このドキュメントでは、推奨されるトポロジと、各 HA VPN トポロジの可用性サービスレベル契約(SLA)について説明します。Classic VPN トポロジについては、Classic VPN トポロジをご覧ください。両方の VPN タイプを含む Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。
概要
HA VPN は、次のいずれかの推奨トポロジをサポートします。
Trusted Cloud をピア VPN ゲートウェイに接続する。このトポロジでは、高可用性 SLA を実現するために、HA VPN ゲートウェイからのトンネルが 2 つ必要です。この構成では、HA VPN には次の 3 つの標準的なピア ゲートウェイ構成があります。
- それぞれ独自の IP アドレスを持つ 2 台の個別のピア VPN ゲートウェイ。
- 2 つの個別の IP アドレスを持つ 1 台のピア VPN ゲートウェイ。
- 1 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイ。
複数の Trusted Cloud VPC ネットワークを接続する。2 つの Trusted CloudVPN ネットワークを接続するには、各ネットワークに HA VPN ゲートウェイを作成します。
HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する。このトポロジでは、HA VPN ゲートウェイを Compute Engine 仮想マシン(VM)インスタンスに接続します。VM インスタンスは同じゾーンに配置することも、異なるゾーンに配置することもできます。
VPN 接続の可用性 SLA は、Compute Engine VM インスタンスの可用性 SLA によって決まります。
Cloud Interconnect を介した HA VPN。このトポロジでは、HA VPN トンネルを作成して、IPsec で暗号化されたトラフィックを Dedicated Interconnect または Partner Interconnect の VLAN アタッチメント経由で伝送します。。ピア VPN ゲートウェイに内部 IP アドレスを割り当てることもできます。詳細とアーキテクチャ図については、Cloud Interconnect による HA VPN デプロイのアーキテクチャをご覧ください。
Trusted Cloud by S3NSでは、すべてのピア ゲートウェイのシナリオは 1 つの外部ピア VPN リソースとして表されます。
HA VPN の高可用性構成
次の表に、さまざまな HA VPN 構成で提供される可用性 SLA の概要を示します。
| トポロジ | 説明 | 可用性 SLA |
|---|---|---|
| Trusted Cloud をピア VPN ゲートウェイに接続する | 1 台の HA VPN ゲートウェイを 1 台または 2 台の個別のピア VPN ゲートウェイに接続します。 | 99.99% |
| HA VPN ゲートウェイを使用して VPC ネットワークを接続する | 各ネットワークで HA VPN ゲートウェイを使用して、2 つの Trusted Cloud VPC ネットワークを接続します。 | 99.99% |
| 複数のゾーンの Compute Engine VM インスタンスへの HA VPN | HA VPN ゲートウェイを、外部 IP アドレスを持つ Compute Engine VM インスタンスに接続します。 | 99.9% |
| 単一の Compute Engine VM インスタンスへの HA VPN | HA VPN ゲートウェイを、外部 IP アドレスを持つ 1 つの Compute Engine VM インスタンスにのみ接続します。 | 可用性 SLA は、Compute Engine 向けメモリ最適化マシン ファミリーの単一 VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。 |
HA VPN 接続で最大限の可用性の SLA を確保するには、HA VPN ゲートウェイからピア VPN ゲートウェイまたは別の HA VPN ゲートウェイへのトンネルを 2 つ構成することをおすすめします。ピア VPN ゲートウェイも同じ可用性 SLA を得るように構成されていることを確認します。
いずれかのトンネルで障害が発生した場合に接続を維持するには、HA VPN ゲートウェイのすべてのインターフェースをピア ゲートウェイまたは別の HA VPN ゲートウェイのすべてのインターフェースに接続します。
Trusted Cloud をピア VPN ゲートウェイに接続する
HA VPN の標準的なピア ゲートウェイ構成には、次の 3 種類があります。
- 1 台の HA VPN ゲートウェイを、それぞれ独自の IP アドレスを持つ 2 台の個別のピア VPN ゲートウェイに接続
- 1 台の HA VPN ゲートウェイを、2 つの個別の IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続
- 1 台の HA VPN ゲートウェイを、1 つの IP アドレスを使用する 1 台のピア VPN ゲートウェイに接続
こうした構成を設定するには、ピア VPN ゲートウェイに対する HA VPN ゲートウェイを作成するをご覧ください。
IPV6_ONLY または IPV4_IPV6 のスタックタイプを使用して HA VPN ゲートウェイをデプロイすると、VPN トンネルで IPv6 トラフィックの交換をサポートできます。VPN トンネル用に作成する BGP セッションでも IPv6 を有効にする必要があります。このシナリオでは、以下のトポロジでオンプレミス サブネットと VPC サブネットに IPv6 アドレスを割り当てることができます。詳細については、IPv6 サポートをご覧ください。
