本記事ではインターネット上にも情報の多くない「 Google Cloud VPN」についてわかりやすく解説しています。概要、VPCやファイアウォールを設定する方法、2つの種類、料金などを説明しています。 Google Cloud VPNの活用を検討している方は、ぜひ参考にしてみてください。
Google Cloud VPNとは?安全性についても解説
Google Cloudを使用したVPNとは、どのようなものでしょうか。概要と安全性について、解説します。
そもそもVPNとは
VPNとは「Virtual Private Network」の略称で、本社と支社、支社とリモートワークをする自宅など、拠点間を仮想的に閉域網で接続する技術です。そのため、日本語に訳すと「仮想専用線」と呼ばれます。具体的には送信側、受信側にそれぞれ機器を設置して「カプセル化」と呼ばれる処理を行うことによって、第三者には見えない仮想的なトンネルを作り通信します。距離によってコストが変化しないため、拠点が多い企業であってもコストを抑えた運用が可能です。基本的にネットワークが異なる機器同士はグローバルIPアドレスを付与しなければなりません。しかし、VPN接続されていれば、プライベートIPアドレスを使用して機器間の通信が行えます。
Google Cloud VPNの概要
Google Cloudとは「Google Cloud Platform」の略称で、Googleが提供するクラウドサービスの総称です。従量課金制のため、一定の容量までは無料で使用できます。また、通常のインターネットよりもセキュリティ性を高くデータを送受信できます。 Google Cloudを使用したVPNとは、 Google CloudのVPCとオンプレミス環境などとをVPNで接続することです。CUIでも、ブラウザを使用してGUI上でも設定が可能です。なお、CUIとは、ユーザーインターフェースの1つで、やりとりを文字のみで行う方式のことを指します。GUIもユーザーインターフェースの1つですが、視覚的に捉えられ直感的に操作できる方式です。HA VPNとClassic VPNの2つの種類にわけられます。
Google Cloud VPNの安全性
ネットワーク間のトラフィックは片方のVPN ゲートウェイで暗号化され、もう片方のVPN ゲートウェイで復号されます。この処理を行うことで、ネットワーク上でデータを送受信する場合もデータが保護されます。
Google Cloud VPNの特徴はIPsecのEPSトンネルモードを使用すること
IPsecにおけるEPSトンネルモードを使用し、サイト to サイトVPNをサポートしています。鍵交換においては、IKEv1とIKEv2をサポートしています。IKEv1はIPsec通信をする場合に使用する暗号鍵を生成するために必要な鍵交換プロトコルで、IKEv2は拡張プロトコルのことです。IKEv1とIKEv2に、互換性はありません。IKEv2は高度な認証を行えます。
Google Cloud VPNはIPsec のみをサポートする仕様
クライアントPCがクライアントのVPNソフトウェアを使用して、VPNにダイヤルインするようなユースケースはサポートされていません。IPsec のみをサポートしています。VPCネットワークで使用する場合は、カスタムモードのVPC ネットワークを選択すると、IPアドレスの範囲を完全に制御可能です。HA VPNゲートウェイとClassic VPNはどちらも、外部のIPv4 アドレスを使用します。どちらのVPNゲートウェイも、別の Google Cloud VPNゲートウェイ、またはピアVPN ゲートウェイに接続されます。ピア VPNゲートウェイには静的外部のIPv4 アドレスが欠かせず、 Google Cloud VPNを構成するには、このIP アドレスが必要です。事前分割をサポートするようにピアVPNゲートウェイを構成しなければなりません。
Google Cloud VPNの料金
料金は変動する場合があるため、確認が必要です。安全な通信経路を作成するCloud VPNゲートウェイは時間ごとに料金がかかり、1時間あたり0.075ドルとなっています。IPsec トラフィックは月間の使用料がかかり、1GBあたり0.15〜0.19ドルです。外部 IP アドレスは時間ごとに料金がかかり、1時間あたり0.004ドルとなっています。
Google Cloud上でVPCを設定する方法
Google Cloud VPCの特徴や、 Google Cloud上でVPC・サブネットを設定するにはどのようにすればよいのでしょうか。それぞれ解説します。
Google Cloud VPCの特徴
VPCとは、プライベートな仮想ネットワーク群のことです。一般的なクラウドサービスのVPCは単一のリージョンにVPCを作るが、 Google Cloudはリージョンに跨っています。
