Virtual Private Cloud の概要

Google Cloud Platform(GCP)Virtual Private Cloud(VPC)は、Compute Engine 仮想マシン(VM)インスタンスGKE クラスタApp Engine フレキシブル環境にネットワーク機能を提供します。VPC では、クラウドベースのサービスに、スケーラブルで柔軟性に優れたグローバルなネットワーキングを提供します。

このページでは、VPC のさまざまなコンセプトと機能の概要を説明します。

VPC ネットワーク

VPC ネットワークは、GCP 内で仮想化されている点を除いて、物理ネットワークと同じように考えることができます。VPC ネットワークは、すべてがグローバルな広域ネットワークで接続された、データセンター内のリージョンの仮想サブネットワーク(サブネット)のリストで構成されるグローバル リソースです。VPC ネットワークは、GCP の各ネットワークと互いに論理的に隔離されます。

VPC ネットワークの例(クリックして拡大)
VPC ネットワークの例(クリックして拡大)

Compute Engine VM インスタンスGKE クラスタApp Engine フレキシブル環境インスタンスはすべて、通信を VPC ネットワークに依存しています。ネットワークにより、リソースを相互接続またはインターネット接続します。

VPC ネットワークの詳細をご覧ください。

ファイアウォール ルール

各 VPC ネットワークは、構成可能な分散仮想ファイアウォールを実装しています。ファイアウォール ルールを使用すると、どのパケットをどの宛先に送信できるようにするかを制御できます。すべての VPC ネットワークには、すべての着信接続をブロックし、すべての発信接続を許可する 2 つの暗黙のファイアウォール ルールがあります。

default ネットワークには、default-allow-internal ルールなどの、ネットワークでのインスタンス間の通信を許可する追加のファイアウォール ルールがあります。

ファイアウォール ルールの詳細をご覧ください。

ルート

ルートは、VM インスタンスと VPC ネットワークに対し、インスタンスから宛先(ネットワーク内部または GCP の外部)にトラフィックを送信する方法を通知します。各 VPC ネットワークにはいくつかのシステム生成ルートが用意され、サブネット間でトラフィックをルーティングし、適格なインスタンスからインターネットにトラフィックを送信します。

カスタム静的ルートを作成して、一部のパケットを特定の宛先に送信できます。たとえば、すべての発信トラフィックを NAT ゲートウェイとして構成されたインスタンスに送信するルートを作成できます。

ルートの詳細をご覧ください。

転送ルール

ルートはインスタンスから発信されるトラフィックを制御しますが、転送ルールは、IP アドレス、プロトコル、ポートに基づいて VPC ネットワーク内の GCP リソースにトラフィックを転送します。

転送ルールには、GCP の外部からネットワーク内の宛先にトラフィックを転送するものと、ネットワーク内からトラフィックを転送するものがあります。転送ルールの宛先は、ターゲット インスタンス、ロードバランサ ターゲット(ターゲット プロキシ、ターゲット プール、バックエンド サービス)、および VPN ゲートウェイです。

転送ルールの詳細をご覧ください。

インターフェースと IP アドレス

IP アドレス

Compute Engine VM インスタンス、転送ルール、GKE コンテナ、App Engine などの GCP リソースは、通信を IP アドレスに依存しています。

IP アドレスの詳細をご覧ください。

エイリアス IP 範囲

単一の VM インスタンス上で実行しているサービスが複数ある場合は、エイリアス IP 範囲を使用して各サービスに異なる内部 IP アドレスを割り当てることができます。VPC ネットワークは、構成済みの各エイリアス IP 宛てのパケットを、対応する VM に転送します。

エイリアス IP 範囲の詳細をご覧ください。

複数のネットワーク インターフェース

1 つの VM インスタンスに複数のネットワークインターフェースを追加できます。各インターフェースは固有の VPC ネットワーク内にあります。複数のネットワーク インターフェースにより、ネットワーク アプライアンス VM がさまざまな VPC ネットワーク間またはインターネットとの間のトラフィックを保護するゲートウェイとして機能するようになります。

複数のネットワーク インターフェースの詳細をご覧ください。

VPC の共有とピアリング

共有 VPC

1 つのプロジェクト(ホスト プロジェクト)から GCP 組織内の他のプロジェクトまで、VPC ネットワークを共有できます。共有 VPC ネットワーク全体へのアクセスを許可するか、特定の IAM 権限を使用してサブネットを選択できます。これにより、組織の柔軟性を維持しながら、一般的なネットワーク上で集中管理を行うことができます。共有 VPC は、特に大規模な組織で役立ちます。

共有 VPC の詳細をご覧ください。

VPC ネットワーク ピアリング

これを使用すると、GCP で SaaS(Software-as-a-Service)エコシステムをビルドできます。ネットワークが同一プロジェクト、別のプロジェクト、または異なる組織のプロジェクトにあっても組織内や組織間のさまざまな VPC ネットワークでサービスを非公開で提供します。

VPC ネットワーク ピアリングでは、プライベートの RFC 1918 IP アドレスを使用してすべての通信が行われます。ファイアウォール ルールに従い、ピアリングしたネットワーク内の VM インスタンスは、外部 IP アドレスを使用せずに互いに通信できます。ピアリングしたネットワークは、サブネット ルートのみを共有します。ピアリングしたネットワークのネットワーク管理は変わりません。1 つのネットワークのネットワーク管理者とセキュリティ管理者が、ピアリング関係内の他のネットワークの役割を自動的に取得することはありません。異なるプロジェクトからの 2 つのネットワークがピアリングしている場合、1 つのプロジェクト内のプロジェクト所有者、編集者、Compute インスタンス管理者は、他のネットワークを含むプロジェクトでこれらの役割を自動的に受け取ることはありません。

VPC ネットワーク ピアリングの詳細をご覧ください。

ハイブリッド クラウド

VPN

安全なバーチャル プライベート ネットワークを使用して、VPC ネットワークを物理的なオンプレミス ネットワークや別のクラウド プロバイダに接続できます。

Cloud VPN の詳細をご覧ください。

相互接続

高速な物理接続を使用して、VPC ネットワークをオンプレミス ネットワークに接続することができます。

相互接続の詳細をご覧ください。

負荷分散

GCP では、多くの VM 間でトラフィックとワークロードを分散するため、次の負荷分散構成が提供されます。

  • HTTP(S) 負荷分散、SSL プロキシ、TCP プロキシ オファリングなどのグローバルな外部負荷分散
  • リージョン外部ネットワーク負荷分散
  • リージョン内部負荷分散

負荷分散の詳細をご覧ください。

特別な構成

限定公開の Google アクセス

VPC ネットワークのサブネット内のインスタンスは、サブネット用に限定公開の Google アクセスを有効にするときに、外部 IP アドレスではなくプライベート IP アドレスを使用して Google API とサービスと通信できます。

限定公開の Google アクセスの詳細をご覧ください。

このページは役立ちましたか?評価をお願いいたします。