このドキュメントは、クラウド アーキテクトおよび運用の専門家が、Google Cloud をアマゾン ウェブ サービス(AWS)や Microsoft Azure などの他のクラウド サービス プロバイダ(CSP)と接続する方法を決定する場合に役立ちます。マルチクラウド設計では、CSP 間の接続により、仮想ネットワーク間のデータ転送が可能になります。また、このドキュメントは、選択したオプションを実装する方法に関する情報も提供します。
多くの組織では、移行中の一時的な方法として、または組織が長期的なマルチクラウド戦略を採用しているために、複数のクラウド プラットフォームで運用しています。
Google Cloud と他の CSP との間のデータ交換については、このドキュメントで説明している複数のオプションがあります。
- インターネットでのパブリック IP アドレスを介したデータ転送。
- Google Cloud と他の CSP との間でのマネージド VPN サービスの使用。
- Google Cloud で Partner Interconnect を使用して、他の CSP と直接接続できるパートナーに接続します。
- Google Cloud で Dedicated Interconnect を使用して、ポイント オブ プレゼンス(POP)を介して他の CSP にデータを転送します。
- Google Cloud で Cross-Cloud Interconnect を使用して、他の CSP へのマネージド接続をします。
これらのオプションは、転送速度、レイテンシ、信頼性、サービスレベル契約(SLA)、複雑さ、コストの点で異なります。このドキュメントでは、それぞれのオプションと、その長所および短所を詳細に説明し、最後に、すべてのオプションを比較します。
このドキュメントでは、Google Cloud に存在する仮想マシンと他の CSP の仮想ネットワークとの間のデータ転送について説明します。Cloud Storage や BigQuery など、他の Google Cloud プロダクトに保存されるデータについては、これらのプロダクトについて説明しているセクションをご覧ください。
このドキュメントは、要件と機能に基づいて、Google Cloud と他の 1 つ以上の CSP の間でデータを転送する場合のオプションを評価するためのガイドとして機能します。
このドキュメントのコンセプトは、複数のケースに該当します。
- データ移行プロジェクトなど、短期間で大量のデータを転送することを計画している場合。
- たとえば、ビッグデータのワークロードによって Google Cloud が使用され、コンピューティングのワークロードが別の CSP で実行されているために、複数のクラウド プロバイダ間で連続的なデータ転送を実行する場合。
初期の考慮事項
クラウド環境の接続方法を選択する前に、各環境でどのリージョンを選択するかを検討し、仮想ネットワーク環境にはないデータを転送するための戦略を立てることが重要です。
クラウド リージョンの選択
Google Cloud と他の CSP のリソースの両方が地理的に近接したリージョンにある場合、クラウド プロバイダ間のデータ転送にはコストとレイテンシにおいて利点があります。
次の図は、Google Cloud と他の CSP の間のデータの流れを示しています。
転送の方法に関係なく、Google Cloud から他の CSP へのデータフローは次のようになります。
- リソースがホストされている Google Cloud リージョンから Google のエッジ POP へ。
- Google Cloud と他の CSP の間の第三者の施設を経由して。
- 他の CSP のエッジ POP から、リソースが他の CSP のネットワーク内に配置されているリージョンへ。
他の CSP から Google Cloud に流れるデータは、同じ経路間を移動しますが、方向が逆です。
エンドツーエンドのパスによって、データ転送のレイテンシが決まります。一部のソリューションでは、両方のプロバイダのエッジ POP が 1 つの大都市圏にない場合、ネットワーク コストも増加します。詳細は、以下に示す各ソリューションの料金のセクションをご覧ください。
意図したワークロードをホストできる、各クラウドの適切なリージョンを選択してください。Google Cloud についてはロケーションのページ、他の CSP については、AWS のリージョン表やリージョン別の Azure プロダクトなどの類似のページをご覧ください。Google Cloud で 1 つまたは複数のロケーションを選択する場合の一般的なヘルプについては、Compute Engine のリージョン選択に関するおすすめの方法をご覧ください。
Cloud Storage および BigQuery のデータの転送
デフォルトでは、Google Cloud VPC 環境内に存在するデータのみが Cloud VPN トンネルまたは Cloud Interconnect 接続を通過します。
他の Google サービスとの間でデータを転送する場合は、Private Service Connect を使用して、他の CSP 環境からオンプレミス ホスト用の限定公開の Google アクセスを使用できます。
