このページは Cloud Translation API によって翻訳されました。

Network Connectivity Center を使用したクロスクラウドネットワークの VPC 間接続

Last reviewed 2025-03-04 UTC

このドキュメントでは、 Google Cloudで Cross-Cloud Network の VPC 間ネットワークトポロジをデプロイするために使用できるリファレンスアーキテクチャについて説明します。このネットワーク設計により、オンプレミスデータセンターや他のクラウドサービスプロバイダ（CSP）などの Google Cloud と外部ネットワークにソフトウェアサービスをデプロイできます。

このドキュメントは、ネットワーク接続を構築するネットワーク管理者、クラウドアーキテクト、エンタープライズアーキテクトを対象としています。また、ワークロードのデプロイ方法を計画するクラウドアーキテクトも含まれます。このドキュメントは、ルーティングとインターネット接続に関する基本的な知識があることを前提としています。

この設計では、複数の外部接続、サービスとサービスアクセスポイントを含む複数のサービスアクセス Virtual Private Cloud（VPC）ネットワーク、複数のワークロード VPC ネットワークがサポートされます。

このドキュメントでは、サービスアクセスポイントという用語は、 Google Cloud プライベートサービスアクセスと Private Service Connect を使用して利用可能になったサービスへのアクセスポイントを指します。Network Connectivity Center は、Google Cloudでのネットワーク接続管理のためのハブアンドスポークコントロールプレーンモデルです。ハブリソースは、Network Connectivity Center の VPC スポークの一元化された接続管理を提供します。

Network Connectivity Center ハブは、接続されているさまざまなスポークタイプ間でルートを学習して配布するグローバルコントロールプレーンです。通常、VPC スポークはサブネットルートを一元化されたハブルートテーブルに挿入します。ハイブリッドスポークは通常、動的ルートを一元化されたハブルートテーブルに挿入します。Network Connectivity Center ハブのコントロールプレーン情報を使用して、 Google Cloudは Network Connectivity Center スポーク間のデータプレーン接続を自動的に確立します。

Network Connectivity Center は、 Google Cloudでスケーラブルな成長を実現するために VPC を相互接続する推奨アプローチです。トラフィックパスにネットワーク仮想アプライアンス（NVA）を挿入する必要がある場合は、動的ルートにルーターアプライアンス機能を使用するか、静的ルートまたはポリシーベースのルートと VPC ネットワークピアリングを使用して VPC を相互接続できます。詳細については、VPC ネットワークピアリングを使用した Cross-Cloud Network の VPC 間の接続をご覧ください。