2 台のピア VPN ゲートウェイを接続する
ピア側のゲートウェイがハードウェア ベースである場合は、ピア側のゲートウェイをもう 1 台用意することにより、ピア側で冗長性とフェイルオーバーを実現できます。2 台目の物理ゲートウェイを使用すると、ソフトウェアのアップグレードや定期的なメンテナンスの際にゲートウェイの 1 つをオフラインにできます。また、いずれかの物理ゲートウェイで障害が発生した場合の保護も確保できます。
このトポロジでは、1 台の HA VPN ゲートウェイが 2 台のピア VPN ゲートウェイに接続します。各ピア VPN ゲートウェイには、1 つのインターフェースと 1 つの外部 IP アドレスがあります。HA VPN ゲートウェイは、ピア VPN ゲートウェイごとにトンネルを 1 つずつ、合計 2 つ使用します。
Trusted Cloudでは、この構成の REDUNDANCY_TYPE の値は TWO_IPS_REDUNDANCY になります。
次の例では、99.99% の可用性 SLA が実現されます。
2 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイを接続する
このトポロジでは、1 台の HA VPN ゲートウェイが、個別の外部 IP アドレスを 2 つ持つ 1 台のピア VPN ゲートウェイに接続します。HA VPN ゲートウェイは、ピア VPN ゲートウェイの外部 IP アドレスごとにトンネルを 1 つずつ、合計 2 つ使用します。
Trusted Cloudでは、この構成の REDUNDANCY_TYPE の値は TWO_IPS_REDUNDANCY になります。
次の例では、99.99% の可用性 SLA が実現されます。
1 つの IP アドレスを持つ 1 台のピア VPN ゲートウェイを接続する
このトポロジでは、1 台の HA VPN ゲートウェイが、1 つの外部 IP アドレスを持つ 1 台のピア VPN ゲートウェイに接続します。HA VPN ゲートウェイでは 2 つのトンネルを使用し、両方のトンネルがピア VPN ゲートウェイの 1 つの外部 IP アドレスに接続されます。
Trusted Cloudでは、この構成の REDUNDANCY_TYPE の値は SINGLE_IP_INTERNALLY_REDUNDANT になります。
次の例では、99.99% の可用性 SLA が実現されます。
99.99% の可用性 SLA 用に構成する
Trusted Cloud 側で 99.99% の可用性 SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれからピア ゲートウェイの対応するインターフェースへのトンネルが 1 つ必要です。
ピア ゲートウェイに 2 つのインターフェースがある場合は、各ピア インターフェースから HA VPN ゲートウェイの各インターフェースへのトンネルを 1 つずつ、計 2 つのトンネルを構成すると、99.99% の可用性 SLA の要件が満たされます。フルメッシュ構成は、 Trusted Cloud 側での 99.99% の可用性 SLA の要件ではありません。この場合、フルメッシュ構成とは、各 HA VPN インターフェースからピア ゲートウェイの 2 つのインターフェースそれぞれへの 2 つのトンネルとして定義されます。VPN ベンダーがフルメッシュ構成を推奨しているかどうかについては、ピア(オンプレミス)VPN ゲートウェイのドキュメントをご覧になるか、VPN ベンダーにお問い合わせください。
2 つのピア インターフェースを持つ構成では、次の HA VPN ゲートウェイの各インターフェース上のトンネルが、ピア ゲートウェイの対応するインターフェースと一致します。
- HA VPN の
interface 0をピアのinterface 0に接続 - HA VPN の
interface 1をピアのinterface 1に接続
例として、2 台のピア VPN ゲートウェイに 2 つのインターフェースの図と、1 台のピア VPN ゲートウェイに 2 つのインターフェースの図を示します。
1 台のピア ゲートウェイにピア インターフェースが 1 つしかない場合、HA VPN ゲートウェイの各インターフェースからの各トンネルは 1 つのピア インターフェースに接続する必要があります。1 台のピア VPN ゲートウェイに 1 つのインターフェースの図をご覧ください。
次の例では、99.99% の可用性 SLA は実現されません。
- HA VPN の
interface 0をピアのinterface 0に接続
HA VPN のアクティブ / アクティブとアクティブ / パッシブのルーティング オプション
Cloud VPN トンネルは、停止しても自動的に再開されます。仮想 VPN デバイス全体が停止した場合、Cloud VPN では同じ構成の新しいインスタンスが自動的に作成されます。新しいゲートウェイとトンネルは自動的に接続されます。
HA VPN ゲートウェイに接続されている VPN トンネルでは動的(BGP)ルーティングを使用する必要があります。HA VPN トンネルのルート優先度の構成方法に応じて、アクティブ / アクティブまたはアクティブ / パッシブのルーティング構成を作成できます。どちらのルーティング構成でも、両方の VPN トンネルはアクティブのままです。
次の表では、アクティブ / アクティブまたは、アクティブ / パッシブのルーティング構成を比較しています。
| 機能 | アクティブ / アクティブ | アクティブ / パッシブ |