別の CSP のオブジェクト ストレージ、データベース、データ ウェアハウス、またはその他のプロダクトを転送する場合は、それらのドキュメントを参照して、データがそれらの相互接続プロダクトまたはマネージド VPN プロダクトを通過できるかどうかを確認してください。それ以外の場合は、対応する CSP の環境に設定したプロキシ仮想マシンを介してこのデータを渡し、必要な接続を通過させることができます。
Cloud Storage や BigQuery へのデータ転送には、Storage Transfer Service または BigQuery Transfer Service も使用できます。
インターネット経由での外部 IP アドレスを介した転送
Google Cloud と他の CSP との間でデータを転送する最も簡単な方法は、インターネットを使用し、外部 IP アドレスを使用してデータを転送することです。
次の図は、このソリューションの要素を示しています。
Google のネットワーク エッジと他の CSP のネットワーク エッジの間では、データはインターネットを通過するか、Google Cloud と他の CSP の間のダイレクト ピアリングを使用します。データは、パブリック IP アドレスが割り当てられているリソース間でのみ受け渡しできます。
Google が他のネットワークに接続する方法
Google のエッジ POP は、Google のネットワークが、インターネット全体を形成している他のネットワークに接続する場所です。Google は世界中の多くの場所で利用されています。
インターネット上のすべてのネットワークには、ネットワークの内部ネットワーク インフラストラクチャとルートを含む自律システム番号(ASN)が割り当てられます。Google のプライマリ ASN は 15169 です。
ネットワークが Google との間でトラフィックのやり取りを行うには、主に次の 2 つの方法があります。
- すでに Google(AS15169)と接続しているインターネット サービス プロバイダ(ISP)からインターネット サービスを購入します。このオプションは一般的に IP 転送と呼ばれ、消費者や企業が自宅や事業所でアクセス プロバイダから購入するものに似ています。
- Google(AS15169)に直接接続する。ピアリングと呼ばれるこのオプションを使用すると、ネットワークはサードパーティ ネットワークを使用せずに Google(AS15169)とのトラフィックを直接送受信します。一般に、ネットワーク事業者がトラフィックが交換される方法と場所についてより多くのことを制御できるようにすることでパフォーマンスとコストの最適化を可能にしているため、通常は転送よりもピアリングが優先されます。ピアリングは任意のシステムです。ピアリングを選択する際、ネットワーク事業者は、接続する施設、プロビジョニングする帯域幅、インフラストラクチャ コストを分割する方法、接続の設定に必要なその他の詳細を一緒に決定します。AS15169 にはオープン ピアリング ポリシーがあります。つまり、ネットワークが技術要件を満たしていれば、Google はピアリングを行います。
ピアリングは 2 つの独立したネットワーク間でのプライベートで相互に利益をもたらす合意です。したがって、ネットワークは通常、特定のロケーションとピアリングしている相手や利用可能な帯域幅などの状況を、一般に開示することはありません。Google はスケーリングとオープン ポリシーに基づき、複数の場所や地域をまたいで、ほぼすべての主要な ISP やクラウド サービス プロバイダと直接ピアリングを行っています。Google ネットワーク チームは、これらのネットワークでピアリング相手と直接連携して、需要を満たす十分なピアリング能力を提供します。
インターネット ピアリングの仕組みについて詳しくは、インターネット ピアリング ハンドブックをご覧ください。
実装
このセットアップでは、Google Cloud と他のクラウド サービス プロバイダの間でデータを転送するすべての仮想マシンに、パブリック IP アドレスがある必要があります。一方の端では、もう一方のクラウド プロバイダのパブリック IP アドレスからの接続を許可するために、ファイアウォールを開く必要があります。データ交換は既存のインターネット接続を介して発生するため、追加の手順は必要ありません。
転送速度とレイテンシ
インターネット上のパスでは速度やレイテンシが保証されませんが、通常、主要な CSP と Google は、世界中の複数のロケーションで直接データを交換します。容量は他のお客様やサービスと共有されますが、多くの場合、両方のプロバイダ間の直接接続により、レイテンシは他のオプションの場合と同じかそれよりも短くなります。
選択したリージョンにおける Google Cloud と他の CSP の間のレイテンシと帯域幅をテストすることをおすすめします。iperf や netperf などのツールを使用して簡易的なベンチマークを実施することも、アプリに基づいて、より完全なカスタム ベンチマークを実行することもできます。状況は時間の経過に伴って変化する可能性があるものの、ベンチマークでは、期待できるパフォーマンスと、このソリューションがニーズを満たすかどうかの指標を提供できます。両方の環境間専用の帯域幅が必要な場合は、別のソリューションを選択してください。
