ハイブリッド クラウドとマルチクラウドのネットワークを設計する場合、アーキテクチャの選択にはさまざまな要因が影響します。ハイブリッド クラウドとマルチクラウドのネットワーキング設計を分析する際は、次の設計上の考慮事項を考慮してください。一貫性のあるアーキテクチャを構築するには、これらの考慮事項を個別にではなく、まとめて評価します。
ハイブリッド クラウドとマルチクラウドの接続性
ハイブリッド接続とマルチクラウドの接続性とは、オンプレミス、Google Cloud、その他のクラウド環境をリンクする通信接続を指します。ハイブリッド クラウド アーキテクチャとマルチクラウド アーキテクチャを成功させるには、適切な接続方法を選択することが重要です。これらの接続は、環境間のすべてのトラフィックを伝送します。帯域幅、レイテンシ、パケットロス、ジッターなどのネットワーク パフォーマンスの問題は、ビジネス アプリケーションやサービスのパフォーマンスに直接影響する可能性があります。
オンプレミス環境と Google Cloud または他のクラウド間の接続には、次のような複数の接続オプションがあります。
パブリック IP アドレスを使用したインターネットベースの接続:
Cloud VPN または顧客管理の VPN ゲートウェイを使用して、パブリック インターネットを介したプライベートで安全な接続。このオプションには、Google Cloud パートナーのソフトウェア定義 WAN(SD-WAN)ソリューションなどのネットワーク仮想アプライアンス(NVA)の使用が含まれます。これらのソリューションは Google Cloud Marketplace で入手できます。
Cloud Interconnect(Dedicated Interconnect または Partner Interconnect)を使用した専用トランスポート経由のプライベート接続。より確定的なパフォーマンスを提供し、SLA が存在します。ネットワーク接続レイヤで転送中の暗号化が必要な場合は、Cloud Interconnect を介した HA VPN または Cloud Interconnect の MACsec を使用できます。
Cross-Cloud Interconnect は、マルチクラウド環境を使用する企業に、クラウド間(特定のロケーションの Google Cloud とサポートされているクラウド サービス プロバイダ間)のプライベートで安全な接続を可能にします。このオプションは、99.9% と 99.99% の高可用性オプションでラインレートのパフォーマンスを実現します。これにより、インフラストラクチャの管理の複雑さとコストを増やすことなく、総所有コスト(TCO)を削減できます。また、追加のセキュリティのためにネットワーク接続レイヤで転送中の暗号化が必要な場合、Cross-Cloud Interconnect で Cloud Interconnect 暗号化の MACsec を利用できます。
クラウド ソリューション アーキテクチャのユースケースに適している場合は、Network Connectivity Center の使用を検討してください。Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポーク リソース(Virtual Private Cloud(VPC)、ルーター アプライアンス、ハイブリッド接続など)間のネットワーク接続を提供するオーケストレーション フレームワークです。Network Connectivity Center ハブは、VPC スポークまたはハイブリッド スポークのいずれかをサポートします。詳細については、VPC 接続を使用したルート交換をご覧ください。また、Cloud Router インスタンスとのルート交換を容易にするため、Network Connectivity Center ではサードパーティのネットワーク仮想アプライアンスの統合が可能です。この統合には、Google Cloud Network Connectivity Center パートナーがサポートするサードパーティの SD-WAN ルーターが含まれます。
利用可能なハイブリッド クラウドとマルチクラウドの接続オプションはさまざまです。最適なものを選択するには、ビジネス要件と技術要件を徹底的に評価する必要があります。これらの要件には、次の要素が含まれます。
- ネットワーク パフォーマンス
- セキュリティ
- 費用
- 信頼性と SLA
- スケーラビリティ
Google Cloud への接続オプションの選択の詳細については、Network Connectivity プロダクトの選択をご覧ください。マルチクラウド アーキテクチャのニーズを満たすネットワーク接続オプションを選択するガイダンスについては、他のクラウド サービス プロバイダを Google Cloud に接続するためのパターンをご覧ください。
Google Cloud プロジェクトと VPC
このガイドで説明するネットワーキング アーキテクチャ パターンがサポートされている場合、これらのパターンは単一プロジェクトまたは複数のプロジェクトで使用できます。Google Cloud のプロジェクトには、単一の管理ドメインを持つ関連サービスとワークロードが含まれます。プロジェクトは、次のプロセスの基盤となります。
- Google Cloud サービスの作成、有効化、使用
- サービス API の管理
- 課金の有効化
- 共同作業者の追加と削除
- 権限の管理
プロジェクトには 1 つ以上の VPC ネットワークを含めることができます。単一プロジェクトと複数プロジェクトのどちらを使用するかは、組織またはプロジェクトで使用するアプリケーションの構造によって異なります。組織またはアプリケーションの構造により VPC の使用方法も決まります。詳細については、Google Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。
単一の VPC、複数の VPC、または 1 つ以上のプロジェクトで共有 VPC を使用するかどうかは、次の要素によって異なります。
- 組織リソースの階層。
- ワークロード間のネットワーク トラフィック、通信、管理ドメインの要件。
- セキュリティ要件。
