Cloud Interconnect の概要

Cloud Interconnect は低レイテンシで高可用性の接続を提供し、Google Cloud Virtual Private Cloud(VPC)ネットワークと他のネットワークとの間でデータを確実に転送できます。また、Cloud Interconnect 接続から提供される内部 IP アドレス通信により、双方のネットワークから内部 IP アドレスへの直接アクセスが実現されます。

Cloud Interconnect には、Google Cloud を含むようにネットワークを拡張するための次のオプションが用意されています。

  • Dedicated Interconnect は、オンプレミス ネットワークと Google ネットワークの間の物理的な直接接続を提供します。
  • Partner Interconnect は、サポート対象のサービス プロバイダを介して、オンプレミス ネットワークと VPC ネットワークを接続します。
  • Cross-Cloud Interconnect は、別のクラウドのネットワークと Google ネットワークを物理的に直接接続します。

Dedicated Interconnect と Partner Interconnect のどちらを選択するかの選択については、Network Connectivity プロダクトの選択の Cloud Interconnect セクションをご覧ください。

このページで使用している用語の定義については、Cloud Interconnect の主な用語をご覧ください。

利点

Cloud Interconnect を使用する場合の利点は以下のとおりです。

  • 外部ネットワークと VPC ネットワーク間のトラフィックは、公共のインターネットを通過しません。トラフィックは専用接続または専用接続を持つサービス プロバイダを通過します。公共のインターネットを通過しないことでトラフィックのホップ数が減るため、トラフィックのドロップや中断が発生する障害点が少なくなります。

  • VPC ネットワークの内部 IP アドレスには、オンプレミス ネットワークから直接アクセスできます。内部 IP アドレスに到達するために NAT デバイスや VPN トンネルを使用する必要はありません。詳細については、IP アドレス指定と動的ルートをご覧ください。

  • 接続容量は独自の要件に応じて調整できます。

    Dedicated Interconnect の場合、接続容量は 1 つまたは複数の、10 Gbps または 100 Gbps イーサネット接続を介して提供されます。1 つの Cloud Interconnect でサポートされる最大容量は次のとおりです。

    • 8 x 10 Gbps の接続(合計 80 Gbps)
    • 2 x 100 Gbps の接続(合計 200 Gbps)

    Partner Interconnect の場合、各 VLAN アタッチメントについて、次の接続容量がサポートされています。

    • 50 Mbps~50 Gbps の VLAN アタッチメント。サポートされているアタッチメントの最大サイズは 50 Gbps ですが、選択したロケーションで選択したパートナーから提供されるサービスによっては使用できないサイズがあります。
  • すべてのコロケーション施設に記載されているいずれかのロケーションで、100 Gbps の接続をリクエストできます。

  • Dedicated Interconnect、Partner Interconnect、ダイレクト ピアリングキャリア ピアリングはすべて、VPC ネットワークからの下り(外向き)トラフィックの最適化と下り(外向き)のコスト削減に利用できます。Cloud VPN のみでは下り(外向き)コストは削減されません。

  • Cloud Interconnect をオンプレミス ホスト用の限定公開の Google アクセスで使用すると、外部 IP アドレスではなく内部 IP アドレスを使用してオンプレミス ホストから Google API とサービスにアクセスできます。詳細については、VPC のドキュメントのサービスのプライベート アクセス オプションをご覧ください。

  • Cloud Interconnect を介した HA VPN をデプロイすることで、Cloud Interconnect トラフィックに IPsec 暗号化を適用できます。

考慮事項

Cloud VPN のみを使用する

Cloud Interconnect 接続の全体が必要ない場合は、Cloud VPN を単独で使用して、ネットワーク間で IPsec VPN トンネルを設定できます。IPsec VPN トンネルは、業界標準の IPsec プロトコルを使用してデータを暗号化します。暗号化されたトラフィックが公共のインターネットを通過します。

Cloud VPN では、オンプレミス ネットワークにピア VPN ゲートウェイを構成する必要があります。

IP アドレス指定、IPv6 ルート、動的ルート

VPC ネットワークをオンプレミス ネットワークに接続すると、オンプレミス ネットワークの IP アドレス空間と VPC ネットワーク内の一部または全部のサブネットとの間の通信を許可できます。利用可能な VPC のサブネットは、VPC ネットワークで選択されている動的ルーティング モードによって異なります。VPC ネットワークのサブネット IP 範囲は常に、内部 IP アドレスです。