アーキテクチャ

次の図は、ネットワークのアーキテクチャと、このアーキテクチャがサポートするさまざまなパケットフローの概要を示しています。

ドキュメントで説明されている 4 種類の接続。

このアーキテクチャには、次の上位要素が含まれています。

コンポーネント	目的	インタラクション
外部ネットワーク（オンプレミスまたは他の CSP ネットワーク）	ワークロード VPC とサービスアクセス VPC で実行されるワークロードのクライアントをホストします。外部ネットワークでサービスをホストすることもできます。	トランジットネットワークを介して Google Cloudの VPC ネットワークとデータを交換します。Cloud Interconnect または HA VPN を使用してトランジットネットワークに接続します。次のフローの一方を終了します。外部から外部 External-to-services-access External-to-Private-Service-Connect-consumer 外部からワークロードへのトラフィック
トランジット VPC ネットワーク（Network Connectivity Center ではルーティング VPC ネットワークとも呼ばれます）	外部ネットワーク、サービスアクセス VPC ネットワーク、ワークロード VPC ネットワークのハブとして機能します。	Cloud Interconnect、HA VPN、Network Connectivity Center を組み合わせて、外部ネットワーク、サービスアクセス VPC ネットワーク、Private Service Connect コンシューマーネットワーク、ワークロード VPC ネットワークを接続します。
サービスアクセス VPC ネットワーク	ワークロード VPC ネットワークまたは外部ネットワークで実行されているワークロードに必要なサービスへのアクセスを提供します。他のネットワークでホストされているマネージドサービスへのアクセスポイントも提供します。	トランジットネットワークを介して、外部、ワークロード、Private Service Connect コンシューマーネットワークとデータを交換します。HA VPN を使用してトランジット VPC に接続します。HA VPN によって提供される推移的ルーティングにより、外部トラフィックはサービスアクセス VPC ネットワークを介してマネージドサービス VPC に到達できます。次のフローの一方を終了します。 External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
マネージドサービス VPC ネットワーク	他のネットワークのクライアントで必要なマネージドサービスをホストします。	外部ネットワーク、サービスアクセスネットワーク、Private Service Connect コンシューマーネットワーク、ワークロードネットワークとデータを交換します。プライベートサービスアクセスを使用して services-access VPC ネットワークに接続します。プライベートサービスアクセスでは、VPC ネットワークピアリングが使用されます。マネージドサービス VPC は、Private Service Connect またはプライベートサービスアクセスを使用して、Private Service Connect コンシューマー VPC に接続することもできます。他のすべてのネットワークからのフローの一端を終了します。
Private Service Connect コンシューマー VPC	他のネットワークからアクセス可能な Private Service Connect エンドポイントをホストします。この VPC はワークロード VPC である場合もあります。	トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービスアクセス VPC ネットワークとデータを交換します。Network Connectivity Center VPC スポークを使用して、トランジットネットワークや他のワークロード VPC ネットワークに接続します。
ワークロード VPC ネットワーク	他のネットワークのクライアントが必要とするワークロードをホストします。このアーキテクチャでは、複数のワークロード VPC ネットワークを使用できます。	トランジット VPC ネットワークを介して、外部 VPC ネットワークとサービスアクセス VPC ネットワークとデータを交換します。Network Connectivity Center VPC スポークを使用して、トランジットネットワーク、Private Service Connect コンシューマーネットワーク、その他のワークロード VPC ネットワークに接続します。次のフローの一方を終了します。外部からワークロードへのトラフィック Workload-to-services-access Workload-to-Private-Service-Connect-consumer ワークロード間
Network Connectivity Center	Network Connectivity Center ハブには、任意の Google Cloud リージョンにわたる VPC サブネットとハイブリッド接続のルートのネットワークコントロールプレーンとして機能するグローバルルーティングデータベースが組み込まれています。	コントロールプレーンルーティングテーブルを使用するデータパスを構築して、any-to-any トポロジで複数の VPC ネットワークとハイブリッドネットワークを相互接続します。

次の図は、コンポーネント間の 4 つの接続を強調したアーキテクチャの詳細を示しています。

ドキュメントで説明されている 4 種類のコンポーネント接続。

接続の説明

このセクションでは、上の図に示されている 4 つの接続について説明します。Network Connectivity Center のドキュメントでは、トランジット VPC ネットワークをルーティング VPC と呼んでいます。これらのネットワークは名前が異なりますが、同じ目的で使用されます。

接続 1: 外部ネットワークとトランジット VPC ネットワークの間

外部ネットワークとトランジット VPC ネットワーク間の接続は、Cloud Interconnect または HA VPN を介して行われます。ルートは、トランジット VPC ネットワーク内の Cloud Router 間と、外部ネットワーク内の外部ルーター間で BGP を使用して交換されます。

外部ネットワーク内のルーターは、外部サブネットのルートをトランジット VPC Cloud Router に通知します。一般に、特定のロケーションの外部ルーターは、他の外部ロケーションのルートよりも、同じ外部ロケーションのルートを優先してアドバタイズします。ルートの優先度は、BGP 指標と属性を使用して表すことができます。
トランジット VPC ネットワーク内の Cloud Router は、 Google Cloudの VPC 内のプレフィックスのルートを外部ネットワークにアドバタイズします。これらのルートは、Cloud Router のカスタムルートアナウンスを使用して通知する必要があります。
Network Connectivity Center を使用すると、Google のバックボーンネットワークを使用して、異なるオンプレミスネットワーク間でデータを転送できます。相互接続 VLAN アタッチメントを Network Connectivity Center ハイブリッドスポークとして構成する場合は、サイト間データ転送を有効にする必要があります。
同じ外部ネットワークプレフィックスを送信元とする Cloud Interconnect VLAN アタッチメントは、単一の Network Connectivity Center スポークとして構成されます。

接続 2: トランジット VPC ネットワークとサービスアクセス VPC ネットワークの間

トランジット VPC ネットワークとサービスアクセス VPC ネットワーク間の接続は、リージョンごとに個別のトンネルを使用して HA VPN 経由で行われます。ルートは、トランジット VPC ネットワークとサービスアクセス VPC ネットワークのリージョン Cloud Router 間で BGP を使用して交換されます。

