複数のネットワーク インターフェースを持つ VM を作成する

デフォルトでは、Virtual Private Cloud(VPC)ネットワーク内の各仮想マシン(VM)インスタンスには 1 つのネットワーク インターフェースがあります。ただし、複数のネットワーク インターフェースを持つインスタンスを構成することもできます。1 つのインスタンスで複数のネットワーク インターフェースを使用する場合、各インターフェースは異なる VPC ネットワークのサブネットに接続する必要があります。複数のネットワーク インターフェースを同じサブネットや同じ VPC ネットワーク内のサブネットに接続することはできません。

VM インターフェースは、IPv4 アドレスのみ(シングルスタック)または IPv4 アドレスと IPv6 アドレスの両方(デュアルスタック)で構成できます。

複数のネットワーク インターフェースが不要な場合は、インスタンスの作成と起動の手順に沿って、デフォルトのネットワーク構成でインスタンスを作成してください。

複数のネットワーク インターフェースとその仕組みの詳細については、複数のネットワーク インターフェースをご覧ください。

仕様

  • ネットワーク インターフェースを構成できるのはインスタンスの作成時のみです。
  • 複数のネットワーク インターフェースを持つインスタンスを作成する場合は、各インターフェースを異なる VPC ネットワークに接続する必要があります。ネットワークは、スタンドアロンの VPC ネットワークまたは共有 VPC ネットワークになります。
  • ネットワーク インターフェースは、同じインスタンスの別のインターフェースの IP アドレス範囲と重複しない IP アドレス範囲のサブネットに接続する必要があります。
  • 複数の VPC ネットワーク内のサブネットに接続する VM を作成する場合は、インスタンスを作成する前に、すべてのネットワークとサブネットが存在している必要があります。ネットワークとサブネットの作成の詳細については、VPC ネットワークの作成と管理をご覧ください。
  • ネットワーク インターフェースを削除するには、その接続先のインスタンスを削除します。

  • 各インスタンスには、インスタンスのマシンタイプに応じて、少なくとも 1 つのネットワーク インターフェースと、最大 8 つのネットワーク インターフェースが必要です。

    • nic0 は必須で、インスタンスの作成時に構成する必要があります。
    • nic1nic7 は省略可ですが、これらもインスタンスの作成時に構成する必要があります。

    詳細については、インターフェースの最大数をご覧ください。

  • インターフェースごとに任意で外部 IPv4 アドレスを設定できます。

  • VM を内部または外部の IPv6 サブネット範囲を持つサブネットに接続する場合、必要に応じて内部または外部 IPv6 アドレスを構成できます。

  • Google Cloud の DHCP サーバーはデフォルトのルート(RFC 3442「クラスレス静的ルート」)をデフォルトのネットワーク インターフェース(nic0)にのみ送信します。別のネットワーク インターフェースでデフォルト ルートが必要な場合は、インスタンスにポリシー ルーティングを構成する必要があります。

  • すべての VM ネットワーク インターフェースは、VM と同じプロジェクトのネットワークのサブネットに接続するか、プロジェクトで共有されている共有 VPC ネットワークに接続する必要があります。

制限事項

  • 既存の VM からネットワーク インターフェースを追加または削除することはできません。

  • IP 転送は VM レベルで有効になっており、個々のインターフェースには適用できません。

複数のネットワーク インターフェースを持つ権限、IAM、インスタンス

複数のネットワーク インターフェースを持つインスタンスを作成するには、次のいずれかのロールが必要です。

共有 VPC 環境を使用しないプロジェクトでの複数のインターフェースを持つインスタンスおよびインスタンス テンプレートの作成と削除: プロジェクト レベルでオーナー、編集者、または Compute インスタンス管理者(v1)のロールを持つユーザーは、その同じプロジェクトの一部である VPC ネットワークとサブネットに関連付けられている複数のインターフェースを持つインスタンスを作成できます。

共有 VPC 環境での複数のネットワーク インターフェースを持つインスタンスおよびインスタンス テンプレートの作成と削除: プロジェクト レベルでオーナー、編集者、または Compute インスタンス管理者(v1)のロールを持つユーザーは、複数のインターフェースを持つインスタンスを作成できます。いずれかのインターフェースが共有 VPC ホスト プロジェクトのサブネットに接続されている場合は、共有 VPC ホスト プロジェクト レベルまたは共有 VPC サブネット レベルで Compute ネットワーク ユーザーのロールroles/compute.networkUser)も必要になります。

