VPC スポーク
Network Connectivity Center は、VPC スポークのサポートを使用して VPC 間の大規模なネットワーク接続を提供します。VPC スポークを作成することで、VPC スポークと一元化された接続管理モデルを使用できるようになり、個々のペア単位の VPC ネットワーク ピアリング接続を管理する運営上の複雑さが軽減されます。VPC スポークは、Network Connectivity Center ハブ上の他のスポーク VPC からすべてのサブネット ルートをエクスポートおよびインポートできます。これにより、これらの VPC ネットワークに存在するすべてのワークロード間で完全な接続が保証されます。VPC 間のネットワーク トラフィックは Google Cloud ネットワーク内に留まり、インターネットを経由しないため、プライバシーとセキュリティが確保されます。
VPC スポークは、Network Connectivity Center ハブと同じプロジェクト / 組織に配置することも、別のプロジェクトと組織に配置することもできます。VPC スポークは一度に 1 つのハブに接続できます。
VPC スポークの作成方法については、VPC スポークを作成するをご覧ください。
VPC ネットワーク ピアリングとの比較
VPC スポークは、ハイブリッド スポークを使用して IPv4 サブネット ルート接続と IPv4 動的ルート接続を提供することで、中規模から大規模の企業の要件をサポートします。
VPC ネットワークは、ピアリングされた VPC ネットワーク自体が VPC スポークでない場合、Network Connectivity Center の VPC スポークであり、VPC ネットワーク ピアリングを使用して別の VPC ネットワークに接続することもできます。
Network Connectivity Center VPC スポークと VPC ネットワーク ピアリングを使用する場合は、次の点に注意してください。
VPC スポークのピアリング サブネット ルートはハブにエクスポートされません。
Network Connectivity Center は、VPC ネットワーク ピアリングを使用して 1 つの VPC スポークに接続されている VPC ネットワーク内のリソースへの接続を提供しません。ただし、次の例外があります。
- プライベート サービス アクセス用のピアリングされたサービス プロデューサー VPC ネットワークは、プロデューサー VPC スポーク(プレビュー)として追加できます。
| 特徴 | VPC ネットワーク ピアリング | VPC スポーク |
|---|---|---|
| VPC ネットワーク | ||
| サブネット範囲(サブネット ルート) | ||
| 静的ルートと動的ルート |
ハブ ルート テーブルあたりのリージョンあたりの一意の動的ルート接頭辞。 静的ルートの交換はサポートされていません。 |
|
| エクスポート フィルタ |
特定のフィルタはサポートされていません。VPC ネットワーク ピアリングのドキュメントでルート交換オプションをご覧ください。 |
VPC スポークごとに最大 16 個の CIDR 範囲がサポートされます。 |
| Inter-VPC NAT |
サポート対象外 |
サポート対象 |
| Private Service Connect 接続の伝播 |
サポート対象外 |
サポート対象(プレビュー) |
| 他の VPC ネットワークからのプロデューサー VPC スポーク接続 |
サポート対象外 |
サポート対象(プレビュー) |
| IP アドレス指定 |
内部 IPv4 アドレス(プライベート IPv4 アドレスとプライベートで使用されるパブリック IPv4 アドレスを含む)。有効な IPv4 範囲をご覧ください。 内部 IPv6 アドレスと外部 IPv6 アドレス。 |
プライベート内部 IPv4 アドレスのみ(プライベートで使用されるパブリック IPv4 アドレスを除く)。有効な IPv4 範囲をご覧ください。 内部 IPv6 アドレスと外部 IPv6 アドレス(プレビュー)。 |
| IP アドレス ファミリー |
サポートされている構成:
|
サポートされている構成:
|
| パフォーマンスとスループット(他の VPC 接続メカニズムと比較した場合) |
最小レイテンシ、最大スループット(VM 間で同等)。 |
最小レイテンシ、最大スループット(VM 間で同等)。 |
ハブとは異なるプロジェクトでの VPC スポーク
Network Connectivity Center を使用すると、VPC スポークとして表される VPC ネットワークを、別の組織のプロジェクトなど、別のプロジェクトの単一のハブに接続できます。これにより、複数のプロジェクトや組織にまたがる大規模な VPC ネットワークに接続できます。
ユーザーは次のいずれかのタイプになります。
- 1 つのプロジェクトのハブを所有するハブ管理者
- 別のプロジェクトの VPC ネットワークをスポークとしてハブに追加したい VPC ネットワーク スポークの管理者またはネットワーク管理者。
ハブ管理者は、Identity and Access Management(IAM)権限を使用して、ハブに関連付けられた別のプロジェクトで VPC スポークを作成できるユーザーを制御します。VPC ネットワーク スポーク管理者は、ハブと異なるプロジェクトでスポークを作成します。これらのスポークは、作成時にはアクティブになりません。ハブ管理者は、それらを確認して、スポークを承認するか拒否するかを選択できます。ハブ管理者がスポークを承認すると、スポークがアクティブになります。
