内部 TCP/UDP 負荷分散と接続されたネットワーク

このページでは、接続されたネットワークから Virtual Private Cloud(VPC)ネットワーク内の内部ロードバランサにアクセスするシナリオについて説明します。このページの情報を読む前に、次のガイドでコンセプトを理解しておく必要があります。

VPC ネットワーク ピアリングの使用

VPC ネットワーク ピアリングを使用して VPC ネットワークを別のネットワークに接続すると、Google Cloud はネットワーク間のサブネット ルートを共有します。このサブネット ルートによって、ピア ネットワークからのトラフィックはネットワークの内部ロードバランサに到達できます。次の条件に当てはまる場合、アクセスが許可されます。

  • 内部 TCP / UDP ロードバランサの場合、ピア ネットワーク内のクライアント VM からのトラフィックを許可するように、上り(内向き)ファイアウォール ルールを作成する必要があります。VPC ネットワーク ピアリングを使用する場合、Google Cloud のファイアウォール ルールはネットワーク間で共有されません。
  • ピア ネットワーク内のクライアント仮想マシン(VM)インスタンスは、内部ロードバランサと同じリージョンにあります。内部 TCP / UDP ロードバランサの場合のみ、グローバル アクセスを構成する際にこの制限は適用されません。

VPC ネットワーク ピアリングを使用して一部の内部 TCP / UDP ロードバランサまたは内部 HTTP(S) ロードバランサのみを共有することはできません。内部ロードバランサはすべて自動的に共有されます。ロードバランサのバックエンドへのアクセスは、次の方法で制限できます。

  • 内部 TCP / UDP ロードバランサの場合、バックエンド VM インスタンスに適用される上り(内向き)ファイアウォール ルールを使用できます。

  • 内部 HTTP(S) ロードバランサの場合、HTTP ヘッダー(たとえば X-Forwarded-For)でアクセスを制御するようにバックエンド VM またはエンドポイントを構成できます。

Cloud VPN と Cloud Interconnect の使用

内部ロードバランサには、Dedicated Interconnect 接続または Partner InterconnectCloud VPN トンネルか VLAN アタッチメント経由で接続されているピア ネットワークからアクセスできます。ピア ネットワークは、オンプレミス ネットワーク、別の Google Cloud VPC ネットワーク、別のクラウド プロバイダがホストする仮想ネットワークのいずれでもかまいません。

Cloud VPN トンネルを介したアクセス

次の条件をすべて満たしている場合、Cloud VPN トンネルを介して内部ロードバランサにアクセスできます。

内部ロードバランサのネットワーク

  • グローバル アクセスが無効になっている場合は、Cloud VPN のゲートウェイとトンネルの両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。

  • ルートは、ロードバランサのバックエンドから、クライアントが配置されているオンプレミス ネットワークまたはピア ネットワークへのレスポンスパスを指定する必要があります。動的ルーティングを使用した Cloud VPN トンネルの場合、ロードバランサで Cloud VPN ネットワークの動的ルーティング モードを使用します。動的ルーティング モードにより、ロードバランサのバックエンドで使用できるカスタム動的ルートが決定されます。

  • オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットには、ロードバランサのバックエンドを含める必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。

ピア ネットワーク

ピア ネットワークには、内部ロードバランサが定義されているサブネットにルーティングされる Cloud VPN トンネルが 1 つ以上必要です。

ピア ネットワークが別の Google Cloud VPC ネットワークの場合:

  • ピア ネットワークの Cloud VPN のゲートウェイとトンネルは、任意のリージョンに配置できます。

  • 動的ルーティングを使用する Cloud VPN トンネルの場合、VPC ネットワークの動的ルーティング モードにより、各リージョンのクライアントが使用できるルートが決まります。すべてのリージョンのクライアントに一貫したカスタム動的ルートセットを提供するには、グローバル動的ルーティング モードを使用します。

  • オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミスまたはピア ネットワークのファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。

次の図は、Cloud VPN ゲートウェイとその関連トンネルを介して内部ロードバランサにアクセスする場合の主要なコンセプトの関係を示しています。Cloud VPC は、Cloud VPN トンネルを使用して Google Cloud VPC ネットワークとオンプレミス ネットワークを安全に接続します。

内部 TCP / UDP 負荷分散と Cloud VPN(クリックして拡大)
内部負荷分散と Cloud VPN(クリックして拡大)

この例に関連する次の構成要素に注意してください。

  • lb-network では、動的ルーティングを使用する Cloud VPN トンネルが構成されています。VPN トンネル、ゲートウェイ、Cloud Router はすべて us-west1 にあります。同じリージョンに、内部ロードバランサのコンポーネントが配置されています。
  • インスタンス グループの ig-aig-c のバックエンド VM に適用される上り(内向き)の許可ファイアウォール ルールが構成されています。これらのグループは、VPC ネットワークの IP アドレスとオンプレミス ネットワーク(10.1.2.0/24192.168.1.0/24)からトラフィックを受信できます。下り(外向き)拒否のファイアウォール ルールは作成されていないため、暗黙の下り(外向き)許可ルールが適用されている。
  • 192.168.1.0/24 などのオンプレミス ネットワーク内のクライアントから内部ロードバランサの IP アドレス(10.1.2.99)に送信されたパケットは、セッション アフィニティの構成に基づいて、vm-a2 などの正常なバックエンド VM に直接配信される。
  • バックエンド VM(vm-a2 など)からの返信は、VPN トンネルを介してオンプレミス クライアントに送られる。

