Network Connectivity Center の概要

Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間のネットワーク接続を可能にするオーケストレーション フレームワークです。Network Connectivity Center では、2 種類のスポークがサポートされています。

  • Virtual Private Cloud(VPC)スポーク
  • ハイブリッド スポーク。次のものから構成されています。
    • HA VPN トンネル
    • Cloud Interconnect VLAN アタッチメント
    • ルーター アプライアンス VM

このような機能によって、次のことができます。

  • 複数の VPC ネットワークを相互に接続する。VPC ネットワークは、同じ Google Cloud 組織内の異なるプロジェクトまたは異なる組織に配置できます。
  • 複数の VPC ネットワークをオンプレミスまたは他のクラウド プロバイダ ネットワークに接続する。これらの外部ネットワークには、任意のタイプのハイブリッド スポークからアクセスできます。この手法は、サイトツークラウド接続と呼ばれます。
  • ルーター アプライアンス VM を使用して、VPC ネットワーク間の接続を管理する。
  • Google Cloud VPC ネットワークを広域ネットワーク(WAN)として使用し、Google Cloud の外部にあるネットワークに接続する。外部サイト間の接続を確立するには、任意のタイプのハイブリッド スポークを使用します。この手法は、サイト間接続と呼ばれます。

仕組み

ハブが VPC スポークを使用する場合、すべての VPC ネットワーク間でサブネット ルートを交換することで、ハブに接続されたすべての VPC ネットワーク間にメッシュ接続を構成できます。

ハブが VPC スポークとハイブリッド スポークの両方を使用する場合、これらのスポーク全体で任意の接続がサポートされます。

また、ハブが単一の VPC ネットワーク内にあるハイブリッド スポークを使用する場合は、サイト間データ転送を構成して、ネクストホップがハイブリッド スポーク(Cloud Interconnect VLAN アタッチメントなど)である動的ルートが、VPC ネットワーク内の他のハイブリッド スポークの BGP セッションによってオンプレミス ネットワークにアドバタイズされるようにできます。ハイブリッド スポークを使用して 2 つの VPC ネットワークに接続し、各ネットワークに動的ルートを作成することもできます。

ハブが VPC スポークを使用する場合、ネットワーク間でサブネット ルートを交換することで、ハブに接続された VPC ネットワーク間の接続を構成できます。

スポーク

スポークは、ハブに接続されている 1 つ以上の Google Cloud ネットワーク リソースを表します。スポークを作成する際は、サポートされている 1 つ以上の接続リソース(バッキング リソースとも呼ばれます)に関連付ける必要があります。

スポークでは、次の Google Cloud リソースのいずれかをバッキング リソースとして使用できます。

リソース

該当するユースケース

VPC スポーク
  • 複数の VPC ネットワークの IPv4 サブネット範囲間の接続
ルーター アプライアンス
  • IPv4 サイトツークラウド接続(単一のスポークからリンクされているすべてのアプライアンスが同じ VPC ネットワーク内にある必要があります)
  • IPv4 サイト間データ転送(同じハブに接続されているすべてのスポークのバッキング リソースが同じ VPC ネットワークに配置されている必要があります)
  • VPC ネットワーク間の IPv4 接続
Cloud VPN(HA VPN)トンネル、
Cloud Interconnect VLAN アタッチメント
  • IPv4 サイトツークラウド接続(単一のスポークからリンクされているすべてのアプライアンスが同じ VPC ネットワーク内にある必要があります)
  • IPv4 サイト間データ転送(すべての Cloud VPN トンネル、VLAN アタッチメント、またはその両方が同じ VPC ネットワーク内にある必要があります)

VPC スポーク

VPC スポークでは、IPv4 サブネット ルートを交換するように、複数の VPC ネットワークをハブに接続できます。1 つのハブに接続された VPC スポークは、同じプロジェクトまたは別のプロジェクト(別の組織のプロジェクトを含む)の VPC ネットワークを参照できます。

VPC スポークの詳細については、VPC スポークの概要をご覧ください。

ハイブリッド スポーク

1 つのハイブリッド スポークを同じタイプの複数のリソースに関連付けることができます。たとえば、ハイブリッド スポークは 2 つ以上の HA VPN トンネルを参照できますが、この同じハイブリッド スポークはルーター アプライアンス VM または Cloud Interconnect VLAN アタッチメントを参照することはできません。