Network Connectivity Center は、ハブと同じプロジェクトで作成されたスポークを自動的に承認し来ます。
ハブと異なるプロジェクトで VPC スポークを使用するハブの管理方法については、ハブ管理の概要をご覧ください。スポーク管理者の詳細については、スポーク管理の概要をご覧ください。
エクスポート フィルタを使用した VPC 接続
Network Connectivity Center を使用すると、すべてのスポーク VPC 接続をスポーク VPC 内のサブネットワークのサブセットに限定できます。接続は次のように制限できます。
- IPv4 サブネット範囲の場合:
- スポークは、すべての IPv4 サブネット範囲をアドバタイズするか、IPv4 サブネット範囲をアドバタイズしないように構成できます。
- アドバタイズされないように IPv4 アドレス範囲を指定し、VPC ネットワークからアドバタイズできる CIDR 範囲のリストを設定できます。または、許可された CIDR 範囲のリストのみを指定して、許可された範囲を除くすべての範囲をブロックすることもできます。
- IPv6 サブネット範囲の場合(プレビュー):
- スポークは、すべての IPv6 サブネット範囲をアドバタイズするか、IPv6 サブネット範囲をアドバタイズしないように構成できます。
エクスポート フィルタを使用して、IPv4 サブネット範囲のみ、IPv6 サブネット範囲のみ、または IPv4 サブネット範囲と IPv6 サブネット範囲の両方を交換するように VPC スポークを構成できます。VPC ネットワークにサブネット スタックタイプが混在しているスポークについて考えてみましょう。IPv6 サブネット範囲のみをエクスポートするようにスポークを構成すると、デュアルスタック サブネットと IPv6 専用サブネットの IPv6 範囲は交換されますが、IPv4 専用サブネットとデュアルスタック サブネットの IPv4 サブネット範囲は交換されません。
エクスポート範囲を除外する
Google Cloud CLI の --exclude-export-ranges フラグまたは API の excludeExportRanges フィールドを使用して、IPv4 アドレス範囲のアドバタイズを防ぐことができます。指定された範囲に一致する IPv4 アドレス範囲は、ハブへのエクスポートから除外されます。このフィルタは、VPC ネットワーク内でプライベートにする必要のあるサブネットが存在する場合や、ハブ ルート テーブル内の他のサブネットと重複する可能性がある場合に便利です。
エクスポート範囲を含める
VPC スポークからアドバタイズできる IP アドレス範囲を設定するには、--include-export-ranges フラグまたは API の includeExportRanges フィールドを使用します。指定できる項目は次のとおりです。
- すべての IPv4 サブネット範囲をアドバタイズするには、
ALL_PRIVATE_IPV4_RANGESを指定します。 - 特定の IPv4 サブネット範囲のみをアドバタイズするには、CIDR 範囲のリストを指定します。
- すべての IPv6 サブネット範囲をアドバタイズするには、
ALL_IPV6_RANGESを指定します。
IPv4 アドレス範囲の場合は、除外エクスポート フィルタとともに含めるエクスポート フィルタを使用すると、より正確な接続を確立できます。このフィルタリングにより、特定のサブネット範囲を VPC ネットワークからアドバタイズできるかどうかが決まります。
考慮事項
エクスポート範囲の除外フィルタと含めるフィルタを使用する場合は、次の点を考慮してください。
含める範囲は互いに排他的である必要があります。つまり、含める範囲が重複してはなりません。たとえば、次の 3 つの IP アドレス範囲があるとします。
Range 1:10.100.64.0/18Range 2:10.100.250.0/21Range 3:10.100.100.0/22Range 1とrange 2は重複しないため、有効な範囲です。ただし、range 3はrange 1の下にあり、重複する可能性があるため、range 3は無効です。Network Connectivity Center には、ネットワーク構成ポリシーで使用できる除外エクスポート フィルタがすでにあるため、除外エクスポート フィルタと含めるエクスポート フィルタの両方が、有効なネットワーク構成の CIDR 範囲に影響します。含めるエクスポート フィルタと除外するエクスポート フィルタの両方を使用する場合、含める IP アドレス範囲は除外する IP アドレス範囲のサブセットである必要があります。
デフォルトでは、すべての VPC 接続ポリシーに
0.0.0.0/0の CIDR 範囲が含まれます。つまり、VPC スポークの作成時に包含フィルタを指定しない場合、Network Connectivity Center は、有効な IPv4 範囲で定義されているすべての有効なプライベート IPv4 アドレスにデフォルトの包含範囲を設定します。含める範囲を絞り込むには、除外範囲を複数追加します。たとえば、包含範囲として
10.1.0.0/16を指定し、除外範囲として10.1.100.0/24と10.1.200.0/24を指定した場合は、包含フィルタと除外フィルタの両方を組み合わせて接続が絞り込まれます。この範囲には、10.1.0.0/24~10.1.99.0/24、10.1.101.0/24~10.1.199.0/24、10.1.201.0/24~10.1.255.0/24のすべてが含まれます。既存のサブネット範囲は引き続き正常に動作します。新しいサブネット範囲の作成時に、含める範囲と除外範囲が重複すると、エラーが発生します。
