ネットワークとトンネル ルーティング

このページでは、サポートされている Virtual Private Cloud(VPC)ネットワークとルーティング オプションについて説明します。

このページで使用している用語の定義については、主な用語をご覧ください。

サポートされているネットワーク

Cloud VPN は、カスタムモードの VPC ネットワーク、自動モード VPC ネットワークレガシー ネットワークをサポートしていますが、次のベスト プラクティスをご検討ください。

  • レガシー ネットワークの代わりに VPC ネットワークを使用する。レガシー ネットワークはサブネットに対応していないため、ネットワーク全体で単一の IP アドレス範囲を使用します。レガシー ネットワークは VPC ネットワークに変換できません。

  • カスタムモードの VPC ネットワークを使用する。カスタムモードの VPC ネットワークでは、サブネットで使用される IP アドレスの範囲を完全に制御できます。

    • Cloud VPN を使用して 2 つの VPC ネットワークを接続する場合、少なくとも 1 つのネットワークがカスタムモードの VPC ネットワークでなければなりません。自動モードの VPC ネットワークは、サブネットと同じ内部 IP アドレスを使用します

    • Cloud VPN で使用する前に、自動モードの VPC ネットワークに関する考慮事項を確認してください。自動モードの VPC ネットワークでは、追加された新しいリージョンに新規サブネットが自動的に作成されるなど、Google Cloud リージョンごとにサブネットが自動的に作成されます。Cloud VPN トンネルの接続先のネットワークでは、自動モードの VPC ネットワークで使用されている範囲の内部 IP アドレスは使用しないでください。

VPN トンネルのルーティング オプション

Classic VPN では VPN トンネルの静的ルーティング オプションをサポートしていますが、HA VPN は動的ルーティング オプションをサポートしています。動的ルーティングを使用する Classic VPN トンネルは、Classic VPN ゲートウェイが Compute Engine VM 内で実行されている VPN ゲートウェイ ソフトウェアに接続する場合にのみ使用できます。

動的ルーティングでは、Border Gateway Protocol(BGP)が使用されます。

動的(BGP)ルーティング

動的ルーティングでは、Cloud Router を使用し、BGP によってルート交換を自動的に管理します。この交換は、対応する Cloud VPN トンネルと同じリージョンにある Cloud Router の BGP インターフェースによって管理されます。ルートの追加と削除は Cloud Router により行われ、トンネルの削除と再作成は必要ありません。

VPC ネットワークの動的ルーティング モードにより、そのネットワークにあるすべての Cloud Router の動作が制御されます。このモードによって、ピア ネットワークから学習したルートが、VPN トンネルと同じリージョン内の Google Cloud リソースに適用されるか、すべてのリージョンに適用されるかが決定されます。管理者は、ピアルーターまたはゲートウェイによってアドバタイズされたルートを制御します。

また、動的ルーティング モードでは、ピアのルーターまたはゲートウェイが共有するサブネット ルートの範囲をトンネルのリージョンに限定するのか、すべてのリージョンにするのか決まります。これらのサブネット ルートに加えて、Cloud Router にカスタム ルート アドバタイズを構成できます。

静的ルーティング

Classic VPN トンネルは、ポリシーベースおよびルートベースの静的ルーティング オプションをサポートしています。静的ルーティング オプションは、動的(BGP)ルーティングや HA VPN を使用できない場合にのみ使用してください。

  • ポリシーベースのルーティング。ローカル IP 範囲(左側)とリモート IP 範囲(右側)は、トンネル作成プロセスの一部として定義します。

  • ルートベースの VPN。Google Cloud Console を使用してルートベースの VPN を作成する場合は、リモート IP 範囲のリストのみを指定します。これらの範囲は、ピアリソースに VPC ネットワーク内のルートを作成する場合にのみ使用されます。

この 2 つの静的ルーティング オプションの詳細については、次のセクションで説明します。

トラフィック セレクタ

トラフィック セレクタは、VPN トンネルを確立するために使用される一連の IP アドレス範囲または CIDR ブロックを定義します。これらの範囲は、トンネルの IKE ネゴシエーションの一部として使用されます。文献によっては、トラフィック セレクタは「暗号化ドメイン」とも呼ばれています。

トラフィック セレクタには次の 2 種類があります。

  • ローカル トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、ローカル IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルに対して、ローカル トラフィック セレクタは VPC ネットワークのサブネット用にプライマリとセカンダリのサブネット CIDR のセットを定義し、トンネルの「左側」を表します。

  • リモート トラフィック セレクタは、VPN トンネルを発信する VPN ゲートウェイの観点から、リモート IP 範囲(CIDR ブロック)のセットを定義します。Cloud VPN トンネルの場合、リモート トラフィック セレクタは右側またはピア ネットワークになります。

