ネットワーク インフラストラクチャを設計する

Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、ネットワーキング設計に基づいてシステムをデプロイするためのベスト プラクティスについて説明しています。Virtual Private Cloud(VPC)の選択方法と実装方法、ネットワーク セキュリティのテストと管理の方法を説明します。

基本原則

ネットワーキング設計は、パフォーマンスを最適化し、内部および外部のサービスとのアプリケーション通信を保護するうえで役立つため、システム設計を成功させるために重要です。ネットワーク サービスを選択する際は、アプリケーションのニーズを評価し、アプリケーションが相互に通信する方法を評価することが重要です。たとえば、一部のコンポーネントはグローバル サービスが必要ですが、他のコンポーネントは特定のリージョンに配置する必要があります。

Google のプライベート ネットワークでは、リージョンのロケーションが 100 を超えるグローバル ネットワーク拠点に接続されています。Google Cloud は、ソフトウェア定義ネットワーキングと分散システム技術により、世界中でサービスをホストし、配信しています。Google Cloud 内のネットワーキングに関する Google のコア要素は、グローバル VPC です。VPC は、Google のグローバル高速ネットワークを利用して、プライバシーと信頼性をサポートしながらアプリケーションをリージョン間でリンクします。Google では、ボトルネック帯域幅やラウンドトリップ伝播時間(BBR)輻輳制御インテリジェンスなどのテクノロジーを使用して、コンテンツを高スループットで配信します。

クラウド ネットワーキングを設計する場合は、以下の手順を含めます。

  1. ワークロードの VPC アーキテクチャを設計する。先にどれだけの Google Cloud プロジェクトと VPC ネットワークが必要かを特定する。
  2. VPC 間の接続を追加する。 ワークロードを異なる VPC ネットワーク上の他のワークロードと接続する方法を設計する。
  3. ハイブリッド ネットワークの接続を設計する。 ワークロードの VPC をオンプレミスおよび他のクラウド環境に接続する方法を設計する。

Google Cloud ネットワークを設計するときは、以下を考慮します。

  • VPC には、Compute EngineGoogle Kubernetes Engine(GKE)サーバーレス コンピューティング ソリューション 上で構築されたサービスの相互接続を実現するためのクラウド内のプライベート ネットワーク環境が用意されています。VPC を使用して、Cloud StorageBigQueryCloud SQL などの Google マネージド サービスにプライベートでアクセスすることもできます。
  • 関連ルート、ファイアウォール ルールを含む VPC ネットワークはグローバル リソースです。特定のリージョンやゾーンには関連付けられていません。
  • サブネットはリージョン リソースです。同じクラウド リージョン内の異なるゾーンにデプロイされた Compute Engine VM インスタンスは、同じサブネットの IP アドレスを使用できます。
  • インスタンス間のトラフィックは、VPC ファイアウォール ルールを使用して制御できます。
  • ネットワーク管理は、Identity and Access Management(IAM)ロールを使用して保護できます。
  • ハイブリッド環境の VPC ネットワークは、Cloud VPN または Cloud Interconnect を使用して安全に接続できます。

VPC 仕様の完全なリストについては、仕様をご覧ください。

ワークロードの VPC アーキテクチャ

このセクションでは、システムをサポートするワークロードの VPC アーキテクチャを設計する際のベスト プラクティスについて説明します。

VPC ネットワーク設計を早期に検討する

Google Cloud での組織の設定を設計する初期段階で VPC ネットワーク設計を行います。組織レベルでの設計の選択内容は、後で簡単には元に戻せません。詳細については、VPC 設計のベスト プラクティスとリファレンス アーキテクチャおよび Google Cloud ランディング ゾーンのネットワーク設計を決定するをご覧ください。

単一の VPC ネットワークで開始する

要件が共通するリソースが含まれる多くのユースケースでは、単一 VPC ネットワークによって必要な機能が提供されます。単一 VPC ネットワークは、簡単に作成、維持管理、理解できます。詳しくは、VPC ネットワークの仕様をご覧ください。

VPC ネットワーク トポロジをシンプルに保つ

管理が容易で信頼性が高く理解しやすいアーキテクチャを実現するには、VPC ネットワーク トポロジの設計をできるだけ簡素化します。

VPC ネットワークをカスタムモードで使用する

Google Cloud ネットワーキングが既存ネットワーキング システムとシームレスに統合されるよう、VPC ネットワーク作成時にはカスタムモードを使用することをおすすめします。カスタムモードを使用することで、Google Cloud ネットワーキングを既存の IP アドレス管理スキームに統合し、どのクラウド リージョンを VPC に含めるかを管理できるようになります。詳細については、VPC をご覧ください。

VPC 間の接続:

このセクションでは、システムをサポートする VPC 間の接続を設計する際のベスト プラクティスについて説明します。

VPC 接続方法を選択する

複数の VPC ネットワークを導入する場合は、これらのネットワークを連結する必要があります。VPC ネットワークは、Google の Andromeda ソフトウェア定義ネットワーク(SDN)内の独立したテナント スペースです。VPC ネットワークが相互に通信する方法はいくつかあります。帯域幅、レイテンシ、サービスレベル契約(SLA)の要件に基づいてネットワークの接続方法を選択します。接続オプションの詳細については、費用、パフォーマンス、セキュリティのニーズを満たす VPC 接続方式を選択するをご覧ください。

共有 VPC を使用して、複数のワーキング グループを管理する

組織内に複数のチームがある場合、共有 VPC は、単一 VPC ネットワークのシンプルなアーキテクチャを複数の作業グループに拡張するための効果的なツールになります。

わかりやすい命名規則を採用する

直感的にわかりやすく、一貫性のある命名規則を選択してください。これにより、管理者とユーザーが各リソースの目的、各リソースの配置、各リソースが他のリソースとどのように区別されるかを理解しやすくなります。

接続テストを行って、ネットワーク セキュリティを検証する

ネットワーク セキュリティを確保するため、接続テストを実施することで、2 つのエンドポイント間で遮断したいトラフィックが遮断できているかを検証できます。トラフィックが遮断されているか、なぜ遮断されているかを確認するために、2 つのエンドポイント間での試験を定義し、結果を評価してください。たとえば、トラフィックのブロックをサポートするルールを定義する VPC 機能をテストできます。詳細については、接続テストの概要をご覧ください。

Private Service Connect を使用して、プライベート エンドポイントを作成する

自社の IP アドレス スキームを使用して Google サービスにアクセスするプライベート エンドポイントを作成するには、Private Service Connect を使用します。VPC 内から、VPC に終端されたハイブリッド接続を介してプライベート エンドポイントにアクセスできます。

外部接続の保護と制限を行う

インターネット アクセスを必要とするリソースにのみアクセスを許可します。限定公開の内部 IP アドレスのみを割り当てられたリソースであっても、限定公開の Google アクセスを通して、引き続き多くの Google API とサービスにアクセスできます。

ネットワーク テレメトリーを使用して、クラウド ネットワークの状況をより詳細に把握する

セキュリティや運用上のリスクになるおそれのあるトラフィック パターンとアクセス パターンをほぼリアルタイムに特定できます。ネットワーク テレメトリーは、Google Cloud ネットワーク サービス向けの詳細かつ応答性の高いログをネットワーク運用とセキュリティ運用の両方に提供します。

次のステップ

以下を含む、ストレージ管理に関するベスト プラクティスについて確認する。

アーキテクチャ フレームワークの他のカテゴリ(信頼性、オペレーショナル エクセレンス、セキュリティ、プライバシー、コンプライアンスなど)を確認する。