Cloud VPN の概要

このページでは、Cloud VPN に関連するコンセプトについて説明します。Cloud VPN のドキュメントで使用される用語の定義については、主な用語をご覧ください。

Cloud VPN は、IPsec VPN 接続を使用してピア ネットワークを Virtual Private Cloud(VPC)ネットワークへ安全に拡張します。VPN 接続では、ネットワーク間を移動するトラフィックが暗号化され、一方の VPN ゲートウェイが暗号化を処理し、もう一方の VPN ゲートウェイが復号を処理します。このプロセスにより、送信中のデータが保護されます。また、2 つの Cloud VPN インスタンスを接続して、2 つの VPC ネットワークを接続することもできます。Cloud VPN を使用して、トラフィックを公共のインターネットに転送することはできません。これは、プライベート ネットワーク間のセキュアな通信のために設計されています。

ハイブリッド ネットワーキング ソリューションを選択する

Trusted Cloud by S3NSへのハイブリッド ネットワーク接続として Cloud VPN、Dedicated Interconnect、Partner Interconnect、Cloud Router のどれを使用するかを判断するには、Network Connectivity プロダクトの選択をご覧ください。

Dedicated Interconnect 接続や Partner Interconnect 接続のセキュリティを強化するには、Cloud Interconnect を介した HA VPN を使用します。このソリューションにより、VLAN アタッチメント経由で暗号化された HA VPN トンネルが確立されます。

Cloud VPN のタイプ

Trusted Cloud には、次の 2 種類の Cloud VPN ゲートウェイがあります。

次の表に、HA VPN の機能と Classic VPN の機能の比較を示します。

機能 HA VPN Classic VPN
SLA いくつかの例外を除き、ほとんどのトポロジで 99.99% の SLA を提供します。詳細については、HA VPN トポロジをご覧ください。 99.9% の SLA を提供します。
外部 IP アドレスと転送ルールの作成 プールから作成された外部 IP アドレス。転送ルールは必要ありません。 外部 IP アドレスと転送ルールを作成する必要があります。
サポートされているルーティング オプション 動的ルーティング(BGP)のみ。 静的(ポリシーベース、ルートベース)ルーティングのみ。
1 つの Cloud VPN ゲートウェイから同じピア ゲートウェイへの 2 つのトンネル サポート対象 非対応
外部 IP アドレスを使用して Cloud VPN ゲートウェイを Compute Engine VM に接続します。 サポートされる推奨トポロジ。詳細については、HA VPN トポロジをご覧ください。 サポート対象
API リソース vpn-gateway リソースともいいます。 target-vpn-gateway リソースともいいます。
IPv6 トラフィック デュアル スタック構成(IPv4 と IPv6)と IPv6 のみの構成をサポートします。 非対応

Classic VPN から HA VPN に移行する方法については、Classic VPN から HA VPN に移行するをご覧ください。

HA VPN

HA VPN は高可用性(HA)Cloud VPN ソリューションで、IPsec VPN 接続を使用してオンプレミス ネットワークを VPC ネットワークに安全に接続できます。トポロジと構成に基づいて、HA VPN は 99.99% または 99.9% のサービス可用性の SLA を提供できます。

HA VPN ゲートウェイを作成すると、インターフェースごとに 1 つずつ、計 2 つの外部 IP アドレスが自動的に選択されます。各 IP アドレスは、高可用性をサポートするために、一意のアドレスプールから自動的に選択されます。各 HA VPN ゲートウェイ インターフェースは、複数のトンネルをサポートします。また、複数の HA VPN ゲートウェイを作成することもできます。HA VPN ゲートウェイを削除すると、IP アドレスが解放されて再利用できるようになります。アクティブ インターフェース 1 つと外部 IP アドレス 1 つのみを使用して HA VPN ゲートウェイを構成することもできますが、この構成では可用性 SLA は提供されません。

HA VPN を使用するオプションの一つとして、Cloud Interconnect を介した HA VPN を使用する方法があります。Cloud Interconnect を介した HA VPN では、Cloud VPN による IPsec 暗号化のセキュリティと Cloud Interconnect の大容量が同時に得られます。また、Cloud Interconnect を使用しているため、ネットワーク トラフィックが公共のインターネットを通過することはありません。Partner Interconnect を使用する場合は、サードパーティ プロバイダに接続する際にデータ セキュリティとコンプライアンスの要件を満たすために、Cloud Interconnect トラフィックに IPsec 暗号化を追加する必要があります。HA VPN は、 Trusted Cloudの外部 VPN ゲートウェイ リソースを使用して、ピア VPN ゲートウェイに関する情報を Trusted Cloud に提供します。

