VPC ネットワークをピア ネットワークに接続する Cloud Router を作成する

このページでは、Virtual Private Cloud(VPC)ネットワークまたは NCC Gateway とピア ネットワークの間でルートを交換するために必要な Cloud Router の構成プロセスについて説明します。ピア ネットワークは、オンプレミス ネットワーク、AWS や Azure などの別のクラウド プロバイダがホストするネットワーク、 Trusted Cloud by S3NSの別の VPC ネットワークのいずれでもかまいません。

Cloud Router の構成プロセスは、次の 3 つのタスクで構成されています。

  1. Cloud Router を作成する。
  2. Trusted Cloudでネットワーク接続プロダクトを設定する。
  3. ピア ネットワークのルーターとの間で Border Gateway Protocol(BGP)セッションを確立する。

始める前に

gcloud

このガイドのコマンドラインの例を使用する場合は、次の操作を行います。

  1. Google Cloud CLI の最新バージョンをインストールするか、最新バージョンに更新します。
  2. デフォルトのリージョンとゾーンを設定します。

API

このガイドの API の例を使用する場合は、API アクセスを設定します。

自律システム番号(ASN)

Cloud Router を作成するときに、Cloud Router で使用されるすべての BGP セッション用に Google 側の ASN を選択します。各プロダクトの手順と ASN の使用方法については、Cloud Router を使用するTrusted Cloud プロダクトをご覧ください。

Cloud Router を作成する

Cloud Router を作成するには、次の手順を行います。

NCC Gateway スポークに関連付けられた Cloud Router を作成する場合は、このセクションの Google Cloud CLI または Cloud Router API の手順を使用する必要があります。詳細については、NCC Gateway にハイブリッド接続を追加するをご覧ください。

コンソール

  1. Trusted Cloud コンソールで、[Cloud Router の作成] のページに移動します。

    [Cloud Router の作成] に移動

  2. Cloud Router の詳細を指定します。

    • 名前: Cloud Router の名前。 Trusted Cloud コンソールに表示され、Google Cloud CLI で Cloud Router を参照するために使用されます(例: my-router)。
    • 説明(省略可): Cloud Router の説明。
    • ネットワーク: 接続するインスタンスを含む VPC ネットワーク(例: my-network)。
    • リージョン: Cloud Router を配置するリージョン(例: asia-east1)。

    • Google ASN: オンプレミス ネットワークでまだ使用していないプライベート ASN64512-655344200000000-4294967294)。Cloud Router ではプライベート ASN を使用する必要がありますが、オンプレミス ASN はパブリックまたはプライベートにできます。

    • BGP ピア キープアライブの間隔: ピアルーターに連続して送信される 2 つの BGP キープアライブ メッセージの間隔。この値は、間隔の秒数を指定する 20~60 の整数にする必要があります。デフォルト値は 20 秒です。詳細については、BGP タイマーを管理するをご覧ください。

    • BGP ID: 省略可。BGP 識別子(ルーター ID とも呼ばれます)。ネットワーク内の Cloud Router を一意に識別します。省略すると、IPv4 BGP セッションが設定された Cloud Router は、BGP ID として IPv4 BGP アドレスのいずれかを使用します。この Cloud Router に最初の IPv6 インターフェースを追加すると、このフィールドが自動的に入力されます。

      詳細については、Cloud Router の BGP ID 範囲を構成するをご覧ください。

  3. 省略可: カスタム アドバタイズ ルートを指定するには、「アドバタイズされたルート」セクションに移動します。詳細については、アドバタイズされたルートをご覧ください。
    1. カスタムルートを指定するには、[カスタムルートの作成] を選択します。
    2. Cloud Router に表示されたサブネットをアドバタイズするかどうかを選択します。このオプションを有効にすると、Cloud Router のデフォルトの動作と同じ結果になります。
    3. アドバタイズされたルートを追加するには、[カスタムルートの追加] を選択して構成します。
  4. 設定を保存して Cloud Router を作成するには、[作成] をクリックします。新しい Cloud Router が Cloud Router の一覧ページに表示されます。詳細を表示して構成する BGP セッションを選択します。

gcloud

gcloud compute routers create コマンドにより、新しい Cloud Router が作成されます。Cloud Router は、VPC ネットワークまたは NCC Gateway スポークのいずれかに関連付けられます。作成後は、リージョン、関連付けられた VPC ネットワーク、関連付けられた NCC Gateway スポークを変更できません。