無効な新しいサブネット範囲の例
次の例は、無効なサブネット範囲を示しています。
除外範囲との重複: 次の IP アドレス範囲があるとします。
範囲を含める:
10.0.0.0/8Exclude range 4:10.1.1.0/24Subnet range 4:10.1.0.0/16この場合、含める範囲には
subnet range 4が含まれます。ただし、exclude range 4のスーパーセットです。したがって、subnet range 4は無効です。除外範囲との重複: 次の IP アドレス範囲があるとします。
範囲を含める:
10.1.1.0/24Subnet range 5:10.1.0.0/16Subnet range 5は含める範囲と重複しているため、無効です。
サブネットの作成プロセス中に無効なサブネット範囲を入力すると、次のような Invalid IPCidrRange エラーが発生します。
Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION
プリセット トポロジ
Network Connectivity Center を使用すると、すべての VPC スポークに必要な接続構成を指定できます。次の 2 つの事前定義されたトポロジのいずれかを選択できます。
- メッシュ トポロジ
- スタートポロジ
gcloud network-connectivity hubs create コマンドを使用してハブを作成する場合は、プリセットのメッシュまたはスター トポロジを選択します。トポロジが指定されていない場合、デフォルトはメッシュになります。ハブの作成時に設定した特定のハブのトポロジは変更できません。
スポークのトポロジ設定を変更するには、スポークを削除し、別のトポロジを使用する新しいハブで新しいスポークを作成します。
メッシュ トポロジ
メッシュ トポロジは、VPC スポーク間の大規模なネットワーク接続を提供します。このトポロジでは、すべてのスポークが相互に接続して通信できます。これらの VPC スポーク内のサブネットは、除外エクスポート フィルタを指定しない限り、完全に到達可能です。デフォルトでは、2 つ以上のワークロード VPC ネットワークがスポークとして Network Connectivity Center ハブに参加するように構成されている場合、Network Connectivity Center は各スポーク間のフルメッシュ接続を自動的に構築します。
メッシュ トポロジ内のすべてのスポークは、単一のデフォルト グループに属します。メッシュ トポロジは、VPC スポークタイプとハイブリッド スポークタイプでサポートされています。
次の図は、Network Connectivity Center のメッシュ トポロジ接続を示しています。
スタートポロジ
スター トポロジは VPC スポークでのみサポートされます。接続にスター トポロジを使用する場合、エッジ スポークとそれに関連付けられたサブネットは、指定されたセンター スポークにのみ到達できます。一方、センター スポークは他のすべてのスポークに到達できます。これにより、エッジ VPC ネットワーク間でのセグメンテーションと接続の分離が確実に行われるようにします。
VPC スポークは別のプロジェクトのハブに接続できるため、VPC スポークは異なる管理ドメインから取得できます。ハブとは異なるプロジェクトにあるこれらのスポークは、Network Connectivity Center ハブ内の他のすべてのスポークと通信する必要がない場合があります。
スター トポロジは、次のユースケースに選択できます。
異なる VPC ネットワークで実行され、相互接続は不要だが、中央の共有サービス VPC ネットワークを介した VPC ネットワークへのアクセスのみが必要なワークロード。
複数の VPC ネットワーク間の通信に対するセキュリティ制御。トラフィックは、一連の一元化されたネットワーク仮想アプライアンス(NVA)を通過する必要があります。
次の図は、Network Connectivity Center のスター トポロジ接続を示しています。center-vpc-a と center-vpc-b はセンター グループに関連付けられ、edge-vpc-c と edge-vpc-d はエッジ グループに関連付けられます。この場合、スター トポロジを使用すると、edge-vpc-c と edge-vpc-d を center-vpc-a と center-vpc-b に接続し、サブネットをセンター グループに伝播できますが、相互に接続されません(edge-vpc-c と edge-vpc-d の間に直接到達可能ではありません)。一方、center-vpc-a と center-vpc-b は相互に接続され、edge-vpc-c と edge-vpc-d の両方に接続されているため、センター グループ VPC からエッジ グループ VPC への完全な到達が可能になります。
スポーク グループ
スポーク グループは、ハブに接続されているスポークのサブセットです。スター トポロジを使用して Network Connectivity Center を構成するには、すべての VPC スポークを 2 つの異なるグループ(ルーティング ドメインとも呼ばれます)に分割する必要があります。
- スポークの中心グループ。ハブに接続されている他のすべてのスポークと通信します。