権限の詳細については、Compute Engine IAM ドキュメントをご覧ください。

VPC ネットワークの種類が異なる複数のネットワーク インターフェースを使用する

  • レガシー ネットワークでは、複数のネットワーク インターフェースはサポートされていません。
  • 複数のネットワーク インターフェースを構成するときは、各インターフェースを自動モード VPC ネットワークかカスタムモード VPC ネットワークに接続します。

ネットワーク インターフェースの IP アドレスの割り振り

  • 各ネットワーク インターフェースには、サブネットのプライマリ IP アドレス範囲から割り当てられたプライマリ内部 IP アドレスを構成する必要があります。
    • 単一のインスタンス内の各インターフェースに割り当てられるプライマリ内部アドレスとは異なる必要があります。
  • 一意の外部 IP アドレスを使用して、各仮想インターフェース(NIC)を構成することもできます。外部アドレスはエフェメラルまたは予約済みです。

ネットワーク インターフェースの最大数

仮想ネットワーク インターフェースの数は vCPU の数に比例し、最小 2 個、最大 8 個です。

次の表を使用して、インスタンスに接続できるネットワーク インターフェース数を判断します。

vCPU 数 vNIC の数
2 以下 2
4 最大 4
6 最大 6
8 以上 最大 8

始める前に

複数のネットワーク インターフェースを持つ VM インスタンスを作成する

インスタンスの作成に関する一般的な手順については、VM インスタンスを作成して起動するをご覧ください。

インスタンスを作成するときに、複数のネットワーク インターフェースを追加できます。

  • Google Cloud コンソールの [インスタンスの作成] ページの [ネットワーキング] > [ネットワーク インターフェース] セクションでネットワーク インターフェースを追加します。
  • gcloud CLI で instances create コマンドを使用します。インターフェースごとに --network-interface フラグ、その次に ([network | subnet], private-network-ip, address, external-ipv6-address) などの適切なネットワーキング キーを指定します。

最初のインターフェースは、常に nic0 として作成されます。また、これが常にデフォルトのインターフェースになります。このインターフェースは、Google Cloud ネットワーキングの他の側面で重要となります。たとえば、Google Cloud ロードバランサ(パススルー ネットワーク ロードバランサを除く)は、nic0 にのみトラフィックを分散します。

コンソール

  1. Google Cloud コンソールで、[インスタンスの作成] ページに移動します。

    [インスタンスの作成] に移動

  2. [名前] フィールドに、インスタンスの名前を入力します。

  3. [リージョン] フィールドでリージョンを選択します。

  4. [ゾーン] フィールドでゾーンを選択します。

  5. [詳細オプション] セクションで、[ネットワーキング] を開いて次の操作を行います。

    1. [ネットワーク インターフェース] セクションで、ネットワーク インターフェースを開いて編集します。

    2. [ネットワーク] と [サブネットワーク] で、使用するネットワークとサブネットワークを選択します。

    インターフェースに IPv6 アドレスを構成する場合は、IPv6 アドレス範囲が構成されているサブネットを選択します。サブネットの IPv6 アクセスタイプによって、VM が内部 IPv6 アドレスを受信するのか、外部 IPv6 アドレスを受信するのかが決まります。

    1. IP スタックの種類: IPv4(シングルスタック)または IPv4 と IPv6(デュアルスタック)を選択します。

    2. [プライマリ内部 IPv4 アドレス] で次のいずれかを選択します。

      • エフェメラル: 新しいエフェメラル IPv4 アドレスを割り振ります。
      • リストから予約された静的内部 IPv4 アドレス。
      • 静的内部 IPv4 アドレスを予約: 新しい静的内部 IPv4 アドレスを予約して割り当てます。

    3. [プライマリ内部 IPv6 アドレス] で次のいずれかを選択します。

      • 自動割り当て: 新しい静的内部 IPv6 アドレスを自動的に割り当てます。
      • リストから予約された静的内部 IPv6 アドレス。
      • 静的内部 IPv6 アドレスを予約: 新しい静的内部 IPv6 アドレスを予約して割り当てます。

