ハブ アンド スポーク ネットワーク アーキテクチャ

このドキュメントでは、Google Cloud でハブ アンド スポーク ネットワーク トポロジを設定するための 2 つのアーキテクチャ オプションについて説明します。1 つは Virtual Private Cloud(VPC)のネットワーク ピアリング機能を使用し、もう 1 つは Cloud VPN を使用します。

概要

ハブ アンド スポーク ネットワークとは何でしょうか。また、どのような場面で役に立つのでしょうか。エンタープライズ アーキテクトまたはネットワーク管理者が大企業向けの Google Cloud トポロジを設計する際は、さまざまなビジネス ユニット、ワークロード、環境で使用されるリソースを、ネットワーク レベルで分離する計画が必要になる可能性があります。そのように分離することで、ネットワーク トラフィックをリソースのグループごとに細かく制御できます。また、法的なデータ分離要件や規制上のデータ分離要件を満たすうえでも役立ちます。

リソースを別々の VPC ネットワークにデプロイすることで、Google Cloud でリソースをネットワーク レベルで分離できます。これらの VPC ネットワーク内のリソースが共有サービス(ファイアウォールや構成メタデータなど)を使用できるようにして、オンプレミス ネットワークからクラウドに一元化してアクセスできるようにするには、各 VPC ネットワークを中央のハブ VPC ネットワークに接続します。次の図は、スタートポロジとも呼ばれる、結果のハブアンドスポーク ネットワークの例を示しています。

ハブ アンド スポーク ネットワーク スキーマ。

この例では、大企業内の個々のビジネス ユニットのワークロードに別々のスポーク VPC ネットワークを使用しています。各スポーク VPC ネットワークは、共有サービスを含む中央のハブ VPC ネットワークに接続され、企業のオンプレミス ネットワークからクラウドへの唯一のエントリ ポイントとして機能します。

VPC ネットワーク ピアリングを使用したアーキテクチャ

次の図は、VPC ネットワーク ピアリングを使用したハブアンドスポーク ネットワークを示しています。これにより、VPC 間のネットワーク トラフィックが公共のインターネットを通過することを回避し、プライベート IP アドレスを使用して Google の内部ネットワークを経由する個別の VPC ネットワーク内のリソース間の通信を保護できます。

VPC ネットワーク ピアリングを使用するハブアンドスポーク アーキテクチャ
  • このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。たとえば、このアーキテクチャでは、スポーク 1 VPC ネットワーク内の Compute Engine VM を示しています。スポーク 2 VPC ネットワークには Compute Engine VM と Google Kubernetes Engine(GKE)クラスタがあります。

  • このアーキテクチャの各スポーク VPC ネットワークには、中央ハブの VPC ネットワークとのピアリング関係があります。

  • 各スポーク VPC ネットワークには、インターネットによる送信通信用の Cloud NAT ゲートウェイがあります。

  • スポーク VPC ネットワークとハブ VPC ネットワークの間のピアリング接続では、過渡的トラフィックは許可されません。つまり、ハブを介したスポーク間の通信はできません。プライベート IP アドレスを持つ GKE プライベート ノードや Cloud SQL インスタンスなどのリソースには、VPC ネットワークの外部からアクセスするためのプロキシが必要です。

    VPC ネットワーク ピアリングの非推移的制約を回避するために、このアーキテクチャでは Cloud VPN を使用する方法を示します。この例では、スポーク 2 VPC ネットワークとハブ VPC ネットワーク間の VPN トンネルにより、スポーク 2 VPC ネットワークから他のスポークへの接続が可能になります。いくつかの特定のスポーク間の接続だけが必要な場合は、それらの VPC ネットワーク ペアを直接ピアリングできます。

Cloud VPN を使用したアーキテクチャ

VPC ネットワーク ピアリングを使用するハブ アンド スポーク トポロジのスケーラビリティは、VPC ネットワーク ピアリングの上限の対象となります。前述のように、VPC ネットワーク ピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える過渡的トラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワーク ピアリングの制限を克服する別のハブ アンド スポーク ネットワーク アーキテクチャを示しています。

Cloud VPN を使用するハブアンドスポーク アーキテクチャ
  • このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。
  • IPSec VPN トンネルは、各スポーク VPC ネットワークをハブ VPC ネットワークに接続します。
  • 各スポーク VPC ネットワークには、公共インターネットによる送信通信用の Cloud NAT ゲートウェイがあります。

ここで説明した 2 つのアーキテクチャのいずれかを選択する場合は、VPC ネットワーク ピアリングと Cloud VPN の相対的なメリットを検討してください。

  • VPC ネットワーク ピアリングには非推移的な制約がありますが、VM のマシンタイプと、ネットワーク帯域幅を決定するその他の要素で定義された全帯域幅がサポートされています。
  • Cloud VPN では推移的ルーティングが可能ですが、各 VPN トンネルの合計帯域幅(内向きと外向き)は 3 Gbps に制限されます。

代替案を設計する

Google Cloud の別々の VPC ネットワークにデプロイされた相互接続リソースについては、次のアーキテクチャの代替策を検討してください。

ハブ VPC ネットワークのゲートウェイを使用したスポーク間接続
スポーク間通信を有効にするには、ハブ VPC ネットワークにネットワーク仮想アプライアンス(NVA)または次世代ファイアウォール(NGFW)をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。Google Cloud 上の一元管理されたネットワーク アプライアンスをご覧ください。
ハブのない VPC ネットワーク ピアリング
オンプレミスの接続を一元管理したり、VPC ネットワーク間でサービスを共有したりする必要がない場合は、ハブ VPC ネットワークは必要ありません。接続が必要な VPC ネットワーク ペアにピアリングを設定して相互接続を個別に管理できます。VPC ネットワークごとにピアリング関係の数の上限を考慮してください。
複数の共有 VPC ネットワーク

ネットワーク レベルで分離する必要があるリソースのグループごとに、共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境で使用するリソースを分離するには、本番環境用の共有 VPC ネットワークとは別に開発環境用の共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは各部門の個々のプロジェクト内のリソースは、適切な共有 VPC ネットワークのサービスを使用できます。

VPC ネットワークとオンプレミス ネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。

次のステップ