トランジット VPC HA VPN Cloud Router は、外部ネットワークプレフィックス、ワークロード VPC、その他のサービスアクセス VPC のルートをサービスアクセス VPC Cloud Router にアナウンスします。これらのルートは、Cloud Router のカスタムルートアナウンスを使用して通知する必要があります。
サービスアクセス VPC は、サブネットと、アタッチされたマネージドサービス VPC ネットワークのサブネットをトランジット VPC ネットワークにアドバタイズします。マネージドサービス VPC ルートとサービスアクセス VPC サブネットルートは、Cloud Router のカスタムルートアドバタイズを使用してアドバタイズする必要があります。

接続 3: トランジット VPC ネットワーク、ワークロード VPC ネットワーク、Private Service Connect サービスアクセス VPC ネットワーク間

トランジット VPC ネットワーク、ワークロード VPC ネットワーク、Private Service Connect コンシューマー VPC ネットワーク間の接続は、Network Connectivity Center を使用してサブネットとプレフィックスルートが交換されるときに発生します。この接続により、ワークロード VPC ネットワーク、Network Connectivity Center VPC スポークとして接続されているサービスアクセス VPC ネットワーク、Network Connectivity Center ハイブリッドスポークとして接続されている他のネットワーク間の通信が可能になります。これらの他のネットワークには、それぞれ接続 1 と接続 2 を使用している外部ネットワークとサービスアクセス VPC ネットワークが含まれます。

トランジット VPC ネットワーク内の Cloud Interconnect または HA VPN アタッチメントは、Network Connectivity Center を使用して、ワークロード VPC ネットワークに動的ルートをエクスポートします。
ワークロード VPC ネットワークを Network Connectivity Center ハブのスポークとして構成すると、ワークロード VPC ネットワークはサブネットをトランジット VPC ネットワークに自動的にエクスポートします。必要に応じて、トランジット VPC ネットワークを VPC スポークとして設定できます。ワークロード VPC ネットワークからトランジット VPC ネットワークに静的ルートはエクスポートされません。静的ルートは、トランジット VPC ネットワークからワークロード VPC ネットワークにエクスポートされません。

接続 4: Network Connectivity Center 伝播を使用した Private Service Connect コンシューマー VPC

Private Service Connect エンドポイントは共通の VPC に編成され、コンシューマーはファーストパーティとサードパーティのマネージドサービスにアクセスできます。
Private Service Connect コンシューマー VPC ネットワークは、Network Connectivity Center VPC スポークとして構成されています。このスポークにより、Network Connectivity Center ハブで Private Service Connect の伝播が有効になります。Private Service Connect の伝播では、Private Service Connect エンドポイントのホストプレフィックスが Network Connectivity Center ハブのルーティングテーブルへのルートとしてアナウンスされます。
Private Service Connect サービスアクセスコンシューマー VPC ネットワークは、ワークロード VPC ネットワークとトランジット VPC ネットワークに接続します。これらの接続により、Private Service Connect エンドポイントへの推移的な接続が可能になります。Network Connectivity Center ハブで Private Service Connect 接続の伝播が有効になっている必要があります。
Network Connectivity Center は、すべてのスポークから Private Service Connect エンドポイントへのデータパスを自動的に構築します。