    4. [外部 IPv4 アドレス] で、次のいずれかを選択します。

      • エフェメラル: 新しいエフェメラル IPv4 アドレスを割り当てます。
      • なし: 外部 IPv4 アドレスを割り振りません。
      • リストから予約された静的 IPv4 アドレス。
      • 静的外部 IP アドレスを予約: 新しい静的外部 IPv4 アドレスを予約して割り当てます。

    5. [外部 IPv6 アドレス] で、次のいずれかを選択します。

      • 自動割り当て: 新しい静的外部 IPv6 アドレスを自動的に割り当てます。
      • リストから予約された静的外部 IPv6 アドレス。
      • 静的外部 IPv6 アドレスを予約: 新しい静的外部 IPv6 アドレスを予約して割り当てます。

    6. ネットワーク インターフェースの変更を終了するには、[完了] をクリックします。

  6. 別のインターフェースを追加するには、[ネットワーク インターフェースを追加] をクリックします。

  7. VM 作成プロセスを続行します。

  8. [作成] をクリックします。

gcloud

新しいインスタンスにネットワーク インターフェースを作成するには、instances create コマンドを使用します。

インターフェースごとに --network-interface フラグを指定し、さらに networksubnetprivate-network-ipaddressexternal-ipv6-address などの適切なネットワーキング キーを指定します。複数のインターフェースを持つ VM の作成方法の例については、構成例をご覧ください。

このスニペットは、インスタンス作成時に指定できる多くのパラメータの 1 つである --network-interface フラグについて示すことのみを目的としたものです。

必要なネットワーク インターフェースの数をサポートしているマシンタイプを確認するには、ネットワーク インターフェースの最大数の表をご覧ください。

gcloud compute instances create INSTANCE_NAME \
    --zone ZONE \
    --network-interface \
        network=NETWORK,subnet=SUBNET, \
        stack-type=STACK_TYPE, \
        address=EXTERNAL_IPV4_ADDRESS | no-address, \
        private-network-ip=INTERNAL_IPV4_ADDRESS \
        internal-ipv6-address=INTERNAL_IPV6_ADDRESS \
    ...
    --network-interface \
        network=NETWORK,subnet=SUBNET, \
        stack-type=STACK_TYPE, \
        external-ipv6-address=EXTERNAL_IPV6_ADDRESS, \
        external-ipv6-prefix-length=96 \
        ipv6-network-tier=PREMIUM \
    ...

次のように置き換えます。

  • INSTANCE_NAME: 作成する VM インスタンスの名前。
  • ZONE: インスタンスが作成されるゾーン。
  • NETWORK: インターフェースが接続するネットワーク。
  • SUBNET: インターフェースが接続するサブネット。

  • STACK_TYPE: インターフェースのスタックタイプ。

    デフォルト値は IPV4_ONLY です。デュアル スタック インターフェースを構成するには、IPV4_IPV6 を指定します。

  • EXTERNAL_IPV4_ADDRESS: インターフェースに名前付き外部 IPv4 アドレスを割り振ります。

    外部 IPv4 アドレスは予約済みである必要があります。インターフェースで外部 IP アドレスを使用しない場合は、address=EXTERNAL_IPV4_ADDRESS の代わりに「no-address」を指定します。インターフェースでエフェメラル外部 IP アドレスを受信する場合は、address='' を指定します。

  • INTERNAL_IPV4_ADDRESS: ターゲット サブネット内のインターフェースに必要な内部 IPv4 アドレス。割り当て済みの有効なアドレスのみを使用する場合は省略します。

  • INTERNAL_IPV6_ADDRESS: ターゲット サブネット内のインターフェースに必要な内部 IPv6 アドレス。このフラグを省略すると、内部 IPv6 アドレスは割り振られません。

  • EXTERNAL_IPV6_ADDRESS: インターフェースに名前付き外部 IPv4 アドレスを割り振ります。

    外部 IPv6 アドレスは予約済みである必要があります。インターフェースで外部 IPv6 アドレスを使用しない場合は、external-ipv6-address=EXTERNAL_IPV6_ADDRESS の代わりに「no-address」を指定します。インターフェースでエフェメラル外部 IPv6 アドレスを受信する場合は、external-ipv6-address='' を指定します。

API

instances.insert メソッドを使用して、複数のネットワーク インターフェースを持つ VM インスタンスを作成します。

  • 内部 IPv4 アドレスを持つ VM インスタンスを作成するには、次の操作を行います。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
....

