Virtual Private Cloud(VPC)の概要
Virtual Private Cloud(VPC)は、Compute Engine 仮想マシン(VM)インスタンス、Google Kubernetes Engine(GKE)クラスタ、サーバーレス ワークロードにネットワーキング機能を提供します。VPC は、クラウドベースのリソースとサービスに、スケーラブルで柔軟性に優れたグローバルなネットワーキングを提供します。
このページでは、VPC のコンセプトと機能の概要を説明します。
VPC ネットワーク
VPC ネットワークは、Google Cloud 内で仮想化されている点を除き、物理ネットワークと同じように考えることができます。VPC ネットワークは、データセンター内のリージョン仮想サブネットワーク(サブネット)のリストで構成されるグローバルリソースであり、すべてグローバルな広域ネットワークで接続されています。VPC ネットワークは、Google Cloud 内で互いに論理的に隔離されています。
VPC ネットワークは次のことを行います。
- Google Kubernetes Engine(GKE)クラスタ、サーバーレス ワークロードなどの Compute Engine 仮想マシン(VM)インスタンスや、Compute Engine VM 上に構築された他の Google Cloud プロダクトに向けた接続を提供します。
- 内部アプリケーション ロードバランサ用に内部パススルー ネットワーク ロードバランサとプロキシ システムを提供します。
- Cloud VPN トンネルと、Cloud Interconnect 用の VLAN アタッチメントを使用して、オンプレミス ネットワークに接続します。
- Google Cloud の外部ロードバランサからバックエンドにトラフィックを分散します。
VPC ネットワークの詳細をご覧ください。
ファイアウォール ルール
各 VPC ネットワークは、構成可能な分散仮想ファイアウォールを実装しています。ファイアウォール ルールを使用すると、どのパケットをどの宛先に送信できるようにするかを制御できます。すべての VPC ネットワークには、すべての着信接続をブロックし、すべての発信接続を許可する 2 つの暗黙のファイアウォール ルールがあります。
default
ネットワークには、default-allow-internal
ルールなどの、ネットワークでのインスタンス間の通信を許可する追加のファイアウォール ルールがあります。
ファイアウォール ルールの詳細をご覧ください。
ルート
ルートは、VM インスタンスと VPC ネットワークに対して、インスタンスから宛先(ネットワーク内部または Google Cloud の外部)にトラフィックを送信する方法を通知するものです。各 VPC ネットワークにはいくつかのシステム生成ルートが用意されており、サブネット間でのトラフィックのルーティングや、適切なインスタンスからインターネットへのトラフィックの送信ができます。
カスタム静的ルートを作成して、一部のパケットを特定の宛先に送信できます。
ルートの詳細をご覧ください。
転送ルール
ルートは、インスタンスから発信されるトラフィックを制御しますが、転送ルールは、IP アドレス、プロトコル、ポートに基づいて VPC ネットワーク内の Google Cloud リソースにトラフィックを転送します。
転送ルールには、Google Cloud 外部からネットワーク内の宛先にトラフィックを転送するものと、ネットワーク内からトラフィックを転送するものがあります。転送ルールの宛先は、ターゲット インスタンス、ロードバランサ ターゲット(ターゲット プロキシ、ターゲット プール、バックエンド サービス)、Cloud VPN ゲートウェイです。
転送ルールの詳細をご覧ください。
インターフェースと IP アドレス
IP アドレス
Compute Engine VM インスタンス、転送ルール、GKE コンテナ、App Engine などの Google Cloud リソースは、通信を IP アドレスに依存しています。
IP アドレスの詳細をご覧ください。
エイリアス IP 範囲
単一の VM インスタンス上で実行しているサービスが複数ある場合は、エイリアス IP 範囲を使用して各サービスに異なる内部 IP アドレスを割り当てることができます。VPC ネットワークは特定のサービス宛てのパケットを、対応する VM に転送します。
エイリアス IP 範囲の詳細をご覧ください。
複数のネットワーク インターフェース
1 つの VM インスタンスに複数のネットワークインターフェースを追加できます。各インターフェースは固有の VPC ネットワーク内にあります。複数のネットワーク インターフェースにより、ネットワーク アプライアンス VM がさまざまな VPC ネットワーク間またはインターネットとの間のトラフィックを保護するゲートウェイとして機能するようになります。
複数のネットワーク インターフェースの詳細をご覧ください。
VPC の共有とピアリング
共有 VPC
1 つのプロジェクト(ホスト プロジェクトと呼ばれます)から Google Cloud 組織内の他のプロジェクトに VPC ネットワークを共有できます。共有 VPC ネットワーク全体へのアクセスを許可するか、特定の IAM 権限を使用してサブネットを選択できます。これにより、組織の柔軟性を維持しながら、一般的なネットワーク上で集中管理を行うことができます。共有 VPC は、特に大規模な組織で役立ちます。
共有 VPC の詳細をご覧ください。
VPC ネットワーク ピアリング
VPC ネットワーク ピアリングを利用すると、Google Cloud に Software as a Service(SaaS)エコシステムを構築できます。これにより、ネットワークが同じプロジェクト、異なるプロジェクト、または別の組織のプロジェクトかどうかに関係なく、異なる VPC ネットワーク間でサービスを非公開で利用できるようになります。
VPC ネットワーク ピアリングでは、内部 IP アドレスを使用してすべての通信が行われます。ファイアウォール ルールに従い、ピアリングしたネットワーク内の VM インスタンスは、外部 IP アドレスを使用せずに互いに通信できます。
ピアリングしたネットワークは、プライベート IP アドレス範囲のサブネット ルートを自動的に交換します。VPC ネットワーク ピアリングでは、次の種類のルートを交換するかどうかを構成できます。
- 非公開で再利用されるパブリック IP 範囲のサブネット ルート
- カスタムの静的ルートと動的ルート
ピアリングされる各ネットワークのネットワーク管理は変わりません。IAM ポリシーが VPC ネットワーク ピアリングによって交換されることはありません。たとえば、1 つの VPC ネットワークのネットワーク管理者とセキュリティ管理者が、ピアリングされたネットワークのロールを自動的に取得することはありません。
VPC ネットワーク ピアリングの詳細をご覧ください。
ハイブリッド クラウド
Cloud VPN
Cloud VPN では、安全なバーチャル プライベート ネットワークを使用して、VPC ネットワークを物理的なオンプレミス ネットワークまたは別のクラウド プロバイダに接続できます。
Cloud VPN の詳細をご覧ください。
Cloud Interconnect
Cloud Interconnect は、高速の物理接続を使用して、VPC ネットワークをオンプレミス ネットワークに接続します。
Cloud Interconnect の詳細をご覧ください。
Cloud Load Balancing
Google Cloud では、多くのバックエンド タイプにトラフィックとワークロードを分散するため、グローバルとリージョンのロード バランシング構成がいくつか用意されています。詳細については、Cloud Load Balancing の概要をご覧ください。
特別な構成
限定公開の Google アクセス
サブネットに対して限定公開の Google アクセスを有効にすると、VPC ネットワークのサブネット内のインスタンスは、外部 IP アドレスの代わりにプライベート IP アドレスを使用して Google API およびサービスと通信できます。
限定公開の Google アクセスの詳細をご覧ください。