このページは Cloud Translation API によって翻訳されました。

Network Connectivity Center を使用したクロスクラウドネットワークの VPC 間接続

Last reviewed 2025-03-04 UTC

このドキュメントでは、 Google Cloudに Cross-Cloud Network の VPC 間ネットワークトポロジをデプロイするために使用できるリファレンスアーキテクチャについて説明します。このネットワーク設計により、オンプレミスデータセンターや他のクラウドサービスプロバイダ（CSP）などの外部ネットワークにソフトウェアサービスをデプロイできます。 Google Cloud

このドキュメントは、ネットワーク接続を構築するネットワーク管理者、クラウドアーキテクト、エンタープライズアーキテクトを対象としています。また、ワークロードのデプロイ方法を計画するクラウドアーキテクトも含まれます。このドキュメントは、ルーティングとインターネット接続に関する基本的な知識があることを前提としています。

この設計では、複数の外部接続、サービスとサービスアクセスポイントを含む複数のサービスアクセス Virtual Private Cloud（VPC）ネットワーク、複数のワークロード VPC ネットワークがサポートされます。

このドキュメントでは、サービスアクセスポイントという用語は、 Google Cloud プライベートサービスアクセスと Private Service Connect を使用して利用可能になったサービスのアクセスポイントを指します。Network Connectivity Center は、Google Cloudでのネットワーク接続管理のためのハブアンドスポークコントロールプレーンモデルです。ハブリソースは、Network Connectivity Center の VPC スポークの一元的な接続管理を提供します。

Network Connectivity Center ハブは、接続されているさまざまなスポークタイプ間でルートを学習して分散するグローバルコントロールプレーンです。通常、VPC スポークは、サブネットルートを一元化されたハブルートテーブルに挿入します。通常、ハイブリッドスポークは、集中型ハブルートテーブルに動的ルートを挿入します。Network Connectivity Center ハブのコントロールプレーン情報を使用して、 Google Cloudは Network Connectivity Center スポーク間でデータプレーン接続を自動的に確立します。

Google Cloudでスケーラブルな成長のために VPC を相互接続する場合は、Network Connectivity Center を使用することをおすすめします。トラフィックパスにネットワーク仮想アプライアンス（NVA）を挿入する必要がある場合は、動的ルートにルーターアプライアンスの機能を使用するか、VPC ネットワークピアリングとともに静的ルートまたはポリシーベースのルートを使用して VPC を相互接続します。詳細については、VPC ネットワークピアリングを使用した Cross-Cloud Network の VPC 間の接続をご覧ください。

