルの名前。この名前は後で変更できません。
- 説明: 説明を任意で入力します。
- リモートピア IP アドレス: ピア VPN ゲートウェイの外部 IP アドレスを指定します。
- IKE バージョン: ピア VPN ゲートウェイでサポートされている適切な IKE バージョンを選択します。IKEv2 がピアデバイスでサポートされていれば、このバージョンを選択してください。
- IKE 事前共有キー: 認証用の事前共有キー(共有シークレット)を指定します。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強い共有鍵を生成するには、こちらの手順で操作してください。
ポリシーベースのトンネルの場合
- [ルーティング オプション] で [ポリシーベース] を選択します。
[リモート ネットワーク IP の範囲] で、ピア ネットワークで使用される IP 範囲をスペース区切りリストで指定します。これは、リモート トラフィック セレクタ、つまり Cloud VPN の観点から見ると右側です。
ポリシーベースの従来の VPN トンネルを作成すると、[リモート ネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] として表示されます。
[ローカル IP 範囲] で、次のいずれかの方法を選択します。
- 既存のローカル IP 範囲を選択するには、[ローカル サブネットワーク] メニューを使用します。
- VPC ネットワークで使用される IP 範囲のスペース区切りのリストを入力するには、[ローカル IP 範囲] フィールドを使用します。重要な考慮事項について、ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
ルートベースのトンネルの場合
- [ルーティング オプション] で [ルートベース] を選択します。
- [リモート ネットワーク IP の範囲] で、ピア ネットワークで使用される IP 範囲をスペース区切りリストで指定します。これらの範囲は、ネクストホップがこの VPN トンネルであるカスタム静的ルートを作成するために使用されます。
同じゲートウェイ上でトンネルを追加作成する場合は、[トンネルの追加] をクリックし、上記の手順を繰り返します。後でトンネルを追加することもできます。
[作成] をクリックします。
gcloud
Cloud VPN ゲートウェイを作成するには、次のコマンド シーケンスを完了します。コマンドでは、以下を置き換えます。
PROJECT_ID
: オブジェクトの IDNETWORK
: Google Cloud ネットワークの名前REGION
: ゲートウェイとトンネルを作成する Google Cloud リージョンGW_NAME
: ゲートウェイの名前GW_IP_NAME
: ゲートウェイが使用する外部 IP アドレスの名前- (省略可)
--target-vpn-gateway-region
は、Classic VPN ゲートウェイが動作するリージョンです。--region
と同じ値になります。指定しない場合、このオプションが自動的に設定されます。このオプションは、このコマンド呼び出しのデフォルトの compute/region プロパティ値をオーバーライドします。
ゲートウェイ リソースの構成
ターゲット VPN ゲートウェイ オブジェクトを作成します。
gcloud compute target-vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --project=PROJECT_ID
リージョンの外部(静的)IP アドレスを予約します。
gcloud compute addresses create GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID
IP アドレスをメモします(ピア VPN ゲートウェイを構成するときに使用します)。
gcloud compute addresses describe GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID \ --format='flattened(address)'
転送ルールを 3 つ作成します。このルールは、ESP(IPsec)、UDP 500、UDP 4500 のトラフィックをゲートウェイに送信するよう Google Cloud に指示します。
gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=ESP \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=4500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Cloud VPN トンネルの作成
コマンドでは、以下を置き換えます。
TUNNEL_NAME
: トンネルの名前ON_PREM_IP
: ピア VPN ゲートウェイの外部 IP アドレスIKE_VERS
:1
(IKEv1 の場合)または2
(IKEv2 の場合)SHARED_SECRET
: 事前共有キー(共有シークレット)。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強い共有鍵を生成するには、こちらの手順で操作してください。
ポリシーベースの VPN の場合:
LOCAL_IP_RANGES
: Google Cloud IP 範囲のカンマ区切りのリスト。たとえば、VPC ネットワーク内のサブネットごとに CIDR ブロックを指定できます。これは Cloud VPN の観点から見ると「左側」です。REMOTE_IP_RANGES
: ピア ネットワーク IP 範囲のカンマ区切りリスト。これは Cloud VPN の観点から見ると「右側」です。
ポリシーベースの VPN トンネルを構成するには、次のコマンドを実行します。
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=LOCAL_IP_RANGES \ --remote-traffic-selector=REMOTE_IP_RANGES \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
ルーティング オプションとトラフィック セレクタで定義されるとおり、ルートベースの VPN の場合、ローカルとリモートのトラフィック セレクタはどちらも
0.0.0.0/0
です。ルートベースの VPN トンネルを構成するには、次のコマンドを実行します。
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=0.0.0.0/0 \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
前の手順の
--remote-traffic-selector
オプションで指定したリモート IP 範囲ごとに静的ルートを作成します。このコマンドをリモート IP 範囲ごとに繰り返します。ROUTE_NAME
はルートの一意の名前に、REMOTE_IP_RANGE
は該当するリモート IP 範囲に置き換えます。gcloud compute routes create ROUTE_NAME \ --destination-range=REMOTE_IP_RANGE \ --next-hop-vpn-tunnel=TUNNEL_NAME \ --network=NETWORK \ --next-hop-vpn-tunnel-region=REGION \ --project=PROJECT_ID
構成の完了
新しい Cloud VPN ゲートウェイとゲートウェイに関連付けられた VPN トンネルを使用する前に、次の手順を行います。
- ピア VPN ゲートウェイを設定し、対応するトンネルを構成します。手順については、以下をご覧ください。
- 特定のピア VPN デバイスの具体的な構成ガイドについては、サードパーティ VPN の使用をご覧ください。
- 一般的な構成パラメータについては、ピア VPN ゲートウェイの構成をご覧ください。
- 必要に応じて、Google Cloud とピア ネットワークにファイアウォール ルールを構成します。
- VPN トンネルと転送ルールのステータスを確認します。
プロジェクトのルーティング テーブルに移動し、
Next hop type:VPN tunnel
をフィルタリングして VPN ルートを表示します。
次のステップ
- ピア VPN ゲートウェイで許可される IP アドレスを制御する。ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。
- 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
- Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。