このドキュメントでは、 Google Cloudに クロスクラウド ネットワークのハブアンドスポーク ネットワーク トポロジをデプロイするために使用できるリファレンス アーキテクチャについて説明します。このネットワーク設計により、 Google Cloud と外部ネットワーク(オンプレミス データセンターや他のクラウド サービス プロバイダ(CSP)など)にソフトウェア サービスをデプロイできます。
この設計では、複数の外部接続、複数のサービス アクセス Virtual Private Cloud(VPC)ネットワーク、複数のワークロード VPC ネットワークがサポートされています。
このドキュメントは、ネットワーク接続を構築するネットワーク管理者と、ワークロードのデプロイ方法を計画するクラウド アーキテクトを対象としています。このドキュメントは、ルーティングとインターネット接続に関する基本的な知識があることを前提としています。
アーキテクチャ
次の図は、ネットワークのアーキテクチャと、このアーキテクチャがサポートする 4 つのパケット フローの概要を示しています。
このアーキテクチャには、次の上位要素が含まれています。
| コンポーネント | 目的 | インタラクション |
|---|---|---|
| 外部ネットワーク(オンプレミスまたは他の CSP ネットワーク) | ワークロード VPC とサービス アクセス VPC で実行されるワークロードのクライアントをホストします。外部ネットワークはサービスをホストすることもできます。 | トランジット ネットワークを介して Google Cloudの Virtual Private Cloud ネットワークとデータを交換します。Cloud Interconnect または HA VPN を使用して、トランジット ネットワークに接続します。 次のフローの一方を終了します。
|
| トランジット VPC ネットワーク | 外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークのハブとして機能します。 | Cloud Interconnect、HA VPN、VPC ネットワーク ピアリングの組み合わせを使用して、外部ネットワーク、サービス アクセス VPC ネットワーク、ワークロード VPC ネットワークを接続します。 |
| サービス アクセス VPC ネットワーク | ワークロード VPC ネットワークまたは外部ネットワークで実行されているワークロードに必要なサービスへのアクセスを提供します。他のネットワークでホストされているマネージド サービスへのアクセス ポイントも提供します。 | トランジット ネットワークを介して、外部ネットワークとワークロード ネットワークとの間でデータを交換します。HA VPN を使用してトランジット VPC に接続します。HA VPN によって提供される推移的ルーティングにより、外部トラフィックはサービス アクセス VPC ネットワークを介してマネージド サービス VPC に到達できます。 次のフローの一方を終了します。
|
| マネージド サービス VPC ネットワーク | 他のネットワークのクライアントで必要なマネージド サービスをホストします。 | 外部ネットワーク、サービス アクセス ネットワーク、ワークロード ネットワークとデータを交換します。VPC ネットワーク ピアリングを使用するプライベート サービス アクセスを使用するか、Private Service Connect を使用して、サービス アクセス VPC ネットワークに接続します。 他のすべてのネットワークからのフローの一端を終了します。 |
| ワークロード VPC ネットワーク | 他のネットワークのクライアントに必要なワークロードをホストします。 | トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービス アクセス VPC ネットワークとデータを交換します。VPC ネットワーク ピアリングを使用してトランジット ネットワークに接続します。Network Connectivity Center VPC スポークを使用して、他のワークロード VPC ネットワークに接続します。 次のフローの一方を終了します。
|
次の図は、ネットワーク間の 4 つの接続を強調したアーキテクチャの詳細を示しています。
接続の説明
このセクションでは、上の図に示されている 4 つの接続について説明します。
接続 1: 外部ネットワークとトランジット VPC ネットワークの間
外部ネットワークとトランジット VPC ネットワーク間の接続は、Cloud Interconnect または HA VPN を介して行われます。ルートは、トランジット VPC ネットワークの Cloud Router と外部ネットワークの外部ルーターの間で BGP を使用して交換されます。
- 外部ネットワーク内のルーターは、外部サブネットのルートをトランジット VPC Cloud Router に通知します。一般に、特定のロケーションの外部ルーターは、他の外部ロケーションのルートよりも、同じ外部ロケーションのルートを優先してアドバタイズします。ルートの優先度は、BGP 指標と属性を使用して表すことができます。
- トランジット VPC ネットワーク内の Cloud Router は、 Google Cloudの VPC のプレフィックスのルートを外部ネットワークにアドバタイズします。これらのルートは、Cloud Router のカスタムルート アナウンスを使用してアナウンスする必要があります。
接続 2: トランジット VPC ネットワークとサービス アクセス VPC ネットワークの間