異なるベンダーのサービスは、必ずしも整合性がとれるパフォーマンス特性を持たない場合があります。たとえば、トンネルごとの IPsec VPN 容量は、ベンダーごとに異なる場合があります。
セキュリティ
インターネット上のトラフィックは暗号化されず、第三者のインターネット サービス プロバイダ(ISP)や自律システム、施設を通過する可能性があります。したがって、機密性の高いトラフィックについては、アプリケーション レイヤで暗号化するか、別のソリューションを選択してください。
信頼性と SLA
Google Cloud には、一般的に、複数のリージョンからのインターネット接続のための多様なパスがあり、世界中の複数のロケーションに、他の主要な CSP とのダイレクト ピアリング接続があります。
ただし、Google Cloud ではインターネット上の他の CSP への接続に対する SLA は提供しません。ご使用の他の CSP の SLA を確認する必要がありますが、通常、SLA の対象は、特定のプロバイダではなく、インターネット接続全体のみとなります。
プロバイダのルーティング ポリシーは可用性に影響する場合があります。たとえば、peeringdb ページの Amazon による説明では、AWS VPC はリージョン専用(Google Cloud VPC はグローバル)であるため、多くの AWS リージョンでローカルルートのみがアナウンスされるとしています。つまり、Google Cloud からのトラフィックは目的地に到達するためのリンクしか使用できないため、お客様は 1 つのピアリング ロケーションでのリンクに依存している可能性があります。これは、リージョン内でトラフィックが交換される通常のオペレーションでは十分ですが、マルチリージョン デプロイを構成してリージョン障害を許容できるようにすることをおすすめします。このデプロイの構成には、たとえば、追加のゲートウェイ、HA VPN、仮想ネットワーク ピアリング、サードパーティ クラウドのマルチリージョン トポロジの設定などが含まれます。
また、アプリケーションは、Google SRE が SRE Books で推奨されているように、「フェイル オープン」のような方法で構築する必要があります。たとえば、インターネット ルーティング経由でサードパーティ サービスにアクセスできることに依存するアプリケーションを構築する場合、接続性の問題が発生した場合でもアプリケーションが依然として機能するか、または少なくとも有用なエラーメッセージをユーザーに返すことを確認してください。
インターネット ルーティングで問題が発生した場合は、Google ネットワーク チームがサードパーティとの接続を復元しようとします。ただし、すべての問題が Google で管理されるわけではありません。そのため、サードパーティ(ISP またはクラウド プロバイダ)による修復措置が修復に影響する場合があります。事業者がサービス停止時にどのような対応を取るかは、お客様の影響を最も大きく受けるため、すべてのプロバイダのサポート範囲を確保し、何か問題が発生した場合に問題をエスカレーションする計画を立てておくようにしましょう。また、マルチクラウドで構築したアプリケーションの復元力を確保するため、定期的に BCP(ビジネス継続性プロセス)訓練を実施しましょう。
料金
インターネットを介したデータ転送の場合、Google Cloud から出るトラフィックには、通常のインターネット下り(外向き)料金が適用されます。レイテンシが重要ではない場合は、標準ネットワーク サービス階層を使用することで、より低い料金レベルを実現できます。
他の CSP のデータ転送料金は独自のものになります。多くの場合、CSP は独自のネットワークを出るトラフィックに対してのみ課金します。該当する CSP の価格表を参照してください。たとえば、AWS の場合は EC2 のデータ転送料金、Azure の場合は帯域幅の料金詳細をご覧ください。
クラウド プロバイダ間のマネージド VPN
両方のクラウド プロバイダのマネージド VPN サービスを使用できます。これには 2 つのメリットがあります。両方のクラウド環境の仮想ネットワークの間に暗号化されたチャネルを提供し、プライベート IP アドレスを使用してデータを転送できます。これは、前に示したインターネット経由の転送ソリューションを拡張して、ハードウェアやパートナーの必要性をなくすものです。
次の図は、このソリューションの要素を示しています。
このソリューションを使用すると、データは、Cloud VPN と他の CSP の VPN ソリューションを使用して、Google Cloud で暗号化されます。Google Cloud と他の CSP との間のデータ転送には、前に示したソリューションと同様、インターネットが使用されます。
実装
