Cloud Interconnect に関するよくある質問

このドキュメントでは、Cloud Interconnect の機能とアーキテクチャに関するよくある質問について説明します。質問と回答は、以下のセクションにまとめています。

Cloud Interconnect を経由するトラフィック

このセクションでは、Cloud Interconnect を経由するトラフィックの種類、帯域幅、暗号化に関する質問に回答します。

Cloud Interconnect 経由で伝送されるのはどのような種類のパケットですか?

Cloud Interconnect の回線では、ペイロードに IPv4 パケットが含まれる 802.1q イーサネット フレームが伝送されます。これらのフレームは、VLAN タグ付きイーサネット フレームとも呼ばれます。

802.1q ヘッダーの 12 ビット VLAN ID(VID)フィールドの値は、VLAN アタッチメントの作成時に Google Cloud によって割り当てられる VLAN ID の値と同じです。詳細については、次のドキュメントをご覧ください。

Cloud Interconnect 経由のトラフィックを暗号化するにはどうすればよいですか?

Cloud Interconnect を使用してアクセスされるサービスによっては、特別な処理をしなくてもトラフィックがすでに暗号化されている場合があります。たとえば、Cloud Interconnect 経由で到達可能な Google Cloud APIs のいずれかにアクセスする場合、そのトラフィックは、公共のインターネット経由で API にアクセスするのと同じ方法で、TLS を使って暗号化されています。

たとえば、Compute Engine インスタンスや HTTPS プロトコルをサポートする Google Kubernetes Engine Pod 上で提供するサービスなど、作成したサービスに TLS ソリューションを使用することもできます。

IP レイヤで暗号化が必要な場合は、Virtual Private Cloud(VPC)ネットワークにセルフマネージド型の VPN ゲートウェイ(Google Cloud 以外)を 1 つ以上作成し、それぞれにプライベート IP アドレスを割り当てます。たとえば、Compute Engine インスタンス上で strongSwan VPN を実行できます。この場合は、オンプレミスから Cloud Interconnect を通過してそれらの VPN ゲートウェイで終端する IPsec トンネルを確立できます。

詳細については、転送データの暗号化に関するドキュメントをご覧ください。

Dedicated Interconnect 経由の 100 Gbps 接続を作成できますか?

はい、必要に応じて Google との接続を拡張できます。

Interconnect 接続は、イーサネット ポートチャネル リンク(LAG)グループとしてデプロイされた 1 つ以上の回線で構成されています。接続内の回線は 10 Gbps または 100 Gbps のいずれかです。両方を使用することはできません。

接続には、次の最大容量のいずれかを選択できます。

  • 8 x 10 Gbps 回線(合計 80 Gbps)
  • 2 x 100 Gbps 回線(合計 200 Gbps)

Dedicated Interconnect または Partner Interconnect では、50 Mbps~50 Gbps の VLAN アタッチメント容量がサポートされています。Partner Interconnect でサポートされる最大アタッチメント サイズは 50 Gbps ですが、選択したロケーションで選択したサービス プロバイダから提供されるサービスによっては、使用できないサイズがあります。

Cloud Router の Border Gateway Protocol(BGP)ルーティング機能を使用すると、複数の接続を注文して、それらをアクティブ / アクティブで使用できます。

容量、割り当て、上限の詳細なリストについては、Cloud Interconnect の料金割り当てと上限をご覧ください。

Cloud Interconnect 経由で IPv6 を使用してインスタンスにアクセスできますか?

VPC には、IPv6 トラフィックをインスタンスで終端させる組み込み機能はありません。

BGP ピアリング IP アドレスを指定できますか?

  • Partner Interconnect の場合はできません。Google によってピアリング IP アドレスが選択されます。
  • Dedicated Interconnect の場合は、VLAN アタッチメント作成時に、Google が選択する IP アドレス範囲(CIDR ブロック)を指定できます。この CIDR ブロックは、リンクローカル IP アドレス範囲 169.254.0.0/16 内にある必要があります。

オンプレミスから Cloud Interconnect を介して Google API にアクセスできますか?また、どのようなサービスや API を使用できますか?

