Virtual Private Cloud(VPC)ネットワークの概要

VPC ネットワークは、単にネットワークと呼ばれることもありますが、データセンターのような物理ネットワークを仮想化したネットワークです。このネットワークを使って、Compute Engine 仮想マシン(VM)インスタンスKubernetes Engine クラスタApp Engine フレキシブル環境インスタンスや、プロジェクト内のその他のリソースを接続できます。

プロジェクトには複数の VPC ネットワークを設定できます。新しいプロジェクトは、各リージョンに 1 つのサブネットを持つ default ネットワーク(自動モード ネットワーク)で開始します。

仕様

VPC ネットワークの特性は次のとおりです。

  • 関連ルート、ファイアウォール ルールを含む VPC ネットワークはグローバルなリソースです。特定のリージョンやゾーンには関連付けられていません

  • サブネットはリージョン リソースです。サブネットごとに IP アドレスの範囲が定義されます。ネットワークとサブネットの詳細については、ネットワークとサブネットをご覧ください。

  • インスタンス間のトラフィックは、ネットワークのファイアウォール ルールで制御できます。

  • VPC ネットワーク内のリソースにはネットワーク ファイアウォール ルールが適用されます。こうしたリソースは、内部(プライベート)IPv4 アドレスを使用して相互に通信できます。詳細については、ネットワーク内の通信をご覧ください。

  • 内部 IP アドレスを持つインスタンスは、Google API およびサービスと通信できます。詳細については、プライベート アクセス オプションをご覧ください。

  • ネットワーク管理は、Identity and Access Management(IAM)の役割を使用して保護できます。

  • 組織共有 VPC を使用して、共通ホスト プロジェクト内で VPC ネットワークを維持できます。同じ組織内の他のプロジェクトの承認済み IAM メンバーは、共有 VPC ネットワークのサブネットを使用するリソースを作成できます。

  • VPC ピアリングを使用して、異なるプロジェクトや組織の VPC ネットワークと VPC ネットワークを接続できます。

  • ハイブリッド環境の VPC ネットワークは、Cloud VPN または Cloud Interconnect を使用して安全に接続できます。

  • VPC ネットワークは、IPv4 ユニキャスト トラフィックのみをサポートします。ブロードキャストマルチキャスト、ネットワーク内の IPv6 トラフィックはサポートされませんただし、IPv6 を使用してネットワーク内のリソースにアクセスすることはできます。たとえば、IPv6 アドレスをグローバル ロードバランサに割り当てることができます。また、App Engine スタンダード環境では IPv6 がサポートされます。

ネットワークとサブネット

各 VPC ネットワークは、「サブネットワーク」または「サブネット」と呼ばれる、区分された 1 つまたは複数の有用な IP 範囲で構成されます。各サブネットはリージョンに関連付けられています。ネットワークには、任意のリージョンに 1 つ以上のサブネットを含めることができます。自動モードのネットワークは、各リージョンのサブネットを自動的に作成します。カスタムモードのネットワークはサブネットなしで開始し、サブネットの作成を完全に制御できます。自動モードとカスタムモードの違いについては、VPC ネットワークの種類をご覧ください。

VPC ネットワーク自体には、IP アドレス範囲が関連付けられません。サブネットを作成するときに、プライマリ IP アドレス範囲を定義する必要があります。1 つ以上の「セカンダリ範囲」を定義することもできます。

  • プライマリ範囲: これらの規則に従って、サブネットのプライマリ IP アドレス範囲に対して、RFC 1918 の任意のプライベート CIDR ブロックを選択できます。サブネットが、事前定義された連続した CIDR ブロックを形成する必要はありませんが、必要に応じて連続させることができます。たとえば、自動モード ネットワークでは事前定義された自動モード IP 範囲に収まるサブネットが作成されます。

  • セカンダリ範囲: IP エイリアス設定に使用する 1 つ以上のセカンダリ IP アドレス範囲を、任意で定義できます。

GCP でリソースを作成する場合は、ネットワークとサブネットを選択します。インスタンス テンプレート以外のリソースの場合は、ゾーンまたはリージョンも選択します。ゾーンを選択すると、その親リージョンが暗黙的に選択されます。サブネットはリージョン オブジェクトであるため、リソースに選択したリージョンによって、使用できるサブネットが決まります。

  • インスタンスを作成する場合は、ゾーン、ネットワーク、サブネットを選択します。選択可能なサブネットは、選択したリージョンのサブネットに限定されています。GCP は、サブネットで使用可能なアドレス範囲から IP アドレスを取得し、インスタンスに割り当てます。

  • マネージド インスタンス グループを作成する場合は、ゾーンまたはリージョンを選択し、グループの種類に応じてインスタンス テンプレートを選択します。選択可能なインスタンス テンプレートは、マネージド インスタンス グループと同じリージョンにある定義済みサブネットに限定されます。

