このページでは、接続テストの一般的なユースケースについて説明します。
- Virtual Private Cloud(VPC)ネットワークから Google Cloud 以外のネットワークへの接続性をテストする
- Google Cloud 以外のネットワークから VPC ネットワークへの接続性をテストする
- Google Cloud 以外の 2 つのネットワーク間の接続性をテストする
VPC ネットワークから Google Cloud 以外のネットワークへの接続
接続テストの構成分析を使用すると、Cloud VPN または Cloud Interconnect 経由で VPC ネットワークから Google Cloud ネットワーク以外への接続をテストできます。通常、Google Cloud 以外のネットワークは、オンプレミス ネットワークまたは別のクラウド プロバイダのネットワークです。
構成分析では、ピア ネットワーク内のルーターまたは VPN ゲートウェイの外部 IP アドレスまでのネットワーク パスのみを評価します。
次の例は、VPC ネットワークの VM1 から、静的ルーティングを使用する Classic VPN トンネル経由でオンプレミス ネットワーク内の VM2 にトレースしています。
ピア ネットワークの送信先 IP アドレスに一致する静的または動的ルートがある場合、構成分析はルートの優先順位に従ってルートを照合および検証します。
ネクストホップがあるすべての送信先に対しては、インターネット ゲートウェイのようなデフォルトの静的ルートがあります。このデフォルト ルートが削除または変更されていない限り、接続テストはこのルートと照合されます。
デフォルトの静的ルートがなく、送信先への有効なルートが他にない場合、トレースの最終状態として Drop を返します。
Google Cloud 以外のネットワークから VPC ネットワークへの接続
構成分析では、オンプレミス ネットワークからのインバウンド パケットが VPC ネットワークに到着した後に、VPC ネットワークがそのパケットを受信できることを確認します。また、VPC ネットワーク構成で、このパケットが目的の宛先に配信可能かどうかも確認します。構成分析の結果にはパケットが配信可能状態であることが示されています(API レスポンスでは、最終状態は delivered になります)。この場合、宛先は到達可能と見なされます。
VPC ネットワークが Cloud Router 経由でオンプレミス ネットワークとピアリングすると、VPC ネットワークはピアリングしたオンプレミス ネットワークから 1 つ以上の動的ルートを受信します。同時に、VPC ネットワークはピアリングしたオンプレミス ネットワークへの独自のルートをアドバタイズします。
接続テストはオンプレミス ネットワーク構成にアクセスできないため、オンプレミス ルーターの正しいルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、接続テストの構成分析によって常に有効とみなされます。
ただし、接続テストでは、VPC 構成によって Google Cloud で宛先へのパケット配信が可能かどうかも評価できます。ネットワーク到達性を評価するため、次の Google Cloud リソースを評価します。
- VPC ネットワークの上り(内向き)ファイアウォール ルール。
- VPC ネットワーク内の IP アドレスへのアドバタイズされたルート。Cloud Router によりオンプレミス(ピア)ネットワークにアドバタイズされます。
一般に、送信元または宛先のエンドポイントにオンプレミスの IP アドレスを指定する場合は、[これは Google Cloud で使用される IP アドレスです] チェックボックスをオフにします。この例のようなテストを設定するには、送信元エンドポイントのチェックボックスをオフにします。
テスト成功の次の結果では、オンプレミスの IP アドレスから VM インスタンスへの Cloud VPN を介した接続性が評価されます。さらに Border Gateway Protocol(BGP)のセッション、ルート、VPC ファイアウォール ルールも評価されます。
Google Cloud 以外の 2 つのネットワーク間の接続
接続テストの構成分析を使用すると、Network Connectivity Center 経由で接続された 2 つの Google Cloud 以外のネットワーク到達性を評価できます。ここでは、Google Cloud 以外のネットワークは通常、オンプレミスのデータセンターまたはブランチ オフィスです。
接続テストはオンプレミス ネットワークの構成にアクセスしないため、オンプレミス ルーターでルートとファイアウォール ルールの構成を確認できません。したがって、オンプレミス ネットワークから VPC ネットワークへのトラフィックは、常に接続テスト構成分析によって有効とみなされ、Google Cloud 内の構成のみが検証されます。
構成分析は、Network Connectivity Center のスポークに関連付けられている Cloud Router からオンプレミス ネットワークの範囲を学習します。オンプレミス ネットワーク間の接続性に影響する可能性のある VPC ネットワーク構成の問題を特定できます。
すべての Network Connectivity Center のスポークタイプは、Cloud Router を使用して BGP セッション経由でルートを交換します。次に例を示します。
- ルーター アプライアンスのスポーク: Cloud Router とルーター アプライアンス インスタンスが同じリージョンにあると場合、互いにルートを交換します。
- Cloud VPN と VLAN アタッチメント スポーク: Cloud Router は、BGP ルートをオンプレミス ネットワーク内のルーターと交換します。
Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。
Router アプライアンスを介した Google Cloud 以外の 2 つのネットワーク間の接続
次の例の接続テストでは、オンプレミス ネットワーク間の転送をシミュレートしたパケットのトレースを行います。パケットは、最初のオンプレミス ネットワークに接続している Router アプライアンス スポークから VPC ネットワークに入ります。そこからは、2 番目のオンプレミス ネットワークに接続している Router アプライアンス スポークの Cloud Router がアドバタイズする動的ルートに従います。パケットが 2 番目の Router アプライアンス インスタンスからオンプレミス ネットワークに到達します。
このタイプのテストを設定するには、送信元と宛先の両方のエンドポイントで、[これは Google Cloud で使用される IP アドレスです] チェックボックスをオフにします。
テスト成功の次の結果では、2 つのルーター アプライアンス インスタンスを経由したオンプレミス ネットワーク間の接続性が評価されています。また、BGP セッション、ルート、VPC ファイアウォール ルールも評価されています。
Cloud VPN と Cloud Interconnect を介した Google Cloud 以外の 2 つのネットワーク間の接続
次の例の接続テストでは、オンプレミス ネットワーク間の転送をシミュレートしたパケットのトレースを行います。パケットは、VPN ゲートウェイ経由で VPC ネットワークに入ります。パケットは、相互接続を介して他のオンプレミス ネットワークに到達します。
このタイプのテストを設定するには、送信元と宛先の両方のエンドポイントで、[これは Google Cloud で使用される IP アドレスです] チェックボックスをオフにします。
テスト成功の次の結果では、VPN と VLAN アタッチメント スポークを経由したオンプレミス ネットワーク間の接続性が評価されています。