ハイブリッド スポークを使用したサイト間データ転送では、スポークが同じ VPC ネットワークに配置されている必要があります。詳細については、サイト間データ転送の概要をご覧ください。

VPC 接続によるルート交換

Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用するサブネット IPv4 アドレス範囲の交換がサポートされます。プライベートで使用されるパブリック IPv4 アドレスはサポートされません。動的ルート(BGP を介してハイブリッド スポークによって学習されたルート)は、VPC スポークまたは他のハイブリッド スポークと交換することもできます。スポーク VPC ネットワーク内の静的ルートは、ハブ内の他の VPC スポークと交換できません。

ハイブリッド スポークのハブサブネットのインポート

ハイブリッド スポークのハブサブネットのインポートを有効にすると、BGP を介して VPC スポーク IP サブネット範囲をオンプレミス ネットワークや他のクラウド プロバイダ ネットワークに自動的にアドバタイズできます。この機能を有効にすると、ハブ ルートテーブルに作成された新しい VPC サブネットがハイブリッド スポークによって自動的にインポートされ、BGP を介してリモートピアにアドバタイズされます。

VPC スポークのサブネット IP アドレス範囲をハイブリッド スポークに自動的にアドバタイズするには、スポークの作成時に ALL_IPV4_RANGES フィールドで --include-import-ranges フラグを使用します。デフォルトでは、--include-import-ranges フィールドは空です。つまり、ALL_IPV4_RANGES が指定されるまで、ハブのサブネットは新しいハイブリッド スポークまたは既存のハイブリッド スポークにインポートされません。

ハイブリッド スポークの作成方法の詳細については、スポークを操作するをご覧ください。

カスタム ルート アドバタイズ

Cloud Router のカスタム ルート アドバタイズを使用すると、ハイブリッド スポークによってアドバタイズされるプレフィックスを手動で制御できます。VPC スポーク サブネットの自動アドバタイズが不要な場合は、すべての BGP セッションにカスタム アドバタイズ ルートを指定できます。デフォルト ルート(IPv4 ルートの場合は 0.0.0.0/0、IPv6 ルートの場合は ::/0)も指定できます。デフォルトでは、他の VPC スポークのサブネットはアドバタイズされません。つまり、オンプレミスのロケーションは、これらの IP アドレス範囲へのネットワーク到達性を自動的に学習しません。

ハブサブネットのインポートに関する考慮事項

ハブサブネットのインポート機能を使用する場合は、次の点に注意してください。

  • ハイブリッド スポークの --include-import-ranges フィールドに ALL_IPV4_RANGES が指定されている場合、デフォルトでは、ハブ ルート テーブル内のすべての VPC スポーク サブネットがハイブリッド スポークにアドバタイズされます。
  • ルートの優先度は、ランディング VPC ネットワーク サブネット、ハブサブネット、Cloud Router カスタムルートの順です。
  • Network Connectivity Center は、ルーティング VPC サブネットと他の VPC スポークのハブサブネット間の重複を防ぎます。
  • Cloud Router のカスタムルートが、ランディング VPC サブネットまたはハブサブネットと完全に同じか重複している場合、その Cloud Router のカスタムルートは無視されます。
  • ハブサブネットの BGP 属性は、ハイブリッド スポークのランディング VPC のサブネットと同じです。
  • BGP セッションの Cloud Router ポリシーは、Network Connectivity Center にインポートされたハブサブネットにも適用されます。
  • ハイブリッド スポークのルーティング VPC ネットワークで動的ルーティング モードが regional に設定されている場合、ハイブリッド スポークと同じリージョン内のハブサブネットのみがアドバタイズされます。

ユースケース

以降のセクションでは、Network Connectivity Center の主なユースケースについて説明します。

Network Connectivity Center で異なる VPC ネットワークを接続する

2 つ以上の VPC スポークをハブに接続すると、Network Connectivity Center は、スポークによって表されるすべての VPC ネットワーク間の IPv4 サブネット接続を提供します。ハブを使用すると、大規模なメッシュ サブネット接続の管理が簡単になります。ハブに接続できる VPC ネットワークの数については、割り当てをご覧ください。

次の図は、2 つの VPC スポークを示しています。

スポークを VPC ネットワークに接続します。
スポークを VPC ネットワークに接続する(クリックして拡大)