トラフィック セレクタは、IKE handshake を確立するために使用される VPN トンネルの本質的な部分です。ローカルまたはリモートのいずれかの CIDR を変更する必要がある場合は、Cloud VPN トンネルと、それに対応するピアのトンネルを破棄して再作成する必要があります。

ルーティング オプションとトラフィック セレクタ

ローカルおよびリモートのトラフィック セレクタの IP 範囲(CIDR ブロック)の値は、Cloud VPN トンネルで使用されるルーティング オプションによって異なります。

HA VPN トンネル
トンネル
ルーティング オプション
ローカル
トラフィック セレクタ
リモート
トラフィック セレクタ
VPC ネットワークへの
ルート
ピア ネットワークへの
ルート
動的(BGP)ルーティング
必要
常に次のとおり
IPv4(シングルスタック)の場合は 0.0.0.0/0
IPv4 と IPv6(デュアルスタック)の場合は 0.0.0.0/0,::/0、IPv6(シングルスタック)の場合は ::/0
常に次のとおり
IPv4(シングルスタック)の場合は 0.0.0.0/0
IPv4 と IPv6(デュアルスタック)の場合は 0.0.0.0/0,::/0、IPv6(シングルスタック)の場合は ::/0
カスタム アドバタイズによって変更されない限り、Cloud VPN トンネルの BGP インターフェースを管理する Cloud Router は、ネットワークの動的ルーティング モードCloud Router の割り当てと上限に従って、VPC ネットワーク内のサブネットへのルートを共有します。 Cloud VPN トンネルの BGP インターフェースを管理している Cloud Router は、カスタムルートに関する制限と、Cloud Router の割り当てと上限に従って、ピア VPN ゲートウェイによって送信されたルートを学習し、カスタム動的ルートとしてルートを VPC ネットワークに追加します。
Classic VPN トンネル
トンネル
ルーティング オプション
ローカル
トラフィック セレクタ
リモート
トラフィック セレクタ
VPC ネットワークへの
ルート
ピア ネットワークへの
ルート
動的(BGP)ルーティング 常に
0.0.0.0/0
常に
0.0.0.0/0
カスタム アドバタイズによって変更されない限り、Cloud VPN トンネルの BGP インターフェースを管理する Cloud Router は、ネットワークの動的ルーティング モードと Cloud Router の割り当てと上限に従って、VPC ネットワーク内のサブネットへのルートを共有します。 Cloud VPN トンネルの BGP インターフェースを管理している Cloud Router は、カスタムルートに関する制限と、Cloud Router の割り当てと上限に従って、ピア VPN ゲートウェイによって送信されたルートを学習し、カスタム動的ルートとしてルートを VPC ネットワークに追加します。
ポリシーベース ルーティング 構成可能。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
必須。
ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
VPC ネットワーク内のサブネットへのルートをピアルーター上に手動で作成して管理する必要があります。 Google Cloud コンソールでポリシーベースの VPN トンネルを作成すると、カスタム静的ルートが自動的に作成されます。gcloud CLI でトンネルを作成する場合は、追加の gcloud コマンドを使用して、ルートを作成する必要があります。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。
ルートベースの VPN 常に
0.0.0.0/0
常に
0.0.0.0/0
VPC ネットワーク内のサブネットへのルートをピアルーター上に手動で作成して管理する必要があります。 Google Cloud コンソールでルートベースの VPN トンネルを作成すると、カスタム静的ルートが自動的に作成されます。gcloud CLI でトンネルを作成する場合は、追加の gcloud コマンドを使用して、ルートを作成する必要があります。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。

ポリシーベースのトンネルとトラフィック セレクタ

このセクションでは、ポリシーベースの Classic VPN トンネルを作成する際のトラフィック セレクタに関する特別な考慮事項について説明します。この内容は、他の種類の Classic VPN トンネルや HA VPN トンネルには適用されません。

ポリシーベースの Cloud VPN トンネルを作成する際は、そのローカル トラフィック セレクタを指定できます。

  • カスタム ローカル トラフィック セレクタ。ローカル トラフィック セレクタは、VPC ネットワーク内のサブネットのセット、または VPC ネットワーク内の選択したサブネットの IP 範囲を含む内部 IP アドレスのセットとして定義できます。IKEv1 では、ローカル トラフィック セレクタは単一の CIDR に制限されます。

