VPC ネットワーク ピアリングを使用する
Google Cloud VPC ネットワーク ピアリングでは、2 つの Virtual Private Cloud(VPC)ネットワークが同じプロジェクトまたは同じ組織に属しているかにかかわらず、内部 IP アドレス接続できます。ピアリングは、デュアルスタック サブネットを使用するネットワーク間の接続をサポートします。
詳細については、VPC ネットワーク ピアリングをご覧ください。
ピアリング構成を作成する
操作を始める前に、ピアリング先の VPC ネットワークの名前を確認する必要があります。そのネットワークが別のプロジェクトにある場合は、そのプロジェクトのプロジェクト ID も必要です。
ピアリングを構成することは、別の VPC ネットワークに接続する意思があることを表します。ピアリングされるそれぞれのネットワークが相手側とのピアリングを構成するまでは、両者は接続されません。相手側のネットワークでこちら側のネットワークとピアリングするための構成が行われると、双方のネットワークでピアリング状態が ACTIVE
に変わり、接続が確立されます。相手側のネットワークで同じピアリング構成が行われていない場合、ピアリング状態は INACTIVE
のままになります。これは、2 つのネットワークが接続されていないことを示します。
接続された 2 つのネットワークは常にサブネット ルートを交換します。ピアリングされたネットワークが、静的および動的 IPv4 カスタムルートと、動的 IPv6 カスタムルートをエクスポートするように構成されている場合、これらのカスタムルートをピアリングされたネットワークから必要に応じてインポートできます。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - [接続の作成] をクリックします。
- [続行] をクリックします。
- [名前] フィールドに、ピアリング構成の名前を入力します。
- [VPC ネットワーク] で、ピアリングするネットワークを選択します。
ピアリング先のネットワークを選択します。
- ピアリング先のネットワークが同じプロジェクト内にある場合は、[プロジェクト [NAME-OF-YOUR-PROJECT]] を選択した後、ピアリング先のネットワークを選択します。
- ピアリング先のネットワークが別のプロジェクト内にある場合は、[別のプロジェクト] を選択します。ピアリング先のネットワークを含むプロジェクトの ID と、その VPC ネットワークの名前を指定します。
[IP スタックタイプ] で、ピアリングされたネットワーク間で交換するサブネット ルートを指定します。
- IPv4(シングルスタック): IPv4 ルートのみを交換します。
- IPv4 と IPv6(デュアル スタック): IPv4 ルートと IPv6 ルートの両方を交換します。
IPv4 と IPv6 のカスタムルートをインポートまたはエクスポートするには、次のオプションのいずれかまたは両方を選択します。
- カスタムルートをインポートする: ピア ネットワークからカスタムルートをインポートします。ルートをインポートするには、ピア ネットワークでカスタムルートのエクスポートを有効にする必要があります。
- カスタムルートをエクスポートする: カスタムルートをピア ネットワークにエクスポートします。ルートをエクスポートするには、ピア ネットワークでカスタムルートのインポートを有効にする必要があります。
ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IPv4 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。プライベートで使用されるパブリック IPv4 サブネット ルートをインポートするには:
- [パブリック IP を使用したサブネット ルートのインポート] を選択して、他のネットワークからエクスポートしたパブリック IP サブネット ルートをインポートします。
[作成] をクリックします。
gcloud
VPC ネットワーク ピアリング接続を作成します。
gcloud compute networks peerings create PEERING_NAME \ --network=NETWORK \ --peer-project=PEER_PROJECT_ID \ --peer-network=PEER_NETWORK_NAME \ [--stack-type=STACK_TYPE] \ [--import-custom-routes] \ [--export-custom-routes] \ [--import-subnet-routes-with-public-ip] \ [--export-subnet-routes-with-public-ip]
次のように置き換えます。
PEERING_NAME
: ピアリング構成の名前。NETWORK
: ピアリングするプロジェクトのネットワーク名。PEER_PROJECT_ID
: ピアリング先のネットワークを含むプロジェクトの ID。PEER_NETWORK_NAME
: ピアリング先のネットワーク名。STACK_TYPE
: ピアリング接続のスタックタイプ。IPv4 ルートのみを交換する場合は、IPV4_ONLY
を指定します。あるいは、IPV4_IPV6