    • インスタンス テンプレートはグローバル リソースです。インスタンス テンプレートを作成する場合は、ネットワークとサブネットを選択する必要があります。自動モードのネットワークではリージョンごとにサブネットが定義されています。自動モードのネットワークの場合、自動サブネットを選択してサブネットの選択を延期し、テンプレートを使用するマネージド インスタンス グループのリージョンで使用可能なサブネットを選択できます。
  • Kubernetes コンテナ クラスタを作成する場合は、クラスタの種類に応じてゾーンまたはリージョンを選択し、ネットワークとサブネットを選択します。選択可能なサブネットは、選択したリージョンのサブネットに限定されています。

ネットワークとサブネットの用語

「サブネット」と「サブネットワーク」という用語は同義語です。GCP Console、gcloud コマンド、API ドキュメントでは同じ意味で使用されます。

VPC ネットワークの種類

VPC ネットワークは 2 種類あります。

  • 自動モード ネットワークが作成されると、各リージョンから 1 つのサブネットがネットワーク内に自動的に作成されます。このような自動的に作成されたサブネットでは、一連の事前定義された IP 範囲10.128.0.0/9 CIDR ブロック)が使用されます。新しい GCP リージョンが利用可能になると、これらのリージョンの新しいサブネットが、このブロックの IP 範囲を使用して自動モードのネットワークに自動的に追加されます。自動的に作成されるサブネットに加え、選択したリージョンで 10.128.0.0/9 以外の IP 範囲を使用して、自動モードのネットワークに手動でサブネットを追加できます。

  • カスタムモード ネットワークが作成されるときに、サブネットは自動では作成されません。この種類のネットワークでは、そのサブネットと IP 範囲を完全に制御できます。選択したリージョンで、指定した IP 範囲を使用して、作成するサブネットを決定します。

各プロジェクトは、default 自動モード ネットワークから始まります。

ネットワークを自動モードからカスタムモードに切り替えることができます。この変換は一方向です。カスタムモードのネットワークは自動モードのネットワークに変更できません。自動モードのネットワークに関する考慮事項を慎重に検討し、どちらの種類のネットワークがニーズを満たすかを判断してください。

自動モードのネットワークに関する考慮事項

自動モード ネットワークは設定と使用が簡単であり、次の属性を持つユースケースに適しています。

  • 各リージョンにサブネットを自動的に作成すると便利である場合

  • サブネットの事前定義された IP 範囲が、異なる目的(たとえば、オンプレミス リソースへの Cloud VPN 接続)で使用する IP 範囲と重複しない場合

ただし、カスタムモードのネットワークのほうが柔軟性が高く、本番環境に適しています。以下の属性は、カスタムモード VPC ネットワークが推奨または必須とされるユースケースを示しています。

  • 各リージョンに 1 つのサブネットを自動的に作成する必要がない場合

  • 新しいリージョンが利用可能になるときに新しいサブネットを自動的に作成すると、手動で作成したサブネットや静的ルートによって使用される IP アドレスと重複したり、ネットワーク計画全体に影響したりする可能性がある場合

  • 使用するリージョンや IP アドレス範囲など、VPC ネットワーク内で作成されるサブネットを完全に制御する必要がある場合

  • すべての自動モードのネットワークのサブネットは同じ事前定義された IP アドレス範囲を使用するため、自動モードのネットワークを相互に接続できないことから、VPC ネットワーク ピアリングまたは Cloud VPN を使用して VPC ネットワークに接続する予定がある場合

サブネットと IP 範囲

次のルールに従って、作成するサブネットに IP 範囲を割り当てることができます。

  • 各サブネットには有効なプライマリ アドレス範囲(有効な RFC 1918 CIDR ブロック)が必要です。

  • 同じネットワーク内のサブネットは、一意の IP 範囲を使用する必要があります。同じプロジェクトであっても、異なるネットワークのサブネットは同じ IP アドレス範囲を再利用できます。

  • サブネットを手動で作成する場合は、任意の RFC 1918 CIDR 範囲を使用できますが、次の制限が適用されます。

    • 同じ GCP ネットワークのサブネットには、一意の IP 範囲が必要です。
    • すべてのサブネットの IP 範囲が、VPC ネットワーク ピアリングまたは Cloud VPN で相互に接続している VPC ネットワーク間で一意でなければなりません。
    • Cloud VPN または Cloud Interconnect で接続されたオンプレミス ネットワークの IP 範囲が、どのサブネットの IP 範囲とも競合してはいけません。サブネット ルートには固有の宛先が必要です。
    • 静的ルートの参照先と競合する IP 範囲をサブネットで使用することはできません。
    • 自動モード ネットワークで追加のサブネットを作成する場合、手動で作成したサブネットには 10.128.0.0/9 CIDR ブロック以外の IP 範囲を使用する必要があります。このブロックは、自動的に作成されたサブネットのプライマリ IP 範囲に予約されています。
  • 1 つ以上のセカンダリ IP 範囲をサブネットに割り当てることができます。このセカンダリ範囲は、IP エイリアスで構成されたサブネットの VM インスタンス用に予約されます。セカンダリ範囲には任意の RFC 1918 CIDR ブロックを使用できますが、上記と同じ制限が適用されます。

