ネットワーク接続センターの概要

ネットワーク接続センターは、Google Cloud でのネットワーク接続管理のためのハブアンドスポーク モデルです。ハブリソースは、一元化されたシンプルな接続管理モデルを経由することで運用の複雑さを軽減します。ハブは Google のネットワークとペア設定されており、オンデマンドでの信頼性の高い接続が実現されます。

ハブとスポークの定義については、このドキュメントに後述のハブとスポークのセクションをご覧ください。

ネットワーク接続センターでは、データ転送のネットワークとして Google のネットワークを使用することで、オンプレミス ネットワーク同士を接続できます。オンプレミス ネットワークは、オンプレミスのデータセンターと、支社またはリモート オフィスで構成できます。

オンプレミス ネットワークは、サポート対象の Google Cloud スポーク リソースが接続されたスポークを使用することで、ネットワーク接続センターハブに接続します。たとえば、スポークには、オンプレミス ネットワークの近くにある Cloud VPN ゲートウェイへの HA VPN トンネルを含めることができます。

次の図は、ネットワーク接続センターハブに接続された、さまざまな種類のスポーク リソースを示しています。ハブは VPC ネットワークに関連付けられています。

ネットワーク接続センターのコンセプト
ネットワーク接続センターのコンセプト(クリックして拡大)

Google のネットワーク経由のデータ転送

ネットワーク接続センターでは、Google のネットワークを広域ネットワーク(WAN)として使用することで、Google Cloud 外部のさまざまなエンタープライズ サイトの接続をサポートしています。このような種類のトラフィックは、データ転送トラフィックと呼ばれます。

外部サイトは、支店ネットワーク、プライベート データセンター、他のクラウド プロバイダのワークロードなどで構成されます。これらのサイトは、Cloud VPN、Dedicated Interconnect、Partner Interconnect などの既存のクラウド ハイブリッド接続リソースを使用して Network Connectivity Center ハブに接続するか、Router アプライアンス パートナーを選択します。

Network Connectivity Center を使用すると、世界中を網羅する信頼性の高い Google のネットワークをすぐに利用できます。この機能により、企業は Google が持つ一連の高い信頼性とトラフィック エンジニアリングの実績からのメリットを享受できます。

Google のネットワーク経由のデータ転送
Google のネットワーク経由のデータ転送(クリックして拡大)

仕組み

次のセクションでは、ネットワーク接続センターの仕組みとその構成要素について説明します。

ハブとスポーク

ネットワーク接続センターは、ハブリソースとスポーク リソースで構成されます。ハブリソースやスポーク リソースは、1 つ以上のラベルを付けて識別できます。

ハブ

ハブは、複数の接続されたスポークを支えるグローバルな Google Cloud リソースです。ハブによって、スポーク同士を接続する簡単な手段が得られ、スポーク間のデータ転送ができるようになります。また、接続されたスポークを通じて、異なるオンプレミス ロケーションと Virtual Private Cloud(VPC)ネットワーク間のデータ転送が実現されます。

ハブリソースは、一元化されたシンプルな接続管理モデルを使用することで運用の複雑さを軽減します。ハブは、Google のネットワークと併用され、信頼性の高い接続手段をオンデマンドで提供します。

スポーク

スポークは、ハブに接続された Google Cloud ネットワーク リソースです。これはハブの一部であり、先にハブが作成されていなければ作成できません。スポークによって、リモート ネットワークのアドレス ブロックにトラフィックが転送され、複数のリモート ネットワークの接続が可能になります。

1 つのスポークに複数のリソースタイプを関連付けることはできません。リソースタイプについては、次のセクションをご覧ください。

スポークのリソースタイプ

Network Connectivity Center では、次の Google Cloud リソースのスポークへの接続をサポートしています。1 つのスポークで使用できるリソースタイプは 1 つだけですが、同じリソースタイプの複数のインスタンスを同じスポークに接続できます。

  • HA VPN トンネル
  • VLAN アタッチメント
  • お客様または特定のパートナーが Google Cloud 内にデプロイしているルーター アプライアンス インスタンス

ルーター アプライアンス インスタンスを Cloud Router の BGP ピアとして構成します。ルーター アプライアンス インスタンスを作成するには、Cloud Router への BGP ピアリングを有効にし、選択したイメージ(サードパーティのネットワーク仮想アプライアンスなど)を実行するように Compute Engine VM を構成します。

スポーク リソースの高可用性(必須)

高可用性に関する要件はリソースの種類ごとに異なります。次のセクションの情報を参考にして、使用するリソースタイプを構成してください。

Cloud Interconnect の高可用性

Network Connectivity Center が Cloud Interconnect リソースで正しく動作するには、複数の Interconnect 接続を個別のエッジ アベイラビリティ ドメイン内に構成する必要があります。

