VPC ネットワーク ピアリング

Google Cloud Platform(GCP)Virtual Private Cloud(VPC)ネットワーク ピアリングを利用すると、同じプロジェクトまたは同じ組織に属しているかどうかにかかわらず、2 つの VPC ネットワーク間で RFC1918 のプライベート接続を行うことができます。

概要

VPC ネットワーク ピアリングを利用すると、GCP で SaaS(Software-as-a-Service)エコシステムを構築できます。組織内や組織間の異なる VPC ネットワークでサービスを非公開で提供し、RFC 1918 に規定のプライベート空間で通信を行うことができます。

VPC ネットワーク ピアリングは、次のような場合に役立ちます。

  • 組織に複数のネットワーク管理ドメインがある場合
  • 他の組織とピアリングを行う場合

組織内に複数のネットワーク管理ドメインが存在する場合、VPC ネットワーク ピアリングを利用すると、RFC1918 規定のプライベート空間で VPC ネットワーク全体にサービスを提供できます。他の組織にサービスを提供する場合、VPC ネットワーク ピアリングを利用すると、RFC1918 規定のプライベート空間で他の組織にサービスを提供できます。組織を超えてサービスを提供できれば、他の企業にサービスを提供することが可能になります。また、合併吸収の結果あるいは独自の要件のために、自社内に複数の組織ノードが存在する場合にも便利です。

VPC ネットワーク ピアリングは、ネットワークを接続するうえで外部 IP アドレスや VPN を使用するより次の点で優れています。

  • ネットワークのレイテンシ: パブリック IP ネットワークでは、プライベート ネットワークよりもレイテンシが大きくなります。
  • ネットワークのセキュリティ: サービス オーナーは、サービスをインターネットに公開して関連するリスクに対処する必要がありません。
  • ネットワークのコスト: GCP では、同じゾーン内のトラフィックであっても、外部 IP を使用して通信するネットワークに対して下り帯域幅の料金が発生します。ただし、ネットワークがピアリングされている場合、内部 IP を使用して通信することで、このような下りのコストを節約できます。 通常のネットワーク料金は、依然としてすべてのトラフィックに適用されます。

