分散型アプリケーション向けの Cross-Cloud Network

Cross-Cloud Network を使用すると、分散型アプリケーションのアセンブリ アーキテクチャを実現できます。Cross-Cloud Network を使用することで、複数のクラウドとオンプレミス ネットワークにワークロードとサービスを分散できます。このソリューションは、アプリケーション デベロッパーとオペレーターに、複数のクラウドにわたる単一のクラウドのエクスペリエンスを提供します。このソリューションでは、ハイブリッド クラウドとマルチクラウドのネットワーキングの既存の使用方法を活用し、拡張します。

このガイドは、Cross-Cloud Network で分散型アプリケーションを設計して構築するネットワーク アーキテクトやエンジニアを対象としています。このガイドでは、Cross-Cloud Network の設計に関する考慮事項を包括的に説明します。

この設計ガイドは、次のドキュメントを含むシリーズです。

• 分散型アプリケーションの Cross-Cloud Network 設計（このドキュメント）
• Cross-Cloud Network における分散型アプリケーションのネットワーク セグメンテーションと接続
• Cross-Cloud Network における分散型アプリケーションのネットワーク セキュリティ

このアーキテクチャは、リージョン アプリケーション スタックとグローバル アプリケーション スタックをサポートし、次の機能レイヤで構成されています。

• ネットワーク セグメンテーションと接続: Virtual Private Cloud（VPC）セグメンテーション構造と、VPC 間および外部ネットワークへの IP 接続が関連します。
• サービス ネットワーキング: アプリケーション サービスのデプロイが含まれます。アプリケーション サービスは、ロードバランシングされ、プロジェクトと組織全体で利用可能になります。
• ネットワーク セキュリティ: 組み込みのクラウド セキュリティとネットワーク仮想アプライアンス（NVA）の両方を使用して、クラウド内およびクラウド間の通信のセキュリティを適用できます。

ネットワーク セグメンテーションと接続

セグメンテーションの構造と接続は、設計の基礎となります。次の図は、統合型またはセグメント化型のインフラストラクチャを使用して実装できる VPC セグメント化構造を示しています。この図では、ネットワーク間の接続は示されていません。

この構造には次のコンポーネントが含まれます。

• トランジット VPC: 外部ネットワーク接続とルーティング ポリシーを処理します。この VPC は、他の VPC の共有接続ハブとしても機能します。
• セントラル サービス VPC: 組織が作成してホストするサービスが含まれます。サービスは、ハブを介してアプリケーション VPC に提供されます。必須ではありませんが、共有 VPC を使用することをおすすめします。
• マネージド サービス VPC: 他のエンティティによって提供されるサービスが含まれます。サービスは、Private Service Connect またはプライベート サービス アクセスを使用して、VPC ネットワークで実行されているアプリケーションにアクセスできるようにします。

アプリケーション VPC のセグメンテーション構造の選択は、必要なアプリケーション VPC の規模、境界ファイアウォールを Cross-Cloud Network にデプロイする予定があるかどうか、一元管理されたサービス公開と分散サービス公開のどちらを選択するかによって異なります。

Cross-Cloud Network は、リージョン アプリケーション スタックとグローバル アプリケーション スタックのデプロイをサポートしています。これらのアプリケーションの復元性に関するアーキタイプはどちらも、提案されている VPC 間接続パターンによるセグメンテーション構造でサポートされています。

VPC ネットワーク ピアリングと HA-VPN ハブアンドスポーク パターンを組み合わせて使用すると、セグメント間の VPC 間接続を実現できます。または、Network Connectivity Center を使用して、すべての VPC を Network Connectivity Center ハブのスポークとして配置することもできます。

DNS インフラストラクチャの設計は、接続パターンからは独立したセグメンテーション構造のコンテキストでも定義されます。

サービス ネットワーキング

アプリケーションのデプロイ アーキタイプが異なると、サービス ネットワーキングのパターンも異なります。Cross-Cloud Network の設計では、マルチリージョン デプロイ アーキタイプに注目します。このアーキタイプでは、アプリケーション スタックが複数の Google Cloud リージョンの複数のゾーンで独立して実行されます。