  • カスタムモードの VPC ネットワーク。内部 IP アドレスの範囲で構成されるカスタム ローカル トラフィック セレクタを指定する必要があります。

  • 自動モードの VPC ネットワーク。指定しない場合、ローカル トラフィック セレクタは、Cloud VPN トンネルと同じリージョンに自動的に作成されたサブネットのプライマリ IP 範囲(CIDR ブロック)になります。自動モードの VPC ネットワークには、IP 範囲が明確に定義されたリージョンごとに 1 つのサブネットがあります。

  • レガシー ネットワーク。指定されていない場合、ローカル トラフィック セレクタは、レガシー ネットワークからなる RFC 1918 IP アドレス範囲全体として定義されます。

ポリシーベースの Cloud VPN トンネルを作成する際は、リモート トラフィック セレクタを指定します。Google Cloud コンソールで Cloud VPN トンネルを作成すると、リモート トラフィック セレクタの CIDR に対応する宛先を持つカスタム静的ルートが自動的に作成されます。IKEv1 では、リモート トラフィック セレクタは単一の CIDR に制限されます。方法については、静的ルーティングを使用する Classic VPN の作成をご覧ください。

トラフィック セレクタに関する重要な考慮事項

Cloud VPN のポリシーベースのトンネルを作成する前に、次の点について検討してください。

  • ほとんどの VPN ゲートウェイでは、パケットの送信元 IP アドレスがトンネルのローカル トラフィック セレクタに適合し、パケットの宛先 IP アドレスがトンネルのリモート トラフィック セレクタに適合する場合にのみ、VPN トンネルを介してトラフィックが通過できます。一部の VPN デバイスでは、この要件は適用されません。

  • Cloud VPN ではトラフィック セレクタの CIDR 0.0.0.0/0 または ::/0(任意の IP アドレス)がサポートされます。ピア VPN ゲートウェイでもサポートされるかについては、ピア VPN ゲートウェイに付属のドキュメントをご確認ください。両方のトラフィック セレクタを 0.0.0.0/0 または ::/0 に設定してポリシーベースの VPN トンネルを作成した場合、機能的にはルートベースの VPN を作成した場合と同じになります。

  • Cloud VPN での IKEv1 と IKEv2 プロトコルの実装方法については、トラフィック セレクタごとに複数の CIDR を指定をご覧ください。

  • Cloud VPN では、VPN の作成後にトラフィック セレクタを編集できません。Cloud VPN トンネルのローカルまたはリモートのトラフィック セレクタを変更するには、トンネルを削除してから再作成する必要があります。ただし、Cloud VPN ゲートウェイを削除する必要はありません。

  • 自動モードの VPC ネットワークをカスタムモードの VPC ネットワークに変換する場合、Cloud VPN トンネル(ゲートウェイではない)の削除と再作成が必要になることがあります。たとえば、カスタム サブネットの追加、自動作成されたサブネットの削除、サブネットのセカンダリ IP 範囲の変更など行う場合に、このような状況になる可能性があります。既存の Cloud VPN トンネルを含む VPC ネットワークではモードを切り替えないでください。推奨事項については、自動モードの VPC ネットワークに関する考慮事項をご覧ください。

VPN の動作に一貫性があり、予測可能な状態になるように、次のことを行ってください。

  • ローカルとリモートのトラフィック セレクタはできるだけ具体的にします。

  • Cloud VPN のローカル トラフィック セレクタは、ピア VPN ゲートウェイ上の対応するトンネル用に構成されたリモート トラフィック セレクタと同じにします。

  • Cloud VPN リモート トラフィック セレクタは、オンプレミス VPN ゲートウェイ上の対応するトンネル用に構成されたローカル トラフィック セレクタと同じにします。

トラフィック セレクタごとに複数の CIDR を指定

ポリシーベースの Classic VPN トンネルを作成する場合、IKEv2 を使用すると、トラフィック セレクタごとに複数の CIDR を指定できます。Cloud VPN では、IKE バージョンに関係なく常に単一の子セキュリティ アソシエーション(SA)が使用されます。

次の表は、Cloud VPN がポリシーベースの VPN トンネルで、トラフィック セレクタごとに複数の CIDR を指定することをサポートしているかどうかをまとめたものです。

IKE バージョン トラフィック セレクタごとに複数の CIDR を指定
IKEv1

×

IKEv1 プロトコルでは、RFC 2407 と RFC 2409 の定義に従い、子 SA ごとに CIDR が 1 つだけサポートされます。Cloud VPN では VPN トンネルごとの子 SA は 1 つである必要があるため、IKEv1 を使用する場合は、ローカル トラフィック セレクタとリモート トラフィック セレクタのそれぞれについて、CIDR を 1 つだけ指定できることになります。