基本特性

ピアリングされた VPC ネットワークには次のような特性があります。

  • VPC ネットワーク ピアリングは、Compute EngineGKEApp Engine フレキシブル環境で動作します。
  • ピアリングされた VPC ネットワークの管理は別々に行います。ルート、ファイアウォール、VPN などのトラフィック管理ツールは、各 VPC ネットワークで別々に管理し、適用します。
  • ピアリングの両側は別々に設定されます。両側の構成が一致する場合にのみ、ピアリングが有効になります。ピアリング関係は、どちらの側でも、いつでも削除できます。
  • 一方の VPC ネットワークが作成されていなくても、他方の VPC ネットワークにピアリングを構成できます。
  • 1 つの VPC ネットワークを複数の VPC ネットワークにピアリングできますが、制限があります。
  • ピアリングされた一方の VPC ネットワーク内のサブネット CIDR 接頭辞は、ピアリングされた他方のネットワーク内のサブネット CIDR 接頭辞と重複することはできません。つまり、デフォルトのサブネットしかない 2 つの自動モード VPC ネットワークはピアリングできません。GCP は次の場合に重複を確認します。
    • 初めて VPC ネットワークをピアリングする場合
    • ピアリングされた VPC ネットワーク内に新しいサブネットを作成する場合
  • ピアリングされた一方の VPC ネットワーク内のサブネット CIDR 範囲が、ピアリングされた他方のネットワーク内のルートと重複することはできません。このルールは、サブネット ルートとカスタムルートの両方に適用されます。GCP は次の場合に重複を確認し、重複が発生しているときはエラーを生成します。
    • 初めて VPC ネットワークをピアリングする場合
    • ピアリングされた VPC ネットワークで静的ルートを作成する場合
    • ピアリングされた VPC ネットワーク内に新しいサブネットを作成する場合
  • VPC ネットワーク ピアリングがサポートされるのは、VPC ネットワークのみです。レガシー ネットワークでは、ピアリングはサポートされていません。
  • IAM 権限: VPC ネットワーク ピアリングの作成と削除について、新しい IAM 権限が追加されました。これらの権限は、プロジェクト オーナー / 編集者、ネットワーク管理者の役割に含まれています。
  • ネットワークをピアリングすると、プライベート内部 IP はすべて、ピアリングされたネットワーク間でアクセス可能になります。VPC ネットワーク ピアリングは、どのサブネット CIDR がピアリングされたネットワーク間で到達可能かをフィルタするような、細かなルート管理は行いません。このようなフィルタリングが必要な場合、トラフィックをフィルタするファイアウォール ルールを使用する必要があります。直接ピアリングされたネットワーク間では、次の種類のエンドポイント / リソースが到達可能です。
    • すべてのサブネットの仮想マシン(VM)の内部 IP
    • すべてのサブネットで内部負荷分散された IP
  • 直接ピアリングされたネットワークに、次の種類のエンドポイント / リソースは伝播されません。
    • 静的ルート
    • VPN
  • 通信できるのは、直接ピアリングされたネットワークのみです。推移的ピアリングはサポートされていません。たとえば、VPC ネットワーク N1 が N2 と N3 にピアリングされ、N2 と N3 が直接接続されていない場合、VPC ネットワーク N2 はピアリング経由で VPC ネットワーク N3 と通信できません。
  • ピアリング トラフィック(ピアリングされたネットワーク間で送受信されるトラフィック)のレイテンシ、スループット、可用性は、同じネットワーク内のプライベート トラフィックと同様です。
  • ピアリング トラフィックの課金ポリシーは、同じネットワーク内のプライベート トラフィックに対する課金ポリシーと変わりません。

VPC ネットワーク ピアリングのネットワーク機能

内部負荷分散

ピアリングされたネットワーク間で内部負荷分散を行うため、1 つのネットワークの内部負荷分散の転送ルールが、ピアリングされたネットワークの VM インスタンスにも自動的にインストールされます。追加の設定を行う必要はありません。下の図は、network-B の VM インスタンスが network-A の負荷分散バックエンドにアクセスする方法を表しています。この場合、network-A の内部負荷分散の設定が network-B に自動的に適用されています。内部負荷分散サービスは、直接ピアリングされたネットワークのクライアントにのみ提供されます。network-B が network-C とピアリングしている場合、network-A の内部負荷分散バックエンドに network-C のクライアントから到達することはできません。

VPC ネットワーク ピアリングでの内部負荷分散(クリックで拡大)
VPC ネットワーク ピアリングでの内部負荷分散(クリックで拡大)

内部負荷分散はリージョン サービスであり、到達できるのは内部ロードバランサと同じリージョン内の VM だけです。これは、ピアリングされたネットワーク内の VM も当てはまります。ピアリングされたネットワーク内の VM が内部ロードバランサと同じリージョン内にない場合は、この内部ロードバランサを使用できません。

ファイアウォール

ファイアウォール ルールは、ピアリングされたネットワークにインポートされません。ピアリングされたネットワークで許可またはブロックするトラフィックを制御するために、それぞれのネットワークでファイアウォール ルールを個別に設定できます。

自身の VPC ネットワークと他の VPC ネットワークをピアリングしている状況で、特定の VM インスタンスまたは内部負荷分散エンドポイントへのトラフィックをブロックしたい場合があります。特定の VM インスタンスまたは内部ロードバランサをピアリングから除外する方法はないため、このような機能を実装するにはファイアウォール ルールを使用する必要があります。特定の VM インスタンスまたは内部ロードバランサとの通信を禁止するには、通信をブロックするネットワークに上りのファイアウォール ルールを設定します。

