VPC ネットワーク ピアリングの使用

Google Cloud VPC ネットワーク ピアリングでは、2 つの Virtual Private Cloud(VPC)ネットワークが同じプロジェクトまたは同じ組織に属しているかにかかわらず、内部 IP アドレス接続できます。

VPC ネットワーク ピアリングの詳細については、概要をご覧ください。

ピアリング構成の作成

操作を始める前に、ピアリング先の VPC ネットワークの名前を確認する必要があります。そのネットワークが別のプロジェクトにある場合は、そのプロジェクトのプロジェクト ID も必要です。

ピアリングを構成することは、別の VPC ネットワークに接続する意思があることを表します。ピアリングされるそれぞれのネットワークが相手側とのピアリングを構成するまでは、両者は接続されません。相手側のネットワークでこちら側のネットワークとピアリングするための構成が行われると、双方のネットワークでピアリング状態が ACTIVE に変わり、接続が確立されます。相手側のネットワークで同じピアリング構成が行われていない場合、ピアリング状態は INACTIVE のままになります。これは、2 つのネットワークが接続されていないことを示します。

接続された 2 つのネットワークは常にサブネット ルートを交換します。ピアリング先のネットワークが静的と動的のカスタムルートをエクスポートするように構成されていれば、そのネットワークから必要に応じて両方のカスタムルートをインポートできます。詳細については、カスタムルートのインポートとエクスポートをご覧ください。

Console

  1. Google Cloud Console で、[VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. [接続の作成] をクリックします。
  3. [続行] をクリックします。
  4. ピアリング接続の名前を入力します。
  5. [VPC ネットワーク] で、ピアリングするネットワークを選択します。
  6. ピアリング先のネットワークを選択します。

    • ピアリング先のネットワークが同じプロジェクト内にある場合は、[プロジェクト [NAME-OF-YOUR-PROJECT]] を選択した後、ピアリング先のネットワークを選択します。
    • ピアリング先のネットワークが別のプロジェクト内にある場合は、[別のプロジェクト] を選択します。ピアリング先のネットワークを含むプロジェクトの ID と、その VPC ネットワークの名前を指定します。
  7. カスタムルートをインポートまたはエクスポートするには、次のオプションのいずれかまたは両方を選択します。

    • カスタムルートをインポートして、相手側のネットワークからエクスポートされたカスタムルートをインポートする。
    • カスタムルートをエクスポートして、カスタムルートを他のネットワークにエクスポートする。他のネットワークは、使用するルートをインポートする必要があります。
  8. ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IP 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。プライベートで使用されるパブリック IP サブネット ルートをインポートするには:

    • [パブリック IP を使用したサブネット ルートのインポート] を選択して、他のネットワークからエクスポートしたパブリック IP サブネット ルートをインポートします。
  9. [作成] をクリックします。

gcloud

VPC ネットワーク ピアリング接続を作成します。

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project PEER_PROJECT_ID \
    --peer-network PEER_NETWORK_NAME \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

以下を更新します。

  • PEERING_NAME: ピアリング接続の名前
  • NETWORK: ピアリングするプロジェクトのネットワーク名
  • PEER_PROJECT_ID: ピアリング先のネットワークを含むプロジェクトの ID
  • PEER_NETWORK_NAME: ピアリング先のネットワーク名
  • --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IP アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IP アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。

Terraform

Terraform モジュールを使用してピアリング構成を作成できます。

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 3.2.1"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

ピアリングされた 2 つの VPC ネットワークの場合、各セルフリンクにはプロジェクト ID と VPC ネットワークの名前が含まれます。VPC ネットワークのセルフリンクを取得するには、VPC ネットワーク プロジェクトそれぞれで gcloud compute networks describe コマンドまたは networks.get メソッドを使用します。

local_network から peer_network へのピアリングを作成すると、ピアリング関係は双方向になります。peer_network から local_network へのピアリングが自動的に作成されます。

ピアリング接続の更新

既存の VPC ネットワーク ピアリング接続を更新して、VPC ネットワークが、ピア VPC ネットワーク間でカスタムルートまたはプライベート パブリック IP サブネット ルートのエクスポートまたはインポートを行うかどうかを変更します。