Cloud VPN では、IKEv1 を使用する VPN トンネルで複数の子 SA(それぞれに CIDR が 1 つある)を持つものは作成できません。

IKEv2 Yes, if the following conditions are met:
  • ピア VPN ゲートウェイで単一の子 SA が使用されている。ローカル トラフィック セレクタのすべての CIDR とリモート トラフィック セレクタのすべての CIDR は、単一の子 SA に含まれている必要があります。
  • 構成した CIDR の数が原因で IKE プロポーザル パケットが Cloud VPN の最大 MTU である 1,460 バイトを超えることはない。IKE プロポーザルがこの MTU を超えると Cloud VPN トンネルは確立されません。
  • オンプレミス ゲートウェイでサポートされている CIDR の数に関する制限を超えていない。詳細については、ゲートウェイのベンダーのドキュメントをご覧ください。

作成する IKE プロポーザル パケットが最大 MTU を超えないよう、トラフィック セレクタごとに使用する CIDR の数を 30 以下にすることをおすすめします。

トラフィック セレクタ戦略

オンプレミス VPN ゲートウェイで VPN トンネルごとに複数の子 SA が作成される場合、またはトラフィック セレクタごとに複数の CIDR が指定されているために IKEv2 での IKE プロポーザルが 1,460 バイトを超えた場合、次の戦略の導入を検討してください(詳しくは、ルーティング オプションとトラフィック セレクタをご覧ください)。

  1. VPN トンネルの動的ルーティングを使用します。ピア VPN ゲートウェイが BGP をサポートしている場合は、VPN トンネルにローカルとリモートの両方のトラフィック セレクタを構成して、任意の IP アドレスを許可します。IPv4 にのみ 0.0.0.0/0 を使用するか、IPv4 と IPv6 トラフィックに 0.0.0.0/0,::/0 を使用します。ピア VPN ゲートウェイと Cloud VPN トンネルに関連付けられた Cloud Router との間でルートが自動的に交換されます。動的ルーティングを使用できる場合は、HA VPN を検討してください。

  2. 範囲の広い単一の CIDR トラフィック セレクタと静的トンネル ルーティングを使用します。

    • ルートベースの VPN を使用します。両方のトラフィック セレクタは、ルートベース VPN の定義により 0.0.0.0/0 になります。トラフィック セレクタよりも具体的なルートを作成できます。

    • ポリシーベース ルーティングを使用し、できる限り範囲が広くなるようにローカルとリモートのトラフィック セレクタを構成します。ポリシーベースの Cloud VPN トンネルでは、リモート トラフィック セレクタ内の CIDR よりも具体的な宛先を持つ VPC ネットワーク内のオンプレミス ネットワークへのルートを作成できます。静的ルーティングを使用する Classic VPN の作成の手順で、gcloud CLI を使用して VPN トンネルとは別にルートを作成します。

  3. ポリシーベース ルーティングを使用して複数の Cloud VPN トンネルを作成します。これにより、各トンネルにローカル トラフィック セレクタ用の CIDR ブロックと、リモート トラフィック セレクタ用の CIDR ブロックをそれぞれ 1 つだけ作成するようにします。オンプレミスの対応するトンネルも同様の方法で構成します。Cloud VPN ではゲートウェイごとに複数のトンネルを使用できます。ただし、複数のトンネルを使用することでいくつかの影響が生じます。

    • ピア VPN ゲートウェイは、各 Cloud VPN トンネルが接続できる、個別の外部 IP アドレスを用意する必要があります。同じ Classic VPN ゲートウェイ上のトンネルは、それぞれを固有のピア ゲートウェイ IP アドレスに接続しなければなりません。ピア VPN ゲートウェイでも、トンネルを固有の IP アドレスに接続しなければならない可能性があります。場合によっては、Cloud VPN トンネルごとに個別の Cloud VPN ゲートウェイを作成する必要があります。
    • Google Cloud コンソールを使用してルートベースまたはポリシーベースの Cloud VPN トンネルを作成すると、トンネルに加えてピア ネットワークへのルートも自動的に作成されます。同じリモート トラフィック セレクタを使用する複数の VPN トンネルに対して自動的にルートが作成される場合は(ルートベースの VPN を作成した場合など)、同じ宛先でネクストホップが異なる複数のルートが VPC ネットワーク内に作成される可能性があります。この場合、ルートの適用範囲と順序に従ってトラフィックが VPN トンネルに配信されるため、予測不能で想定外の動作につながることがあります。動的(BGP)トンネル ルーティングを使用しない場合は、VPC ネットワークとピア ネットワークの両方で静的ルートを作成して確認します。

次のステップ

  • Cloud VPN の基本コンセプトについて確認する。Cloud VPN の概要をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。