Google Cloud VPN

このチュートリアルでは、Cloudflare Magic WANとGCP Cloud VPNの間でIPsec VPNを構成する方法についての情報と例を提供します。

前提条件

GCPアカウントにGCP VPNゲートウェイが作成されている必要があります。これは、GCPの仮想プライベートクラウド（VPC）とCloudflare Magic WANの間でトラフィックをルーティングするために必要です。Cloud VPNゲートウェイの作成については、GCPドキュメント ↗を参照してください。

静的ルーティングをサポートするためには、Classic VPN Gatewayが必要です。VPNとCloudflare Magic WANの間のルーティングを機能させるために、ルートテーブルも手動で構成する必要があります。GCP VPCルーティングについては、GCPルーティングオプション ↗を参照してください。

Google Cloud Platform

GCP Cloud VPNゲートウェイの作成

1. Network Connectivity > VPNに移動します。
2. Cloud VPN Gatewaysタブを選択し、Create VPN Gatewayをクリックします。
3. ゲートウェイに説明的な名前を付けます。
4. このCloud VPN Gateway（VPC）に接続するネットワークを選択します。
5. このCloud VPN Gatewayを配置するリージョンを選択します。
6. このゲートウェイを通過するIPトラフィックタイプとしてIPv4を選択します。

ノート

Cloudflare Magic WANは、まだIPv6を介したプライベートルーティングをサポートしていません。

VPN接続の構成

1. Network Connectivity > VPNに移動します。
2. Cloud VPN Tunnelsタブを選択し、Create VPN Tunnelをクリックします。
3. 作成したVPN Gatewayを選択し、Continueをクリックします。
4. トンネルに説明的な名前を付けます。
5. Remote Peer IP Addressには、アカウントチームから提供されたパブリックAnycast Magic WAN IPの1つを使用します。
6. IKE versionでは、IKEv2を選択します。
7. IKEの事前共有キーを生成するか、既に所有しているものを追加します。このセットアップ中に生成した場合は、Magic WANとGCPの設定を完了するために必要になるので、安全な場所に保管してください。
8. ルーティングオプションとしてRoute-basedを選択します。
9. Remote network IP rangeでは、Cloudflare Magic WANを介してGCPに公開するネットワークを定義します。

ノート

VPNオブジェクトが作成された後に新しいIP範囲を追加できます。それらは、このVPN接続を使用してVPCルートとして作成する必要があります（Static Routesセクションを参照）。

10. 2つ目のCloudflare Anycast IPを使用して同じプロセスを繰り返します。

静的ルート

静的ルーティングは、VPNとCloudflare Magic WANの間でトラフィックをルーティングするために必要です。VPCのためにそれらを作成する手順は以下の通りです。VPNルーティングについては、VPNルートドキュメント ↗を参照してください。

1. VPN Network > Routesに移動します。
2. Route Managementを選択します。
3. ルートを作成します。
4. そのルートに使用するVPCネットワークを選択します。
5. Route typeでは、Static Routingを選択します。
6. IP Versionでは、IPv4を選択します。
7. Destination IPv4 Rangeで、VPNに公開したいネットワークを構成します。
8. 静的ルートの優先度を選択します。
9. （オプション）特定のインスタンスタグにそのルートをリンクすることができ、影響を受けるインスタンスのみがそのルートを使用します。
10. Next hopでは、以前に作成したVPNトンネルを選択します。
11. Createを選択します。

Magic WAN

上記のようにCloud VPNゲートウェイVPNとトンネルを構成した後、Cloudflareダッシュボードに移動し、Magic WAN側で対応するIPsecトンネルと静的ルートを作成します。

IPsecトンネル

1. Add tunnelsを参照して、IPsecトンネルを追加する方法を学びます。IPsecトンネルを作成する際には、以下の設定を定義することを確認してください：
   • Tunnel name: tunnel01
   • Interface address: IPsecトンネル内部の/30CIDRブロック。例えば、169.254.244.2。
   • Customer endpoint: GCP VPNトンネルの外部IPアドレス。例えば、35.xx.xx.xx。
   • Cloudflare endpoint: 2つのAnycast IPの最初のものを入力します。
   • Pre-shared key: Use my own pre-shared keyを選択し、GCP VPNトンネル用に作成したPSKを入力します。
   • Health check type: Replyを選択します。
   • Health check destination: customを選択し、トンネルのインターフェースアドレスに対応するIPを設定します。
   • Health check direction: Bidirectionalを選択します。
   • Replay protection: Enabledを選択します。
2. Saveを選択します。
3. tunnel02についても上記の手順を繰り返します。同じプレフィックスを選択しますが、Tunnel/Next hopには2つ目のIPsecトンネルを選択します。

ノート

トンネルのヘルスチェック構成をカバーするために、対応するGCP VPCにルートを作成することを忘れないでください。ルートのサブネットは、Magic WANトンネルのインターフェースアドレスCIDR（上記の例では169.254.244.2）と一致する必要があります。

新しく作成したトンネルに向かうVPCルートの作成方法については、Static Routesセクションを参照してください。

静的ルート

Magic WANの静的ルートは、GCPの仮想プライベートクラウド内で作成した適切な仮想マシン（VM）サブネットを指す必要があります。例えば、VMのサブネットが192.168.192.0/26の場合、それを静的ルートのプレフィックスとして使用する必要があります。

静的ルートを作成するには：

1. Create a static routeを参照して、作成方法を学びます。
2. Prefixに、VMのサブネットを入力します。例えば、192.xx.xx.xx/24。
3. Tunnel/Next hopには、前のステップで作成したIPsecトンネルを選択します。
4. 作成した2つ目のIPsecトンネルについても同様の手順を繰り返します。