Google は、暗号化された IPsec トンネル用のマネージド VPN サービスとして、Cloud VPN を提供しています。これは Google 側で使用できます。他の CSP では独自のマネージド VPN プロダクトを提供し、これを使用して、両方の環境間に IPsec VPN トンネルを構築できます。たとえば、AWS では AWS Site-to-Site VPN、Azure では Azure VPN gateway を提供しています。VPN トンネルを使用して、環境間で仮想ネットワークを接続できます。
Cloud VPN にはネットワーク アドレス変換(NAT)機能がないため、2 つの環境の IP アドレスは重複してはいけません。Cloud Router では、重複するルートが環境間での交換対象から除外されるようにできますが、そのようにすると、これらの IP アドレスを使用するサービス間の通信ができなくなります。
Cloud Router をグローバル動的ルーティング モードで使用すると、そのリージョンへの VPN トンネルのみを使用して、グローバル VPC ネットワーク内のすべてのリージョンに到達できます。他の CSP では、リージョンごとに VPN トンネルが必要になる場合があります。クラウド環境に、ピアリングしていない複数の仮想ネットワークがある場合は、VPN を使用して、互いに独立して通信する必要があるすべての仮想ネットワークを接続する必要があります。
Google Cloud が提供する相互運用性ガイドには、他の主要なクラウド プロバイダへの VPN トンネルを設定するための詳細な手順説明が示されています。
- Alibaba Cloud VPN Gateway(冗長性なし): 静的ルートのみをサポートします。
- Alibaba Cloud VPN Gateway(冗長性あり): 静的ルートのみをサポートします。
- AWS: Cloud Router による動的ルーティングをサポートします。
- Microsoft Azure: Cloud Router による動的ルーティングをサポートします。
転送速度とレイテンシ
マネージド VPN トンネルを使用する場合、データはパブリック IP アドレスを使用して直接交換する場合と同じインターネット パスをたどります。観測されるレイテンシは、わずかな VPN トンネルのレイテンシ オーバーヘッドがあるものの、前に示したオプションの場合に近いと考えられます。利用可能な帯域幅は、Google Cloud 上の VPN トンネルあたりの最大帯域幅、他の CSP のトンネルの最大帯域幅、インターネット パスで使用可能な帯域幅によって制限されます。
帯域幅を広げるために、複数のトンネルを並行してデプロイできます。そのようなソリューションをデプロイする方法の詳細については、高スループット VPN の構築をご覧ください。
直前のセクションで説明したように、レイテンシと帯域幅はテストできますが、状況は時間の経過に伴って変化する可能性があり、レイテンシや帯域幅は保証されません。
セキュリティ
IPsec VPN トンネルを介したトラフィックは、両方の CSP で受け入れられている暗号を使用して暗号化されます。詳細については、Cloud VPN でサポートされている IKE の暗号、AWS VPN のよくある質問と Azure VPN IPsec/IKE のパラメータをご覧ください。
信頼性と SLA
Cloud VPN は、Classic VPN と HA VPN のどちらが選択されているかに応じて、99.9%~99.99% の SLA を提供します。AWS Site-to-Site VPN の SLA や Azure VPN Gateway の SLA など、他の CSP がマネージド VPN プロダクトの SLA を提供することがあります。ただし、これらの SLA は VPN ゲートウェイの可用性をカバーするのみで、インターネット上の他の CSP への接続は含まれないため、エンドツーエンド ソリューションに対する SLA はありません。
信頼性を高めるために、Google Cloud と他の CSP の両方で、複数の VPN ゲートウェイとトンネルを使用することを検討してください。
料金
マネージド VPN サービスには料金がかかります。Google Cloud の場合、1 時間ごとの料金が適用されます。Cloud VPN の料金をご覧ください。他の CSP については、該当する価格表をご覧ください。たとえば、AWS Site-to-Site VPN 接続の料金や Azure VPN Gateway の価格などです。
VPN サービスの 1 時間ごとの料金に加えて、VPN ゲートウェイを介して転送されるデータに対して料金を支払う必要があります。Google Cloud と多くの CSP では、インターネット経由での外部 IP アドレスを介した転送で説明されているように、標準のインターネット データ転送の料金が適用されます。多くの場合、データ転送の料金は、このソリューションの固定料金を超えます。
マルチクラウド対応パートナーとの Partner Interconnect
Partner Interconnect を使用すると、ダイレクト マルチクラウド ソリューションを提供する特定のパートナーのネットワークを通じて、Virtual Private Cloud を別の CSP の仮想ネットワークに接続できます。必要な Border Gateway Protocol(BGP)設定に対応する、1 つ以上の仮想ルーティング インスタンスをデプロイすることによって接続します。