HA VPN ゲートウェイは、API ドキュメントと gcloud コマンドでは、ターゲット VPN ゲートウェイではなく、VPN ゲートウェイと呼ばれます。HA VPN ゲートウェイの転送ルールを作成する必要はありません。

HA VPN は、トポロジまたは構成シナリオに応じて、99.99% または 99.9% の可用性 SLA を提供できます。HA VPN トポロジとサポートされている SLA の詳細については、HA VPN トポロジをご覧ください。

HA VPN を設定する際は、次のガイドラインを考慮してください。

  • HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続する場合は、これらのゲートウェイで同一の IP スタックタイプを使用する必要があります。たとえば、スタックタイプが IPV4_IPV6 の HA VPN ゲートウェイを作成する場合は、もう一方の HA VPN ゲートウェイも IPV4_IPV6 に設定する必要があります。

  • Cloud VPN ゲートウェイの観点から 2 つの VPN トンネルを構成します。

    • ピア VPN ゲートウェイ デバイスが 2 つある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれ専用のピア ゲートウェイに接続する必要があります。
    • 1 つのピア VPN ゲートウェイデバイスに 2 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、それぞれピア ゲートウェイの専用インターフェースに接続する必要があります。
    • 1 つのピア VPN ゲートウェイ デバイスに 1 つのインターフェースがある場合は、Cloud VPN ゲートウェイの各インターフェースからのトンネルは、両方ともピア ゲートウェイの同じインターフェースに接続する必要があります。

  • ピア VPN デバイスは、適切な冗長性を備えて構成する必要があります。冗長ハードウェア構成の詳細はデバイス ベンダーによって指定され、複数のハードウェア インスタンスが含まれている場合があります。詳細については、ピア VPN デバイスのベンダーのドキュメントをご覧ください。

    ピアデバイスが 2 台必要な場合は、各ピアデバイスは別の HA VPN ゲートウェイ インターフェースに接続する必要があります。ピア側が AWS のような、別のクラウド プロバイダである場合、AWS 側でも適切な冗長性を備えた VPN 接続を構成する必要があります。

  • ピア VPN ゲートウェイ デバイスは、動的 Border Gateway Protocol(BGP)ルーティングをサポートする必要があります。

    次の図は、トポロジに 2 つのピア VPN ゲートウェイに接続された HA VPN ゲートウェイの 2 つのインターフェースを含む HA VPN のコンセプトを示しています。より詳細な HA VPN トポロジ(構成シナリオ)については、HA VPN トポロジをご覧ください。

    2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ
    2 つのピア VPN ゲートウェイへの HA VPN ゲートウェイ(クリックして拡大)

Classic VPN

HA VPN とは異なり、Classic VPN ゲートウェイには 1 つのインターフェースと 1 つの外部 IP アドレスがあり、静的ルーティング(ポリシーベースまたはルートベース)を使用するトンネルがサポートされます。

Classic VPN ゲートウェイは 99.9% のサービス可用性の SLA を提供します。

Classic VPN ゲートウェイは IPv6 をサポートしていません。

サポートされている Classic VPN トポロジについては、Classic VPN トポロジのページをご覧ください。

API ドキュメントと Google Cloud CLI では、Classic VPN はターゲット VPN ゲートウェイと表記されています。

仕様

Cloud VPN の仕様は次のとおりです。

  • Cloud VPN では、このセクションに記載されている要件に従って、サイト間の IPsec VPN 接続のみがサポートされます。クライアントからゲートウェイへの接続はサポートされていません。つまり、クライアント PC がクライアント VPN ソフトウェアを使用して VPN にダイヤルインするユースケースはサポートされていません。

    Cloud VPN は IPsec のみをサポートします。他の VPN テクノロジー(SSL VPN など)はサポートされていません。

  • Cloud VPN は、VPC ネットワークとレガシー ネットワークで使用できます。VPC ネットワークの場合、カスタムモードの VPC ネットワークをおすすめします。これにより、ネットワーク内のサブネットで使用される IP アドレス範囲を完全に制御できます。

    • Classic VPN ゲートウェイと HA VPN ゲートウェイでは、外部の(インターネット ルーティング可能な)IPv4 アドレスを使用します。これらのアドレスに許可されるのは ESP、UDP 500、UDP 4500 のトラフィックのみです。これは、Classic VPN 用に構成した Cloud VPN アドレス、または HA VPN 用に自動的に割り振られた IP アドレスに適用されます。

