コンテンツに移動
ネットワーキング

Google Cloud でのプライベート接続に IPv6 の一意のローカル アドレスを使用する

2023年1月26日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 1 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: Google Cloud は幅広い IPv6 機能をサポートしています。概要については、こちらのブログをご覧ください。


IPv4 アドレスの枯渇問題についての話題が上がるときは、パブリックな IPv4 空間が想定されている場合がほとんどです。IPv6 が導入されたときの主な目標は、インターネットからアクセス可能なアドレスをすべてのデバイスに割り当てることによるアドレス枯渇問題を解決することでした。しかし、大企業における IP 枯渇問題は、多くの場合、プライベートな RFC1918 アドレス空間に関連するものです。大企業は、社内ネットワークに RFC1918 アドレス空間を使用しています。そして最近では、5G、モノのインターネット、モバイルアプリ、コネクテッド デバイス、サーバーレス サービス、コンテナベース サービスなどのテクノロジーの進化により、IPv4 プライベート アドレス空間の枯渇が加速しています。

Google Cloud の IPv6 機能の中でも特に興味深いものとして、ULA(一意のローカル アドレス)のサポートがあります。これは、RFC 1918 で定義された IPv4 で使用されるプライベート IP 空間に類似した、RFC4193 で定義された IPv6 アドレス空間です。

IPv6 アドレス空間は IPv4 アドレス空間に比べて巨大ですが、企業は、パブリック インターネットで発生し得る脅威にさらされていないプライベート ネットワークを必要としています。IPv4 と同様に、IPv6 はパブリック アドレス空間と競合しない個別のプライベート アドレス空間として、プライベート アドレッシングの概念を保持しています。IPv6 ULA アドレスは、プライベート ネットワークの範囲内でルーティングできますが、グローバル IPv6 インターネットではパブリックにルーティングできないため、インターネットや他のクラウドの利用者からプライベート ワークロードを分離できます。さらに、中央登録機関による調停なしでこれらのアドレスを割り当てて使用することができます。

Google Cloud では、VPC 内のプライベート通信用に内部 IPv6 ULA サブネットを作成できます。これらのサブネットから割り当てられた IPv6 ULA アドレスを持つワークロードは、ネットワーク内のプライベート通信に使用されることを意図しています。パブリックに利用できるワークロードは、GUA(グローバルに一意なアドレス)を使用して外部 IPv6 を活用できます。さらに、マルチ NIC VM インスタンスは、ULA(内部)アドレスと GUA(外部)アドレスの両方でデュアルホームにすることができます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Using_IPv6_Unique_Local_Addresses.max-1700x1700.jpg

Google Cloud でプライベート通信に ULA アドレッシングを使用すると、従来の IPv4 RFC 1918 アドレス空間に比べて次の利点があります。

1. 何十億もの IPv6 アドレスを持つ VPC

/48 ULA 範囲が各 VPC に割り当てられ、VPC 内の各サブネットには、この /48 ULA 範囲から /64 IPv6 アドレス範囲が割り当てられます。/48 ULA 範囲を持つ各 VPC は、65,536 の /64 サブネットに対応できます。デュアルスタック サブネットには、IPv4 と IPv6 の両方のアドレス範囲が割り当てられます。各 /64 サブネットは、40 億の一意の VM インターフェースに対応できます。IPv6 対応の各 VM には、サブネットから /96 アドレス範囲が割り当てられます。これにより、VM インターフェースごとに 40 億の一意の IPv6 アドレスが提供されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_Using_IPv6_Unique_Local_Addresses.max-1500x1500.jpg

2.  重複しないプライベート IPv6 アドレス空間

ULA 対応の VPC を作成すると、VPC の /48 範囲が割り当てられ、すべての Google Cloud リージョンで使用できます。この集計範囲を使用して、オンプレミスまたはクロスクラウド デプロイでの ACL、ファイアウォール、およびアクセス制御の仕様を簡素化できます。

複数のネットワークで再利用することを意図した RFC1918 アドレスとは異なり、ULA アドレスは一意であることが意図されています。RFC4193 には、重複を避けることができる疑似ランダム IP 生成ツールの説明が含まれています。Google Cloud では、fd20::/20 の範囲からすべての ULA アドレスを割り当て、各 VPC ネットワークに一意の /48 ULA プレフィックスを割り当てることで、他の VPC との重複を避けています。これは、VPC ピアリングを使用する場合に役立ちます。なぜなら、ピアリング VPC 内のサブネットについて重複しない IPv6 アドレス範囲が必要だからです。また、一意性を確保することで、プライベート ネットワーク間で通信する際に NAT を使用する必要がなくなります。Google Cloud では、オンプレミス / クロスクラウドの ULA 範囲と重複しない VPC の ULA 範囲を柔軟に選択できます。

IPv6 ULA アドレッシングのサポートにより、コンテナやマイクロサービスに基づくシステムなど、大規模で複雑なシステムを持つ企業に新しい可能性が開かれます。Google Cloud で IPv6 の使用を開始する方法について詳しくは、ドキュメントをご覧ください。皆さんが IPv6 ULA アドレス空間を使用してどんなことを実現するのか、今から楽しみにしています。


- ソフトウェア エンジニア Ujjwal Jain
- プロダクト マネージャー Rohit Dalal
投稿先