"networkInterfaces": [
  {
    "networkIP": "IPV4_ADDRESS",
    "subnetwork": "regions/REGION/subnetworks/SUBNETWORK"
  },
    for each interface, specify a network...
],
other instance settings...
}

    次のように置き換えます。

    • SUBNET: ネットワーク インターフェースが配置されているサブネット。
    • REGION: インスタンスが含まれるリージョン。
    • PROJECT_ID: インスタンスが含まれているプロジェクトの ID。
    • ZONE: インスタンスを含むゾーン。
    • IPV4_ADDRESS: ネットワーク インターフェースに割り当てる内部 IPv4 アドレス。

  • 内部 IPv6 アドレスを持つ VM インスタンスを作成するには、次の操作を行います。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
....

"networkInterfaces": [
  {
    "subnetwork": "regions/REGION/subnetworks/SUBNETWORK"
    "ipv6Address": "IPV6_ADDRESS",
    "internalIpv6PrefixLength": 96,
    "stackType": IPV4_IPV6,
    "ipv6AccessType": INTERNAL
  },
    for each interface, specify a network...
],
other instance settings...
}

    次のように置き換えます。

    • SUBNET: ネットワーク インターフェースが配置されているサブネット。
    • REGION: インスタンスが含まれるリージョン。
    • PROJECT_ID: インスタンスが含まれているプロジェクトの ID。
    • ZONE: インスタンスを含むゾーン。
    • IPV6_ADDRESS: ネットワーク インターフェースに割り当てる内部 IPv6 アドレス。

Terraform

Terraform リソースを使用すると、複数のネットワーク インターフェースを持つ VM インスタンスを作成できます。

Terraform 引数の例の値は変更できます。

resource "google_compute_instance" "default" {
  project      = var.project_id # Replace with your project ID in quotes
  zone         = "us-central1-b"
  name         = "backend-instance"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    subnetwork = var.subnet_1 # Replace with self link to a subnetwork in quotes
    network_ip = "10.0.0.14"
  }
  network_interface {
    subnetwork = var.subnet_2 # Replace with self link to a subnetwork in quotes
    network_ip = "10.10.20.14"
  }
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

構成例

以降のセクションでは、複数のインターフェースを持つ VM を作成する方法について説明します。

IPv4 アドレスを持つ複数のネットワーク インターフェースを構成する

次のサンプル コマンドは、3 つのネットワーク インターフェースを持つインスタンスを作成します。

 gcloud compute instances create vm1 --machine-type=n1-standard-4 \
    --network-interface '' \
    --network-interface network=net1,subnet=subnet-a,private-network-ip=10.10.10.2,address=EXTERNAL_IPV4_ADDRESS \
    --network-interface network=net2,subnet=subnet-b,private-network-ip=10.10.20.2,no-address

インターフェースは次のように作成されます。

  • nic0 はデフォルト設定で作成されます。インターフェースは、デフォルトの VPC ネットワークのサブネットに接続し、内部 IP アドレスとエフェメラル外部 IP アドレスが自動的に割り振られます。

  • nic1 は、ネットワーク net1 のサブネット subnet-a に接続されます。内部 IPv4 アドレスは 10.10.10.2 であり、静的外部 IPv4 アドレスは EXTERNAL_IPV4_ADDRESS です。

  • nic2 は、ネットワーク net2 のサブネット subnet-b に接続されます。内部 IPv4 アドレスは 10.10.20.2 であり、外部 IP アドレスはありません。

gcloud compute instances create コマンドと --network-interface フラグの詳細については、コマンドのドキュメントをご覧ください。

追加したネットワーク インターフェースの IP アドレスを使用して、DNS 転送を設定できます。Cloud DNS 転送ゾーンの構成の詳細については、転送ゾーンをご覧ください。