VPC スポークのオンプレミス接続

VPC スポークは、他の(ルーティング)VPC ネットワークにあるハイブリッド スポークを使用して、オンプレミス ネットワークに接続できます。各 Network Connectivity Center ハブは、複数の VPC スポークと、ハイブリッド スポークとして追加された Cloud Interconnect VLAN アタッチメント、HA VPN トンネル、ルーター アプライアンス VM をサポートします。次の図は、同じ Network Connectivity Center ハブに VPC スポークとハイブリッド スポークの両方があるハブの例を示しています。

VPC スポークとの動的ルート交換。
VPC スポークとの動的ルート交換(クリックして拡大)

ルーター アプライアンス VM を使用してネットワークを接続する

Network Connectivity Center では、次の 2 つの IPv4 接続シナリオでルーター アプライアンス VM を使用できます。

  • 動的ルートを使用して、VPC ネットワークをオンプレミスまたは他のクラウド プロバイダ ネットワークに接続する
  • 動的ルートを使用して 2 つの VPC ネットワークを相互に接続する

このオプションを使用すると、Cloud Router はルーター アプライアンス VM の BGP セッションを管理します。

外部ネットワークを Google Cloud に接続する

次の図は、ルーター アプライアンス VM とのハイブリッド スポークを使用して、2 つの VPC ネットワークを外部ネットワークに接続しています。Cloud Router VM には、VPC ネットワークごとに 1 つのネットワーク インターフェース(NIC)があります。

外部ネットワークを Google Cloud に接続する。
外部ネットワークを Google Cloud に接続する(クリックして拡大)

このユースケースの詳細については、サードパーティ アプライアンスを使用するサイトツークラウド トポロジをご覧ください。

VPC ネットワーク間の接続を管理する

次の図は、専用のファイアウォールまたはパケット検査ソフトウェアを実行しているルーター アプライアンス VM でハイブリッド スポークを使用し、2 つの VPC ネットワークに接続しています。

サードパーティのファイアウォールを使用する。
サードパーティのファイアウォールを使用する(クリックして拡大)

詳細については、サードパーティ アプライアンスを使用する VPC 間のトポロジをご覧ください。

Google のネットワーク経由でデータ転送を行う

データ転送では、Google Cloud VPC ネットワークとハイブリッド スポークを使用して、外部ネットワーク間の IPv4 接続を提供します。複数のオンプレミス ネットワークまたは他のクラウド ネットワーク間でデータを転送できます。

ハイブリッド スポークを作成するときに、そのスポークのデータ転送オプションを有効にできます。同じハブに接続されたハイブリッド スポークでデータ転送を有効にすると、各ルーター アプライアンス VM、Cloud VPN トンネル、Cloud Interconnect VLAN アタッチメントが学習した動的ルートが他の VM、トンネル、または同じハブに接続されたハイブリッド スポークに関連付けられている VLAN アタッチメントに再度アドバタイズされます。データ転送では、すべてのハイブリッド スポークは、単一の VPC ネットワーク内のルーター アプライアンス VM、Cloud VPN トンネル、または Cloud Interconnect VLAN アタッチメントを参照する必要があります。

たとえば、ニューヨーク、シドニー、東京にデータセンターがあるとします。サポートされているリソースを使用して各ネットワークを VPC ネットワークに接続すると、スポークを作成して各ネットワークを表すことができます。この設定が完了すると、Network Connectivity Center は 3 つすべてのサイト間のフルメッシュ接続を提供します。

次の図に示すように、Cloud VPN、Cloud Interconnect、ルーター アプライアンスなどの接続リソースに依存するスポークを作成できます。

この図には Cross-Cloud Interconnect が示されていませんが、Cross-Cloud Interconnect の VLAN アタッチメントも使用できます。

Google のネットワーク経由のデータ転送。
Google のネットワーク経由のデータ転送(クリックして拡大)

このユースケースに関するより詳しい内容については、サイト間データ転送の概要をご覧ください。

考慮事項

Network Connectivity Center を設定する前に、次のセクションを確認してください。

IP アドレス指定

Network Connectivity Center は、IPv4 アドレス指定をサポートしています。IPv6 はサポートしていません。次に例を示します。

  • スポークでサイト間データ転送が有効になっている場合、スポークに関連付けられたリソースは IPv4 トラフィックをサポートします。これらのスポークは IPv6 トラフィックを交換できません。これは、すべてのスポークタイプ(ルーター アプライアンス、VLAN アタッチメント、VPN スポーク)に適用されます。