Cloud VPN のトラブルシューティングについては、Cloud VPN のトラブルシューティングをご覧ください。

Cloud Interconnect を介したアクセス

ロードバランサの VPC ネットワークに接続しているオンプレミスのピア ネットワークから内部ロードバランサにアクセスするには、内部ロードバランサのネットワークが次の条件をすべて満たしている必要があります。

  • グローバル アクセスが無効になっている場合は、Cloud Interconnect アタッチメント(VLAN)と Cloud Router の両方がロードバランサと同じリージョンに配置されている必要があります。ロードバランサの転送ルールでグローバル アクセスが有効になっている場合、この制限は適用されません。

  • オンプレミス ルーターは、ロードバランサのバックエンドからオンプレミス ネットワークへのレスポンスパスを指定する必要があります。Dedicated Interconnect と Partner Interconnect の両方の相互接続のアタッチメント(VLAN)で Cloud Router を使用する必要があります。したがって、カスタム動的ルートはレスポンスパスを指定します。学習するカスタム動的ルートのセットは、ロードバランサのネットワークの動的ルーティング モードによって異なります。

  • オンプレミス クライアントがロードバランサにパケットを送信できるように、オンプレミスの送信元 IP アドレス範囲を含む上り(内向き)許可ファイアウォール ルールを構成する必要があります。これらのファイアウォール ルールのターゲットは、ロードバランサのバックエンドにする必要があります。詳しくは、ターゲットと IP アドレスをご覧ください。

  • オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスに送信されたパケットが許可されるようにします。オンプレミス ファイアウォールで、ロードバランサの転送ルールの IP アドレスから受信したレスポンス パケットが許可されるようにします。

内部 TCP / UDP 負荷分散のグローバル アクセス

内部 TCP / UDP 負荷分散にグローバル アクセスを構成する場合、次のリソースは任意のリージョンに配置できます。

  • Cloud Router
  • Cloud VPN ゲートウェイとトンネル
  • Cloud Interconnect のアタッチメント(VLAN)

図の中で:

  • Cloud Router は europe-west1 リージョンにあります。
  • 内部 TCP / UDP ロードバランサのフロントエンドとバックエンドは us-east1 リージョンにあります。
  • Cloud Router はオンプレミス VPN ルーターとピアリングします。
  • Border Gateway Protocol(BGP)ピアリング セッションは、Direct Peering または Partner Interconnect を使用する Cloud VPN または Cloud Interconnect 経由になります。
グローバル アクセスを構成した内部 TCP / UDP 負荷分散(クリックして拡大)
グローバル アクセスを構成した内部 TCP / UDP 負荷分散(クリックして拡大)

VPC ネットワークの動的ルーティング モードglobal に設定されています。europe-west1 の Cloud Router は、内部 TCP / UDP ロードバランサの VPC ネットワークの任意のリージョンにあるサブネットにサブネット ルートをアドバタイズします。

複数の下り(外向き)パス

本番環境では、複数の Cloud VPN トンネルまたは Cloud Interconnect のアタッチメント(VLAN)を使用して冗長性を確保する必要があります。ここでは、複数のトンネルまたは VLAN を使用する場合の要件について説明します。

次の図では、2 つの Cloud VPN トンネルが lb-network とオンプレミス ネットワークを接続しています。ここでは Cloud VPN トンネルを使用していますが、Cloud Interconnect にも同じ原理が当てはまります。

内部 TCP / UDP 負荷分散と複数の Cloud VPN トンネル(クリックして拡大)
内部負荷分散と複数の Cloud VPN トンネル(クリックして拡大)

各トンネルまたは Cloud Interconnect のアタッチメント(VLAN)を内部ロードバランサと同じリージョンに構成する必要があります。グローバル アクセスを有効にしている場合、この要件は内部 TCP / UDP 負荷分散に適用されません。

複数のトンネルまたは VLAN を使用することで、帯域幅を増やすことができます。また、冗長性のスタンバイパスとしても機能します。

次の点に注意してください。

  • オンプレミス ネットワークに同じ優先度のルートが 2 つあり、それぞれの宛先が 10.1.2.0/24 で、ネクストホップとして内部ロードバランサと同じリージョンの異なる VPN トンネルが設定されている場合、Equal-Cost Multipath(ECMP)を使用することで、オンプレミス ネットワーク(192.168.1.0/24)からロードバランサにトラフィックを送信できます。
  • パケットが VPC ネットワークに配信されると、構成したセッション アフィニティに従って内部ロードバランサがバックエンド VM にトラフィックを分散します。
  • lb-network に 2 つのルートが存在し、それぞれに 192.168.1.0/24 の宛先が含まれていて、ネクストホップには異なる VPN トンネルが指定されている場合、ネットワーク内のルートの優先順位に従って、バックエンド VM からのレスポンスを各トンネル経由で送信できます。ルートの優先順位が異なる場合は、一方のトンネルが他方のトンネルのバックアップとして機能します。同じ優先順位を使用する場合は、ECMP を使用してレスポンスが送られます。
  • バックエンド VM からの応答(vm-a2)は、適切なトンネルを介してオンプレミス クライアントに直接送られます。ルートや VPN トンネルが変更された場合、lb-network の視点から見て、下り(外向き)のトラフィックが別のトンネルを使用することがあります。そのような場合に進行中の接続が中断されると、TCP セッションがリセットされる可能性があります。

次のステップ