Google API にアクセスするには、次の 2 つの方法があります。

  • オプション 1: VPC ネットワーク内の 1 つ以上のサブネットで限定公開の Google アクセスを有効にして、それらのサブネットに 1 つ以上のリバース プロキシ インスタンスをデプロイする方法です。これらのリバース プロキシには VPC のプライベート IP アドレスのみが構成されているため、オンプレミスから到達するには、Cloud Interconnect リンクを経由する必要があります。このソリューションを採用すると、ほとんどの Google Cloud APIs、デベロッパー API、Google Cloud サービスへのアクセスが許可されます。

    限定公開の Google アクセスでサポートされる Google Cloud サービスの詳細については、限定公開の Google アクセスの構成をご覧ください。

  • オプション 2: オンプレミス ホスト用の限定公開の Google アクセスを使用できます。この場合は、オンプレミス ホストからのリクエストを restricted.googleapis.com に送信する必要があります。これは常に IP 範囲 199.36.153.4/30 に解決されます。この範囲は制限付き VIP 範囲とも呼ばれます。

    この制限付き VIP 範囲をアドバタイズするために、Cloud Router 上にカスタムルートを追加します。これにより、(宛先である)制限付き VIP へのトラフィックは、オンプレミスから Cloud Interconnect 経由で API エンドポイントにルーティングされます。このソリューションでは、制限付き VIP をサポートする Google API と Google サービスにのみ到達できます。

構成の詳細とサポートされるサービスに関する最新情報については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。

Cloud Interconnect をプライベート チャネルとして使用して、すべての Google Workspace サービスにブラウザからアクセスできますか?

2018 年 12 月の時点では、Cloud Interconnect を経由して Google Workspace アプリケーションにアクセスすることはできません。

一定の時間が経過すると BGP セッションが継続的にフラップするのはなぜですか?

オンプレミスの BGP IP 範囲のサブネット マスクが正しいかどうか確認してください。たとえば、169.254.10.0/29 と構成すべきところを、169.254.10.0/30 と構成しているかもしれません。

L3 Partner Interconnect 接続を介して MED 値を送信し学習できますか?

レイヤ 3 サービス プロバイダが BGP を処理する Partner Interconnect 接続を使用している場合、Cloud Router がオンプレミス ルーターから MED 値を学習することや、そのルーターに MED 値を送信することはできません。これは、MED 値が自律システムを通過できないためです。このタイプの接続では、Cloud Router からアドバタイズされたルートのルート優先度をオンプレミス ルーターに設定することはできません。また、オンプレミス ルーターによってアドバタイズされるルートの優先順位を VPC ネットワークに設定することはできません。

Cloud Interconnect のアーキテクチャ

このセクションでは、Cloud Interconnect のアーキテクチャを設計または使用する際のよくある質問に回答します。

Dedicated Interconnect 接続の名前の変更や、別のプロジェクトへの移動はできますか?

いいえ。Dedicated Interconnect 接続に名前を付けた後は、名前の変更や、別の Google Cloud プロジェクトへの移動はできません。その場合、接続を削除して、新しい名前または別のプロジェクトで再作成する必要があります。

Cloud Interconnect を使用して公共のインターネットに接続できますか?

2018 年 12 月の時点では、インターネット ルートは Cloud Interconnect 経由でアドバタイズされません。

コロケーション施設のロケーションのリストにない PoP ロケーションにいる場合、Google Cloud に接続するにはどうすればよいですか?