アーキテクチャ

次の図は、ネットワークのアーキテクチャと、このアーキテクチャがサポートするさまざまなパケットフローの概要を示しています。

ドキュメントで説明されている 4 種類の接続。

このアーキテクチャには、次の要素が含まれています。

コンポーネント	目的	インタラクション
外部ネットワーク（オンプレミスまたは他の CSP ネットワーク）	ワークロード VPC とサービスアクセス VPC で実行されるワークロードのクライアントをホストします。外部ネットワークでサービスをホストすることもできます。	トランジットネットワークを介して Google Cloudの VPC ネットワークとデータを交換します。Cloud Interconnect または HA VPN を使用してトランジットネットワークに接続します。次のフローの一方の端を終了します。外部から外部外部からサービスへのアクセス External-to-Private-Service-Connect-consumer ワークロード外部
トランジット VPC ネットワーク（Network Connectivity Center のルーティング VPC ネットワーク）	外部ネットワーク、サービスアクセス VPC ネットワーク、ワークロード VPC ネットワークのハブとして機能します。	Cloud Interconnect、HA VPN、Network Connectivity Center を組み合わせて、外部ネットワーク、サービスアクセス VPC ネットワーク、Private Service Connect コンシューマーネットワーク、ワークロード VPC ネットワークを接続します。
サービスアクセス VPC ネットワーク	ワークロード VPC ネットワークまたは外部ネットワークで実行されているワークロードに必要なサービスへのアクセスを提供します。また、他のネットワークでホストされているマネージドサービスへのアクセスポイントも提供します。	トランジットネットワークを介して、外部ネットワーク、ワークロードネットワーク、Private Service Connect コンシューマネットワークとデータを交換します。HA VPN を使用してトランジット VPC に接続します。HA VPN が提供するトランジタビリティルーティングにより、外部トラフィックはサービスアクセス VPC ネットワークを介してマネージドサービス VPC に到達できます。次のフローの一方の端を終了します。外部からサービスへのアクセスワークロードからサービスへのアクセス Services-access-to-Private-Service-Connect-consumer
マネージドサービスの VPC ネットワーク	他のネットワークのクライアントに必要なマネージドサービスをホストします。	外部、サービスアクセス、Private Service Connect コンシューマ、ワークロードネットワークとデータを交換します。VPC ネットワークピアリングを使用するプライベートサービスアクセスを使用して、サービスアクセス VPC ネットワークに接続します。マネージドサービス VPC は、Private Service Connect またはプライベートサービスアクセスを使用して、Private Service Connect コンシューマ VPC に接続することもできます。他のすべてのネットワークからのフローの一方の端を終端します。
Private Service Connect コンシューマ VPC	他のネットワークからアクセス可能な Private Service Connect エンドポイントをホストします。この VPC はワークロード VPC の場合もあります。	トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービスアクセス VPC ネットワークとデータを交換します。Network Connectivity Center VPC スポークを使用して、トランジットネットワークと他のワークロード VPC ネットワークに接続します。
ワークロードの VPC ネットワーク	他のネットワークのクライアントが必要とするワークロードをホストします。このアーキテクチャでは、複数のワークロード VPC ネットワークを使用できます。	トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービスアクセス VPC ネットワークとデータを交換します。Network Connectivity Center VPC スポークを使用して、トランジットネットワーク、Private Service Connect コンシューマーネットワーク、その他のワークロード VPC ネットワークに接続します。次のフローの一方の端を終了します。ワークロード外部ワークロードからサービスへのアクセス Workload-to-Private-Service-Connect-consumer ワークロード間
Network Connectivity Center	Network Connectivity Center ハブには、任意のリージョンの VPC サブネットとハイブリッド接続のルートのネットワークコントロールプレーンとして機能するグローバルルーティングデータベースが組み込まれています。 Google Cloud	コントロールプレーンルーティングテーブルを使用するデータパスを構築して、任意の VPC とハイブリッドネットワークを任意のトポロジで相互接続します。

次の図は、コンポーネント間の 4 つの接続をハイライト表示したアーキテクチャの詳細を示しています。

ドキュメントで説明されている 4 種類のコンポーネント接続。

接続の説明

このセクションでは、上の図に示す 4 つの接続について説明します。Network Connectivity Center のドキュメントでは、トランジット VPC ネットワークをルーティング VPC と呼んでいます。これらのネットワークの名前は異なりますが、目的は同じです。

接続 1: 外部ネットワークとトランジット VPC ネットワークの間

外部ネットワークとトランジット VPC ネットワーク間のこの接続は、Cloud Interconnect または HA VPN を介して行われます。ルートは、トランジット VPC ネットワーク内の Cloud Router と外部ネットワーク内の外部ルーター間で BGP を使用して交換されます。

外部ネットワーク内のルータは、外部サブネットのルートをトランジット VPC Cloud Router にアドバタイズします。通常、特定のロケーションにある外部ルータは、他の外部ロケーションのルートよりも、同じ外部ロケーションからのルートを優先としてアドバタイズします。ルートの優先度は、BGP 指標と属性を使用して表すことができます。
トランジット VPC ネットワーク内の Cloud Router は、 Google Cloudの VPC 内のプレフィックスのルートを外部ネットワークにアドバタイズします。これらのルートは、Cloud Router のカスタムルートアドバタイズを使用して通知する必要があります。
Network Connectivity Center を使用すると、Google バックボーンネットワークを使用して、異なるオンプレミスネットワーク間でデータを転送できます。相互接続 VLAN アタッチメントを Network Connectivity Center ハイブリッドスポークとして構成する場合は、サイト間データ転送を有効にする必要があります。
同じ外部ネットワークプレフィックスをソースとする Cloud Interconnect VLAN アタッチメントは、単一の Network Connectivity Center スポークとして構成されます。

接続 2: トランジット VPC ネットワークとサービスアクセス VPC ネットワークの間

トランジット VPC ネットワークとサービスアクセス VPC ネットワーク間のこの接続は、リージョンごとに個別のトンネルを使用して HA VPN を介して行われます。ルートは、トランジット VPC ネットワークとサービスアクセス VPC ネットワーク内のリージョン Cloud Router 間で BGP を使用して交換されます。

