このドキュメントでは、Google Cloud でハブアンドスポーク ネットワーク トポロジを設定するための 2 つのアーキテクチャ オプションについて説明します。1 つのオプションで、Virtual Private Cloud(VPC)のネットワーク ピアリング機能を使用し、もう 1 つのオプションで Cloud VPN を使用します。
企業は課金や環境の分離などの理由から、ワークロードを個別の VPC ネットワークに分離できます。ただし、共有サービスやオンプレミスへの接続など、特定のリソースをこれらのネットワーク間で共有することが必要な場合もあります。そのような場合は、共有リソースをハブ ネットワークに配置し、他の VPC ネットワークをスポークとして接続することをおすすめします。次の図は、スタートポロジとも呼ばれる、作成されるハブアンドスポーク ネットワークの例を示しています。
この例では、大企業内の個々のビジネス ユニットのワークロードに別々のスポーク VPC ネットワークを使用しています。各スポーク VPC ネットワークは、共有サービスを含む中央のハブ VPC ネットワークに接続され、企業のオンプレミス ネットワークからクラウドへの唯一のエントリ ポイントとして機能します。
VPC ネットワーク ピアリングを使用したアーキテクチャ
次の図は、VPC ネットワーク ピアリングを使用したハブアンドスポーク ネットワークを示しています。VPC ネットワーク ピアリングでは、別々の VPC ネットワーク内のリソース間で内部 IP アドレスを使用した通信が可能です。トラフィックは Google の内部ネットワーク上にとどまり、公共のインターネットを経由することはありません。
- このアーキテクチャでは、ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。たとえば、このアーキテクチャは
spoke-1VPC ネットワーク内の Compute Engine VM を示しています。spoke-2VPC ネットワークには、Compute Engine VM と Google Kubernetes Engine(GKE)クラスタがあります。 - このアーキテクチャの各スポーク VPC ネットワークには、中央ハブの VPC ネットワークとのピアリング関係があります。
- VPC ネットワーク ピアリングは VM の帯域幅を制限しません。各 VM は、その個別の VM の全帯域幅でトラフィックを送信できます。
- 各スポーク VPC ネットワークには、インターネットによるアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
- VPC ネットワーク ピアリングでは、推移的なルート通知は行われません。追加のメカニズムが使用されない限り、
spoke-1ネットワーク内の VM はspoke-2ネットワーク内の VM にトラフィックを送信できません。この非推移性の制約を回避するため、このアーキテクチャでは、Cloud VPN を使用してネットワーク間でルートを転送するオプションが示されます。この例では、spoke-2VPC ネットワークとハブ VPC ネットワーク間の VPN トンネルによって、他のスポークからspoke-2VPC ネットワークへのアクセスが可能です。いくつかの特定のスポーク間の接続だけが必要な場合は、それらの VPC ネットワーク ペアを直接ピアリングできます。
Cloud VPN を使用したアーキテクチャ
VPC ネットワーク ピアリングを使用するハブアンドスポーク トポロジのスケーラビリティは、VPC ネットワーク ピアリングの上限の対象となります。前述のように、VPC ネットワーク ピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える過渡的トラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワーク ピアリングの制限を克服する別のハブアンドスポーク ネットワーク アーキテクチャを示しています。
- ネットワーク レベルの分離が必要なリソースは、個別のスポーク VPC ネットワークを使用します。
- IPSec VPN トンネルは、各スポーク VPC ネットワークをハブ VPC ネットワークに接続します。
- 各スポーク ネットワークには、ハブ ネットワーク内の DNS 限定公開ゾーンと、DNS ピアリング ゾーンおよび限定公開ゾーンが存在します。
- ネットワーク間の帯域幅は、トンネルの帯域幅の合計によって制限されます。
ここで説明した 2 つのアーキテクチャのいずれかを選択する場合は、VPC ネットワーク ピアリングと Cloud VPN の相対的なメリットを検討してください。
- VPC ネットワーク ピアリングには非推移的な制約がありますが、VM のマシンタイプと、ネットワーク帯域幅を決定するその他の要素で定義された全帯域幅がサポートされています。ただし、VPN トンネルを追加することで、推移的ルーティングを追加できます。
- Cloud VPN では推移的ルーティングが可能ですが、上り(内向き)と下り(外向き)を合わせた合計帯域幅はトンネルの帯域幅に制限されます。
代替案を設計する
Google Cloud の別々の VPC ネットワークにデプロイされた相互接続リソースについては、次のアーキテクチャの代替策を検討してください。
- ハブ VPC ネットワークのゲートウェイを使用したスポーク間接続
- スポーク間通信を有効にするには、ハブ VPC ネットワークにネットワーク仮想アプライアンス(NVA)または次世代ファイアウォール(NGFW)をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。Google Cloud 上の一元管理されたネットワーク アプライアンスをご覧ください。
- ハブのない VPC ネットワーク ピアリング
- オンプレミスの接続を一元管理する、または VPC ネットワーク間でサービスを共有する必要がない場合は、ハブ VPC ネットワークは必要ありません。接続が必要な VPC ネットワーク ペアにピアリングを設定して相互接続を個別に管理できます。VPC ネットワークごとにピアリング関係の数の上限を考慮してください。
- 複数の共有 VPC ネットワーク
ネットワーク レベルで分離するリソース グループごとに、共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境に使用するリソースを分離するには、本番環境用に共有 VPC ネットワークを作成し、開発環境用にもう一つの共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは部門の個別のプロジェクトのリソースは、適切な共有 VPC ネットワークのサービスを使用できます。
VPC ネットワークとオンプレミス ネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。
次のステップ
- VPC ネットワーク ピアリングを使用して、ハブアンドスポーク ネットワークをデプロイする。
- Cloud VPN を使用して、ハブアンドスポーク ネットワークをデプロイする。
- ハブアンドスポーク アーキテクチャを使用して、一元管理されるネットワーク アプライアンスをデプロイする。
- 複数の VPC ネットワークに接続するための設計オプションについて学習する。
- コストとパフォーマンスのために最適化された安全で復元力のあるクラウド トポロジを構築するためのベスト プラクティスについて学習する。