ルートをインポートするのは、ピア ネットワークがルートをエクスポートしている場合のみです。ピア ネットワークでは、ルートをインポートする場合にのみルートを受け取ります。

Console

  1. Google Cloud Console で、[VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. 更新するピアリング接続を選択します。
  3. [編集] をクリックします。
  4. カスタムルートをインポートまたはエクスポートするには、次のオプションのいずれかまたは両方を選択します。
    • カスタムルートをインポートして、相手側のネットワークからエクスポートされたカスタムルートをインポートする。
    • カスタムルートをエクスポートして、カスタムルートを他のネットワークにエクスポートする。他のネットワークは、使用するルートをインポートする必要があります。
  5. ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IP 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。プライベートで使用されるパブリック IP サブネット ルートをインポートするには:
    • [パブリック IP を使用したサブネット ルートのインポート] を選択して、他のネットワークからエクスポートしたパブリック IP サブネット ルートをインポートします。
    • [保存] をクリックします。

gcloud

ピアリング接続を更新して、カスタムルートのインポートまたはエクスポートに関する設定を変更します。

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

以下を更新します。

  • PEERING_NAME: 既存のピアリング接続の名前
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前
  • --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IP アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IP アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。

ピアリング接続の一覧表示

既存のピアリング接続を一覧表示すると、それぞれのステータスと、カスタムルートのインポートまたはエクスポートが行われているかを確認できます。

Console

  1. Google Cloud Console で、[VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. 目的のピアリング接続を選択し、詳細を表示します。

gcloud

gcloud compute networks peerings list

ピアリング接続のルートの一覧表示

自分の VPC ネットワークがピアリング先の VPC ネットワークとの間でインポートまたはエクスポートを行っているルートを一覧表示します。エクスポートされたルートでは、ピア ネットワークがカスタムルートを受け入れているか拒否しているかを確認できます。インポートされたルートでは、自分のネットワークがピア ネットワークからのカスタムルートを受け入れているか拒否しているかを確認できます。

Console

  1. Google Cloud Console で、[VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. 目的のピアリング接続を選択し、詳細を表示します。
  3. 自分のネットワークがインポートまたはエクスポートしているカスタムルートを表示します。リージョン セレクタを使用して、特定のリージョン内の動的ルートを表示します。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。

    • インポートされたカスタムルートを表示するには、[インポート済みのルート] タブを選択します。
    • エクスポートされたカスタムルートを表示するには、[エクスポート済みのルート] タブを選択します。

gcloud

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK
    --region=REGION \
    --direction=DIRECTION

以下を更新します。

  • PEERING_NAME: 既存のピアリング接続の名前
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前
  • REGION: すべての動的ルートの一覧を取得するリージョン。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。
  • DIRECTION: インポートされたルート(incoming)とエクスポートされたルート(outgoing)のどちらの一覧を取得するかを指定します。

VPC ネットワーク ピアリング接続の削除

ピアリング構成の削除は、自分自身で行うこともピア VPC ネットワークのネットワーク管理者が行うこともできます。ピアリング構成を削除すると、相手側のネットワークでピアリング接続INACTIVE に切り替わり、ネットワーク間で共有されていたすべてのルートが削除されます。

Console

  1. Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. 削除するピアリングの横にあるチェックボックスをオンにします。
  3. [削除] をクリックします。

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network NETWORK

以下を更新します。

  • PEERING_NAME: 削除するピアリング接続の名前
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前

VPC ネットワーク ピアリングの設定例

たとえば、組織 organization-aproject-anetwork-aproject-bnetwork-b との間で VPC ネットワーク ピアリングを確立する必要があるとします。VPC ネットワーク ピアリングを正常に確立するには、network-anetwork-b の管理者がそれぞれのネットワークでピアリングを構成する必要があります。

ステップ 1: network-a を network-b とピアリングする

project-a で適切な IAM 権限を持つユーザーが、network-anetwork-b とピアリングするように構成します。たとえば、roles/editor または roles/compute.networkAdmin のロールを持つユーザーがピアリングを構成できます。

network-a から network-b へのピアリング
network-A から network-B へのピアリング(クリックで拡大)

