ハブアンドスポーク ネットワーク アーキテクチャ

このドキュメントでは、Google Cloud でハブアンドスポーク ネットワーク トポロジを設定するための 2 つのアーキテクチャ オプションについて説明します。1 つは Virtual Private Cloud(VPC)のネットワーク ピアリング機能を使用し、もう 1 つは Cloud VPN を使用します。

概要

ハブアンドスポーク ネットワークとは何か、どのような場合に有効か。エンタープライズ アーキテクトまたはネットワーク管理者が、大企業向けの Google Cloud トポロジを設計する際は、異なるビジネスユニット、ワークロード、環境で使用されるリソースをネットワークレベルで分離する計画が必要な場合もあります。このような分離により、リソースのグループごとにネットワーク トラフィックを細かく制御できます。また、法的および規制上のデータ分離要件を満たす場合にも効果的です。

リソースを別々の VPC ネットワークにデプロイすることで、Google Cloud でリソースをネットワーク レベルで分離できます。これらの VPC ネットワーク内のリソースが共有サービス(ファイアウォールや構成メタデータなど)を使用できるようにして、オンプレミス ネットワークからクラウドに一元化してアクセスできるようにするには、各 VPC ネットワークを中央のハブ VPC ネットワークに接続します。次の図は、スタートポロジとも呼ばれる、結果のハブアンドスポーク ネットワークの例を示しています。

ハブアンドスポーク ネットワーク スキーマ。

この例では、大企業内の個々のビジネス ユニットのワークロードに別々のスポーク VPC ネットワークを使用しています。各スポーク VPC ネットワークは、共有サービスを含む中央のハブ VPC ネットワークに接続され、企業のオンプレミス ネットワークからクラウドへの唯一のエントリ ポイントとして機能します。

VPC ネットワーク ピアリングを使用したアーキテクチャ

次の図は、VPC ネットワーク ピアリングを使用したハブアンドスポーク ネットワークを示しています。これにより、VPC 間のネットワーク トラフィックが公共のインターネットを通過することを回避し、プライベート IP アドレスを使用して Google の内部ネットワークを経由する個別の VPC ネットワーク内のリソース間の通信を保護できます。

VPC ネットワーク ピアリングを使用するハブアンドスポーク アーキテクチャ
  • このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。たとえば、このアーキテクチャでは、スポーク 1 VPC ネットワーク内の Compute Engine VM を示しています。スポーク 2 VPC ネットワークには Compute Engine VM と Google Kubernetes Engine(GKE)クラスタがあります。

  • このアーキテクチャの各スポーク VPC ネットワークには、中央ハブの VPC ネットワークとのピアリング関係があります。

  • 各スポーク VPC ネットワークには、インターネットとの送信通信用の Cloud NAT ゲートウェイがあります。

  • スポーク VPC ネットワークとハブ VPC ネットワークの間のピアリング接続で推移的なトラフィックは許可されません。ハブによるスポーク間通信はできません。プライベート IP アドレスを持つ GKE プライベート ノードや Cloud SQL インスタンスなどのリソースには、VPC ネットワークの外部からアクセスするためのプロキシが必要です。

    VPC ネットワーク ピアリングの非推移的制約を回避するために、このアーキテクチャでは Cloud VPN を使用する方法を示します。この例では、スポーク 2 VPC ネットワークとハブ VPC ネットワーク間の VPN トンネルにより、スポーク 2 VPC ネットワークから他のスポークへの接続が可能になります。少数のスポーク間の接続だけが必要な場合は、これらの VPC ネットワーク ペアを直接ピアリングできます。

Cloud VPN を使用したアーキテクチャ

VPC ネットワーク ピアリングを使用するハブアンドスポーク トポロジのスケーラビリティは、VPC ネットワーク ピアリングに関する上限の対象となります。前述のように、VPC ネットワーク ピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える推移的なトラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワーク ピアリングの制限を克服する別のハブアンドスポーク ネットワーク アーキテクチャを示しています。

Cloud VPN を使用するハブアンドスポーク アーキテクチャ
  • このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。
  • IPSec VPN トンネルは、各スポーク VPC ネットワークをハブ VPC ネットワークに接続します。
  • 各スポーク VPC ネットワークには、公共のインターネットとの送信通信のための Cloud NAT ゲートウェイがあります。

ここまでに説明した 2 つのアーキテクチャのいずれかを選択する場合は、VPC ネットワーク ピアリングと Cloud VPN の相対的なメリットを検討してください。

  • VPC ネットワーク ピアリングには非推移的な制約がありますが、VM のマシンタイプと、ネットワーク帯域幅を決定するその他の要素で定義された全帯域幅がサポートされています。
  • Cloud VPN では推移的ルーティングが可能ですが、各 VPN トンネルの合計帯域幅(内向きと外向き)は 3 Gbps に制限されます。

代替案を設計する

Google Cloud の別々の VPC ネットワークにデプロイされた相互接続リソースについては、次のアーキテクチャの代替策を検討してください。

ハブ VPC ネットワークのゲートウェイを使用したスポーク間接続
スポーク間通信を有効にするには、ハブ VPC ネットワークにネットワーク仮想アプライアンス(NVA)または次世代ファイアウォール(NGFW)をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。Google Cloud 上の一元管理されたネットワーク アプライアンスをご覧ください。
ハブなしの VPC ネットワーク ピアリング
オンプレミス接続の一元管理や、VPC ネットワーク間でのサービスの共有が不要な場合は、ハブ VPC ネットワークは必要ありません。接続が必要な VPC ネットワーク ペアにピアリングを設定し、相互接続を個別に管理できます。VPC ネットワークごとのピアリング関係の上限を考慮してください。
複数の共有 VPC ネットワーク

ネットワーク レベルで分離するリソースのグループごとに共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境で使用するリソースを分離するには、本番環境用の共有 VPC ネットワークと、開発環境用の別の共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは部門の個々のプロジェクト内のリソースは、適切な共有 VPC ネットワークのサービスを使用できます。

VPC ネットワークとオンプレミス ネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。

次のステップ