トラフィックフロー

次の図は、このリファレンスアーキテクチャで有効になるフローを示しています。

このドキュメントで説明する 4 つのフロー。

次の表に、図のフローの説明を示します。

ソース	宛先	説明
外部ネットワーク	サービスアクセス VPC ネットワーク	トラフィックは、外部接続を介してトランジットネットワークに転送されます。ルートは外部に接続された Cloud Router によってアナウンスされます。トラフィックはカスタムルートに従って services-access VPC ネットワークに転送されます。ルートは HA VPN 接続全体で通知されます。宛先が、プライベートサービスアクセスによってサービスアクセス VPC ネットワークに接続されているマネージドサービス VPC ネットワークにある場合、トラフィックは Network Connectivity Center カスタムルートに従ってマネージドサービスネットワークに転送されます。
サービスアクセス VPC ネットワーク	外部ネットワーク	トラフィックは、HA VPN トンネルを介してトランジットネットワークにカスタムルートをたどります。トラフィックは、外部接続を介して外部ネットワークに戻るルートをたどります。ルートは BGP を介して外部ルーターから学習されます。
外部ネットワーク	ワークロード VPC ネットワークまたは Private Service Connect コンシューマー VPC ネットワーク	トラフィックは、外部接続を介してトランジットネットワークに転送されます。ルートは外部に接続する Cloud Router によってアナウンスされます。トラフィックは、サブネットルートに従って関連するワークロード VPC ネットワークに転送されます。ルートは Network Connectivity Center を介して学習されます。
ワークロード VPC ネットワークまたは Private Service Connect コンシューマー VPC ネットワーク	外部ネットワーク	トラフィックは動的ルートに沿ってトランジットネットワークに戻ります。ルートは、Network Connectivity Center カスタムルートエクスポートを介して学習されます。トラフィックは、外部接続を介して外部ネットワークに戻るルートをたどります。ルートは BGP を介して外部ルーターから学習されます。
ワークロード VPC ネットワーク	サービスアクセス VPC ネットワーク	トラフィックはトランジット VPC ネットワークへのルートに従います。ルートは、Network Connectivity Center カスタムルートのエクスポートによって学習されます。トラフィックは、HA VPN トンネルのいずれかを経由してサービスアクセス VPC ネットワークに転送されます。ルートは BGP カスタムルートアナウンスから学習されます。
サービスアクセス VPC ネットワーク	ワークロード VPC ネットワーク	トラフィックはカスタムルートに沿ってトランジットネットワークに移動します。ルートは HA VPN トンネル全体でアナウンスされます。トラフィックは、サブネットルートに従って関連するワークロード VPC ネットワークに転送されます。ルートは Network Connectivity Center を介して学習されます。
ワークロード VPC ネットワーク	ワークロード VPC ネットワーク	1 つのワークロード VPC から送信されたトラフィックは、Network Connectivity Center を介して、より具体的なルートをたどって別のワークロード VPC に送信されます。戻りトラフィックはこのパスを逆方向にたどります。

使用するプロダクト

Virtual Private Cloud（VPC）: Google Cloud ワークロードにグローバルでスケーラブルなネットワーキング機能を提供する仮想システム。VPC には、VPC ネットワークピアリング、Private Service Connect、プライベートサービスアクセス、共有 VPC が含まれます。
Network Connectivity Center: ハブと呼ばれる一元管理リソースに接続されているスポークリソース間のネットワーク接続を簡素化するオーケストレーションフレームワーク。
Cloud Interconnect: 高可用性で低レイテンシの接続を通じて、外部ネットワークを Google ネットワークに拡張するサービス。
Cloud VPN: IPsec VPN トンネルを介してピアネットワークを Google のネットワークに安全に拡張するサービス。
Cloud Router: Border Gateway Protocol（BGP）のスピーカー機能とレスポンダー機能を提供する、分散型のフルマネージドサービス。Cloud Router は、Cloud Interconnect、Cloud VPN、Router アプライアンスと連携して、BGP で受信したルートやカスタム学習ルートに基づいて VPC ネットワークに動的ルートを作成します。
Cloud Next Generation Firewall: 高度な保護機能、マイクロセグメンテーション、管理の簡素化を備えた完全分散型のファイアウォールサービス。 Google Cloud ワークロードを内部および外部の攻撃から保護します。

設計上の考慮事項

このセクションでは、このリファレンスアーキテクチャを使用して、セキュリティ、信頼性、パフォーマンスに関する特定の要件を満たすトポロジを開発する際に考慮すべき設計要素、ベストプラクティス、設計に関する推奨事項について説明します。

セキュリティとコンプライアンス

次のリストは、このリファレンスアーキテクチャのセキュリティとコンプライアンスに関する考慮事項の説明です。

コンプライアンス上の理由から、ワークロードを単一リージョンにのみデプロイすることがあります。すべてのトラフィックを単一のリージョンに維持する場合は、99.9% のトポロジを使用できます。
Cloud Next Generation Firewall（Cloud NGFW）を使用して、サービスアクセスとワークロードの VPC ネットワークに出入りするトラフィックを保護します。トランジットネットワークを介してハイブリッドネットワーク間を通過するトラフィック、または外部ネットワークと Google マネージドサービス間を通過するトラフィックを検査するには、外部ファイアウォールまたは NVA ファイアウォールを使用する必要があります。
L7 トラフィックインスペクションが必要な場合は、侵入検知と防止サービス（必要に応じて TLS インスペクションのサポートを含む）を有効にして、悪意のあるアクティビティをブロックし、脅威からワークロードを保護します。このサービスは、脆弱性、スパイウェア対策、ウイルス対策をサポートしています。このサービスは、パケットインターセプトテクノロジーを使用して、ルートの再設計を必要とせずにワークロードを透過的に検査する Google 管理のゾーンファイアウォールエンドポイントを作成します。Cloud Next Generation Firewall Enterprise では、ゾーンファイアウォールエンドポイントとデータ処理の料金が発生します。
Google Threat Intelligence データに基づいてトラフィックを許可またはブロックする場合は、Google Threat Intelligence を使用します。Cloud Next Generation Firewall Standard のデータ処理料金が発生します。
ファイアウォールルールロギングを有効にして、ファイアウォールインサイトを使用して、ファイアウォールルールの効果を監査、検証し、理解して最適化します。ファイアウォールルールロギングには費用が発生する可能性があるため、対象を絞って使用することを検討してください。
接続テストを有効にして、トラフィックが想定どおりに動作していることを確認します。
トラフィックとコンプライアンスのニーズに応じて、ロギングとモニタリングを有効にします。トラフィックパターンの分析情報を取得するには、Flow Analyzer とともに VPC Flow Logs を使用します。
Cloud IDS または Cloud NGFW Enterprise 侵入防止サービス（アラートモード）を使用して、トラフィックに関する詳細な分析情報を収集します。