2 つの方法があります。いずれかを行った後、Dedicated Interconnect の通常の発注とプロビジョニングの処理を進めることができます。

  • オプション 1: 通信事業者に専用回線を注文し、拠点(PoP)のロケーションから Google の Cloud Interconnect コロケーション施設のいずれかに接続できます。通常は、契約しているコロケーション施設プロバイダに問い合わせ、「オンネット」プロバイダのリストを入手することをおすすめします。オンネット プロバイダとは、お客様の所在地である建物の中にすでにインフラストラクチャを構築しているプロバイダを指します。オンネット プロバイダを使用することによって、既存の PoP ロケーションに到達するためのインフラストラクチャのビルドを必要とする別のプロバイダを使用する場合と比較して、コストの低減と高速化を実現できます。
  • オプション 2: お客様の拠点に到達するための「ラストワンマイル回線」を提供できるサービス プロバイダをパートナーとして、Partner Interconnect を使用できます。通常、コロケーション プロバイダはこのタイプのサービスを提供できません。コロケーション プロバイダのロケーションは固定されており、お客様がすでにそのロケーションに存在している必要があるためです。

Partner Interconnect を使用する場合、VLAN アタッチメントを作成したプロジェクトの接続は確認できますか?

Partner Interconnect サービスを使用する場合、Interconnect 接続のオブジェクトがサービス プロバイダ プロジェクトに作成されますが、プロジェクトには表示されません。VLAN アタッチメント(interconnectAttachment)は、Cloud Interconnect の場合と同様にプロジェクト内に表示されます。

Cloud Interconnect を使用して冗長アーキテクチャを作成するにはどうすればよいですか?

希望する SLA に応じて、Dedicated Interconnect、Partner Interconnect の両方について、特定のアーキテクチャを実装する必要があります。

本番環境対応アーキテクチャ用の 99.99% SLA のトポロジと、ミッション クリティカルではないアプリケーション用の 99.9% SLA のトポロジについては、Cloud Interconnect チュートリアルをご覧ください。

これらの SLA レベルは、Interconnect 接続の可用性(オンプレミス ロケーションと VPC ネットワークの間でルーティングされる接続の可用性)を示しています。たとえば、Cloud Interconnect を介して到達可能な Compute Engine インスタンスにサービスを作成する場合、このサービスの可用性は、Cloud Interconnect サービスと Compute Engine サービスの両方の可用性の組み合わせによって左右されます。

  • Dedicated Interconnect の場合、単一の Interconnect 接続(LACP バンドル)に稼働時間のない SLA があります。
  • Partner Interconnect の場合は、単一の VLAN アタッチメントに稼働時間のない SLA があります。

単一の接続 / バンドルの障害に関する問題は、「P3: 中程度の影響 – サービスの使用が部分的に損なわれている」より低いサポートケースの優先度で処理されます。そのため、迅速な解決やさらなる根本原因の分析は期待できません。

定期または臨時メンテナンスが原因で、単一のリンクやバンドルが数時間または数日などの長期間にわたってもドレインされる可能性があります。

オンプレミスのレガシー アプリケーションと内部ロードバランサのバックエンドの間で、Cloud Interconnect 経由のトラフィックを転送できますか?

このシナリオでは、2 つの階層で構成されるアプリケーションをデプロイ済みです。Google Cloud にまだ移行されていないオンプレミス階層(レガシー階層)と、Google Cloud の内部ロードバランサのバックエンドでもある VPC インスタンス上で実行されているクラウド階層です。

Cloud Router とオンプレミス ルーターの間に必要なルートを実装すれば、Cloud Interconnect を使用してこれら 2 つのアプリケーション階層の間でトラフィックを転送できます。このアプリケーションのトラフィックを処理する Interconnect 接続に使用する Cloud Router は、ロードバランサのバックエンドを含むサブネットと同じリージョンに配置する必要があります。これは、内部ロードバランサがリージョンのルーティングのみをサポートしているためです。VPC のグローバル ルーティングで、ロードバランサのバックエンドが配置されているリージョン外のトンネルを使用すると、内部ロードバランサへのアクセスは失われます。詳細については、Cloud VPN と Cloud Interconnect の使用をご覧ください。

オンプレミス トラフィックが別のリージョンから VPC ネットワークに入る場合は、もう一方のリージョンでそれぞれのバックエンドを持つ内部ロードバランサをデプロイするか、トラフィックをリバース プロキシにルーティングしてから内部ロードバランサの VIP に到達させます。

Google Cloud のプロジェクトや組織間で、1 つ以上の Cloud Interconnect のインスタンスを移動できますか?