マルチリージョン デプロイ アーキタイプには、Cross-Cloud Network 設計に活用できる次の機能があります。

• DNS ルーティング ポリシーを使用して、受信トラフィックをリージョン ロードバランサにルーティングできます。
• これにより、リージョン ロードバランサはトラフィックをアプリケーション スタックに分散できます。
• リージョン フェイルオーバーを実装するには、DNS フェイルオーバー ルーティング ポリシーを使用して、アプリケーション スタックの DNS マッピングを再アンカーします。

マルチリージョン デプロイ アーキタイプの代替として、グローバル デプロイ アーキタイプがあります。このアーキタイプでは、単一のスタックがグローバル ロードバランサ上に構築され、複数のリージョンにわたって配置されます。Cross-Cloud Network の設計を行う際には、このアーキタイプの次の機能について検討してください。

• ロードバランサは、ユーザーに最も近いリージョンにトラフィックを分散します。
• インターネットに接続されたフロントエンドはグローバルですが、内部接続されたフロントエンドはグローバル アクセスが可能なリージョンのフロントエンドであるため、フェイルオーバー シナリオでアクセスできます。
• アプリケーション スタックの内部サービスレイヤでは、位置情報 DNS ルーティング ポリシーと DNS ヘルスチェックを使用できます。

マネージド公開サービスへのアクセスを提供する方法は、アクセスが必要なサービスによって異なります。さまざまなプライベート到達可能性モデルはモジュール化されており、アプリケーション スタックの設計による影響を受けません。

サービスによっては、Private Service Connect またはプライベート サービス アクセスを使用してプライベート アクセスを行うことができます。組み込みサービスと他の組織によって公開されたサービスを組み合わせて、アプリケーション スタックを構築できます。サービス スタックは、必要なレベルの復元性と最適化されたアクセス レイテンシの要件を満たすために、リージョンまたはグローバルにすることができます。

ネットワーク セキュリティ

ワークロードのセキュリティには、Google Cloud のファイアウォール ポリシーを使用することをおすすめします。

セキュリティやコンプライアンスの要件を満たすために組織でその他の高度な機能が必要な場合は、次世代ファイアウォール（NGFW）ネットワーク仮想アプライアンス（NVA）を挿入して、境界セキュリティ ファイアウォールを組み込むことができます。

NGFW NVA は、単一のネットワーク インターフェース（シングル NIC モード）または複数のネットワーク インターフェース（マルチ NIC モード）に挿入できます。NGFW NVA は、セキュリティ ゾーンまたはクラスレス ドメイン間ルーティング（CIDR）ベースの境界ポリシーをサポートできます。Cross-Cloud Network は、トランジット VPC と VPC ルーティング ポリシーを使用して、境界 NGFW NVA をデプロイします。

次のステップ

• Cross-Cloud Network アプリケーションのネットワーク セグメンテーションと接続を設計する。
• この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
  • VPC ネットワーク
  • 共有 VPC
  • VPC ネットワーク ピアリング
  • Private Service Connect
  • プライベート サービス アクセス
• ファイアウォール NVA のデプロイについて、Google Cloud で一元化されたネットワーク アプライアンスを確認する。
• Cloud アーキテクチャ センターで、その他のリファレンス アーキテクチャ、設計ガイド、ベスト プラクティスを確認する。

寄稿者

作成者:

• Victor Moreno | プロダクト マネージャー、クラウド ネットワーキング
• Ghaleb Al-habian | ネットワーク スペシャリスト
• Deepak Michael | ネットワーキング スペシャリスト カスタマー エンジニア
• Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
• Jonathan Almaleh | スタッフ テクニカル ソリューション コンサルタント

その他の寄稿者:

• Zach Seils | ネットワーキング スペシャリスト
• Christopher Abraham | ネットワーキング スペシャリスト カスタマー エンジニア
• Emanuele Mazza | ネットワーキング プロダクト スペシャリスト
• Aurélien Legrand | 戦略的クラウド エンジニア
• Eric Yu | ネットワーキング スペシャリスト カスタマー エンジニア
• Kumar Dhanagopal | クロス プロダクト ソリューション デベロッパー
• Mark Schlagenhauf | テクニカル ライター、ネットワーキング
• Marwan Al Shawi | パートナー カスタマー エンジニア
• Ammett Williams | デベロッパー リレーションズ エンジニア