- スポークのエッジ グループ。中央グループに属するスポークとのみ通信します。
VPC スポークは一度に 1 つのグループにのみ所属できます。グループは、ハブを作成すると自動的に作成されます。
ハブ管理者は、gcloud network-connectivity hubs groups update コマンドを使用してスポーク グループを更新できます。ハブ管理者は、プロジェクト ID またはプロジェクト番号のリストを追加して、スポークの自動承諾を有効にできます。自動承諾を有効にすると、自動承諾プロジェクトからスポークが自動的にハブに接続され、個々のスポーク提案の審査は不要になります。
gcloud network-connectivity hubs groups list --hub コマンドを使用すると、特定のハブのネストされたリソースとしてセンター グループとエッジグループを一覧取得できます。メッシュ トポロジで作成されたハブの場合、出力でデフォルト グループが返されます。スター トポロジで作成されたハブの場合、出力ではセンター グループとエッジグループが返されます。
VPC スポークのメッシュまたはスター トポロジを構成する方法の詳細については、ハブを構成するをご覧ください。
制限事項
このセクションでは、VPC スポークの一般的な制限事項と、別のプロジェクトのハブに接続している場合の制限事項について説明します。これらの制限は、プロデューサー VPC スポーク(プレビュー)にも適用されます。
VPC スポークの制限事項
- VPC ネットワークには、Network Connectivity Center のハブまたは VPC ネットワーク ピアリングを介して排他的に接続できます。
- 同じ Network Connectivity Center ハブに接続されている 2 つの VPC スポーク間で VPC ネットワーク ピアリングを使用することはできません。ただし、次の点にご注意ください。
- プロデューサー VPC スポークには、同じハブ上の VPC スポークへのピアリング接続が必要です。プロデューサー VPC スポークとピアリングされた VPC スポークの間に Network Connectivity Center を介した接続が確立されていません。
- VPC ネットワーク ピアリングを使用すると、Network Connectivity Center に接続している VPC スポークを Network Connectivity Center の一部ではない別の VPC にピアリングできます。
- Network Connectivity Center と VPC ネットワーク ピアリングを使用して接続された VPC は推移的なものではありません。
- VPC スポーク間の静的ルート交換はサポートされていません。
- 他の VPC スポークの内部パススルー ネットワーク ロードバランサの仮想 IP アドレスを指すルートもサポートされていません。
- 重複するサブネットは、エクスポートの除外フィルタでマスキングする必要があります。
- VPC スポークの作成後に
export range filtersを更新することはできません。 - ハブとは異なるプロジェクトのスポークの場合、新しい VPC Service Controls 境界が追加されたときに、境界に違反する新しいスポークを追加することはできませんが、既存のスポークは引き続き機能します。
- IPv6 ベースの内部パススルー ネットワーク ロードバランサは、VPC スポーク間で到達できません。
- IPv6 動的ルート交換はサポートされていません。
- スター トポロジ接続は、ハイブリッド スポークや動的ルート交換をサポートしていません。
- 自動モードの VPC ネットワークは、VPC スポークとしてサポートされていません。自動モードからカスタム VPC ネットワークに切り替えると、VPC ネットワーク内の各リージョンのサブネット接頭辞を手動で定義できます。更新すると、この操作を元に戻すことはできません。
VPC スポーク削除後のクールダウン期間の要件
別のハブに接続された同一の VPC ネットワークに対して新しいスポークを作成する場合は、10 分以上のクールダウン期間を設ける必要があります。十分なクールダウン期間を設定しないと、新しい構成が有効にならない場合があります。VPC ネットワークが同じハブにスポークとして追加されている場合、このクールダウン期間は必要ありません。
割り当てと上限
割り当ての詳細については、割り当てと上限をご覧ください。
課金
スポーク時間
スポーク時間は、スポーク リソースが存在するプロジェクトに課金され、標準のスポーク時間の料金に従います。スポーク時間は、スポークが ACTIVE 状態にある場合にのみ課金されます。
アウトバウンド トラフィック
アウトバウンド トラフィックは、トラフィックの発生元のスポーク リソースのプロジェクトに課金されます。トラフィックがプロジェクトの境界を越えるかどうかに関係なく、料金は同じです。
サービスレベル契約
Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約(SLA)をご覧ください。
料金
料金については、Network Connectivity Center の料金をご覧ください。
次のステップ
- ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
- 一般的な問題の解決策については、トラブルシューティングをご覧ください。
- API と
gcloudコマンドの詳細については、API とリファレンスをご覧ください。