プロジェクトを新しい Google Cloud 組織に移行する必要がある場合は、サポートケースを登録していただくと、Google Cloud サポートで移行を迅速に処理できます。

組織を変更しても、プロジェクトが同じである限り、Dedicated Interconnect と VLAN アタッチメントに影響はありません。

プロジェクトを変更するにあたって、Cloud Interconnect のアクティベーションを実行していて LOA を所有しているが、まだアクティベーションを完了していない場合は、現在のアクティベーションをキャンセルして目的のプロジェクトに新しいインスタンスを作成します。Google が新しい LOA を発行し、お客様はそれを Interconnect 接続プロバイダに提供できます。手順については、接続の注文LOA-CFA の取得をご覧ください。

アクティブな Interconnect 接続はプロジェクト間で移動することはできません。アクティブな Interconnect はプロジェクトの子オブジェクトであり、プロジェクト間でオブジェクトを自動的に移行する機能がないためです。可能であれば、新しい Interconnect のリクエストを最初から行ってください。

同じ Google Cloud 組織内の複数のプロジェクトで、同じ Interconnect 接続を使用して複数の VPC ネットワークに接続するにはどうすればよいですか?

Dedicated Interconnect または Partner Interconnect の場合は、共有 VPC または VPC ネットワーク ピアリングを使用して、複数の VPC ネットワーク間で単一のアタッチメントを共有できます。手順については、複数の VPC ネットワークが同じ VLAN アタッチメントにアクセスできるようにするをご覧ください。

Partner Interconnect の場合

たとえば、VPC ネットワークを分離した状態で維持する必要があるなどの理由で、共有 VPC または VPC ネットワーク ピアリングを使用できない場合は、追加の VLAN アタッチメントを作成する必要があります。アタッチメントを追加作成すると、余分な費用が発生する可能性があります。

他のプロジェクトのものも含めて、複数の VLAN アタッチメントが存在する場合は、それらを同じサービス プロバイダの Partner Interconnect 接続、または異なるサービス プロバイダの Partner Interconnect 接続とペアリングできます。

Dedicated Interconnect の場合

接続するプロジェクトまたは VPC ネットワークごとに、複数のアタッチメントを作成できます。

プロジェクトが多数ある場合は、各プロジェクトに独自の VLAN アタッチメントと独自の Cloud Router を設定し、指定されたプロジェクトで同じ物理的な Dedicated Interconnect 接続を使用するようにすべてのアタッチメントを構成できます。

VLAN アタッチメントは、802.1q ID を持つ VLAN であるだけでなく、プロジェクト内に存在する Interconnect 接続の子オブジェクトでもあります。

このモデルでは、VPC ネットワークごとに独自のルーティング構成を持つことになります。ルーティング ポリシーを一元管理する場合は、共有 VPC モデル共有 VPC の考慮事項をご覧ください。その後、共有 VPC ホスト プロジェクトの VPC ネットワーク内で VLAN アタッチメントを終端させることができます。ホスト プロジェクトには、Interconnect 接続あたりの VLAN アタッチメントの最大数があります。詳細については、Cloud Interconnect の割り当てと上限をご覧ください。

1 つの Interconnect 接続を使用して、複数のオンプレミス サイトを VPC ネットワークに接続できますか?

これは簡単に実現できます。たとえば、複数のサイトが MPLS VPN ネットワークの一部である場合(セルフマネージド型、携帯通信会社による管理型のいずれであっても)、Inter-AS MPLS VPN Option A(詳細については、RFC 4364 のパラグラフ 10 を参照)と同様の方法で、VPC ネットワークを追加サイトとして論理的に追加できます。

このソリューションは、パートナーの MPLS VPN サービス内に VPC ネットワークが含まれるようにする方法に関する回答で説明されています。Cloud Router の BGP 機能を活用すると、インターネット ルートのインポートに使用するのと同様のテクニックとアーキテクチャを使用して、既存の IP コア ファブリック内に VPC ルートを挿入できます。

Interconnect 接続と別のクラウド プロバイダの相互接続を物理的につなぎ合わせることはできますか?

