VPC ネットワーク ピアリングを使用した Cross-Cloud Network の VPC 間の接続

Last reviewed 2024-11-18 UTC

このドキュメントでは、Google Cloud に Cross-Cloud Network ハブアンドスポーク ネットワーク トポロジをデプロイするために使用できるリファレンス アーキテクチャについて説明します。このネットワーク設計により、Google Cloud と外部ネットワーク(オンプレミス データセンターや他のクラウド サービス プロバイダ(CSP)など)にソフトウェア サービスをデプロイできます。

この設計では、複数の外部接続、複数のサービス アクセス Virtual Private Cloud(VPC)ネットワーク、複数のワークロード VPC ネットワークがサポートされます。

このドキュメントは、ネットワーク接続を構築するネットワーク管理者と、ワークロードのデプロイ方法を計画するクラウド アーキテクトを対象としています。このドキュメントは、ルーティングとインターネット接続に関する基本的な知識があることを前提としています。

アーキテクチャ

次の図は、ネットワークのアーキテクチャと、このアーキテクチャがサポートする 4 つのパケットフローを示しています。

ドキュメントで説明されている 4 種類の接続。

このアーキテクチャは、次の大まかな要素で構成されています。

コンポーネント 目的 インタラクション
外部ネットワーク(オンプレミスまたは他の CSP ネットワーク) ワークロード VPC とサービス アクセス VPC で実行されるワークロードのクライアントをホストします。外部ネットワークでサービスをホストすることもできます。 トランジット ネットワークを介して Google Cloud の Virtual Private Cloud ネットワークとデータを交換します。Cloud Interconnect または HA VPN を使用してトランジット ネットワークに接続します。

次のフローの一方の端を終了します。

  • External-to-shared-services
  • ワークロード外部
トランジット VPC ネットワーク 外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークのハブとして機能します。 Cloud Interconnect、HA VPN、VPC ネットワーク ピアリングの組み合わせを使用して、外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークを接続します。
サービス アクセス VPC ネットワーク ワークロード VPC ネットワークまたは外部ネットワークで実行されているワークロードに必要なサービスへのアクセスを提供します。また、他のネットワークでホストされているマネージド サービスへのアクセス ポイントも提供します。 転送ネットワークを介して外部ネットワークとワークロード ネットワークとデータを交換します。HA VPN を使用してトランジット VPC に接続します。HA VPN によって提供されるトランジタビリティ ルーティングにより、外部トラフィックはサービス アクセス VPC ネットワークを介してマネージド サービス VPC に到達できます。

次のフローの一方の端を終了します。

  • External-to-shared-services
  • Workload-to-shared-services
マネージド サービスの VPC ネットワーク 他のネットワークのクライアントに必要なマネージド サービスをホストします。 外部ネットワーク、サービス アクセス ネットワーク、ワークロード ネットワークとデータを交換します。VPC ネットワーク ピアリングを使用するプライベート サービス アクセスまたは Private Service Connect を使用して、サービス アクセス VPC ネットワークに接続します。

他のすべてのネットワークからのフローの一方の端を終端します。
ワークロードの VPC ネットワーク 他のネットワークのクライアントが必要とするワークロードをホストします。 トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービス アクセス VPC ネットワークとデータを交換します。VPC ネットワーク ピアリングを使用してトランジット ネットワークに接続します。Network Connectivity Center VPC スポークを使用して、他のワークロード VPC ネットワークに接続します。

次のフローの一方の端を終了します。

  • ワークロード外部
  • Workload-to-shared-services
  • ワークロード間

次の図は、ネットワーク間の 4 つの接続をハイライト表示したアーキテクチャの詳細を示しています。

ドキュメントで説明されている 4 種類の接続。

接続の説明

このセクションでは、上の図に示す 4 つの接続について説明します。

接続 1: 外部ネットワークとトランジット VPC ネットワークの間

外部ネットワークとトランジット VPC ネットワーク間のこの接続は、Cloud Interconnect または HA VPN を介して行われます。ルートは、トランジット VPC ネットワーク内の Cloud Router と外部ネットワーク内の外部ルーター間で BGP を使用して交換されます。

