ピアリング接続について

このページでは、VPC ネットワーク ピアリング接続の管理の概要について説明します。

ピアリング接続

ピアリング接続は、2 つの Virtual Private Cloud（VPC）ネットワークを接続します。ピアリング接続を確立するには、接続先のネットワークを参照するピアリング構成を両側に個別に作成します。

ピアリング構成を作成して、別の VPC ネットワークに接続するリクエストを開始します。もう一方のネットワークでこちら側のネットワークとピアリングするための構成が行われると、ピアリング接続が確立され、両方のネットワークでピアリング状態が ACTIVE に変わります。一致するピアリング構成がもう一方のネットワークにない場合、ピアリング状態は INACTIVE のままになります。これは、ネットワークが相互に接続されていないことを示します。

ピアリング接続を作成しても、もう一方の VPC ネットワークに対する Identity and Access Management ロールは付与されません。たとえば、一方のネットワークの Compute ネットワーク管理者ロール（roles/compute.networkAdmin）または Compute セキュリティ管理者ロール（roles/compute.securityAdmin）が付与されていても、もう一方のネットワークのネットワーク管理者やセキュリティ管理者になることはできません。

ピアリング接続が確立されると、2 つの VPC ネットワークは、プライベート IPv4 アドレス範囲を使用する IPv4 サブネット ルートを常に交換します。ルート交換オプションの詳細については、以下をご覧ください。

• サブネット ルートの交換オプション
• 静的ルートの交換オプション
• 動的ルートの交換オプション

接続モード

接続モードは、ピアリング接続の管理方法を決定します。VPC ネットワーク ピアリングは、次の 2 つの接続モードをサポートしています。

• 独立モード（デフォルト）
• コンセンサス モード

標準デプロイでは、一般的に独立モードが推奨されます。ただし、ピアリング接続の誤った削除がサービスの停止を引き起こすような、重要なサービスをサポートしているデプロイの場合は、コンセンサス モードを使用することをおすすめします。このモードでは、両方のネットワークの合意が必要であり、ピアリング接続の一方的な変更を防止します。

ピアリング接続を作成する場合は、両方のピアリング構成で同じ接続モード（独立またはコンセンサス）を指定する必要があります。

既存の接続のピアリング モードを独立からコンセンサスに変更するには、両方のピアリング構成を更新する必要があります。接続モードをコンセンサスから独立に変更することはサポートされていません。

独立モード

ピアリング接続が独立モード（デフォルト）の場合、どちらのネットワークでもいつでも接続を更新または削除できます。必要に応じて、接続モードをコンセンサスに更新して、この動作を制限できます。

コンセンサス モード

コンセンサス モードでは、ネットワークの動作に対する一方的な変更が誤って行われないようにすることができます。ピアリング接続がコンセンサス モードの場合、ピアリング接続を削除するリクエストごとに、両方のネットワークの同意が必要になります。

制限事項

コンセンサス モードでのピアリング接続の更新はサポートされていません。コンセンサス モードのピアリング接続のルート交換オプションまたはその他の構成パラメータを更新するには、接続を削除してから、目的の構成パラメータで再作成する必要があります。

接続のコンセンサス モードを構成する

コンセンサス モードを使用するように、新しいピアリング接続または既存のピアリング接続を構成できます。コンセンサス モードを使用するようにピアリング接続を構成する前に、次の点を考慮してください。

• update_strategy パラメータは接続モードを構成します。接続モードを変更するには、ローカルとピアの構成の両方で更新戦略を INDEPENDENT から CONSENSUS に更新する必要があります。両方の構成が更新されるまで、有効な更新戦略は INDEPENDENT のままになり、一方的な接続削除リクエストが許可されます。

  接続モードの変更リクエストが開始されると、ピア ネットワークがリクエストを承認したり、ローカル ネットワークがリクエストを取り消したりすることができます。

• 接続のコンセンサス モードを構成するには、使用する各ルート交換オプションに、一致するピアリング構成の補完フラグと同じ値が設定されている必要があります。たとえば、ご自分のネットワークがカスタムルートをインポートする場合、もう一方のネットワークはカスタムルートをエクスポートする必要があります。

  次の補完フラグの値が構成間で一致しない場合、接続モードを更新するリクエストは拒否されます。接続の両側で、これらの値を事前に更新するか、接続モードの更新時に更新できます。

  自分のネットワーク	ピア ネットワーク
  import_custom_route	export_custom_route
  export_custom_route	import_custom_route
  import_subnet_routes_with_public_ip	export_subnet_routes_with_public_ip
  export_subnet_routes_with_public_ip	import_subnet_routes_with_public_ip
  stack_type	stack_type

• 接続モードの更新リクエストが保留中であっても、ダウンタイムは発生しません。リクエストの処理中も接続はアクティブなままです。

詳細については、コンセンサス モードでピアリング接続を作成すると接続をコンセンサス モードに更新するをご覧ください。

コンセンサス モードで接続を削除する

コンセンサス モードでピアリング接続を削除するには、接続を削除する前に、接続の両側で削除リクエストを送信する必要があります。削除リクエストを開始した後は、キャンセルできません。

詳細については、接続を削除する（コンセンサス モード）をご覧ください。

接続ステータス

gcloud compute networks describe コマンドは、ピアリング接続の有効なステータスとローカル ピアリング構成の両方を表示します。

有効な接続ステータスは、peerings.connectionStatus フィールドで確認できます。次の表に、使用可能な構成ステータスを示します。 チェックマークは、フィールドが使用可能であることを示します。

フィールド	独立モード	コンセンサス モード	説明
trafficConfiguration			ピアリング接続の有効なルート交換オプションを表示します。
updateStrategy			接続モード（INDEPENDENT または CONSENSUS）を表示します。
consensusState.deleteStatus			UNSPECIFIED: このピアリング接続で保留中の requestRemovePeering リクエストはありません。 LOCAL_DELETE_REQUESTED: このピアリングのオーナーがピアリング接続の削除をリクエストしました。 PEER_DELETE_REQUESTED: 一致するピアリングの所有者がピアリング接続の削除をリクエストしました。 DELETE_ACKNOWLEDGED: この接続のピアリング オーナーの両方が、ピアリング接続の削除をリクエストしました。以降の removePeering リクエストは、どちらのピアリングでも成功します。
consensusState.updateStatus			IN_SYNC: いずれのピアリング オーナーにも保留中の更新がありません。 PENDING_PEER_ACK: ローカル ピアリングのオーナーが変更を行ったが、一致するピアリングのオーナーが対応する変更をピアリングに適用していません。 PENDING_LOCAL_ACK: 一致するピアリングのオーナーが変更を行ったが、ローカル ピアリングのオーナーがこのピアリングに対応する変更を適用していません。

Google Cloud プロジェクト内のすべてのピアリング構成を一覧表示するには、ピアリング接続を一覧表示するをご覧ください。

次のステップ

• VPC ネットワーク ピアリング接続を作成して管理するには、VPC ネットワーク ピアリングの設定と管理をご覧ください。