を指定して IPv4 ルートと IPv6 ルートの両方を交換します。IPV4_ONLY
がデフォルト値です。- --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
- --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
- --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IPv4 アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
- --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IP アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
Terraform
Terraform モジュールを使用してピアリング構成を作成できます。
ピアリングされた 2 つの VPC ネットワークの場合、各セルフリンクには、プロジェクト ID と VPC ネットワークの名前が含まれます。VPC ネットワークのセルフリンクを取得するには、VPC ネットワーク プロジェクトそれぞれで gcloud compute networks
describe
コマンドまたは networks.get
メソッドを使用します。
local_network
から peer_network
へのピアリングを作成すると、ピアリング関係は双方向になります。peer_network
から local_network
へのピアリングが自動的に作成されます。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
ピアリング接続を更新する
既存の VPC ネットワーク ピアリング接続を更新すると、次のことができます。
- VPC ネットワークが、ピア VPC ネットワーク間でカスタムルートまたはプライベート パブリック IPv4 サブネット ルートのエクスポートまたはインポートを行うかどうかを変更します。
- 既存のピアリング接続を更新して、ピアリング ネットワーク間の IPv6 ルート交換を有効または無効にします。
ルートをインポートするのは、ピア ネットワークがルートをエクスポートしている場合のみです。ピア ネットワークでは、ルートをインポートする場合にのみルートを受け取ります。
コンソール
- Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - 更新するピアリング接続を選択します。
- [編集] をクリックします。
- [IP スタックタイプ] の選択を更新して、ピアリングされたネットワーク間で交換するサブネット ルートを指定します。
- IPv4(シングルスタック): ピアリングを介した既存の IPv6 ルートの交換を停止し、IPv4 ルートのみの交換を継続します。
- IPv4 と IPv6(デュアル スタック): IPv4 ルートと IPv6 ルートの交換を開始します(一致するピアリング接続で IP スタックタイプが [IPv4 と IPv6(デュアル スタック)] に設定されている場合)。
- IPv4 と IPv6 のカスタムルートをインポートまたはエクスポートするには、次のオプションのいずれかまたは両方を選択します。
- カスタムルートをインポートして、相手側のネットワークからエクスポートされたカスタムルートをインポートする。
- カスタムルートをエクスポートして、カスタムルートを他のネットワークにエクスポートする。他のネットワークは、使用するルートをインポートする必要があります。
- ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IPv4 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。プライベートで使用されるパブリック IPv4 サブネット ルートをインポートするには:
- [パブリック IP を使用したサブネット ルートのインポート] を選択して、他のネットワークからエクスポートしたパブリック IP サブネット ルートをインポートします。
- [保存] をクリックします。
gcloud
gcloud compute networks peerings update PEERING_NAME \ --network=NETWORK \ [--stack-type=STACK_TYPE] \ [--import-custom-routes] \ [--export-custom-routes] \ [--export-subnet-routes-with-public-ip] \ [--import-subnet-routes-with-public-ip]
以下を更新します。
PEERING_NAME
: 既存のピアリング接続の名前。NETWORK
: ピアリングされているプロジェクト内のネットワークの名前。STACK_TYPE
: ピアリング接続のスタックタイプ。- ピアリングでの IPv6 ルートの既存の交換を停止し、IPv4 ルートのみの交換を継続するには、
IPV4_ONLY
を指定します。 - 一致するピアリング接続の
stack_type
がIPV4_IPV6
