ネットワーキング

Google Cloud でのルーティング: VM から送信される IP パケットの可能な宛先

2024年10月7日

Manjuram Perumalla

Customer Solutions Engineer

※この投稿は米国時間 2024 年 9 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud の Virtual Private Cloud（VPC）ネットワークでのルーティングには、分散、スケーラブル、仮想化という特性があり、ネットワークに接続されたルーティングデバイスはありません。Google Cloud は、仮想マシンからの直接ネットワークトラフィックを VPC ネットワークの内部または外部の宛先にルーティングします。他のクラウドプロバイダとは異なるこのアプローチは、ソフトウェアのデータ、コントロール、管理の各機能の分離、ネットワーク管理の簡素化、ネットワークインフラストラクチャの変更の迅速化によって、ネットワークの信頼性を高めます。これにより、企業が製品やサービスを市場に投入するまでに要する期間が短縮され、競争上の優位性が生まれます。

このブログ記事では、シームレスなアクセスを可能にするため、仮想マシン（VM）の観点から利用可能な幅広いルーティング・オプションについて説明します。これには以下が含まれます。

同一の VPC やピアリングされた VPC 内でデプロイされたアプリケーション（マイクロサービスまたは VM ベース）
Google Cloud で提供されているマネージドサービス（BigQuery、Cloud SQL、Vertex AI プラットフォームなど）
Google Cloud でホストされている SaaS ソリューション
オンプレミスまたは他のクラウドハイパースケーラーでホストされているサービス
インターネットを通じてアクセスできる公開サービスや限定公開サービス

また、ポリシーベースのルートを使用して Google Cloud の VPC 内でのトラフィック検査を行う方法についても説明します。

ルートタイプとネクストホップ

Google Cloud のルートは、クラスレスドメイン間ルーティング（CIDR）形式の宛先プレフィックス、ネクストホップ、優先度の 3 つの主要要素で構成されます。ポリシーベースのルートでは、宛先 IP アドレスのみを使用するのではなく、プロトコルや送信元 IP アドレスなどの追加要素に基づいてネクストホップを選択できるため、ファイアウォールなどのアプライアンスをネットワークトラフィックパスに挿入できます。

下の図は、Google Cloud 内の仮想マシンから発信されるパケットの可能なネクストホップ宛先を示しています。これには、仮想マシン、IP アドレス、ロードバランサ、VPN トンネルなどの宛先が含まれます。また、この図は Google Cloud 内で利用できるさまざまなタイプのルートも示しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1-packet-next-hop-overview_v1.max-2200x2200.png

図 1: VM からのパケットのルートタイプとホップオプション（クリックして拡大）

以下のセクションでは、さまざまなタイプのルートと各ルートタイプのネクストホップ、およびそれらのユースケースについて説明します。

システム生成ルート

1a. サブネット ルートサブネットルートは、VM、Private Service Connect（PSC）エンドポイント、VPC ネットワーク内の内部ロードバランサなどのリソースに対して構成された Google Cloud サブネットと一致する宛先へのパスを指定します。これは、サブネットのライフサイクルに関連して作成され、削除されます。サブネットルートには、ローカル、ピアリング、Network Connectivity Center の 3 つのタイプがあります。

複数のサービスを利用する e コマースアプリケーションを開発していると想像してみてください。注文を処理するクライアントマシンと同じサブネット内で、以下を含む複数のサービスと簡単に通信できます。

同じサブネットでホストされている商品カタログサービス
別のサブネットでホストされているロードバランスされた注文検証サービス
別の VPC / 組織内にあり、PSC エンドポイントを使用するサードパーティの決済処理サービス
Network Connectivity Center ハブの VPC スポークでホストされる共通の出荷処理サービス - VPC スポーク間（vpc1 と Network Connectivity Center ハブの他の VPC ネットワーク間）で IP アドレスが重複していても、Private NAT を使用してアクセス可能

Google Cloud はこれらすべてのシナリオですぐに使用できるルーティングを提供しているため、ルートに関する追加のカスタム構成は不要です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2-vpcdefault-route.max-2200x2200.png

1b. システム生成のデフォルト ルートVPC ネットワークを作成すると、宛先の範囲が最も広いデフォルトルート 0.0.0.0/0 と、ネクストホップとしてのデフォルトインターネットゲートウェイが生成されます。デフォルトインターネットゲートウェイによって、リモート IP アドレス、デフォルトドメインの Google API、プライベートドメイン private.googleapis.com および restricted.googleapis.com へのアクセスが円滑になります。

