このページでは、接続テストの一般的なユースケースについて説明します。
- Virtual Private Cloud(VPC)ネットワークから Google Cloud 以外のネットワークへの接続性をテストする
- Google Cloud 以外のネットワークから VPC ネットワークへの接続性をテストする
- Google Cloud 以外の 2 つのネットワーク間の接続性をテストする
VPC ネットワークから Google Cloud 以外のネットワークへの接続
接続テストの構成分析を使用すると、VPC ネットワークから Google Cloud ネットワーク以外への Cloud VPN または Cloud Interconnect 経由での接続性をテストできます。通常、Google Cloud 以外のネットワークとは、オンプレミス ネットワークまたは別のクラウド プロバイダのネットワークのことです。
構成分析では、ピア ネットワーク内のルーターまたは VPN ゲートウェイの外部 IP アドレスまでのネットワーク パスのみを評価します。
次の例は、VPC ネットワークの VM1 から、静的ルーティングを使用する Classic VPN トンネル経由でオンプレミス ネットワーク内の VM2 にトレースしています。
ピア ネットワークの送信先 IP アドレスに一致する静的または動的ルートがある場合、構成分析はルートの優先順位に従ってルートを照合および検証します。
ネクストホップがあるすべての送信先に対しては、インターネット ゲートウェイのようなデフォルトの静的ルートがあります。このデフォルト ルートが削除または変更されていない限り、接続テストはこのルートと照合されます。
デフォルトの静的ルートがなく、送信先への有効なルートが他にない場合、トレースの最終状態として Drop を返します。
Google Cloud 以外のネットワークから VPC ネットワークへの接続
構成分析では、オンプレミス ネットワークからの受信パケットが VPC ネットワークに到着した場合に、VPC ネットワークがそのパケットを受信できることを確認します。また、VPC ネットワーク構成で、このパケットが目的の宛先に配信可能かどうかも確認します。構成分析の結果にはパケットが配信可能状態であることが示されています(API レスポンスでは、最終状態は delivered になります)。この場合、宛先は到達可能と見なされます。
VPC ネットワークが Cloud Router 経由でオンプレミス ネットワークとピアリングすると、VPC ネットワークはピアリングしたオンプレミス ネットワークから 1 つ以上の動的ルートを受信します。同時に、VPC ネットワークはピアリングしたオンプレミス ネットワークへの独自のルートをアドバタイズします。
接続テストはオンプレミス ネットワーク構成にアクセスできないため、オンプレミス ルーターの正しいルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、接続テストの構成分析によって常に有効とみなされます。
ただし、接続テストでは、VPC 構成によって Google Cloud で宛先へのパケット配信が可能かどうかも評価できます。ネットワーク到達性を評価するため、次の Google Cloud リソースを評価します。
- VPC ネットワークの上り(内向き)ファイアウォール ルール。
- VPC ネットワーク内の IP アドレスへのアドバタイズされたルート。Cloud Router によりオンプレミス(ピア)ネットワークにアドバタイズされます。
一般に、送信元または宛先のエンドポイントにオンプレミスの IP アドレスを指定する場合は、[これは Google Cloud で使用される IP アドレスです] チェックボックスをオフにします。この例のようなテストを設定するには、送信元エンドポイントのチェックボックスをオフにします。
次の成功したテスト結果によって、オンプレミスの IP アドレスから VM インスタンスへの Cloud VPN を経由した接続性が評価されます。さらに Border Gateway Protocol(BGP)のセッション、ルート、VPC ファイアウォール ルールも評価されます。
Google Cloud 以外の 2 つのネットワーク間の接続
接続テストの構成分析を使用すると、Network Connectivity Center 経由で接続された 2 つの Google Cloud 以外のネットワーク到達性を評価できます。 ここでの Google Cloud 以外のネットワークとは、通常、オンプレミスのデータセンターやブランチ オフィスです。
接続テストはオンプレミス ネットワークの構成にアクセスしないため、オンプレミス ルーターでルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、常に接続テスト構成分析によって有効とみなされ、Google Cloud 内の構成のみが検証されます。
構成分析は、Network Connectivity Center のスポークに関連付けられている Cloud Router からオンプレミス ネットワークの範囲を学習します。オンプレミス ネットワーク間の接続性に影響する可能性のある VPC ネットワーク構成の問題を特定できます。
すべての Network Connectivity Center のスポークタイプは、Cloud Router を使用して BGP セッション経由でルートを交換します。次に例を示します。
- Router アプライアンスのスポーク: Cloud Router と Router アプライアンス インスタンスが同じリージョンにある場合、そこでは、互いにルートが交換されます。
- Cloud VPN と VLAN アタッチメント スポーク: Cloud Router は、BGP ルートをオンプレミス ネットワーク内のルーターと交換します。
ネットワーク接続センターの詳細については、ネットワーク接続センターの概要をご覧ください。
Router アプライアンスを介した Google Cloud 以外の 2 つのネットワーク間の接続
次の例の接続テストでは、オンプレミス ネットワーク間の転送をシミュレートしたパケットのトレースを行います。パケットは、最初のオンプレミス ネットワークに接続している Router アプライアンス スポークから VPC ネットワークに入ります。そこからは、2 番目のオンプレミス ネットワークに接続している Router アプライアンス スポークの Cloud Router がアドバタイズする動的ルートに従います。パケットが 2 番目の Router アプライアンス インスタンスからオンプレミス ネットワークに到達します。
このタイプのテストを設定するには、送信元エンドポイントと送信先エンドポイントの両方で、[これは GCP で使用される IP アドレスです] チェックボックスをオフにします。
次の成功したテスト結果によって、2 つの Router アプライアンス インスタンスを経由したオンプレミス ネットワーク間の接続性が評価されます。また、BGP セッション、ルート、VPC ファイアウォール ルールも評価されます。
Cloud VPN と Cloud Interconnect を介した Google Cloud 以外の 2 つのネットワーク間の接続
次の例の接続テストでは、オンプレミス ネットワーク間の転送をシミュレートしたパケットのトレースを行います。パケットは、VPN ゲートウェイを経由して VPC ネットワークに入ります。つづいて、Interconnect 接続を経由し、もう一方のオンプレミス ネットワークに到達します。
このタイプのテストを設定するには、送信元エンドポイントと送信先エンドポイントの両方で、[これは GCP で使用される IP アドレスです] チェックボックスをオフにします。
次の成功したテスト結果によって、VPN と VLAN アタッチメント スポークを経由したオンプレミス ネットワーク間の接続性が評価されます。