始める前に、ピアリングするネットワークのプロジェクト ID とネットワーク名が必要です。

Console

  1. Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. [接続の作成] をクリックします。
  3. [続行] をクリックします。
  4. 自分側の接続に対して、[名前] に peer-ab と入力します。
  5. [VPC ネットワーク] で、ピアリングするネットワークを選択します。
  6. 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] ラジオボタンを In another project に設定します。
  7. 他のプロジェクトのプロジェクト ID を指定します。
  8. 他のネットワークの VPC ネットワーク名を指定します。
  9. [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
  10. [作成] をクリックします。

gcloud

gcloud compute networks peerings create peer-ab \
    --network network-a \
    --peer-project project-b \
    --peer-network network-b \
    --import-custom-routes \
    --export-custom-routes

この段階では project-bnetwork-b に一致する構成がないため、ピアリング状態は INACTIVE のままです。

ピアリング状態が ACTIVE になると、VPC ネットワーク ピアリングで自動的にサブネット ルートが交換されます。さらに Google Cloud では、ピアリング接続を介してカスタムルート(静的ルートと動的ルート)をインポートまたはエクスポートすることで、カスタムルートの交換を行います。カスタムルートを共有するには、あらかじめ双方のネットワークがカスタムルートを交換できるように構成されている必要があります。詳細については、カスタムルートのインポートとエクスポートをご覧ください。

現在のピアリング状態を確認するには、ピアリング接続を表示します。

Console

  1. Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. ステータスに「ピア ネットワークの接続を待機しています」と表示されます。

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab   network-a project-b    network-b    True                 True                 True                 INACTIVE The peering network has not been configured.

ステップ 2: network-b を network-a とピアリングする

ピアリングを両側で ACTIVE 状態にするには、project-bNetworkAdmin または適切な IAM 権限を持つユーザーが network-b から network-a に同じ構成を行う必要があります。

network-b から network-a へのピアリング(クリックで拡大)
network-A から network-B へのピアリング(クリックで拡大)

Console

  1. Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. [接続の作成] をクリックします。
  3. [続行] をクリックします。
  4. 自分側の接続に対して、[名前] に peer-ba と入力します。
  5. [VPC ネットワーク] で、ピアリングするネットワークを選択します。
  6. 同じプロジェクト内でピアリングする場合を除き、[ピアリングした VPC ネットワーク] ラジオボタンを In another project に設定します。
  7. 他のプロジェクトのプロジェクト ID を指定します。
  8. 他のネットワークの VPC ネットワーク名を指定します。
  9. [カスタムルートをインポートする] と [カスタムルートをエクスポートする] をオンにします。
  10. [作成] をクリックします。

gcloud

gcloud compute networks peerings create peer-ba \
     --network network-b \
     --peer-project project-a \
     --peer-network network-a \
     --import-custom-routes \
     --export-custom-routes

ステップ 3: VPC ネットワーク ピアリングが ACTIVE になる

ピアリングが ACTIVE 状態に移行すると、すぐにサブネット ルートとカスタムルートが交換されます。次のトラフィック フローが設定されます。

  • ピアリングされるネットワークの VM インスタンス間: フルメッシュ接続
  • 一方のネットワークの VM インスタンスから、ピアリングされるネットワークの内部 TCP / UDP 負荷分散エンドポイント
ACTIVE 状態のピアリング(クリックで拡大)
ACTIVE 状態のピアリング(クリックで拡大)

Console

  1. Google Cloud Console の [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動
  2. ステータスに「接続済み」と表示されます。
  3. 他のプロジェクトで [VPC ネットワーク ピアリング] ページに移動し、そこでもステータスに「接続済み」と表示されていることを確認します。

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab  network-a   project-b    network-b   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-b
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ba  network-b   project-a    network-a   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.