信頼性

このリファレンスアーキテクチャの信頼性に関する考慮事項は次のとおりです。

Cloud Interconnect で 99.99% の可用性を実現するには、2 つの異なるゾーンにまたがる異なる大都市圏から 2 つの異なる Google Cloud リージョンに接続する必要があります。
信頼性を向上させ、リージョン障害の影響を最小限に抑えるには、ワークロードやその他のクラウドリソースをリージョン間で分散します。
予想されるトラフィックを処理するには、十分な数の VPN トンネルを作成します。個々の VPN トンネルには帯域幅の上限があります。

パフォーマンスの最適化

このリファレンスアーキテクチャのパフォーマンスに関する考慮事項は次のとおりです。

ネットワークと接続の最大伝送単位（MTU）を増やすことで、ネットワークパフォーマンスを改善できる場合があります。詳細については、最大伝送単位をご覧ください。
トランジット VPC とワークロードリソース間の通信は、Network Connectivity Center 接続を介して行われます。この接続により、ネットワーク内のすべての VM で追加費用なしで全回線レートのスループットが実現します。外部ネットワークをトランジットネットワークに接続する方法はいくつかあります。費用とパフォーマンスのバランスを取る方法については、ネットワーク接続プロダクトの選択をご覧ください。

デプロイ

このセクションでは、このドキュメントで説明する Network Connectivity Center アーキテクチャを使用して、Cross-Cloud Network の VPC 間の接続をデプロイする方法について説明します。

このドキュメントのアーキテクチャでは、中央のトランジット VPC への 3 種類の接続と、ワークロード VPC ネットワーク間の接続が作成されます。Network Connectivity Center が完全に構成されると、すべてのネットワーク間の通信が確立されます。

このデプロイでは、ワークロードサブネットは他のリージョンに存在できますが、2 つのリージョンの外部ネットワークとトランジットネットワーク間の接続を作成することを前提としています。ワークロードが 1 つのリージョンにのみ配置されている場合は、そのリージョンにのみサブネットを作成する必要があります。

このリファレンスアーキテクチャをデプロイするには、次のタスクを完了します。

Network Connectivity Center を使用してネットワークセグメンテーションを作成する
接続とワークロードを配置するリージョンを特定する
VPC ネットワークとサブネットを作成する
外部ネットワークとトランジット VPC ネットワーク間の接続を作成する
トランジット VPC ネットワークとサービスアクセス VPC ネットワーク間の接続を作成する
トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を確立する
Cloud NGFW ポリシーを構成する
ワークロードへの接続性をテストする

Network Connectivity Center を使用してネットワークセグメンテーションを作成する

Network Connectivity Center ハブを初めて作成する前に、フルメッシュトポロジとスタートポロジのどちらを使用するかを決定する必要があります。相互接続された VPC のフルメッシュまたは VPC のスタートポロジにコミットする決定は元に戻せません。この取り消し不可能な決定を行うには、次の一般的なガイドラインを使用します。

組織のビジネスアーキテクチャで VPC ネットワーク間のトラフィックが許可されている場合は、Network Connectivity Center メッシュを使用します。
特定の異なる VPC スポーク間のトラフィックフローが許可されていないが、これらの VPC スポークが VPC スポークのコアグループに接続できる場合は、Network Connectivity Center スタートポロジを使用します。

接続とワークロードを配置するリージョンを特定する

一般に、接続とワークロードはオンプレミスネットワークまたは他のクラウドクライアントの近くに配置します。 Google Cloud ワークロードの配置の詳細については、Google Cloud リージョン選択ツールと Compute Engine のリージョン選択に関するベストプラクティスをご覧ください。