IPv4 アドレスと IPv6 アドレスを持つ複数のインターフェースを構成する

次のサンプル コマンドは、2 つのネットワーク インターフェースを持つデュアル スタック インスタンスを作成します。

gcloud compute instances create vm1 \
--network-interface network=dual-int,subnet=int-subnet,stack-type=IPV4_IPV6 \
--network-interface network=dual-ext,subnet=ext-subnet,stack-type=IPV4_IPV6,ipv6-network-tier=PREMIUM \
--machine-type=n1-standard-4 --zone=us-west2-a

インターフェースは次のように作成されます。

  • nic0 は、ネットワーク dual-int のサブネット int-subnet に接続され、エフェメラル内部 IPv4 アドレスとエフェメラル内部 IPv6 アドレスが割り振られます。

  • nic1 は、ネットワーク dual-ext のサブネット ext-subnet に接続され、エフェメラル内部 IPv4 アドレスとエフェメラル外部 IPv6 アドレスが割り振られます。

インスタンス グループに複数のネットワーク インターフェースを構成する

非マネージド インスタンス グループとマネージド インスタンス グループでは、複数のネットワーク インターフェースを持つインスタンスを使用できます。

非マネージド インスタンス グループの場合は、各インスタンスを個別に作成します。各 VM の nic0 ネットワーク インターフェースが同じサブネットに接続するようにします。次に、非マネージド インスタンス グループに VM インスタンスを追加します。

マネージド インスタンス グループに複数のネットワーク インターフェースを構成するには、各インターフェースに --network-interface フラグを 1 回設定して、インスタンス テンプレートでインターフェースごとにネットワーク構成を指定する必要があります。次の例では、3 つのネットワーク インターフェースを持つインスタンス テンプレートを作成します。

gcloud compute instance-templates create template-1 \
    --network-interface subnet=net0-subnet-a \
    --network-interface subnet=net1-subnet-b,no-address \
    --network-interface subnet=net2-subnet-c,no-address \
    --region us-central1

プロジェクトの各リージョンのサブネット名は一意である必要があるため、名前でサブネットを指定すると、各インターフェースが暗黙的に VPC ネットワークに関連付けられます。各インターフェースでは、一意の VPC ネットワーク内のサブネットを使用する必要があります。

  • nic0net0-subnet-a サブネットを使用します。
  • nic1net1-subnet-b サブネットを使用します。
  • nic2net2-subnet-c サブネットを使用します。

--network-interface フラグの no-address オプションは、外部 IP アドレスなしでインターフェースが構成されていることを示します。内部 IP アドレスは、インターフェースで使用されるサブネットから取得されます。フラグと構文の詳細については、instance-templates create コマンドの --network-interface フラグをご覧ください。

ポリシー ルーティングを構成する

Google でサポートされているイメージでは、セカンダリ ネットワーク インターフェース(nic0 以外のインターフェース)と通信する IP アドレスが、そのセカンダリ インターフェースの関連サブネットのプライマリ サブネット範囲内にない場合、ポリシー ルーティングを構成して下り(外向き)パケットが正しいインターフェースから出ていくようにする必要があります。このような場合は、ポリシー ルーティングを使用して、ネットワーク インターフェースごとに個別のルーティング テーブルを構成する必要があります。

ソースベースのポリシー ルーティングは、Windows オペレーティング システムではサポートされていません。

インターフェースのデフォルト ゲートウェイを見つける

VM のインターフェースのデフォルト ゲートウェイは、メタデータ サーバーにクエリを送信することによって確認できます。

  • インターフェースの IPv4 アドレスのデフォルト ゲートウェイを見つけるには、VM から次のリクエストを行います。

    curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/INTERFACE_NUMBER/gateway -H "Metadata-Flavor: Google"

    INTERFACE_NUMBER は、インターフェースの番号で置き換えます。たとえば、nic1 のデフォルト ゲートウェイを見つけるには、1 を使用します。

  • インターフェースの IPv6 アドレスのデフォルト ゲートウェイを見つけるには、VM から次のリクエストを行います。

    curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/INTERFACE_NUMBER/gateway-ipv6 -H "Metadata-Flavor: Google"

