VM のネットワーキングの概要

このドキュメントでは、仮想マシン(VM)インスタンスのネットワーク機能の概要について説明します。仮想マシン(VM)インスタンスと Virtual Private Cloud(VPC)ネットワークとの相互作用に関する基本を把握できます。VPC ネットワークと関連機能の詳細については、VPC ネットワークの概要をご覧ください。

ネットワークとサブネット

すべての VM は VPC ネットワークの一部であり、VPC ネットワークでは、VM インスタンスから他の Google Cloud プロダクトへの接続とインターネット接続が利用できます。VPC ネットワークは自動モードまたはカスタムモードにできます。

  • 自動モード VPC ネットワークにはリージョンごとに 1 つのサブネットワーク(サブネット)があります。すべてのサブネットに 10.128.0.0/9 の IP アドレス範囲に含まれています。自動モードの VPC ネットワークでは IPv4 サブネット範囲のみがサポートされます。
  • カスタムモードのネットワークにはサブネット構成がありません。指定した IP 範囲を使用して、選択したリージョンで作成するサブネットを決定します。カスタムモードのネットワークでは IPv6 サブネット範囲もサポートされます。

無効にすることを選択しない限り、各プロジェクトでは自動モードの VPC ネットワークである default ネットワークが利用できます。組織のポリシーを作成することで、デフォルト ネットワークの作成を無効にできます。

VPC ネットワーク内の各サブネットはリージョンに関連付けられ、1 つ以上の IP アドレス範囲が含まれています。リージョンごとに複数のサブネットを作成できます。VM の各ネットワーク インターフェースは、サブネットに接続する必要があります。

VM を作成するときに、VPC ネットワークとサブネットを指定できます。この構成を省略すると、default ネットワークとサブネットが使用されます。Google Cloud は、選択したサブネットのプライマリ IPv4 アドレス範囲から新しい VM に内部 IPv4 アドレスを割り当てます。サブネットに IPv6 アドレス範囲もある場合(デュアルスタックと呼ばれる)、または IPv6 のみのサブネット(プレビュー版)を作成した場合、VM に IPv6 アドレスを割り当てることができます。

VPC ネットワークの詳細については、VPC ネットワークの概要をご覧ください。2 つのリージョンに 3 つのサブネットがある VPC ネットワークを使用する VM の例については、VPC ネットワークの例をご覧ください。

ネットワーク インターフェース コントローラ(NIC)

VPC ネットワーク内のすべてのコンピューティング インスタンスには、デフォルトのネットワーク インターフェースがありますが、ネットワーク インターフェースを定義できるのは、コンピューティング インスタンスを作成する場合のみです。ネットワーク インターフェースを構成する際には、インターフェースを接続する VPC ネットワークと、その VPC ネットワーク内のサブネットを選択します。インスタンスに接続するネットワーク インターフェースを追加できますが、各インターフェースはそれぞれ異なる VPC ネットワークに接続する必要があります。

複数のネットワーク インターフェースを使用することで、1 つのインスタンスが複数の VPC ネットワークに直接接続する構成を作成できます。複数のネットワーク インターフェースは、1 つのインスタンスで実行されているアプリケーションのトラフィックを分離する必要がある場合(データプレーン トラフィックと管理プレーン トラフィックを分離する場合など)に役立ちます。複数の NIC の使用の詳細については、複数のネットワーク インターフェースの概要をご覧ください。

コンピューティング インスタンスのネットワーク インターフェースを構成するときに、インターフェースで使用するネットワーク ドライバのタイプ(VirtIO または Google Virtual NIC(gVNIC))を指定できます。第 1 世代と第 2 世代のマシンシリーズの場合、デフォルトは VirtIO です。第 3 世代以降のマシンシリーズは、デフォルトで gVNIC を使用するように構成されており、ネットワーク インターフェースの VirtIO はサポートしていません。ベアメタル インスタンスは IDPF を使用します。

また、gVNIC または IPDF を使用するコンピューティング インスタンスで、VM ごとの Tier_1 ネットワーキング パフォーマンスを使用するように選択することもできます。Tier_1 ネットワーキングでは、インバウンド データ転送とアウトバウンド データ転送の両方で、より高いネットワーク スループット上限を設定できます。

