このページでは、接続されたネットワークから Virtual Private Cloud(VPC)ネットワークの内部ロードバランサにアクセスする複数のシナリオについて説明します。このページの情報を読む前に、次のガイドで説明されているコンセプトを理解しておく必要があります。
VPC ネットワーク ピアリングを使用する
VPC ネットワーク ピアリングを使用して VPC ネットワークを別のネットワークに接続すると、Google Cloud はこれらのネットワークの間でサブネット ルートを共有します。このサブネット ルートによって、ピア ネットワークからのトラフィックはネットワークの内部ロードバランサに到達できます。次の条件に当てはまる場合、アクセスが許可されます。
- ピア ネットワーク内のクライアント VM からのトラフィックを許可するように、上り(内向き)ファイアウォール ルールを作成します。VPC ネットワーク ピアリングを使用する場合、Google Cloud のファイアウォール ルールはネットワーク間で共有されません。
- リージョン内部アプリケーション ロードバランサの場合、ピア ネットワーク内のクライアント仮想マシン(VM)インスタンスは、内部ロードバランサと同じリージョンに配置する必要があります。グローバル アクセスを構成する場合、この制限は適用されません。
VPC ネットワーク ピアリングを使用して、一部の内部パススルー ネットワーク ロードバランサ、リージョン内部プロキシ ネットワーク ロードバランサ、または内部アプリケーション ロードバランサのみを選択的に共有することはできません。内部ロードバランサはすべて自動的に共有されます。ロードバランサのバックエンドへのアクセスを制限するには、バックエンド VM インスタンスに適用される上り(内向き)ファイアウォール ルールを使用できます。
Cloud VPN と Cloud Interconnect を使用する
内部ロードバランサには、Cloud VPN トンネル、または Dedicated Interconnect か Partner Interconnect の VLAN アタッチメント経由で接続されているピア ネットワークからアクセスできます。ピア ネットワークは、オンプレミス ネットワーク、別の Google Cloud VPC ネットワーク、別のクラウド プロバイダがホストする仮想ネットワークのいずれでもかまいません。
Cloud VPN トンネルを介したアクセス
次の条件をすべて満たしている場合、Cloud VPN トンネルを介して内部ロードバランサにアクセスできます。
内部ロードバランサのネットワーク
- グローバル アクセスが無効になっている場合は、Cloud VPN のゲートウェイとトンネルの両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。
ルートは、ロードバランサのバックエンドから、クライアントが配置されているオンプレミス ネットワークまたはピア ネットワークへのレスポンスパスを指定する必要があります。動的ルーティングを使用した Cloud VPN トンネルの場合、ロードバランサで Cloud VPN ネットワークの動的ルーティング モードを使用することを検討してください。動的ルーティング モードは、ロードバランサのバックエンドで使用できるカスタム動的ルートを決定します。
オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットには、ロードバランサのバックエンドを含める必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。
ピア ネットワーク
ピア ネットワークには、内部ロードバランサが定義されているサブネットにルーティングされる Cloud VPN トンネルが 1 つ以上必要です。
ピア ネットワークが別の Google Cloud VPC ネットワークの場合:
ピア ネットワークの Cloud VPN のゲートウェイとトンネルは、任意のリージョンに配置できます。
動的ルーティングを使用する Cloud VPN トンネルの場合、VPC ネットワークの動的ルーティング モードにより、各リージョンのクライアントが使用できるルートが決まります。すべてのリージョンのクライアントに一貫したカスタム動的ルートセットを提供するには、グローバル動的ルーティング モードを使用します。
オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。
次の図は、Cloud VPN ゲートウェイとその関連トンネルを介して内部ロードバランサにアクセスする場合の主要なコンセプトの関係を示しています。Cloud VPN は、Cloud VPN トンネルを使用して Google Cloud VPC ネットワークとオンプレミス ネットワークを安全に接続します。
この例に関連する、次の構成の特徴に注意してください。
lb-network
では、動的ルーティングを使用する Cloud VPN トンネルが構成されています。VPN トンネル、ゲートウェイ、Cloud Router はすべて REGION_A にあります。同じリージョンに、内部ロードバランサのコンポーネントが配置されています。- インスタンス グループの A と B のバックエンド VM に適用される上り(内向き)の許可ファイアウォール ルールが構成されています。これらのグループは、VPC ネットワークの IP アドレスとオンプレミス ネットワーク(
10.1.2.0/24
と192.168.1.0/24
)からトラフィックを受信できます。下り(外向き)拒否のファイアウォール ルールは作成されていないため、暗黙の下り(外向き)許可ルールが適用されています。 192.168.1.0/24
などのオンプレミス ネットワーク内のクライアントから内部ロードバランサの IP アドレス(10.1.2.99
)に送信されたパケットは、セッション アフィニティの構成に基づいて、vm-a2