トランジット VPC ネットワークとサービス アクセス VPC ネットワーク間の接続は、リージョンごとに個別のトンネルを使用して HA VPN 経由で行われます。ルートは、トランジット VPC ネットワークとサービス アクセス VPC ネットワークのリージョン Cloud Router 間で BGP を使用して交換されます。
- トランジット VPC HA VPN Cloud Router は、外部ネットワーク プレフィックス、ワークロード VPC、その他のサービス アクセス VPC のルートをサービス アクセス VPC Cloud Router にアナウンスします。これらのルートは、Cloud Router のカスタムルート アナウンスを使用して通知する必要があります。
- サービス アクセス VPC ネットワークは、サブネットと、接続されているマネージド サービス VPC ネットワークのサブネットをトランジット VPC ネットワークにアドバタイズします。マネージド サービス VPC ルートとサービス アクセス VPC サブネット ルートは、Cloud Router カスタム ルート アナウンスを使用してアナウンスする必要があります。
接続 3: トランジット VPC ネットワークとワークロード VPC ネットワークの間
トランジット VPC ネットワークとワークロード VPC ネットワーク間のこの接続は、VPC ピアリングを介して実装されます。サブネットとプレフィックス ルートは、VPC ピアリング メカニズムを使用して交換されます。この接続により、ワークロード VPC ネットワークと、トランジット VPC ネットワークに接続されている他のネットワーク(外部ネットワークやサービス アクセス VPC ネットワークなど)間の通信が可能になります。
- トランジット VPC ネットワークは、VPC ネットワーク ピアリングを使用してカスタムルートをエクスポートします。これらのカスタムルートには、トランジット VPC ネットワークで学習されたすべての動的ルートが含まれます。ワークロード VPC ネットワークは、これらのカスタムルートをインポートします。
- ワークロード VPC ネットワークは、サブネットをトランジット VPC ネットワークに自動的にエクスポートします。カスタムルートは、ワークロード VPC からトランジット VPC にエクスポートされません。
接続 4: ワークロード VPC ネットワーク間
- ワークロード VPC ネットワークは、NCC VPC スポークを使用して相互に接続できます。これは省略可能な構成です。ワークロード VPC ネットワークが相互に通信しないようにする場合は、省略できます。
トラフィック フロー
次の図は、このリファレンス アーキテクチャで有効になる 4 つのフローを示しています。
次の表に、図のフローの説明を示します。
| ソース | 宛先 | 説明 |
|---|---|---|
| 外部ネットワーク | サービス アクセス VPC ネットワーク |
|
| サービス アクセス VPC ネットワーク | 外部ネットワーク |
|
| 外部ネットワーク | ワークロード VPC ネットワーク |
|
| ワークロード VPC ネットワーク | 外部ネットワーク |
|
| ワークロード VPC ネットワーク | サービス アクセス VPC ネットワーク |
|
| サービス アクセス VPC ネットワーク | ワークロード VPC ネットワーク |
|
| ワークロード VPC ネットワーク | ワークロード VPC ネットワーク | 1 つのワークロード VPC から送信されたトラフィックは、NCC を介して、より限定的なルートに従って別のワークロード VPC に到達します。戻りトラフィックはこのパスを逆方向に進みます。 |
使用するプロダクト
このリファレンス アーキテクチャでは、次の Google Cloud プロダクトを使用します。
- Virtual Private Cloud(VPC): Google Cloud ワークロードにグローバルでスケーラブルなネットワーキング機能を提供する仮想システム。VPC には、VPC ネットワーク ピアリング、Private Service Connect、プライベート サービス アクセス、共有 VPC が含まれます。
- Network Connectivity Center: ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間のネットワーク接続を簡素化するオーケストレーション フレームワーク。
- Cloud Interconnect: 高可用性で低レイテンシの接続を通じて、外部ネットワークを Google ネットワークに拡張するサービス。
- Cloud VPN: IPsec VPN トンネルを介してピア ネットワークを Google のネットワークに安全に拡張するサービス。
- Cloud Router: Border Gateway Protocol(BGP)のスピーカー機能とレスポンダー機能を提供する、分散型のフルマネージド サービス。Cloud Router は、Cloud Interconnect、Cloud VPN、ルーター アプライアンスと連携して、BGP で受信したルートやカスタム学習ルートに基づいて VPC ネットワークに動的ルートを作成します。
設計上の考慮事項
このセクションでは、このリファレンス アーキテクチャを使用して、セキュリティ、信頼性、パフォーマンスに関する特定の要件を満たすトポロジを開発する際に考慮すべき設計要素、ベスト プラクティス、設計に関する推奨事項について説明します。
セキュリティとコンプライアンス
次のリストは、このリファレンス アーキテクチャのセキュリティとコンプライアンスに関する考慮事項を示しています。
- コンプライアンス上の理由から、ワークロードを単一リージョンにのみデプロイすることがあります。すべてのトラフィックを単一のリージョンに維持する場合は、99.9% のトポロジを使用できます。詳細については、Dedicated Interconnect で 99.9% の可用性を実現すると Partner Interconnect で 99.9% の可用性を実現するをご覧ください。