このデフォルトルートは削除することも、より具体的な宛先や異なるネクストホップが指定されたカスタム静的ルートに置き換えることもできます。たとえば、プライベートドメイン（private.googleapis.com）を使用して Google API にアクセスするには、デフォルトインターネットゲートウェイをネクストホップとする 199.36.153.8/30 の静的ルートを作成します。詳細については、システム生成のデフォルトルートをご確認ください。

カスタムルート

2a. 静的ルートニーズに応じて、指定された宛先 CIDR 範囲の静的ルートを作成できます。このルートは、デフォルトインターネットゲートウェイ、仮想マシン（VM）、IP アドレス、VPN トンネル、内部パススルーロードバランサなど、さまざまな宛先にパケットを送信できます。これにより、パケットのパスを制御し、ネットワークトラフィックフローを最適化できます。宛先 CIDR 範囲が、ローカル、ピアリング、Network Connectivity Center の各サブネットルートと競合しないようご注意ください。詳細については、静的ルートに関するドキュメントをご覧ください。

読み込んでいます...

VPC1 のルートテーブル:

https://storage.googleapis.com/gweb-cloudblog-publish/images/3-custom-static-route.max-900x900.jpg

2b. 動的ルート動的ルートは、Border Gateway Protocol（BGP）を介して受信したメッセージに基づいて、Cloud Router で作成、更新、削除されます。ネクストホップは VLAN アタッチメント、Cloud VPN トンネル、Network Connectivity Center のルーターアプライアンス VM インスタンスのいずれかにできます。これらの動的ルートは、VPC ルーティングモード（リージョンまたはグローバル）に応じて、単一リージョン内のリソースか、VPC ネットワークの全リージョンのリソースに適用されます。HA VPN ゲートウェイを作成して 2 つの VPC ネットワークを接続し、ネットワーク間でルートを動的に交換するには、HA VPN ゲートウェイを作成して VPC ネットワークに接続するをご覧ください。

以下は、BGP セッションを介して受信した動的ルートの例です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/4-dynamic-route.max-900x900.jpg

VPC ネットワークピアリングルート

VPC ネットワークが VPC ピアリングを介して別の VPC ネットワークに接続されると、ピアリングされたサブネットルートによって、ピアリングされたネットワーク内のリソースにアクセスするためのパスが定義されます。サブネットルートは常に交換され、無効にできません。ただし、プライベートで使用されるパブリック IPv4 アドレスを利用する IPv4 サブネットルートは例外です。サブネットルート、静的ルート、動的ルートをピアリングされたネットワークと共有するさまざまな方法については、ルート交換オプションに関するドキュメントをご覧ください。また、ピアリングルートタイプに基づく、ネットワークやピアリンググループあたりのサブネットルート、静的ルート、動的ルートの数の割り当てがあることにご注意ください。

読み込んでいます...

us-east1 リージョンの VPC1 ルート:

https://storage.googleapis.com/gweb-cloudblog-publish/images/5-vpc1-to-vpc2-peering-routes.max-900x900.jpg

us-east1 リージョンの VPC2 ルート:

https://storage.googleapis.com/gweb-cloudblog-publish/images/6-vpc2-to-vpc1-peering-routes.max-900x900.jpg

Network Connectivity Center のルート

Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポークリソース間のネットワーク接続を可能にします。Network Connectivity Center では、VPC とハイブリッド（VLAN、VPN トンネル、ルーターアプライアンス VM）の 2 種類のスポークがサポートされています。Network Connectivity Center を使用することで、VPC ネットワーク間、オンプレミスと VPC ネットワーク間（サイトツークラウド）、Google のネットワークを広域ネットワークとして使用する外部サイト間（サイトツーサイト）の接続を実現できます。

Network Connectivity Center のサブネットルートは、Network Connectivity Center ハブに接続されている VPC スポーク内のサブネット IP アドレス範囲です。以下は、2 つの VPC スポーク（vpc1 をバッキングする ncc-spoke1 と vpc3 をバッキングする ncc-spoke2）のハブ（ncc-hub1）のネクストホップが指定された VPC ルートテーブルと Network Connectivity Center ハブルートテーブルの例です。各 VPC スポークの VPC ネットワークルートテーブルと Network Connectivity Center ハブルートテーブルは、Google Cloud によって自動的に更新されます。

1 つの VPC スポークは、他のスポークと CIDR 範囲が重複しているため、サブネットのエクスポートをスキップできます。gcloud コマンドを使用している場合は、–exclude-export-ranges オプションを使用してこの処理を実行できます。

読み込んでいます...

