Google Cloud Platform(GCP)Virtual Private Cloud(VPC)ネットワーク ピアリングを利用すると、同じプロジェクトまたは同じ組織に属しているかどうかにかかわらず、2 つの VPC ネットワーク間で RFC 1918 のプライベート接続を行うことができます。
VPC ネットワーク ピアリングの詳細については、VPC ネットワーク ピアリングの概要をご覧ください。
ピアリング構成の作成
操作を始める前に、ピアリング先の VPC ネットワークの名前を確認する必要があります。そのネットワークが別のプロジェクトにある場合は、そのプロジェクトのプロジェクト ID も必要です。
ピアリングを構成することは、別の VPC ネットワークに接続する意思があることを表します。ピアリングされるそれぞれのネットワークが相手側とのピアリングを構成するまでは、両者は接続されません。相手側のネットワークでこちら側のネットワークとピアリングするための構成が行われると、双方のネットワークでピアリング状態が ACTIVE に変わり、接続が確立されます。相手側のネットワークで同じピアリング構成が行われていない場合、ピアリング状態は INACTIVE のままになります。これは、2 つのネットワークが接続されていないことを示します。
接続された 2 つのネットワークは常にサブネット ルートを交換します。ピアリング先のネットワークが静的と動的のカスタムルートをエクスポートするように構成されていれば、そのネットワークから必要に応じて両方のカスタムルートをインポートできます。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - [ピアリング接続を作成] をクリックします。
- [続行] をクリックします。
- ピアリング接続の名前を入力します。
- [VPC ネットワーク] で、ピアリングするネットワークを選択します。
ピアリング先のネットワークを選択します。
- ピアリング先のネットワークが同じプロジェクト内にある場合は、[プロジェクト [プロジェクト名]] を選択した後、ピアリング先のネットワークを選択します。
- ピアリング先のネットワークが別のプロジェクト内にある場合は、[別のプロジェクト] を選択します。ピアリング先のネットワークを含むプロジェクトの ID と、その VPC ネットワークの名前を指定します。
カスタムルートをインポートまたはエクスポートするには、[カスタムルートの交換] セクションを展開し、[カスタムルートをインポートする] と [カスタムルートをエクスポートする] のいずれか、またはその両方をオンにします。
[作成] をクリックします。
gcloud
VPC ネットワーク ピアリング接続を作成します。--import-custom-routes と --export-custom-routes フラグを使用して、ピアリングされるネットワークとの間でカスタムルートをインポートまたはエクスポートします。
gcloud compute networks peerings create [PEERING-NAME] \
--auto-create-routes \
--network=[MY-LOCAL-NETWORK] \
--peer-project [PEER-PROJECT-ID] \
--peer-network [PEER-NETWORK-NAME] \
[--import-custom-routes] \
[--export-custom-routes]
ピアリング接続の更新
既存の VPC ネットワーク ピアリング接続を更新して、ピア VPC ネットワークとの間でのカスタムルートのエクスポートまたはインポートに関する設定を変更します。
カスタムルートをインポートできるのは、ピア ネットワークがカスタムルートをエクスポートしている場合のみです。ピア ネットワークでは、カスタムルートをインポートする場合にのみカスタムルートを受け取ります。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - 更新するピアリング接続を選択します。
- [編集] をクリックします。
- [カスタムルートをインポートする] または [カスタムルートをエクスポートする] をオン / オフにして、カスタムルートの設定を更新します。
gcloud
ピアリング接続を更新して、カスタムルートのインポートまたはエクスポートに関する設定を変更します。
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
ピアリング接続の一覧表示
既存のピアリング接続を一覧表示すると、それぞれのステータスと、カスタムルートのインポートまたはエクスポートが行われているかを確認できます。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動し、プロジェクト内のすべてのピアリング接続を一覧表示します。
[VPC ネットワーク ピアリング] ページに移動 - 目的のピアリング接続を選択し、詳細を表示します。
gcloud
gcloud compute networks peerings list \
--network=[MY-LOCAL-NETWORK]
ピアリング接続のルートの一覧表示
自分の VPC ネットワークがピアリング先の VPC ネットワークとの間でインポートまたはエクスポートを行っているルートを一覧表示します。エクスポートされたルートでは、ピア ネットワークがカスタムルートを受け入れているか拒否しているかを確認できます。インポートされたルートでは、自分のネットワークがピア ネットワークからのカスタムルートを受け入れているか拒否しているかを確認できます。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動し、プロジェクト内のすべてのピアリング接続を一覧表示します。
[VPC ネットワーク ピアリング] ページに移動 - 目的のピアリング接続を選択し、詳細を表示します。