--set-advertisement-groups=ALL_SUBNETS フラグは、--advertisement-mode=CUSTOM フラグが設定されている場合にのみ有効です。このフラグと値が指定されている場合、ルーターレベルのアドバタイズには、VPC ネットワークの動的ルーティング モードに応じてローカル サブネット範囲が含まれます。

詳細については、サブネット範囲のアドバタイズをご覧ください。

Cloud Interconnect を介した HA VPN の BGP セッションを Cloud Router が管理している場合にのみ、--encrypted-interconnect-router フラグを含めます。

  • VPC ネットワークのリージョンに関連付けられた Cloud Router を作成するには、次のコマンドを使用します。

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --network=NETWORK \
    --region=REGION\
    --asn=ASN_NUMBER \
    [--advertisement-mode=ADVERTISEMENT_MODE] \
    [--set-advertisement-groups=ALL_SUBNETS] \
    [--set-advertisement-ranges=CUSTOM_ADVERTISED_RANGES] \
    [--bgp-identifier-range=ROUTER_IDENTIFIER_RANGE] \
    [--keepalive-interval=KEEPALIVE_TIMER] \
    [--encrypted-interconnect-router]

    次のように置き換えます。

    • ROUTER_NAME: Cloud Router の名前

    • PROJECT_ID: Cloud Router を含むプロジェクトのプロジェクト ID

    • NETWORK: Cloud Router を含む VPC ネットワーク

    • REGION: Cloud Router を含むリージョン

    • ASN_NUMBER: オンプレミス ネットワークでまだ使用していないプライベート ASN64512-655344200000000-4294967294

      Cloud Router ではプライベート ASN を使用する必要がありますが、オンプレミス ASN はパブリックまたはプライベートにできます。

    • ADVERTISEMENT_MODE: ルーターレベルのアドバタイズ モードを指定します

      有効な値は CUSTOM または DEFAULT です。--advertisement-mode フラグを省略すると、 Trusted Cloud はルーターレベルで DEFAULT アドバタイズ モードを使用します。ルーターレベルのアドバタイズ モードの意味と、個々の BGP セッション アドバタイズへの影響については、アドバタイズ モード有効なアドバタイズをご覧ください。

    • CUSTOM_ADVERTISED_RANGES: --advertisement-mode=CUSTOM の場合にのみ有効。ルーターレベルのアドバタイズに含める CIDR 形式のカスタム IP アドレス範囲または個々の IP アドレスのリスト(省略可)

      個々の IPv4 アドレスは /32 サブネット マスクの CIDR として解釈され、個々の IPv6 アドレスは /128 サブネット マスクの CIDR として解釈されます。カスタムルート アドバタイズの最大数については、上限をご覧ください。

    • ROUTER_IDENTIFIER_RANGE: Cloud Router の一意の識別子として機能する IPv4 アドレス範囲(省略可)

      詳細については、BGP ID 範囲を構成するをご覧ください。

    • KEEPALIVE_TIMER: BGP キープアライブ タイマーを定義する時間(秒単位)(省略可)

      有効な値は 20 以上 60 以下です。--keepalive-interval フラグを省略すると、Cloud Router は 20 秒の BGP キープアライブ タイマーを使用します。詳しくは、キープアライブ タイマーをご覧ください。

  • NCC Gateway スポークに関連付けられた Cloud Router を作成するには、次のコマンドを使用します。

    --advertisement-mode=CUSTOM フラグを使用して、ルーターレベルのアドバタイズ モードを CUSTOM に設定して、ルーターレベルのカスタムルート アドバタイズを指定できるようにします。

    ルーターレベルのアドバタイズ モードが個々の BGP セッション アドバタイズに与える影響については、有効なアドバタイズをご覧ください。

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --ncc-gateway=NCC_GATEWAY_URI \
    --region=REGION\
    --asn=ASN_NUMBER \
    --advertisement-mode=CUSTOM \
    --set-advertisement-ranges=CUSTOM_ADVERTISED_RANGES \
    [--bgp-identifier-range=ROUTER_IDENTIFIER_RANGE] \
    [--keepalive-interval=KEEPALIVE_TIMER] \

