はじめに
一部のサービス プロバイダでは、プロバイダの VPC ネットワークとユーザーの VPC ネットワーク間の VPC ネットワーク ピアリング接続を使用して、プライベート サービス アクセス経由で提供されるサービスなどのマネージド サービスにユーザーがアクセスできます。このような場合、プロデューサー VPC ネットワークはプロデューサーが所有するプロジェクト内にあり、ユーザーが直接アクセスすることはできません。
ユーザーの VPC ネットワークで VPC ネットワーク ピアリングを介して別のプロジェクト内のプロデューサー ネットワークからサービスを利用する場合は、Network Connectivity Center のプロデューサー VPC スポークを使用して、そのサービスを他のネットワークからアクセス可能にすることができます。
仕組み
プロデューサー VPC スポークを作成する際は、次の情報を指定します。
- プロデューサー ネットワークとピアリングされているコンシューマー ネットワークの既存の VPC スポーク。
- ピアリング接続の名前。
Network Connectivity Center はこの情報によってサービス プロデューサーの VPC ネットワークを識別し、対応するプロデューサー VPC スポークをプロジェクト内のハブに追加します。
プロデューサー VPC スポークがハブの一部になった後、そのサブネット ルートがエクスポートされ、ハブ上の他のスポークがプロデューサー VPC スポークのサービスにアクセスできるようになります。
構成の例
次の図の構成例には、以下のものが含まれています。
- ハブ上のプロデューサー VPC スポークである、サービス プロデューサー ネットワーク。
- ハブ上の VPC スポークである、ピアリングされたコンシューマー ネットワーク。
- 追加のネットワーク(ネットワーク 3 とネットワーク 4)。これらもハブ上の VPC スポークです。
VPC スポークとしてハブに接続されているすべてのネットワークは、プロデューサー ネットワーク内のサービスにアクセスできます。
- ピアリングされたコンシューマー ネットワークは、既存の VPC ネットワーク ピアリング接続を介してサービス プロデューサー ネットワークからエクスポートされたサブネット ルートを使用して、引き続きサービスにアクセスします。
- ネットワーク 3 とネットワーク 4 は、Network Connectivity Center を介して、同様にプロデューサー ネットワーク内のサービスにアクセスできます。サービス プロデューサー ネットワークのサブネット ルートはハブにエクスポートされ、ネットワーク 3 と 4 に関連付けられた VPC スポークにアドバタイズされます。
サポート対象のサービス
プロデューサー VPC スポークを使用するには、プライベート サービス アクセス経由でサービスを使用する必要があります。つまり、ユーザーの VPC ネットワークとプロデューサー VPC ネットワークの間のピアリング接続の名前が servicenetworking-googleapis-com である必要があります。
プロデューサー VPC スポークでは、プライベート サービス アクセス経由で使用されるほとんどの Google サービス(Cloud SQL や Filestore など)を使用できます。ただし、プロデューサー VPC スポークからはサブネット ルートのみがエクスポートされるため、動的ルートに依存する Google サービスは使用できません。
サービス プロデューサーからサブネット ルートのみがエクスポートされることを確認するには、ピアリング ルートを一覧表示してください。関連付けられたピアリング接続に、ピアリング サブネット タイプのルートだけが含まれているはずです。
プロデューサー VPC スポークではサードパーティ サービスを利用できません。
考慮事項
以降のセクションでは、プロデューサー VPC スポークを使用する際の考慮事項について説明します。
他の VPC スポークと共通する特性
プロデューサー VPC スポークは VPC スポークの一種です。つまり、VPC スポークの概要で説明されている VPC スポークの特性のほとんどを継承します。たとえば、どちらのタイプのスポークも次のことを行います。
- VPC ネットワークを Network Connectivity Center ハブに接続します。
- サブネット ルートを Network Connectivity Center ハブにエクスポートします。このルートはハブから他の VPC スポークとルーティング VPC ネットワークにアドバタイズされます。これにはプロデューサー VPC スポークに追加された新しいサブネットも含まれるため、他のスポークは新しくプロビジョニングされたサービスにプロデューサー VPC スポークからアクセスできます。
- Network Connectivity Center ハブのルーティング テーブルから動的ルートをインポートし、ハイブリッド スポークへの接続を実現します。その場合、ハブトポロジも動的ルート交換に対応している必要があります。
- エクスポート フィルタを使用して、エクスポートされるサブネットを制限します。
次のように、同じ割り当てと上限を使用します。
- ハブあたりのアクティブな VPC スポークの上限は 250 です。
- ハブ ルートテーブルあたりのサブネット ルート数の割り当て。
ピアリングされるプロデューサー VPC サブネットごとに十分なルート割り当てがない場合は、プロデューサー VPC スポークを追加できません。この問題を解決するには、エクスポート フィルタを適用して、エクスポートするサブネットを制限します。
VPC スポークの制限事項は、プロデューサー VPC スポークにも適用されます。
プロデューサー VPC スポークに固有の特性
プロデューサー VPC スポークには次のような固有の特性と要件があります。
| 特性 | 説明 |
|---|---|
| 依存関係 |
プロデューサー VPC スポークを作成するには、次のリソースと接続が存在している必要があります。
|
| 作成手順 |
プロデューサー VPC スポークを作成する際、サービス プロデューサー ネットワークを直接入力することはありません。代わりに次のものを入力します。
ハブがスタートポロジ用に構成されている場合、プロデューサー VPC スポークと、対応する VPC スポークが同じグループに属している必要があります。 |
| リソースのロケーション |
プロデューサー VPC スポークとバッキング VPC ネットワークは、別々のプロジェクト内にあります。
|
| 接続性の例外 |
Network Connectivity Center でプロデューサー VPC スポークを作成する際、次のリソース間の接続は確立されません。
|
割り振り済み IP 範囲との重複を回避する
プライベート サービス アクセス経由で提供されるサポート対象サービス用にプロデューサー VPC スポークを作成する場合は、次の点を考慮してください。
- Network Connectivity Center では、割り振り済み IP 範囲との重複はチェックされません。ハブ上の VPC スポークの IP アドレス範囲が、プライベート サービス アクセス用に構成された割り振り済み IP 範囲と重複しないことを確認してください。
- VPC スポークが割り振り済み IP 範囲と重複している場合、プライベート サービス アクセスでリソースを必要時に新規作成できず、エラーが発生することがあります。この問題を解決するには、割り振り済み IP 範囲を拡張または変更してください。
詳細については、サービスに割り振られた IP アドレス範囲をご覧ください。