VPC ネットワークとサブネットを作成する

VPC ネットワークとサブネットを作成するには、次のタスクを完了します。

VPC ネットワークを作成するプロジェクトを作成または特定します。ガイダンスについては、ネットワークセグメンテーションとプロジェクト構造をご覧ください。共有 VPC ネットワークを使用する場合は、プロジェクトを共有 VPC ホストプロジェクトとしてプロビジョニングします。
ネットワークの IP アドレス割り振りを計画します。範囲を事前割り当てして予約するには、内部範囲を作成します。これにより、後で構成やオペレーションをより簡単に行うことができます。
グローバルルーティングが有効になっているトランジットネットワーク VPC を作成します。
サービスアクセス VPC ネットワークを作成します。複数のリージョンにワークロードを配置する場合は、グローバルルーティングを有効にします。
ワークロード VPC ネットワークを作成します。複数のリージョンにワークロードがある場合は、グローバルルーティングを有効にします。

外部ネットワークとトランジット VPC ネットワーク間の接続を作成する

このセクションでは、2 つのリージョンで接続が確立され、外部ロケーションが接続されていて、互いにフェイルオーバーできることを前提としています。また、外部ロケーションのクライアントが、外部ロケーションが存在するリージョンのサービスにアクセスすることを前提としています。

外部ネットワークとトランジットネットワーク間の接続を設定します。この考え方については、外部接続とハイブリッド接続をご覧ください。接続プロダクトの選択に関するガイダンスについては、Network Connectivity プロダクトの選択をご覧ください。
接続された各リージョンで、次のように BGP を構成します。
- 指定された外部ロケーションでルーターを次のように構成します。
  - 両方のインターフェースで同じ BGP MED（100 など）を使用して、その外部ロケーションのすべてのサブネットをアナウンスします。両方のインターフェースが同じ MED をアナウンスする場合、 Google Cloud は ECMP を使用して両方の接続間でトラフィックをロードバランシングできます。
  - 最初のリージョンよりも優先度の低い MED（200 など）を使用して、他の外部ロケーションからすべてのサブネットをアナウンスします。両方のインターフェースから同じ MED をアナウンスします。
- 接続されたリージョンのトランジット VPC で、外部に接続する Cloud Router を次のように構成します。
  - プライベート ASN を使用して Cloud Router を設定します。
  - カスタムルートアドバタイズを使用して、すべてのリージョンのすべてのサブネット範囲を両方の外部向け Cloud Router インターフェースでアドバタイズします。可能であれば、集計します。両方のインターフェースで同じ MED（100 など）を使用します。
Network Connectivity Center ハブとハイブリッドスポークを操作する。デフォルトのパラメータを使用します。
- Network Connectivity Center のハブを作成します。組織がすべての VPC ネットワーク間のトラフィックを許可している場合は、デフォルトのフルメッシュ構成を使用します。
- Partner Interconnect、Dedicated Interconnect、HA-VPN、またはルーターアプライアンスを使用してオンプレミスプレフィックスにアクセスする場合は、これらのコンポーネントを異なる Network Connectivity Center ハイブリッドスポークとして構成します。
  - Network Connectivity Center ハブルートテーブルのサブネットをリモート BGP ネイバーにアナウンスするには、すべての IPv4 アドレス範囲を含むようにフィルタを設定します。
  - ハイブリッド接続がデータ転送をサポートするリージョンの Cloud Router で終了する場合は、サイト間データ転送が有効になっているハイブリッドスポークを構成します。これにより、Google のバックボーンネットワークを使用するサイト間データ転送がサポートされます。

トランジット VPC ネットワークとサービスアクセス VPC ネットワーク間の接続を作成する

外部ネットワークとサービスアクセス VPC の間、ワークロード VPC とサービスアクセス VPC の間の推移的ルーティングを提供するために、サービスアクセス VPC は接続に HA VPN を使用します。