    次のように置き換えます。

    • ROUTER_NAME: Cloud Router の名前

    • PROJECT_ID: Cloud Router を含むプロジェクトのプロジェクト ID

    • NCC_GATEWAY_URI: ルーターに関連付けられている NCC Gateway の完全な URI。URI の形式は次のパターンとなります。 https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/GATEWAY_SPOKE_NAME

    • REGION: Cloud Router を含むリージョン

    • ASN_NUMBER: オンプレミス ネットワークでまだ使用していないプライベート ASN64512-655344200000000-4294967294

      Cloud Router ではプライベート ASN を使用する必要がありますが、オンプレミス ASN はパブリックまたはプライベートにできます。

    • --advertisement-mode=CUSTOM: ルーターレベルのアドバタイズ モードを CUSTOM に設定して、ルーターレベルのカスタムルート アドバタイズを指定できるようにします。

      ルーターレベルのアドバタイズ モードが個々の BGP セッション アドバタイズに与える影響については、有効なアドバタイズをご覧ください。

    • CUSTOM_ADVERTISED_RANGES: ルーターレベルのアドバタイズに含める CIDR 形式のカスタム IP アドレス範囲または個々の IP アドレスのリスト

      個々の IPv4 アドレスは /32 サブネット マスクを持つ CIDR として解釈され、個々の IPv6 アドレスは /128 サブネット マスクを持つ CIDR として解釈されます。カスタムルート アドバタイズの最大数については、上限をご覧ください。

    • ROUTER_IDENTIFIER_RANGE: Cloud Router の一意の識別子として機能する IPv4 アドレス範囲(省略可)

      詳細については、BGP ID 範囲を構成するをご覧ください。

    • KEEPALIVE_TIMER: BGP キープアライブ タイマーを定義する時間(秒単位)(省略可)

      有効な値は 20 以上 60 以下です。--keepalive-interval フラグを省略すると、Cloud Router は 20 秒の BGP キープアライブ タイマーを使用します。詳しくは、キープアライブ タイマーをご覧ください。

Terraform

Cloud Router のTrusted Cloud Terraform モジュールを使用します。

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

API

routers.insert メソッドは、新しい Cloud Router を作成します。Cloud Router は、VPC ネットワークまたは NCC Gateway スポークのいずれかに関連付けられます。作成後は、リージョン、関連付けられた VPC ネットワーク、関連付けられた NCC Gateway スポークを変更できません。

"advertisedGroups": [ALL_SUBNETS] フラグは、bgp.advertiseMode: CUSTOM の場合にのみ有効です。bgp.advertisedGroups: [ALL_SUBNETS] の場合、ルーターレベルのアドバタイズには、VPC ネットワークの動的ルーティング モードに応じてローカル サブネット範囲が含まれます。詳細については、サブネット範囲のアドバタイズをご覧ください。

encryptedInterconnectRouter フラグは、Cloud Router が Cloud Interconnect を介した HA VPN の BGP セッションを管理するかどうかを示すブール値パラメータです。

  • VPC ネットワークのリージョンに関連付けられた Cloud Router を作成するには、次のリクエストを使用します。

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
     {
       "name": "ROUTER_NAME",
       "network": "NETWORK",
       "encryptedInterconnectRouter": True|False,
       "bgp": {
         "asn": "ASN_NUMBER",
         "advertiseMode": "ADVERTISEMENT_MODE",
         "advertisedGroups": [ALL_SUBNETS],
         "advertisedIpRanges": [
            {
               "range": CUSTOM_ADVERTISED_RANGE,
               "description": CUSTOM_ADVERTISED_RANGE_DESCRIPTION
            }, ...
         ],
         "identifierRange": ROUTER_IDENTIFIER_RANGE,
         "keepaliveInterval": KEEPALIVE_TIMER
       }
     }