    • VPC ネットワーク内のサブネットで使用される IP アドレスとオンプレミス サブネットの IP アドレス範囲が重複する場合は、ルートの順序を参照して、ルーティング競合の解決方法を確認してください。

  • 次の Cloud VPN トラフィックは Google の本番環境ネットワーク内に残ります。

    • 2 つの HA VPN ゲートウェイ間
    • 2 つの Classic VPN ゲートウェイ間
    • Classic VPN または HA VPN ゲートウェイと、VPN ゲートウェイとして機能する Compute Engine VM の外部 IP アドレスの間

  • Cloud VPN は、オンプレミス ホストのプライベート Google アクセスで使用できます。詳細については、サービスのプライベート アクセス オプションをご覧ください。

  • 各 Cloud VPN ゲートウェイは、別の Cloud VPN ゲートウェイまたは、ピア VPN ゲートウェイに接続されます。

  • ピア VPN ゲートウェイには静的外部(インターネット ルーティング可能な)IPv4 アドレスが必要です。Cloud VPN を構成するには、この IP アドレスが必要です。

    • ピア VPN ゲートウェイがファイアウォール ルールの内側にある場合は、ESP(IPsec)プロトコルと IKE(UDP 500 および UDP 4500)トラフィックを通過させるようにファイアウォール ルールを構成する必要があります。ファイアウォールでネットワーク アドレス変換(NAT)を行う場合は、UDP カプセル化と NAT-T をご覧ください。

  • Cloud VPN では、事前分割をサポートするようピア VPN ゲートウェイを構成する必要があります。パケットは、カプセル化する前に断片化してください。

  • Cloud VPN は、4,096 パケットのウィンドウでリプレイ検出を使用します。これをオフにすることはできません。

  • Cloud VPN は、汎用ルーティング カプセル化(GRE)トラフィックをサポートしています。GRE のサポートにより、インターネット(外部 IP アドレス)と、Cloud VPN または Cloud Interconnect(内部 IP アドレス)からの GRE トラフィックを VM で終端できます。カプセル化解除されたトラフィックは到達可能な宛先に転送できます。GRE を使用すると、セキュア アクセス サービスエッジ(SASE)や SD-WAN などのサービスを使用できます。GRE トラフィックを許可するには、ファイアウォール ルールを作成する必要があります。

  • HA VPN トンネルは IPv6 トラフィックの交換をサポートしていますが、Classic VPN トンネルはサポートしていません。

ネットワーク帯域幅

各 Cloud VPN トンネルでは、上り(内向き)と下り(外向き)のトラフィック合わせて、1 秒あたり最大 250,000 パケットをサポートします。トンネルの平均パケットサイズに応じて、250,000 パケット/秒は 1 Gbps~3 Gbps の帯域幅に相当します。

この上限に関連する指標は Sent bytesReceived bytes です。詳しくは、ログと指標を表示するをご覧ください。指標の単位はバイトで、3 Gbps の上限は 1 秒あたりのビット数を表します。バイト数に変換した場合、上限は 375 MB/秒(MBps)になります。上限に対する使用量を測定する場合は、Sent bytesReceived bytes の合計値を変換後の上限(375 MBps)と比較します。

アラート ポリシーを作成する方法については、VPN トンネル帯域幅にアラートを定義するをご覧ください。

帯域幅に影響する要因

帯域幅は、次のようなさまざまな要因の影響を受けます。

  • Cloud VPN ゲートウェイとピア ゲートウェイ間のネットワーク接続:

    • 2 つのゲートウェイ間のネットワーク帯域幅。Google とのダイレクト ピアリングの関係が確立していれば、VPN トラフィックが公共のインターネット経由で送信される場合よりもスループットが高くなります。

    • ラウンド トリップ時間(RTT)とパケットロス。RTT やパケットロス率が高いと、TCP のパフォーマンスが大幅に低下します。

  • ピア VPN ゲートウェイの機能。詳細については、デバイスのドキュメントをご覧ください。

  • パケットサイズ。Cloud VPN はトンネルモードで IPsec プロトコルを使用します。ESP で IP パケット全体をカプセル化して暗号化し、カプセル化セキュリティ ペイロード(ESP)データを外側から 2 番目の IP パケットに格納します。したがって、IPsec カプセル化パケットのゲートウェイ MTU と、IPsec カプセル化パケットの前後のペイロード MTU があります。詳細については、MTU に関する考慮事項をご覧ください。

