Hackensack Meridian Health は VPC Flow Logs を使用してネットワーク移行のリスクを軽減
Adam Cole
GCC Network Specialist
Neha Chhabra
Product Manager
※この投稿は米国時間 2026 年 1 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。
ネットワーク管理者は、ネットワーク トラフィックの可視化に VPC Flow Logs を多用しています。昨年、Google は VPC Flow Logs をアップデートして、ネットワーク トラフィックの可視性を拡張し、サブネットだけでなく、VLAN アタッチメントと VPN トンネルも可視化できるようにしました。この機能強化により、オンプレミス環境とマルチクラウド環境全体で、ネットワーク トラフィックを包括的にモニタリングできます。
VLAN アタッチメントに VPC Flow Logs を使用すると、Cloud Interconnect を経由するネットワーク トラフィックの詳細なテレメトリー データをエクスポートできます。このデータには、送信元と宛先の IP アドレス、ポート、プロトコル、転送されたバイト数 / パケット数、タイムスタンプ、その他の関連メタデータなどの重要な情報が含まれています。このようなログはネットワーク トラフィックの分析、トラブルシューティング、キャパシティ プランニング、コンプライアンスとセキュリティの確保など、さまざまなユースケースにおいて重要となります。この VPC フローログは Flow Analyzer を使用して簡単に分析でき、複雑な SQL クエリを記述することなく、ネットワークに関する貴重な分析情報を入手できます。
優れた機能であることはおわかりいただけたかと思いますので、次はその用途についてご説明します。Hackensack Meridian Health(HMH)は、ニュージャージー州最大の医療機関病院システムを擁する、大手の非営利医療機関です。病院、緊急医療センター、診療所の医療ネットワークである HMH にとって、システムの信頼性は非常に重要であり、基盤となる価値でもあります。このブログ投稿では、HMH が Google Cloud ネットワークを新しいアーキテクチャ設計に移行する前に、どのように VPC Flow Logs と Flow Analyzer を活用して Cloud Interconnect トラフィックを分析したかについて説明します。
それでは詳しく見ていきましょう。
移行準備に VPC Flow Logs を使用
昨年、HMH は重要な大規模ネットワークを新しい Google Cloud ネットワーク設計に移行する準備を行っていました。このような大規模な移行の前に、HMH はサンキー ダイアグラムを使用して、最も重要なハイブリッド トラフィック パターンをしっかりと把握しておきたいと考えていました。この分析は、カットオーバー時にシステム停止を引き起こす可能性のある最大のリスクを正確に特定し、事前に対応策を策定する唯一の方法でした。
「相互接続のトラフィックはこれまでブラック ボックスのようなものでした。VPC Flow Logs を有効にして Flow Analyzer にフィードすることにより、"何と何が通信しているか" がわかる、求めていたマップをようやく入手できるようになりました。ルートを変更する前に、このような重要なトラフィック フローを特定することが、移行全体のリスクを軽減するうえでの鍵でした。」- Hackensack Meridian Health、クラウド エンジニアリング マネージャー、Randall Brokaw 氏
必要なデータを収集するために、HMH はすべての VLAN アタッチメントで VPC Flow Logs を有効にし、Flow Analyzer を活用して内向きと外向きのデータを簡単に集計できるようにしました。内向きデータの分析には、次のクエリ コンポーネントを使用しました。
Flow Analyzer クエリ
-
送信元
-
フィルタ: ゲートウェイの種類 = INTERCONNECT_ATTACHMENT
-
フロー整理の基準: ゲートウェイのロケーション、ゲートウェイ VPC ネットワーク
-
宛先
このように設定することにより、VPC フローログを Cloud Interconnect VLAN アタッチメント経由の内向きトラフィックに絞り込んだうえで、Google Cloud リージョンと VPC ネットワークごとに送信元トラフィック量を集計できます。
宛先データは Compute Engine インスタンス プロジェクトごとにグループ化されます。各アプリケーションは専用のサービス プロジェクトにデプロイされるため、宛先アプリケーションを簡単に特定できます。ただ、すべてのトラフィックが Compute Engine VM に送信されるわけではないため、Google サービスのタイプを含めることにより、Google API と Google がホストする VPC サービスへのトラフィックも把握できるようにしています。
お使いの環境でこの分析を実施する際の最適なフロー パラメータと宛先のグループ化は、Google Cloud にアプリケーションをデプロイする方法によって異なります。たとえば、IP アドレス、ポート、VPC サブネット、GKE クラスタなど、VPC フローログのメタデータによって収集された使用可能なフィールドごとにグループ化できます。
このようなデータをもとに、HMH は VPC フローログのトラフィック量をサンキー ダイアグラムに変換しました。変換するには、各トラフィック フローを {source, destination, weight} の 3 列からなる複数の行にフォーマット化する必要がありました。この分析の場合、重みは Flow Analyzer に表示されるトラフィック量で、送信元と宛先は次の順序でサンキー ダイアグラムの各レイヤに対応しています。
-
データセンターから Google Cloud リージョン
-
Google Cloud リージョンから VPC ネットワーク
-
VPC ネットワークからアプリケーション
Flow Analyzer コンソールで [ログ分析のクエリを表示する] を選択すると、トラフィック フローを簡単に Google スプレッドシートにエクスポートして、ダイアグラムに正確に反映できます。そのうえで、HMH は Google Charts を使用してサンキー ダイアグラムを作成しました。
Google Charts のサンプルコード
Google Charts のサンキー ダイアグラム - Cloud Interconnect トラフィックの分析
HMH のネットワーク エンジニアは VPC Flow Logs を使用することにより、移行計画において重要となるカットオーバーのタイミングを特定でき、プロアクティブなモニタリングと準備を通じて移行のリスクを軽減できました。この準備を行ったことにより、移行の問題が 3 分で検出され、わずか 5 分で解消されました。これまでであれば数時間かかっていた可能性がある問題解決プロセスの時間が大幅に短縮しました。この準備こそが移行の成功の基盤となりました。
この実装では Flow Analyzer を使用しており、Flow Analyzer では VPC フローログを Cloud Logging に保存する必要があります。Cloud Logging に保存せずに、VPC フローログを BigQuery に直接転送することもできます。その場合は、Looker などの可視化サービスを利用して、カスタムのダッシュボードを構築し、価値ある分析情報を取得します。
成功へと導く VPC Flow Logs と Flow Analyzer
HMH は VPC Flow Logs と Flow Analyzer を使用して、スムーズにネットワークの移行ができるようにしました。同時に、Cloud Interconnect のトラフィックを細かく可視化できる VPC Flow Logs は、キャパシティ プランニングやコストのアトリビューションなど、他のさまざまなユースケースにも対応できます。今すぐ VLAN アタッチメントで VPC Flow Logs を有効にし、Flow Analyzer を利用してトラフィック フローのパターンに関する分析情報を入手しましょう。
詳細については、VPC Flow Logs のドキュメントをご覧ください。または、Flow Analyzer を使用して、追加費用なしでログを分析してみてください。
- GCC ネットワーク スペシャリスト Adam Cole
- プロダクト マネージャー Neha Chhabra
