2 つの VPC ネットワークをピアリングする

Google Cloud コンソールを使用して 2 つの Virtual Private Cloud(VPC)ネットワークをピアリングする方法について説明します。

たとえば、組織 organization-aproject-anetwork-aproject-bnetwork-b との間で VPC ネットワーク ピアリングを確立する必要があるとします。VPC ネットワーク ピアリングを正常に確立するには、network-anetwork-b の管理者がそれぞれのネットワークでピアリングを構成する必要があります。

このドキュメントの手順を完了すると、次の構成が作成されます。

ピアリングが有効。
アクティブなピアリング接続のある 2 つのネットワーク(クリックして拡大)

始める前に

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Compute Network Admin or Project Editor

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。
    4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。
    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Compute Engine API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Compute Network Admin or Project Editor

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        [IAM] に移動
      2. プロジェクトを選択します。
      3. [ アクセスを許可] をクリックします。
      4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

      5. [ロールを選択] リストでロールを選択します。
      6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
      7. [保存] をクリックします。
      8. 2 つ目のプロジェクトについても、上記の手順を繰り返します。このクイックスタートでは、別々のプロジェクトにある VPC ネットワークをピアリングする方法について説明します。

2 つの VPC ネットワークを作成する

このセクションでは、それぞれ異なるプロジェクトに 2 つの VPC ネットワークを作成します。

最初のプロジェクトに network-asubnet-a を作成する

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [VPC ネットワークを作成] をクリックします。

  3. [名前] フィールドに「network-a」と入力します。

  4. [新しいサブネット] セクションで、次の情報を指定します。

    1. [名前] フィールドに「subnet-a」と入力します。
    2. 任意のリージョンを選択します。
    3. [IPv4 範囲] フィールドに「10.0.1.0/24」と入力します。
    4. [完了] をクリックします。
  5. [IPv4 ファイアウォール ルール] タブで、NETWORK-allow-custom という名前の事前定義された上り(内向き)ファイアウォール ルールの行の右側にある [編集] をクリックします。

    1. [サブネットの IPv4 範囲を使用] の選択を解除します。
    2. [その他の IPv4 範囲] に「10.0.0.0/20」と入力します。この範囲を入力すると、ピアリングされたネットワーク内のリソースが相互に通信できるようになり、ファイアウォール ルールを更新せずにサブネットを追加できるようになります。
    3. [確認] をクリックします。
  6. [作成] をクリックします。

2 番目のプロジェクトに network-bsubnet-b を作成する

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. [VPC ネットワークを作成] をクリックします。

  3. [名前] フィールドに「network-b」と入力します。

  4. [新しいサブネット] セクションで、次の情報を指定します。

    1. [名前] フィールドに「subnet-b」と入力します。
    2. 任意のリージョンを選択します。
    3. [IPv4 範囲] フィールドに「10.0.8.0/24」と入力します。
    4. [完了] をクリックします。
  5. [IPv4 ファイアウォール ルール] タブで、NETWORK-allow-custom という名前の事前定義された上り(内向き)ファイアウォール ルールの行の右側にある [編集] をクリックします。

    1. [サブネットの IPv4 範囲を使用] の選択を解除します。
    2. [その他の IPv4 範囲] に「10.0.0.0/20」と入力します。この範囲を入力すると、ピアリングされたネットワーク内のリソースが相互に通信できるようになり、ファイアウォール ルールを更新せずにサブネットを追加できるようになります。
    3. [確認] をクリックします。
  6. [作成] をクリックします。

network-anetwork-b とピアリングする

このセクションでは、network-b とピアリングするように network-a を構成します。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [接続を作成] をクリックします。

  3. [続行] をクリックします。

  4. 自分側の接続に対して、[名前] に「peer-ab」と入力します。

  5. [VPC ネットワーク] で [network-a] を選択します。

  6. [ピアリングした VPC ネットワーク] ラジオボタンを In another project に設定します。

  7. 他のプロジェクトのプロジェクト ID を指定します。

  8. 他のネットワーク(network-b)の VPC ネットワーク名を指定します。

  9. [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。

  10. [作成] をクリックします。

project-bnetwork-b に一致する構成がないため、この時点でピアリング状態は INACTIVE のままになります。

ピアリング状態が ACTIVE になると、VPC ネットワーク ピアリングで自動的にサブネット ルートが交換されます。さらに Google Cloud では、ピアリング接続を介してカスタムルート(静的ルートと動的ルート)をインポートまたはエクスポートすることで、カスタムルートの交換を行います。カスタムルートを共有するには、あらかじめ双方のネットワークがカスタムルートを交換できるように構成されている必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。

現在のピアリング状態を確認するには、ピアリング接続を表示します。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [peer-ab] を選択します。[ピアリング接続の詳細] ページで、ステータスが Inactive. Waiting for the connection to be created by network-b になっています。

network-bnetwork-a とピアリングする

このセクションでは、network-b から network-a に一致するピアリング構成を作成して、両方のピアリングが ACTIVE になるようにします。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [接続を作成] をクリックします。

  3. [続行] をクリックします。

  4. 自分側の接続に対して、[名前] に「peer-ba」と入力します。

  5. [VPC ネットワーク] で network-b を選択します。

  6. [ピアリングした VPC ネットワーク] ラジオボタンを In another project に設定します。

  7. 他のプロジェクトのプロジェクト ID を指定します。

  8. 他のネットワーク(network-b)の VPC ネットワーク名を指定します。

  9. [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。

  10. [作成] をクリックします。

VPC ネットワーク ピアリングが ACTIVE になる

ピアリングが ACTIVE 状態になるとすぐにサブネット ルートとカスタムルートが交換され、ネットワーク内のリソース間でトラフィックが流れます。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [VPC ネットワーク ピアリング] ページで、作成した接続のステータスが ACTIVE になります。

  3. 他のプロジェクトの [VPC ネットワーク ピアリング] ページに移動し、ステータスに「ACTIVE」と表示されていることを確認します。

VPC ネットワーク ピア間で、ピアリングされたネットワークの CIDR 接頭辞へのルートが公開されます。これらのルートは、アクティブなピアリング接続用に生成される暗黙的なルートです。対応するルートリソースはありません。次の手順を行うと、project-a のすべての VPC ネットワークのルートが一覧表示されます。

コンソール

  1. Google Cloud Console で、[ルート] ページに移動します。

    [ルート] に移動

  2. [ネットワーク] と [リージョン] で、network-asubnet-a を作成したリージョンを選択し、[表示] をクリックします。

  3. ルートのリストに、subnet-bPeering subnet ルートが含まれています。

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の操作を行います。

プロジェクトを削除する

作成したプロジェクトを削除するには:

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

リソースを個別に削除する

プロジェクト全体を削除しない場合は、作成した VPC ネットワーク ピアリング接続と VPC ネットワークを削除します。

ネットワークを削除する前に、VPC ネットワーク ピアリング接続を削除する必要があります。

VPC ネットワーク ピアリング接続を削除する

VPC ネットワークのピアリング接続を削除するには:

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 削除するピアリングの横にあるチェックボックスをオンにします。

  3. [削除] をクリックします。

VPC ネットワークを削除する

VPC ネットワークを削除するには:

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。

  3. [VPC ネットワークを削除] をクリックします。

  4. 表示されたメッセージで、[削除] をクリックして確定します。

次のステップ

VPC ネットワーク ピアリングの詳細については、以下をご覧ください。