Network Connectivity Center の概要

Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間にネットワーク接続を提供するオーケストレーション フレームワークです。Network Connectivity Center では、2 種類のスポークがサポートされています。

  • Virtual Private Cloud(VPC)スポーク
  • ハイブリッド スポーク。次のものから構成されています。
    • HA VPN トンネル
    • Cloud Interconnect VLAN アタッチメント
    • ルーター アプライアンス スポーク

Network Connectivity Center のハブは、VPC スポークまたはハイブリッド スポークのいずれかをサポートしていますが、両方はサポートしていません。

このような機能によって、次のことができます。

  • 複数の VPC ネットワークを相互に接続する。VPC ネットワークは、同じ Google Cloud 組織のプロジェクトまたは異なる組織に配置できます。
  • ルーター アプライアンス VM を使用して、外部ネットワークを Google Cloud VPC ネットワークに接続する。この手法は、サイトツークラウド接続と呼ばれます。
  • ルーター アプライアンス VM を使用して、VPC ネットワーク間の接続を管理する。
  • Google Cloud VPC ネットワークを広域ネットワーク(WAN)として使用して、Google Cloud の外部にあるネットワークに接続する。外部サイト間の接続を確立するには、Cloud VPN トンネル、Cloud Interconnect VLAN アタッチメント、ルーター アプライアンス VM を使用します。この機能は、サイト間データ転送と呼ばれます。

仕組み

ハブが単一の VPC ネットワーク内にあるハイブリッド スポークを使用する場合は、サイト間データ転送を構成して、ネクストホップがハイブリッド スポーク(Cloud Interconnect VLAN アタッチメントなど)である動的ルートが、VPC ネットワーク内の他のハイブリッド スポークの BGP セッションによってオンプレミス ネットワークにアドバタイズされるようにできます。ハイブリッド スポークを使用して 2 つの VPC ネットワークに接続し、各ネットワークに動的ルートを作成することもできます。

ハブが VPC スポークを使用する場合、VPC ネットワーク間でサブネット ルートを交換することで、ハブに接続されたすべての VPC ネットワーク間にメッシュ接続を構成できます。

スポーク

スポークは、ハブに接続されている 1 つ以上の Google Cloud ネットワーク リソースを表します。スポークを作成する際は、サポートされている 1 つ以上の接続リソース(バッキング リソースとも呼ばれます)に関連付ける必要があります。

スポークでは、次の Google Cloud リソースのいずれかをバッキング リソースとして使用できます。

リソース

該当するユースケース
VPC スポーク
  • 複数の VPC ネットワークの IPv4 サブネット範囲間の接続
ルーター アプライアンス
  • IPv4 サイトツークラウド接続(単一のスポークからリンクされているすべてのアプライアンスが同じ VPC ネットワーク内にある必要があります)
  • IPv4 サイト間データ転送(同じハブに接続されているすべてのスポークのバッキング リソースが同じ VPC ネットワークに配置されている必要があります)
  • VPC ネットワーク間の IPv4 接続
Cloud VPN(HA VPN)トンネル、
Cloud Interconnect VLAN アタッチメント
  • IPv4 サイト間データ転送(すべての Cloud VPN トンネル、VLAN アタッチメント、またはその両方が同じ VPC ネットワーク内にある必要があります)

VPC スポーク

VPC スポークでは、IPv4 サブネット ルートを交換するように、複数の VPC ネットワークをハブに接続できます。1 つのハブに接続された VPC スポークは、同じプロジェクトまたは別のプロジェクト(別の組織のプロジェクトを含む)の VPC ネットワークを参照できます。

VPC スポークの詳細については、VPC スポークの概要をご覧ください。

ハイブリッド スポーク

1 つのハイブリッド スポークを同じタイプの複数のリソースに関連付けることができます。たとえば、ハイブリッド スポークは 2 つ以上の HA VPN トンネルを参照できますが、この同じハイブリッド スポークはルーター アプライアンス VM または Cloud Interconnect VLAN アタッチメントを参照することはできません。

ハイブリッド スポークを使用したサイト間データ転送では、スポークが同じ VPC ネットワークに配置されている必要があります。詳細については、サイト間データ転送の概要をご覧ください。

VPC 接続によるルート交換

Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用するサブネット IPv4 アドレス範囲の交換がサポートされます。プライベートで使用されるパブリック IPv4 アドレスはサポートされません。スポーク VPC ネットワーク内の静的ルートと動的ルートは、ハブ内の他の VPC スポークと交換できません。