  • パケットレート。上り(内向き)と下り(外向き)の場合、各 Cloud VPN トンネルの推奨最大パケットレートは 1 秒あたり 250,000 パケット(pps)です。パケットを高速で送信する必要がある場合は、さらに VPN トンネルを作成する必要があります。

VPN トンネルの TCP 帯域幅を測定する際には、複数の TCP ストリームを同時に測定する必要があります。iperf ツールを使用している場合は、-P パラメータを使用して同時ストリームの数を指定します。

IPv6 サポート

Cloud VPN は HA VPN で IPv6 をサポートしていますが、Classic VPN ではサポートしていません。

HA VPN トンネルで IPv6 トラフィックをサポートするには、次のようにします。

  • HA VPN ゲートウェイを作成し、IPv6 が有効な VPC ネットワークと IPv6 が他のネットワークを接続するトンネルを作成する場合は、IPV6_ONLY または IPV4_IPV6 スタックタイプを使用します。これらのネットワークは、オンプレミス ネットワーク、マルチクラウド ネットワーク、または他の VPC ネットワークです。

  • IPv6 対応の VPC ネットワークにデュアルスタック サブネットまたは IPv6 のみのサブネットを含めます。また、サブネットに内部 IPv6 範囲を割り当てます。

次の表は、HA VPN ゲートウェイのスタックタイプごとに許可される外部 IP アドレスをまとめたものです。

スタックタイプ サポートされているゲートウェイの外部 IP アドレス
IPV4_ONLY IPv4
IPV4_IPV6 IPv4、IPv6
IPV6_ONLY IPv6

IPv6 の組織のポリシーに関する制約

次の組織のポリシーを true に設定すると、プロジェクトでの IPv6 ハイブリッド リソースの作成をすべて無効にできます。

  • constraints/compute.disableHybridCloudIpv6

HA VPN では、この組織のポリシーの制約により、デュアルスタック HA VPN ゲートウェイまたは IPv6 のみの HA VPN ゲートウェイをプロジェクトに作成することはできません。また、IPv6 BGP セッションとデュアルスタックの Dedicated Interconnect VLAN アタッチメントも作成できません。

スタックタイプと BGP セッション

HA VPN ゲートウェイは、さまざまなスタックタイプをサポートしています。HA VPN ゲートウェイのスタックタイプによって、HA VPN トンネルで許可される IP トラフィックのバージョンが決まります。

デュアルスタック HA VPN ゲートウェイの HA VPN トンネルを作成する場合は、IPv6 ルート交換用の IPv6 BGP セッションを作成するか、マルチプロトコル BGP(MP-BGP)を使用して IPv6 ルートを交換する IPv4 BGP セッションを作成します。

次の表に、各スタックタイプでサポートされている BGP セッションのタイプを示します。

スタックタイプ サポートされている BGP セッション ゲートウェイの外部 IP アドレス
シングル スタック(IPv4 のみ) IPv4 BGP、MP-BGP なし IPv4
シングル スタック(IPv6 のみ) IPv6 BGP、MP-BGP なし IPv6
デュアル スタック(IPv4 と IPv6)
  • IPv4 BGP(MP-BGP あり / なし)
  • IPv6 BGP(MP-BGP あり / なし)
  • IPv4 BGP と IPv6 BGP の両方、MP-BGP なし
 IPv4 と IPv6

BGP セッションの詳細については、Cloud Router のドキュメントの BGP セッションを確立するをご覧ください。

シングルスタック IPv4 専用ゲートウェイ

デフォルトでは、HA VPN ゲートウェイには「IPv4 のみ」のスタックタイプが割り当てられ、2 つの外部 IPv4 アドレスが自動的に割り当てられます。

IPv4 のみの HA VPN ゲートウェイは、IPv4 トラフィックのみをサポートできます。

IPv4 のみの HA VPN ゲートウェイと IPv4 BGP セッションを作成するには、次の操作を行います。

シングルスタック IPv6 専用ゲートウェイ

IPv6 のみの HA VPN ゲートウェイは、IPv6 トラフィックのみをサポートします。デフォルトでは、IPv6 のみの HA VPN ゲートウェイには 2 つの外部 IPv6 アドレスが割り当てられます。