トランジット VPC HA VPN Cloud Router は、外部ネットワークプレフィックス、ワークロード VPC、その他のサービスアクセス VPC のルートをサービスアクセス VPC Cloud Router にアドバタイズします。これらのルートは、Cloud Router のカスタムルートアドバタイズを使用して通知する必要があります。
サービスアクセス VPC は、そのサブネットと、接続されているマネージドサービス VPC ネットワークのサブネットをトランジット VPC ネットワークに通知します。マネージドサービスの VPC ルートとサービスアクセス VPC サブネットルートは、Cloud Router のカスタムルートアドバタイズを使用してアドバタイズする必要があります。

接続 3: トランジット VPC ネットワーク、ワークロード VPC ネットワーク、Private Service Connect サービスアクセス VPC ネットワーク間

トランジット VPC ネットワーク、ワークロード VPC ネットワーク、Private Service Connect コンシューマ VPC ネットワーク間の接続は、Network Connectivity Center を使用してサブネットとプレフィックスルートが交換されるときに行われます。この接続により、ワークロード VPC ネットワーク、Network Connectivity Center VPC スポークとして接続されているサービスアクセス VPC ネットワーク、Network Connectivity Center ハイブリッドスポークとして接続されている他のネットワーク間の通信が可能になります。これらの他のネットワークには、接続 1 と接続 2 を使用している外部ネットワークとサービスアクセス VPC ネットワークが含まれます。

トランジット VPC ネットワークの Cloud Interconnect または HA VPN アタッチメントは、Network Connectivity Center を使用して、ワークロード VPC ネットワークに動的ルートをエクスポートします。
ワークロード VPC ネットワークを Network Connectivity Center ハブのスポークとして構成すると、ワークロード VPC ネットワークはサブネットをトランジット VPC ネットワークに自動的にエクスポートします。必要に応じて、トランジット VPC ネットワークを VPC スポークとして設定できます。ワークロード VPC ネットワークからトランジット VPC ネットワークに静的ルートがエクスポートされることはありません。トランジット VPC ネットワークからワークロード VPC ネットワークに静的ルートがエクスポートされることはありません。

接続 4: Network Connectivity Center 伝播を使用した Private Service Connect コンシューマ VPC

Private Service Connect エンドポイントは、コンシューマがファーストパーティマネージドサービスとサードパーティマネージドサービスにアクセスできるように、共通の VPC に編成されます。
Private Service Connect コンシューマ VPC ネットワークは、Network Connectivity Center VPC スポークとして構成されています。このスポークにより、Network Connectivity Center ハブで Private Service Connect の伝播が可能になります。Private Service Connect の伝播では、Private Service Connect エンドポイントのホストプレフィックスが、Network Connectivity Center ハブルーティングテーブルへのルートとして通知されます。
Private Service Connect サービスアクセスのコンシューマ VPC ネットワークは、ワークロード VPC ネットワークとトランジット VPC ネットワークに接続します。これらの接続により、Private Service Connect エンドポイントへの転送接続が可能になります。Network Connectivity Center ハブで Private Service Connect 接続の伝播が有効になっている必要があります。
Network Connectivity Center は、すべてのスポークから Private Service Connect エンドポイントへのデータパスを自動的に構築します。