    INTERFACE_NUMBER は、インターフェースの番号で置き換えます。たとえば、nic1 のデフォルト ゲートウェイを見つけるには、1 を使用します。

Linux VM でポリシーベース ルーティングを構成する

デフォルト ルートを変更する際に VM への接続が失われないようにするには、シリアル コンソールを使用します。

  • ifconfig を使用して、各セカンダリ インターフェースのポリシー ルーティングを構成します。プライマリ インターフェース(nic0)は構成しないでください。すでにルートが構成されています。

    sudo ifconfig NIC IP_ADDRESS netmask NETMASK broadcast IP_ADDRESS mtu 1430
echo "1 rt1" | sudo tee -a /etc/iproute2/rt_tables
sudo ip route add GATEWAY src IP_ADDRESS dev NIC table rt1
sudo ip route add default via GATEWAY dev NIC table rt1
sudo ip rule add from IP_ADDRESS/PREFIX_LENGTH table rt1
sudo ip rule add to IP_ADDRESS/PREFIX_LENGTH  table rt1

    次のように置き換えます。

    • NIC: ルートを追加するインターフェース。例: eth1
    • IP_ADDRESS: インターフェースに構成された IP アドレス。
    • NETMASK: インターフェースの名前(例: 255.255.255.255
    • GATEWAY: インターフェースのデフォルトのゲートウェイ IP アドレス。
    • PREFIX_LENGTH: 構成された IP アドレスの接頭辞の長さ。

Ubuntu バージョン 18.04 以降でポリシーベース ルーティングを構成する

Ubuntu 18.04 LTS 以降のデフォルトのネットワーク構成ユーティリティとして ifupdown を Netplan に切り替える場合、ifconfig パッケージはプリインストールされていません。また、Netplan のネットワーク構成ファイルに加えた変更は、Compute Engine VM の再起動後は保持されません。

  1. 起動スクリプトを作成して、VM の起動時に各ネットワーク インターフェースのルーティング テーブルを設定します。起動スクリプトを作成する方法をご覧ください。

    起動スクリプトは、パーティションがマウントされた後にのみ実行されるため、VM にファイル共有をマウントすると機能しません。この場合、起動スクリプトによってルーティング テーブルが作成される前に、常にデフォルトのインターフェースにファイル共有がマウントされます。

  2. セカンダリ ネットワーク(nic0 以外のインターフェース)を介して VM にファイル共有をマウントする場合は、クライアント VM のルーティング ポリシーを構成して、ファイル共有が正しいネットワーク インターフェースを介してマウントされるようにします。これを行うには、次のファイルを変更します。

    • /etc/default/instance_configs.cfg で、NetworkInterfacessetup フラグを false に設定します。

      [NetworkInterfaces]
dhclient_script = /sbin/google-dhclient-script
dhcp_command =
ip_forwarding = true
    setup = false

    • /etc/network/interfaces で、目的のインターフェースに次の行を追加します。

      auto eth1
iface eth1 inet dhcp
    up ip route add filestore-reserved-address-range via default-gateway-of-nic-to-filestore

    次のように置き換えます。

    • filestore-reserved-address-range は、Compute Engine インスタンスで使用するために予約されているアドレス範囲です。
    • default-gateway-of-nic-to-filestore は、Compute Engine インスタンスと共有されている VPC ネットワークに接続されている NIC のデフォルト ゲートウェイ IP アドレスです。

    VM インスタンスへのファイル共有のマウントの詳細については、Compute Engine クライアントへのファイル共有のマウントをご覧ください。

トラブルシューティング

複数のインターフェースがある VM を作成できない

以下のエラー メッセージのいずれかが表示される場合があります。

  • Invalid value for field 'resource': ''. Too many network interfaces. The maximum number of network interfaces allowed for this machine type is.

    このエラー メッセージが表示された場合、インスタンス マシンタイプでサポートされている最大インターフェース数より多くのインターフェースを作成しようとしています。インターフェースの最大数の表を参照してください。

  • Networks must be distinct for NICs attached to a VM.

    このメッセージが表示された場合、同じネットワーク内に複数のインターフェースを作成しようとしています。各ネットワーク インターフェースは、それぞれ異なる VPC ネットワークに接続する必要があります。

  • Subnetwork CIDR ranges must be non-overlapping for NICs attached to a VM.

