多くの Google Cloud リソースには、内部 IP アドレスと外部 IP アドレスを使用できます。たとえば、内部 IP アドレスと外部 IP アドレスを Compute Engine インスタンスに割り当てることができます。インスタンスは、これらのアドレスを使用して、他の Google Cloud リソースや外部システムと通信します。
インスタンスで使用される各ネットワーク インターフェースには、プライマリ内部 IPv4 アドレスが 1 つ必要です。各ネットワーク インターフェースには、1 つ以上のエイリアス IPv4 範囲と 1 つの外部 IPv4 アドレスを設定できます。インスタンスが IPv6 をサポートするサブネットに接続されている場合、各ネットワーク インターフェースには内部または外部の IPv6 アドレスを割り当てることもできます。
インスタンスは、インスタンスの内部 IPv4 アドレスを使用して、同じ Virtual Private Cloud(VPC)ネットワーク上のインスタンスと通信できます。インスタンスに IPv6 が構成されている場合は、インスタンスの内部または外部 IPv6 アドレスのいずれかを使用することもできます。内部通信には内部 IPv6 アドレスを使用することをおすすめします。
インターネットと通信するには、インスタンスで構成された外部 IPv4 アドレスまたは外部 IPv6 アドレスを使用できます。インスタンスに外部アドレスが構成されていない場合は、Cloud NAT を IPv4 トラフィックに使用できます。
同様に、同じ VPC ネットワークの外部にあるインスタンスに接続するには、インスタンスの外部 IPv4 または外部 IPv6 を使用する必要があります。ただし、VPC ネットワーク ピアリングなど、なんらかの方法でネットワークが接続されている場合は、インスタンスの内部 IP アドレスを使用できます。
インスタンスの内部 IP アドレスと外部 IP アドレスを特定する方法については、インスタンスのネットワーク構成を表示するをご覧ください。
内部 IP アドレス
インスタンスのネットワーク インターフェースには、接続先のサブネットから IP アドレスが割り当てられます。各ネットワーク インターフェースには、サブネットのプライマリ IPv4 の範囲から割り当てられた 1 つのプライマリ内部 IPv4 アドレスがあります。サブネットに内部 IPv6 範囲がある場合は、プライマリ内部 IPv4 アドレスに加えて、必要に応じてプライマリ内部 IPv6 アドレスを使用してネットワーク インターフェースを構成できます。
内部 IPv4 アドレスは、次の方法で割り当てることができます。
- Compute Engine は、プライマリ IPv4 サブネット範囲から単一の IPv4 アドレスを自動的に割り当てます。
- コンピューティング インスタンスの作成時に特定の内部 IPv4 アドレスを割り当てることができます。
内部 IPv6 アドレスは、内部 IPv6 範囲を持つサブネットに接続されているインスタンスに次の方法で割り当てることができます。
- インスタンスの vNIC で内部 IPv6 アドレスを構成すると、Compute Engine は、サブネットの内部 IPv6 範囲から IPv6 アドレスの単一の
/96範囲を割り当てます。 - インスタンスの作成時に特定の内部 IPv6 アドレスを割り当てることができます。
サブネットの IPv4 または IPv6 範囲から静的内部アドレスを予約して、インスタンスに割り当てることもできます。
コンピューティング インスタンスには、エイリアス IP アドレスと範囲を指定することもできます。インスタンスで実行されているサービスが複数ある場合は、各サービスに独自の IP アドレスを割り当てることができます。
内部 DNS 名
Google Cloud は、インスタンスの完全修飾 DNS 名(FQDN)をインスタンスの内部 IP アドレスに自動的に解決します。内部 DNS 名はインスタンスの VPC ネットワーク内でのみ機能します。
完全修飾ドメイン名(FQDN)の詳細については、内部 DNS をご覧ください。
外部 IP アドレス
インターネットまたは別の VPC ネットワーク内のリソースと通信する必要がある場合は、外部 IPv4 アドレスまたは IPv6 アドレスをインスタンスに割り当てることができます。ファイアウォール ルールまたは階層型ファイアウォール ポリシーで接続が許可されている場合、VPC ネットワークの外部からの送信元は外部 IP アドレスを使用して特定のリソースにアクセスできます。VPC ネットワーク外のリソースと直接通信できるのは、外部 IP アドレスを持つリソースのみです。外部 IP アドレスを使用してリソースと通信すると、追加の課金が発生する可能性があります。
外部 IPv4 アドレスは、すべてのコンピューティング インスタンスで使用できます。インスタンスの vNIC で外部 IPv4 アドレスを構成すると、Google の外部 IPv4 アドレス範囲から単一の IPv4 アドレスが割り当てられます。詳細については、Compute Engine の IP 範囲はどこで確認できますか?をご覧ください。
外部 IPv6 アドレスは、外部 IPv6 範囲を持つサブネットに接続されているコンピューティング インスタンスで使用できます。インスタンスのネットワーク インターフェースで外部 IPv6 アドレスを構成すると、IPv6 アドレスの単一の
/96範囲がサブネットの外部 IPv6 範囲から割り当てられます。サブネットの IPv6 範囲から静的外部 IPv6 アドレスを予約してコンピューティング インスタンスに割り当てることもできます。
外部 IP アドレスを使用する以外の方法
内部(プライベート)IP アドレスには、外部(パブリック)IP アドレスに比べて次のような利点があります。
- 攻撃対象領域の縮小。コンピューティング インスタンスから外部 IP アドレスを削除すると、攻撃者がインスタンスに到達して潜在的な脆弱性を悪用することが困難になります。