トラフィックフロー

次の図は、このリファレンスアーキテクチャで有効になっているフローを示しています。

このドキュメントで説明する 4 つのフロー。

次の表に、図のフローを示します。

ソース	宛先	説明
外部ネットワーク	サービスアクセス VPC ネットワーク	トラフィックは、外部接続を経由してトランジットネットワークに転送されます。ルートは外部向けの Cloud Router によってアドバタイズされます。トラフィックは、カスタムルートを経由してサービスアクセス VPC ネットワークに送信されます。ルートは HA VPN 接続を介してアドバタイズされます。宛先が、プライベートサービスアクセスによってサービスアクセス VPC ネットワークに接続されているマネージドサービス VPC ネットワークにある場合、トラフィックは Network Connectivity Center カスタムルートに沿ってマネージドサービスネットワークに送信されます。
サービスアクセス VPC ネットワーク	外部ネットワーク	トラフィックは、HA VPN トンネルを経由してカスタムルートをたどり、トランジットネットワークに送信されます。トラフィックは、外部接続を経由して外部ネットワークに戻るルートをたどります。ルートは BGP を介して外部ルーターから学習されます。
外部ネットワーク	ワークロードの VPC ネットワークまたは Private Service Connect コンシューマ VPC ネットワーク	トラフィックは、外部接続を経由してトランジットネットワークに転送されます。ルートは、外部向けの Cloud Router によってアドバタイズされます。トラフィックは、サブネットルートに沿って関連するワークロード VPC ネットワークに送信されます。ルートは Network Connectivity Center を介して学習されます。
ワークロードの VPC ネットワークまたは Private Service Connect コンシューマ VPC ネットワーク	外部ネットワーク	トラフィックは動的ルートを経由してトランジットネットワークに戻ります。ルートは、Network Connectivity Center カスタムルートエクスポートを介して学習されます。トラフィックは、外部接続を経由して外部ネットワークに戻るルートをたどります。ルートは BGP を介して外部ルーターから学習されます。
ワークロードの VPC ネットワーク	サービスアクセス VPC ネットワーク	トラフィックは、トランジット VPC ネットワークへのルートに沿って転送されます。ルートは、Network Connectivity Center カスタムルートエクスポートを介して学習されます。トラフィックは、HA VPN トンネルのいずれかを経由してサービスアクセス VPC ネットワークにルーティングされます。ルートは BGP カスタムルートアドバタイズから学習されます。
サービスアクセス VPC ネットワーク	ワークロードの VPC ネットワーク	トラフィックはカスタムルートを経由してトランジットネットワークに送信されます。ルートは HA VPN トンネル全体に通知されます。トラフィックは、サブネットルートに沿って関連するワークロード VPC ネットワークに送信されます。ルートは Network Connectivity Center を介して学習されます。
ワークロードの VPC ネットワーク	ワークロードの VPC ネットワーク	1 つのワークロード VPC から送信されるトラフィックは、Network Connectivity Center を経由して、他のワークロード VPC へのより具体的なルートをたどります。戻りトラフィックは、このパスを逆にたどります。

使用するプロダクト

Virtual Private Cloud（VPC）: ワークロードにグローバルでスケーラブルなネットワーキング機能を提供する仮想システム。 Google Cloud VPC には、VPC ネットワークピアリング、Private Service Connect、プライベートサービスアクセス、共有 VPC が含まれます。
Network Connectivity Center: ハブと呼ばれる一元管理リソースに接続されているスポークリソース間のネットワーク接続を簡素化するオーケストレーションフレームワークです。
Cloud Interconnect: 高可用性で低レイテンシの接続を通じて、外部ネットワークを Google ネットワークに拡張するサービス。
Cloud VPN: IPsec VPN トンネルを介してピアネットワークを Google のネットワークに安全に拡張するサービス。
Cloud Router: 分散型のフルマネージドサービスで、Border Gateway Protocol（BGP）のスピーカー機能とレスポンダー機能を提供します。Cloud Router は、Cloud Interconnect、Cloud VPN、Router アプライアンスと連携して、BGP で受信したルートやカスタム学習ルートに基づいて VPC ネットワークに動的ルートを作成します。
Cloud Next Generation Firewall: 高度な保護機能、マイクロセグメンテーション、簡素化された管理を備えた完全分散型のファイアウォールサービス。 Google Cloud ワークロードを内部および外部の攻撃から保護します。

設計上の考慮事項

このセクションでは、このリファレンスアーキテクチャを使用して、セキュリティ、信頼性、パフォーマンスに関する特定の要件を満たすトポロジを開発する際に考慮すべき設計要素、ベストプラクティス、設計に関する推奨事項について説明します。

