このドキュメントでは、Network Connectivity Center が VPC スポーク内の静的ルートをサポートする方法について説明します。
このページを読む前に、次のリソースについてよく理解しておいてください。
はじめに
サブネット ルートや動的ルートとは異なり、Network Connectivity Center ハブは静的ルートを交換しません。代わりに、ハブが各 VPC スポーク内に作成される静的ルートを構成する際の柔軟性を高めます。
次の条件がすべて満たされている場合、1 つの VPC スポークの静的ルートは別の VPC スポークのネクストホップを使用できます。
- 静的ルートでネットワーク タグが使用されていない。
- 静的ルートの宛先範囲が IPv4 範囲である。
- 静的ルートの指定されたネクストホップが、内部パススルー ネットワーク ロードバランサの IPv4 アドレスである。
- Google Cloud が、指定されたネクストホップ IP アドレスでネクストホップ内部パススルー ネットワーク ロードバランサを識別できる。
- Network Connectivity Center の接続要件が満たされている。
静的ルートに対して追加で提供される構成の柔軟性は、VPC スポークにのみ適用され、純粋にルーティング VPC ネットワークである(ハイブリッド スポークのみを含む)VPC ネットワークには適用されません。
他のタイプの静的ルート ネクストホップとの比較については、ネクストホップのプロジェクトとネットワークをご覧ください。
ネクストホップ内部パススルー ネットワーク ロードバランサを特定する
Google Cloud は、次のプロセスを使用して、ネクストホップ内部パススルー ネットワーク ロードバランサの IP アドレスを持つ静的ルートの内部パススルー ネットワーク ロードバランサを検索しようとします。
ネクストホップ IP アドレスがローカル サブネット ルートの宛先範囲内にある場合: Google Cloud は、転送ルールの IP アドレスが対応するローカル サブネット内にある内部パススルー ネットワーク ロードバランサのみを検索します。ネクストホップ内部パススルー ネットワーク ロードバランサが検出された場合、静的ルートとネクストホップは同じ VPC ネットワーク内にあります。
ネクストホップ IP アドレスが Network Connectivity Center サブネット ルートの宛先範囲内にある場合(ハブからインポートされた場合): Google Cloud は、転送ルールの IP アドレスが別の VPC スポークの対応するサブネット内にある内部パススルー ネットワーク ロードバランサのみを検索します。ネクストホップ内部パススルー ネットワーク ロードバランサが検出された場合、静的ルートは 1 つの VPC スポークにあり、ネクストホップは別の VPC スポークにあります。
別の VPC スポークにある内部パススルー ネットワーク ロードバランサを検出する方法については、接続に関する Network Connectivity Center の要件をご覧ください。
ルーティング VPC ネットワーク(ハイブリッド スポークを含む)でネクストホップ内部パススルー ネットワーク ロードバランサを使用する場合は、ルーティング VPC ネットワークを VPC スポークとしてハブに追加する必要があります。ルーティング VPC ネットワークを VPC スポークとして使用することに関連する制限事項については、動的ルート交換の制限事項をご覧ください。
ネクストホップ IP アドレスがピアリング サブネット ルートの宛先範囲内にある場合(VPC ネットワーク ピアリングを使用している別のネットワークからインポートされた場合):Google Cloud は、転送ルールの IP アドレスがピアリングされた VPC ネットワークの対応するサブネット内にある内部パススルー ネットワーク ロードバランサのみを検索します。ネクストホップ内部パススルー ネットワーク ロードバランサが検出された場合、静的ルートは 1 つの VPC ネットワークにあり、ネクストホップはピアリングされた VPC ネットワークにあります。
ネクストホップ内部パススルー ネットワーク ロードバランサが検出されなかった場合、静的ルートの宛先範囲に送信されたパケットは破棄されます。
ネクストホップ内部パススルー ネットワーク ロードバランサを更新する
Google Cloud は、ネクストホップ内部パススルー ネットワーク ロードバランサの特定を継続的に試みます。次の例では、静的ルートのネクストホップは自動的に更新されます。
ネクストホップ内部パススルー ネットワーク ロードバランサの置き換え: 静的ルートのネクストホップが内部パススルー ネットワーク ロードバランサの IP アドレスである場合、最初に静的ルートを削除しなくても、ネクストホップ内部パススルー ネットワーク ロードバランサを削除できます。 Google Cloud が同じ IP アドレスの代替内部パススルー ネットワーク ロードバランサを検出すると、 Google Cloud は代替内部パススルー ネットワーク ロードバランサのネクストホップに切り替わります。
有効なネクストホップ内部パススルー ネットワーク ロードバランサがない既存の静的ルートが、動作可能になる場合があります。有効なネクストホップ内部パススルー ネットワーク ロードバランサが検出されると、 Google Cloudはその内部パススルー ネットワーク ロードバランサのネクストホップの使用を開始します。
Network Connectivity Center の構成の調整: VPC スポークを別のスポーク グループに移動したり、エクスポート フィルタを調整したりすると、ネクストホップ内部パススルー ネットワーク ロードバランサが検出されなくなったり、別のネクストホップ内部パススルー ネットワーク ロードバランサが検出され、使用されたりすることがあります。
接続に関する Network Connectivity Center の要件
別の VPC スポークでネクストホップ内部パススルー ネットワーク ロードバランサを検出するには、静的ルートが定義されている VPC スポークで、内部パススルー ネットワーク ロードバランサの転送ルールで使用されるサブネットにアクセスできる必要があります。次の両方の条件を満たしている必要があります。
ハブトポロジでは、ネクストホップ内部パススルー ネットワーク ロードバランサを含むサブネット ルートの交換を許可する必要があります。
メッシュ トポロジを使用する場合、すべての VPC スポークは同じスポーク グループに属します。静的ルートは任意の VPC スポークに存在できます。そのネクストホップ内部パススルー ネットワーク ロードバランサは、任意の VPC スポークに存在できます。
スタートポロジを使用する場合は、次の要件が適用されます。
静的ルートがエッジ スポーク グループの VPC スポークにある場合、ネクストホップ内部パススルー ネットワーク ロードバランサは、そのエッジ VPC スポークまたはセンター スポーク グループの任意の VPC スポークに配置できます。ネクストホップをエッジ スポーク グループの別の VPC スポークにすることはできません。
静的ルートがセンター スポーク グループの VPC スポークにある場合、ネクストホップ内部パススルー ネットワーク ロードバランサは、任意 VPC スポーク(エッジ スポーク グループまたはセンター スポーク グループ)に配置できます。
内部パススルー ネットワーク ロードバランサの転送ルールで使用されるサブネット範囲は、ハブにエクスポートする必要があります。詳細については、エクスポート フィルタを使用した VPC 接続をご覧ください。
グローバル アクセスの影響
グローバル アクセスが有効になっていないネクストホップ内部パススルー ネットワーク ロードバランサには、ロードバランサのリージョン外のリージョンからはアクセスできません。 Google Cloud が指定されたネクストホップ IP アドレスでネクストホップ ロードバランサを特定し、Network Connectivity Center の接続要件を満たしているものの、ロードバランサでグローバル アクセスが有効になっていない場合、 Google Cloud はロードバランサのリージョンとは異なるリージョンの VM インスタンス、VLAN アタッチメント、Cloud VPN トンネルから送信されたすべてのパケットを破棄します。
この動作を変更して、すべてのリージョンからネクストホップ ロードバランサに到達できるようにするには、グローバル アクセスを有効にします。