VPC ネットワーク ピア間で、ピアリングされたネットワークの CIDR 接頭辞へのルートが公開されます。これらのルートは、アクティブなピアリング接続用に生成される暗黙的なルートです。対応するルートリソースはありません。次の手順を行うと、project-a のすべての VPC ネットワークのルートが一覧表示されます。

Console

  1. Google Cloud Console の [ルート] ページに移動します。
    [ルート] に移動

gcloud

gcloud compute routes list --project project-a
NAME                              NETWORK    DEST_RANGE     NEXT_HOP                  PRIORITY
default-route-2a865a00fa31d5df    network-a  0.0.0.0/0      default-internet-gateway  1000
default-route-8af4732e693eae27    network-a  10.0.0.0/16                              1000
peering-route-4732ee69e3ecab41    network-a  10.8.0.0/16    peer-ab                   1000
peering-static-route              network-a  10.138.0.0/20  peer-ab                   1000

複数のピアリング接続の作成

ここでは、network-a の VM インスタンスが 2 つの異なる外部組織(SaaS1SaaS2)のサービスにアクセスする場合について考えてみます。内部 IP アドレスのみを使用して両方のサービスにアクセスするには、2 つのピアリング接続が必要です。

  • network-a によって、SaaS1 内の network-b がピアリングされます。
  • network-a によって、SaaS2 内の network-c がピアリングされます。

VPC ネットワーク ピアリングでは、network-bnetwork-c が異なるプロジェクトや異なる組織にあっても構いません。

組織間のピアリング(クリックで拡大)
組織間のピアリング(クリックで拡大)

この設定を作成するには、2 つの異なるピアリング セッションを作成するだけです。

制限事項

ピアリングされる VPC ネットワーク間でサブネット IP 範囲を重複できない

ピアリングされる VPC ネットワークで、他のサブネットと重複するサブネット IP 範囲は設定できません。

VPC ネットワーク ピアリング設定時に実行されるチェック

ピアリング時に、Google Cloud は 2 つの VPC ネットワーク間またはピアリングされるネットワークでサブネットの IP 範囲が重複していないことを確認します。重複がある場合、ピアリングは確立しません。VM インスタンス間でフルメッシュ接続が構成されるため、ピアリングされた VPC ネットワークのサブネットで IP 範囲が重複していると、ルーティングで問題が発生します。

2 つのピアでのサブネット IP 範囲の重複(クリックで拡大)
2 つのピアでのサブネット IP 範囲の重複(クリックで拡大)

特定の VPC ネットワークのピア間でサブネット IP 範囲が重複していると、ルーティングで競合が発生します。たとえば、ネットワーク N1 がネットワーク N2 とピアリングしているときに、ネットワーク N3 が N2 とのピアリングを試みたとします。N3 のサブネット Subnet_5 がネットワーク N1 の Subnet_1 と IP 範囲が重複しているため、このピアリングは確立しません。

3 つのピアでのサブネット IP 範囲の重複(クリックで拡大)
3 つのピアでのサブネット IP 範囲の重複(クリックで拡大)

VPC ネットワーク ピアリングのサブネット作成時に実行されるチェック

サブネットが作成されるか、サブネット IP 範囲が拡張されると、Google Cloud は、新しいサブネット範囲が同じ VPC ネットワークまたはダイレクト ピアリングされている VPC ネットワーク内のサブネット IP 範囲と重複していないことを確認します。重複する場合、作成または拡大は失敗します。下の図で、新しいサブネット subnet_3 をネットワーク N2 に作成する場合、直接ピアリングされたネットワーク N1 の定義と重複する IP 範囲は使用できません。

サブネット作成時のチェック(クリックで拡大)
サブネット作成時のチェック(クリックで拡大)

Google Cloud は、ピアリングされるネットワークを持つ VPC ネットワーク間でサブネット IP 範囲が重複していないことも確認します。重複する場合、作成または拡大は失敗します。下の図で、新しいサブネット subnet_5 をネットワーク N3 に作成する場合、ネットワーク N1 はすでに N2 とピアリングされているため、直接ピアリングされるネットワーク N2 のサブネット IP 範囲だけでなく、ネットワーク N1 の定義に重複する IP 範囲も使用できません。

3 つのピアが存在する場合のサブネット作成時のチェック(クリックで拡大)
3 つのピアが存在する場合のサブネット作成時のチェック(クリックで拡大)