  • 外部ネットワーク内のルータは、トランジット VPC Cloud Router に外部サブネットのルートをアドバタイズします。一般に、特定のロケーションにある外部ルータは、他の外部ロケーションのルートよりも、同じ外部ロケーションからのルートを優先として通知します。ルートの優先度は、BGP 指標と属性を使用して表すことができます。
  • トランジット VPC ネットワーク内の Cloud Router は、Google Cloud の VPC 内のプレフィックスのルートを外部ネットワークにアドバタイズします。これらのルートは、Cloud Router のカスタムルート アドバタイズを使用して通知する必要があります。

接続 2: トランジット VPC ネットワークとサービス アクセス VPC ネットワークの間

トランジット VPC ネットワークとサービス アクセス VPC ネットワーク間のこの接続は、リージョンごとに個別のトンネルを使用して HA VPN を介して行われます。ルートの交換は、トランジット VPC ネットワーク内のリージョン Cloud Router とサービス アクセス VPC ネットワーク間で BGP を使用して行われます。

  • トランジット VPC HA VPN Cloud Router は、外部ネットワーク プレフィックス、ワークロード VPC、その他のサービス アクセス VPC のルートをサービス アクセス VPC Cloud Router にアドバタイズします。これらのルートは、Cloud Router のカスタムルート アドバタイズを使用して通知する必要があります。
  • サービス アクセス VPC ネットワークは、そのサブネットと、接続されているマネージド サービス VPC ネットワークのサブネットをトランジット VPC ネットワークに通知します。マネージド サービスの VPC ルートとサービス アクセス VPC サブネット ルートは、Cloud Router のカスタムルート アドバタイズを使用してアドバタイズする必要があります。

接続 3: トランジット VPC ネットワークとワークロード VPC ネットワークの間

トランジット VPC ネットワークとワークロード VPC ネットワーク間のこの接続は、VPC ピアリングを介して実装されます。サブネットとプレフィックス ルートは、VPC ピアリング メカニズムを使用して交換されます。この接続により、ワークロード VPC ネットワークと、トランジット VPC ネットワークに接続されている他のネットワーク(外部ネットワークやサービス アクセス VPC ネットワークなど)との間で通信が可能になります。

  • トランジット VPC ネットワークは、VPC ネットワーク ピアリングを使用してカスタムルートをエクスポートします。これらのカスタムルートには、トランジット VPC ネットワークによって学習されたすべての動的ルートが含まれます。ワークロードの VPC ネットワークは、これらのカスタムルートをインポートします。
  • ワークロードの VPC ネットワークは、サブネットをトランジット VPC ネットワークに自動的にエクスポートします。ワークロード VPC からトランジット VPC にカスタムルートがエクスポートされることはありません。

接続 4: ワークロード VPC ネットワーク間

  • ワークロード VPC ネットワークは、Network Connectivity Center VPC スポークを使用して接続できます。これは省略可能な構成です。ワークロード VPC ネットワークが相互に通信しないようにする場合は、省略できます。