セキュリティとコンプライアンス

次のリストは、このリファレンスアーキテクチャのセキュリティとコンプライアンスの考慮事項を示しています。

コンプライアンス上の理由から、ワークロードを単一のリージョンにのみデプロイする場合があります。すべてのトラフィックを 1 つのリージョンに保持する場合は、99.9% のトポロジを使用できます。
Cloud Next Generation Firewall（Cloud NGFW）を使用して、サービスアクセス VPC ネットワークとワークロード VPC ネットワークとの間で送受信されるトラフィックを保護します。トランジットネットワークを介してハイブリッドネットワーク間で、または外部ネットワークと Google マネージドサービス間で送受信されるトラフィックを検査するには、外部ファイアウォールまたは NVA ファイアウォールを使用する必要があります。
L7 トラフィック検査が必要な場合は、侵入検知および侵入防止サービス（必要に応じて TLS インスペクションのサポート）を有効にして、悪意のあるアクティビティをブロックし、脆弱性、スパイウェア対策、ウイルス対策をサポートしてワークロードを脅威から保護します。このサービスは、パケットインターセプトテクノロジーを使用して、ルートの再アーキテクチャ化を必要とせずにワークロードを透過的に検査する Google 管理のゾーンファイアウォールエンドポイントを作成します。Cloud Next Generation Firewall Enterprise では、ゾーンファイアウォールエンドポイントとデータ処理の料金が発生します。
Google 脅威インテリジェンスデータに基づいてトラフィックを許可またはブロックする場合は、Google 脅威インテリジェンスを使用します。Cloud Next Generation Firewall Standard のデータ処理料金が発生します。
ファイアウォールルールロギングを有効にして、ファイアウォールインサイトを使用して、ファイアウォールルールの効果を監査、検証、把握、最適化します。ファイアウォールルールロギングには費用が発生する可能性があるため、対象を絞って使用することを検討してください。
接続テストを有効にして、トラフィックが期待どおりに動作していることを確認します。
トラフィックとコンプライアンスのニーズに応じて、ロギングとモニタリングを有効にします。トラフィックパターンの分析情報を取得するには、Flow Analyzer とともに VPC フローログを使用します。
Cloud IDS またはアラートモードの Cloud NGFW Enterprise 侵入防止サービスを使用して、トラフィックに関する追加の分析情報を収集します。

信頼性

次のリストは、このリファレンスアーキテクチャの信頼性に関する考慮事項を示しています。

Cloud Interconnect で 99.99% の可用性を実現するには、2 つの異なるゾーンにまたがる異なる大都市圏の 2 つの異なるリージョンに接続する必要があります。 Google Cloud
信頼性を向上させ、リージョン障害の影響を最小限に抑えるには、ワークロードやその他のクラウドリソースをリージョン間で分散します。
予想されるトラフィックを処理するには、十分な数の VPN トンネルを作成します。個々の VPN トンネルには帯域幅の上限があります。

パフォーマンスの最適化

次のリストは、このリファレンスアーキテクチャのパフォーマンスに関する考慮事項を示しています。

ネットワークと接続の最大伝送単位（MTU）を増やすと、ネットワークパフォーマンスを改善できる場合があります。詳細については、最大伝送単位をご覧ください。
トランジット VPC とワークロードリソース間の通信は、Network Connectivity Center 接続を介して行われます。この接続により、追加料金なしでネットワーク内のすべての VM にフルラインレートのスループットが提供されます。外部ネットワークをトランジットネットワークに接続する方法はいくつかあります。費用とパフォーマンスの考慮事項のバランスを取る方法の詳細については、Network Connectivity プロダクトの選択をご覧ください。

デプロイ

このセクションでは、このドキュメントで説明する Network Connectivity Center アーキテクチャを使用して、Cross-Cloud Network の VPC 間接続をデプロイする方法について説明します。

このドキュメントのアーキテクチャでは、中央トランジット VPC への 3 種類の接続と、ワークロード VPC ネットワークとワークロード VPC ネットワーク間の接続を作成します。Network Connectivity Center が完全に構成されると、すべてのネットワーク間の通信が確立されます。

このデプロイでは、2 つのリージョンの外部ネットワークとトランジットネットワーク間に接続を作成することを前提としています。ただし、ワークロードサブネットは他のリージョンに配置できます。ワークロードが 1 つのリージョンにのみ配置されている場合は、そのリージョンにのみサブネットを作成する必要があります。

このリファレンスアーキテクチャをデプロイするには、次のタスクを完了します。

Network Connectivity Center でネットワークセグメンテーションを作成する
接続とワークロードを配置するリージョンを特定する
VPC ネットワークとサブネットを作成する
外部ネットワークとトランジット VPC ネットワーク間の接続を作成する
トランジット VPC ネットワークとサービスアクセス VPC ネットワークの間に接続を作成する
トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を確立する
Cloud NGFW ポリシーを構成する
ワークロードへの接続をテストする

Network Connectivity Center でネットワークセグメンテーションを作成する

Network Connectivity Center ハブを初めて作成する前に、フルメッシュトポロジとスタートポロジのどちらを使用するかを決定する必要があります。相互接続された VPC のフルメッシュまたは VPC のスタートポロジにコミットする決定は元に戻せません。この取り消し不可能な決定を行うには、次の一般的なガイドラインを使用します。

組織のビジネスアーキテクチャで VPC ネットワーク間のトラフィックが許可されている場合は、Network Connectivity Center メッシュを使用します。
特定の異なる VPC スポーク間のトラフィックフローが許可されていないが、これらの VPC スポークが VPC スポークのコアグループに接続できる場合は、Network Connectivity Center スタートポロジを使用します。