Google Cloud VPC・サブネットの設定
VPCの名前の欄には、任意の名前を入力します。サブネットの名前の欄には任意の名前、リージョンの欄には任意のリージョン、IPアドレス範囲には任意の範囲を選択・指定します。
Google Cloud上でファイアウォールのルールを設定する手順
管理コンソール > VPCネットワーク > ファイアウォール > + ファイアウォールを作成へと進み、VMインスタンスへのSSH用となるルール1と、VPN接続後の確認用となるルール2の2つを作ります。 Google Cloudにおいて、 Google Cloudから外側への通信はデフォルトのままで許可されます。名前、ネットワーク、優先度、トラフィックの方向、一致したときのアクション、ターゲット、ソースフィルタについては違いはありません。ただし、送信元IPv4範囲はルール1が「0.0.0.0/0」、ルール2が「172.16.0.0/24」です。プロトコルとポートはルール1がTCPを選択して「22」と入力し、ルール2がその他のプロトコルを選択して「icmp」と入力します。
Google Cloud VPNのサービス「HA VPN」
Google Cloud VPNのサービスであるHA VPNとは、どのようなものでしょうか。概要や可用性、適した環境について解説します。
HA VPNの概要
High Availability(高可用性) VPNの略称です。単一リージョン内の IPsec VPN 接続を使用することで、オンプレミスネットワークやIPsec VPN接続可能なクラウドサービスと、VPC ネットワークとを安全に接続できます。SSL-VPNは、サポートされていません。2つのインターフェースに対して1つずつ、合計2つの外部IPアドレスを自動的に選択して、99.99%ものサービス可用性のSLA(サービス品質保証)を提供します。
HA VPNのサービス可用性が99.99%となる要件
HA VPNのサービス可用性が99.99%となるためには下記の要件を満たす必要があります。
- HA VPN ゲートウェイからピアゲートウェイに接続した場合は、Google Cloud 側の接続のみ可用性が99.90%保証されます。
- オンプレミスネットワークやIPsec VPN接続可能なクラウドサービス側などもう一方の接続を保証するためには、ピアVPNゲートウェイにおいて適切な構成を行う必要があります。
- 双方がGoogle Cloudゲートウェイにおいて適切な構成となっている場合、可用性が99.99%保証されます。
- Google Cloud と接続するもう一方のサービスのVPN ゲートウェイがVPC ネットワーク内にある場合は、2つのHA VPNゲートウェイを使用し、その双方を同じリージョンに配置しなければなりません。
参照元:Google Cloud 公式ドキュメント|Cloud VPN の概要
HA VPNに適した環境
HA VPNに適した環境としては、Google Cloudにプライベート接続したい場合や、データ通信に必要とされる帯域が12Gbpsより少ない場合、通信速度は最大限の努力をした速度でよい場合、低コストと99.99%の可用性とを両立したい場合が当てはまります。そのため大規模な環境でなければ、多くの場合当てはまることになります。
Google Cloud VPNのサービス「Classic VPN」
HA VPNが誕生する以前に作成されたCloud VPNゲートウェイはすべて、Classic VPNゲートウェイとして扱われます。Classic VPNゲートウェイには、1つのインターフェース、そして1つの外部IPアドレスがあります。IPsec-VPNであり、SSL-VPNはサポートされていません。ただしIPv6 をサポートしておらず、特定の機能が非推奨となります。そのためできる限り、Classic VPN から HA VPNへの移行がおすすめされています。
Google Cloud VPNはネットワーク上に仮想の専用線を構築し安全な通信を実現する技術
Google Cloud VPNとは、オンプレミス環境などのローカル環境と Google CloudのVPCとの間でVPNを構築することです。HA VPNとClassic VPNの2つの種類にわけられ、新しい方式であるHA VPNが推奨されています。料金は時間あたりや月額あたりでかかり、変動することがあるため確認しなければなりません。
株式会社電算システムでは資料をとおして、「データ」をもとに「勘」と「経験」を組み合わせて意思決定を行う「データドリブン経営」を、GoogleのBigQuery を使い実現するための方法を伝えています。少しでも興味があればまずはフォームに記入のうえ、資料をダウンロードしてはいかがでしょうか。