  • サイトツークラウドのルーター アプライアンス スポークは、IPv4 トラフィックをサポートします。IPv6 トラフィックはサポートされません。

  • ルーター アプライアンス VM を作成する場合、VM のプライマリ内部 IPv4 アドレスは RFC 1918 アドレスである必要があります。

  • VPC スポークに IPv4 サブネットと IPv6 サブネットの両方が含まれている場合、IPv4 サブネットのみが交換されます。

ルーティング

動的ルートが他のタイプのルートと比較してどのように扱われるかについては、VPC ドキュメントの適用範囲と順序をご覧ください。

優先度の指定

すべてのハイブリッド スポーク リソースは Cloud Router を使用します。Cloud Router で使用されるパス選択モデルの詳細については、Cloud Router の概要の AS パスの先頭付加と AS パスの長さをご覧ください。

ASN

単一のスポークに関連付けられている Google 以外のすべてのピアリング ルーターでは、Cloud Router に接頭辞をアドバタイジングする際に同じ ASN を使用する必要があります。2 つのピアが異なる ASN または AS パスで同じ接頭辞をアドバタイズすると、その接頭辞に対して一方のピアの ASN パスと AS パスのみが再アドバタイズされます。スポークごとに異なる ASN を使用する必要があります。つまり、2 つの BGP セッションが異なるスポークに属している場合、異なる ASN が必要となります。

また、データ転送機能を使用している場合は、サイト間データ転送の ASN の要件で説明されているように ASN を割り当てる必要があります。

BGP セッション

BGP コミュニティ属性は、サポートされていません。

サイト間データ転送を使用する場合のルート アドバタイズの変更

Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルをハイブリッド スポークに追加すると、Network Connectivity Center は、サイト間のデータ転送オプションが有効になっているハブのハイブリッド スポークのいずれかに接続され、他の Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルの BGP セッションで学習した接頭辞を再度アドバタイズできるように、VLAN アタッチメントまたは Cloud VPN トンネルの対応する BGP セッションを更新します。

他のプロダクトのサポート

以降のセクションでは、Network Connectivity Center が他のネットワーキング プロダクトや機能と連携する仕組みについて説明します。

VPC スポークと VPC ネットワーク ピアリング

Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用する有効なサブネット IPv4 アドレス範囲の交換のみがサポートされます。プライベートで使用されるパブリック IPv4 アドレス、IPv6 サブネット範囲、静的ルートはサポートされません。

  • Network Connectivity Center の VPC スポークの詳細については、VPC スポークの概要をご覧ください。
  • VPC ネットワーク ピアリングを使用したルートの交換方法については、VPC ネットワーク ピアリングのドキュメントでルート交換のオプションをご覧ください。

Network Connectivity Center VPC スポークが静的ルートまたは動的ルートを交換するように設定されていない場合でも、スポーク VPC ネットワークは VPC ネットワーク ピアリングを使用して、別の VPC ネットワークから静的ルートと動的ルートをインポートできます。他の VPC ネットワークに、オンプレミス ネットワークに接続するネクストホップ Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルを持つ動的ルートがある場合、スポーク VPC ネットワークをオンプレミス ネットワークに接続できます。VPC ネットワーク ピアリング ドキュメントのトランジット ネットワークの例で説明されているように、この接続では、Cloud Router のカスタムルート アドバタイズVPC ネットワーク ピアリング ルート交換のオプションを使用します。

共有 VPC ネットワーク

共有 VPC ネットワークを使用する場合は、ホスト プロジェクトにハブを作成する必要があります。この制限はハイブリッド スポークにのみ適用されます。

networkconnectivity.googleapis.com/spokeAdmin ロールをサービス プロジェクトの管理者に割り当てることをおすすめします。このロールと他の Network Connectivity Center のロールの詳細については、ロールと権限をご覧ください。

レガシー ネットワーク

スポーク リソースをレガシー ネットワークの一部にはできません。

VPN トンネル

Classic VPN トンネルはサポートされていません。

データ移行

データ転送を使用する場合は、サイト間データ転送の概要の考慮事項セクションを確認してください。

サービスレベル契約

Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約(SLA)をご覧ください。

料金

料金については、Network Connectivity Center の料金をご覧ください。

次のステップ