に設定されている場合は、IPv4 ルートと IPv6 ルートの交換を開始するために、IPV4_IPV6
を指定します。
- ピアリングでの IPv6 ルートの既存の交換を停止し、IPv4 ルートのみの交換を継続するには、
- --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
- --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
- --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IPv4 アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
- --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IP アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
ピアリング接続を一覧表示する
既存のピアリング接続を一覧表示すると、それぞれのステータスと、カスタムルートのインポートまたはエクスポートが行われているかを確認できます。
コンソール
- Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - 目的のピアリング接続を選択し、詳細を表示します。
gcloud
gcloud compute networks peerings list
ピアリング接続のルートを一覧表示する
VPC ネットワークがピアリング先の VPC ネットワークとの間でインポートまたはエクスポートを行っている動的ルートのリストを一覧表示できます。エクスポートされたルートでは、ピア ネットワークがカスタムルートを受け入れているか拒否しているかを確認できます。インポートされたルートでは、自分のネットワークがピア ネットワークからのカスタムルートを受け入れているか拒否しているかを確認できます。
リージョンによって表示されるルートの数が異なる場合があります。詳細については、トラブルシューティングをご覧ください。
コンソール
- Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - 目的のピアリング接続を選択し、詳細を表示します。
自分のネットワークがインポートまたはエクスポートしているカスタムルートを表示します。リージョン セレクタを使用して、特定のリージョン内の動的ルートを表示します。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。
- インポートされたカスタムルートを表示するには、[インポート済みのルート] タブを選択します。
- エクスポートされたカスタムルートを表示するには、[エクスポート済みのルート] タブを選択します。
gcloud
gcloud compute networks peerings list-routes PEERING_NAME \ --network=NETWORK \ --region=REGION \ --direction=DIRECTION
以下を更新します。
PEERING_NAME
: 既存のピアリング接続の名前。NETWORK
: ピアリングされているプロジェクト内のネットワークの名前。REGION
: すべての動的ルートの一覧を取得するリージョン。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。DIRECTION
: インポートされたルート(incoming
)とエクスポートされたルート(outgoing
)のどちらの一覧を取得するかを指定します。
VPC ネットワークのピアリング接続を削除する
ピアリング構成の削除は、自分自身で行うこともピア VPC ネットワークのネットワーク管理者が行うこともできます。ピアリング構成を削除すると、相手側のネットワークでピアリング接続が INACTIVE
に切り替わり、ネットワーク間で共有されていたすべてのルートが削除されます。
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - 削除するピアリングの横にあるチェックボックスをオンにします。
- [削除] をクリックします。
gcloud
gcloud compute networks peerings delete PEERING_NAME \ --network=NETWORK
以下を更新します。
PEERING_NAME
: 削除するピアリング接続の名前。NETWORK
: ピアリングされているプロジェクト内のネットワークの名前。
VPC ネットワーク ピアリングの設定例
たとえば、組織 organization-a
が project-a
の network-a
と project-b
の network-b
との間で VPC ネットワーク ピアリングを確立する必要があるとします。VPC ネットワーク ピアリングを正常に確立するには、network-a
と network-b
の管理者がそれぞれのネットワークでピアリングを構成する必要があります。
ステップ 1: network-a を network-b とピアリングする
project-a
で適切な IAM 権限を持つユーザーが、network-a
を network-b