  • VM インスタンス: この場合、特定のソース IP からのトラフィックのみを許可する上りファイアウォール ルールを設定できます。これらのソース IP は、自身の VPC ネットワークのサブネット CIDR にマッピングできます。これにより、ピアリングされた VPC ネットワークからのトラフィックはブロックされます。
VPC ネットワーク ピアリングでのファイアウォール(クリックで拡大)
VPC ネットワーク ピアリングでのファイアウォール(クリックで拡大)
  • 内部ロードバランサ: この場合、内部ロードバランサのある VPC ネットワークに上りファイアウォール ルールを設定できます。これらのソース IP は、自身のネットワークのサブネット CIDR の全部または一部にマッピングできます。上りファイアウォール ルールが、ピアリングされたネットワークのすべてのサブネット CIDR 範囲に設定されると、このネットワーク内のインスタンスは、内部ロードバランサのバックエンド VM に到達できなくなります。

共有 VPC

VPC ネットワーク ピアリングでは、共有 VPC とのピアリングが可能です。共有 VPC ホスト プロジェクトとは、他のプロジェクトにそのネットワークのいずれかの使用を許可するプロジェクトです。次の図にこの構成を示します。

ネットワーク ピアリングでの共有 VPC(クリックで拡大)
ネットワーク ピアリングでの共有 VPC(クリックで拡大)

Network-SVPC は、ホスト プロジェクト P1 の共有 VPC ネットワークです。サービス プロジェクト P3 と P4 の VM インスタンスは Network-SVPC に接続できます。Network-SVPC は Network-A とピアリングしています。この場合、次のようになります。

  • Network-SVPC(VM3 と VM4)を使用している共有 VPC サービス プロジェクトの VM インスタンスは、Network-A に関連付けられたすべてのエンドポイントとプライベート内部 IP で接続します。
  • Network-A の VM インスタンスは、属しているプロジェクトがホスト プロジェクトかサービス プロジェクトかに関係なく、Network-SVPC に関連付けられたすべてのエンドポイントとプライベート内部 IP で接続します。

2 つの共有 VPC ネットワーク間に VPC ネットワーク ピアリングを設定できます。

1 つのインスタンスに複数のネットワーク インターフェースを設定する

1 つのインスタンスに複数のネットワーク インターフェースを追加し、それぞれ異なる VPC ネットワークに属するように設定することができます。

次の図は、2 つの機能の相互作用を図示しています。このケースでは、VM1 は Network-A と Network-B の両方にネットワーク インターフェースがあり、Network-B は別の Network-C とピアリングされています。

ネットワーク ピアリングでの複数のネットワーク インターフェース(クリックで拡大)
ネットワーク ピアリングでの複数のネットワーク インターフェース(クリックで拡大)

IP2 が Network-B にあるため、IP3 は IP2 にトラフィックを送信できます。Network-B と Network-C の 2 つのネットワークがピアリングされているときは、Network-B のルートが自動的に Network-C に伝播されます。ただし、IP2 が IP3 にトラフィックを送信するには、IP2 インターフェースのポリシー ルーティングを設定する必要があります。

IP1 のフローは Network-C には設定されていません。したがって、Network-C は IP1 にアクセスできません。

IP エイリアス設定

IP エイリアス設定を使用すると、サブネットにプライマリ IP 範囲とセカンダリ IP 範囲を設定できます。このようなサブネット内の VM インスタンスは、プライマリ範囲から 1 つの IP を取得し、セカンダリ範囲から 1 つ以上の IP を取得できます。

Cloud VPC Peering では、ピアリングされたネットワーク内の VM インスタンスは、サブネットのプライマリ IP 範囲とセカンダリ IP 範囲の両方に到達できます。

ピアリングされたネットワーク間でサブネットの重複を確認することで、プライマリ範囲とセカンダリ範囲がピアリングされた範囲と重複しないようにします。

ネットワーク ピアリングでの IP エイリアス設定(クリックして拡大)
ネットワーク ピアリングでの IP エイリアス設定(クリックして拡大)

次のステップ

このページは役立ちましたか?評価をお願いいたします。