Cloud Interconnect リソースを高可用性構成にする方法については、次のドキュメントをご覧ください。

Cloud VPN の高可用性

Cloud VPN リソースで Network Connectivity Center を正常に機能させるには、複数の HA VPN ゲートウェイ インターフェースとトンネルを構成して 99.99% の SLA を達成する必要があります。詳細については、Cloud VPN の概要をご覧ください。

Router アプライアンスの高可用性

スポークに接続されているルーター アプライアンス インスタンスで Network Connectivity Center を正常に機能させるには、以下を行う必要があります。

すべてのルーター アプライアンス インスタンスを 1 つのスポークに配置する場合は、Equal-Cost Multipath(ECMP)を使用して、2 つのルーター アプライアンス インスタンスから同じプレフィックス セットをアドバタイズします。スポークごとに異なるプレフィックスをアドバタイズするには、各ルーター アプライアンス インスタンスを別のスポークに追加します。

1 つのスポークにクロスリージョン構成を作成することはできません。

ECMP を使用すると、同じプレフィックスがアドバタイズされ、2 つ以上のルーター アプライアンス インスタンスからの MED パスと AS パスが同じになります。他の Google Cloud リソースと同様に、VPC ネットワークでのルート選択に関するガイダンスがルーター アプライアンス インスタンスに適用されます。

高可用性のルーター アプライアンス インスタンスを構成する方法については、99.9% の可用性の要件をご覧ください。

ルート交換

ネットワーク接続センターにより、同じハブに接続された他のすべてのスポークに対して 1 つのスポークが学習したすべてのルートを伝播することで、接続された各スポーク間でフルメッシュ接続が実現されます。

ネットワーク接続センターのトポロジ。
ネットワーク接続センターのトポロジ(クリックして拡大)

上のトポロジでは、Spoke ABC が同じハブに接続されており、Cloud Router を使用してハブに接頭辞がアドバタイズされています。

ハブとスポークを介してリージョンをまたぐサイト間トラフィックを有効にするには、ハブやスポークと関連付けられている VPC ネットワークでグローバル ルーティングを有効にする必要があります。すべてのスポークが同一リージョンにある場合は、グローバル ルーティングを有効にしなくてもサイト間トラフィックが機能するため、グローバル ルーティングは必要ありません。

次の表は、ハブが他のスポークに接頭辞のアドバタイズを伝播する方法を示しています。

Spoke A からのルート Spoke B からのルート Spoke C からのルート
Spoke A にエクスポートされるルート 10.3.0.0/16 には、Spoke B からアクセスできます。 10.4.0.0/16 には、Spoke C からアクセスできます。
Spoke B にエクスポートされるルート 10.2.0.0/16 には、Spoke A からアクセスできます。 10.4.0.0/16 には、Spoke C からアクセスできます。
Spoke C にエクスポートされるルート 10.2.0.0/16 には、Spoke A からアクセスできます。 10.3.0.0/16 には、Spoke B からアクセスできます。

ルートの競合

ルートの順序を決定するときは、ネットワーク接続センターハブによってインストールされたルートが動的ルートとして扱われるかどうかを考慮してください。ルートの競合を解決する方法の詳細については、VPC ドキュメントのルートの適用範囲と順序をご覧ください。

受け取ったアドバタイズの最適なパスを選択する場合、Google Cloud は MED を使用して優先度を決定します。詳細については、ルーティングの考慮事項セクションをご覧ください。

既存のネットワーク構成との互換性

ネットワーク接続センターはスポーク間の通信にのみ影響を与えます。Cloud VPN や Cloud Interconnect と、VPC ネットワークとの間の通信には影響を与えません。

  • 同じ VPC ネットワーク内のすべての VM は、Cloud VPN トンネルや Interconnect 接続がアドバタイズするルートを引き続き学習します。
  • 同じ VPC ネットワーク内のすべてのサブネット ルートは、その VPC ネットワーク内のすべての Cloud VPN トンネルと Interconnect 接続に向けて引き続きアドバタイズされます。
  • 前述のルートの伝播は、VPC ネットワーク ピアリングを使用するネットワーク間でも引き続き発生します。例外については、ルーティングに関する考慮事項をご覧ください。

また、ネットワーク接続センターは、VPC ネットワーク ピアリングを使用するネットワーク間でルートがアドバタイズされる方法には影響を与えません。Cloud VPN トンネルや VLAN アタッチメントからアドバタイズされたすべてのルートは、ピアリングされたネットワークに引き続きエクスポートできます。ピアリングされたネットワークからのすべてのサブネット ルートは、Cloud VPN トンネルまたは VLAN アタッチメント経由でオンプレミス ネットワークにアドバタイズされます。

考慮事項

このセクションでは、ネットワーク接続センターを設定する前に確認する一般的な考慮事項、ハブに接続されたリソース、ハブとスポークを介したルーティングに適用される考慮事項について説明します。