各リージョンで、トランジット VPC とサービスアクセス VPC の間で転送する必要があるトラフィック量を推定します。予想されるトンネルの数を適宜スケーリングします。
HA VPN ゲートウェイを作成して VPC ネットワークに接続するの手順に沿って、リージョン A のトランジット VPC ネットワークとサービスアクセス VPC ネットワークの間に HA VPN を構成します。トランジット VPC ネットワークに専用の HA VPN Cloud Router を作成します。外部ネットワーク接続用に外部ネットワークに面したルーターを残します。
- トランジット VPC Cloud Router の構成:
  - 外部ネットワークとワークロード VPC サブネットをサービスアクセス VPC に通知するには、トランジット VPC の Cloud Router でカスタムルートアドバタイズを使用します。
- サービスアクセス VPC Cloud Router の構成:
  - サービスアクセス VPC ネットワークサブネットをトランジット VPC に通知するには、サービスアクセス VPC ネットワークの Cloud Router でカスタムルートアドバタイズを使用します。
  - プライベートサービスアクセスを使用してマネージドサービス VPC ネットワークをサービスアクセス VPC に接続する場合は、カスタムルートを使用してこれらのサブネットもアドバタイズします。
- HA VPN トンネルのトランジット VPC 側で、トンネルのペアを Network Connectivity Center ハイブリッドスポークとして構成します。
  - リージョン間データ転送をサポートするには、サイト間データ転送が有効になっているハイブリッドスポークを構成します。
  - Network Connectivity Center ハブのルートテーブルサブネットをリモート BGP ネイバーにアナウンスするには、すべての IPv4 アドレス範囲を含むようにフィルタを設定します。このアクションは、すべての IPv4 サブネットルートをネイバーにアナウンスします。
    - 外部ルーターの容量が制限されている場合に動的ルートをインストールするには、カスタムルートアドバタイズでサマリールートを通知するように Cloud Router を構成します。このアプローチは、Network Connectivity Center ハブの完全なルートテーブルをアナウンスする代わりに使用します。
VPC ネットワークピアリング接続が確立された後に、プライベートサービスアクセスを使用してマネージドサービス VPC をサービスアクセス VPC に接続する場合は、カスタムルートをエクスポートするように VPC ネットワークピアリング接続のサービスアクセス VPC 側も更新する必要があります。

トランジット VPC ネットワークとワークロード VPC ネットワーク間の接続を確立する

VPC 間の接続を大規模に確立するには、VPC スポークで Network Connectivity Center を使用します。Network Connectivity Center では、フルメッシュデータプレーンモデルとスタートポロジデータプレーンモデルの 2 種類のデータプレーンモデルがサポートされています。

すべてのネットワークが相互通信を許可できる場合は、フルメッシュ接続を確立します。
ビジネスアーキテクチャでポイントツーマルチポイントトポロジが必要な場合は、スタートポロジ接続を確立します。

フルメッシュ接続を確立する

Network Connectivity Center の VPC スポークには、トランジット VPC、Private Service Connect コンシューマー VPC、すべてのワークロード VPC が含まれます。

Network Connectivity Center は VPC スポークのフルメッシュネットワークを構築しますが、ネットワークオペレーターは、ファイアウォールルールまたはファイアウォールポリシーを使用して、送信元ネットワークと宛先ネットワーク間のトラフィックフローを許可する必要があります。
ワークロード、トランジット、Private Service Connect コンシューマーのすべての VPC を Network Connectivity Center VPC スポークとして構成します。VPC スポーク間でサブネットの重複があってはなりません。
- VPC スポークを構成するときに、重複しない IP アドレスサブネット範囲を Network Connectivity Center ハブのルートテーブルにアドバタイズします。
  - エクスポートするサブネット範囲を含めます。
  - エクスポートサブネット範囲を除外します。
VPC スポークが異なるプロジェクトにあり、Network Connectivity Center ハブ管理者以外の管理者がスポークを管理している場合、VPC スポーク管理者は、他のプロジェクトの Network Connectivity Center ハブに参加するリクエストを開始する必要があります。
- Network Connectivity Center ハブプロジェクトで Identity and Access Management（IAM）権限を使用して、そのユーザーに roles/networkconnectivity.groupUser ロールを付与します。
他の Network Connectivity Center スポークからプライベートサービス接続に推移的かつグローバルにアクセスできるようにするには、Network Connectivity Center ハブで Private Service Connect 接続の伝播を有効にします。

ワークロード VPC 間のフルメッシュの VPC 間通信が許可されていない場合は、Network Connectivity Center のスタートポロジの使用を検討してください。

スタートポロジ接続を確立する

ポイントツーマルチポイントトポロジを必要とする一元化されたビジネスアーキテクチャでは、Network Connectivity Center スタートポロジを使用できます。

