VPC スポークの概要

このページでは、Network Connectivity Center での Virtual Private Cloud（VPC）スポークのサポートの概要について説明します。

VPC スポーク

Network Connectivity Center は、VPC スポークのサポートを使用して VPC 間の大規模なネットワーク接続を提供します。VPC ネットワーク スポークによって、一元的かつよりシンプルな接続管理モデルの使用が可能になり、VPC ネットワーク ピアリングで使用される個々のペア単位のピアリング接続を管理する運用上の複雑さが軽減されます。VPC スポークは、他のスポーク VPC からすべての IPv4 サブネット ルートをエクスポートおよびインポートします。これにより、これらの VPC ネットワークに存在するすべてのワークロード間で完全な IPv4 接続が保証されます。VPC 間のネットワーク トラフィックは Google Cloud ネットワーク内に留まり、インターネットを経由しないため、プライバシーとセキュリティが確保されます。

VPC スポークは、Network Connectivity Center ハブと同じプロジェクト / 組織に配置することも、別のプロジェクトと組織に配置することもできます。

VPC スポークは一度に 1 つのハブに接続できます。

VPC スポークの作成方法については、VPC スポークを作成するをご覧ください。

VPC ネットワーク ピアリングとの比較

VPC スポークは、多くの異なる VPC ネットワークにある IPv4 サブネット範囲間でルーティングされる接続を必要とする、中規模から大規模のエンタープライズ ワークロードをサポートするように設計されています。

VPC ネットワークは Network Connectivity Center の VPC スポークになることも、VPC ネットワーク ピアリングを使用して他の VPC ネットワークに接続することもできます。ただし、スポークの VPC ネットワークが VPC ネットワーク ピアリングを使用してインポートするサブネット ルートは、Network Connectivity Center ハブに接続されている他の VPC スポークと共有されません。そのため、プライベート サービス アクセスを利用するマネージド サービスに、Network Connectivity Center ハブの他の VPC スポークを使用して推移的に到達することはできません。

特徴	VPC ネットワーク ピアリング	VPC スポーク
VPC ネットワーク	最大 25（他の VPC 割り当てを減らす必要があります）	ハブあたりのアクティブ VPC スポーク（最大 250）
VM インスタンス	ピアリング グループあたりのインスタンス数	Network Connectivity Center では、VPC ネットワークあたりの最大値がサポートされます（個別のピアリング グループの割り当ては不要です）。
サブネット範囲（サブネット ルート）	ピアリング グループあたりのサブネットワーク範囲	ルートテーブルあたりのサブネットワーク ルート
静的ルートと動的ルート	ピアリング グループあたりの静的ルート ピアリング グループごとのリージョンあたりの動的ルート	静的ルートと動的ルートの交換はサポートされていません。
エクスポート フィルタ	特定のフィルタはサポートされていません。VPC ネットワーク ピアリングのドキュメントでルート交換オプションをご覧ください。	VPC スポークごとに最大 16 個の CIDR 範囲がサポートされます。
IP アドレス指定	内部 IP アドレス（プライベート IP アドレスとプライベートで使用されるパブリック IPv4 アドレスを含む）。有効な IPv4 範囲をご覧ください。	プライベート IPv4 内部アドレスのみ（プライベートで使用されるパブリック IPv4 アドレスを除く）有効な IPv4 範囲をご覧ください。
IP アドレス ファミリー	IPv4 と IPv6 / IPv4 のデュアル スタック アドレス	IPv4 アドレスのみ
パフォーマンスとスループット（他の VPC 接続メカニズムと比較した場合）	最小レイテンシ、最大スループット（VM 間で同等）	最小レイテンシ、最大スループット（VM 間で同等）

ハブとは異なるプロジェクトでの VPC スポーク

Network Connectivity Center を使用すると、スポークとして表される VPC ネットワークを、別の組織のプロジェクトなど、別のプロジェクトの単一のハブに接続できます。これにより、複数のプロジェクトや組織にまたがる大規模な VPC ネットワークに接続できます。

ユーザーは次のいずれかのタイプになります。

• 1 つのプロジェクトのハブを所有するハブ管理者
• 別のプロジェクトの VPC ネットワークをスポークとしてハブに追加したい VPC ネットワーク スポークの管理者またはネットワーク管理者。

ハブ管理者は、Identity and Access Management（IAM）権限を使用して、ハブに関連付けられた別のプロジェクトで VPC スポークを作成できるユーザーを制御します。VPC ネットワーク スポーク管理者は、ハブと異なるプロジェクトでスポークを作成します。これらのスポークは、作成時にはアクティブになりません。ハブ管理者は、それらを確認して、スポークを承認するか拒否するかを選択できます。ハブ管理者がスポークを承認すると、スポークがアクティブになります。