自分のネットワークがインポートまたはエクスポートしているカスタムルートを表示します。リージョン セレクタを使用して、特定のリージョン内の動的ルートを表示します。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。
- インポートされたカスタムルートを表示するには、[インポート済みのルート] タブを選択します。
- エクスポートされたカスタムルートを表示するには、[エクスポート済みのルート] タブを選択します。
gcloud
gcloud compute networks peerings list-routes [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK]
--region=[REGION] \
--direction=INCOMING|OUTGOING
--regionフラグを指定すると、特定のリージョンからのすべての動的ルートが一覧表示されます。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。--directionでは、インポートされたルート(INCOMING)とエクスポートされたルート(OUTGOING)のどちらを一覧表示するかを指定します。
VPC ネットワーク ピアリング接続の削除
ピアリング構成の削除は、自分自身で行うこともピア VPC ネットワークのネットワーク管理者が行うこともできます。ピアリング構成を削除すると、相手側のネットワークでピアリング接続が INACTIVE に切り替わり、ネットワーク間で共有されていたすべてのルートが削除されます。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - 削除するピアリングの横にあるチェックボックスをオンにします。
- [削除] をクリックします。
gcloud
gcloud compute networks peerings delete [PEERING-NAME] \
--network [NETWORK-NAME]
VPC ネットワーク ピアリングの設定例
たとえば、組織 organization-a が project-a の network-a と project-b の network-b との間で VPC ネットワーク ピアリングを確立する必要があるとします。VPC ネットワーク ピアリングを正常に確立するには、network-a と network-b の管理者がそれぞれのネットワークでピアリングを構成する必要があります。
ステップ 1: network-a を network-b とピアリングする
project-a で適切な IAM 権限を持つユーザーが、network-a を network-b とピアリングするように構成します。たとえば、roles/editor または roles/compute.networkAdmin の役割を持つユーザーがピアリングを構成できます。
始める前に、ピアリングするネットワークのプロジェクト ID とネットワーク名が必要です。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - [ピアリング接続を作成] をクリックします。
- [続行] をクリックします。
- 自分側の接続に対して、[名前] に
peer-abと入力します。 - [VPC ネットワーク] で、ピアリングするネットワークを選択します。
- 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] を
In another projectに設定します。 - 他のプロジェクトのプロジェクト ID を指定します。
- 他のネットワークの VPC ネットワーク名を指定します。
- [作成] をクリックします。
- カスタムルートをインポートおよびエクスポートします。
- [カスタムルートの交換] セクションを展開します。
- [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
gcloud
gcloud compute networks peerings create peer-ab \
--network network-a \
--peer-project project-b \
--peer-network network-b \
--import-custom-routes \
--export-custom-routes
この段階では project-b の network-b に一致する構成がないため、ピアリング状態は INACTIVE のままです。
ピアリング状態が ACTIVE になると、VPC ネットワーク ピアリングで自動的にサブネット ルートが交換されます。さらに Google Cloud では、ピアリング接続を介してカスタムルート(静的ルートと動的ルート)をインポートまたはエクスポートすることで、カスタムルートの交換を行います。カスタムルートを共有するには、あらかじめ双方のネットワークがカスタムルートを交換できるように構成されている必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。
現在のピアリング状態を確認するには、ピアリング接続を表示します。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - ステータスに「ピア ネットワークの接続を待機しています」と表示されます。
gcloud
gcloud compute networks peerings list --network network-a
NAME NETWORK PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE STATE_DETAILS
peer-ab network-a project-b network-b True True True INACTIVE The peering network has not been configured.