レガシー ネットワークは VPC ネットワーク ピアリングでサポートされていない

レガシー ネットワークにはサブネットがありません。レガシー ネットワークは他のネットワークとピアリングできないため、VPC ネットワーク ピアリングでサポートされていません。

プロジェクト間に Compute Engine DNS が存在しない

ネットワークで作成した Compute Engine 内部 DNS 名で、ピアリングされたネットワークにはアクセスできません。ピアリングされたネットワーク内の VM インスタンスに達するには、VM の IP アドレスを使用する必要があります。

ピアリングされたネットワーク間でタグとサービス アカウントを使用できない

ファイアウォール ルールで、ピアリングされたネットワークの VM に関連するタグまたはサービス アカウントを他のピアリングされたネットワークで参照することはできません。たとえば、ピアリングされたネットワークの上り(内向き)ルールがタグに基づいて送信元をフィルタリングしている場合、ピアリングされたネットワーク内の VM にそのタグが設定されていても、ピアリングではなく、そのネットワーク内から送信された VM トラフィックにのみルールが適用されます。サービス アカウントの場合も同様の状況になります。

GKE と VPC ネットワーク ピアリング

GKE での VPC ネットワーク ピアリングは、IP エイリアスまたはカスタムルートと併用する場合にサポートされます。Kubernetes Services(内部 TCP / UDP 負荷分散を介して公開されている場合)と Pod IP には、VPC ネットワークから到達できます。

上限

VPC ネットワーク ピアリングの制限をご覧ください。

トラブルシューティング

Q: ピアリング接続が設定されていますが、ピア VM または内部ロードバランサに到達できません。

ピアリング接続が ACTIVE になった後、ピアリングされたネットワーク間ですべてのトラフィック フローが設定されるまでに 1 分ほどかかることがあります。所要時間は、ピアリングしているネットワークのサイズによって異なります。ピアリング接続を最近設定した場合は、1 分ほど待ってからもう一度試してください。また、ピア VPC ネットワークのサブネット CIDR へのアクセスおよび CIDR からのアクセスをブロックするファイアウォール ルールがないことを確認してください。

Q: ピアリング接続を設定しようとすると、別のピアリング オペレーションが進行中であるというエラーが表示されます。

ルーティングの更新などとの競合を避けるため、Google Cloud で、ピアリング関連アクティビティは、ピアリングされたネットワーク間で一度に 1 つしか許可されません。たとえば、あるネットワークとのピアリングを設定し、すぐに別のネットワークとのピアリングを設定しようとすると、最初のピアリングのタスクが完了していない可能性があります。すべてのタスクが完了するまでに 1 分ほどかかることがあります。または、既存のネットワーク ピアが、内部ロードバランサまたは VM を追加している可能性があります。これは、どちらもネットワーク間の到達可能性に影響します。通常、ピアリング オペレーションの再試行は 1~2 分待ってから行うようにしてください。

Q: ピアリングが ACTIVE 状態の VPC ネットワークを削除しようとすると、エラーが発生します。

VPC ネットワークを削除するには、まずネットワーク内のすべてのピアリング構成を削除する必要があります。VPC ネットワーク ピアリング接続の削除をご覧ください。

Q: プライマリまたはセカンダリの IP 範囲が重複するサブネットを持つ VPC ネットワークをピアリングできますか。

いいえ。ピアリングできるのは、サブネットのプライマリとセカンダリのサブネット IP 範囲が一意である VPC ネットワークだけです。

Q: 自分の VPC ネットワークで新たに作成するサブネットのサブネット IP 範囲が、ピア ネットワークのサブネットやルートと競合しないようにするにはどうすればよいですか。

新しいサブネットを作成する前に、ピアリング接続のルートを一覧表示できます。この一覧にある宛先は、VPC ネットワークで新しいサブネットを作成するときにプライマリおよびセカンダリの IP 範囲として使用しないようにしてください。

Q: 別の VPC ネットワークとピアリングされている VPC ネットワークがあり、ネットワークにサブネットを作成したいのですが、このサブネットを、ピアサブネットと重複しないように作成するにはどうすればよいですか。

