内部パススルー ネットワーク ロードバランサと接続ネットワーク

このページでは、接続されたネットワークから Virtual Private Cloud(VPC)ネットワーク内の内部ロードバランサにアクセスするシナリオについて説明します。このページの情報を読む前に、次のガイドでコンセプトを理解しておく必要があります。

VPC ネットワーク ピアリングを使用する

VPC ネットワーク ピアリングを使用して VPC ネットワークを別のネットワークに接続すると、Google Cloud はネットワーク間のサブネット ルートを共有します。このサブネット ルートによって、ピア ネットワークからのトラフィックはネットワークの内部ロードバランサに到達できます。次の条件に当てはまる場合、アクセスが許可されます。

  • ピア ネットワーク内のクライアント VM からのトラフィックを許可するように、上り(内向き)ファイアウォール ルールを作成します。VPC ネットワーク ピアリングを使用する場合、Google Cloud のファイアウォール ルールはネットワーク間で共有されません。
  • リージョン内部アプリケーション ロードバランサの場合、ピア ネットワーク内のクライアント仮想マシン(VM)インスタンスは、内部ロードバランサと同じリージョンに配置する必要があります。グローバル アクセスを構成する場合、この制限は適用されません。

VPC ネットワーク ピアリングを使用して、一部の内部パススルー ネットワーク ロードバランサ、リージョン内部プロキシ ネットワーク ロードバランサ、または内部アプリケーション ロードバランサのみを選択的に共有することはできません。内部ロードバランサはすべて自動的に共有されます。バックエンド VM インスタンスに適用される上り(内向き)ファイアウォール ルールを使用して、ロードバランサのバックエンドへのアクセスを制限できます。

Cloud VPN と Cloud Interconnect を使用する

内部ロードバランサには、Dedicated Interconnect 接続または Partner InterconnectCloud VPN トンネルか VLAN アタッチメント経由で接続されているピア ネットワークからアクセスできます。ピア ネットワークは、オンプレミス ネットワーク、別の Google Cloud VPC ネットワーク、別のクラウド プロバイダがホストする仮想ネットワークのいずれでもかまいません。

Cloud VPN トンネルを介したアクセス

次の条件をすべて満たしている場合、Cloud VPN トンネルを介して内部ロードバランサにアクセスできます。

内部ロードバランサのネットワーク

  • グローバル アクセスが無効になっている場合は、Cloud VPN のゲートウェイとトンネルの両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。
  • ルートは、ロードバランサのバックエンドから、クライアントが配置されているオンプレミス ネットワークまたはピア ネットワークへのレスポンスパスを指定する必要があります。動的ルーティングを使用した Cloud VPN トンネルの場合、ロードバランサで Cloud VPN ネットワークの動的ルーティング モードを使用します。動的ルーティング モードにより、ロードバランサのバックエンドで使用できるカスタム動的ルートが決定されます。

  • オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットには、ロードバランサのバックエンドを含める必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。

ピア ネットワーク

ピア ネットワークには、内部ロードバランサが定義されているサブネットにルーティングされる Cloud VPN トンネルが 1 つ以上必要です。

ピア ネットワークが別の Google Cloud VPC ネットワークの場合:

  • ピア ネットワークの Cloud VPN のゲートウェイとトンネルは、任意のリージョンに配置できます。

  • 動的ルーティングを使用する Cloud VPN トンネルの場合、VPC ネットワークの動的ルーティング モードにより、各リージョンのクライアントが使用できるルートが決まります。すべてのリージョンのクライアントに一貫したカスタム動的ルートセットを提供するには、グローバル動的ルーティング モードを使用します。

  • オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。

次の図は、Cloud VPN ゲートウェイとその関連トンネルを介して内部ロードバランサにアクセスする場合の主要なコンセプトの関係を示しています。Cloud VPN は、Cloud VPN トンネルを使用して Google Cloud VPC ネットワークとオンプレミス ネットワークを安全に接続します。

内部ロード バランシングと Cloud VPN。
内部ロード バランシングと Cloud VPN(クリックして拡大)

この例に関連する次の構成要素に注意してください。

  • lb-network では、動的ルーティングを使用する Cloud VPN トンネルが構成されています。VPN トンネル、ゲートウェイ、Cloud Router はすべて us-west1 にあります。同じリージョンに、内部ロードバランサのコンポーネントが配置されています。
  • インスタンス グループの ig-aig-c のバックエンド VM に適用される上り(内向き)の許可ファイアウォール ルールが構成されています。これらのグループは、VPC ネットワークの IP アドレスとオンプレミス ネットワーク(10.1.2.0/24192.168.1.0/24)からトラフィックを受信できます。下り(外向き)拒否のファイアウォール ルールは作成されていないため、暗黙の下り(外向き)許可ルールが適用されている。
  • 192.168.1.0/24 などのオンプレミス ネットワーク内のクライアントから内部ロードバランサの IP アドレス(10.1.2.99)に送信されたパケットは、セッション アフィニティの構成に基づいて、vm-a2 などの正常なバックエンド VM に直接配信される。
  • バックエンド VM(vm-a2 など)からの返信は、VPN トンネルを介してオンプレミス クライアントに送られる。

