VPC ネットワーク ピアリング クロスクラウド ネットワーク(NVA とリージョン アフィニティを使用)

Last reviewed 2025-09-17 UTC

このドキュメントでは、ネットワーク仮想アプライアンス(NVA)を使用してトラフィックを渡す Cross-Cloud Network ハブアンドスポーク ネットワーク トポロジをデプロイするために使用できるリファレンス アーキテクチャについて説明します。

このドキュメントは、ネットワーク接続を構築するネットワーク管理者と、ワークロードのデプロイ方法を計画するクラウド アーキテクトを対象としています。このドキュメントは、ルーティング、インターネット接続、デプロイする NVA ソフトウェアに関する基本的な知識があることを前提としています。このリファレンス アーキテクチャを使用するには、クロスクラウド ネットワーク設計ガイドをよく理解している必要があります。

この設計では、オンプレミスまたはクラウド サービス プロバイダ(CSP)のロケーションへの複数の外部接続と、複数のワークロード VPC ネットワークがサポートされます。

この設計は、単一リージョンへのデプロイを前提としています。リージョン アフィニティは提供されますが、リージョン フェイルオーバーは提供されません。複数のリージョンにデプロイする場合は、Google Cloud マルチリージョン デプロイ アーキタイプを使用できます。

この設計では、ワークロード VPC ネットワーク内およびワークロード VPC ネットワーク間のフローを除くすべてのフローに NVA が配置されます。適切なスキップ ポリシーベースのルートを追加すると、フローで NVA をスキップできます。外部ネットワークとサービス アクセス VPC ネットワーク間のフローのみに NVA が必要です。他のすべてのフローは Cloud Next Generation Firewall で検査できます。

アーキテクチャ

次の図は、このアーキテクチャがサポートするネットワークとフローのアーキテクチャの概要を示しています。

ドキュメントで説明されている 4 種類の接続。 NVA アーキテクチャの凡例。

このアーキテクチャには、次の上位要素が含まれています。

コンポーネント 目的 インタラクション
外部ネットワーク(オンプレミスまたは他の CSP ネットワーク) ワークロード VPC とサービス アクセス VPC で実行されるワークロードのクライアントをホストします。外部ネットワークはサービスをホストすることもできます。

ルーティング VPC ネットワークでホストされている NVA を介して、 Google Cloudの VPC ネットワークとデータを交換します。Cloud Interconnect または HA VPN を使用してルーティング VPC ネットワークに接続します。

次のフローの一方を終了します。

  • External-to-services-access
  • 外部からワークロードへ
ルーティング VPC ネットワーク(トランジット VPC ネットワークとも呼ばれます) 外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークのハブとして機能します。ネットワーク間トラフィックの処理に使用される NVA をホストします。 Cloud Interconnect、HA VPN、VPC ネットワーク ピアリングの組み合わせを使用して、外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークを接続します。外部ネットワーク、サービス アクセス ネットワーク、ワークロード ネットワークからのトラフィックがルーティング ネットワークを通過すると、ポリシーベースのルートがトラフィックを NVA に送信します。
サービス アクセス VPC ネットワーク 他のネットワークでホストされているマネージド サービスへのアクセス ポイントを提供します。必要に応じて、services-access ネットワークでサービスを直接ホストすることもできます。

ルーティング ネットワークを介して、外部ネットワークとワークロード ネットワークとの間でデータを交換します。HA VPN を使用してルーティング VPC に接続します。HA VPN によって提供される推移的ルーティングにより、外部トラフィックはサービス アクセス VPC ネットワークを介してマネージド サービス VPC に到達できます。

サービス アクセス VPC ネットワークがサービスを直接ホストしている場合、他のすべてのネットワークからのフローの一方の端を終了します。
マネージド サービス VPC ネットワーク 他のネットワークのクライアントで必要なマネージド サービスをホストします。

外部ネットワーク、サービス アクセス ネットワーク、ワークロード ネットワークとデータを交換します。プライベート サービス アクセス(VPC ネットワーク ピアリングを使用)または Private Service Connect を使用して、サービス アクセス VPC ネットワークに接続します。