Cloud Interconnect と機能面で同等のサービスを提供する別のクラウド プロバイダをすでに使用している場合、2 つの接続(Google Cloud が提供する接続と他のクラウド プロバイダが提供するもの)を物理的につなぎ合わせる方法に関して、クラウド プロバイダ間で合意されている構成はありません。ただし、VPC ネットワークのプライベート アドレス空間と、別のクラウド プロバイダのネットワークの間でのルーティングは可能です。

他のクラウド プロバイダのサービス ハンドオフのポイントが Cloud Interconnect と同じロケーションにある場合は、そのロケーションに独自のルーターをプロビジョニングして、2 つの接続サービスを終端させることができます。この場合、そのルーターは、VPC ネットワークと別のクラウド プロバイダのネットワークの間をルーティングします。この構成を使用すると、遅延を最小限に抑えながら、2 つのクラウド ネットワークからオンプレミス ネットワークに直接ルーティングできます。

Partner Interconnect の一部の通信事業者は、この構成を仮想ルーターに基づくマネージド サービスとして提供できます。Google Cloud と他のクラウド プロバイダが異なるロケーションで接続サービスを終端させる場合は、2 つのロケーションを接続する回線を用意する必要があります。

Google エッジ近くのコロケーション施設に機器を設置せずに AWS と Google Cloud を接続するにはどうすればよいですか?

Megaport は、Google エッジの近くにハードウェアを配置することを望まない Google Cloud のお客様向けに、独自のクラウド ルーター ソリューションを提供しています。Google Cloud でこのプロダクトを設定する方法については、構成手順をご覧ください。

VLAN アタッチメント

このセクションでは、VLAN アタッチメントに関する質問に回答します。

VLAN アタッチメントに使用する VLAN ID を選択するにはどうすればよいですか?

Partner Interconnect を使用して作成された VLAN アタッチメントの場合、サービス プロバイダはアタッチメントの作成プロセス中に VLAN ID を選択しますが、ユーザーによる選択が可能な場合もあります。VLAN アタッチメントの VLAN ID を選択できるかどうかは、サービス プロバイダにご確認ください。

Dedicated Interconnect で作成される VLAN アタッチメントの場合、--vlan フラグをオンにして gcloud compute interconnects attachments create コマンドを使用するか、Google Cloud Console の手順を行います。

次の例は、gcloud コマンドを使用して、VLAN ID を 5 に変更する方法を示しています。

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

完全な手順については、以下のいずれかのドキュメントをご覧ください。

Cloud Router を複数の VLAN アタッチメントと併用できますか?

はい、この構成はサポートされています。

帯域幅の合計が Interconnect 接続の帯域幅を超過するように構成することはできますか?

はい。ただし、Interconnect 接続よりも大きな帯域幅を持つアタッチメントを作成しても、サポートされている接続の最大帯域幅を超えることはありません。

MPLS

このセクションでは、Cloud Interconnect とマルチプロトコル ラベル スイッチング(MPLS)に関する質問について回答します。

Cloud Interconnect を使用して VPC ネットワーク内の MPLS LSP を終端させることができますか?

2018 年 12 月時点では、VPC には MPLS LSP を終端させる Google Cloud の組み込み機能はありません。

セルフマネージドの MPLS VPN サービスで VPC ネットワークを追加サイトとして含めることはできますか?