IPv6 のみの HA VPN ゲートウェイと IPv6 BGP セッションを作成するには、次の操作を行います。

デュアルスタック(IPv4 と IPv6)ゲートウェイ

デュアルスタック(IPv4 と IPv6)のスタックタイプで構成された HA VPN ゲートウェイは、IPv4 トラフィックと IPv6 トラフィックの両方をサポートできます。

デュアルスタック HA VPN ゲートウェイの場合、IPv4 BGP セッション、IPv6 BGP セッション、またはその両方を使用して Cloud Router を構成できます。 BGP セッションを 1 つだけ構成する場合は、MP-BGP を有効にして、そのセッションで IPv4 ルートと IPv6 ルートの両方を交換できます。IPv4 BGP セッションと IPv6 BGP セッションを作成した場合、どちらのセッションでも MP-BGP を有効にできません。

MP-BGP を使用して IPv4 BGP セッションで IPv6 ルートを交換するには、IPv6 ネクストホップ アドレスを使用してセッションを構成する必要があります。同様に、MP-BGP を使用して IPv6 BGP セッションで IPv4 ルートを交換するには、IPv4 ネクストホップ アドレスを使用してセッションを構成する必要があります。これらのネクストホップ アドレスは、手動または自動で構成できます。

ネクストホップ アドレスを手動で構成する場合は、Google 所有の IPv6 グローバル ユニキャスト アドレス(GUA)範囲 2600:2d00:0:2::/63 または IPv4 リンクローカル アドレス範囲 169.254.0.0./16 から選択する必要があります。これらの IP アドレス範囲は Google によって事前に割り振られています。選択するネクストホップ IP アドレスは、VPC ネットワーク内のすべての Cloud Router で一意である必要があります。

自動構成を選択すると、ネクストホップ IP アドレスが自動的に選択されます。

デュアルスタック HA VPN ゲートウェイとサポートされているすべての BGP セッションを作成するには、次の操作を行います。

IPsec と IKE のサポート

Cloud VPN は、IKE 事前共有キー(共有シークレット)と IKE 暗号を使用した IKEv1IKEv2 をサポートしています。Cloud VPN の認証では、事前共有キーのみがサポートされます。Cloud VPN トンネルを作成する場合は、事前共有キーを指定します。ピア ゲートウェイでトンネルを作成する場合は、同じ事前共有キーを指定します。強力な事前共有キーの作成については、強力な事前共有キーの生成をご覧ください。

Cloud VPN は、認証でトンネルモードの ESP をサポートしますが、AH またはトランスポート モードの ESP はサポートしません。

HA VPN で IPv6 トラフィックを有効にするには、IKEv2 を使用します。

Cloud VPN では、受信する認証パケットに対するポリシー関連のフィルタリングは行われません。送信するパケットは、Cloud VPN ゲートウェイで構成されている IP 範囲に基づいてフィルタされます。

Cloud VPN トンネルで暗号を構成する

Cloud VPN を使用すると、VPN 接続をコンプライアンスとセキュリティのニーズに合わせた調整に役立つ暗号を構成できます。

暗号オプションは、Cloud VPN トンネルの作成時に構成できます。ただし、構成後に選択した暗号オプションを変更することはできません。トンネルを削除して再作成する必要があります。暗号の選択は IKEv2 でのみ使用でき、IKEv1 では使用できません。

暗号は、IKE SA ネゴシエーション(フェーズ 1)と IPsec SA ネゴシエーション(フェーズ 2)の両方で構成できます。フェーズの暗号オプションを構成しない場合、Cloud VPN はそのオプションのデフォルトの暗号を使用します。

次の条件を満たすサポートされている暗号のリストから暗号を構成する必要があります。

  • 暗号化に AEAD 暗号を指定した場合、Cloud VPN は完全性の処理に同じ暗号化の暗号を使用するため、完全性に別の暗号を指定することはできません。

  • 暗号化に非 AEAD 暗号を指定する場合は、完全性の暗号も指定できます。完全性暗号を指定しない場合、Cloud VPN は完全性のデフォルトの暗号オプションを使用します。

  • 暗号化に AEAD 暗号と非 AEAD 暗号の両方を指定する場合は、非 AEAD 暗号の前に AEAD 暗号をリストする必要があります。Cloud VPN は、AEAD 暗号の完全性を処理するために同じ暗号化の暗号を使用します。

    非 AEAD 暗号の場合は、完全性暗号を指定できます。完全性暗号を指定しない場合、Cloud VPN は完全性のデフォルトの暗号オプションを使用します。

サポートされている暗号、デフォルトの暗号順序、Cloud VPN でサポートされている構成パラメータの詳細については、サポートされている IKE の暗号をご覧ください。