ステップ 2: network-b を network-a とピアリングする
ピアリングを両側で ACTIVE 状態にするには、project-b の NetworkAdmin または適切な IAM 権限を持つユーザーが network-b から network-a に同じ構成を行う必要があります。
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - [ピアリング接続を作成] をクリックします。
- [続行] をクリックします。
- 自分側の接続に対して、[名前] に
peer-baと入力します。 - [VPC ネットワーク] で、ピアリングするネットワークを選択します。
- 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] を
In another projectに設定します。 - 他のプロジェクトのプロジェクト ID を指定します。
- 他のネットワークの VPC ネットワーク名を指定します。
- [作成] をクリックします。
- カスタムルートをインポートおよびエクスポートします。
- [カスタムルートの交換] セクションを展開します。
- [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
gcloud
gcloud compute networks peerings create peer-ba \
--network network-b \
--peer-project project-a \
--peer-network network-a \
--import-custom-routes \
--export-custom-routes
ステップ 3: VPC ネットワーク ピアリングが ACTIVE になる
ピアリングが ACTIVE 状態に移行すると、すぐにサブネット ルートとカスタムルートが交換されます。次のトラフィック フローが設定されます。
- ピアリングされるネットワークの VM インスタンス間: フルメッシュ接続
- 一方のネットワークの VM インスタンスから、ピアリングされるネットワークの内部 TCP/UDP 負荷分散エンドポイント
Console
- Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] ページに移動 - ステータスに「接続済み」と表示されます。
- 他のプロジェクトで [VPC ネットワーク ピアリング] ページに移動し、ステータスに「接続済み」と表示されていることも確認します。
gcloud
gcloud compute networks peerings list --network network-a
NAME NETWORK PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE STATE_DETAILS
peer-ab network-a project-b network-b True True True ACTIVE The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-b
NAME NETWORK PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE STATE_DETAILS
peer-ba network-b project-a network-a True True True ACTIVE The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
VPC ネットワーク ピア間で、ピアリングされるネットワークの CIDR プレフィックスへのルートが公開されます。これらのルートは、アクティブなピアリング接続用に生成される暗黙的なルートです。対応するルートリソースはありません。次の手順を行うと、project-a のすべての VPC ネットワークのルートが一覧表示されます。
Console
- Google Cloud Console の [ルート] ページに移動します。
[ルート] ページに移動
gcloud
gcloud compute routes list --project project-a
NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY
default-route-2a865a00fa31d5df network-a 0.0.0.0/0 default-internet-gateway 1000
default-route-8af4732e693eae27 network-a 10.0.0.0/16 1000
peering-route-4732ee69e3ecab41 network-a 10.8.0.0/16 peer-ab 1000
peering-static-route network-a 10.138.0.0/20 peer-ab 1000
複数のピアリング接続の作成
ここでは、network-a の VM インスタンスが 2 つの異なる外部組織(SaaS1 と SaaS2)のサービスにアクセスする場合について考えてみます。内部(プライベート、RFC 1918)IP アドレスのみを使用して両方のサービスにアクセスするには、2 つのピアリング接続が必要です。
network-aによって、SaaS1内のnetwork-bがピアリングされます。network-aによって、SaaS2内のnetwork-cがピアリングされます。
VPC ネットワーク ピアリングでは、network-b と network-c が異なるプロジェクトや異なる組織にあっても構いません。
この設定を作成するには、2 つの異なるピアリング セッションを作成するだけです。
