プロデューサー VPC スポーク

このページでは、Network Connectivity Center のプロデューサー Virtual Private Cloud(VPC)スポークの概要について説明します。

はじめに

一部のサービス プロバイダでは、プライベート サービス アクセスで提供されるサービスなど、VPC ネットワークと VPC ネットワーク間の VPC ネットワーク ピアリング接続を使用してマネージド サービスにアクセスできます。このような場合、プロデューサー VPC ネットワークはプロデューサー所有のプロジェクトにあり、直接アクセスできません。

VPC ネットワーク ピアリングを介して別のプロジェクトのプロデューサー ネットワークからサービスを利用する VPC ネットワークがある場合、Network Connectivity Center のプロデューサー VPC スポークを使用して、他のネットワークからサービスにアクセスできるようにできます。

仕組み

プロデューサー VPC スポークを作成する場合は、次の情報を指定します。

  • プロデューサー ネットワークとピアリングされているコンシューマー ネットワークの既存の VPC スポーク。
  • ピアリング接続の名前。

次に、Network Connectivity Center は、その情報を使用してサービス プロデューサーの VPC ネットワークを特定し、対応するプロデューサー VPC スポークをプロジェクトのハブに追加します。

プロデューサー VPC スポークがハブの一部になると、そのサブネット ルートがエクスポートされ、そのハブ上の他のスポークがそのサービスにアクセスできるようになります。

構成の例

次の図の構成例には、次のものが含まれています。

  • ハブ上のプロデューサー VPC スポークであるサービス プロデューサー ネットワーク
  • ハブ上の VPC スポークであるピアリングされたコンシューマー ネットワーク
  • 追加のネットワーク(ネットワーク 3ネットワーク 4)。これらはハブ上の VPC スポークでもあります。

VPC スポークとしてハブに接続されているすべてのネットワークは、プロデューサー ネットワーク内のサービスにアクセスできます。

  • ピアリングされたコンシューマ ネットワークは、既存の VPC ネットワーク ピアリング接続を介してサービス プロデューサー ネットワークからエクスポートされたサブネット ルートを使用して、引き続きサービスにアクセスします。
  • ネットワーク 3 とネットワーク 4 は、Network Connectivity Center を介してプロデューサー ネットワーク内のサービスに同じ方法でアクセスします。サービス プロデューサー ネットワークのサブネット ルートはハブにエクスポートされ、ネットワーク 3 と 4 に関連付けられた VPC スポークにアドバタイズされます。
Network Connectivity Center プロデューサー VPC スポーク。
Network Connectivity Center プロデューサー VPC スポーク(クリックして拡大)

サポート対象のサービス

プロデューサー VPC スポークを使用するには、限定公開サービス アクセスを使用してサービスを使用する必要があります。つまり、VPC ネットワークとプロデューサー VPC ネットワーク間のピアリング接続の名前は servicenetworking-googleapis-com にする必要があります。

プライベート サービス アクセスで使用されるほとんどの Google サービスは、Cloud SQLFilestore などのプロデューサー VPC スポークで使用できます。ただし、プロデューサー VPC スポークはサブネット ルートのみをエクスポートするため、動的ルートに依存する Google サービスはサポートされていません。

サービス プロデューサーがサブネット ルートのみをエクスポートしているかどうかを確認するには、ピアリング ルートを一覧表示し、関連付けられたピアリング接続にピアリング サブネットタイプのルートのみがあることを確認します。

プロデューサー VPC スポークはサードパーティ サービスをサポートしていません。

考慮事項

以降のセクションでは、プロデューサー VPC スポークを使用する際の考慮事項について説明します。

VPC スポークとの共有プロパティ

プロデューサー VPC スポークは VPC スポークの一種です。つまり、VPC スポークの概要で説明されている VPC スポークのプロパティのほとんどを継承します。たとえば、どちらのスポーク タイプも次のことを行います。

  • VPC ネットワークを Network Connectivity Center ハブに接続します。
  • サブネット ルートを Network Connectivity Center ハブにエクスポートします。このハブは、他の VPC スポークにルートをアドバタイズし、VPC ネットワークをルーティングします。これには、プロデューサー VPC スポークに追加された新しいサブネットも含まれます。つまり、他のスポークはプロデューサー VPC スポークから新しくプロビジョニングされたサービスにアクセスできます。
  • Network Connectivity Center ハブ ルーティング テーブルから動的ルートをインポートし、ハイブリッド スポークへの接続を提供します。ハブ トポロジも動的ルート交換をサポートしている必要があります。
  • エクスポート フィルタを使用して、エクスポートされるサブネットを制限します。

  • 次のような割り当てと上限を同じにします。

    • ハブあたりのアクティブな VPC スポークの上限は 250 です。
    • ハブ ルート テーブルあたりのサブネット ルートの数の割り当て。

    ピアリングされるプロデューサー VPC サブネットごとに十分なルート割り当てがない場合は、プロデューサー VPC スポークを追加できません。この問題を解決するには、エクスポート フィルタを適用して、エクスポートされるサブネットを制限します。

VPC スポークの制限事項は、プロデューサー VPC スポークにも適用されます。

プロデューサー VPC スポークに固有のプロパティ

プロデューサー VPC スポークには、次の独自のプロパティと要件があります。

プロパティ 説明
依存関係

プロデューサー VPC スポークを作成するには、次の既存のリソースと接続が必要です。

  • VPC ネットワーク ピアリングを介してプロデューサー ネットワークからサポートされているサービスを利用する VPC ネットワーク。
  • コンシューマー VPC ネットワークは、ハブ上の VPC スポークです。
作成手順

プロデューサー VPC スポークを作成するときに、サービス プロデューサー ネットワークに直接アクセスすることはありません。代わりに、次のように入力します。

  • プロデューサー ネットワークとピアリングされているコンシューマー ネットワークの VPC スポーク。
  • ピアリング接続の名前。

ハブがスター トポロジ用に構成されている場合、プロデューサー VPC スポークと対応する VPC スポークは同じグループに属している必要があります。
リソースのロケーション

プロデューサー VPC スポークとそのバックエンド VPC ネットワークが異なるプロジェクトにある場合:

  • サービス プロデューサーの VPC ネットワークが、アクセス権のないプロデューサー所有のプロジェクト内にある。
  • プロデューサー VPC スポーク リソースはプロジェクト内に作成されます。これは、ピアリングされたコンシューマ ネットワークの VPC スポークと同じプロジェクトです。
接続例外

プロデューサー VPC スポークを作成しても、次のリソース間の Network Connectivity Center を介した接続は確立されません。

  • プロデューサー VPC スポークと他のプロデューサー VPC スポーク。
  • プロデューサー VPC スポークと、作成時に入力したピアリングされたコンシューマ ネットワークの VPC スポーク。代わりに、これらの 2 つのネットワークは、既存の VPC ネットワーク ピアリング接続を介して接続されたままになります。

割り振られた IP 範囲との重複を回避する

プライベート サービス アクセスで提供されるサポートされているサービスにプロデューサー VPC スポークを作成する場合は、次の点を考慮してください。

  • Network Connectivity Center は、割り振られた IP 範囲との重複をチェックしません。ハブ上の VPC スポークの IP アドレス範囲が、限定公開サービス アクセス用に構成された割り振られた IP 範囲と重複しないようにします。
  • VPC スポークが割り振られた IP 範囲と重複している場合、プライベート サービス アクセスで必要なときに新しいリソースを作成できず、エラーが発生することがあります。この問題を解決するには、割り振られた IP 範囲を拡張または変更します。

詳細については、Service に割り振られた IP アドレス範囲をご覧ください。

次のステップ