    このメッセージが表示された場合、VM のインターフェースに関連付けられた CIDR の範囲が重複しています。これらの CIDR 範囲には、VM インターフェースに関連付けられたサブネットのすべてのプライマリ範囲だけでなく、エイリアス IP 範囲により使用されるセカンダリ範囲も含まれます。各インターフェースが属するサブネットは、それぞれが別の VPC ネットワーク内にあり、他のインターフェースのサブネットと重なってはいけません。たとえば、インスタンスをリージョン us-west1 で作成しようとしている場合、次のコマンドか Google Cloud コンソールを使用すると、サブネット プライマリ CIDR 範囲を確認できます。

    gcloud compute networks subnets list --regions us-west1
NAME                REGION    NETWORK          RANGE
default             us-west1  default          10.138.0.0/20
overlapping-subnet  us-west1  test-network     10.138.8.0/24

    セカンダリ サブネット CIDR 範囲を確認するには、次のコマンドまたは Google Cloud コンソールを使用します。

    gcloud compute networks subnets describe overlapping-subnet --region us-west1

    ...
ipCidrRange: 10.128.8.0/24
...
secondaryIpRanges:
- ipCidrRange: 10.138.8.0/24
  rangeName: conflicting-range

  • Multiple network interfaces are not supported on legacy networks.

    このメッセージが表示された場合、レガシー ネットワーク内にインスタンスを作成しようとしています。以前のネットワークでは、複数インターフェースのインスタンスはサポートされていません。ネットワークが以前のネットワークかどうかは、次のコマンドまたは Google Cloud コンソールで確認できます。Mode フィールドがネットワークのタイプを表しています。

    gcloud compute networks list
NAME             MODE    IPV4_RANGE     GATEWAY_IPV4
default          auto
legacy-network   legacy  10.240.0.0/16  10.240.0.1
test-network     custom

  • Required 'compute.instances.create' permission for 'projects/PROJECT_ID/zones/ZONE/instances/test-inst'

    このメッセージが表示された場合、ログインしているアカウントに、インスタンスの作成に必要な IAM 権限がありません。インスタンスの作成に必要なロールの詳細については、IAM 権限をご覧ください。OWNEREDITORcompute.instanceAdmin.v1 のいずれかのロールが、プロジェクトに関連付けられている IAM ポリシーによって付与されているかどうかを確認できます。共有 VPC でインスタンスを作成するには、さらに compute.networkUser のロールが必要です。以下の例では、インスタンスを作成するために必要な IAM 権限がアカウント email2@gmail.com に付与されていません。手順については、IAM ガイドのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

    gcloud projects get-iam-policy PROJECT_ID
bindings:
- members:
  - user:email1@gmail.com
    role: roles/owner
- members:
  - serviceAccount:our-project-123@appspot.gserviceaccount.com
  - serviceAccount:123456789012-compute@developer.gserviceaccount.com
    role: roles/editor
- members:
  - user:email2@gmail.com
    role: roles/viewer
etag: BwUjMhXbSPU=
version: 1

    OWNEREDITORcompute.instanceAdmin.v1 のいずれかのロールを付与するよう、プロジェクトのオーナーまたは編集者に依頼できます。インターフェースを共有 VPC に属するサブネットに関連付ける場合は、compute.networkUser のロールも必要です。

    gcloud projects set-iam_policy --member user:email2@gmail.com --role roles/editor

セカンダリ インターフェースの内部 IP アドレスに接続できない

  • ファイアウォール ルールをチェックして、VM セカンダリ インターフェースへの接続が許可されていることを確認します。セカンダリ インターフェースに接続されているネットワークのファイアウォール ルールを確認するには、Google Cloud コンソールにアクセスして該当する VPC ネットワークをクリックするか、次の gcloud コマンドを使用します。

    gcloud compute firewall-rules list --filter='network:NETWORK_NAME'

  • インターネット アドレスから、またはセカンダリ インターフェースのネットワークの外部から、セカンダリ インターフェースに接続しようとしていないか確認します。インターフェースの内部 IP に接続できるのは、ネットワーク内からに限られます。ネットワーク外からセカンダリ インターフェースにアクセスする必要がある場合は、セカンダリ インターフェースに外部 IP アドレスを割り当てます。