|---|---|---|
| スループット | 有効な総スループットは、両方のトンネルの結合スループットです。 | 2 つのアクティブなトンネルを 1 つに減らすと、全体的なスループットは半減し、接続が遅くなるか、パケットが破棄されます。 |
| ルート アドバタイズ | ピア ゲートウェイは、トンネルごとに同一の Multi-Exit Discriminator(MED)値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、同じ優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信された下り(外向き)トラフィックで等価コスト マルチパス(ECMP)ルーティングが使用されます。 同じ Cloud Router が同じ優先度を使用して VPC ネットワークへのルートをアドバタイズします。 ピア ゲートウェイは、これらのルートを ECMP で使用して Trusted Cloudに下り(外向き)トラフィックを送信します。 |
ピア ゲートウェイは、トンネルごとに異なる MED 値を持つピア ネットワークのルートをアドバタイズします。 Cloud VPN トンネルを管理する Cloud Router は、異なる優先度の VPC ネットワークのカスタム動的ルートとして、これらのルートをインポートします。 ピア ネットワークに送信される下り(外向き)トラフィックは、関連付けられたトンネルが使用可能である限り、最も優先度の高いルートを使用します。 同じ Cloud Router は、各トンネルの異なる優先度を使用して、VPC ネットワークにルートをアドバタイズします。 ピア ゲートウェイは、優先度が最も高いトンネルを使用して、 Trusted Cloudにトラフィックを送信します。 |
| フェイルオーバー | DPD が停止しているなど、トンネルが異常である場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを取り消します。 BGP セッションが停止した場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを削除します。この場合、トンネルが異常であるとは認識されません。 この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 |
DPD が停止しているなど、トンネルが異常である場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを取り消します。 BGP セッションが停止した場合、Cloud Router は、利用できないトンネルがネクストホップとなっている学習したルートを削除します。この場合、トンネルが異常であるとは認識されません。 この取り消し処理には 40~60 秒かかり、その間パケットロスが予想されます。 一度に最大 1 つのトンネルを使用します。最初のトンネルで障害が発生し、もう一方のトンネルでフェイルオーバーが必要な場合、2 番目のトンネルですべての下り(外向き)帯域幅を処理できます。 |
フルメッシュ トポロジでのアクティブ / パッシブ ルーティング
Cloud Router が特定の Cloud VPN インターフェースを介して異なる MED 値を持つ同じプレフィックスを受信すると、優先度が最も高いルートのみが VPC ネットワークにインポートされます。他の無効なルートは、 Trusted Cloud コンソールまたは Google Cloud CLI に表示されません。優先度の最も高いルートが利用できなくなった場合、Cloud Router によってルートが取り消され、次の最適ルートが VPC ネットワークに自動的にインポートされます。
複数のトンネルまたはゲートウェイの使用
ピア ゲートウェイの構成によっては、優先度(MED 値)に応じてトンネルを通過するトラフィックを変更できるルートの作成が可能です。同様に、Cloud Router が VPC ネットワーク ルートの共有に使用する基本優先度を調整できます。これらの状況では、純粋にアクティブ / アクティブまたは、アクティブ / パッシブでもないルーティング構成が考えられます。
推奨ルーティング オプション
単一の HA VPN ゲートウェイを使用する場合は、アクティブ / パッシブのルーティング構成を使用することをおすすめします。この構成では、通常のトンネル操作時に観測された帯域幅容量が、フェイル オーバー時に観測された帯域幅容量と一致します。前述の複数ゲートウェイの場合を除いて、観測された帯域幅の上限は一定のままであるため、このタイプの構成は管理が容易です。
複数の HA VPN ゲートウェイを使用する場合は、アクティブ / アクティブ ルーティング構成の使用をおすすめします。この構成では、通常のトンネル運用時に観測される帯域幅が、最大帯域幅の 2 倍になります。ただし、この構成ではトンネルが所定の数を下回り、フェイルオーバー時にトラフィックが低下する可能性があります。
HA VPN ゲートウェイを使用して VPC ネットワークを接続する
それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの Trusted Cloud VPC ネットワークを接続できます。
3 つ以上の VPC ネットワークを接続するには、推移的ルーティングを使用します。推移的ルーティングを実現するには、ハブ VPC ネットワークを作成し、個別の HA VPN 接続を使用して他の VPC ネットワークをこのハブに接続します。
VPC ネットワークを接続する
それぞれのネットワークで HA VPN ゲートウェイを使用して、2 つの VPC ネットワークを接続できます。 各 HA VPN ゲートウェイは他のゲートウェイを名前で識別します。
