皆様、こんにちは!
アイレット株式会社 DX開発事業部の楊林と申します。
前回の投稿では、Google Cloud のネットワークの基礎について紹介しました。
では実際に、Google Cloud のネットワークへ接続するにはどんな方法があるのでしょうか?そして、プロジェクト間で VPC を共有するにはどうすればよいのでしょうか?
今回は、Google Cloud のネットワークに接続する方法と、VPC を共有する方法について整理しながら紹介します。
Cloud VPN
Cloud VPN は Google が提供するマネージド型の VPN サービスで、オンプレミスと Google Cloud を IPsec VPN で安全に接続できます。構成には Classic VPN と HA VPN の 2 種類があります。
Classic VPN
Classic VPN は初期に提供されていたタイプで、単一トンネルを利用するシンプルな VPN 接続です。IPsec による暗号化通信を行えるため、インターネット経由でも比較的安全に少量のトラフィックを扱う用途に向いています。
Classic VPN は 99.9% のサービス可用性を保証する SLA を提供します。
Classic VPN では、2つのネットワーク間のトラフィックは一方の VPN ゲートウェイで暗号化され、もう一方で復号されます。
HA VPN
HA VPN は高可用性を備えた VPN で、99.99% の SLA が提供されます。冗長化のために 2 本または 4 本のトンネル構成を行う点が特徴です。Google Cloud は HA VPN ゲートウェイを作成すると自動的に 2 つの外部 IP を割り当て、それぞれのインターフェースで複数トンネルをサポートします。
トンネルは動的ルーティング(BGP)を前提としており、設定に応じてアクティブ/アクティブまたはアクティブ/パッシブのルーティング構成を取れます。可用性を重視したサイト間 VPN 構成を組む場合に最適です。
Cloud Interconnectとピアリング
Interconnect や各種ピアリングサービスを利用することで、オンプレミス環境を Google のネットワークに接続できます。
これらは「専用接続 / 共有接続」、「レイヤ2 / レイヤ3 接続」といった形で分類されます。
専用接続は Google と直接接続し、共有接続はパートナー経由で接続します。
レイヤ2 接続は VPC の内部 IP に直接接続でき、レイヤ3 接続は Google のパブリックサービス(Google Cloud API、YouTube、Workspace 等)にアクセスできます。
Dedicated Interconnect
Dedicated Interconnect はオンプレミスネットワークを Google のネットワークに物理的に直接接続します。大量データを高速に転送でき、インターネット帯域購入よりも費用対効果が高い場合があります。
利用するには同一コロケーション施設で Google のネットワークと自社ルーターを接続する必要があります。Cloud Router とオンプレミスルーター間で BGP を構成し、ルート交換を行います。
SLA は 99.9% または 99.99% を選択できます。
Partner Interconnect
Partner Interconnect は、Google が認定したサービスプロバイダ経由で VPC とオンプレミスを接続します。コロケーション施設に物理接続できない場合に適した方式です。
サービスプロバイダと接続を確立した後、Cloud Router とオンプレミス側のルーター間で BGP セッションを張り、通信を行います。SLA は 99.9% / 99.99% のいずれかを選択できます。
Cross-Cloud Interconnect
Cross-Cloud Interconnect は、Google Cloud と他クラウド(AWS/Azure など)間に専用線で接続するためのものです。Google が相互接続用の物理リンクをプロビジョニングします。
これによりマルチクラウド構成で高速なデータ連携が可能になります。10Gbps / 100Gbps の回線を利用できます。
Direct Peering
Direct Peering は、お客様ネットワークと Google のエッジネットワークを直接ピアリングする方式です。パブリック IP を用いた通信で、Google Cloud API や YouTube、Google Workspace といった Google のパブリックサービスに低レイテンシでアクセスできます。ただし SLA はありません。
Carrier Peering
Carrier Peering は、Google のピアリング要件を満たせない場合でも、キャリア事業者を介して Google のパブリックサービスにアクセスできる方式です。こちらも SLA はありません。
接続の選び方
Cloud VPN や Interconnect 系は、VPC 内の内部 IP(RFC1918)に直接アクセスでき、SLA も提供されます。GCE や GKE などのサービスと安全に接続できます。
一方で Peering 系は Google のパブリック IP へのみアクセスでき、SLA はありません。
低コストや小規模接続が目的なら Cloud VPN、
高スループットやエンタープライズ向けなら Dedicated / Partner Interconnect、
マルチクラウドなら Cross-Cloud Interconnect が適しています。
VPCの共有
VPC を共有する方法には大きく2通りあります。
共有VPC
共有 VPC を利用すると、組織内の複数プロジェクトが共通の VPC を利用できます。ホストプロジェクトに共有 VPC を作成し、サービスプロジェクトのリソースがそのサブネットを利用できるようになります。
ネットワーク管理者はサブネットやファイアウォールの管理を一元化しつつ、サービスプロジェクト側は VM などのリソース管理を担当できます。
共有VPCに参加しないプロジェクトはスタンドアロンプロジェクトと呼ばれます。
VPCネットワークピアリング
VPC ピアリングは、同じ組織かどうかに関わらず、2つの VPC 間で RFC1918 の内部通信を可能にします。双方の VPC がピアリングを許可する必要があり、確立するとルートが交換され内部 IP で相互通信できます。
ネットワーク管理は分散され、各 VPC が独自のファイアウォール・ルーティングテーブルを保ちます。
VPC共有方法の比較
| 比較項目 | 共有VPC | VPCネットワークピアリング |
|---|---|---|
| 異なる組織間でのプライベート通信 | × | 〇 |
| プロジェクト内の別VPCとの通信 | × | 〇 |
| ネットワーク管理方式 | 一元管理 | 分散管理 |
最後に
今回は、Google Cloud ネットワークへの接続方法と VPC の共有方法について紹介しました。
次回は、Google Cloud のロードバランシングについて紹介します。
ぜひ続けて読んでいただけると嬉しいです!
以前の投稿
【Google Cloud入門】クラウドサービスの特徴とGoogle Cloudの触り方
【Google Cloud入門】リソースマネージメント
【Google Cloud入門】アクセス管理の基本 - IAM
【Google Cloud入門】サービスアカウントとCloud Identity
【Google Cloud入門】Compute Engineの基礎
【Google Cloud入門】コンピューティングオプションとマネージドインスタンスグループ
【Google Cloud入門】GKE入門の前準備-コンテナの基礎
【Google Cloud入門】GKE入門の前準備-Kubernetesの基礎
【Google Cloud入門】GKE入門の前準備-Kubernetesの構成
【Google Cloud入門】Googleのコンテナ仮想環境ーGoogle Kubernetes Engine
【Google Cloud入門】GCEとGKE以外のコンピューティングサービス
【Google Cloud入門】Google Cloudネットワークの基礎