このページは Cloud Translation API によって翻訳されました。

ハブアンドスポークネットワークアーキテクチャ

Last reviewed 2025-04-30 UTC

このドキュメントでは、 Google Cloudでハブアンドスポークネットワークトポロジを設定するための 3 つのアーキテクチャオプションについて説明します。最初のオプションでは Network Connectivity Center を使用し、2 番目のオプションでは VPC ネットワークピアリングを使用し、3 番目のオプションでは Cloud VPN を使用します。

企業は課金や環境の分離などの理由から、ワークロードを個別の VPC ネットワークに分離できます。ただし、共有サービスやオンプレミスへの接続など、特定のリソースをこれらのネットワーク間で共有することが必要な場合もあります。このような場合は、共有リソースをハブネットワーク（このドキュメントの残りの部分ではルーティングネットワークと呼びます）に配置し、他の VPC ネットワークをスポークネットワーク（このドキュメントの残りの部分ではワークロードネットワークと呼びます）として接続することをおすすめします。次の図は、2 つのワークロード VPC を含むハブアンドスポークネットワークを示しています。ただし、ワークロード VPC をさらに追加できます。

ハブアンドスポークネットワークスキーマ。

この例では、大企業内の個々のビジネスユニットのワークロードに別々のワークロード VPC ネットワークを使用しています。各ワークロード VPC ネットワークは、共有サービスを含む中央のルーティング VPC ネットワークに接続され、企業のオンプレミスネットワークからクラウドへの唯一のエントリポイントとして機能します。

オプションの概要

このドキュメントで説明するアーキテクチャのいずれかを選択する場合は、Network Connectivity Center、VPC ネットワークピアリング、Cloud VPN の相対的なメリットを検討してください。

Network Connectivity Center は、ワークロード VPC 間の完全な帯域幅を提供し、ワークロード VPC 間の推移性を実現します。
VPC ネットワークピアリングは、ワークロード VPC とルーティング VPC 間のフルバンド幅を提供します。ワークロード VPC 間の推移性は提供されません。VPC ネットワークピアリングは、他の VPC 内の NVA へのルーティングをサポートしています。
Cloud VPN では推移的ルーティングが可能ですが、ネットワーク間の上り（内向き）と下り（外向き）を合わせた合計帯域幅はトンネルの帯域幅に制限されます。トンネルを追加して帯域幅を増やすことができます。

Network Connectivity Center を使用したアーキテクチャ

次の図は、Network Connectivity Center を使用するハブアンドスポークネットワークを示しています。

Network Connectivity Center を使用したハブアンドスポークアーキテクチャ。

Network Connectivity Center には、コントロールプレーンの管理を提供するハブリソースがありますが、これはデータプレーンのハブネットワークではありません。

Network Connectivity Center は、スター（ハブアンドスポーク）トポロジまたはメッシュトポロジを使用してネットワークを接続できます。スタートポロジを使用すると、VPC スポーク間（ワークロード VPC）の通信がブロックされますが、メッシュトポロジではブロックされません。
ルーティング（ハブ）VPC ネットワークには、Cloud VPN 接続または Cloud Interconnect 接続を使用してオンプレミスに接続します。
動的ルートは VPC ネットワーク間で伝播できます。
Private Service Connect ルートは、ワークロード VPC 間で推移的です。
プライベートサービスアクセスルートは、多くの Google 提供サービスのプロデューサースポークを使用して、ワークロード VPC 間で推移的です。ルートが推移的でないサービスの場合、回避策として、Network Connectivity Center ではなく Cloud VPN を使用して、コンシューマ VPC ネットワークをルーティング VPC ネットワークに接続します。
ピアリングされたネットワーク内のすべての VM は、VM の全帯域幅で通信できます。
各ワークロード VPC とルーティング VPC ネットワークには、インターネットとのアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
ワークロード VPC 内のワークロードにオンプレミスからアクセスできるように、DNS ピアリングと転送が設定されています。

VPC ネットワークピアリングを使用したアーキテクチャ

次の図は、VPC ネットワークピアリングを使用するハブアンドスポークネットワークを示しています。VPC ネットワークピアリングでは、別々の VPC ネットワーク内のリソース間で内部 IP アドレスを使用した通信が可能です。トラフィックは Google の内部ネットワーク上にとどまり、公共のインターネットを経由することはありません。