  • IP 範囲は、同じネットワーク内のサブネット間で連続している必要はありません。

  • 同じネットワークのサブネットの IP 範囲は、より大きな連続した CIDR ブロックのメンバーである必要はありません。たとえば、1 つのサブネットで 10.0.0.0/8 を使用し、同じネットワーク内の別のサブネットで 192.168.0.0/16 を使用できます。

  • サブネットの CIDR の最小サイズは /29 です。

予約済み IP

どのサブネットにも、プライマリ IP 範囲に 4 つの予約済み IP アドレスがあります。

予約済みアドレス 説明
ネットワーク サブネットのプライマリ IP 範囲の最初のアドレス 10.1.2.0/2410.1.2.0
デフォルト ゲートウェイ サブネットのプライマリ IP 範囲の 2 番目のアドレス 10.1.2.0/2410.1.2.1
最後から 2 番目を予約 サブネットのプライマリ IP 範囲の最後から 2 番目のアドレス 10.1.2.0/2410.1.2.254
ブロードキャスト サブネットのプライマリ IP 範囲の最後のアドレス 10.1.2.0/2410.1.2.255

自動モードの IP 範囲

次の表に、自動モード ネットワークで自動的に作成されるサブネットの IP 範囲を示します。このサブネットの IP 範囲は 10.128.0.0/9 CIDR ブロック内にあります。自動モード ネットワークはリージョンごとに 1 つのサブネットで構築され、新しいリージョンで新しいサブネットを自動的に受信します。したがって、10.128.0.0/9 の未使用部分は GCP で今後使用するために予約されています。

リージョン IP 範囲(CIDR) デフォルト ゲートウェイ 使用可能なアドレス(両端を含む)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2~10.140.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2~10.146.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2~10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2~10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2~10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2~10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2~10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2~10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2~10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2~10.164.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2~10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2~10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2~10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2~10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2~10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2~10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2~10.168.15.253

ルートとファイアウォール ルール

ルート

ルートは、インスタンスから出るパケット(下りトラフィック)のパスを定義します。GCP のルートは、システム生成とカスタムの 2 つのカテゴリに分類されます。このセクションでは、2 つのタイプのシステム生成ルートについて簡単に説明します。ネットワーク内にカスタムルートを作成することもできます。GCP でのルーティングの詳細については、ルートの概要をご覧ください。

新しいネットワークはすべて、以下の 2 つのタイプのシステム生成ルートで開始します。

  • デフォルト ルートは、VPC ネットワークから出るトラフィックのパスを定義します。これにより、インターネット アクセスの要件を満たす VM への一般的なインターネット アクセスが提供されます。また、プライベート Google アクセスに対する一般的なパスも提供されます。

  • サブネット ルートは、サブネットに関連付けられた各 IP 範囲に対して作成されます。すべてのサブネットには、そのプライマリ IP 範囲に対応する少なくとも 1 つのサブネット ルートがあり、セカンダリ IP 範囲を追加すると、サブネット用に追加のサブネット ルートが作成されます。サブネット ルートは、サブネットを使用する VM に到達するトラフィックのパスを定義します。

動的ルーティング モード

各 VPC ネットワークには関連付けられた動的ルーティング モードがあり、これによって、Cloud Router のすべての動作が制御されます。Cloud Router は、動的ルーティングを使用する Cloud VPN トンネルDedicated Interconnect、または Partner Interconnect を使用する別のネットワークに VPC ネットワークを接続する場合、VPC ネットワークへのルートを共有し、接続されたネットワークからカスタム動的ルートを学習します。

  • リージョン動的ルーティングがデフォルトです。このモードでは、VPC ネットワーク内の所定の Cloud Router によって学習されたオンプレミス リソースへのルートが、Cloud Router と同じリージョン内のサブネットにのみ適用されます。カスタム アドバタイズによって変更されない限り、各 Cloud Router はそのリージョン内のサブネットへのルートのみをオンプレミス側と共有します。

  • グローバル動的ルーティングは、ネットワーク内のすべての Cloud Router の動作を変更するため、リージョンに関係なく、学習したオンプレミス リソースへのルートは VPC ネットワーク内のすべてのサブネットで使用できます。カスタム アドバタイズによって変更されない限り、各 Cloud Router は VPC ネットワーク内のすべてのサブネットへのルートを、そのオンプレミス側と共有します。