制限事項
ピアリングされる VPN ネットワーク間でサブネット IP 範囲を重複できない
ピアリングされる VPC ネットワークで、他のサブネットと重複するサブネット IP 範囲は設定できません。
VPC ネットワーク ピアリング設定時に実行されるチェック
ピアリング時に、GCP は 2 つの VPC ネットワーク間またはピアリングされるネットワークでサブネットの IP 範囲が重複していないことを確認します。重複がある場合、ピアリングは確立しません。VM インスタンス間でフルメッシュ接続が構成されるため、ピアリングされる VPC ネットワークのサブネットで IP 範囲が重複していると、ルーティングで問題が発生します。
特定の VPC ネットワークのピア間でサブネット IP 範囲が重複していると、ルーティングで競合が発生します。たとえば、VPC ネットワーク N1 が VPC ネットワーク N2 とピアリングしているときに、VPC ネットワーク N3 が N2 とのピアリングを試みたとします。N3 のサブネット Subnet_5 がネットワーク N1 の Subnet_1 と IP 範囲が重複しているため、このピアリングは確立しません。
VPC ネットワーク ピアリングのサブネット作成時に実行されるチェック
VPC サブネットの作成やサブネット IP 範囲の拡大が行われる際に、GCP は、新しいサブネットの IP 範囲が同じ VPC ネットワークまたは直接ピアリングされている VPC ネットワーク内のサブネットと重複していないことを確認します。重複する場合、作成または拡大は失敗します。下の図で、新しいサブネット subnet_3 をネットワーク N2 に作成する場合、直接ピアリングされるネットワーク N1 の定義と重複する IP 範囲は使用できません。
GCP は、ピアリングされるネットワークを持つ VPC ネットワーク間でサブネット IP 範囲が重複していないことも確認します。重複する場合、作成または拡大は失敗します。下の図で、新しいサブネット subnet_5 をネットワーク N3 に作成する場合、ネットワーク N1 はすでに N2 とピアリングされているため、直接ピアリングされるネットワーク N2 のサブネット IP 範囲だけでなく、ネットワーク N1 の定義に重複する IP 範囲も使用できません。
レガシー ネットワークは VPC ネットワーク ピアリングでサポートされていない
レガシー ネットワークにはサブネットがありません。レガシー ネットワークは他のネットワークとピアリングできないため、VPC ネットワーク ピアリングでサポートされていません。
プロジェクト間に Compute Engine DNS が存在しない
ネットワークで作成した Compute Engine 内部 DNS 名で、ピアリングされるネットワークにアクセスすることはできません。ピアリングされるネットワーク内の VM インスタンスに達するには、VM の IP アドレスを使用する必要があります。
ピアリングされるネットワーク間でタグとサービス アカウントを使用できない
ピアリングされる一方のネットワークのタグまたはサービス アカウントを他方のネットワーク内で使用することはできません。
GKE と VPC ネットワーク ピアリング
GKE での VPC ネットワーク ピアリングは、IP エイリアスおよびカスタムルートと併用する場合にサポートされます。Kubernetes Services(内部 TCP/UDP 負荷分散を介して公開されている場合)と Pod IP には、VPC ネットワークから到達できます。
制限
VPC ネットワーク ピアリングの制限をご覧ください。
トラブルシューティング
Q: ピアリング接続が設定されていますが、ピア VM または内部ロードバランサに到達できません。
ピアリング接続が ACTIVE になった後、ピアリングされる VPC ネットワーク間ですべてのトラフィック フローが設定されるまでに 1 分ほどかかることがあります。この時間は、ピアリングしている VPC ネットワークのサイズによって異なります。ピアリング接続を設定したばかりの場合は、1 分ほど待ってからもう一度お試しください。また、ピア VPC ネットワークのサブネット CIDR へのアクセスおよび CIDR からのアクセスをブロックするファイアウォール ルールがないことを確認してください。
Q: ピアリング接続を設定しようとすると、別のピアリング オペレーションが進行中であるというエラーが表示されます。
ルーティング更新などとの競合を避けるため、GCP ではピアリングされるネットワーク間のピアリング関連アクティビティは一度に 1 つしか許可されません。たとえば、あるネットワークとのピアリングを設定し、すぐに別のネットワークとのピアリングを設定しようとすると、最初のピアリングのすべてのタスクが完了していない可能性があります。すべてのタスクが完了するまでに 1 分ほどかかることがあります。または、既存のネットワーク ピアが、内部ロードバランサまたは VM を追加している可能性があります。どちらもネットワーク間の到達可能性に影響します。通常、ピアリング オペレーションの再試行は 1~2 分待ってから行うようにしてください。
Q: ピアリングが ACTIVE 状態の VPC ネットワークを削除しようとすると、エラーが発生します。
VPC ネットワークを削除するには、まずネットワーク内のすべてのピアリング構成を削除する必要があります。VPC ネットワーク ピアリング接続の削除をご覧ください。
Q: プライマリまたはセカンダリの IP 範囲が重複するサブネットを持つ VPC ネットワークをピアリングできますか。
いいえ。ピアリングできるのは、サブネットのプライマリとセカンダリのサブネット IP 範囲が一意である VPC ネットワークだけです。