他のすべてのネットワークからのフローの一端を終了します。
ワークロード VPC ネットワーク 他のネットワークのクライアントが必要とするワークロードをホストします。

ルーティング VPC ネットワークを介して、外部 VPC ネットワークとサービス アクセス VPC ネットワークとデータを交換します。VPC ネットワーク ピアリングを使用してルーティング ネットワークに接続します。Network Connectivity Center を使用して他のワークロード VPC ネットワークに接続します。

次のフローの一方を終了します。

  • 外部からワークロードへ
  • Workload-to-services-access
  • ワークロード間
インターネット アクセス VPC ネットワーク インターネット アクセスを必要とするワークロードにアクセスを提供します。

インターネットからアップデートやその他のデータをダウンロードする必要があるワークロードに対して、インターネットへのアウトバウンド アクセスを提供します。データは NVA を通過し、Cloud NAT を介して送信されます。

次のフローの一方を終了します。

  • ワークロードからインターネット
  • Services-access-to-internet

接続の説明

次の図は、ネットワーク間の 4 つの接続を強調したアーキテクチャの詳細を示しています。

ドキュメントで説明されている 4 種類の接続。

このセクションでは、上の図に示されている 4 つの接続について説明します。

接続 1: 外部ネットワークとルーティング VPC ネットワークの間

外部ネットワークとルーティング VPC ネットワーク間の接続は、Cloud Interconnect または HA VPN を介して行われます。ルーティング VPC ネットワーク内の Cloud Router と外部ネットワーク内の外部ルーターは、BGP を使用してルートを交換します。

  • 外部ネットワーク内のルーターは、外部サブネットのルートをルーティング VPC Cloud Router に通知します。ルートの優先度は、BGP 指標と属性を使用して表すことができます。
  • ルーティング VPC ネットワーク内の Cloud Router は、 Google Cloudの VPC 内のプレフィックスのルートを外部ネットワークにアドバタイズします。これらのルートは、Cloud Router のカスタムルート アナウンスを使用して通知する必要があります。

接続 2: ルーティング VPC ネットワークとサービス アクセス VPC ネットワークの間

ルーティング VPC ネットワークとサービス アクセス VPC ネットワーク間の接続は、HA VPN を介して行われます。ルートは、ルーティング VPC ネットワーク内のリージョン Cloud Router とサービス アクセス VPC ネットワークの間で BGP を使用して交換されます。

  • ルーティング VPC HA VPN Cloud Router は、外部ネットワーク プレフィックス、ワークロード VPC、その他のサービス アクセス VPC のルートをサービス アクセス VPC Cloud Router にアドバタイズします。これらのルートは、Cloud Router のカスタムルート アナウンスを使用して通知する必要があります。
  • サービス アクセス VPC ネットワークは、そのサブネットと、接続されているマネージド サービス VPC ネットワークのサブネットをルーティング VPC ネットワークにアナウンスします。マネージド サービス VPC ルートは、Cloud Router のカスタムルート アナウンスを使用してアナウンスする必要があります。

接続 3: ルーティング VPC ネットワークとワークロード VPC ネットワークの間

ルーティング VPC ネットワークとワークロード VPC ネットワーク間のこの接続は、VPC ネットワーク ピアリングを使用して実装されます。この接続により、ワークロード VPC ネットワークと、ルーティング VPC ネットワークに接続されている他のネットワーク間の通信が可能になります。他のネットワークには、外部ネットワークとサービス アクセス VPC ネットワークが含まれます。

  • ワークロード VPC ネットワークは、サブネットをルーティング VPC ネットワークに自動的にエクスポートします。

接続 4: ワークロード VPC ネットワーク間

ワークロード VPC ネットワークは、同じハブの Network Connectivity Center VPC スポークを使用して接続されます。そのため、あるワークロード VPC ネットワークから別のワークロード VPC ネットワークへのトラフィックは、ネットワーク間を直接移動します。トラフィックはルーティング VPC ネットワークを通過しません。

