2 つの VPC ネットワークをピアリングする
Google Cloud コンソールを使用して 2 つの Virtual Private Cloud(VPC)ネットワークをピアリングする方法について説明します。
たとえば、組織 organization-a
が project-a
の network-a
と project-b
の network-b
との間で VPC ネットワーク ピアリングを確立する必要があるとします。VPC ネットワーク ピアリングを正常に確立するには、network-a
と network-b
の管理者がそれぞれのネットワークでピアリングを構成する必要があります。
このドキュメントの手順を完了すると、次の構成が作成されます。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Make sure that you have the following role or roles on the project: Compute Network Admin or Project Editor
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - プロジェクトを選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
-
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Make sure that you have the following role or roles on the project: Compute Network Admin or Project Editor
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - プロジェクトを選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
-
- 2 つ目のプロジェクトについても、上記の手順を繰り返します。このクイックスタートでは、別々のプロジェクトにある VPC ネットワークをピアリングする方法について説明します。
2 つの VPC ネットワークを作成する
このセクションでは、それぞれ異なるプロジェクトに 2 つの VPC ネットワークを作成します。
最初のプロジェクトに network-a
と subnet-a
を作成する
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] フィールドに「
network-a
」と入力します。[新しいサブネット] セクションで、次の情報を指定します。
- [名前] フィールドに「
subnet-a
」と入力します。 - 任意のリージョンを選択します。
- [IPv4 範囲] フィールドに「
10.0.1.0/24
」と入力します。 - [完了] をクリックします。
- [名前] フィールドに「
[IPv4 ファイアウォール ルール] タブで、
NETWORK-allow-custom
という名前の事前定義された上り(内向き)ファイアウォール ルールの行の右側にある [編集] をクリックします。- [サブネットの IPv4 範囲を使用] の選択を解除します。
- [その他の IPv4 範囲] に「
10.0.0.0/20
」と入力します。この範囲を入力すると、ピアリングされたネットワーク内のリソースが相互に通信できるようになり、ファイアウォール ルールを更新せずにサブネットを追加できるようになります。 - [確認] をクリックします。
[作成] をクリックします。
2 番目のプロジェクトに network-b
と subnet-b
を作成する
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
[VPC ネットワークを作成] をクリックします。
[名前] フィールドに「
network-b
」と入力します。[新しいサブネット] セクションで、次の情報を指定します。
- [名前] フィールドに「
subnet-b
」と入力します。 - 任意のリージョンを選択します。
- [IPv4 範囲] フィールドに「
10.0.8.0/24
」と入力します。 - [完了] をクリックします。
- [名前] フィールドに「
[IPv4 ファイアウォール ルール] タブで、
NETWORK-allow-custom
という名前の事前定義された上り(内向き)ファイアウォール ルールの行の右側にある [編集] をクリックします。- [サブネットの IPv4 範囲を使用] の選択を解除します。
- [その他の IPv4 範囲] に「
10.0.0.0/20
」と入力します。この範囲を入力すると、ピアリングされたネットワーク内のリソースが相互に通信できるようになり、ファイアウォール ルールを更新せずにサブネットを追加できるようになります。 - [確認] をクリックします。
[作成] をクリックします。
network-a
を network-b
とピアリングする
このセクションでは、network-b
とピアリングするように network-a
を構成します。
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[接続を作成] をクリックします。
[続行] をクリックします。
自分側の接続に対して、[名前] に「
peer-ab
」と入力します。[VPC ネットワーク] で [
network-a
] を選択します。[ピアリングした VPC ネットワーク] ラジオボタンを
In another project
に設定します。他のプロジェクトのプロジェクト ID を指定します。
他のネットワーク(
network-b
)の VPC ネットワーク名を指定します。[カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
[作成] をクリックします。
project-b
の network-b
に一致する構成がないため、この時点でピアリング状態は INACTIVE
のままになります。
ピアリング状態が ACTIVE
になると、VPC ネットワーク ピアリングで自動的にサブネット ルートが交換されます。さらに Google Cloud では、ピアリング接続を介してカスタムルート(静的ルートと動的ルート)をインポートまたはエクスポートすることで、カスタムルートの交換を行います。カスタムルートを共有するには、あらかじめ双方のネットワークがカスタムルートを交換できるように構成されている必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
現在のピアリング状態を確認するには、ピアリング接続を表示します。
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[
peer-ab
] を選択します。[ピアリング接続の詳細] ページで、ステータスがInactive. Waiting for the connection to be created by network-b
になっています。
network-b
を network-a
とピアリングする
このセクションでは、network-b
から network-a
に一致するピアリング構成を作成して、両方のピアリングが ACTIVE
になるようにします。
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[接続を作成] をクリックします。
[続行] をクリックします。
自分側の接続に対して、[名前] に「
peer-ba
」と入力します。[VPC ネットワーク] で
network-b
を選択します。[ピアリングした VPC ネットワーク] ラジオボタンを
In another project
に設定します。他のプロジェクトのプロジェクト ID を指定します。
他のネットワーク(
network-b
)の VPC ネットワーク名を指定します。[カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
[作成] をクリックします。
VPC ネットワーク ピアリングが ACTIVE
になる
ピアリングが ACTIVE
状態になるとすぐにサブネット ルートとカスタムルートが交換され、ネットワーク内のリソース間でトラフィックが流れます。
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページで、作成した接続のステータスが
ACTIVE
になります。他のプロジェクトの [VPC ネットワーク ピアリング] ページに移動し、ステータスに「
ACTIVE
」と表示されていることを確認します。
VPC ネットワーク ピア間で、ピアリングされたネットワークの CIDR 接頭辞へのルートが公開されます。これらのルートは、アクティブなピアリング接続用に生成される暗黙的なルートです。対応するルートリソースはありません。次の手順を行うと、project-a
のすべての VPC ネットワークのルートが一覧表示されます。
コンソール
Google Cloud Console で、[ルート] ページに移動します。
[ネットワーク] と [リージョン] で、
network-a
とsubnet-a
を作成したリージョンを選択し、[表示] をクリックします。ルートのリストに、
subnet-b
のPeering subnet
ルートが含まれています。
クリーンアップ
このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の操作を行います。
プロジェクトを削除する
作成したプロジェクトを削除するには:
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
リソースを個別に削除する
プロジェクト全体を削除しない場合は、作成した VPC ネットワーク ピアリング接続と VPC ネットワークを削除します。
ネットワークを削除する前に、VPC ネットワーク ピアリング接続を削除する必要があります。
VPC ネットワーク ピアリング接続を削除する
VPC ネットワークのピアリング接続を削除するには:
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
削除するピアリングの横にあるチェックボックスをオンにします。
[削除] をクリックします。
VPC ネットワークを削除する
VPC ネットワークを削除するには:
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
VPC ネットワークの名前をクリックして、[VPC ネットワークの詳細] ページを表示します。
[VPC ネットワークを削除] をクリックします。
表示されたメッセージで、[削除] をクリックして確定します。
次のステップ
VPC ネットワーク ピアリングの詳細については、以下をご覧ください。