- 柔軟性が向上。ロードバランサや NAT サービスなどの抽象化レイヤを導入すると、静的な外部 IP アドレスと比べて、信頼性の高い柔軟なサービス配信が可能になります。
次の表に、外部 IP アドレスがない場合にコンピューティング インスタンスがインターネットにアクセスする方法と、インターネットからコンピューティング インスタンスにアクセスする方法を示します。
| アクセス方法 | 解決策 | 次の場合に使用することをおすすめします。 |
|---|---|---|
| インタラクティブ | Identity-Aware Proxy(IAP)の TCP 転送を構成する | SSH や RDP などの管理サービスを使用してバックエンド インスタンスに接続したいが、リクエストがターゲット リソースに到達する前に認証と承認のチェックに合格する必要がある。 |
| 取得 | Cloud NAT ゲートウェイ | 外部 IP アドレスを持たない Compute Engine インスタンスがインターネットに接続(アウトバウンド)できるようにしたいが、VPC ネットワークの外部にあるホストがコンピューティング インスタンスへの独自の接続を開始できない(インバウンド)。このアプローチは、OS のアップデートや外部 API に使用できます。 |
| 安全なウェブプロキシ | 管理対象のセキュリティ ポリシーに準拠しながら、Compute Engine インスタンスに代わって新しい TCP 接続を作成して、Compute Engine インスタンスをインターネットから分離する必要があります。 | |
| サービス提供 | 外部ロードバランサを作成する | Google Cloud の任意の場所で、クライアントが外部 IP アドレスのないリソースに接続し、コンピューティング インスタンスを DDoS 攻撃や直接攻撃から保護します。 |
リージョン IP アドレスとグローバル IP アドレス
プロジェクト内の IP アドレスを一覧表示または記述すると、 Google Cloudはアドレスをグローバルまたはリージョンとしてラベル付けします。このラベルから、アドレスの使用方法がわかります。アドレスをリージョン リソース(インスタンスなど)に関連付けると、 Google Cloud はそのアドレスをリージョンとしてラベル付けします。リージョンは、us-east4 や europe-west2 などの Google Cloud
リージョンです。
グローバル IP アドレスは、次の構成で使用されます。
- グローバル内部 IP アドレス: エンドポイント経由で Google API にアクセスするまたはプライベート サービス アクセス
- グローバル外部 IP アドレス: プレミアム ティア ネットワークを使用する外部プロキシ ネットワーク ロードバランサと外部アプリケーション ロードバランサ
グローバル IP アドレスを作成する方法については、新しい静的外部 IP アドレスを予約するをご覧ください。
Compute Engine ネットワーキングの SLA の概要
Compute Engine にはサービスレベル契約(SLA)があり、ネットワーク サービス ティアの毎月の稼働率に関するサービスレベル目標(SLO)が定義されています。
Compute Engine インスタンスを作成すると、デフォルトで内部 IP アドレスが取得されます。さらに、プレミアム ティア(デフォルト)またはスタンダード ティアのネットワークを使用して外部 IP アドレスを構成することもできます。選択するネットワーク サービス ティアは、費用とサービス品質の要件によって異なります。各ネットワーク サービス ティアには異なる SLO があります。
コンピューティング インスタンスを作成するときに、インスタンスに接続する複数の NIC を構成できます。次の図に示すように、各 NIC に異なるネットワーク構成を設定できます。
図 1: 3 つの NIC を持つインスタンス。それぞれが異なるネットワーク サービス ティアで異なるネットワーク トラフィックを処理します。
上の図の VM アプライアンスという名前の例のインスタンスには、次のように構成された 3 つの NIC があります。
nic0は内部 IP サブネットで構成されています。nic1は外部 IP サブネットで構成され、スタンダード ネットワーク ティアを使用します。nic2は外部 IP サブネットで構成され、プレミアム ネットワーキング ティアを使用します。
この例では、VM インスタンスはメモリ最適化 VM ではありません。接続が失われた NIC に応じて、適用される SLO が異なります。次のリストに、この例のさまざまな NIC の SLA を示します。
nic0: 内部 IP アドレスを持つ単一インスタンス VM。月間稼働率は 99.9% です。nic1: Standard ネットワーキング ティアを使用する外部 IP アドレスを持つ単一インスタンス VM。この VM は SLA で保護されていません。Standard ネットワーキング ティアでは、ゾーン間の複数のインスタンスのみが 99.9% で保護されます。nic2: Premium ネットワーキング ティアを使用する外部 IP アドレスを持つ単一インスタンス VM。月間稼働率は 99.9% です。ゾーンにまたがる複数のインスタンスの場合、Premium ネットワーキング ティアでは月間稼働率は 99.99% です。
次のステップ
- インスタンスのネットワーク構成を表示する。
- 新しい静的外部 IP アドレスを予約する。
- 新しいインスタンスへの静的外部 IP アドレスの割り当て。
- インスタンス作成時に内部 IP アドレスを選択する。
- エフェメラル外部 IP アドレスを昇格する。
- 内部 DNS 名を使用して内部 VPC ネットワーク上のインスタンスをアドレス指定する方法を学習する。
- IP アドレスの詳細を確認する。
- IPv6 の詳細を確認する。
- IP アドレスとロード バランシングの詳細を確認する。
- 外部 IP アドレスの料金を確認する。