    次のように置き換えます。

    • ROUTER_NAME: Cloud Router の名前

    • PROJECT_ID: Cloud Router を含むプロジェクトのプロジェクト ID

    • NETWORK: Cloud Router を含む VPC ネットワーク

    • REGION: Cloud Router を含むリージョン

    • ASN_NUMBER: オンプレミス ネットワークでまだ使用していないプライベート ASN64512-655344200000000-4294967294

      Cloud Router ではプライベート ASN を使用する必要がありますが、オンプレミス ASN はパブリックまたはプライベートにできます。

    • ADVERTISEMENT_MODE: ルーターレベルのアドバタイズ モードを指定します

      有効な値は CUSTOM または DEFAULT です。bgp.advertiseMode を省略すると、 Trusted Cloud はルーターレベルで DEFAULT アドバタイズ モードを使用します。ルーターレベルのアドバタイズ モードの意味と、個々の BGP セッション アドバタイズへの影響については、アドバタイズ モード有効なアドバタイズをご覧ください。

    • CUSTOM_ADVERTISED_RANGECUSTOM_ADVERTISED_RANGE_DESCRIPTION: ルーターレベルのカスタム ルート アドバタイズを指定する辞書のキー

      bgp.advertisedIpRanges は、各カスタムルート アドバタイズ辞書を含むリストです。bgp.advertisedIpRanges を指定するには、bgp.advertiseMode: CUSTOM が必要です。各 CUSTOM_ADVERTISED_RANGE は、CIDR 形式の IP アドレス範囲または個々の IP アドレスです。個々の IPv4 アドレスは /32 サブネット マスクを持つ CIDR として解釈され、個々の IPv6 アドレスは /128 サブネット マスクを持つ CIDR として解釈されます。カスタムルート アドバタイズの最大数については、上限をご覧ください。各 CUSTOM_ADVERTISED_RANGE_DESCRIPTION は、アドバタイズを説明する文字列です。

    • ROUTER_IDENTIFIER_RANGE: Cloud Router の一意の識別子として機能する IPv4 アドレス範囲を定義します

      詳細については、BGP ID 範囲を構成するをご覧ください。

    • KEEPALIVE_TIMER: BGP キープアライブ タイマーを定義する時間(秒単位)(省略可)

      有効な値は 20 以上 60 以下です。bgp.keepaliveInterval を省略すると、Cloud Router は 20 秒の BGP キープアライブ タイマーを使用します。詳しくは、キープアライブ タイマーをご覧ください。

    • encryptedInterconnectRouter: Cloud Router が Cloud Interconnect を介した HA VPN の BGP セッションを管理するかどうかを示すブール値パラメータ

  • NCC Gateway スポークに関連付けられた Cloud Router を作成するには、次のリクエストを使用します。

    bgp.advertiseMode: CUSTOM フラグは、ルーターレベルのアドバタイズ モードを CUSTOM に設定して、ルーターレベルのカスタムルート アドバタイズを指定できるようにします。ルーターレベルのアドバタイズ モードが個々の BGP セッション アドバタイズに与える影響については、有効なアドバタイズをご覧ください。

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
     {
       "name": "ROUTER_NAME",
       "ncc_gateway": "NCC_GATEWAY_URI",
       "bgp": {
         "asn": "ASN_NUMBER",
         "advertiseMode": CUSTOM,
         "advertisedIpRanges": [
            {
               "range": CUSTOM_ADVERTISED_RANGE,
               "description": CUSTOM_ADVERTISED_RANGE_DESCRIPTION
            }, ...
         ],
         "identifierRange": ROUTER_IDENTIFIER_RANGE,
         "keepaliveInterval": KEEPALIVE_TIMER
       }
     }

    次のように置き換えます。

    • ROUTER_NAME: Cloud Router の名前

    • PROJECT_ID: Cloud Router を含むプロジェクトのプロジェクト ID

    • NCC_GATEWAY_URI: ルーターに関連付けられている NCC Gateway の完全な URI。URI の形式は次のパターンとなります。 https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/GATEWAY_SPOKE_NAME