次の図は、2 つの Partner Interconnect 接続を使用する冗長構成を示しています。
ルートは、相互接続を提供するパートナーによって管理される仮想ルーティング インスタンスを経由して、Cloud Router と他の CSP 側のゲートウェイとの間で交換されます。トラフィックは Google Cloud と他の CSP の間のパートナー ネットワークを通過します。
実装
このソリューションでは、複数のコンポーネントを設定することが必要になります。
- Google Cloud 側では、Google Cloud リージョンにサービスを提供し、他の CSP へのマルチクラウド接続を提供する Interconnect サービス プロバイダを Partner Interconnect でセットアップします。
- 他の CSP では、相互接続プロダクトを使用して同じパートナーに接続する必要があります。たとえば、AWS では Direct Connect、Azure では ExpressRoute を使用できます。
- サービス プロバイダのパートナー側では、Google Cloud と他の CSP に BGP セッションを提供する仮想ルーティング機器を構成する必要があります。
両方の CSP 環境間の IP アドレス空間が重複する場合、パートナーは仮想ルーティング機器に NAT 機能を提供することがあります。詳しくは、パートナーのドキュメントをご覧ください。
転送速度とレイテンシ
このソリューションでは、Google Cloud と他の CSP の間に専用の容量が提供されます。パートナーおよび他の CSP に応じて、利用可能なアタッチメントの容量は異なります。Google Cloud 側では、Partner Interconnect は 50 Mbps~50 Gbps のアタッチメントの容量で使用できます。
このソリューションのレイテンシは、次の合計となります。
- リソースが Google Cloud でホストされているリージョンと、パートナーが Google Cloud に接続する相互接続のロケーションとの間のレイテンシ。
- パートナー ネットワークにおける、仮想ルーティング インスタンスと他の CSP との間のレイテンシ。
- パートナーとの相互接続が発生する、他の CSP のエッジ ロケーションから、CSP でリソースがホストされるリージョンまでのレイテンシ。
レイテンシを最小化するには、Google Cloud と他の CSP のエッジ ロケーションを、仮想ルーティング インスタンスとともに、同じ大都市圏に配置します。たとえば、CSP のクラウド リージョンとエッジ POP および仮想ルーティング インスタンスの両方がバージニア州アッシュバーン地域にある場合は、接続のレイテンシが短くなる可能性があります。
Google Cloud や他の多くの CSP では、専用のパスと容量がパートナーを通過するため、ネットワーク エッジへのトラフィックに対してレイテンシを保証していませんが、通常、このソリューションのレイテンシは、外部 IP アドレスまたは VPN ソリューションを使用している場合よりも変動が少なくなります。
セキュリティ
Partner Interconnect を介したトラフィックはデフォルトでは暗号化されません。トラフィックを保護するには、接続の Google Cloud 側に Cloud Interconnect を介して HA VPN をデプロイします。他の CSP の中には、相互接続経由でマネージド VPN サービスを使用できるものもあります。たとえば、AWS Site-to-Site VPN は AWS Direct Interconnect 経由で使用できます。また、他の CSP 側でトラフィックを暗号化する仮想アプライアンスを使用することもできます。
またあるいは、VPN を使用する代わりにアプリケーション レイヤでトラフィックを暗号化することもできます。
信頼性と SLA
このソリューションでは、3 つの異なる SLA を使用します。Google によるもの、相互接続パートナーによるもの、他の CSP によるものです。
Partner Interconnect を冗長的に使用する場合、Google は、選択されたトポロジに応じて月間 99.9%~99.99% の SLA を提供します。単一の Partner Interconnect 接続に対する SLA はありません。
他の CSP の、相互接続プロダクトに関する SLA に関するドキュメント(AWS Direct Connect SLA や Azure の ExpressRoute の SLA)をご覧ください。
パートナー サービス プロバイダの接続性および仮想ルーティング インスタンスの可用性に関する SLA については、そのパートナー サービス プロバイダの、Partner Interconnect に関するドキュメントまたは条項を参照してください。たとえば、Megaport の Global Services Agreement をご覧ください。
料金
