ローカルネットワーク環境ではよく本社と支店などでネットワークを組む為にVPNで接続しシームレスに各ネットワークリソースにアクセスするような場面がありました。GCPで構築したインスタンスをグローバルなインターネットには公開せず、ローカルネットワークとVPNを繋ぐにはどういった方法があるか、またその設定を今回から解説していきます。
概要
GCPには色々なネットワーク接続オプションは存在しますが、代表的なものとして2つのVPNソリューションがあります。本ブログでは代表的なClassic VPNとHA VPN (High Availability VPN)について解説を進め、実際の設定方法なども書いていきます。今回はClassic VPNとHA VPNの特徴とその比較についてとなります
1. Classic VPNとは?
Classic VPNは、Google Cloud Platform(GCP)の古典的なVPNソリューションで、オンプレミスネットワークとGCPのVPCネットワークを安全に接続します。ローカル環境でも多く利用されている形態で、既に所有しているローカルルーターでも対応出来る物が多い方式となります。以下にClassic VPNの主な特徴を詳しく解説します。
・暗号化とセキュリティ
Classic VPNはIPsec(Internet Protocol Security)を使用して通信を暗号化します。過去を含め多くの市販のVPNルーターが利用可能な方式でデータがネットワーク上で安全に転送されます。IPsecは認証、暗号化、およびデータ整合性のためのセキュリティプロトコルを提供します。
・単一トンネル
VPNではトンネルと呼ばれる専用の通信網を構築する訳ですが、Classic VPNは単一のVPNトンネルを提供します。 このトンネルで使用中のVPNルーターとGCPのVPCネットワークを接続します。 単一トンネルの設定はシンプルで多くの市販VPNルーターは対応しています。
・手動構成
Classic VPNではVPNゲートウェイとローカルネットワークのVPNデバイスの手動構成が必要です。つまり設定を行う際にユーザーが明示的に各パラメータを指定する必要があります。
2. HA VPN(High Availability VPN)とは?
HA VPN(High Availability VPN)は、Google Cloud Platform(GCP)のセキュリティサービスの一部で、99.99%のSLAを持つ高可用性のVPNサービスです。SLAとはService Level Agreementの略で、サービスの提供事業者とその利用者の間で結ばれる、サービスのレベル(定義、範囲、内容、達成目標等)に関する合意サービス水準、サービス品質保証などと訳されます。
以下にHA VPNの主な特徴を詳しく解説します。
・高可用性、冗長性
Classic VPNではトンネルは単一と説明しましたが、HA VPNは2本以上のトンネル網を構築し、たとえ一方が障害を発生させてももう一方が引き継ぎネットワーク接続を維持します。これによりネットワークの可用性が向上し、ネットワーク接続の中断を最小限に抑えることができます。HA VPNでは最大で2000本のVPNトンネルをサポートします。
・ダイナミックルーティング
HA VPNはBGP(Border Gateway Protocol)を使用してダイナミックルーティングをサポートします。BGPは業務用ルーターでは対応する物も多く、ある程度規模が大きな拠点間ネットワークを構築しているケースでよく利用されています。
BGPは自動的にルーティングテーブルを交換することが可能で、ネットワークの拡張や変更があっても手動で更新する必要はありません。
まとめ
Classic VPNは対応機器も多くとりあえずのスタートとしては始めやすい方法と言えますが、大規模なネットワークには向かず可用性も低いものとなります。HA VPNは可用性は高く、ネットワーク障害児にも高い確率で接続を維持します。対応しているトンネル数も多く、オンプレとGCPだけでなくGCPとAWS等の接続にも利用可能です。
次回からは、実際のローカル側とGCP側の構築方法について解説をしていきます。