このページは Cloud Translation API によって翻訳されました。

ハブアンドスポークネットワークアーキテクチャ

Last reviewed 2025-04-30 UTC

このドキュメントでは、 Google Cloudでハブアンドスポークネットワークトポロジを設定するための 2 つのアーキテクチャオプションについて説明します。1 つ目のオプションは Network Connectivity Center を、2 つ目のオプションは VPC ネットワークピアリングを、3 つ目のオプションは Cloud VPN を使用します。

課金や環境の分離などの理由から、企業はワークロードを個別の VPC ネットワークに分離できます。ただし、共有サービスやオンプレミスへの接続など、特定のリソースをこれらのネットワーク間で共有することが必要な場合もあります。このような場合は、共有リソースをハブネットワーク（このドキュメントの残りの部分ではルーティングネットワークと呼びます）に配置し、他の VPC ネットワークをスポークネットワーク（このドキュメントの残りの部分ではワークロードネットワークと呼びます）として接続することをおすすめします。次の図で示すのは、2 つのワークロード VPC を含むハブアンドスポークネットワークです。ワークロード VPC はさらに追加できます。

ハブアンドスポークネットワークスキーマ。

この例では、大企業内の個々のビジネスユニットのワークロードに別々のスポーク VPC ネットワークを使用しています。各ワークロードの VPC ネットワークは、共有サービスを含む中央のルーティングの VPC ネットワークに接続され、企業のオンプレミスネットワークからクラウドへの唯一のエントリポイントとして機能します。

オプションの概要

このドキュメントで説明したアーキテクチャのいずれかを選択する場合は、Network Connectivity Center、VPC ネットワークピアリング、Cloud VPN の相対的なメリットを検討してください。

Network Connectivity Center は、ワークロード VPC 間のフル帯域幅を提供し、ワークロード VPC 間に推移性を提供します。
VPC ネットワークピアリングは、ワークロード VPC とルーティング VPC 間のフル帯域幅を提供します。ワークロード VPC 間の推移性は提供されません。VPC ネットワークピアリングは、他の VPC の NVA へのルーティングをサポートしています。
Cloud VPN では推移的ルーティングが可能ですが、上り（内向き）と下り（外向き）を合わせたネットワーク間の合計帯域幅はトンネルの帯域幅に制限されます。帯域幅を増やすために、トンネルを追加できます。

Network Connectivity Center を使用したアーキテクチャ

次の図で示すは、Network Connectivity Center を使用するハブアンドスポークネットワークです。

Network Connectivity Center を使用するハブアンドスポークアーキテクチャ。

Network Connectivity Center にはコントロールプレーンの管理を提供するハブリソースがありますが、データプレーン用のハブネットワークではありません。

Network Connectivity Center は、スタートポロジ（ハブアンドスポーク）またはメッシュトポロジを使用してネットワークを相互に接続できます。スタートポロジを使用すると、VPC スポーク（ワークロード VPC）間の通信を防ぐことができますが、メッシュトポロジでは防ぐことができません。
ルーティング（ハブ）VPC ネットワークは、Cloud VPN または Cloud Interconnect 接続を使用してオンプレミスに接続されています。
動的ルートは VPC ネットワーク間で伝播できます。
Private Service Connect のルートは、ワークロード VPC 間で推移的です。
プライベートサービスアクセスのルートは、多くの Google 提供サービスのプロデューサースポークを使用して、ワークロード VPC 間で推移的になります。ルートが推移的でないサービスの場合、回避策として、Network Connectivity Center ではなく Cloud VPN を使用して、コンシューマー VPC ネットワークをルーティングの VPC ネットワークに接続します。
ピアリングされたネットワーク内のすべての VM は、VM のフル帯域幅で通信できます。
各ワークロードの VPC とルーティングの VPC ネットワークには、インターネットによるアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
DNS ピアリングと転送が設定されているため、オンプレミスからワークロード VPC のワークロードにアクセスできます。

VPC ネットワークピアリングを使用したアーキテクチャ

次の図で示すのは、VPC ネットワークピアリングを使用するハブアンドスポークネットワークです。VPC ネットワークピアリングでは、別々の VPC ネットワーク内のリソース間で内部 IP アドレスを使用した通信が可能です。トラフィックは Google の内部ネットワーク上にとどまり、公共のインターネットを経由することはありません。

VPC ネットワークピアリングを使用するハブアンドスポークアーキテクチャ

このアーキテクチャの各ワークロード（スポーク）の VPC ネットワークには、中央ルーティング（ハブ）の VPC ネットワークとのピアリング関係があります。
ルーティングの VPC ネットワークは、Cloud VPN または Cloud Interconnect 接続を使用してオンプレミスに接続されています。
ピアリングされたネットワーク内のすべての VM は、VM のフル帯域幅で通信できます。
VPC ネットワークピアリング接続は推移的ではありません。このアーキテクチャでは、オンプレミスとワークロードの VPC ネットワークはルーティングネットワークとトラフィックを交換できますが、相互に交換することはできません。共有サービスを提供するには、共有サービスをルーティングネットワークに配置するか、Cloud VPN を使用してルーティングネットワークに接続します。
各ワークロードの VPC とルーティングの VPC ネットワークには、インターネットによるアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
DNS ピアリングと転送が設定されているため、オンプレミスからワークロード VPC のワークロードにアクセスできます。

Cloud VPN を使用したアーキテクチャ

VPC ネットワークピアリングを使用するハブアンドスポークトポロジのスケーラビリティは、VPC ネットワークピアリングの上限の対象となります。前述のように、VPC ネットワークピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える過渡的トラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワークピアリングの制限を克服する別のハブアンドスポークネットワークアーキテクチャを示しています。

Cloud VPN を使用するハブアンドスポークアーキテクチャ

IPsec VPN トンネルは、各ワークロード（スポーク）の VPC ネットワークをルーティング（ハブ）の VPC ネットワークに接続します。
各ワークロードネットワークには、ルーティングネットワーク内の DNS プライベートゾーンと、DNS ピアリングゾーンおよび限定公開ゾーンが存在します。
接続は推移的です。オンプレミスネットワークとスポークの VPC ネットワークは、ルーティングネットワークを介して相互にアクセスできますが、このアクセスは制限できます。
ネットワーク間の帯域幅は、トンネルの帯域幅の合計によって制限されます。
各ワークロード（スポーク）の VPC とルーティングの VPC ネットワークには、インターネットによるアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
VPC ネットワークピアリングでは、推移的なルート通知は行われません。
DNS ピアリングと転送が設定されているため、オンプレミスからワークロード VPC のワークロードにアクセスできます。

代替案を設計する

Google Cloudの別々の VPC ネットワークにデプロイされた相互接続リソースについては、次のアーキテクチャの代替策を検討してください。

ルーティングの VPC ネットワークのゲートウェイを使用したスポーク間接続

スポーク間通信を有効にするには、ルーティングの VPC ネットワークにネットワーク仮想アプライアンス（NVA）または次世代ファイアウォール（NGFW）をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。

複数の共有 VPC ネットワーク

ネットワークレベルで分離するリソースグループごとに、共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境に使用するリソースを分離するには、本番環境用に共有 VPC ネットワークを作成し、開発環境用にもう一つの共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは部門の個別のプロジェクトのリソースは、適切な共有 VPC ネットワークのサービスを使用できます。

VPC ネットワークとオンプレミスネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。

次のステップ

ハブアンドスポークネットワークを Terraform でデプロイする
ハブアンドスポークトポロジをオンプレミスや他のクラウドに接続する方法については、クロスクラウドネットワーク設計ガイドをご覧ください。
複数の VPC ネットワークに接続するための設計オプションについて学習する。
コストとパフォーマンスのために最適化された安全で復元力のあるクラウドトポロジを構築するためのベストプラクティスについて学習する。

ハブアンドスポーク ネットワーク アーキテクチャ