- セキュリティ要件によっては、特定のネットワークまたはアプリケーション間のパスに配置されたサードパーティの NVA により、レイヤ 7 ファイアウォールの検査を行う必要があります。
- リソース管理。
- ネットワーク運用チームがネットワーク リソースを管理する管理モデルを採用している企業では、チームレベルでのワークロードの分離が必要になる場合があります。
VPC の使用に関する決定。
- 複数の Google Cloud プロジェクトで共有 VPC を使用すると、ワークロードまたはチームごとに多くの VPC を個別に維持する必要がなくなります。
- 共有 VPC を使用すると、次の技術的な要因を含むホスト VPC ネットワーキングの集中管理が可能になります。
- ピアリング構成
- サブネット構成
- Cloud Firewall の構成
- 権限の構成
単一の VPC のリソースの上限を超えることなくスケーリング要件を満たすために、複数の VPC(または共有 VPC)が必要になる場合があります。
詳細については、複数の VPC ネットワークを作成するかどうかを決定するをご覧ください。
DNS の解決
ハイブリッド クラウドとマルチクラウドのアーキテクチャでは、ドメイン名システム(DNS)を拡張し、通信が許可されている環境間で統合することが重要です。このアクションは、さまざまなサービスとアプリケーション間のシームレスな通信に役立ちます。また、これらの環境間の限定公開 DNS 解決も維持します。
Google Cloud を使用したハイブリッド アーキテクチャとマルチクラウド アーキテクチャでは、DNS ピアリング機能と DNS 転送機能を使用して、異なる環境間の DNS 統合を有効にできます。これらの DNS 機能を使用すると、さまざまなネットワーキング通信モデルに対応し、さまざまなユースケースを網羅できます。技術的には、DNS 転送ゾーンを使用してオンプレミス DNS サーバーをクエリし、インバウンド DNS サーバー ポリシーを使用してオンプレミス環境からのクエリを許可できます。DNS ピアリングを使用して、Google Cloud 環境内で DNS リクエストを転送することもできます。
詳細については、Cloud DNS のベスト プラクティスと、Google Cloud でのハイブリッド DNS のリファレンス アーキテクチャをご覧ください。
ハイブリッド設定で Cloud DNS の可用性を維持するための冗長性メカニズムについては、高可用性の DNS: ハイブリッド クラウド環境における高可用性の実現をご覧ください。また、AWS と Google Cloud 間でマルチクラウド プライベート DNS を設計して設定する方法のデモもご覧ください。
クラウド ネットワーク セキュリティ
クラウド ネットワーク セキュリティは、クラウド セキュリティの基盤となるレイヤです。ネットワーク境界が消失するリスクを管理するために、企業はセキュリティ モニタリング、脅威防止、ネットワーク セキュリティ制御を組み込むことができます。
ネットワーク セキュリティの標準的なオンプレミス アプローチは、主にインターネット エッジと組織の内部ネットワークの間に明確な境界を設定します。ネットワーク パスでは、物理ファイアウォール、ルーター、侵入検知システムなど、さまざまな多層セキュリティ予防システムが使用されます。
クラウドベースのコンピューティングでは、このアプローチは特定のユースケースで引き続き適用されます。ただし、自動スケーリングやコンテナ化されたワークロードなど、クラウド ワークロードの規模と分散された動的性質に対応するには、それだけでは不十分です。クラウド ネットワーク セキュリティ アプローチでは、いくつかのクラウド ファースト機能を使用して、リスクを最小限に抑え、コンプライアンス要件を満たし、安全で効率的な運用を実現できます詳細については、クラウド ネットワーク セキュリティのメリットをご覧ください。ネットワークを保護するには、クラウド ネットワーク セキュリティの課題と一般的なクラウド ネットワーク セキュリティのベスト プラクティスもご覧ください。
ハイブリッド クラウド アーキテクチャを採用するには、オンプレミス アプローチのレプリケーションを超えるセキュリティ戦略が必要です。このアプローチを複製すると、設計の柔軟性が制限される可能性があります。また、クラウド環境をセキュリティ脅威にさらす可能性もあります。代わりに、まず、会社のセキュリティ要件を満たす利用可能なクラウド ファーストのネットワーク セキュリティ機能を特定する必要があります。また、これらの機能と Google Cloud テクノロジー パートナーのサードパーティ セキュリティ ソリューション(ネットワーク仮想アプライアンスなど)の併用が必要になる場合もあります。
マルチクラウド アーキテクチャで環境全体で一貫したアーキテクチャを設計するには、各クラウド プロバイダが提供するさまざまなサービスと機能を特定することが重要です。すべての環境にわたって可視性を確保できる統合されたセキュリティ ポスチャーを使用することをおすすめします。
ハイブリッド クラウド アーキテクチャ環境を保護するには、多層防御の原則の使用も検討する必要があります。
最後に、最初からネットワーク セキュリティを念頭に置いてクラウド ソリューションを設計します。必要なすべての機能を最初の設計に組み込みます。この作業を行うことで、設計プロセスの後半でセキュリティ機能を統合するために設計を大幅に変更する必要がなくなります。
ただし、クラウド セキュリティはネットワーク セキュリティに限定されません。これは、開発から本番環境、運用まで、アプリケーション スタック全体のアプリケーション開発ライフサイクル全体に適用する必要があります。理想的には、複数のレイヤにわたる保護(多層防御アプローチ)とセキュリティ可視化ツールを使用することが望ましいでしょう。Google Cloud で安全なサービスを設計して運用する方法の詳細については、Google Cloud アーキテクチャ フレームワークのセキュリティ、プライバシー、コンプライアンスの柱をご覧ください。
貴重なデータとインフラストラクチャをさまざまな脅威から保護するには、クラウド セキュリティに包括的なアプローチを採用します。既存の脅威に先手を打つために、セキュリティ戦略を継続的に評価し、改善します。