トラフィック フロー

次の図は、このリファレンス アーキテクチャで有効になる 4 つのフローを示しています。

このドキュメントで説明する 4 つのフローと、その詳細な背景。

次の表に、図のフローの説明を示します。

ソース 宛先 説明
外部ネットワーク サービスアクセス VPC ネットワーク
  1. トラフィックは、Cloud Interconnect 接続を介してルーティング VPC ネットワークにルートをたどります。ルートは外部に接続する Cloud Router によってアナウンスされます。
  2. ルーティング VPC ネットワークでは、トラフィックはタグなしのポリシーベースのルートに従って、NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  3. スキップ ポリシーベースのルートが NVA VM に割り当てられます。このルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  4. トラフィックは、services-access VPC ネットワークへのカスタムルートをたどります。ルートは HA VPN 接続全体でアドバタイズされます。接続されたマネージド サービス VPC ネットワーク宛てのトラフィックは、VPC ネットワーク ピアリングのカスタムルートに沿ってマネージド サービス ネットワークに転送されます。
サービス アクセス VPC ネットワーク 外部ネットワーク
  1. トラフィックは、HA VPN トンネルを介してルーティング VPC ネットワークにカスタムルートをたどります。
  2. ルーティング VPC ネットワークでは、トラフィックはタグなしのポリシーベースのルートに従って、NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  3. NVA VM に割り当てられたポリシーベースのスキップルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  4. トラフィックは、外部接続を介して外部ネットワークに戻るルートをたどります。ルートは BGP を介して外部ルーターから学習されました。
外部ネットワーク ワークロード VPC ネットワーク
  1. トラフィックは、外部接続を介してルーティング ネットワークに転送されます。ルートは外部に接続する Cloud Router によってアナウンスされました。
  2. ルーティング VPC ネットワークでは、トラフィックはタグなしのポリシーベースのルートに従って、NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  3. NVA VM に割り当てられたポリシーベースのスキップルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  4. トラフィックは、サブネット ルートに従って関連するワークロード VPC ネットワークに転送されます。ルートは VPC ネットワーク ピアリングを介して学習されました。
ワークロード VPC ネットワーク 外部ネットワーク
  1. トラフィックは、ワークロード VPC にプログラムされているポリシーベースのルートに従って、ルーティング VPC ネットワーク内の NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  2. NVA VM に割り当てられたポリシーベースのスキップルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  3. トラフィックは、外部接続を介して外部ネットワークに戻る動的ルートをたどります。ルートは BGP を使用して外部ルーターから学習されます。
ワークロード VPC ネットワーク サービス アクセス VPC ネットワーク
  1. トラフィックは、ワークロード VPC にプログラムされているポリシーベースのルートに従って、ルーティング VPC ネットワーク内の NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  2. NVA VM に割り当てられたポリシーベースのスキップルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  3. トラフィックは、HA VPN トンネルのいずれかを介してサービス アクセス VPC ネットワークへの動的ルートをたどります。ルートは BGP カスタムルート通知から学習されました。
サービス アクセス VPC ネットワーク ワークロード VPC ネットワーク
  1. トラフィックはカスタムルートに従ってルーティング VPC ネットワークに転送されます。ルートは HA VPN トンネル全体でアナウンスされました。
  2. ルーティング VPC ネットワークでは、トラフィックはタグなしのポリシーベースのルートに従って、NVA の前にある内部パススルー ネットワーク ロードバランサに転送されます。
  3. NVA VM に割り当てられたポリシーベースのスキップルートにより、NVA から送信されるトラフィックは、タグなしのポリシーベース ルートをスキップして、代わりに VPC ルーティングに従います。
  4. トラフィックは、サブネット ルートに従って関連するワークロード VPC ネットワークに転送されます。ルートは VPC ネットワーク ピアリングを介して学習されました。
ワークロード VPC ネットワーク ワークロード VPC ネットワーク 1 つのワークロード VPC ネットワークから送信されたトラフィックは、Network Connectivity Center を介して、より限定的なルートをたどって別のワークロード VPC ネットワークに送信されます。戻りトラフィックはこのパスを逆方向に進みます。このトラフィックは NVA を通過しません。