VPC ネットワーク（vpc1）の VPC ルートテーブル

https://storage.googleapis.com/gweb-cloudblog-publish/images/7-ncc-hub-route-for-vpc1.max-900x900.jpg

VPC ネットワーク（vpc3）の VPC ルートテーブル

https://storage.googleapis.com/gweb-cloudblog-publish/images/8-ncc-hub-route-for-vpc3.max-900x900.jpg

ハブルートテーブル:

https://storage.googleapis.com/gweb-cloudblog-publish/images/9-ncc-hub-routes.max-900x900.jpg

ポリシーベースのルート（PBR）

ここまで、パケットの宛先 IP アドレスに基づくネクストホップの指定方法を見てきました。ポリシーベースのルートでは、それに加え、パケットのプロトコルと送信元 IP アドレスに基づいてネクストホップを指定することもできます。この場合、トラフィックが内部パススルーネットワークロードバランサにリダイレクトされることで、ファイアウォールなどのアプライアンスをネットワークトラフィックのパスに挿入できます。これは、ポリシーベースのルートが他のルートより前に評価されるためです。ポリシーベースのルート以外のルートタイプでは、ローカル、ピアリング、Network Connectivity Center の各サブネットルートの宛先と一致するか、その範囲内に含まれる宛先は許可されないことにご注意ください。

下の例の場合、デフォルトでは、ローカルサブネットルートでトラフィックが VM1 から VM2 に送信されます。ポリシーベースのルートを追加すると、VM1 から VM2 へのトラフィックが L4 ロードバランサにリダイレクトされ、マネージドインスタンスグループで実装されたネットワーク仮想アプライアンス（NVA）にトラフィックが転送されます。NVA 内で、トラフィックは最終宛先である VM2 に到達する前に検査されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/10-pbr-traffic-flow.max-2200x2200.png

読み込んでいます...

VPC1 のルートテーブル:

https://storage.googleapis.com/gweb-cloudblog-publish/images/11-pbr-route.max-1400x1400.png

このポリシーベースのルートは、VM からの下り（外向き）トラフィックを検査するように拡張できますが、いくつかの例外があります。たとえば、ポリシーベースのルートを使用した Google API やサービスへのトラフィックのルーティングは、Google Cloud ではサポートされていません。

ポリシーベースのルートは、すべての VM やネットワークタグによって選択された特定の VM に適用することも、Cloud Interconnect VLAN アタッチメントを介して VPC ネットワークに入るトラフィックに適用することもできます。また、ポリシーベースのルートは、VPC ネットワークピアリングを介して交換されることはありません。

特別なルートのパス

VPC ネットワークには、VPC ネットワークルートテーブルに表示されず、削除もできない特定のサービス用の特別なルートがあります。これには、外部パススルーネットワークロードバランサやヘルスチェックへの応答などが含まれます。これらについても、VPC ファイアウォールルールや Cloud NGFW ファイアウォールポリシーを使用して、トラフィックを許可または拒否することはできます。

意思決定表

下の表は、仮想マシン（VM）が Google Cloud、オンプレミス、別のクラウドのいずれかでホストされているサービスにアクセスする可能性があるシナリオと、各シナリオで可能なルーティングオプションをまとめたものです。

シナリオ	ルーティングオプション
外部ロードバランサ、Google Front End、Identity-Aware Proxy（IAP）、Cloud DNS、Service Directory、ヘルスチェック、サーバーレス VPC アクセス、グローバル Google API の PSC エンドポイントのパス	特別なルートのパス
同じ VPC でホストされているサービス	システム生成のサブネットルート
別の VPC でホストされているサービス	VPC ピアリングされたサブネットルート VPN を経由するカスタム動的ルート PSC エンドポイント NCC ハブサブネットルート
Google API	デフォルトインターネットゲートウェイへのシステム生成のデフォルトルートまたはカスタム静的ルート PSC エンドポイント
インターネット	デフォルトインターネットゲートウェイへのシステム生成のデフォルトルートまたはカスタム静的ルート
他のクラウドまたはオンプレミスでホストされているサービス	カスタム動的ルート
VPC 内トラフィック検査	ポリシーベースのルート

まとめと次のステップ

このブログ投稿では、ワークロードのニーズに基づいてネットワーキングトポロジを開発できるよう、VM からのパケットに対して Google Cloud で利用できるさまざまなルートタイプについて説明しました。詳細については、一般公開ドキュメントの Google Cloud でのルーティングをご覧ください。次のステップとして、トラフィック検査にポリシーベースのルートを使用することも、ラボ: SD-WAN アプライアンスを使用して NCC サイトからクラウドへに記載されている Network Connectivity Center の機能の一部を実際に体験することもできます。