  • セカンダリ インターフェースの内部 IP に、セカンダリ インターフェースの接続先サブネットの外部から接続しようとしているのか、それとも同じネットワークの別のサブネットから、またはピアリングされたネットワークから接続しようとしているのかを確認します。VPC ピアリングと複数のインターフェースがある VM インスタンスとの間の相互作用については、1 つのインスタンスに複数のネットワーク インターフェースを設定するで説明しています。インターフェースのサブネットの外部からセカンダリ インターフェースに到達するには、VM にルートを構成する必要があります。VM 内のデフォルト ルートが DHCP でどのようにプログラムされるかについては、複数のネットワーク インターフェースがある場合の DHCP の動作をご覧ください。

  • IPv6 アドレスにアクセスする場合は、セカンダリ インターフェースの IPv6 アドレスに接続できないもご覧ください。

外部 IP アドレスを使用してセカンダリ インターフェースに接続できない

DHCP サーバーは、VM のプライマリ ネットワーク インターフェース上でのみ、既定のルートをプログラムします。外部 IP を使用してセカンダリ インターフェースに接続する場合は、2 つのオプションがあります。ネットワーク外への接続がセカンダリ ネットワーク インターフェースでのみ必要な場合は、そのネットワーク インターフェース上に既定のルートを設定できます。それ以外の場合は、ポリシー ルーティングの構成を使用して、VM 内のソースベースのポリシー ルーティングを使用することにより、別個のルーティング テーブルを構成できます。

IPv6 アドレスにアクセスする場合は、セカンダリ インターフェースの IPv6 アドレスに接続できないもご覧ください。

セカンダリ インターフェースの IPv6 アドレスに接続できない

IPv6 アドレスにアクセスする場合は、VM に google-guest-agent バージョン 20220603.00 以降がインストールされていることを確認します。google-guest-agent バージョンの管理の詳細については、ゲスト環境をご覧ください。

以前のバージョンの google-guest-agent を使用している場合、セカンダリ インターフェースは IPv6 サブネット ルートを受信しません。ルートが正しく構成されるように、ゲスト エージェントを更新することをおすすめします。

ただし、回避策として、代わりに起動スクリプトを作成して、セカンダリ インターフェースごとに次の構成変更を行うこともできます。

sudo sysctl -w net.ipv6.conf.INTERFACE_NAME.accept_ra_rt_info_max_plen=128

INTERFACE_NAME は、インターフェースの名前に置き換えます(eth1ens5 など)。

/32 ではないネットマスクを使用する場合に接続の問題が発生する

デフォルトでは、インスタンスのメタデータ サーバーはデフォルト ゲートウェイの ARP リクエストにのみ応答します。

/32 以外のネットマスクを使用してインターフェースを構成するには、フラグ --guest-os-features MULTI_IP_SUBNET を使用してイメージを作成し、それを使用してインスタンスを作成する必要があります。たとえば、debian-9 ベースのイメージを使用している場合、次のコマンドを使用してイメージを作成できます。

gcloud compute images create debian-9-multi-ip-subnet \
     --source-disk debian-9-disk \
     --source-disk-zone us-west1-a \
     --guest-os-features MULTI_IP_SUBNET

イメージに構成されているゲスト機能を表示するには、ゲストイメージで gcloud compute images describe コマンドを実行します。

gcloud compute images describe debian-9-multi-ip-subnet

カスタム イメージの作成の詳細については、カスタム イメージの作成、削除、使用中止をご覧ください。

複数のネットワーク インターフェースを持つ VM の内部ホスト名を解決できない

DNS クエリを内部ホスト名で実行すると、インスタンスのプライマリ ネットワーク インターフェース(nic0)に解決されます。

nic0 が、DNS クエリを発行するインスタンスの VPC ネットワークとは異なる VPC ネットワークに接続されている場合、DNS クエリは失敗します。内部 DNS は、特定の VPC ネットワーク内でのみ解決されます。詳細については、複数のネットワーク インターフェースを使用した DNS の解決をご覧ください。

シリアル コンソールを使用したトラブルシューティング

VM でシリアル コンソールを有効にして、構成関連の問題をデバッグすることをおすすめします。シリアル コンソールを使用してインタラクティブ デバッグを行うには、シリアル コンソールを使用したトラブルシューティングの操作を行います。