VPC ネットワークピアリングを使用するハブアンドスポークアーキテクチャ

このアーキテクチャの各ワークロード（スポーク）VPC ネットワークには、中央ルーティング（ハブ）VPC ネットワークとのピアリング関係があります。
ルーティング VPC ネットワークには、Cloud VPN または Cloud Interconnect 接続を使用してオンプレミスに接続しています。
ピアリングされたネットワーク内のすべての VM は、VM の全帯域幅で通信できます。
VPC ネットワークピアリング接続は推移的ではありません。このアーキテクチャでは、オンプレミス VPC ネットワークとワークロード VPC ネットワークはルーティングネットワークとトラフィックを交換できますが、相互に交換することはできません。共有サービスを提供するには、共有サービスをルーティングネットワークに配置するか、Cloud VPN を使用してルーティングネットワークに接続します。
各ワークロード VPC とルーティング VPC ネットワークには、インターネットとのアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
ワークロード VPC 内のワークロードにオンプレミスからアクセスできるように、DNS ピアリングと転送が設定されています。

Cloud VPN を使用したアーキテクチャ

VPC ネットワークピアリングを使用するハブアンドスポークトポロジのスケーラビリティは、VPC ネットワークピアリングの上限の対象となります。前述のように、VPC ネットワークピアリング接続では、ピアリング関係にある 2 つの VPC ネットワークを超える過渡的トラフィックは許可されません。次の図は、Cloud VPN を使用して VPC ネットワークピアリングの制限を克服する別のハブアンドスポークネットワークアーキテクチャを示しています。

Cloud VPN を使用するハブアンドスポークアーキテクチャ

IPsec VPN トンネルは、各ワークロード（スポーク）VPC ネットワークをルーティング（ハブ）VPC ネットワークに接続します。
各ワークロードネットワークには、ルーティングネットワーク内の DNS 限定公開ゾーンと、DNS ピアリングゾーンおよび限定公開ゾーンが存在します。
接続は推移的です。オンプレミス VPC ネットワークとスポーク VPC ネットワークは、ルーティングネットワークを介して相互に到達できますが、制限される場合があります。
ネットワーク間の帯域幅は、トンネルの帯域幅の合計によって制限されます。
各ワークロード（スポーク）VPC とルーティング VPC ネットワークには、インターネットとのアウトバウンド通信用の Cloud NAT ゲートウェイがあります。
VPC ネットワークピアリングでは、推移的なルート通知は行われません。
ワークロード VPC 内のワークロードにオンプレミスからアクセスできるように、DNS ピアリングと転送が設定されています。

代替案を設計する

Google Cloudの別々の VPC ネットワークにデプロイされたリソースを相互接続する場合は、次のアーキテクチャの代替策を検討してください。

ルーティング VPC ネットワークのゲートウェイを使用したスポーク間接続

スポーク間通信を有効にするには、ルーティング VPC ネットワークにネットワーク仮想アプライアンス（NVA）または次世代ファイアウォール（NGFW）をデプロイして、スポーク間トラフィック用のゲートウェイとして機能させます。

複数の共有 VPC ネットワーク

ネットワークレベルで分離するリソースグループごとに、共有 VPC ネットワークを作成します。たとえば、本番環境と開発環境に使用するリソースを分離するには、本番環境用に共有 VPC ネットワークを作成し、開発環境用にもう一つの共有 VPC ネットワークを作成します。次に、2 つの VPC ネットワークをピアリングして VPC 間のネットワーク通信を有効にします。各アプリケーションまたは部門の個別のプロジェクトのリソースは、適切な共有 VPC ネットワークのサービスを使用できます。

VPC ネットワークとオンプレミスネットワークの間の接続では、VPC ネットワークごとに個別の VPN トンネルを使用することも、同じ Dedicated Interconnect 接続で個別の VLAN アタッチメントを使用できます。

次のステップ

ハブアンドスポークネットワーク terraform をデプロイします。
ハブ＆スポークトポロジをオンプレミスや他のクラウドに接続する方法については、Cross-Cloud Network 設計ガイドをご覧ください。
複数の VPC ネットワークに接続するための設計オプションについて学習する。
コストとパフォーマンスのために最適化された安全で復元力のあるクラウドトポロジを構築するためのベストプラクティスについて学習する。

ハブアンドスポーク ネットワーク アーキテクチャ コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。