Network Connectivity Center は、ハブと同じプロジェクトで作成されたスポークを自動的に承認します。

ハブと異なるプロジェクトで VPC スポークを使用するハブの管理方法については、ハブ管理の概要をご覧ください。スポーク管理者の詳細については、スポーク管理の概要をご覧ください。

エクスポート フィルタを使用した VPC 接続

Network Connectivity Center を使用すると、すべてのスポーク VPC 接続をスポーク VPC 内のサブネットワークのサブセットに限定できます。Google Cloud CLI の exclude-export-ranges フラグまたは API の excludeExportRanges フィールドを使用して、IP アドレス範囲のアドバタイズを防ぐことができます。指定された範囲に一致するサブネットワークは、ハブへのエクスポートから除外されます。このフィルタは、VPC ネットワーク内でプライベートにする必要のあるサブネットが存在する場合や、ハブ ルート テーブル内の他のサブネットと重複する可能性がある場合に便利です。

制限事項

このセクションでは、VPC スポークの一般的な制限事項と、別のプロジェクトのハブに接続している場合の制限事項について説明します。

VPC スポークの制限事項

• Network Connectivity Center のハブには、VPN、Cloud Interconnect、Router アプライアンス スポークを使用する VPC スポークを接続できません。
• VPC ネットワークには、Network Connectivity Center のハブまたは VPC ネットワーク ピアリングを介して排他的に接続できます。Network Connectivity Center に接続された 2 つの VPC スポーク間で VPC ネットワーク ピアリングを使用することはできません。ただし、VPC ネットワーク ピアリングを使用すると、Network Connectivity Center に接続している VPC スポークを Network Connectivity Center の一部ではない別の VPC にピアリングできます。
• Network Connectivity Center と VPC にピアリングされた VPC で接続された VPC は推移的なものではありません。
• VPC スポーク間の IPv4 静的ルートと動的ルート交換はサポートされていません。
• 他の VPC スポークの内部アプリケーション ロードバランサの仮想 IP アドレスを指すルートもサポートされていません。
• 重複するサブネットは、エクスポート フィルタでマスキングする必要があります。
• スポークごとに最大 16 個の exclude export range フィルタを指定できます。
• VPC スポークの作成後に export range filters を更新することはできません。
• ハブとは異なるプロジェクトのスポークの場合、新しい VPC Service Controls 境界が追加されたときに、境界に違反する新しいスポークを追加することはできませんが、既存のスポークは引き続き機能します。

VPC スポーク削除後のクールダウン期間の要件

このセクションでは、VPC スポークの削除から、同一 VPC に対する新しいスポークの作成までに必要なクールダウン期間について説明します。十分なクールダウン期間を設定しないと、新しい構成が有効にならない場合があります。

• スポークの削除後、同じハブに接続された同一の VPC ネットワークに対して新しいスポークを作成する前に、10 分以上のクールダウン期間を設ける必要があります。
• 別のハブに接続された同一の VPC ネットワークに対して新しいスポークを作成する場合は、24 時間以上のクールダウン期間を設ける必要があります。
• 同じ VPC ネットワークに対してスポークを作成するときに、フィルタが正しく適用されない場合があります。この問題を回避するには、スポークを削除し、しばらく待ってから、スポークを再作成します。

割り当てと上限

次の割り当てと上限が適用されます。

• プロジェクトあたりの VPC スポーク数: 1,000
• ハブあたりのアクティブな VPC スポークの数: 250
• ハブあたりの VPC スポークの合計数: 1,000
• ルートテーブルあたりのサブネット ルートの数: 1,000
• VPC スポークあたりのエクスポート フィルタの数: 16

課金

スポーク時間

スポーク時間は、スポーク リソースが存在するプロジェクトに課金され、標準のスポーク時間の料金に従います。スポーク時間は、スポークが ACTIVE 状態にある場合にのみ課金されます。

下り（外向き）トラフィック

下り（外向き）トラフィックは、トラフィックの発生元のスポーク リソースのプロジェクトに課金されます。トラフィックがプロジェクトの境界を越えるかどうかに関係なく、料金は同じです。

サービスレベル契約

Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約（SLA）をご覧ください。

料金

料金については、Network Connectivity Center の料金をご覧ください。

次のステップ

• ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
• ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
• 一般的な問題の解決策については、トラブルシューティングをご覧ください。
• API と gcloud コマンドの詳細については、API とリファレンスをご覧ください。