とピアリングするように構成します。たとえば、roles/editor または roles/compute.networkAdmin のロールを持つユーザーがピアリングを構成できます。
始める前に、ピアリングするネットワークのプロジェクト ID とネットワーク名が必要です。
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - [接続の作成] をクリックします。
- [続行] をクリックします。
- 自分側の接続に対して、[名前] に
peer-ab
と入力します。 - [VPC ネットワーク] で、ピアリングするネットワークを選択します。
- 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] ラジオボタンを
In another project
に設定します。 - 他のプロジェクトのプロジェクト ID を指定します。
- 他のネットワークの VPC ネットワーク名を指定します。
- [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
- [作成] をクリックします。
gcloud
gcloud compute networks peerings create peer-ab \ --network=network-a \ --peer-project=project-b \ --peer-network=network-b \ --import-custom-routes \ --export-custom-routes
project-b
の network-b
に一致する構成がないため、この時点でピアリング状態は INACTIVE
のままになります。
ピアリング状態が ACTIVE
になると、VPC ネットワーク ピアリングで自動的にサブネット ルートが交換されます。さらに Google Cloud では、ピアリング接続を介してカスタムルート(静的ルートと動的ルート)をインポートまたはエクスポートすることで、カスタムルートの交換を行います。カスタムルートを共有するには、あらかじめ双方のネットワークがカスタムルートを交換できるように構成されている必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
現在のピアリング状態を確認するには、ピアリング接続を表示します。
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - ステータスに「ピア ネットワークの接続を待機しています」と表示されます。
gcloud
gcloud compute networks peerings list --network network-a
ステップ 2: network-b を network-a とピアリングする
ピアリングを両側で ACTIVE
状態にするには、project-b
の NetworkAdmin または適切な IAM 権限を持つユーザーが network-b
から network-a
に同じ構成を行う必要があります。
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - [接続の作成] をクリックします。
- [続行] をクリックします。
- 自分側の接続に対して、[名前] に
peer-ba
と入力します。 - [VPC ネットワーク] で、ピアリングするネットワークを選択します。
- 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] ラジオボタンを
In another project
に設定します。 - 他のプロジェクトのプロジェクト ID を指定します。
- 他のネットワークの VPC ネットワーク名を指定します。
- [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
- [作成] をクリックします。
gcloud
gcloud compute networks peerings create peer-ba \ --network=network-b \ --peer-project=project-a \ --peer-network=network-a \ --import-custom-routes \ --export-custom-routes
ステップ 3: VPC ネットワーク ピアリングが ACTIVE
になる
ピアリングが ACTIVE
状態に移行すると、すぐにサブネット ルートとカスタムルートが交換されます。次のトラフィック フローが設定されます。
- ピアリングされたネットワークの VM インスタンス間: フルメッシュ接続
- 一方のネットワークの VM インスタンスから、ピアリングされたネットワークの内部パススルー ネットワーク ロードバランサ エンドポイント
コンソール
- Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動 - ステータスに「接続済み」と表示されます。
- 他のプロジェクトで [VPC ネットワーク ピアリング] ページに移動し、そこでもステータスに「接続済み」と表示されていることを確認します。
gcloud
gcloud compute networks peerings list --network network-a