ネットワーク帯域幅

Google Cloud では、ネットワーク インターフェース(NIC)ごとや IP アドレスごとではなく、VM インスタンスごとの帯域幅を考慮します。帯域幅はトラフィックの方向(上り(内向き)と下り(外向き))と宛先 IP アドレスのタイプという 2 つの項目を使用して測定されます。許容される最大下り(外向き)レートは、インスタンスの作成に使用されたマシンタイプによって決まりますが、最大下り(外向き)レートに達するのは特定の状況に限られます。詳細については、ネットワーク帯域幅をご覧ください。

高いネットワーク帯域幅(第 3 世代以降のマシンシリーズの 200 Gbps など)をサポートするには、Google Virtual NIC(gVNIC)が必要です。

一部のマシンシリーズでは、帯域幅の概要表に記載されているように、上限が異なります。

IP アドレス

各 VM には、ネットワーク インターフェースに関連付けられたサブネットから IP アドレスが割り当てられます。次のリストに、IP アドレスの構成要件の詳細を示します。

  • IPv4 のみのサブネットの場合、IP アドレスは内部 IPv4 アドレスです。必要に応じて、VM に外部 IPv4 アドレスを構成できます。
  • ネットワーク インターフェースが、IPv6 範囲を持つデュアルスタック サブネットに接続される場合は、カスタムモードの VPC ネットワークを使用する必要があります。VM には次の IP アドレスがあります。
    • 内部 IPv4 アドレス。必要に応じて、VM に外部 IPv4 アドレスを構成できます。
    • サブネットのアクセスタイプに応じて、内部 IPv6 アドレスまたは外部 IPv6 アドレス。
  • IPv6 のみのサブネット(プレビュー)の場合は、カスタムモードの VPC ネットワークを使用する必要があります。VM には、サブネットのアクセスタイプに応じて、内部 IPv6 アドレスまたは外部 IPv6 アドレスがあります。
  • 内部 IPv6 アドレスと外部 IPv6 アドレスの両方を持つ IPv6 のみのインスタンス(プレビュー)を作成するには、VM の作成時に 2 つのネットワーク インターフェースを指定する必要があります。既存のインスタンスにネットワーク インターフェースを追加することはできません。

外部プライマリ IP アドレスと内部プライマリ IP アドレスは、エフェメラルまたは静的のいずれかになります。

内部 IP アドレスは、次のいずれかに対してローカル アドレスになります。

  • VPC ネットワーク
  • VPC ネットワーク ピアリングを使用して接続された VPC ネットワーク
  • Cloud VPN、Cloud Interconnect、またはルーター アプライアンスを使用して VPC ネットワークに接続されたオンプレミス ネットワーク

インスタンスは、VM の内部 IPv4 アドレスを使用して、同じ VPC ネットワーク上または上記のリストにある接続ネットワーク上のインスタンスと通信できます。VM ネットワーク インターフェースがデュアルスタック サブネットまたは IPv6 のみのサブネットに接続されている場合、VM の内部 IPv6 アドレスまたは外部 IPv6 アドレスを使用して、同じネットワーク上の他のインスタンスと通信できます。内部通信には内部 IPv6 アドレスを使用することをおすすめします。IP アドレスの詳細については、Compute Engine の IP アドレスの概要をご覧ください。

インターネットまたは外部システムと通信するには、VM インスタンスで構成された外部 IPv4 アドレスまたは外部 IPv6 アドレスを使用します。外部 IP アドレスは、一般公開されたルーティング可能な IP アドレスです。インスタンスに外部 IP アドレスがない場合は、IPv4 トラフィックに Cloud NAT を使用できます。

単一の VM インスタンス上で実行しているサービスが複数ある場合は、エイリアス IPv4 範囲を使用して各サービスに異なる内部 IP アドレスを割り当てることができます。VPC ネットワークは特定のサービス宛てのパケットを、対応する VM に転送します。詳細については、エイリアス IP 範囲をご覧ください。

Network Service Tiers

Network Service Tiers を使用すると、インターネット上のシステムと Compute Engine インスタンスの間の接続を最適化できます。プレミアム ティアは Google のプレミアム バックボーンでトラフィックを配信し、スタンダード ティアは通常の ISP ネットワークを使用します。プレミアム ティアを使用すればパフォーマンスを、スタンダード ティアを使用すればコストを改善できます。

