ハイブリッド サブネットを作成する

ハイブリッド サブネットを使用すると、IP アドレスを変更することなく、オンプレミス サブネットから Virtual Private Cloud(VPC)サブネットにワークロードを移行できます。このドキュメントでは、ハイブリッド サブネットを作成し、ハイブリッド サブネットの Google Cloud 部分にワークロードを移行して、ハイブリッド サブネットで接続をテストする手順について説明します。

始める前に

必要なロール

ハイブリッド サブネットの作成に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者roles/compute.networkAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

ハイブリッド サブネット ルーティングを構成する

ハイブリッド サブネット ルーティングを構成するには、次のいずれかを行います。

  • ハイブリッド サブネット ルーティングが有効になっている新しいサブネットを作成する。
  • 既存のサブネットでハイブリッド サブネット ルーティングを有効にする。

ハイブリッド サブネット ルーティングが有効なサブネットを新規に作成する

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. ハイブリッド サブネットを作成する VPC ネットワークの名前をクリックします。

  3. [サブネット] タブをクリックします。

  4. [サブネットを追加] をクリックします。表示されるパネルで、次の手順を実施します。

    1. 名前を入力します。
    2. リージョンを選択します。
    3. [目的] セクションで、[なし] を選択します。
    4. [スタックタイプ] セクションで、[IPv4(シングルスタック)] を選択します。
    5. [IPv4 範囲] フィールドに、ハイブリッド サブネットに使用するオンプレミス ネットワークのセグメントの IPv4 アドレス範囲を入力します。
    6. [限定公開の Google アクセス] セクションで、[オフ] を選択します。
    7. [ハイブリッド サブネット] セクションで、[オン] を選択します。
    8. [追加] をクリックします。

既存のサブネットでハイブリッド サブネット ルーティングを有効にする

ハイブリッド サブネットに使用するオンプレミス ネットワークのセグメントの範囲とプライマリ IPv4 アドレス範囲が一致する既存のサブネットに対して、ハイブリッド サブネット ルーティングを有効にできます。

既存のサブネットでハイブリッド サブネット ルーティングを有効にするには、そのサブネットで CIDR ルートの重複を有効にします。これにより、VPC ネットワーク ルーティングの動作が変更され、サブネットの IP アドレス範囲とカスタム動的ルートのアドレス範囲の重複が可能になります。

CIDR ルートの重複の詳細については、Compute Engine API リファレンスの allowSubnetCidrRoutesOverlap フィールドをご覧ください。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. 更新するサブネットを含む VPC ネットワークの名前をクリックします。

  3. [サブネット] タブをクリックします。

  4. 更新するサブネットをクリックします。

  5. [編集] をクリックします。

  6. [ハイブリッド サブネット] セクションで、[オン] を選択します。

  7. [保存] をクリックします。

gcloud

gcloud beta compute networks subnets update コマンドを使用します。

gcloud beta compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

次のように置き換えます。

  • SUBNET: サブネットの名前。
  • REGION: サブネットのリージョン。

API

  1. サブネットの fingerprint ID を見つけます。

    リクエストのデータを使用する前に、次のように置き換えます。

    • PROJECT_ID: オブジェクトの ID
    • REGION: サブネットのリージョン
    • SUBNET_NAME: サブネットの名前

    HTTP メソッドと URL:

    GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

    リクエストを送信するには、次のいずれかのオプションを開きます。

    次のような JSON レスポンスが返されます。

    {
      "kind": "compute#subnetwork",
      "id": "5514771331600183201",
      "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
      "name": "subnet-name",
      "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
      "ipCidrRange": "10.6.0.0/16",
      "gatewayAddress": "10.6.0.1",
      "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
      "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
      "privateIpGoogleAccess": true,
      "fingerprint": "YiItidAFRsA5",
      "allowSubnetCidrRoutesOverlap": false,
      "enableFlowLogs": true,
      "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
      "purpose": "PRIVATE",
      "stackType": "IPV4_ONLY"
    }
    