現時点では、重複を検出できるコマンドはありません。ピアリング先のネットワークの管理者に、そのネットワークにすでに存在するサブネット ルートを確認するよう依頼してください。

Q: VPC ネットワーク ピアリングにセキュリティやプライバシーの問題はありますか。

ピアリングが設定されると、各 VPC ネットワークは相手側のネットワークのサブネット範囲を認識します。さらに、各ピア VPC ネットワークは、ファイアウォール ルールがトラフィックを遮断するように設定されている場合を除いて、相手側のネットワークのすべての VM との間でトラフィックを送受信できます。ピアリングされるネットワーク間にそれ以上の相互視認性はありません。

Q: VPC ネットワーク ピアリングを使って他の VPC ネットワークから自分の VPC ネットワークに接続リクエストが行われているかどうかを判別するにはどうすればよいですか。

自分の VPC ネットワークに対するピアリング リクエストを一覧表示する方法はありません。確認できるのは自分が作成したピアリング構成のみです。

VPC ネットワーク ピアリングで接続を確立するには、自分のネットワークと別のネットワークの双方で相手方とのピアリング構成を作成する必要があります。別の VPC ネットワークのネットワーク管理者が自分のネットワークとのピアリング構成を作成しても、自分のネットワークでそのネットワークとのピアリングを構成しない限り、ピアリング接続は作成されません。

Q: Cloud VPN または Cloud Interconnect を使用して自分の VPC ネットワークに接続されているオンプレミス ネットワークで、ピア ネットワーク内のルートを使用できるようにするにはどうしたらよいですか。

VPC ネットワーク ピアリングでは推移的ルーティングはサポートされません。つまり、他のネットワークからインポートされたルートは、自分の VPC ネットワーク内の Cloud Router によって自動的にアドバタイズされません。ただし、ピア ネットワーク内の宛先へのルートを共有するために、VPC ネットワーク内の Cloud Router からのカスタム IP 範囲のアドバタイズを使用することはできます。

静的ルーティングを使用する Classic VPN トンネルの場合は、ピア ネットワークの宛先範囲への静的ルートをオンプレミス ネットワーク内で構成する必要があります。Classic VPN トンネルのユースケースのなかには非推奨になったものもあります

Q: ピアリングされるネットワーク間でカスタムルートが交換されないのはなぜですか。

まず、ピアリング接続のルートを一覧表示してください。目的の宛先へのルートが表示されない場合は、次の点を確認してください。

  • ピアリング接続を一覧表示します。目的の宛先範囲を含むネットワークを見つけて、そのピアリング状態が ACTIVE であることを確認します。ピアリング接続が INACTIVE の場合、相手側のネットワークにこちら側のネットワークのピアリング構成が存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者と協力する必要があります。

  • 自分のネットワークのピアリング構成を更新して、相手側のネットワークからカスタムルートをインポートするように構成します。相手側のネットワークがそのカスタムルートをエクスポートするように構成されていることを確認してください。

Q: ピア ネットワークを宛先とするトラフィックがドロップされるのはなぜですか。

まず、ピアリング接続を一覧表示して、自分のネットワークが相手側にまだ接続されていることを確認します。ピアリング状態が INACTIVE であれば、こちら側のネットワークのピアリング構成が相手側のネットワークに存在していません。相手側のネットワークを自分で管理していない場合は、それを管理しているネットワーク管理者に問い合わせる必要があります。

次に、ピア接続のルートを一覧表示します。インポートできるルートの数は、VPC ネットワーク ピアリングの上限までです。

Q: トラフィックが想定外のネクストホップに送信されるのはなぜですか。

ルーティング順序を調べて、別のルートが代わりに選択されたかどうかを確認してください。

Q: VPC ネットワークが特定の VPC ネットワークとピアできないのはなぜですか。

特定の VPC ネットワークでピアリング構成を作成できない場合は、組織のポリシーによって、ネットワークでピアリングできる VPC ネットワークが制限されていることもあります。組織ポリシーで、許可されたネットワークのリストに、ロードバランサを作成するピアを追加するか、組織管理者にお問い合わせください。詳細については、constraints/compute.restrictVpcPeering の制約をご覧ください。

次のステップ