使用するプロダクト

このリファレンス アーキテクチャでは、次の Google Cloud プロダクトを使用します。

  • Virtual Private Cloud(VPC): Google Cloud ワークロードにグローバルでスケーラブルなネットワーキング機能を提供する仮想システム。VPC には、VPC ネットワーク ピアリング、Private Service Connect、プライベート サービス アクセス、共有 VPC が含まれます。
  • Network Connectivity Center: ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間のネットワーク接続を簡素化するオーケストレーション フレームワーク。
  • Cloud Interconnect: 高可用性で低レイテンシの接続を通じて、外部ネットワークを Google ネットワークに拡張するサービス。
  • Cloud VPN: IPsec VPN トンネルを介してピア ネットワークを Google のネットワークに安全に拡張するサービス。
  • Cloud Router: Border Gateway Protocol(BGP)のスピーカー機能とレスポンダー機能を提供する、分散型のフルマネージド サービス。Cloud Router は、Cloud Interconnect、Cloud VPN、Router アプライアンスと連携して、BGP で受信したルートやカスタム学習ルートに基づいて VPC ネットワークに動的ルートを作成します。
  • Compute Engine: Google のインフラストラクチャで VM を作成して実行できる、安全でカスタマイズ可能なコンピューティング サービス。
  • Cloud Load Balancing: 高パフォーマンスでスケーラブルなグローバル ロードバランサとリージョン ロードバランサのポートフォリオ。
  • Cloud Next Generation Firewall: 高度な保護機能、マイクロセグメンテーション、管理の簡素化を備えた完全分散型のファイアウォール サービス。 Google Cloud ワークロードを内部および外部の攻撃から保護します。

設計上の考慮事項

このセクションでは、このリファレンス アーキテクチャを使用して、セキュリティ、信頼性、パフォーマンスに関する特定の要件を満たすトポロジを開発する際に考慮すべき設計要素、ベスト プラクティス、設計に関する推奨事項について説明します。

セキュリティとコンプライアンス

次のリストは、このリファレンス アーキテクチャのセキュリティとコンプライアンスに関する考慮事項を示しています。

  • コンプライアンス上の理由から、Cloud Interconnect を単一リージョンにのみデプロイすることがあります。すべてのトラフィックを単一のリージョンに維持する場合は、99.9% のトポロジを使用できます。詳細については、Dedicated Interconnect で 99.9% の可用性を実現するPartner Interconnect で 99.9% の可用性を実現するをご覧ください。
  • Cloud Next Generation Firewall を使用して、ワークロード VPC ネットワーク間を移動するトラフィックを保護します。
  • L7 トラフィック検査が必要な場合は、侵入検知と防止サービス(必要に応じて TLS インスペクションのサポートを含む)を有効にして、悪意のあるアクティビティをブロックし、脅威からワークロードを保護します。このサービスは、脆弱性、スパイウェア対策、ウイルス対策をサポートします。このサービスは、パケット インターセプト テクノロジーを使用して、ルートの再設計を必要とせずにワークロードを透過的に検査する Google 管理のゾーン ファイアウォール エンドポイントを作成します。Cloud Next Generation Firewall Enterprise では、ゾーン ファイアウォール エンドポイントとデータ処理の料金が発生します。
  • ファイアウォール ポリシールールの Google Threat Intelligence を有効にして、Google Threat Intelligence データに基づいて接続を許可またはブロックします。
  • ファイアウォール ポリシールールの位置情報オブジェクトを使用して、許可された国からのトラフィックのみを許可し、禁輸措置が取られている国をブロックします。
  • トラフィックとコンプライアンスのニーズに応じて、ロギングとモニタリングを有効にします。VPC Flow Logs を使用すると、トラフィック パターンの分析情報を取得できます。
  • Cloud IDS を使用して、トラフィックに関する追加の分析情報を収集します。
  • NVA がインターネット上の場所に接続して更新をダウンロードする必要がある場合は、インターネット アクセス VPC ネットワークで Cloud NAT を構成します。
  • 外部ネットワークのクライアントが Google API に直接アクセスできるようにするには、ルーティング VPC ネットワークに次のようにポリシーベースのルートを作成します。
    • 送信元範囲: 外部ネットワークの集約範囲。
    • 宛先範囲: 199.36.153.4/30
    • ネクストホップ: default-internet-gateway