Google Cloud 側では、各 Partner Interconnect アタッチメントに対して、帯域幅に応じた月額料金がかかります。Partner Interconnect を通過する下りトラフィックは、インターネット トラフィックよりも低いレートで課金されます。詳しくは、Partner Interconnect の料金のページをご覧ください。
他の CSP の相互接続プロダクトについては、AWS Direct Connect の料金や Azure ExpressRoute の価格など、該当する料金ページをご覧ください。通常、料金としては、相互接続に対する月額料金や、インターネット経由の場合よりも低いレートでの相互接続経由でのデータ転送料金もかかります。
パートナーの相互接続サービス料金は、独自の料金設定に従います。これは、そのウェブサイトで、または販売チームに見積もり依頼することで示されます。通常、すべてのデータ転送が同じ大都市圏で発生する場合、データがパートナー ネットワーク上でより長い距離を移動する必要がある場合よりも、料金ははるかに低くなります。
他の CSP の価格にもよりますが、大量のデータが定期的に転送される場合、このソリューションは、下り料金の割引によって、総コストが最も低くなることがあります。Partner Interconnect、他の CSP、およびサービス プロバイダ パートナーの相互接続に毎月の費用がかかっても、このソリューションを使用することで、大幅なコスト削減を実現できることがあります。パートナーおよび他の CSP の価格は予告なしに変更される可能性があるため、すべての関係者からの最新の見積もりを使用して独自の比較を行います。
一般的な POP を介した Dedicated Interconnect
Google Cloud と他の CSP の間の共通の相互接続施設で 1 つ以上の物理ルーティング デバイスを使用することによって、Google Cloud 側では Dedicated Interconnect、他の CSP では同等のプロダクトを使用して、両方のクラウド プロバイダを接続できます。相互接続のロケーションは、リソースが配置されているリージョンと同じロケーションである必要はありません。
次の図は、2 つの Dedicated Interconnect 接続を使用する冗長構成を示しています。
ルートは、共通の相互接続施設に配置した物理ルーターを経由して、Cloud Router と他の CSP 側のゲートウェイとの間で交換されます。トラフィックは、Google Cloud と他の CSP の間にある、このルーターを通過します。
実装
このソリューションでは、Google と接続先の CSP が存在するコロケーション施設で、物理的なルーティング デバイスをホストして保守する必要があります。このルーティング デバイスから、施設との 2 つの物理接続を注文します。その 1 つは Dedicated Interconnect を使用する Google Cloud への接続、もう 1 つは同等のプロダクトを使用するサービス プロバイダへの接続、たとえば AWS Direct Connect や Azure ExpressRoute です。ルーティング デバイスで、2 つのクラウド環境間のルート交換を許可するように BGP を構成する必要があります。
このセットアップに適したロケーションを特定するには、Google Cloud のコロケーション施設のロケーションの一覧および他の CSP(AWS Direct Connect のロケーションや Azure ExpressRoute ピアリングのロケーションなど)をご覧ください。
物理ルーティング デバイスが環境間で NAT を実行できる場合や、環境間の一部のルート交換を制限している場合以外は、仮想ネットワーク間の IP アドレス範囲は重複しないようにする必要があります。
このソリューションは、専用接続を使用して、他の CSP とオンプレミス環境の間で双方向に接続する場合に効果的です。
それ以外の場合、このソリューションは複雑になります。これは、物理的な機器を所有して保守し、コロケーション施設と契約することが必要になるためです。次のうち少なくとも 1 つに該当する場合にのみ、このソリューションをおすすめします。
- 別の目的のための適切な施設に設備がすでにあり、施設との既存の契約があります。
- 大量のデータを定期的に転送するためにこれが費用対効果の高いオプションになるか、またはパートナーが満たすことができない帯域幅要件があります。
転送速度とレイテンシ
このソリューションでは、Google Cloud と他の CSP の間に専用の容量が提供されます。Google Cloud 側では、1 つ以上の 10 Gbps または 100 Gbps の物理接続を使用して Dedicated Interconnect を利用できます。
このソリューションのレイテンシは、次の合計となります。
- リソースが Google Cloud でホストされているリージョンと、Google Cloud に接続する相互接続のロケーションとの間のレイテンシ。
- 施設と物理的な機器を経由したレイテンシ。ファイバーの長さによるレイテンシと比較して、通常は無視できます。
- 相互接続ロケーションから、他の CSP のネットワークを経由して、CSP でリソースがホストされるリージョンまでのレイテンシ。