次の手順に沿って、さまざまな Cloud VPN ゲートウェイの暗号オプション(プレビュー)を構成します。

IKE と Dead Peer Detection

Cloud VPN は、RFC 3706DPD プロトコル セクションに沿って、Dead Peer Detection(DPD)をサポートしています。

ピアが動作していることを確認するため、Cloud VPN は RFC 3706 に沿って常時 DPD パケットを送信することが可能です。何度か再試行しても DPD リクエストが返されない場合、Cloud VPN は VPN トンネルが異常であることを認識します。VPN トンネルが異常であると認識されると、このトンネルをネクストホップとして使用するルート(BGP ルートまたは静的ルート)が削除され、正常な他の VPN トンネルへの VM トラフィックのフェイルオーバーがトリガーされます。

Cloud VPN では、DPD の間隔を構成することはできません。

UDP カプセル化と NAT-T

Cloud VPN で NAT-Traversal(NAT-T)をサポートするようピアデバイスを構成する方法については、「高度な概要」の UDP カプセル化をご覧ください。

データ転送ネットワークとしての Cloud VPN

Cloud VPN を使用する前に、 Trusted Cloudの一般利用規約の第 2 条をよくお読みください。

Network Connectivity Center を使用すると、HA VPN トンネルを使用してオンプレミス ネットワークを相互接続し、データ転送ネットワークとしてトラフィックを受け渡すことができます。オンプレミスのロケーションごとにトンネルのペアを使用して Network Connectivity Center のスポークに接続し、ネットワークに接続します。各スポークを Network Connectivity Center のハブに接続します。

Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。

お客様所有 IP アドレスの使用(BYOIP)に関するサポート

Cloud VPN での BYOIP アドレスの使用については、BYOIP アドレスのサポートをご覧ください。

Cloud VPN トンネルを経由したピア IP アドレスの制限

組織のポリシー管理者(roles/orgpolicy.policyAdminはポリシー制約を作成して、ユーザーがピア VPN ゲートウェイに指定できる IP アドレスを制限できます。

この制限は、特定のプロジェクト、フォルダ、組織内のすべての Cloud VPN トンネル(Classic VPN と HA VPN の両方)に適用されます。

IP アドレスを制限する手順については、ピア VPN ゲートウェイの IP アドレスを制限するをご覧ください。

Cloud VPN 接続の可視化とモニタリング

ネットワーク トポロジは、VPC ネットワークのトポロジ、オンプレミス ネットワークとのハイブリッド接続、および関連付けられた指標を表示する可視化ツールです。ネットワーク トポロジ ビューでは、Cloud VPN ゲートウェイと VPN トンネルをエンティティとして表示できます。

基本エンティティは特定の階層の最下位レベルであり、ネットワークを介して他のリソースと直接通信できるリソースを表します。ネットワーク トポロジは、基本エンティティを、展開および折りたたみが可能な階層エンティティに集約しています。最初にネットワーク トポロジのグラフを表示すると、すべての基本エンティティが最上位の階層に集約されます。

たとえば、ネットワーク トポロジは、VPN トンネルを VPN ゲートウェイ接続に集約します。VPN ゲートウェイのアイコンを展開または折りたたむことで、階層を表示できます。

詳細については、ネットワーク トポロジの概要をご覧ください。

メンテナンスと可用性

Cloud VPN では定期的なメンテナンスが行われます。この間、Cloud VPN トンネルはオンラインのままで、ネットワーク トラフィックは影響を受けません。まれに、トンネルが一時的にオフラインになり、ネットワーク トラフィックが一時的に低下することがあります。メンテナンスが完了すると、Cloud VPN トンネルが自動的に再確立されます。これらのインシデントは、是正措置を実施し、今後のメンテナンス手順を改善するために調査されます。

Cloud VPN のメンテナンスは通常の運用作業ですが、予告なしに行われる可能性があります。メンテナンス期間は、Cloud VPN SLA に影響を与えないように十分短く設計されています。

HA VPN は、高可用性 VPN を構成する場合に推奨の方法です。構成オプションについては、HA VPN トポロジのページをご覧ください。Classic VPN を冗長性と高スループット オプションに使用する場合は、Classic VPN トポロジのページをご覧ください。

ベスト プラクティス

Cloud VPN を効果的に構築するには、こちらのベスト プラクティスを使用してください。

次のステップ