管理している MPLS VPN サービスがある場合は、セルフマネージド VPN で構成される追加サイトとして VPC ネットワークを含めることができます。

このシナリオでは、プロバイダから MPLS VPN サービスを購入していないことが前提となります。つまり、お客様が所有している MPLS VPN 環境において、MPLS ネットワークの P ルーターおよび PE ルーターをお客様が管理、構成している必要があります。

セルフマネージド型 MPLS VPN サービス内に追加サイトとして VPC ネットワークを含めるには、次の手順を行います。

  1. いずれかの MPLS VPN PE エッジデバイスを、Dedicated Interconnect のピアリング エッジデバイスに接続します。これには、Inter-AS MPLS VPN Option A(RFC 4364 のパラグラフ 10 を参照)と同様のモデルを使用します。つまり、必要な MPLS-VPN VPN(VRF_A など)を PE エッジデバイス内で終端させ、VLAN から VRF へのマッピングを使用して Google Cloud VLAN アタッチメントをこの VPN に「参加」させることができます。実質的には、PE エッジデバイスで VLAN を VRF_A にマッピングすることになります。

  2. PE ルーターと Cloud Router の間に標準的な IPv4 BGP セッションを作成し、それらの間でルートが確実に交換されるようにします。Cloud Router によって送信されたルートは、VPN のルーティング テーブル(VRF_A 内)のみに設定され、PE エッジデバイスのグローバル ルーティング テーブルには設定されません。

    複数の独立した VPN を作成することで、重なり合う IP 範囲を管理できます。たとえば、VRF_A と VRF_B があり、それぞれに特定の VPC ネットワーク(たとえば VPC_A と VPC_B)内の Cloud Router への BGP セッションが存在するとします。この場合、お客様の PE エッジデバイスと Dedicated Interconnect のピアリング エッジデバイスの間に MPLS カプセル化は必要ありません。

Partner Interconnect のサービス プロバイダである通信事業者の MPLS VPN 内に、VPC ネットワークを追加サイトとして含めることはできますか?

Partner Interconnect の正式なサービス プロバイダである通信事業者から MPLS VPN サービスを購入した場合は、MPLS VPN 内に VPC ネットワークを追加サイトとして含めることができます。

この場合は、通信事業者が MPLS ネットワークの P ルーターと PE ルーターを管理、構成します。Partner Interconnect は Dedicated Interconnect とまったく同じ接続モデルを使用するため、通信事業者は Inter-AS MPLS VPN Option A(RFC 4364 のパラグラフ 10 を参照)と同様のモデルを利用できます。

実質的には、通信事業者はレイヤ 3 Partner Interconnect サービスをお客様に提供し、VLAN アタッチメントを通信事業者のエッジデバイス上の適切な MPLS VPN に「バインド」します。これはレイヤ 3 サービスモデルであるため、Cloud Router と通信事業者のエッジデバイス内の VRF の間に BGP セッションが確立されます。詳細については、Partner Interconnect の概要をご覧ください。

インフラストラクチャ メンテナンス イベント

インフラストラクチャ メンテナンス イベントとは何ですか?

Cloud Interconnect では、ネットワークに影響する可能性のある定期メンテナンスが実行されます。また、緊急のメンテナンス イベントや予定されないメンテナンス イベントが原因で、回線がダウンすることもあります。高可用性のハイブリッド ネットワーク トポロジの作成をおすすめします。

定期的なインフラストラクチャ メンテナンス イベントの頻度はどれくらいですか?

インフラストラクチャ メンテナンス イベントの間隔は決まっていませんが、通常は年に数回実行されます。

インフラストラクチャ メンテナンス イベントが発生するタイミングを知るにはどうすればよいですか?

定期インフラストラクチャ メンテナンス イベントの前には、次の通知が届きます。

  • 影響のあるメンテナンスがスケジュールされると、すべてのプロジェクト オーナーにメールが送信されます。
  • メールは、Cloud Interconnect オブジェクトの nocContactEmail フィールドに記載されているアドレスに送信されます。このオブジェクトは、Google Cloud Console の Cloud Interconnect の詳細ページで、または次の gcloud コマンドを使用して検索および編集できます。

    gcloud compute interconnects describe my-interconnect
    
  • 通知は、Cloud Console の [アクティビティ] タブと [通知] 領域に表示されます。

単一のエッジ アベイラビリティ ドメインに単一のリンクをプロビジョニングするだけでは、SLA を保証できません。メンテナンス中にサービスにアクセスできなくなることがないように、異なるエッジ アベイラビリティ ドメインに 2 つのリンクをプロビジョニングするようにしてください。