Cloud VPN のトラブルシューティングについては、Cloud VPN のトラブルシューティングをご覧ください。

Cloud Interconnect を介したアクセス

ロードバランサの VPC ネットワークに接続しているオンプレミスのピア ネットワークから内部ロードバランサにアクセスするには、内部ロードバランサのネットワークが次の条件をすべて満たしている必要があります。

  • グローバル アクセスが無効になっている場合は、VLAN アタッチメントと Cloud Router の両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。

  • オンプレミス ルーターは、ロードバランサのバックエンドからオンプレミス ネットワークへのレスポンスパスを指定する必要があります。VLAN アタッチメントと Partner Interconnect の両方の相互接続のアタッチメントで Cloud Router を使用する必要があります。したがって、カスタム動的ルートはレスポンスパスを指定します。学習するカスタム動的ルートのセットは、ロードバランサのネットワークの動的ルーティング モードによって異なります。

  • オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。

  • オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットは、ロードバランサのバックエンドにする必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。

Cloud VPN と Cloud Interconnect でグローバル アクセスを使用する

デフォルトでは、クライアントは同じネットワークまたは、VPC ネットワーク ピアリングを使用して接続された VPC ネットワークに存在する必要があります。グローバル アクセスを有効にして、任意のリージョンのクライアントがロードバランサにアクセスできるようにします。

グローバル アクセスを有効にすると、次のリソースは任意のリージョンに配置できます。
  • Cloud Router
  • Cloud VPN ゲートウェイとトンネル
  • VLAN アタッチメント

図の中で:

  • Cloud Router は europe-west1 リージョンにあります。
  • ロードバランサのフロントエンドとバックエンドは us-east1 リージョンにあります。
  • Cloud Router はオンプレミス VPN ルーターとピアリングします。
  • Border Gateway Protocol(BGP)ピアリング セッションは、ダイレクト ピアリングまたは Partner Interconnect を使用する Cloud VPN または Cloud Interconnect 経由になります。
グローバル アクセスを構成した内部ロード バランシング。
グローバル アクセスを構成した内部ロード バランシング(クリックして拡大)

VPC ネットワークの動的ルーティング モードglobal に設定されています。europe-west1 の Cloud Router は、ロードバランサの VPC ネットワークの任意のリージョンにあるサブネットにサブネット ルートをアドバタイズします。

複数の下り(外向き)パス

本番環境では、複数の Cloud VPN トンネルまたは VLAN アタッチメントを使用して冗長性を確保する必要があります。このセクションでは、複数のトンネルまたは VLAN アタッチメントを使用する場合の要件について説明します。

次の図では、2 つの Cloud VPN トンネルが lb-network とオンプレミス ネットワークを接続しています。ここでは Cloud VPN トンネルを使用していますが、Cloud Interconnect にも同じ原理が当てはまります。

内部ロード バランシングと複数の Cloud VPN トンネル。
内部ロード バランシングと複数の Cloud VPN トンネル(クリックして拡大)

各トンネルまたは VLAN アタッチメントは、内部ロードバランサと同じリージョンに構成する必要があります。グローバル アクセスを有効にしている場合、この要件は適用されません。

複数のトンネルまたは VLAN アタッチメントを使用することで、帯域幅を増やすことができます。また、冗長性のスタンバイパスとしても機能します。

次の点に注意してください。

  • オンプレミス ネットワークに同じ優先度のルートが 2 つあり、それぞれの宛先が 10.1.2.0/24 で、ネクストホップとして内部ロードバランサと同じリージョンの異なる VPN トンネルが設定されている場合、Equal-Cost Multipath(ECMP)を使用することで、オンプレミス ネットワーク(192.168.1.0/24)からロードバランサにトラフィックを送信できます。
  • パケットが VPC ネットワークに配信されると、構成したセッション アフィニティに従って内部ロードバランサがバックエンド VM にトラフィックを分散します。
  • lb-network に 2 つのルートが存在し、それぞれに 192.168.1.0/24 の宛先が含まれていて、ネクストホップには異なる VPN トンネルが指定されている場合、ネットワーク内のルートの優先順位に従って、バックエンド VM からのレスポンスを各トンネル経由で送信できます。ルートの優先順位が異なる場合は、一方のトンネルが他方のトンネルのバックアップとして機能します。同じ優先順位を使用する場合は、ECMP を使用してレスポンスが送られます。
  • バックエンド VM からの応答(vm-a2)は、適切なトンネルを介してオンプレミス クライアントに直接送られます。ルートや VPN トンネルが変更された場合、lb-network の視点から見て、下り(外向き)のトラフィックが別のトンネルを使用することがあります。そのような場合に進行中の接続が中断されると、TCP セッションがリセットされる可能性があります。

次のステップ