レイテンシは保証されませんが、このソリューションでは、通常、プライベート IP アドレスを介した Google Cloud と他のクラウド環境との間のレイテンシの最小化と最高転送速度が可能になります。
セキュリティ
Dedicated Interconnect を介したトラフィックはデフォルトでは暗号化されません。トラフィックを保護するには、接続の Google Cloud 側に Cloud Interconnect を介して HA VPN をデプロイします。他の CSP の中には、相互接続経由でマネージド VPN サービスを使用できるものもあります。たとえば、AWS Site-to-Site VPN は AWS Direct Interconnect 経由で使用できます。また、他の CSP 側でトラフィックを暗号化する仮想アプライアンスを使用することもできます。
またあるいは、VPN を使用する代わりにアプリケーション レイヤでトラフィックを暗号化することもできます。
信頼性と SLA
Dedicated Interconnect を冗長的に使用する場合、Google は、選択されたトポロジに応じて月間 99.9%~99.99% の SLA を提供します。単一の Dedicated Interconnect 接続に対する SLA はありません。
他の CSP の、相互接続プロダクトの SLA に関するドキュメント(AWS Direct Connect SLA や Azure の ExpressRoute の SLA)をご覧ください。
物理ルーティング機器のコロケーション施設やハードウェア ベンダーも、サービスに関する SLA を提供することがあります。
料金
Google Cloud 側では、各 Dedicated Interconnect アタッチメント ポートと、VPC 環境に接続する各 VLAN アタッチメントに対して、帯域幅に応じた月額料金がかかります。Dedicated Interconnect を通過する下り(外向き)トラフィックは、インターネット トラフィックよりも低いレートで課金されます。詳細については、Dedicated Interconnect の料金ページをご覧ください。
他の CSP の相互接続プロダクトについては、AWS Direct Connect の料金や Azure ExpressRoute の価格など、該当する料金ページをご覧ください。通常、料金としては、相互接続に対する月額料金や、インターネット経由の場合よりも低いレートでの相互接続経由でのデータ転送料金もかかります。
さらに、スペース、電力、両方のクラウド環境への物理的な接続を提供するコロケーション施設サービスの料金以外に、物理的なルーティング機器のベンダーに関する、コストおよび継続的なサービス契約の料金を計算に含める必要があります。両方の CSP 間の接続が同じ施設内で発生することができず、かつ施設間の接続を確保する必要がある場合は、これらのサービスの料金がはるかに高くなる可能性があります。
Cross-Cloud Interconnect のマネージド接続
Google のネットワーク ファブリックを介して、他の CSP の仮想ネットワークに Google Cloud VPC ネットワークを接続できます。このセットアップは Partner Interconnect とほぼ同様に機能しますが、Google ネットワークと相互接続の両方をカバーする Google SLA を使用します。
次の図は、最小接続数での Cross-Cloud Interconnect の構成を示しています。
ルートは、Google のネットワーク ファブリックを介して、Cloud Router と他の CSP 側のゲートウェイとの間で交換されます。トラフィックは、Google Cloud と他の CSP の間にあるこのファブリックを通過します。
実装
Cross-Cloud Interconnect を購入すると、Google ネットワークと別のクラウド サービス プロバイダのネットワークの間に専用の物理接続がプロビジョニングされます。この接続を使用して、サポートされているクラウド サービス プロバイダがホストするネットワークと Google Cloud の Virtual Private Cloud(VPC)ネットワークをピアリングできます。
接続をプロビジョニングすると、Google は、接続を他のクラウド サービス プロバイダのネットワークに到達するまでの接続をサポートします。Google は、他のクラウド サービス プロバイダの稼働時間を保証しません。ただし、Google はフルサービスのメインの連絡窓口として機能し、他の CSP とサポートケースを作成する必要がある場合は通知します。
このソリューションでは、2 つのネットワークを相互接続する場所の選択など、他の CSP のセットアップ プロセスに従う必要があります。特定の CSP のみがサポートされています。
転送速度とレイテンシ
このソリューションでは、Google Cloud と他の CSP の間に専用の容量が提供されます。Google Cloud 側では、10 Gbps または 100 Gbps の物理接続の 1 つまたは複数のペアを使用して Dedicated Interconnect を使用できます。