Dedicated Interconnect を使用すると、IPv6 対応の VPC ネットワークとオンプレミス ネットワーク間で IPv6 トラフィック交換を有効にできます。Partner Interconnect では IPv6 アドレス交換を使用できません。

詳細については、IPv6 サポートをご覧ください。

オンプレミス ネットワークと VPC ネットワークの IP アドレス空間は重複が許可されません。重複があると、トラフィックが正しくルーティングされなくなります。いずれかのネットワークでアドレスの重複を解消してください。

オンプレミス ルーターは、オンプレミス ネットワークのルートを VPC ネットワーク内の Cloud Router と共有します。このアクションにより、VPC ネットワーク内にカスタム動的ルートが作成され、それぞれでネクストホップが適切な VLAN アタッチメントに設定されます。

カスタム アドバタイズによって変更されない限り、VPC ネットワークのダイナミック ルーティング モードに従って、VPC ネットワーク内の Cloud Router とオンプレミス ルーターの間で VPC ネットワークのサブネット IP アドレス範囲が共有されます。

次の構成では、Cloud Router 上にカスタムルート アドバタイズを作成して、トラフィックを Cloud Interconnect 接続を介してオンプレミス ネットワークから特定の内部 IP アドレスに転送する必要があります。

データ転送ネットワークとしての Cloud Interconnect

Cloud Interconnect を使用する前に、Google Cloud の一般利用規約のセクション 2 をよくお読みください。

Network Connectivity Center を使用すると、VLAN アタッチメントを使用してオンプレミス ネットワークを相互接続し、データ転送ネットワークとしてトラフィックを受け渡すことができます。オンプレミスのロケーションごとに VLAN アタッチメントを使用して Network Connectivity Center のスポークに接続することで、ネットワークに接続します。各スポークを Network Connectivity Center のハブに接続します。

Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。

Cloud Interconnect トラフィックを暗号化する

Cloud Interconnect は、デフォルトではトラフィックを暗号化しません。Cloud Interconnect で MACsec を使用すると、サポートされている Dedicated Interconnect 回線上のオンプレミス ルーターと Google のエッジルーター間のトラフィックを保護できます。詳細については、Cloud Interconnect の MACsec の概要をご覧ください。

また、VLAN アタッチメントによって伝送されるトラフィックを暗号化する必要がある場合は、Cloud Interconnect を介した HA VPN をデプロイできます。Cloud Interconnect を介した HA VPN は、Dedicated Interconnect と Partner Interconnect の両方でサポートされています。特定の規制要件やセキュリティ要件に対応するために、Cloud Interconnect トラフィックの暗号化が必要になる場合があります。詳細については、Cloud Interconnect を介した HA VPN の概要をご覧ください。

Cloud Interconnect の使用を制限する

デフォルトでは、どの VPC ネットワークでも Cloud Interconnect を使用できます。Cloud Interconnect を使用できる VPC ネットワークを制御するには、組織のポリシーを設定します。詳細については、Cloud Interconnect の使用を制限するをご覧ください。

Cloud Interconnect の MTU

Cloud Interconnect VLAN アタッチメントは、次の 4 つの MTU サイズをサポートしています。

  • 1,440 バイト
  • 1,460 バイト
  • 1,500 バイト
  • 8,896 バイト

同じ VPC ネットワークに接続しているすべての VLAN アタッチメントに同じ MTU を使用し、VPC ネットワークの MTU を同じ値に設定することをおすすめします。VPC ネットワークの MTU の詳細については、VPC ネットワークのドキュメントの最大伝送単位をご覧ください。

高度なネットワーキング シナリオでは、VLAN アタッチメントを含む VPC ネットワークの MTU よりも大きい MTU を VLAN アタッチメントに構成できます。

特に次のいずれかの場合は、TCP 以外のプロトコルでパケットがドロップされる可能性があります。

  • 同じ VPC ネットワークに接続している VLAN アタッチメントに、異なる VLAN アタッチメント MTU を使用する。
  • VLAN アタッチメントを含む VPC ネットワークの MTU より小さい MTU を VLAN アタッチメントに構成する。