  • Google Cloud VM がプライベート接続を介して Google API にアクセスできるようにするには、次の操作を行います。

    1. 各 VPC ネットワークで限定公開の Google アクセスを有効にします。
    2. 各ワークロード ネットワークで、Google API にアクセスするためのポリシーベースのルートを作成します。
      • 送信元範囲: ワークロード VPC サブネットのアドレス範囲。
      • 宛先範囲: 199.36.153.4/30
      • ネクストホップ: default-internet-gateway
    3. ルーティング VPC ネットワークとすべてのワークロード VPC ネットワークに適用される限定公開の Google アクセスの DNS 応答ポリシーを作成します。

    4. DNS レスポンス ポリシーで、次のようにルールを作成します。

      • DNS 名: *.googleapis.com.

      • ローカルデータ:

        name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"

信頼性

このリファレンス アーキテクチャの信頼性に関する考慮事項は次のとおりです。

  • Cloud Interconnect で 99.99% の可用性を実現するには、VM が 1 つのリージョンにしかない場合でも、2 つの異なる Google Cloud リージョンに接続する必要があります。
  • 信頼性を高め、リージョン障害の影響を最小限に抑えるには、Google Cloud マルチリージョン デプロイ アーキタイプを使用して、複数のリージョンにデプロイを複製します。
  • サービス アクセス VPC と他のネットワーク間の想定されるトラフィックを処理するには、十分な数の VPN トンネルを作成します。個々の VPN トンネルには帯域幅の上限があります。外部ネットワークとルーティング VPC ネットワーク間で HA VPN を使用している場合も、同じガイダンスが適用されます。

パフォーマンスの最適化

このリファレンス アーキテクチャのパフォーマンスに関する考慮事項は次のとおりです。

  • ネットワークと接続の最大伝送単位(MTU)を増やすことで、ネットワーク パフォーマンスを向上させることができます。詳細については、最大伝送単位をご覧ください。
  • ルーティング VPC とワークロード リソース間の通信は VPC ネットワーク ピアリングを介して行われます。これにより、ネットワーク内のすべての VM で追加費用なしでフルラインレートのスループットが実現します。デプロイを計画する際は、VPC ネットワーク ピアリングの割り当てと上限を考慮してください。
  • HA VPN または Cloud Interconnect を使用して、外部ネットワークをルーティング VPC ネットワークに接続できます。費用とパフォーマンスのバランスに関する考慮事項の詳細については、Network Connectivity プロダクトの選択をご覧ください。

デプロイ

このドキュメントのアーキテクチャでは、中央ルーティング VPC ネットワークへの 3 つの接続と、ワークロード VPC ネットワーク間の別の接続を作成します。すべての接続が完全に構成されると、デプロイ内のすべてのネットワークが他のすべてのネットワークと通信できるようになります。

このデプロイでは、外部ネットワークとルーティング VPC ネットワーク間の接続を 1 つのリージョンで作成することを前提としています。ただし、ワークロード サブネットは任意のリージョンに配置できます。ワークロードを 1 つのリージョンにのみ配置する場合は、そのリージョンにサブネットを作成するだけで済みます。

このリファレンス アーキテクチャをデプロイするには、次のタスクを完了します。

  1. 接続とワークロードを配置するリージョンを特定する
  2. VPC ネットワークとサブネットを作成する
  3. ファイアウォール ルールを制御するリソースタグを作成する
  4. ネットワーク ファイアウォール ポリシーを作成して関連付ける
  5. 外部ネットワークとルーティング VPC ネットワーク間の接続を作成する
  6. ルーティング VPC ネットワークとサービス アクセス VPC ネットワーク間の接続を作成する
  7. ルーティング VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する
  8. ワークロード VPC ネットワークを接続する
  9. NVA をインストールする
  10. サービス ルーティングを作成する
  11. インターネット アクセス ネットワークでインターネット アクセスを設定する
  12. ワークロードへの接続性をテストする