VPC ネットワーク ピア間で、ピアリングされたネットワークの CIDR 接頭辞へのルートが公開されます。これらのルートは、アクティブなピアリング接続用に生成される暗黙的なルートです。対応するルートリソースはありません。次の手順を行うと、project-a
のすべての VPC ネットワークのルートが一覧表示されます。
コンソール
- Google Cloud コンソールの [ルート] ページに移動します。
[ルート] に移動
gcloud
gcloud compute routes list --project project-a
複数のピアリング接続を作成する
ここでは、network-a
の VM インスタンスが 2 つの異なる外部組織(SaaS1
と SaaS2
)のサービスにアクセスする場合について考えてみます。内部 IP アドレスのみを使用して両方のサービスにアクセスするには、2 つのピアリング接続が必要です。
network-a
によって、SaaS1
内のnetwork-b
がピアリングされます。network-a
によって、SaaS2
内のnetwork-c
がピアリングされます。
VPC ネットワーク ピアリングでは、network-b
と network-c
が異なるプロジェクトや異なる組織にあっても構いません。
この設定を作成するには、2 つの異なるピアリング セッションを作成します。
制限事項
ピアリングされる VPC ネットワーク間でサブネット IP 範囲を重複できない
ピアリングされる VPC ネットワークで、他のサブネットと重複するサブネット IP 範囲は設定できません。ピアリング時に、Google Cloud は重複する IP 範囲のサブネットの存在を確認します。存在する場合、ピアリングは失敗します。ピアリングされたネットワークの場合、VPC サブネットを作成したり、サブネット IP 範囲を拡張しようとすると、Google Cloud は新しいサブネット範囲が既存のサブネット範囲と重複していないことを確認します。
重複チェックの詳細については、以下をご覧ください。
レガシー ネットワークは VPC ネットワーク ピアリングでサポートされていない
レガシー ネットワークにはサブネットがありません。レガシー ネットワークは他のネットワークとピアリングできないため、VPC ネットワーク ピアリングでサポートされていません。
プロジェクト間に Compute Engine DNS が存在しない
ネットワークで作成した Compute Engine 内部 DNS 名で、ピアリングされたネットワークにはアクセスできません。ピアリングされたネットワーク内の VM インスタンスに達するには、VM の IP アドレスを使用する必要があります。
ピアリングされたネットワーク間でタグとサービス アカウントを使用できない
ファイアウォール ルールで、ピアリングされたネットワークの VM に関連するタグまたはサービス アカウントを他のピアリングされたネットワークで参照することはできません。たとえば、ピアリングされたネットワークの上り(内向き)ルールがタグに基づいて送信元をフィルタリングしている場合、ピアリングされたネットワーク内の VM にそのタグが設定されていても、ピアリングではなく、そのネットワーク内から送信された VM トラフィックにのみルールが適用されます。サービス アカウントの場合も同様の状況になります。
GKE と VPC ネットワーク ピアリング
GKE での VPC ネットワーク ピアリングは、IP エイリアスまたはカスタムルートと併用する場合にサポートされます。Kubernetes Service(内部パススルー ネットワーク ロードバランサを使用して公開される場合)と Pod IP は VPC ネットワーク経由で到達できます。
VPC ネットワーク ピアリングを使用した Cloud Load Balancing
Cloud Load Balancing は、VPC ネットワーク ピアリングでピアリングしている場合でも、ロードバランサのフロントエンドとバックエンドを異なる VPC ネットワークで持つことをサポートしません。
内部パススルー ネットワーク ロードバランサと内部アプリケーション ロードバランサは、ピアリングされた VPC ネットワークからクライアント アクセスを行う場合にのみ、VPC ネットワーク ピアリングをサポートします。
上限
VPC ネットワーク ピアリングの制限をご覧ください。
トラブルシューティング
Q: ピアリング接続が設定されていますが、ピア VM または内部ロードバランサに到達できません。
ピアリング接続が ACTIVE になった後、ピアリングされたネットワーク間ですべてのトラフィック フローが設定されるまでに 1 分ほどかかることがあります。所要時間は、ピアリングしているネットワークのサイズによって異なります。ピアリング接続を最近設定した場合は、1 分ほど待ってからもう一度試してください。また、ピア VPC ネットワークのサブネット CIDR へのアクセスおよび CIDR からのアクセスをブロックするファイアウォール ルールがないことを確認してください。
Q: ピアリング接続を設定しようとすると、別のピアリング オペレーションが進行中であるというエラーが表示されます。