などの正常なバックエンド VM に直接配信される。- バックエンド VM(
vm-a2
など)からの返信は、VPN トンネルを介してオンプレミス クライアントに送られる。
Cloud VPN のトラブルシューティングについては、Cloud VPN のトラブルシューティングをご覧ください。
Cloud Interconnect を介したアクセス
ロードバランサの VPC ネットワークに接続しているオンプレミスのピア ネットワークから内部ロードバランサにアクセスするには、内部ロードバランサのネットワークが次の条件をすべて満たしている必要があります。
グローバル アクセスが無効になっている場合は、VLAN アタッチメントと Cloud Router の両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。
オンプレミス ルーターは、ロードバランサのバックエンドからオンプレミス ネットワークへのレスポンスパスを指定する必要があります。Dedicated Interconnect と Partner Interconnect の両方の VLAN アタッチメントで Cloud Router を使用する必要があります。したがって、カスタム動的ルートはレスポンスパスを指定します。取得されるカスタム動的ルートのセットは、ロードバランサのネットワークの動的ルーティング モードによって異なります。
オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。
- オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットは、ロードバランサのバックエンドにする必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。
Cloud VPN と Cloud Interconnect でグローバル アクセスを使用する
デフォルトでは、クライアントは同じネットワークまたは、VPC ネットワーク ピアリングを使用して接続された VPC ネットワークに存在する必要があります。グローバル アクセスを有効にすると、任意のリージョンのクライアントがロードバランサにアクセスできるようになります。
グローバル アクセスを有効にすると、次のリソースは任意のリージョンに配置できます。- Cloud Router
- Cloud VPN ゲートウェイとトンネル
- VLAN アタッチメント
図の説明:
- ロードバランサのフロントエンドとバックエンドは
REGION_A
リージョンにあります。 - Cloud Router は
REGION_B
リージョンにあります。 - Cloud Router はオンプレミス VPN ルーターとピアリングします。
- Border Gateway Protocol(BGP)ピアリング セッションは、ダイレクト ピアリングまたは Partner Interconnect を使用する Cloud VPN または Cloud Interconnect 経由になります。
VPC ネットワークの動的ルーティング モードは global
に設定されています。REGION_B
の Cloud Router は、ロードバランサの VPC ネットワークの任意のリージョンにあるサブネットにサブネット ルートをアドバタイズします。
複数の下り(外向き)パス
本番環境では、複数の Cloud VPN トンネルまたは VLAN アタッチメントを使用して冗長性を確保する必要があります。このセクションでは、複数のトンネルまたは VLAN アタッチメントを使用する場合の要件について説明します。
次の図では、2 つの Cloud VPN トンネルが lb-network
とオンプレミス ネットワークを接続しています。ここでは Cloud VPN トンネルを使用していますが、Cloud Interconnect にも同じ原理が当てはまります。
各トンネルまたは VLAN アタッチメントは、内部ロードバランサと同じリージョンに構成する必要があります。グローバル アクセスを有効にしている場合、この要件は適用されません。
複数のトンネルまたは VLAN アタッチメントを使用することで、帯域幅を増やすことができます。また、冗長性のスタンバイパスとしても機能します。
次の点に注意してください。
- オンプレミス ネットワークに同じ優先度のルートが 2 つあり、それぞれの宛先が
10.1.2.0/24
で、ネクストホップとして内部ロードバランサと同じリージョンの異なる VPN トンネルが設定されている場合、Equal-Cost Multipath(ECMP)を使用することで、オンプレミス ネットワーク(192.168.1.0/24
)からロードバランサにトラフィックを送信できます。 - パケットが VPC ネットワークに配信されると、構成したセッション アフィニティに従って内部ロードバランサがバックエンド VM にトラフィックを分散します。
lb-network
に 2 つのルートが存在し、それぞれに192.168.1.0/24
の宛先が含まれていて、ネクストホップには異なる VPN トンネルが指定されている場合、ネットワーク内のルートの優先順位に従って、バックエンド VM からのレスポンスを各トンネル経由で送信できます。ルートの優先順位が異なる場合は、一方のトンネルが他方のトンネルのバックアップとして機能します。同じ優先順位を使用する場合は、ECMP を使用してレスポンスが送られます。- バックエンド VM からの応答(
vm-a2
)は、適切なトンネルを介してオンプレミス クライアントに直接送られます。ルートや VPN トンネルが変更された場合、lb-network
の視点から見て、下り(外向き)のトラフィックが別のトンネルを使用することがあります。そのような場合に進行中の接続が中断されると、TCP セッションがリセットされる可能性があります。
次のステップ
- 内部パススルー ネットワーク ロードバランサを構成してテストする。内部パススルー ネットワーク ロードバランサを設定するをご覧ください。