接続とワークロードを配置するリージョンを特定する

一般に、接続、VPC サブネット、ワークロードは、オンプレミス ネットワークまたは他のクラウド クライアントの近くに配置することをおすすめします。 Google Cloud ワークロードの配置の詳細については、Google Cloud リージョン選択ツールCompute Engine のリージョン選択に関するベスト プラクティスをご覧ください。

VPC ネットワークとサブネットを作成する

VPC ネットワークとサブネットを作成するには、次のタスクを完了します。

  1. VPC ネットワークを作成するプロジェクトを作成または特定します。外部に公開する接続を配置するルーティング プロジェクトと、サービス アクセスとワークロードの VPC ネットワークをホストする別のプロジェクトが必要です。ガイダンスについては、ネットワーク セグメンテーションとプロジェクト構造をご覧ください。共有 VPC ネットワークを使用する場合は、プロジェクトを共有 VPC ホスト プロジェクトとしてプロビジョニングします。
  2. ネットワークの IP アドレス割り振りを計画します。内部範囲を作成することで、範囲を事前割り当てして予約できます。集約可能なアドレス ブロックを割り当てると、後の構成とオペレーションがより簡単になります。
  3. ルーティング プロジェクトにルーティング VPC ネットワーク VPC とサブネットを作成します。複数のリージョンを使用する可能性がある場合は、グローバル ルーティングを有効にします。
  4. ルーティング プロジェクトにインターネット アクセス VPC ネットワークとサブネットを作成します。
  5. ホスト プロジェクトにサービス アクセス VPC ネットワークとサブネットを作成します。複数のリージョンを使用する可能性がある場合は、グローバル ルーティングを有効にします。
  6. ホスト プロジェクトにワークロード VPC ネットワークとサブネットを作成します。複数のリージョンを使用する可能性がある場合は、グローバル ルーティングを有効にします。

リソースタグを作成して Cloud Next Generation Firewall ルールを管理する

次のタグを作成します。名前は自由に付けられます。記載されている名前は例にすぎません。

  1. ルーティング VPC ネットワークの場合:
    • キー: routing-vpc-tags
    • : routing-vpc-multinic
    • 目的: GCE_FIREWALL
    • Purpose-data: ルーティング VPC ネットワークの名前。

  2. ワークロード VPC ネットワークごとに、次の操作を行います。

    • キー: WORKLOAD_NAME-tags

      WORKLOAD_NAME は、ワークロード VPC ネットワークの名前に置き換えます。

    • : WORKLOAD_NAME-clientsWORKLOAD_NAME-www

      WORKLOAD_NAME は、ワークロード VPC ネットワークの名前に置き換えます。

    • 目的: GCE_FIREWALL

    • Purpose-data: ワークロード VPC ネットワークの名前。

  3. インターネット アクセス ネットワークの場合:

    • キー: internet-tag
    • : internet-vpc
    • 目的: GCE_FIREWALL
    • Purpose-data: インターネット アクセス ネットワークの名前。

ネットワーク ファイアウォール ポリシーを作成して関連付ける

このセクションでは、デプロイ用に作成して関連付ける Cloud NGFW ルールについて説明します。

  1. ルーティング プロジェクトにグローバル ネットワーク ファイアウォール ポリシーを作成します。
  2. ポリシーに次のファイアウォール ルールを作成します。
  3. ポリシーをルーティング VPC ネットワークに関連付けます。
  4. ワークロードとサービス アクセス VPC のワークロードに基づいて、ワークロード ホスティング プロジェクトにファイアウォール ポリシーとルールを作成して、そのトラフィックを制御します。

外部ネットワークとルーティング VPC ネットワーク間の接続を作成する

このセクションでは、単一リージョンでの接続を前提としています。

  1. 外部ネットワークとルーティング ネットワーク間の接続を設定します。この考え方については、外部接続とハイブリッド接続をご覧ください。接続プロダクトの選択については、ネットワーク接続プロダクトの選択をご覧ください。
  2. [BGP を構成する] を次のように構成します。
    • 指定された外部ロケーションでルーターを次のように構成します。
      • 両方のインターフェースで同じ BGP MED(100 など)を使用して、その外部ロケーションのすべてのサブネットをアドバタイズします。両方のインターフェースが同じ MED をアナウンスする場合、 Google Cloud は ECMP を使用して両方の接続間でトラフィックをロード バランシングできます。
    • 接続されたリージョンのルーティング VPC で、外部に接続する Cloud Router を次のように構成します。
      • カスタムルート アドバタイズを使用して、すべてのリージョンのすべてのサブネット範囲を両方の外部向け Cloud Router インターフェースでアドバタイズします。可能であれば、集計します。両方のインターフェースで同じ MED(100 など)を使用します。