Network Connectivity Center のスタートポロジを使用するには、次の操作を行います。

Network Connectivity Center で、Network Connectivity Center ハブを作成し、スタートポロジを指定します。
他の Network Connectivity Center スポークからプライベートサービス接続に推移的かつグローバルにアクセスできるようにするには、Network Connectivity Center ハブで Private Service Connect 接続の伝播を有効にします。
スタートポロジ用に Network Connectivity Center ハブを構成するときに、VPC をセンターグループまたはエッジグループの 2 つのグループのいずれかにグループ化できます。
センターグループで VPC をグループ化するには、トランジット VPC と Private Service Connect コンシューマー VPC を、センターグループの一部として Network Connectivity Center VPC スポークとして構成します。

Network Connectivity Center は、センターグループに配置された VPC スポーク間にフルメッシュネットワークを構築します。
ワークロード VPC をエッジグループにグループ化するには、これらの各ネットワークをそのグループ内の Network Connectivity Center VPC スポークとして構成します。

Network Connectivity Center は、各 Network Connectivity Center VPC スポークからセンターグループ内のすべての VPC へのポイントツーポイントデータパスを構築します。

Cloud NGFW ポリシーを構成する

セキュリティとコンプライアンスのガイダンスに加えて、ファイアウォールルールのベストプラクティスも検討してください。

その他の考慮事項:

ワークロードが Compute Engine VM で実行されている場合は、VPC ファイアウォールルールの代わりにネットワークファイアウォールポリシーを使用することをおすすめします。ネットワークファイアウォールポリシーには、タグを使用したきめ細かいセキュリティとアクセス制御、ルールの管理の簡素化、運用の容易さ、豊富な機能セット、柔軟なデータ所在地などのメリットがあります。VPC ファイアウォールルールがすでに存在する場合は、VPC ファイアウォールルールの移行ツールを使用して、グローバルネットワークファイアウォールポリシーへの移行を支援できます。
Google Kubernetes Engine は、重要なトラフィックを許可するために、特定の VPC ファイアウォールルールを自動的に作成して管理します。そのため、これらのルールを変更または削除しないことをおすすめします。ただし、ネットワークファイアウォールポリシーは VPC ファイアウォールルールとともに使用でき、必要に応じてポリシーの適用順序を変更できます。
IAM 制御、スケーリングの改善、ネットワークファイアウォールポリシーのサポートにより、ファイアウォールルールでネットワークタグの代わりにタグを使用することをおすすめします。ただし、階層型ファイアウォールポリシーではタグはサポートされていません。また、Network Connectivity Center のピアリングされたネットワークでもサポートされていません。そのため、これらの場合は CIDR 範囲に基づいてルールを作成する必要があります。

Cloud NGFW で L7 インスペクションを有効にする場合は、セキュリティプロファイル、ファイアウォールエンドポイント、VPC 関連付けなどの侵入防止サービスを構成します。
グローバルネットワークファイアウォールポリシーと必要なファイアウォールルールを作成します。すべての VPC ネットワークに存在する下り（外向き）トラフィックを許可し、上り（内向き）トラフィックを拒否する暗黙のルールを考慮してください。
ポリシーを VPC ネットワークに関連付けます。
ネットワークで VPC ファイアウォールルールをすでに使用している場合は、新しいルールが VPC ファイアウォールルールの前に評価されるように、ポリシーとルールの評価順序を変更することをおすすめします。
必要に応じて、ファイアウォールルールロギングを有効にします。

ワークロードへの接続性をテストする

VPC ネットワークにすでにデプロイされているワークロードがある場合は、今すぐアクセスをテストします。ワークロードをデプロイする前にネットワークを接続した場合は、ここでワークロードをデプロイしてテストできます。

次のステップ

この設計ガイドで使用する Google Cloud プロダクトの詳細を確認する。
Cloud アーキテクチャセンターで、リファレンスアーキテクチャ、図、ベストプラクティスを確認する。

寄稿者

著者:

Eric Yu | ネットワーキングスペシャリストカスタマーエンジニア
Deepak Michael | ネットワーキングスペシャリストカスタマーエンジニア
Victor Moreno | プロダクトマネージャー、クラウドネットワーキング
Osvaldo Costa | ネットワーキングスペシャリストカスタマーエンジニア

その他の寄稿者:

Mark Schlagenhauf | テクニカルライター、ネットワーキング
Ammett Williams | デベロッパーリレーションズエンジニア
Ghaleb Al-habian | ネットワークスペシャリスト
Tony Sarathchandra | シニアプロダクトマネージャー

Network Connectivity Center を使用したクロスクラウド ネットワークの VPC 間接続 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。