Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、ネットワーク設計に基づいてシステムをデプロイするためのベスト プラクティスを説明します。Virtual Private Cloud(VPC)の選択と実装の方法、ネットワーク セキュリティのテストと管理の方法を説明します。
基本原則
ネットワーク設計は、パフォーマンスを最適化し、内部サービスと外部サービスとのアプリケーション通信を保護するうえで役立つことから、システム設計を成功させるために不可欠です。ネットワーク サービスを選択する際は、アプリケーションのニーズを評価し、アプリケーション間の通信方法を評価することが重要です。たとえば、一部のコンポーネントではグローバル サービスが必要ですが、他のコンポーネントは特定のリージョンで位置情報を設定しておく必要があります。
Google のプライベート ネットワークでは、リージョンのロケーションが 100 を超えるグローバル ネットワーク拠点に接続されています。Google Cloud は、ソフトウェア定義ネットワーキングと分散システム テクノロジーにより、世界中でサービスをホストし、配信しています。Google Cloud 内のネットワーキングに関する Google のコア要素は、グローバル VPC です。VPC は、Google のグローバル高速ネットワークを使用して、プライバシーと信頼性をサポートしながら、リージョンをまたいでアプリケーションをリンクします。Google では、ボトルネック帯域幅およびラウンドトリップ伝搬時間(BBR)の輻輳制御インテリジェンスなどのテクノロジーを使用して、高スループットでコンテンツを配信します。
クラウド ネットワーキングの設計では、次のステップを行います。
- ワークロードの VPC アーキテクチャを設計する。先にどれだけの Google Cloud プロジェクトと VPC ネットワークが必要かを特定する。
- VPC 間の接続を追加する。ワークロードを異なる VPC ネットワーク上の他のワークロードと接続する方法を設計する。
- ハイブリッド ネットワークの接続を設計する。ワークロードの VPC をオンプレミスおよび他のクラウド環境に接続する方法を設計する。
Google Cloud ネットワークを設計するときは、以下を考慮します。
- VPC には、Compute Engine、Google Kubernetes Engine(GKE)、サーバーレス コンピューティング ソリューション 上で構築されたサービスの相互接続を実現するためのクラウド内のプライベート ネットワーク環境が用意されています。VPC を使用して、Cloud Storage、BigQuery、Cloud SQL などの Google マネージド サービスにプライベートでアクセスすることもできます。
- VPC ネットワーク(その関連ルートやファイアウォール ルールを含む)はグローバル リソースです。特定のリージョンやゾーンには関連付けられていません。
- サブネットはリージョン リソースです。同じクラウド リージョン内の異なるゾーンにデプロイされた Compute Engine VM インスタンスは、同じサブネットの IP アドレスを使用できます。
- インスタンス間のトラフィックは、VPC ファイアウォール ルールを使用して制御できます。
- ネットワーク管理は、Identity and Access Management(IAM)のロールを使用して保護できます。
- ハイブリッド環境の VPC ネットワークは、Cloud VPN または Cloud Interconnect を使用して安全に接続できます。
VPC 仕様の完全なリストについては、仕様をご覧ください。
ワークロードの VPC アーキテクチャ
このセクションでは、システムをサポートするワークロード VPC アーキテクチャを設計する際のベスト プラクティスについて説明します。
VPC ネットワーク設計を早期に検討する
Google Cloud での組織の設定を設計する初期段階で VPC ネットワーク設計を行います。組織レベルでの設計の選択内容は、後で簡単には元に戻せません。詳細については、VPC 設計のためのおすすめの方法とリファレンス アーキテクチャと Google Cloud ランディング ゾーンのネットワーク設計を決定するをご覧ください。
単一の VPC ネットワークで開始する
要件が共通するリソースが含まれる多くのユースケースでは、単一 VPC ネットワークによって必要な機能が提供されます。単一 VPC ネットワークは、簡単に作成、維持管理、理解できます。詳細については、VPC ネットワークの仕様をご覧ください。
VPC ネットワーク トポロジをシンプルに保つ
管理しやすく、信頼性が高く、十分に理解されるアーキテクチャを実現するには、VPC ネットワーク トポロジの設計を可能な限り簡素化します。
VPC ネットワークをカスタムモードで使用する
Google Cloud ネットワーキングが既存ネットワーキング システムとシームレスに統合されるよう、VPC ネットワーク作成時にはカスタムモードを使用することをおすすめします。カスタムモードを使用することで、Google Cloud ネットワーキングを既存の IP アドレス管理スキームに統合し、どのクラウド リージョンを VPC に含めるかを管理できるようになります。詳細については、VPC をご覧ください。
VPC 間の接続
このセクションでは、システムをサポートする VPC 間の接続を設計する際のベスト プラクティスについて説明します。
VPC 接続方法を選択する
複数の VPC ネットワークを導入する場合は、これらのネットワークを連結する必要があります。VPC ネットワークは、Google の Andromeda ソフトウェア定義ネットワーク(SDN)内の独立したテナント スペースです。VPC ネットワークは、複数の方法で互いに通信できます。帯域幅、レイテンシ、サービスレベル契約(SLA)の要件に従い、ネットワークをどのように接続するかを選択してください。接続オプションの詳細については、コスト、パフォーマンス、セキュリティのニーズを満たす VPC 接続方式を選択するをご覧ください。
共有 VPC を使用して、複数のワーキング グループを管理する
組織内に複数のチームがある場合、共有 VPC は、単一 VPC ネットワークのシンプルなアーキテクチャを複数の作業グループに拡張するための効果的なツールになります。
わかりやすい命名規則を採用する
直感的にわかりやすく、一貫性のある命名規則を選択してください。これにより、管理者とユーザーが各リソースの目的、各リソースの配置、各リソースが他のリソースとどのように区別されるかを理解しやすくなります。
接続テストを行って、ネットワーク セキュリティを検証する
ネットワーク セキュリティを確保するため、接続テストを実施することで、2 つのエンドポイント間で遮断したいトラフィックが遮断できているかを検証できます。トラフィックが遮断されているか、なぜ遮断されているかを確認するために、2 つのエンドポイント間での試験を定義し、結果を評価してください。たとえば、トラフィックのブロックをサポートするルールを定義できるようにする VPC 機能をテストできます。詳細については、接続テストの概要をご覧ください。
Private Service Connect を使用して、プライベート エンドポイントを作成する
自社の IP アドレス スキームを使用して Google サービスにアクセスするプライベート エンドポイントを作成するには、Private Service Connect を使用します。VPC 内から、VPC に終端されたハイブリッド接続を介してプライベート エンドポイントにアクセスできます。
外部接続の保護と制限を行う
インターネットへのアクセスは、このアクセスを必要とするリソースのみに許可します。限定公開の Google アクセスを使用すると、プライベートの内部 IP アドレスしかないリソースでも多くの Google API やサービスにアクセスできます。
Network Intelligence Center を使用してクラウド ネットワークをモニタリングする
Network Intelligence Center では、すべてのリージョンにわたる Google Cloud ネットワークの包括的なビューを利用できます。運用上のリスクやセキュリティ リスクを引き起こす可能性があるトラフィック パターンとアクセス パターンを特定するのに役立ちます。
次のステップ
以下を含む、ストレージ管理に関するベスト プラクティスについて確認する。
アーキテクチャ フレームワークの他のカテゴリ(信頼性、オペレーショナル エクセレンス、セキュリティ、プライバシー、コンプライアンスなど)を確認する。