ルーティング VPC ネットワークとサービス アクセス VPC ネットワーク間の接続を作成する

services-access VPC は HA VPN を使用してルーティング VPC に接続します。VPN を使用すると、サービス アクセス VPC と外部ネットワークおよびワークロード ネットワークの両方との間で推移的ルーティングが可能になります。

  1. ルーティング VPC とサービス アクセス VPC の間で転送する必要があるトラフィック量を推定します。予想されるトンネルの数を適宜スケーリングします。
  2. HA VPN ゲートウェイを作成して VPC ネットワークに接続するの手順に沿って、ルーティング VPC とサービス アクセス VPC の間に HA VPN を構成します。ルーティング ネットワークに専用の HA VPN Cloud Router を作成します。外部ネットワーク接続用に外部ネットワークに接続するルーターを残します。
    • ルーティング VPC Cloud Router の構成:
      • 外部ネットワークとワークロード VPC サブネットをサービス アクセス VPC に通知するには、ルーティング VPC の Cloud Router でカスタム ルート アドバタイズを使用します。
    • サービス アクセス VPC Cloud Router の構成:
      • サービス アクセス VPC サブネットをルーティング VPC に通知するには、サービス アクセス VPC Cloud Router でカスタム ルート アドバタイズを使用します。
      • プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、カスタムルートを使用してこれらのサブネットも通知します。
  3. プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、VPC ネットワーク ピアリング接続が確立された後、VPC ネットワーク ピアリング接続のサービス アクセス VPC 側を更新してカスタムルートをエクスポートします。

ルーティング VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する

ルーティング VPC と各ワークロード VPC の間に VPC ネットワーク ピアリング接続を作成します。

  • 各接続のルーティング VPC 側で [カスタムルートのエクスポート] を有効にします。
  • 各接続のワークロード VPC 側で [カスタムルートをインポート] を有効にします。
  • デフォルトのシナリオでは、ワークロード VPC サブネット ルートのみがルーティング VPC にエクスポートされます。ワークロード VPC からカスタムルートをエクスポートする必要はありません。

ワークロード VPC ネットワークを接続する

Network Connectivity Center VPC スポークを使用して、ワークロード VPC ネットワークを接続します。すべてのスポークを同じ Network Connectivity Center スポーク ピア グループの一部にします。コア ピアグループを使用して、VPC 間のフルメッシュ通信を許可します。

Cloud Next Generation Firewall を使用して、ワークロード VPC ネットワーク内およびワークロード VPC ネットワーク間のトラフィックを制御します。

Network Connectivity Center 接続は、ワークロード VPC ネットワーク間で特定のルートをアドバタイズします。これらのネットワーク間のトラフィックは、これらのルートに従います。

NVA をインストールする

この手順は、NVA に使用する VM イメージがあることを前提としています。

ロードバランスされた NVA のグループを作成します。詳細については、サードパーティ アプライアンス用に内部パススルー ネットワーク ロードバランサを設定するをご覧ください。

  • 次のパラメータを使用して、NVA イメージに基づいてインスタンス テンプレートを作成します。

    • ネットワーク タグ: nva-REGION

      REGION は、リージョンの名前で置き換えます。

    • Resource Manager タグ: routing-vpc-tags=routing-vpc-multinic

    • 外部 IP アドレスのないルーティング VPC ネットワークのネットワーク インターフェース。

    • 外部 IP アドレスのないインターネット アクセス VPC ネットワークのネットワーク インターフェース。

    • VM とオペレーティング システムの can IP forward を設定します。

    • ルーティング ネットワークとインターネット アクセス ネットワーク間でトラフィックを送信する ip route ルートと iptables ルールを作成します。