ネットワーク ティアはリソースレベル(VM 用の外部 IP アドレスなど)で選択できるため、あるリソースにはスタンダード ティアを使用し、別のリソースにはプレミアム ティアを割り当てるといったことが可能です。ティアを指定しない場合、プレミアム ティアが使用されます。

内部 IP アドレスを使用して VPC ネットワーク内で通信するコンピューティング インスタンスは、常にプレミアム ティア ネットワーク インフラストラクチャを使用します。

プレミアム ティアまたはスタンダード ティアを使用する場合、インバウンド データ転送の料金は発生しません。アウトバウンド データ転送の料金は、配信データ 1 GiB あたりの料金で、Network Service Tiers ごとに異なります。料金については、Network Service Tiers の料金をご覧ください。

Network Service Tiers は、コンピューティング インスタンスで使用できる構成オプションである、VM ごとの Tier_1 ネットワーキング パフォーマンスとは異なります。Tier_1 高帯域幅ネットワークの料金で説明されているように、Tier_1 ネットワーキングを使用すると、追加費用が発生します。Tier_1 ネットワーキングの詳細については、VM ごとの Tier_1 ネットワーキング パフォーマンスを構成するをご覧ください。

プレミアム ティア

プレミアム ティアでは、低レイテンシで信頼性の高い Google のグローバル ネットワークを使用して、外部システムから Google Cloudリソースにトラフィックを配信します。また、複数の障害や中断が発生した場合でも、トラフィックを配信し続けられるように設計されています。信頼性とネットワーク パフォーマンスに優れたサービスを世界各地で展開することを目指すお客様にとって、プレミアム ティアは理想的な選択肢です。

プレミアム ティア ネットワークを構成するのは、世界各地に 100 か所以上のポイント オブ プレゼンス(POP)を持つ広範なプライベート ファイバー ネットワークです。Google のネットワーク内では、トラフィックは PoP から VPC ネットワーク内のコンピューティング インスタンスにルーティングされます。アウトバウンド トラフィックは Google ネットワークを通り、宛先に最も近い POP から出ていきます。このルーティング方法では、エンドユーザーとユーザーに最も近い PoP の間のホップ数を減らすことで、輻輳を最小限に抑え、パフォーマンスを最大化します。

スタンダード ティア

スタンダード ティア ネットワークは、外部システムからGoogle Cloud リソースにインターネット経由でトラフィックを配信します。Google のネットワークからの送信パケットは、公共のインターネットを使用して配信され、介在する中継プロバイダと ISP の信頼性の影響を受けます。そのため、スタンダード ティアのネットワーク品質と信頼性は、他のクラウド プロバイダと同程度になります。

スタンダード ティアの料金がプレミアム ティアよりも低いのは、インターネット上のシステムから送信されたトラフィックが、中継(ISP)ネットワーク経由でルーティングされるからです。つまり、ISP ネットワークから VPC ネットワーク内のコンピューティング インスタンスに振り分けられます。スタンダード ティアの送信トラフィックは通常、宛先に関係なく、送信コンピューティング インスタンスで使用されるのと同じリージョンから Google のネットワークを出ます。

スタンダード ティアには、すべてのプロジェクトで使用する各リージョンで、リソース単位で 1 か月あたり 200 GB の無料の使用量が含まれています。

内部ドメイン ネーム システム(DNS)名

仮想マシン(VM)インスタンスを作成すると、 Google Cloudは VM 名から内部 DNS 名を作成します。カスタムホスト名を指定しない限り、Google Cloud は自動的に作成された内部 DNS 名をホスト名として VM に割り当てます。

同じ VPC ネットワークでの VM 間の通信の場合、内部 IP アドレスを使用する代わりに、ターゲット インスタンスの完全修飾 DNS 名(FQDN)を指定できます。 Google Cloud では、この FQDN がインスタンスの内部 IP アドレスに自動的に解決されます。