接続とワークロードを配置するリージョンを特定する

通常、接続とワークロードは、オンプレミスネットワークまたは他のクラウドクライアントの近くに配置します。 Google Cloud ワークロードの配置の詳細については、Google Cloud リージョン選択ツールと Compute Engine のリージョン選択に関するベストプラクティスをご覧ください。

VPC ネットワークとサブネットを作成する

VPC ネットワークとサブネットを作成するには、次のタスクを完了します。

VPC ネットワークを作成するプロジェクトを作成または特定します。ガイダンスについては、ネットワークセグメンテーションとプロジェクト構造をご覧ください。共有 VPC ネットワークを使用する場合は、プロジェクトを共有 VPC ホストプロジェクトとしてプロビジョニングします。
ネットワークの IP アドレス割り振りを計画します。内部範囲を作成して、範囲を事前に割り振って予約できます。これにより、後で行う構成と運用がより簡単になります。
グローバルルーティングを有効にしてトランジットネットワーク VPC を作成します。
サービスアクセス VPC ネットワークを作成します。複数のリージョンにワークロードを配置する場合は、グローバルルーティングを有効にします。
ワークロードの VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバルルーティングを有効にします。

外部ネットワークとトランジット VPC ネットワーク間の接続を作成する

このセクションでは、2 つのリージョン間の接続を前提としています。また、外部ロケーションが接続されており、相互にフェイルオーバーできることを前提としています。また、外部ロケーションのクライアントが、外部ロケーションが存在するリージョンのサービスにアクセスすることを優先することを前提としています。

外部ネットワークとトランジットネットワーク間の接続を設定します。これをどのように考えるかについては、外部接続とハイブリッド接続をご覧ください。接続プロダクトの選択に関するガイダンスについては、Network Connectivity プロダクトの選択をご覧ください。
次のように、接続されている各リージョンで BGP を構成します。
- 次のように、指定された外部ロケーションでルーターを構成します。
  - 両方のインターフェースで同じ BGP MED（100 など）を使用して、その外部ロケーションのすべてのサブネットをアドバタイズします。両方のインターフェースが同じ MED を通知する場合、 Google Cloud は ECMP を使用して両方の接続間でトラフィックをロードバランシングできます。
  - 最初のリージョンよりも優先度の低い MED（200 など）を使用して、他の外部ロケーションからすべてのサブネットをアドバタイズします。両方のインターフェースから同じ MED を通知します。
- 接続されたリージョンのトランジット VPC で、外部向けの Cloud Router を次のように構成します。
  - プライベート ASN を使用して Cloud Router を設定します。
  - カスタムルートアドバタイズを使用して、両方の外部向け Cloud Router インターフェースを介して、すべてのリージョンのすべてのサブネット範囲を通知します。可能であれば、それらを集約します。両方のインターフェースで同じ MED（100 など）を使用します。
Network Connectivity Center ハブとハイブリッドスポークを操作する場合は、デフォルトのパラメータを使用します。
- Network Connectivity Center ハブを作成します。組織ですべての VPC ネットワーク間のトラフィックが許可されている場合は、デフォルトのフルメッシュ構成を使用します。
- Partner Interconnect、Dedicated Interconnect、HA-VPN、または Router アプライアンスを使用してオンプレミスプレフィックスに到達する場合は、これらのコンポーネントを異なる Network Connectivity Center ハイブリッドスポークとして構成します。
  - Network Connectivity Center ハブルートテーブルのサブネットをリモート BGP ネイバーにアドバタイズするには、すべての IPv4 アドレス範囲を含むようにフィルタを設定します。
  - ハイブリッド接続がデータ転送をサポートするリージョンの Cloud Router で終端する場合は、サイト間データ転送を有効にしてハイブリッドスポークを構成します。これにより、Google のバックボーンネットワークを使用するサイト間データ転送がサポートされます。

トランジット VPC ネットワークとサービスアクセス VPC ネットワーク間の接続を作成する

外部ネットワークとサービスアクセス VPC 間、ワークロード VPC とサービスアクセス VPC 間の推移的ルーティングを提供するため、サービスアクセス VPC は接続に HA VPN を使用します。