このソリューションのレイテンシは、次の合計となります。
- Google Cloud のリソースがホストされているリージョンと、クロスクラウド ロケーション間のレイテンシ。
- Google のエッジ ロケーションと他の CSP のエッジ ロケーション(多くの場合、同じ施設内)の間のレイテンシ。
- Cross-Cloud Interconnect がデプロイされている他の CSP のエッジ ロケーションから、リソースがホストされている CSP のリージョンまでのレイテンシ。
レイテンシは保証されませんが、このソリューションでは通常、プライベート IP アドレスを介した Google Cloud と他のクラウド環境との間で、レイテンシの最小化と最高転送速度が可能になります。
セキュリティ
Cross-Cloud Interconnect を介したトラフィックは暗号化されないため、機密性の高いトラフィックにはアプリケーション レイヤでの暗号化を使用することをおすすめします。
すべてのトラフィックを暗号化する必要がある場合は、Cloud Marketplace で Google Cloud パートナーから入手できる仮想アプライアンスにより、他の CSP の環境へのトラフィックを暗号化する際のソリューションを提供できます。
信頼性と SLA
Cross-Cloud Interconnect は、Cloud Interconnect SLA を使用します。SLA の対象となるには、Cross-Cloud Interconnect の概要のサービスレベル契約セクションで説明されているように、Cross-Cloud Interconnect の構成で 1 つ以上の接続ペアを使用する必要があります。
SLA は Google 側の全体と、他のクラウド プロバイダのネットワークエッジまでをカバーします。他の CSP のネットワークは対象外です。他の CSP の、相互接続プロダクトの SLA に関するドキュメント(AWS Direct Connect SLA や Azure の ExpressRoute の SLA)をご覧ください。
料金
Cross-Cloud Interconnect 接続と VPC 環境に接続する VLAN アタッチメントごとに 1 時間あたりの料金が発生します。Cross-Cloud Interconnect を通過する下りトラフィックは、インターネット トラフィックよりも低いレートで課金されます。詳細については、Cross-Cloud Interconnect の料金をご覧ください。
他の CSP の相互接続プロダクトについては、AWS Direct Connect の料金や Azure ExpressRoute の価格など、該当する料金ページをご覧ください。通常、相互接続には月額料金がかかります。通常、相互接続を介したデータ転送の料金は、インターネットを介したデータ転送の場合よりも低くなります。
相互接続のロケーションまたは機器には、個別の費用はかかりません。
オプションの比較
提示されるオプションには、さまざまな速度、可用性、複雑さ、セキュリティ、料金のものがあります。ニーズに従って、すべてのオプションをくまなく評価してください。
次の図は、このドキュメントで説明しているソリューションのいずれかを選択するプロセスを簡単なフローチャートで示しています。
通常、次のように選択することをおすすめします。
- データ交換の頻度または量が少なく、転送が重要ではない多くのシナリオでは、インターネット経由のデータ転送が最も簡単なオプションとなり、それでも比較的低いレイテンシと広い帯域幅が提供されます。
- プライベート IP アドレスを使用した少量のデータの暗号化または転送が必要な場合は、もう一方の CSP 側で Cloud VPN とマネージド VPN サービスを使用することを検討してください。
- 大量のデータを転送する場合は、Partner Interconnect をマルチクラウド対応パートナーとともに使用すると、専用容量、低いデータ転送コスト、また、トポロジによってはソリューションの各部分の SLA という複数の利点が得られます。Partner Interconnect の容量は通常、接続あたり 10 Gbps 未満です。
- オンプレミス機器を複数のクラウドに接続する場合は、共通の POP を介して Dedicated Interconnect を使用することが一般的です。これにはハードウェアやコロケーション施設との関係の管理が伴うため、複雑度が高まります。インフラストラクチャがすでに整っている場合を除き、このソリューションは一般的なデータ転送速度が 10 Gbps 以上の場合限定となります。
- リモート POP で交差接続とルーティング機器を管理するオーバーヘッドを回避したい場合、Cross-Cloud Interconnect では、Google がそれらをすべて処理するマネージド ソリューションが提供されます。
次のステップ
- ハイブリッドおよびマルチクラウドのパターンとプラクティスに関する一連の記事を読む。
- Google Cloud に関するリファレンス アーキテクチャ、図、ベスト プラクティスを確認する。Cloud アーキテクチャ センターをご覧ください。