この制約のため、VPC ネットワークをオンプレミス ネットワークに接続する必要がある場合は、次のいずれかを行う必要があります。

  • スポーク VPC ネットワーク自体に Cloud VPN トンネルまたは Cloud Interconnect VLAN アタッチメントを作成する。
  • VPC ネットワーク ピアリングを使用して、スポーク VPC ネットワークを別の VPC ネットワークに接続し、VPC スポークと VPC ネットワーク ピアリングの説明に従ってピアリング接続を構成する。

ユースケース

以降のセクションでは、Network Connectivity Center の主なユースケースについて説明します。

Network Connectivity Center で異なる VPC ネットワークを接続する

2 つ以上の VPC スポークをハブに接続すると、Network Connectivity Center は、スポークによって表されるすべての VPC ネットワーク間の IPv4 サブネット接続を提供します。ハブを使用すると、大規模なメッシュ サブネット接続の管理が簡単になります。ハブに接続できる VPC ネットワークの数については、割り当てをご覧ください。

次の図は、2 つの VPC スポークを示しています。

スポークを VPC ネットワークに接続します。
スポークを VPC ネットワークに接続する(クリックして拡大)

ルーター アプライアンス VM を使用してネットワークを接続する

Network Connectivity Center では、次の 2 つの IPv4 接続シナリオでルーター アプライアンス VM を使用できます。

  • 動的ルートを使用して、VPC ネットワークをオンプレミスまたは他のクラウド プロバイダ ネットワークに接続する
  • 動的ルートを使用して 2 つの VPC ネットワークを相互に接続する

このオプションを使用すると、Cloud Router はネクストホップのルーター アプライアンス VM の BGP セッションを管理します。

外部ネットワークを Google Cloud に接続する

次の図は、ルーター アプライアンス VM とのハイブリッド スポークを使用して、2 つの VPC ネットワークを外部ネットワークに接続しています。Cloud Router VM には、VPC ネットワークごとに 1 つのネットワーク インターフェース(NIC)があります。

外部ネットワークを Google Cloud に接続する。
外部ネットワークを Google Cloud に接続する(クリックして拡大)

このユースケースの詳細については、サードパーティ アプライアンスを使用するサイトツークラウド トポロジをご覧ください。

VPC ネットワーク間の接続を管理する

次の図は、専用のファイアウォールまたはパケット検査ソフトウェアを実行しているルーター アプライアンス VM でハイブリッド スポークを使用し、2 つの VPC ネットワークに接続しています。

サードパーティのファイアウォールを使用する
サードパーティのファイアウォールを使用する(クリックして拡大)

詳細については、サードパーティ アプライアンスを使用する VPC 間のトポロジをご覧ください。

Google のネットワーク経由でデータ転送を行う

データ転送では、Google Cloud VPC ネットワークとハイブリッド スポークを使用して、外部ネットワーク間の IPv4 接続を提供します。複数のオンプレミス ネットワークまたは他のクラウド ネットワーク間でデータを転送できます。

ハイブリッド スポークを作成するときに、そのスポークのデータ転送オプションを有効にできます。同じハブに接続されたハイブリッド スポークでデータ転送を有効にすると、各ルーター アプライアンス VM、Cloud VPN トンネル、Cloud Interconnect VLAN アタッチメントが学習した動的ルートが他の VM、トンネル、または同じハブに接続されたハイブリッド スポークに関連付けられている VLAN アタッチメントに再度アドバタイズされます。データ転送では、すべてのハイブリッド スポークは、単一の VPC ネットワーク内のルーター アプライアンス VM、Cloud VPN トンネル、または Cloud Interconnect VLAN アタッチメントを参照する必要があります。

たとえば、ニューヨーク、シドニー、東京にデータセンターがあるとします。サポートされているリソースを使用して各ネットワークを VPC ネットワークに接続すると、スポークを作成して各ネットワークを表すことができます。この設定が完了すると、Network Connectivity Center は 3 つすべてのサイト間のフルメッシュ接続を提供します。

次の図に示すように、Cloud VPN、Cloud Interconnect、ルーター アプライアンスなどの接続リソースに依存するスポークを作成できます。

この図には Cross-Cloud Interconnect が示されていませんが、Cross-Cloud Interconnect の VLAN アタッチメントも使用できます。

Google のネットワーク経由のデータ転送
Google のネットワーク経由のデータ転送(クリックして拡大)

このユースケースに関するより詳しい内容ついては、サイト間データ転送の概要をご覧ください。

考慮事項

Network Connectivity Center を設定する前に、次のセクションを確認してください。

IP アドレス指定

Network Connectivity Center は、IPv4 アドレス指定をサポートしています。IPv6 はサポートしていません。次に例を示します。

  • スポークでサイト間データ転送が有効になっている場合、スポークに関連付けられたリソースは IPv4 トラフィックをサポートします。これらのスポークは IPv6 トラフィックを交換できません。これは、すべてのスポークタイプ(ルーター アプライアンス、VLAN アタッチメント、VPN スポーク)に適用されます。