各リージョンのトランジット VPC とサービスアクセス VPC 間で転送する必要があるトラフィックの量を見積もります。それに応じて、想定されるトンネル数をスケーリングします。
HA VPN ゲートウェイを作成して VPC ネットワークに接続するの手順に沿って、トランジット VPC ネットワークとリージョン A のサービスアクセス VPC ネットワークの間に HA VPN を構成します。トランジット VPC ネットワークに専用の HA VPN Cloud Router を作成します。外部ネットワーク接続用に外部ネットワークに接続するルーターを残します。
- トランジット VPC Cloud Router の構成:
  - 外部ネットワークとワークロードの VPC サブネットをサービスアクセス VPC に通知するには、トランジット VPC の Cloud Router でカスタムルートアドバタイズを使用します。
- サービスアクセス VPC Cloud Router の構成:
  - サービスアクセス VPC ネットワークサブネットをトランジット VPC に通知するには、サービスアクセス VPC ネットワークの Cloud Router でカスタムルートアドバタイズを使用します。
  - プライベートサービスアクセスを使用してマネージドサービス VPC ネットワークをサービスアクセス VPC に接続する場合は、カスタムルートを使用してこれらのサブネットもアドバタイズします。
- HA VPN トンネルのトランジット VPC 側で、トンネルのペアを Network Connectivity Center ハイブリッドスポークとして構成します。
  - リージョン間データ転送をサポートするには、サイト間データ転送が有効になっているハイブリッドスポークを構成します。
  - Network Connectivity Center ハブルートテーブルのサブネットをリモート BGP ネイバーにアドバタイズするには、すべての IPv4 アドレス範囲を含むフィルタを設定します。このアクションは、すべての IPv4 サブネットルートをネイバーにアドバタイズします。
    - 外部ルーターの容量が制限されている場合に動的ルートをインストールするには、カスタムルートアドバタイズを使用してサマリールートを通知するように Cloud Router を構成します。Network Connectivity Center ハブの完全なルートテーブルを通知する代わりに、この方法を使用します。
VPC ネットワークピアリング接続の確立後にプライベートサービスアクセスを使用してマネージドサービス VPC をサービスアクセス VPC に接続する場合は、VPC ネットワークピアリング接続のサービスアクセス VPC 側も更新して、カスタムルートをエクスポートする必要があります。

トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を確立する

VPC 間の大規模な接続を確立するには、VPC スポークで Network Connectivity Center を使用します。Network Connectivity Center は、フルメッシュデータプレーンモデルとスタートポロジデータプレーンモデルの 2 種類のデータプレーンモデルをサポートしています。

すべてのネットワークで相互通信を許可できる場合は、フルメッシュ接続を確立します。
ビジネスアーキテクチャにポイントツーマルチポイントトポロジが必要な場合は、スタートポロジ接続を確立します。

フルメッシュ接続を確立する

Network Connectivity Center VPC スポークには、トランジット VPC、Private Service Connect コンシューマ VPC、すべてのワークロード VPC が含まれます。

Network Connectivity Center は VPC スポークの完全メッシュネットワークを構築しますが、ネットワークオペレーターはファイアウォールルールまたはファイアウォールポリシーを使用して、送信元ネットワークと宛先ネットワーク間のトラフィックフローを許可する必要があります。
すべてのワークロード、トランジット、Private Service Connect コンシューマ VPC を Network Connectivity Center VPC スポークとして構成します。VPC スポーク間でサブネットが重複することはできません。
- VPC スポークを構成するときに、重複しない IP アドレスのサブネット範囲を Network Connectivity Center ハブルートテーブルに通知します。
  - エクスポートサブネット範囲を含めます。
  - エクスポートサブネット範囲を除外します。
VPC スポークが異なるプロジェクトにあり、スポークが Network Connectivity Center ハブ管理者以外の管理者によって管理されている場合、VPC スポーク管理者は、他のプロジェクトの Network Connectivity Center ハブに参加するためのリクエストを開始する必要があります。
- Network Connectivity Center ハブプロジェクトの Identity and Access Management（IAM）権限を使用して、そのユーザーに roles/networkconnectivity.groupUser ロールを付与します。
他の Network Connectivity Center スポークからプライベートサービス接続に推移的かつグローバルにアクセスできるようにするには、Network Connectivity Center ハブで Private Service Connect 接続の伝播を有効にします。

ワークロード VPC 間の完全な VPC 間メッシュ通信が許可されない場合は、Network Connectivity Center スタートポロジの使用を検討してください。

スタートポロジ接続を確立する

ポイントツーマルチポイントトポロジを必要とする一元化されたビジネスアーキテクチャでは、Network Connectivity Center のスタートポロジを使用できます。