- Cloud Next Generation Firewall を使用して、サービス アクセスとワークロードの VPC ネットワークに出入りするトラフィックを保護します。外部ネットワークとトランジット ネットワークの間を通過するトラフィックを保護するには、外部ファイアウォールまたは NVA ファイアウォールを使用する必要があります。
- トラフィックとコンプライアンスのニーズに応じて、ロギングとモニタリングを有効にします。VPC Flow Logs を使用すると、トラフィック パターンの分析情報を取得できます。
- Cloud IDS を使用して、トラフィックに関する追加の分析情報を収集します。
信頼性
このリファレンス アーキテクチャの信頼性に関する考慮事項は次のとおりです。
- Cloud Interconnect で 99.99% の可用性を実現するには、2 つの異なる Google Cloud リージョンに接続する必要があります。
- 信頼性を向上させ、リージョン障害の影響を最小限に抑えるには、ワークロードやその他のクラウド リソースをリージョン間で分散します。
- 想定されるトラフィックを処理するには、十分な数の VPN トンネルを作成します。個々の VPN トンネルには帯域幅の上限があります。
パフォーマンスの最適化
このリファレンス アーキテクチャのパフォーマンスに関する考慮事項は次のとおりです。
- ネットワークと接続の最大伝送単位(MTU)を増やすことで、ネットワーク パフォーマンスを向上させることができます。詳細については、最大伝送単位をご覧ください。
- トランジット VPC とワークロード リソース間の通信は VPC ネットワーク ピアリングを介して行われます。これにより、ネットワーク内のすべての VM で追加費用なしでフルラインレートのスループットが実現します。デプロイを計画する際は、VPC ネットワーク ピアリングの割り当てと上限を考慮してください。外部ネットワークをトランジット ネットワークに接続する方法はいくつかあります。コストとパフォーマンスのバランスに関する考慮事項の詳細については、Network Connectivity プロダクトの選択をご覧ください。
デプロイ
このドキュメントのアーキテクチャでは、中央トランジット VPC ネットワークへの 3 つの接続と、ワークロード VPC ネットワーク間の別の接続が作成されます。すべての接続が完全に構成されると、デプロイ内のすべてのネットワークが他のすべてのネットワークと通信できるようになります。
このデプロイでは、2 つのリージョンで外部ネットワークとトランジット ネットワーク間の接続を作成することを前提としています。ただし、ワークロード サブネットは任意のリージョンに配置できます。ワークロードを 1 つのリージョンにのみ配置する場合は、そのリージョンにサブネットを作成するだけで済みます。
このリファレンス アーキテクチャをデプロイするには、次のタスクを完了します。
- 接続とワークロードを配置するリージョンを特定する
- VPC ネットワークとサブネットを作成する
- 外部ネットワークとトランジット VPC ネットワーク間の接続を作成する
- トランジット VPC ネットワークとサービス アクセス VPC ネットワーク間の接続を作成する
- トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する
- ワークロード VPC ネットワークを接続する
- ワークロードへの接続性をテストする
接続とワークロードを配置するリージョンを特定する
通常、接続とワークロードは、オンプレミス ネットワークまたは他のクラウド クライアントの近くに配置します。 Google Cloud ワークロードの配置の詳細については、Google Cloud リージョン選択ツールと Compute Engine のリージョン選択に関するベスト プラクティスをご覧ください。
VPC ネットワークとサブネットを作成する
VPC ネットワークとサブネットを作成するには、次のタスクを完了します。
- VPC ネットワークを作成するプロジェクトを作成または特定します。ガイダンスについては、ネットワーク セグメンテーションとプロジェクト構造をご覧ください。共有 VPC ネットワークを使用する場合は、プロジェクトを共有 VPC ホスト プロジェクトとしてプロビジョニングします。
- ネットワークの IP アドレス割り振りを計画します。内部範囲を作成することで、範囲を事前割り当てして予約できます。集約可能なアドレス ブロックを割り当てると、後の構成とオペレーションがより簡単になります。
- グローバル ルーティングが有効になっているトランジット ネットワーク VPC を作成します。
- サービス VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバル ルーティングを有効にします。
- ワークロード VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバル ルーティングを有効にします。
外部ネットワークとトランジット VPC ネットワーク間の接続を作成する
このセクションでは、2 つのリージョンで接続が確立され、外部ロケーションが接続されていて、互いにフェイルオーバーできることを前提としています。また、外部ロケーション A のクライアントがリージョン A のサービスにアクセスすることを優先するなどの前提もあります。
- 外部ネットワークとトランジット ネットワーク間の接続を設定します。この考え方については、外部接続とハイブリッド接続をご覧ください。接続プロダクトの選択については、ネットワーク接続プロダクトの選択をご覧ください。