ネットワーク接続センターの割り当てと上限については、割り当てと上限をご覧ください。

ハブ、スポーク、VPC ネットワーク

ハブは、最初のスポークが追加されると、そのスポークのプロジェクトとネットワークに関連付けられます。1 つの VPC ネットワークには、ハブのインスタンスは 1 つのみ存在できます。ハブに関連付けられている VPC ネットワークをレガシー VPC ネットワークにすることはできません。

Cloud VPN トンネルや VLAN アタッチメントなどのスポークに接続されるリソースはすべて、ハブと同じ VPC ネットワークに属している必要があります。

共有 VPC ネットワークでは、ハブとスポークは別々にサポートされます。

また、ハブとスポークには、次の考慮事項も適用されます。

  • 複数のリージョンのスポーク間でルートを交換する場合は、スポーク リソースが存在する VPC ネットワークで動的ルーティング モードglobal に設定する必要があります。
  • スポークへのアタッチメントには、HA VPN トンネルのみがサポートされます。Classic VPN トンネルはサポートされていません。
  • ネットワーク接続センター スポークに接続する HA VPN トンネルを作成する場合、同じ Google Cloud プロジェクトの複数のリージョンで Google Cloud 間をつなぐ HA VPN ゲートウェイを作成することはできません。これは HA VPN の制限で、ネットワーク接続センターの制限ではありません。
  • サイト間のデータ転送トラフィックはベスト エフォートであり、帯域幅は保証されません。
  • ネットワーク接続センターは、サポート対象のロケーションでのみ利用可能です(一部例外があります)。

VPC ネットワーク ピアリングのサポート

VPC ネットワーク ピアリングを使用すると、ハブに関連付けられているネットワークと、複数の他の VPC ネットワークをピアリングできます。ただし、ハブ ネットワークとピアリングされるネットワークが、ハブに接続されたオンプレミス ネットワークとの間でトラフィックを送受信する場合は、次のことも行う必要があります。

  1. カスタム ルート アドバタイズを使用して、ハブに接続されたオンプレミス ネットワークにピア VPC サブネットを通知する。
  2. カスタムルートのインポートとエクスポートを有効にする。これにより、ハブに接続されたオンプレミス ネットワークからのルートが、ハブが関連付けられている VPC ネットワークとピアリングされた VPC ネットワーク内のサブネットから見えるようになります。

共有 VPC ネットワークのサポート

共有 VPC ネットワークを使用する場合は、ホスト プロジェクトにハブを作成する必要があります。

サービス プロジェクトの管理者に割り当て可能な networkconnectivity.googleapis.com/spokeAdmin ロールについては、アクセス制御をご覧ください。

ルーティングに関する考慮事項

  • ルーティング接頭辞は、ハブの内部または外部のどちらかに限ってアドバタイズする必要があります。たとえば、2 つの Cloud VPN トンネル(ハブの内部と外部)から同じ接頭辞が通知された場合、ハブの外部のトンネルが最適なパスとして選択されると、データ転送は行われない可能性があります。
  • AS-パスは、単一の Cloud Router タスク内で最適なパスを選択するために使用されます。それ以外の場合は、MED のみがルートの優先順位付けに使用されます。詳細については、Cloud Router の概要の AS-パスセクションをご覧ください。
  • スポーク リソースの ASN 要件で説明されているように、ASN を割り当てる必要があります。

ルート アドバタイズ

  • 同じ優先度を持つ同じサブネットの複数のスポークからのルート アドバタイズが重複する場合、Cloud Router は ECMP を使用してすべてのネクストホップにトラフィックを分散します。この場合、Interconnect 接続は、ルーター アプライアンス インスタンスとして機能する VM よりも多くのトラフィックを受信する Cloud VPN 接続よりも、多くのトラフィックを受信します。
  • 既知の問題。HA VPN トンネルなどのスポークに関係するリソースや、スポーク以外の同様のリソースからのルート アドバタイズが重複する場合、スポークに関係するトラフィックでは、使用可能なすべてのネクストホップに対して ECMP が使用されることがあります。これは、ネクストホップがハブまたはスポークに関係していない場合でも発生します。この動作は、Network Connectivity Center の今後のバージョンで修正される予定です。
  • 冗長な Interconnect 接続の 1 つがサポートされていないロケーションの場合にルート アドバタイズを構成する方法の例については、Network Connectivity Center の最適なルート アドバタイズをご覧ください。

BGP セッション

  • HA VPN トンネルの BGP セッションでは、同じ IP アドレス範囲がアドバタイズされます。
  • BGP 属性のサポートは次のとおりです。
    • AS_PATH 属性と MED 属性は、ハイブリッド アタッチメントに伝播できます。
    • BGP コミュニティ属性は、サポートされていません。

次のステップ