Q: 自分の VPC ネットワークで新たに作成するサブネットのサブネット IP 範囲が、ピア ネットワークのサブネットやルートと競合しないようにするにはどうすればよいですか。
新しいサブネットを作成する前に、ピアリング接続のルートを一覧表示できます。この一覧にある宛先は、VPC ネットワークで新しいサブネットを作成するときにプライマリおよびセカンダリの IP 範囲として使用しないようにしてください。
Q: 別の VPC ネットワークとピアリングされている VPC ネットワークがあり、そこにサブネットを作成したいと考えています。このサブネットを、ピアサブネットと重複しないように作成するにはどうすればよいですか。
現時点では、重複を検出できるコマンドはありません。ピアリング先のネットワークの管理者に、そのネットワークにすでに存在するサブネット ルートを確認するよう依頼してください。
Q: VPC ピアリングにセキュリティやプライバシーの問題はありますか。
ピアリングが設定されると、各 VPC ネットワークは相手側のネットワークのサブネット範囲を認識します。さらに、各ピア VPC ネットワークは、ファイアウォール ルールがトラフィックを遮断するように設定されている場合を除いて、他のネットワークのすべての VM のトラフィックを送受信できます。ピアリングされるネットワーク間にそれ以上の相互視認性はありません。
Q: VPC ネットワーク ピアリングを使って他の VPC ネットワークから自分の VPC ネットワークに接続リクエストが行われているかどうかを判別するにはどうすればよいですか。
自分の VPC ネットワークに対するピアリング リクエストを一覧表示する方法はありません。確認できるのは自分が作成したピアリング構成のみです。
VPC ネットワーク ピアリングで接続を確立するには、自分のネットワークと別のネットワークの双方で相手方とのピアリング構成を作成する必要があります。別の VPC ネットワークのネットワーク管理者が自分のネットワークとのピアリング構成を作成したとしても、自分のネットワークでそのネットワークとのピアリング構成を作成しない限り、ピアリング接続は作成されません。
Q: Cloud VPN または Cloud Interconnect を使用して自分の VPC ネットワークに接続されているオンプレミス ネットワークで、ピア ネットワーク内のルートを使用できるようにするにはどうしたらよいですか。
VPC ネットワーク ピアリングでは推移的ルーティングはサポートされません。つまり、他のネットワークからインポートされたルートは、自分の VPC ネットワーク内の Cloud Router によって自動的にアドバタイズされません。ただし、ピア ネットワーク内の宛先へのルートを共有するために、VPC ネットワーク内の Cloud Router からのカスタム IP 範囲のアドバタイズを使用することはできます。
静的ルーティングを使用する Cloud VPN トンネルの場合は、ピア ネットワークの宛先範囲への静的ルートをオンプレミス ネットワーク内で構成する必要があります。
Q: ピアリングされるネットワーク間でカスタムルートが交換されないのはなぜですか。
まず、ピアリング接続のルートを一覧表示してください。目的の宛先へのルートが表示されない場合は、次の点を確認してください。
ピアリング接続を一覧表示します。目的の宛先範囲を含むネットワークを見つけて、そのピアリング状態が
ACTIVEであることを確認します。ピアリング接続がINACTIVEの場合、相手側のネットワークにこちら側のネットワークのピアリング構成が存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者と協力する必要があります。自分のネットワークのピアリング構成を更新して、相手側のネットワークからカスタムルートをインポートするように構成します。相手側のネットワークがそのカスタムルートをエクスポートするように構成されていることを確認してください。
Q: ピア ネットワークを宛先とするトラフィックがドロップされるのはなぜですか。
まず、ピアリング接続を一覧表示して、自分のネットワークが相手側にまだ接続されていることを確認します。ピアリング状態が INACTIVE であれば、こちら側のネットワークのピアリング構成が相手側のネットワークに存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者に問い合わせる必要があります。
次に、ピア接続のルートを一覧表示します。インポートできるルートの数は、VPC ネットワーク ピアリングの上限までです。
Q: トラフィックが想定外のネクストホップに送信されるのはなぜですか。
ルーティング順序を調べて、別のルートが代わりに選択されていないかを確認してください。
Q: VPC ネットワークが特定の VPC ネットワークとピアできないのはなぜですか。
特定の VPC ネットワークでピアリング構成を作成できない場合は、組織のポリシーによって、ネットワークでピアリングできる VPC ネットワークが制限されていることもあります。組織ポリシーで、許可されたネットワークのリストに、ロードバランサを作成するピアを追加するか、組織管理者にお問い合わせください。詳細については、constraints/compute.restrictVpcPeering 制約をご覧ください。
次のステップ
- VPC ルーティングの詳細について、ルートの概要を確認する。
- VPC ネットワーク ピアリングに関する上限について、VPC ネットワーク ピアリングの上限を確認する。
- カスタム静的ルートのネクストホップとして内部 TCP/UDP ロードバランサを使用する方法について、内部 TCP/UDP ロードバランサをネクストホップとして使用するで確認する。