トラフィック フロー

次の図は、このリファレンス アーキテクチャで有効になっている 4 つのフローを示しています。

このドキュメントで説明する 4 つのフロー。背景情報も詳しく説明しています。

次の表に、図のフローを示します。

ソース 宛先 説明
外部ネットワーク サービス アクセス VPC ネットワーク
  1. トラフィックは、Cloud Interconnect 接続を経由してトランジット ネットワークに転送されます。ルートは外部向けの Cloud Router によってアドバタイズされます。
  2. トラフィックはカスタムルートをたどってサービス アクセス VPC ネットワークに送信されます。ルートは HA VPN 接続を介してアドバタイズされます。宛先が、プライベート サービス アクセスによってサービス アクセス VPC ネットワークに接続されているマネージド サービス VPC ネットワークにある場合、トラフィックは VPC ネットワーク ピアリング カスタムルートを経由してマネージド サービス ネットワークに送信されます。
サービス アクセス VPC ネットワーク 外部ネットワーク
  1. トラフィックは、HA VPN トンネルを経由してカスタムルートをたどり、トランジット ネットワークに送信されます。
  2. トラフィックは、外部接続を経由して外部ネットワークに戻ります。ルートは BGP を介して外部ルーターから学習されます。
外部ネットワーク ワークロードの VPC ネットワーク
  1. トラフィックは、外部接続を経由してトランジット ネットワークに転送されます。ルートは外部向けの Cloud Router によってアドバタイズされます。
  2. トラフィックは、サブネット ルートに沿って関連するワークロード VPC ネットワークに送信されます。ルートは VPC ネットワーク ピアリングを介して学習されます。
ワークロードの VPC ネットワーク 外部ネットワーク
  1. トラフィックは、トランジット ネットワークに戻るルートをたどります。ルートは、VPC ネットワーク ピアリング カスタムルートのエクスポートによって学習されます。
  2. トラフィックは、外部接続を経由して外部ネットワークに戻ります。ルートは、BGP を介して外部ルーターから学習されます。
ワークロードの VPC ネットワーク サービス アクセス VPC ネットワーク
  1. トラフィックは、トランジット VPC へのルートに沿って転送されます。ルートは、VPC ネットワーク ピアリング カスタムルートのエクスポートによって学習されます。
  2. トラフィックは、HA VPN トンネルのいずれかを経由して、サービス アクセス VPC ネットワークに転送されます。ルートは BGP カスタムルート アドバタイズから学習されます。
サービス アクセス VPC ネットワーク ワークロードの VPC ネットワーク
  1. トラフィックはカスタムルートを経由してトランジット ネットワークに送信されます。ルートは HA VPN トンネル全体に通知されます。
  2. トラフィックは、サブネット ルートに沿って関連するワークロード VPC ネットワークに送信されます。ルートは VPC ネットワーク ピアリングを介して学習されます。
ワークロードの VPC ネットワーク ワークロードの VPC ネットワーク 1 つのワークロード VPC から送信されるトラフィックは、Network Connectivity Center を経由して、より具体的なルートをたどって他のワークロード VPC に送信されます。戻りトラフィックは、このパスを逆にします。

使用するプロダクト

このリファレンス アーキテクチャでは、次の Google Cloud プロダクトを使用します。

  • Virtual Private Cloud(VPC): Google Cloud ワークロードにグローバルでスケーラブルなネットワーキング機能を提供する仮想システム。VPC には、VPC ネットワーク ピアリング、Private Service Connect、プライベート サービス アクセス、共有 VPC が含まれます。
  • Network Connectivity Center: ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間のネットワーク接続を簡素化するオーケストレーション フレームワークです。hub
  • Cloud Interconnect: 高可用性で低レイテンシの接続を通じて、外部ネットワークを Google ネットワークに拡張するサービス。
  • Cloud VPN: IPsec VPN トンネルを介してピア ネットワークを Google のネットワークに安全に拡張するサービス。
  • Cloud Router: 分散型のフルマネージド サービスで、Border Gateway Protocol(BGP)のスピーカー機能とレスポンダー機能を提供します。Cloud Router は、Cloud Interconnect、Cloud VPN、Router アプライアンスと連携して、BGP で受信したルートやカスタム学習ルートに基づいて VPC ネットワークに動的ルートを作成します。

設計上の考慮事項

このセクションでは、このリファレンス アーキテクチャを使用して、セキュリティ、信頼性、パフォーマンスに関する特定の要件を満たすトポロジを開発する際に考慮すべき設計要素、ベスト プラクティス、設計に関する推奨事項について説明します。

セキュリティとコンプライアンス

次のリストは、このリファレンス アーキテクチャのセキュリティとコンプライアンスの考慮事項を示しています。

  • コンプライアンス上の理由から、ワークロードを単一のリージョンにのみデプロイする場合があります。すべてのトラフィックを単一のリージョンに保持する場合は、99.9% のトポロジを使用できます。詳細については、Dedicated Interconnect で 99.9% の可用性を実現するPartner Interconnect で 99.9% の可用性を実現するをご覧ください。
  • Cloud Next Generation Firewall を使用して、サービス アクセス VPC ネットワークとワークロード VPC ネットワークとの間で送受信されるトラフィックを保護します。外部ネットワークとトランジット ネットワーク間で送受信されるトラフィックを保護するには、外部ファイアウォールまたは NVA ファイアウォールを使用する必要があります。
  • トラフィックとコンプライアンスのニーズに応じて、ロギングとモニタリングを有効にします。VPC フローログを使用して、トラフィック パターンの分析情報を取得できます。
  • Cloud IDS を使用して、トラフィックに関する追加の分析情報を収集します。