  2. ハイブリッド サブネット ルーティングを有効にします。

    リクエスト データのいずれかを使用する前に、SUBNET_FINGERPRINT を前のリクエストで確認したサブネットのフィンガープリント ID(YiItidAFRsA5 など)に置き換えます。

    HTTP メソッドと URL:

    PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

    リクエストの本文(JSON):

    {
      "allowSubnetCidrRoutesOverlap": true,
      "fingerprint": "SUBNET_FINGERPRINT"
    }
    

    リクエストを送信するには、次のいずれかのオプションを開きます。

    次のような JSON レスポンスが返されます。

    {
      "kind": "compute#operation",
      "id": "5973660558170953708",
      "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
      "operationType": "compute.subnetworks.patch",
      "targetLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/subnetworks/subnet-name",
      "targetId": "5514771331600183201",
      "status": "RUNNING",
      "user": "user@gmail.com",
      "progress": 0,
      "insertTime": "2023-03-31T11:40:03.882-07:00",
      "startTime": "2023-03-31T11:40:03.893-07:00",
      "selfLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
      "region": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1"
    }
    

  3. allowSubnetCidrRoutesOverlap がサブネットで有効になっていることを確認するには、別の GET リクエストを作成し、レスポンスに以下が含まれていることを確認します。

    • "allowSubnetCidrRoutesOverlap": true

ルート アドバタイズを構成する

カスタム IPv4 と IPv6 のみをアドバタイズするように、ハイブリッド接続プロダクト(VPN トンネル、VLAN アタッチメント、ルーター アプライアンス仮想マシン(VM)インスタンス)の Border Gateway Protocol(BGP)セッションを構成します。

VPC ネットワークからオンプレミスへの接続をテストする

ハイブリッド サブネットとオンプレミス ネットワークで重複する IP アドレス範囲の接続をテストするには、次の操作を行います。

  1. VPC ネットワークのハイブリッド サブネットにテスト VM を作成します。
  2. テスト VM のプライマリ内部 IPv4 アドレスをメモします
  3. テスト VM のプライマリ内部 IPv4 アドレスが /32 カスタム アドバタイズ ルートに含まれるように、Cloud Router の BGP セッションのカスタム アドバタイズ モードを更新します。
  4. SSH で VM に接続します
  5. オペレーティング システムのプロンプトで、ICMP を使用してハイブリッド サブネット内のオンプレミス システムの IP アドレスに ping を実行します。

ping テストに失敗した場合は、Google Cloud ファイアウォール ルールとオンプレミス ファイアウォールで、ハイブリッド サブネットの IP アドレス範囲内の ICMP が許可されていることを確認します。

ワークロードの移動とルーティングの更新

ワークロードまたはワークロードのグループを移行するたびに、次の手順を完了します。

ワークロードを移行する

任意の方法で、オンプレミス ネットワークから VPC ネットワークにワークロードと VM を移行します。VM を Compute Engine に移行するには、Migrate to Virtual Machines を使用することをおすすめします。

移行オプションの詳細については、ハイブリッド サブネットと Migrate to Virtual Machines をご覧ください。

カスタム アドバタイズ ルートを更新する

VM を Google Cloud に移行する際は、移行した各 VM のプライマリ内部 IPv4 アドレスが含まれるように、Cloud Router の BGP セッションのカスタム アドバタイズ・ルートを更新します。/32 カスタム アドバタイズ ルートを使用して、個々の IP アドレスを追加します。

連続する IP アドレス ブロックの場合、アドレスを可能な限り少ないカスタム アドバタイズに統合します。アドバタイズは、ハイブリッド サブネットの IP アドレス範囲よりも限定的である(サブネット マスクを長くする)必要があります。

オンプレミス ネットワークから移行後の VM への接続をテストする

Google Cloud に移行した VM への接続をテストするには、次の操作を行います。

  1. ハイブリッド接続を管理する BGP セッションのカスタム アドバタイズ ルートが更新されていることを確認します。移行した VM のプライマリ内部 IPv4 アドレスがルート アドバタイズに含まれている必要があります。
  2. オンプレミス システムから移行後の VM の IP アドレスに ICMP ping を送信します。

次のステップ