  • サイトツークラウドのルーター アプライアンス スポークは、IPv4 トラフィックをサポートします。IPv6 トラフィックはサポートされません。

  • ルーター アプライアンス VM を作成する場合、VM のプライマリ内部 IPv4 アドレスは RFC 1918 アドレスである必要があります。

  • VPC スポークに IPv4 サブネットと IPv6 サブネットの両方が含まれている場合、IPv4 サブネットのみが交換されます。

ルーティング

Network Connectivity Center のハブによって組み込まれたルートは、動的ルートとして扱われます。

動的ルートが他のタイプのルートと比較してどのように扱われるかについては、VPC ドキュメントの適用範囲と順序をご覧ください。

優先度の指定

すべてのハイブリッド スポーク リソースは Cloud Router を使用します。Cloud Router で使用されるパス選択モデルの詳細については、Cloud Router の概要の AS パスの先頭付加と AS パスの長さをご覧ください。

ASN

単一のスポークに関連付けられている Google 以外のすべてのピアリング ルーターでは、Cloud Router に接頭辞をアドバタイジングする際に同じ ASN を使用する必要があります。2 つのピアが異なる ASN または AS パスで同じ接頭辞をアドバタイズすると、その接頭辞に対して一方のピアの ASN パスと AS パスのみが再アドバタイズされます。スポークごとに異なる ASN を使用する必要があります。つまり、2 つの BGP セッションが異なるスポークに属している場合、異なる ASN が必要となります。

また、データ転送機能を使用している場合は、サイト間データ転送の ASN の要件で説明されているように ASN を割り当てる必要があります。

BGP セッション

BGP コミュニティ属性は、サポートされていません。

サイト間データ転送を使用する場合のルート アドバタイズの変更

Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルをハイブリッド スポークに追加すると、Network Connectivity Center は、サイト間のデータ転送オプションが有効になっているハブのハイブリッド スポークのいずれかに接続され、他の Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルの BGP セッションで学習した接頭辞を再度アドバタイズできるように、VLAN アタッチメントまたは Cloud VPN トンネルの対応する BGP セッションを更新します。

サポートされているスポークタイプ

他のプロダクトのサポート

以降のセクションでは、Network Connectivity Center が他のネットワーキング プロダクトや機能と連携する仕組みについて説明します。

VPC スポークと VPC ネットワーク ピアリング

Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用する有効なサブネット IPv4 アドレス範囲の交換のみがサポートされます。プライベートで使用されるパブリック IPv4 アドレス、IPv6 サブネット範囲、静的ルートと動的ルートはサポートされません。

  • Network Connectivity Center の VPC スポークの詳細については、VPC スポークの概要をご覧ください。
  • VPC ネットワーク ピアリングを使用したルートの交換方法については、VPC ネットワーク ピアリングのドキュメントでルート交換のオプションをご覧ください。

Network Connectivity Center VPC のスポークでは、静的ルートまたは動的ルートの交換はサポートされていませんが、スポーク VPC ネットワークでは、VPC ネットワーク ピアリングを使用して別の VPC ネットワークから静的ルートと動的ルートをインポートできます。他の VPC ネットワークに、オンプレミス ネットワークに接続するネクストホップ Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルを持つ動的ルートがある場合、スポーク VPC ネットワークをオンプレミス ネットワークに接続できます。VPC ネットワーク ピアリング ドキュメントのトランジット ネットワークの例で説明されているように、この接続は、Cloud Router のカスタムルート アドバタイズVPC ネットワーク ピアリング ルート交換のオプションを使用して行います。

共有 VPC ネットワーク

共有 VPC ネットワークを使用する場合は、ホスト プロジェクトにハブを作成する必要があります。この制限はハイブリッド スポークにのみ適用されます。

networkconnectivity.googleapis.com/spokeAdmin ロールをサービス プロジェクトの管理者に割り当てることをおすすめします。このロールと他の Network Connectivity Center のロールの詳細については、ロールと権限をご覧ください。

レガシー ネットワーク

スポーク リソースをレガシー ネットワークの一部にはできません。

VPN トンネル

Classic VPN トンネルはサポートされていません。

データ移行

データ転送を使用する場合は、サイト間データ転送の概要の考慮事項セクションを確認してください。

サービスレベル契約

Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約(SLA)をご覧ください。

料金

料金については、Network Connectivity Center の料金をご覧ください。

次のステップ