信頼性

次のリストは、このリファレンス アーキテクチャの信頼性に関する考慮事項を示しています。

  • Cloud Interconnect で 99.99% の可用性を実現するには、2 つの異なる Google Cloud リージョンに接続する必要があります。
  • 信頼性を向上させ、リージョン障害の影響を最小限に抑えるには、ワークロードやその他のクラウド リソースをリージョン間で分散します。
  • 想定されるトラフィックを処理するには、十分な数の VPN トンネルを作成します。個々の VPN トンネルには帯域幅の上限があります。

パフォーマンスの最適化

次のリストに、このリファレンス アーキテクチャのパフォーマンスに関する考慮事項を示します。

  • ネットワークと接続の最大伝送単位(MTU)を増やすと、ネットワーク パフォーマンスを改善できる場合があります。詳細については、最大伝送単位をご覧ください。
  • トランジット VPC とワークロード リソース間の通信は VPC ネットワーク ピアリングを介して行われ、ネットワーク内のすべての VM に追加費用なしでフルラインレートのスループットを提供します。デプロイを計画する際は、VPC ネットワーク ピアリングの割り当てと上限を考慮してください。外部ネットワークをトランジット ネットワークに接続する方法はいくつかあります。費用とパフォーマンスのバランスに関する考慮事項の詳細については、ネットワーク接続プロダクトの選択をご覧ください。

デプロイ

このドキュメントのアーキテクチャでは、中央トランジット VPC ネットワークへの 3 つの接続セットと、ワークロード VPC ネットワーク間の別の接続を作成します。すべての接続が完全に構成されると、デプロイ内のすべてのネットワークが他のすべてのネットワークと通信できるようになります。

このデプロイでは、2 つのリージョンの外部ネットワークとトランジット ネットワークの間に接続を作成することを前提としています。ただし、ワークロード サブネットは任意のリージョンに配置できます。ワークロードを 1 つのリージョンにのみ配置する場合は、そのリージョンにサブネットを作成する必要があります。

このリファレンス アーキテクチャをデプロイするには、次のタスクを完了します。

  1. 接続とワークロードを配置するリージョンを特定する
  2. VPC ネットワークとサブネットを作成する
  3. 外部ネットワークとトランジット VPC ネットワーク間の接続を作成する
  4. トランジット VPC ネットワークとサービス アクセス VPC ネットワークの間に接続を作成する
  5. トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する
  6. ワークロードの VPC ネットワークを接続する
  7. ワークロードへの接続をテストする

接続とワークロードを配置するリージョンを特定する

一般に、接続と Google Cloud ワークロードは、オンプレミス ネットワークや他のクラウド クライアントの近くに配置します。ワークロードの配置の詳細については、Google Cloud リージョン選択ツールCompute Engine のリージョン選択に関するベスト プラクティスをご覧ください。

VPC ネットワークとサブネットを作成する

VPC ネットワークとサブネットを作成するには、次のタスクを完了します。

  1. VPC ネットワークを作成するプロジェクトを作成または特定します。ガイダンスについては、ネットワーク セグメンテーションとプロジェクト構造をご覧ください。共有 VPC ネットワークを使用する場合は、プロジェクトを共有 VPC ホスト プロジェクトとしてプロビジョニングします。
  2. ネットワークの IP アドレス割り振りを計画します。内部範囲を作成して、範囲を事前に割り振って予約できます。集約可能なアドレス ブロックを割り振ると、後続の構成と運用が簡単になります。
  3. グローバル ルーティングを有効にしてトランジット ネットワーク VPC を作成します。
  4. サービス VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバル ルーティングを有効にします。
  5. ワークロードの VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバル ルーティングを有効にします。

外部ネットワークとトランジット VPC ネットワーク間の接続を作成する

このセクションでは、2 つのリージョン間の接続を前提としています。また、外部ロケーションが接続されており、相互にフェイルオーバーできることを前提としています。また、外部ロケーション A のクライアントがリージョン A のサービスにアクセスすることを優先することを前提としています。