- 接続された各リージョンで、次のように BGP を構成します。
- 指定された外部ロケーションでルーターを次のように構成します。
- 両方のインターフェースで同じ BGP MED(100 など)を使用して、その外部ロケーションのすべてのサブネットをアドバタイズします。両方のインターフェースが同じ MED をアナウンスする場合、 Google Cloud は ECMP を使用して両方の接続間でトラフィックをロード バランシングできます。
- 最初のリージョンよりも優先度の低い MED(200 など)を使用して、他の外部ロケーションからすべてのサブネットをアナウンスします。両方のインターフェースから同じ MED をアナウンスします。
- 接続されたリージョンのトランジット VPC で、外部に接続する Cloud Router を次のように構成します。
- Cloud Router の ASN を 16550 に設定します。
- カスタムルート アドバタイズを使用して、すべてのリージョンのすべてのサブネット範囲を両方の外部向け Cloud Router インターフェースでアドバタイズします。可能であれば、集計します。両方のインターフェースで同じ MED(100 など)を使用します。
- 指定された外部ロケーションでルーターを次のように構成します。
トランジット VPC ネットワークとサービス アクセス VPC ネットワーク間の接続を作成する
外部ネットワークとサービス アクセス VPC の間、ワークロード VPC とサービス アクセス VPC の間で推移的ルーティングを提供するために、サービス アクセス VPC は接続に HA VPN を使用します。
- 各リージョンで、トランジット VPC とサービス アクセス VPC の間で転送する必要があるトラフィック量を推定します。予想されるトンネルの数を適宜スケーリングします。
- HA VPN ゲートウェイを作成して VPC ネットワークに接続するの手順に沿って、リージョン A の転送 VPC とサービス アクセス VPC の間に HA VPN を構成します。トランジット ネットワークに専用の HA VPN Cloud Router を作成します。外部ネットワーク接続用に外部ネットワークに接続するルーターを残します。
- トランジット VPC Cloud Router の構成:
- 外部ネットワークとワークロード VPC サブネットをサービス アクセス VPC に通知するには、トランジット VPC の Cloud Router でカスタム ルート アドバタイズを使用します。
- サービス アクセス VPC Cloud Router の構成:
- サービス アクセス VPC サブネットをトランジット VPC に通知するには、サービス アクセス VPC Cloud Router でカスタム ルート アドバタイズを使用します。
- プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、カスタムルートを使用してこれらのサブネットも通知します。
- トランジット VPC Cloud Router の構成:
- プライベート サービス アクセスを使用してマネージド サービス VPC をサービス アクセス VPC に接続する場合は、VPC ネットワーク ピアリング接続が確立された後、VPC ネットワーク ピアリング接続のサービス アクセス VPC 側を更新してカスタムルートをエクスポートします。
トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を作成する
トランジット VPC と各ワークロード VPC の間に VPC ネットワーク ピアリング接続を作成します。
- 各接続のトランジット VPC 側で [カスタムルートのエクスポート] を有効にします。
- 各接続のワークロード VPC 側で [カスタムルートをインポート] を有効にします。
- デフォルトのシナリオでは、ワークロード VPC サブネット ルートのみがトランジット VPC にエクスポートされます。ワークロード VPC からカスタムルートをエクスポートする必要はありません。
ワークロード VPC ネットワークを接続する
NCC VPC スポークを使用して、ワークロード VPC ネットワークを接続します。すべてのスポークを同じ NCC スポーク ピア グループに含めます。コア ピアグループを使用して、VPC 間のフルメッシュ通信を許可します。
NCC 接続は、ワークロード VPC ネットワーク間で特定のルートをアナウンスします。これらのネットワーク間のトラフィックは、これらのルートに従います。
ワークロードへの接続性をテストする
VPC ネットワークにワークロードがすでにデプロイされている場合は、今すぐアクセスをテストします。ワークロードをデプロイする前にネットワークを接続した場合は、ここでワークロードをデプロイしてテストできます。
次のステップ
- この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
- Cloud アーキテクチャ センターで、リファレンス アーキテクチャ、図、ベスト プラクティスを確認する。
寄稿者
著者:
- Deepak Michael | ネットワーキング スペシャリスト カスタマー エンジニア
- Victor Moreno | プロダクト マネージャー、クラウド ネットワーキング
- Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
その他の寄稿者:
- Mark Schlagenhauf | テクニカル ライター、ネットワーキング
- Ammett Williams | デベロッパー リレーションズ エンジニア
- Ghaleb Al-habian | ネットワーク スペシャリスト