Network Connectivity Center のスター型トポロジを使用するには、次の操作を行います。

Network Connectivity Center で Network Connectivity Center ハブを作成し、スタートポロジを指定します。
他の Network Connectivity Center スポークからプライベートサービス接続に推移的かつグローバルにアクセスできるようにするには、Network Connectivity Center ハブで Private Service Connect 接続の伝播を有効にします。
スタートポロジ用に Network Connectivity Center ハブを構成する場合は、VPC を事前定義された 2 つのグループ（センターグループまたはエッジグループ）のいずれかにグループ化できます。
センターグループに VPC をグループ化するには、トランジット VPC と Private Service Connect コンシューマ VPC を、センターグループの一部として Network Connectivity Center VPC スポークとして構成します。

Network Connectivity Center は、中央グループに配置された VPC スポーク間にフルメッシュネットワークを構築します。
エッジグループ内のワークロード VPC をグループ化するには、これらのネットワークをそのグループ内の Network Connectivity Center VPC スポークとして構成します。

Network Connectivity Center は、各 Network Connectivity Center VPC スポークからセンターグループ内のすべての VPC へのポイントツーポイントデータパスを構築します。

Cloud NGFW ポリシーを構成する

セキュリティとコンプライアンスのガイダンスに加えて、ファイアウォールルールのベストプラクティスも検討してください。

その他の考慮事項:

ワークロードが Compute Engine VM で実行されている場合は、VPC ファイアウォールルールではなく、ネットワークファイアウォールポリシーを使用することをおすすめします。ネットワークファイアウォールポリシーには、タグを使用したきめ細かいセキュリティとアクセス制御、ルール管理の簡素化、運用の容易さ、豊富な機能セット、柔軟なデータ所在地などのメリットがあります。VPC ファイアウォールルールがすでにある場合は、VPC ファイアウォールルールの移行ツールを使用して、グローバルネットワークファイアウォールポリシーへの移行を支援できます。
Google Kubernetes Engine は、重要なトラフィックを許可するために特定の VPC ファイアウォールルールを自動的に作成して管理します。そのため、これらのルールは変更または削除しないことをおすすめします。ただし、ネットワークファイアウォールポリシーは VPC ファイアウォールルールと併用でき、必要に応じてポリシーの適用順序を変更できます。
IAM 制御、スケーリングの向上、ネットワークファイアウォールポリシーのサポートにより、ファイアウォールルールでネットワークタグではなくタグを使用することをおすすめします。ただし、タグは階層型ファイアウォールポリシーでサポートされていません。また、Network Connectivity Center ピアリングネットワーク上でもサポートされていないため、このような場合は CIDR 範囲に基づいてルールを作成する必要があります。

Cloud NGFW で L7 インスペクションを有効にする場合は、セキュリティプロファイル、ファイアウォールエンドポイント、VPC の関連付けなど、侵入防止サービスを構成します。
グローバルネットワークファイアウォールポリシーと必要なファイアウォールルールを作成します。すべての VPC ネットワークに存在する、下り（外向き）トラフィックを許可し、上り（内向き）トラフィックを拒否する暗黙のルールを考慮してください。
VPC ネットワークにポリシーを関連付けます。
ネットワークで VPC ファイアウォールルールをすでに使用している場合は、新しいルールが VPC ファイアウォールルールの前に評価されるように、ポリシーとルールの評価順序を変更することをおすすめします。
必要に応じて、ファイアウォールルールロギングを有効にします。

ワークロードへの接続をテストする

VPC ネットワークにすでにデプロイされているワークロードがある場合は、そのワークロードへのアクセスをテストします。ワークロードをデプロイする前にネットワークを接続した場合は、ワークロードをデプロイしてテストできます。

次のステップ

この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
Cloud アーキテクチャセンターで、リファレンスアーキテクチャ、図、ベストプラクティスを確認する。

寄稿者

著者:

Eric Yu | ネットワーキングスペシャリストカスタマーエンジニア
Deepak Michael | ネットワーキングスペシャリストカスタマーエンジニア
Victor Moreno | プロダクトマネージャー、クラウドネットワーキング
Osvaldo Costa | ネットワーキングスペシャリストカスタマーエンジニア

その他の寄稿者:

Mark Schlagenhauf | テクニカルライター、ネットワーキング
Ammett Williams | デベロッパーリレーションズエンジニア
Ghaleb Al-habian | ネットワークスペシャリスト
Tony Sarathchandra | シニアプロダクトマネージャー

Network Connectivity Center を使用したクロスクラウド ネットワークの VPC 間接続