  • 予想されるトラフィックを処理するのに十分な VM を含むリージョン マネージド インスタンス グループ(MIG)を作成します。

サービス ルーティングを作成する

このセクションでは、必要に応じて NVA を介してトラフィックを送信する方法、または NVA をバイパスする方法について説明します。

  1. ルーティング VPC ネットワークで、次のパラメータを使用してポリシーベースのルートを作成します。
    • ソース範囲: 0.0.0.0/0
    • 宛先範囲: 0.0.0.0/0
    • ネクストホップ: 内部パススルー ネットワーク ロードバランサの転送ルールの IP アドレス
    • ネットワーク タグ: ネットワーク タグを指定しないでください。これらのパラメータは、VLAN アタッチメント、VPN トンネル、またはネットワーク内の別の VM からのすべてのトラフィックに適用されるルールを作成します。

  2. ルーティング ネットワークで、次のパラメータを使用してスキップ ポリシーベースのルートを作成します。

    • ソース範囲: 0.0.0.0/0
    • 宛先範囲: 0.0.0.0/0
    • ネクストホップ: 他のポリシーベースのルートをスキップしてデフォルトのルーティングを使用するようにネクストホップを設定します。

    • ネットワーク タグ: nva-REGION

      REGION は、リージョンの名前で置き換えます。

    これらのパラメータは、NVA VM から送信されるトラフィックにのみ適用されるルールを作成します。これにより、このようなトラフィックは作成した最初のポリシーベースのルートをスキップし、代わりに VPC ルーティング テーブルに従います。

  3. 各ワークロード ネットワークで、次の構成を使用してサブネットごとにポリシーベースのルートを作成します。

    • 送信元範囲: ワークロード VPC サブネットのアドレス範囲。
    • 宛先範囲: 0.0.0.0/0
    • ネクストホップ: ルーティング ネットワーク内の内部パススルー ネットワーク ロードバランサの転送ルールの IP アドレス

  4. 各ワークロード ネットワークで、サブネット内トラフィックのスキップ ポリシーベースのルートを作成します。

    • 送信元範囲: ワークロード VPC サブネットのアドレス範囲。
    • 宛先範囲: ワークロード VPC サブネットのアドレス範囲。
    • ネクストホップ: 他のポリシーベースのルートをスキップしてデフォルトのルーティングを使用するようにネクストホップを設定します。

  5. 各ワークロード ネットワークで、サブネット間のトラフィックのスキップ ポリシーベースのルートを作成します。ルートを集約できない限り、他のワークロード サブネットごとにルートを作成する必要があります。

    • 送信元範囲: ワークロード VPC サブネットのアドレス範囲。
    • 宛先範囲: 他のワークロード サブネットの範囲。
    • ネクストホップ: 他のポリシーベースのルートをスキップしてデフォルトのルーティングを使用するようにネクストホップを設定します。

これらの手順では、VPC サブネット内のトラフィックとワークロード VPC サブネット間のトラフィック以外のすべてのトラフィックが NVA を経由してルーティングされることを前提としています。ワークロード VPC とサービス アクセス VPC 間のトラフィックで NVA をスキップする場合は、追加のポリシーベースのルーティング スキップ ルートをインストールし、このトラフィック用に Cloud NGFW ルールを追加で構成します。

インターネット アクセス ネットワークでインターネット アクセスを設定する

インターネットへのアウトバウンド アクセスを構成するには、インターネット アクセス ネットワークに Cloud NAT を設定します。

ワークロードへの接続性をテストする

VPC ネットワークにすでにワークロードがデプロイされている場合は、今すぐアクセスをテストします。ワークロードをデプロイする前にネットワークを接続した場合は、ここでデプロイしてテストできます。

次のステップ

寄稿者

著者:

  • Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
  • Deepak Michael | ネットワーキング スペシャリスト カスタマー エンジニア
  • Victor Moreno | プロダクト マネージャー、クラウド ネットワーキング
  • Mark Schlagenhauf | テクニカル ライター、ネットワーキング

その他の寄稿者: Ammett Williams | デベロッパー リレーションズ エンジニア