完全修飾ドメイン名(FQDN)の詳細については、ゾーンおよびグローバルの内部 DNS 名をご覧ください。

ルート

Google Cloud ルートは、ネットワーク トラフィックが仮想マシン(VM)インスタンスから他の宛先に到達する経路を定義します。これらの宛先は VPC ネットワークの内部(別の VM など)の場合もあれば、VPC ネットワークの外部の場合もあります。VPC ネットワークのルーティング テーブルは VPC ネットワーク レベルで定義されます。VM インスタンスには、ネットワークのルーティング テーブルから適用可能なルートを通知するコントローラがあります。VM から送信されるパケットは、ルーティング順序に基づいて、適用可能なルートで適切なネクストホップに配信されます。

サブネット ルートは VPC ネットワーク内のリソース(VM、内部ロードバランサなど)のパスを定義します。各サブネットには 1 つ以上のサブネット ルートがあり、その宛先はサブネットのプライマリ IP 範囲と一致します。サブネット ルートには常に最も狭い範囲の宛先が設定されます。優先度の高いルートであっても、別のルートをオーバーライドすることはできません。ルートを選択するときに、 Google Cloudは優先度よりも宛先の限定性を考慮するためです。サブネット IP 範囲の詳細については、サブネットの概要をご覧ください。

転送ルール

ルートはインスタンスから発信されるトラフィックを制御しますが、転送ルールは、IP アドレス、プロトコル、ポートに基づいて VPC ネットワーク内の Google Cloud リソースにトラフィックを転送します。転送ルールには、 Google Cloud 外部からネットワーク内の宛先にトラフィックを転送するものと、ネットワーク内からトラフィックを転送するものがあります。

IP、Cloud VPN、プライベート仮想 IP(VIP)、ロード バランシングによって仮想ホスティングを実装するようにインスタンスの転送ルールを構成できます。転送ルールの詳細については、プロトコル転送の使用をご覧ください。

ファイアウォール ルール

VPC ファイアウォール ルールを使用すると、指定した構成に基づいて、VM インスタンスとの接続を許可または拒否できます。 Google Cloud では有効な VPC ファイアウォール ルールが常に適用され、構成やオペレーティング システムに関係なく VM を保護します。VM が起動していない場合も同様です。

デフォルトではすべての VPC ネットワークに受信(内向き)と送信(外向き)のファイアウォール ルールがあります。このルールはすべての受信接続をブロックし、すべての送信接続を許可します。default ネットワークには、default-allow-internal ルールなどの、ネットワークでのインスタンス間の通信を許可する追加のファイアウォール ルールがあります。default ネットワークを使用していない場合は、インスタンス間の通信を許可するために優先度の高い上り(内向き)ファイアウォール ルールを明示的に作成する必要があります。

すべての VPC ネットワークは、分散ファイアウォールとして機能します。ファイアウォール ルールは VPC レベルで定義され、ネットワーク内のすべてのインスタンスに適用できます。また、ターゲットタグまたはターゲット サービス アカウントを使用して、特定のインスタンスにルールを適用することもできます。VPC ファイアウォール ルールはインスタンスと他のネットワークの間だけでなく、同じネットワーク内の個々のインスタンスの間にも存在します。

階層型ファイアウォール ポリシーを使用すると、組織全体で一貫したファイアウォール ポリシーを作成して適用できます。階層型ファイアウォール ポリシーは、組織全体または個々のフォルダに割り当てることができます。これらのポリシーには VPC ファイアウォール ルールと同じように、接続を明示的に拒否または許可するルールが含まれています。また、階層型ファイアウォール ポリシールールでは、goto_next アクションを使用して、下位レベルのポリシーまたは VPC ファイアウォール ルールに評価を委任できます。下位レベルのルールは、リソース階層の上位にあるルールをオーバーライドできません。これにより組織全体の管理者が重要なファイアウォール ルールを 1 か所で管理できます。

マネージド インスタンス グループとネットワーク構成

マネージド インスタンス グループ(MIG)を使用する場合、インスタンス テンプレートで指定したネットワーク構成はそのテンプレートで作成されたすべての VM に適用されます。自動モードの VPC ネットワークでインスタンス テンプレートを作成すると、 Google Cloud によって、マネージド インスタンス グループを作成したリージョンのサブネットが自動的に選択されます。

詳細については、ネットワークとサブネットインスタンス テンプレートを作成するをご覧ください。

次のステップ