ルーティングの更新などとの競合を避けるため、Google Cloud で、ピアリング関連アクティビティは、ピアリングされたネットワーク間で一度に 1 つしか許可されません。たとえば、あるネットワークとのピアリングを設定し、すぐに別のネットワークとのピアリングを設定しようとすると、最初のピアリングのタスクが完了していない可能性があります。すべてのタスクが完了するまでに 1 分ほどかかることがあります。または、既存のネットワーク ピアが、内部ロードバランサまたは VM を追加している可能性があります。これは、どちらもネットワーク間の到達可能性に影響します。通常、ピアリング オペレーションの再試行は 1~2 分待ってから行うようにしてください。
Q: ピアリングが ACTIVE
状態の VPC ネットワークを削除しようとすると、エラーが発生します。
VPC ネットワークを削除するには、まずネットワーク内のすべてのピアリング構成を削除する必要があります。VPC ネットワーク ピアリング接続の削除をご覧ください。
Q: プライマリまたはセカンダリの IP 範囲が重複するサブネットを持つ VPC ネットワークをピアリングできますか。
いいえ。ピアリングできるのは、サブネットのプライマリとセカンダリのサブネット IP 範囲が一意である VPC ネットワークだけです。
Q: 自分の VPC ネットワークで新たに作成するサブネットのサブネット IP 範囲が、ピア ネットワークのサブネットやルートと競合しないようにするにはどうすればよいですか。
新しいサブネットを作成する前に、ピアリング接続のルートを一覧表示できます。この一覧にある宛先は、VPC ネットワークで新しいサブネットを作成するときにプライマリおよびセカンダリの IP 範囲として使用しないようにしてください。
Q: 別の VPC ネットワークとピアリングされている VPC ネットワークがあり、ネットワークにサブネットを作成したいのですが、このサブネットを、ピアサブネットと重複しないように作成するにはどうすればよいですか。
現時点では、重複を検出するコマンドはありません。ピアリング先のネットワークの管理者に、そのネットワークにすでに存在するサブネット ルートを確認するよう依頼してください。
Q: VPC ネットワーク ピアリングにセキュリティやプライバシーの問題はありますか。
ピアリングが設定されると、各 VPC ネットワークは相手側のネットワークのサブネット範囲を認識します。さらに、各ピア VPC ネットワークは、ファイアウォール ルールがトラフィックを遮断するように設定されている場合を除いて、相手側のネットワークのすべての VM との間でトラフィックを送受信できます。ピアリングされるネットワーク間にそれ以上の相互視認性はありません。
Q: ピアリングされる VPC ネットワーク間でトラフィックが通過していることを確認するには、どうすればよいですか。
VPC フローログを使用すると、VM インスタンスで送受信されたネットワーク フローを確認できます。また、ファイアウォール ルールロギングを使用して、ネットワーク間でのトラフィックの受け渡しを確認することもできます。ピアリングされるネットワーク間のトラフィックを許可(または拒否)する VPC ファイアウォール ルールを作成し、それらのルールのファイアウォール ルールロギングを有効にします。Cloud Logging で、どのファイアウォール ルールが一致したかを確認できます。
Q: VPC ネットワーク ピアリングを使って他の VPC ネットワークから自分の VPC ネットワークに接続リクエストが行われているかどうかを判別するにはどうすればよいですか。
VPC ネットワークのピアリング リクエストの一覧は表示できません。確認できるのは自分が作成したピアリング構成のみです。
VPC ネットワーク ピアリングで接続を確立するには、自分のネットワークと別のネットワークの双方で相手方とのピアリング構成を作成する必要があります。別の VPC ネットワークのネットワーク管理者が自分のネットワークとのピアリング構成を作成しても、自分のネットワークでそのネットワークとのピアリングを構成しない限り、ピアリング接続は作成されません。
Q: Cloud VPN または Cloud Interconnect を使用して自分の VPC ネットワークに接続されているオンプレミス ネットワークで、ピア ネットワーク内のルートを使用できるようにするにはどうしたらよいですか。
VPC ネットワーク ピアリングでは推移的ルーティングはサポートされません。つまり、他のネットワークからインポートされたルートは、自分の VPC ネットワーク内の Cloud Router によって自動的にアドバタイズされません。ただし、ピア ネットワーク内の宛先へのルートを共有するために、VPC ネットワーク内の Cloud Router からのカスタム IP 範囲のアドバタイズを使用することはできます。
静的ルーティングを使用する Classic VPN トンネルの場合は、ピア ネットワークの宛先範囲への静的ルートをオンプレミス ネットワーク内で構成する必要があります。Classic VPN トンネルのユースケースのなかには非推奨になったものもあります。
Q: ピアリングされるネットワーク間でカスタムルートが交換されないのはなぜですか。
まず、ピアリング接続のルートを一覧表示してください。目的の宛先へのルートが表示されない場合は、次の点を確認してください。