プロトコルが MTU の不一致を処理する方法の詳細については、MSS クランプとパス MTU 検出をご覧ください。

VLAN アタッチメント経由で送信されたパケットは、次のように処理されます。

状況 動作
TCP SYN パケットと SYN-ACK パケット Google Cloud は MSS クランプを実行し、パケットが VLAN アタッチメント MTU 内に収まるように MSS を変更します。たとえば、VLAN アタッチメントの MTU が 1,500 バイトの場合、MSS クランプは最大 1,460 バイトのセグメント サイズを使用します。
VLAN アタッチメントの MTU までの IP パケット(MTU を含む) 最初の行で説明されている SYN パケットと SYN-ACK パケットを除き、Google Cloud はパケットを変更しません。
IP パケットの MTU チェック

送信 IP パケットの MTU は、VLAN アタッチメントの MTU によって制限されます。VPC ネットワークが VLAN アタッチメントの MTU を超える大きさの送信 IP パケットを送信すると、パケットは破棄され、Don't Fragment(DF)ビットが設定されているかどうかにかかわらず、ICMP Too Big(ICMP over IPv4)パケットまたは ICMP Needs Fragmentation(ICMP over IPv6)パケットが返されます。

受信パケットについては、VLAN アタッチメントの MTU は適用されませんが、パケットの最終宛先 MTU が強制的に適用されます。これには VPC ネットワーク、Google API、[Google Cloud 接続](/hybrid-connectivity)があります。

たとえば、受信パケットが VPC 内の VM に送信されると、DF ビットが設定されているかどうかにかかわらず、VPC ネットワークの MTU を超える大きさのパケットは破棄され、ICMP Too Big(ICMP over IPv4)パケットまたは ICMP Needs Fragmentation(ICMP over IPv6)パケットが返されます。

Google Cloud サービスへの受信 IP パケットの MTU は、Google フロントエンドでチェックされます。パケットが 1,500 バイトを超える場合、MSS クランプによって受信パケットの MTU が削減されます。

Cloud Interconnect を介した HA VPN を介して送信されたパケット Cloud Interconnect を介した HA VPN では、ゲートウェイ MTU は 1,440 バイト、ペイロード MTU はそれよりも小さい値になります(使用される暗号によって異なります)。詳細については、Cloud VPN のドキュメントの MTU に関する考慮事項をご覧ください。

GRE トラフィックのサポート

Cloud Interconnect は、GRE トラフィックをサポートします。GRE のサポートにより、インターネット(外部 IP アドレス)と Cloud VPN または Cloud Interconnect(内部 IP アドレス)から VM への GRE トラフィックを終了できます。カプセル化解除されたトラフィックは到達可能な宛先に転送できます。GRE を使用すると、セキュア アクセス サービスエッジ(SASE)や SD-WAN などのサービスを使用できます。GRE トラフィックを許可するには、ファイアウォール ルールを作成する必要があります。

Cloud Interconnect 接続と VLAN アタッチメントの可視化とモニタリング

ネットワーク トポロジは、VPC ネットワークのトポロジ、オンプレミス ネットワークとのハイブリッド接続、および関連付けられた指標を表示する可視化ツールです。Cloud Interconnect 接続と VLAN アタッチメントは、ネットワーク トポロジ ビューでエンティティとして表示できます。

基本エンティティは特定の階層の最下位レベルであり、ネットワークを介して他のリソースと直接通信できるリソースを表します。ネットワーク トポロジは、基本エンティティを、展開および折りたたみが可能な階層エンティティに集約しています。最初にネットワーク トポロジ グラフを表示すると、すべての基本エンティティが最上位の階層に集約されます。

たとえば、ネットワーク トポロジは VLAN アタッチメントを Cloud Interconnect 接続に集約します。Cloud Interconnect 接続を表すアイコンを開くか折りたたむと、階層を表示できます。

詳細については、ネットワーク トポロジの概要をご覧ください。

よくある質問

Cloud Interconnect のアーキテクチャと機能に関する一般的な質問とその回答については、Cloud Interconnect に関するよくある質問をご覧ください。

次のステップ