公共部門のイノベーションを推進: GDC エアギャップの新しいネットワーキング機能

※この投稿は米国時間 2025 年 7 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Distributed Cloud（GDC）エアギャップは、主権と規制に関する厳格な要件を持つ組織向けに、重要かつ高度なネットワーキング機能を備えたフルマネージド エクスペリエンスを提供します。しかし、完全に隔離された環境で運用すると、ネットワーキングに関して特有の課題が生じます。接続されたネットワークと比べると、ルーチンタスクは大幅に複雑化して手作業が多くなり、必要なプランニングとカスタム ソリューションが増えます。

今回は、こうした課題の解決を支援する、GDC エアギャップの進化した 3 つのネットワーキング機能である、ネイティブの IP アドレス管理（IPAM）、マルチゾーンのロード バランシング、ワークロード レベルのファイアウォール ポリシーを紹介します。これらはすべて、エアギャップ環境をより細かく制御できるように設計された強力な新機能です。

それぞれの機能を見ていきましょう。

GDC の IP 管理の効率化

GDC の IP アドレス管理を使用して、すべてのワークロードとインフラストラクチャの IP アドレスを計画、追跡、モニタリングできるようになりました。多くのエアギャップ デプロイメントでは、組織の既存のプライベート IP アドレス空間から IP アドレスが使用されていますが、こうした IP アドレス空間は、管理が難しく、スケーラビリティに乏しく、セキュリティも不十分で、しかも有限であることから、GDC の IPAM は有効なツールとなります。GDC の IPAM は、次の機能を提供します。

• IP 管理の自動化と効率化: 組織ごとに所有する外部 IP と内部専用の VPC サブネットなどの機能により、手作業によるエラーを最小限に抑え、デプロイを迅速化できます。

• スケーラブルな IP 管理: 運用開始後の IP 増加に対応できるようネットワークを柔軟に拡張し、重複する IP アドレスの競合を回避しつつ、非連続のサブネットにも対応できます。

• セキュリティとコンプライアンスの強化: サブネット委任やゾーン インフラストラクチャのプライベート IP など、堅牢な IPAM コントロールを活用することでセキュリティ ポスチャーを強化し、厳格なコンプライアンス要件に対応できます。

• IP リソース使用率の最適化: IP のスプロールを抑え、限られた IP リソースを最大限に活用できます。

GDC の IPAM は、安全なエアギャップ環境において IP ライフサイクル全体を管理するために欠かせないインテリジェントな自動化と一元的な監視を提供し、運用の最適化と重要な規制への準拠を支援します。

マルチゾーン ロードバランサによる高可用性

重要なアプリケーションでは、ダウンタイムは許されません。ゾーン障害が発生した場合でも、ワークロードの復元力とアクセス性を維持できるようになりました。

新しいマルチゾーン ロード バランシング機能を使用すると、GDC 環境内の複数のアベイラビリティ ゾーンにトラフィックを分散できます。内部ロードバランサと外部ロードバランサの両方がこのマルチゾーン機能に対応しているので、稼働時間を最大化しながら運用を簡素化できます。これには、次のような利点があります。

• 継続的な可用性: 1 つのゾーンが完全に停止した場合でも、アプリケーションへのアクセスを維持できます。

• 運用の簡素化: アプリケーションには単一のエニーキャスト IP アドレスが割り当てられており、バックエンドの場所にかかわらず利用できます。

• パフォーマンスの最適化: トラフィックは、ネットワーク トポロジとルーティング指標に基づいて、最も近くて利用可能なインスタンスに転送されます。

ロード バランシング システムは、ロードバランサ（LB）オブジェクトを作成し、新しいロードバランサ API コントローラがそれを処理します。これらのコントローラは、相互参照や仮想 IP アドレス（VIP）の自動予約などのオブジェクトの状態を管理し、すべてのクラスタにわたって Kubernetes サービスを作成します。

ワークロード単位のネットワーク ファイアウォール ポリシー

環境のセキュリティを確保するには、エッジだけでなく内部のすべてのコンポーネント間のトラフィックも制御する必要があります。そこで、GDC エアギャップ プロダクトの一部として、ワークロード単位のファイアウォール ポリシーを導入しました。この機能により、プロジェクト内の個々のワークロード（VM や Pod など）間の通信をきめ細かく制御できます。この機能は以下のことに役立ちます。

• セキュリティ ポスチャーの強化: ワークロードを分離し、ワークロード間の通信を制限します。

• ポリシー適用の簡素化: 特定のワークロードまたはワークロード グループにポリシーを定義して適用します。

• 規制基準への準拠: 規制要件と社内基準への準拠を支援します。

GDC エアギャップは、デフォルトの基本ネットワーク ポリシーを適用して安全なアーキテクチャを構築します。ワークロード単位でプロジェクト内またはプロジェクト間のトラフィックを許可するために、これらのデフォルト ポリシーを必要に応じて更新できます。ポリシーはデフォルトでマルチゾーンです。このため、ラベル付けされたワークロードが存在するすべてのゾーンに影響します。ラベルとワークロード セレクタを使用して、ワークロード単位でポリシーを適用できます。

ネットワーク制御の新時代

GDC の IPAM、マルチゾーンのロード バランシング、ワークロード単位のファイアウォール ポリシーといった新機能は、エアギャップ クラウドにおいて、堅牢で復元力が高く、セキュリティに優れたネットワーク環境を提供するための大きな前進となります。これらが連携することで、運用が簡素化されるだけでなく、セキュリティ ポスチャーも強化され、最も機密性の高いアプリケーションを安心して実行できるようになります。

これらの機能の詳細については、ドキュメントを参照するか、Google Cloud のアカウント担当者にお問い合わせください。

-シニア プロダクト マネージャー、Vikram Pendharkar
-プロダクト マネージャー、Michael Yitayew