  1. 外部ネットワークとトランジット ネットワーク間の接続を設定します。この考え方については、外部接続とハイブリッド接続をご覧ください。接続プロダクトの選択に関するガイダンスについては、Network Connectivity プロダクトの選択をご覧ください。
  2. 次のように、接続されている各リージョンで BGP を構成します。
    • 次のように、指定された外部ロケーションでルーターを構成します。
      • 両方のインターフェースで同じ BGP MED(100 など)を使用して、その外部ロケーションのすべてのサブネットをアドバタイズします。両方のインターフェースが同じ MED を通知する場合、Google Cloud は ECMP を使用して両方の接続間でトラフィックをロード バランシングできます。
      • 最初のリージョンよりも優先度の低い MED(200 など)を使用して、他の外部ロケーションからすべてのサブネットをアドバタイズします。両方のインターフェースから同じ MED を通知します。
    • 接続されたリージョンのトランジット VPC で、外部向けの Cloud Router を次のように構成します。
      • Cloud Router の ASN を 16550 に設定します。
      • カスタムルート アドバタイズを使用して、両方の外部向け Cloud Router インターフェースを介して、すべてのリージョンのすべてのサブネット範囲をアドバタイズします。可能であれば、それらを集約します。両方のインターフェースで同じ MED(100 など)を使用します。

トランジット VPC ネットワークとサービス アクセス VPC ネットワーク間の接続を作成する

外部ネットワークとサービス アクセス VPC 間、ワークロード VPC とサービス アクセス VPC 間の推移的ルーティングを提供するため、サービス アクセス VPC は接続に HA VPN を使用します。

  1. 各リージョンのトランジット VPC とサービス アクセス VPC 間で転送する必要があるトラフィックの量を見積もります。それに応じて、想定されるトンネル数をスケーリングします。
  2. HA VPN ゲートウェイを作成して VPC ネットワークに接続するの手順に沿って、リージョン A のトランジット VPC とサービス アクセス VPC の間に HA VPN を構成します。トランジット ネットワークに専用の HA VPN Cloud Router を作成します。外部ネットワーク接続用に外部ネットワークに接続するルーターを残します。
    • トランジット VPC Cloud Router の構成:
      • 外部ネットワークとワークロードの VPC サブネットをサービス アクセス VPC に通知するには、トランジット VPC の Cloud Router でカスタム ルート アドバタイズを使用します。
    • サービス アクセス VPC Cloud Router の構成:
      • サービス アクセス VPC サブネットをトランジット VPC に通知するには、サービス アクセス VPC Cloud Router でカスタム ルート アドバタイズを使用します。
      • プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、カスタムルートを使用してこれらのサブネットも通知します。
  3. プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、VPC ネットワーク ピアリング接続が確立されたら、VPC ネットワーク ピアリング接続のサービス アクセス VPC 側を更新して、カスタムルートをエクスポートします。

トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する

トランジット VPC と各ワークロード VPC の間に VPC ネットワーク ピアリング接続を作成します。

  • 各接続のトランジット VPC 側で [カスタムルートのエクスポート] を有効にします。
  • 各接続のワークロード VPC 側で [カスタムルートのインポート] を有効にします。
  • デフォルトのシナリオでは、ワークロード VPC サブネット ルートのみがトランジット VPC にエクスポートされます。ワークロード VPC からカスタムルートをエクスポートする必要はありません。

ワークロードの VPC ネットワークを接続する

Network Connectivity Center VPC スポークを使用して、ワークロードの VPC ネットワークを接続します。すべてのスポークを同じ Network Connectivity Center スポーク ピア グループに含めます。コアピア グループを使用して、VPC 間のフルメッシュ通信を許可します。

Network Connectivity Center 接続は、ワークロード VPC ネットワーク間の特定のルートを通知します。これらのネットワーク間のトラフィックは、これらのルートをたどります。

ワークロードへの接続をテストする

VPC ネットワークにワークロードがすでにデプロイされている場合は、ワークロードへのアクセスをテストします。ワークロードをデプロイする前にネットワークを接続した場合は、ここでデプロイしてテストできます。

次のステップ

寄稿者

著者:

  • Deepak Michael | ネットワーキング スペシャリスト カスタマー エンジニア
  • Victor Moreno | プロダクト マネージャー、クラウド ネットワーキング
  • Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア

その他の寄稿者: