ハブアンドスポーク ネットワーク アーキテクチャ

Last reviewed 2023-07-12 UTC

このドキュメントでは、Google Cloud でハブアンドスポーク ネットワーク トポロジを設定するための 2 つのアーキテクチャ オプションについて説明します。1 つのオプションで、Virtual Private Cloud(VPC)のネットワーク ピアリング機能を使用し、もう 1 つのオプションで Cloud VPN を使用します。

企業は課金や環境の分離などの理由から、ワークロードを個別の VPC ネットワークに分離できます。ただし、共有サービスやオンプレミスへの接続など、特定のリソースをこれらのネットワーク間で共有することが必要な場合もあります。そのような場合は、共有リソースをハブ ネットワークに配置し、他の VPC ネットワークをスポークとして接続することをおすすめします。次の図は、スタートポロジとも呼ばれる、作成されるハブアンドスポーク ネットワークの例を示しています。

ハブアンドスポーク ネットワーク スキーマ。

この例では、大企業内の個々のビジネス ユニットのワークロードに別々のスポーク VPC ネットワークを使用しています。各スポーク VPC ネットワークは、共有サービスを含む中央のハブ VPC ネットワークに接続され、企業のオンプレミス ネットワークからクラウドへの唯一のエントリ ポイントとして機能します。

VPC ネットワーク ピアリングを使用したアーキテクチャ

次の図は、VPC ネットワーク ピアリングを使用したハブアンドスポーク ネットワークを示しています。VPC ネットワーク ピアリングでは、別々の VPC ネットワーク内のリソース間で内部 IP アドレスを使用した通信が可能です。トラフィックは Google の内部ネットワーク上にとどまり、公共のインターネットを経由することはありません。

VPC ネットワーク ピアリングを使用するハブアンドスポーク アーキテクチャ
  • このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。たとえば、このアーキテクチャは spoke-1 VPC ネットワーク内の Compute Engine VM を示しています。spoke-2 VPC ネットワークには、Compute Engine VM と Google Kubernetes Engine(GKE)クラスタがあります。
  • このアーキテクチャの各スポーク VPC ネットワークには、中央ハブの VPC ネットワークとのピアリング関係があります。
  • VPC ネットワーク ピアリングは VM の帯域幅を制限しません。各 VM は、その個別の VM の全帯域幅でトラフィックを送信できます。
  • 各スポーク VPC ネットワークには、インターネットによるアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
  • VPC ネットワーク ピアリングでは、推移的なルート通知は行われません。追加のメカニズムが使用されない限り、spoke-1 ネットワーク内の VM は spoke-2 ネットワーク内の VM にトラフィックを送信できません。この非推移性の制約を回避するため、このアーキテクチャでは、Cloud VPN を使用してネットワーク間でルートを転送するオプションが示されます。この例では、spoke-2 VPC ネットワークとハブ VPC ネットワーク間の VPN トンネルによって、他のスポークから spoke-2 VPC ネットワークへのアクセスが可能です。いくつかの特定のスポーク間の接続だけが必要な場合は、それらの VPC ネットワーク ペアを直接ピアリングできます。

Cloud VPN を使用したアーキテクチャ

VPC ネットワーク ピアリングを使用するハブアンドスポーク トポロジのスケーラビリティは、VPC ネットワーク ピアリングの上限の対象となります。前述のように、VPC ネットワーク ピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える過渡的トラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワーク ピアリングの制限を克服する別のハブアンドスポーク ネットワーク アーキテクチャを示しています。

Cloud VPN を使用するハブアンドスポーク アーキテクチャ
  • ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。
  • IPSec VPN トンネルは、各スポーク VPC ネットワークをハブ VPC ネットワークに接続します。
  • 各スポーク ネットワークには、ハブ ネットワーク内の DNS 限定公開ゾーンと、DNS ピアリング ゾーンおよび限定公開ゾーンが存在します。
  • ネットワーク間の帯域幅は、トンネルの帯域幅の合計によって制限されます。

ここで説明した 2 つのアーキテクチャのいずれかを選択する場合は、VPC ネットワーク ピアリングと Cloud VPN の相対的なメリットを検討してください。

  • VPC ネットワーク ピアリングには非推移的な制約がありますが、VM のマシンタイプと、ネットワーク帯域幅を決定するその他の要素で定義された全帯域幅がサポートされています。ただし、VPN トンネルを追加することで、推移的ルーティングを追加できます。
  • Cloud VPN では推移的ルーティングが可能ですが、上り(内向き)と下り(外向き)を合わせた合計帯域幅はトンネルの帯域幅に制限されます。

代替案を設計する

Google Cloud の別々の VPC ネットワークにデプロイされた相互接続リソースについては、次のアーキテクチャの代替策を検討してください。

ハブ VPC ネットワークのゲートウェイを使用したスポーク間接続
スポーク間通信を有効にするには、ハブ VPC ネットワークにネットワーク仮想アプライアンス(NVA)または次世代ファイアウォール(NGFW)をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。Google Cloud 上の一元管理されたネットワーク アプライアンスをご覧ください。
ハブのない VPC ネットワーク ピアリング
オンプレミスの接続を一元管理する、または VPC ネットワーク間でサービスを共有する必要がない場合は、ハブ VPC ネットワークは必要ありません。接続が必要な VPC ネットワーク ペアにピアリングを設定して相互接続を個別に管理できます。VPC ネットワークごとにピアリング関係の数の上限を考慮してください。
複数の共有 VPC ネットワーク

ネットワーク レベルで分離するリソース グループごとに、共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境に使用するリソースを分離するには、本番環境用に共有 VPC ネットワークを作成し、開発環境用にもう一つの共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは部門の個別のプロジェクトのリソースは、適切な共有 VPC ネットワークのサービスを使用できます。

VPC ネットワークとオンプレミス ネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。

次のステップ