    • REGION: Cloud Router を含むリージョン

    • ASN_NUMBER: オンプレミス ネットワークでまだ使用していないプライベート ASN64512-655344200000000-4294967294

      Cloud Router ではプライベート ASN を使用する必要がありますが、オンプレミス ASN はパブリックまたはプライベートにできます。

    • CUSTOM_ADVERTISED_RANGECUSTOM_ADVERTISED_RANGE_DESCRIPTION: ルーターレベルのカスタム ルート アドバタイズを指定する辞書のキー

      bgp.advertisedIpRanges は、各カスタムルート アドバタイズ辞書を含むリストです。bgp.advertisedIpRanges を指定するには、bgp.advertiseMode: CUSTOM が必要です。各 CUSTOM_ADVERTISED_RANGE は、CIDR 形式の IP アドレス範囲または個々の IP アドレスです。個々の IPv4 アドレスは /32 サブネット マスクを持つ CIDR として解釈され、個々の IPv6 アドレスは /128 サブネット マスクを持つ CIDR として解釈されます。カスタムルート アドバタイズの最大数については、上限をご覧ください。各 CUSTOM_ADVERTISED_RANGE_DESCRIPTION は、アドバタイズを説明する文字列です。

    • ROUTER_IDENTIFIER_RANGE: Cloud Router の一意の識別子として機能する IPv4 アドレス範囲を定義します

      詳細については、BGP ID 範囲を構成するをご覧ください。

    • KEEPALIVE_TIMER: BGP キープアライブ タイマーを定義する時間(秒単位)(省略可)

      有効な値は 20 以上 60 以下です。bgp.keepaliveInterval を省略すると、Cloud Router は 20 秒の BGP キープアライブ タイマーを使用します。詳しくは、キープアライブ タイマーをご覧ください。

ネットワーク接続プロダクトを設定する

VPC ネットワークのリージョンに関連付けられている Cloud Router は、次の接続プロダクトの BGP セッションを管理できます。

NCC Gateway スポークに関連付けられている Cloud Router は、NCC Gateway スポークに関連付けられている VLAN アタッチメントの BGP セッションを管理できます。

Cloud Interconnect

Cloud Interconnect と Cloud Router を使用して VPC ネットワークをオンプレミス ネットワークに接続するには、まず Cloud Interconnect 接続をプロビジョニングする必要があります。

Cloud Interconnect 接続用の VLAN アタッチメントを作成するときに、Cloud Router とその BGP セッションを構成します。Dedicated Interconnect 用 VLAN アタッチメントの作成Partner Interconnect 用 VLAN アタッチメントの作成をご覧ください。

Cloud Interconnect を介した HA VPN をデプロイする場合は、次の 2 つの Cloud Router をデプロイする必要があります。

  • VLAN アタッチメント用に構成する、Cloud Interconnect 用の特別な Cloud Router。この Cloud Router は、HA VPN ゲートウェイによって暗号化されたトラフィックのみを VLAN アタッチメントに送信します。

  • HA VPN トンネル用に構成する通常の Cloud Router。

Cloud VPN

HA VPN と Cloud Router を使用して VPC ネットワークをオンプレミス ネットワークまたはマルチクラウド ネットワークに接続するには、ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。

HA VPN と Cloud Router を使用して VPC ネットワークを別の VPC ネットワークに接続するには、 Trusted Cloud ネットワーク間の HA VPN を作成するをご覧ください。

ピア ネットワークへの HA VPN トンネルを作成するときに、Cloud Router とその BGP セッションを構成します。

ルーター アプライアンス

Network Connectivity Center ハイブリッド スポークのルーター アプライアンスを使用して VPC ネットワークをピア ネットワークに接続するには、ルーター アプライアンス インスタンスを作成するをご覧ください。

NCC Gateway スポーク

NCC Gateway スポークで VLAN アタッチメントを構成するには、NCC Gateway にハイブリッド接続を追加するをご覧ください。

BGP セッションを確立する

Cloud Router を使用してネットワーク接続プロダクトを設定すると、Cloud Router とピア ネットワークのルーターとの間で Border Gateway Protocol(BGP)セッションが確立されます。

同じ Cloud Router を別のネットワーク接続プロダクトで再利用できます。ただし、各 BGP セッションは、Cloud Router で使用するように構成したネットワーク接続プロダクト(VLAN アタッチメント、Cloud VPN トンネル、ルーター アプライアンス インスタンス)に固有のものです。異なるネットワーク接続プロダクトで同じ BGP セッションを使用できません。十分な冗長性を確保するために、ネットワーク接続プロダクト用に複数の BGP セッションの設定が必要になる場合があります。たとえば、HA VPN で Cloud Router を使用する場合は、複数の BGP セッションを設定します。

Cloud Router とピア ネットワークのルーター間の BGP セッションを確立するには、BGP セッションの確立をご覧ください。

次のステップ