Google Cloud Platform (GCP)への冗長VPNトンネルのセットアップ

GCPは最近、VPNゲートウェイのための新しい冗長化オプションをリリースしました。 冗長VPNゲートウェイを選択すると、最大の回復力を提供するために2つのIPアドレスが提供されます。 どのトンネルがアクティブであるかを監視するためには、BGPの有効化が必要です。

これは、GCPへの最も回復力のある接続のためのCatoの推奨です。

ステップ 1

Cato管理画面で、ネットワーク > IPの割り当てに移動します。 GCPサイトの新しいPoPロケーションを選択します。 割り当てられたIPアドレスは右側に表示されます。 IPアドレスをメモしておいてください。GCPの設定で入力する必要があります。

ステップ 2

GCPで、ハイブリッド接続 → VPN → クラウドVPNゲートウェイに移動します。新しいVPNゲートウェイを作成します:

mceclip1.png

次に詳細を入力します:

  • 名前 - ゲートウェイの識別可能な名前

  • VPCネットワーク - これはあなたのVPCです

  • 地域 - ゲートウェイを作成したい地理的地域

2つのIPアドレスが作成されることを注意してください:

mceclip3.png

ステップ 3

ピアVPNゲートウェイに移動し、新しいVPNゲートウェイを作成します。 インターフェースセクションで2つのインターフェースを選択することを確認してください。

mceclip4.png

  • Interface 0 IP address: type in the IP of the primary PoP IP (step 1)

  • Interface 1 IP address: type in the IP of the backup PoP IP (step 1)

ステップ 4

今、BGPピアリングを管理するクラウドルーターを作成する必要があります。 どのトンネルがアクティブで、どれがバックアップかを優先させるためにBGPが必要です。

ハイブリッド接続 → クラウドルーターに進み、新しいルーターを作成します。

Google ASNにはプライベートASNの値(RFC 1918):64512~65535を使用します。

ステップ 5

VPNセクションに戻り、クラウドVPNゲートウェイを選択します。 最近作成したVPNゲートウェイをクリックし、VPNトンネルの追加を選択します。 ピアVPNゲートウェイでは、VPNピア(Catoポップ)を選択し、高可用性の下でVPNトンネルのペアを作成するが選択されていることを確認します。 クラウドルーターで、最近作成されたクラウドルーターを選択します。

今、最下部で、2つのVPNトンネルを編集するように強制されます。 それぞれのトンネルをクリックし、詳細を入力します:

mceclip5.png

各トンネルの名前(マスター/バックアップ)を入力し、プレシェアードキーを選択します。

完了したら、ウィザードがBGPの設定を確認します。 各トンネルに対して関連するBGP設定を行います:

  • 名前 - BGPピアリングのための名前

  • ピアASN - Cato側に割り当てたいBGP ASN

  • MED - プライマリトンネルには100、バックアップには110

  • クラウドルーターBGP IP - GCP側のルーターIP

    • 169.254.0.0/16内で同じ/30 CIDRに属する必要があります

    • それらの/30ネットワークでブロードキャストまたはネットワークIPアドレスを使用できません

  • BGPピアIP - Cato側のルーターIP

ステップ6

Cato管理画面に戻りIPsec IKEv2サイトタイプを作成します(ネットワーク > サイトを選択し新規をクリック)。 以下のサイト設定を使用します:

IPsec IKEv2セクション

  • サービスタイプ: 一般的なを選択します。

  • プライマリ/セカンダリ送信元(出力)IP: ステップ1で割り当てられたIPアドレスを選択します。

  • プライマリ/セカンダリ送信先IP: GCPからのクラウドVPNゲートウェイIPアドレスを入力します。

  • プライマリ/セカンダリパスワードの設定/変更: 各トンネルに指定したプレシェアードキーを入力します。

BGP

  • マスターとバックアップ用に2つのBGPピアを作成します。

  • ネイバーASNとIPはGCPで設定された通りにします。

  • メトリック: マスターにはBGP100、バックアップには110を指定します。

  • ホールドタイムおよびキープアライブの間隔はそれぞれ30と10に変更できます。

  • ルーティング - GCPからすべてのルートを承認しません。 GCPの背後にあるサブネットは、通常のCatoサイトと同様にネットワークセクションで設定する必要があります。 広告用には、デフォルトルート(1つの0.0.0.0/0ルート - Cato上のWAN + インターネット)とすべてのルート(GCPにアドバタイズされるアカウント内のすべてのネットワーク - WANトラフィックのみ)の間で選択できます。

ステップ 7

Cato管理画面で設定を保存した直後、GCPのクラウドVPNトンネル内の2つのトンネルのBGPとVPNで確立の状態が表示されるはずです:

mceclip7.png

この記事は役に立ちましたか?

5人中5人がこの記事が役に立ったと言っています

0件のコメント