次の例では、99.99% の可用性 SLA が実現されます。
この構成を設定するには、相互に接続する 2 つの完全に構成された HA VPN ゲートウェイを作成するをご覧ください。
99.99% の可用性 SLA 用に構成する
99.99% の可用性 SLA を確保するには、各 HA VPN ゲートウェイに 2 つのトンネルを構成して、次の両方を満たすようにします。
Tunnel 0は、一方の HA VPN ゲートウェイのinterface 0を他方の HA VPN ゲートウェイのinterface 0に接続します。Tunnel 1は、一方の HA VPN ゲートウェイのinterface 1を他方の HA VPN ゲートウェイのinterface 1に接続します。
HA VPN ゲートウェイを Compute Engine VM インスタンスに接続する
HA VPN により、HA VPN ゲートウェイと、IPsec 実装を使用してネットワーク仮想アプライアンスとして機能する Compute Engine VM インスタンスとの間に、安全な接続を確立できます。このトポロジは、正しく構成されている場合、99.9% の可用性 SLA を提供します。
HA VPN ゲートウェイを複数の VM インスタンスに接続する
このトポロジでは、1 台の HA VPN ゲートウェイが 2 つの Compute Engine VM インスタンスに接続します。HA VPN ゲートウェイと VM は 2 つの異なる Virtual Private Cloud ネットワークに存在します。2 つの VM は異なるゾーンに存在し、各 VM に外部 IP アドレスがあります。これらの VM インスタンスはピア VPN ゲートウェイのように動作します。
このトポロジは、Compute Engine VM インスタンスでホストされているサードパーティのネットワーク仮想アプライアンス VM に HA VPN を接続する場合に特に便利です。たとえば、このトポロジを使用すると、VPN 接続のダウンタイムなしでネットワーク仮想アプライアンス VM のいずれかをアップグレードできます。
この図では、HA VPN ゲートウェイは network-a という名前の VPC ネットワークにあり、2 つの VM は network-b にあります。どちらの VPC ネットワークも us-central1 に配置されています。network-a の HA VPN ゲートウェイは、network-b の各 VM の外部 IP アドレスを使用して構成されています。
可用性を高めるには、このトポロジを使用することをおすすめします。
次の例では、99.9% の可用性 SLA が実現されます。
この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。
99.9% の可用性 SLA 用に構成する
99.9% の SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれから各 VM の対応するインターフェースへのトンネルが 2 つ以上必要です。より高い可用性の SLA を得るには、このトポロジを使用することをおすすめします。
次のように、HA VPN ゲートウェイの各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。
interface 0からus-central1-aゾーンのus-central1-vm-aへのTunnel 0interface 1からus-central1-aゾーンのus-central1-vm-aへのTunnel 1interface 0からus-central1-bゾーンのus-central1-vm-bへのTunnel 2interface 1からus-central1-bゾーンのus-central1-vm-bへのTunnel 3
HA VPN で HA VPN ゲートウェイを単一の VM インスタンスに接続する
HA VPN を使用すると、HA VPN ゲートウェイを、ネットワーク仮想アプライアンスとして機能して IPsec VPN 実装を実行する Compute Engine 仮想マシン(VM)インスタンスに接続できます。この HA VPN ゲートウェイと VM は 2 つの異なる VPC に存在します。VM には外部 IP アドレスがあります。
全体的な可用性は、Compute Engine 向けメモリ最適化マシン ファミリーの単一の VM インスタンスに提供される可用性 SLA によって決まります。詳細については、Compute Engine サービスレベル契約(SLA)をご覧ください。
この構成を設定するには、HA VPN を Compute Engine VM に接続するをご覧ください。
99.9% の可用性 SLA 用に構成する
99.9% の可用性 SLA を満たすには、HA VPN ゲートウェイの 2 つのインターフェースそれぞれから Compute Engine VM のインターフェースへのトンネルが 2 つ必要です。
次のように、HA VPN ゲートウェイの各インターフェースの 2 つのトンネルが VM のインターフェースに接続します。
interface 0からus-central1-aゾーンのus-central1-vm-aへのTunnel 0interface 1からus-central1-aゾーンのus-central1-vm-aへのTunnel 1
次のステップ
- 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
- Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。