Cloud Router によって共有されるルートのセットをカスタマイズする方法については、カスタム アドバタイズをご覧ください。

動的ルーティング モードは、VPC ネットワークの作成または変更時に設定できます。動的ルーティング モードは、リージョンを問わずグローバルに変更できます。また、その逆も可能です。詳細については、VPC ネットワークの使用をご覧ください。

ファイアウォール ルール

ファイアウォール ルールは、ネットワーク内の送信(下り)トラフィックと受信(上り)トラフィックの両方に適用されます。ファイアウォール ルールは、トラフィックが完全に特定のネットワーク内にある場合でも(インスタンス間の通信など)、トラフィックを制御します。

すべての VPC ネットワークには、2 つの暗黙のファイアウォール ルールがあります。1 つの暗黙ルールはすべての下りトラフィックを許可し、もう 1 つはすべての上りトラフィックを拒否します。暗黙のルールを削除することはできませんが、独自のルールでオーバーライドできます。

詳細については、ファイアウォール ルールの概要をご覧ください。

特定の接続をどのファイアウォール ルールが許可または拒否したかをモニタリングできます。詳細については、ファイアウォール ルールのロギングをご覧ください。

ネットワーク内の通信

システム生成のサブネット ルートは、内部(プライベート)IP アドレスを使用して、ネットワーク内のインスタンス間でトラフィックを送信するためのパスを定義します。どのネットワークにも上りトラフィックに対する暗黙の拒否ファイアウォール ルールが構成されているため、インスタンス間で通信を行う場合は、適切なファイアウォール ルールを構成する必要があります。

default ネットワークを除いて、インスタンスが相互に通信できるように、優先度がより高い上りファイアウォール ルールを明示的に作成する必要があります。default ネットワークには、ネットワーク内でインスタンス間の通信を可能にする default-allow-internal ルールなど、暗黙のルール以外にもいくつかのファイアウォール ルールが含まれています。default ネットワークには、RDP や SSH などのプロトコルを許可する上りルールも含まれています。

default ネットワークに付随するルールは、GCP Console を使用して作成する新しい自動モード ネットワークに適用するためのオプションとしても表示されます。

インターネット アクセスの要件

インスタンスにインターネットへの送信を許可するには、次の条件を満たす必要があります。

  • ネットワークには、有効なデフォルト インターネット ゲートウェイ ルート、または送信先 IP 範囲が最も全般的な(0.0.0.0/0)カスタムルートが必要です。このルートは単にインターネットへのパスを定義するだけです。ルートの詳細については、ルートをご覧ください。

  • ファイアウォール ルールでは、インスタンスからの下りトラフィックを許可する必要があります。優先度の高いルールでオーバーライドされない限り、下りトラフィックの暗黙的に許可されたルールによって、すべてのインスタンスからの発信トラフィックが許可されます。

  • 以下のいずれかの条件を満たす必要があります。

    • インスタンスに外部 IP アドレスが必要です。外部 IP をインスタンスに割り当てることができるのは、インスタンスの作成時作成後です。

    • ネットワーク内の別のインスタンスが NAT ゲートウェイとして機能する必要があります。

VPC ネットワークの例

次の例は、2 つのリージョンに 3 つのサブネットがあるカスタムモードのネットワークを表しています。

VPC ネットワークの例(クリックして拡大)
VPC ネットワークの例(クリックして拡大)
  • Subnet1 は、us-west1 リージョンで 10.240.0.0/24 として定義されています。
    • us-west1-a ゾーン内の 2 つの VM インスタンスはこのサブネットにあります。これらの IP アドレスは、subnet1 の使用可能なアドレス範囲から取得されます。
  • Subnet2 は、us-east1 リージョンで 192.168.1.0/24 として定義されています。
    • us-east1-a ゾーン内の 2 つの VM インスタンスはこのサブネットにあります。これらの IP アドレスは、subnet2 の使用可能なアドレス範囲から取得されます。
  • Subnet3 は、us-east1 リージョンで 10.2.0.0/16 として定義されています。
    • us-east1-a ゾーンの 1 つの VM インスタンスと us-east1-b ゾーンの 2 つ目のインスタンスは subnet3 にあり、それぞれ使用可能な範囲から IP アドレスを取得します。サブネットはリージョン リソースであるため、インスタンスは、ゾーンを含む同じリージョンのサブネットに関連するネットワーク インターフェースを持つことができます。

次のステップ

  • VPC ネットワークの作成と変更の手順を、VPC の使用で確認する。
このページは役立ちましたか?評価をお願いいたします。