ピアリング接続を一覧表示します。目的の宛先範囲を含むネットワークを見つけて、そのピアリング状態が
ACTIVE
であることを確認します。ピアリング接続がINACTIVE
の場合、相手側のネットワークにこちら側のネットワークのピアリング構成が存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者と協力する必要があります。自分のネットワークのピアリング構成を更新して、相手側のネットワークからカスタムルートをインポートするように構成します。相手側のネットワークがそのカスタムルートをエクスポートするように構成されていることを確認してください。
Q: ピア ネットワークを宛先とするトラフィックがドロップされるのはなぜですか。
まず、ピアリング接続を一覧表示して、自分のネットワークが相手側にまだ接続されていることを確認します。ピアリング状態が INACTIVE
であれば、こちら側のネットワークのピアリング構成が相手側のネットワークに存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者に問い合わせる必要があります。
次に、ピア接続のルートを一覧表示します。インポートできるルートの数は、VPC ネットワーク ピアリングの上限までです。
Q: トラフィックが想定外のネクストホップに送信されるのはなぜですか。
ルーティング順序を調べて、別のルートが代わりに選択されたかどうかを確認してください。
Q: VPC ネットワークが特定の VPC ネットワークとピアできないのはなぜですか。
特定の VPC ネットワークでピアリング構成を作成できない場合は、組織のポリシーによって、ネットワークでピアリングできる VPC ネットワークが制限されていることもあります。組織ポリシーで、許可されたネットワークのリストに、ロードバランサを作成するピアを追加するか、組織管理者にお問い合わせください。詳細については、constraints/compute.restrictVpcPeering
の制約をご覧ください。
Q: 別の VPC ネットワークとピアリングされている VPC ネットワークがあり、ピアリングの stack_type
の値を IPV4_IPV6
に変更しました。しかし、ピアリングでの IPv6 サブネット ルートの交換を確認できません。
一致するピアリング接続の stack_type
の値も IPV4_IPV6
に設定されていることを確認してください。IPv6 ルートとトラフィックを交換するには、ピアリング接続の両側で stack_type
を IPV4_IPV6
に設定する必要があります。
Q: 別の VPC ネットワークとピアリングされている VPC ネットワークがあり、ピアリングの stack_type
の値を IPV4_IPV6
に変更しました。しかし、動的 IPv6 ルートがエクスポートされません。
動的 IPv6 ルートと静的 IPv6 ルートをエクスポートするには、一致するピアリング接続で –export-custom-route
フラグと –import-custom-route
フラグを有効にする必要があります。
Q: カスタムルートのインポートとエクスポートを有効にしました。しかし、IPv6 静的ルートと動的ルートが交換されません。
両方のピアリングで stack_type
が IPV4_IPV6
に設定されていることを確認してください。
Q: stack_type
を IPV4_IPV6
に切り替えるピアリング更新オペレーションが、割り当ての上限に達したため失敗しています。
ピアリングで IPv6 が有効になっている場合、いずれかのネットワークでインポートされたルートの数が、そのネットワークのピアリング グループあたりの割り当てを超えることがあります。リクエストを提出して、ピアリング グループあたりの割り当てを増やすか、いずれかのネットワークでルートを削除し、割り当てを超えないようにしてください。上限の詳細については、VPC ネットワーク ピアリングの上限をご覧ください。
Q: 一部の動的ルートはインポートされていますが、その一部が表示されません。
次の点を考慮してください。
リージョンによって表示されるルートの数が異なる場合があります。同じ IP アドレス範囲を持つ複数のルートがリージョン間で交換される場合、優先度の最も高いルートのみがインポートされます。これらのルートを同じリージョン間で交換する場合は、すべてのルートがインポートされます。
ネットワークがピアリング グループ内の動的ルートの上限に達すると、ルートがインポートされなくなります。ただし、どのルートが省略されているかを確認することはできません。
Q: –import-subnet-routes-with-public-ip
フラグと –export-subnet-routes-with-public-ip
フラグは、IPv6 サブネット ルートの交換に影響しますか?
いいえ。IPv4 サブネット ルートの交換にのみ影響します。
次のステップ
- VPC ルーティングの詳細については、ルートをご覧ください。
- VPC ネットワーク ピアリングに関する上限については、VPC ネットワーク ピアリングの上限をご覧ください。
- カスタム静的ルートのネクストホップとして内部パススルー ネットワーク ロードバランサを使用する方法については、内部パススルー ネットワーク ロードバランサをネクストホップとして使用するをご覧ください。