Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポーク リソース間のネットワーク接続を簡素化するオーケストレーション フレームワークです。Network Connectivity Center は、次の 3 種類のスポークをサポートしています。
- Virtual Private Cloud(VPC)スポーク
- プロデューサー VPC スポーク(プレビュー)
- ハイブリッド スポーク。次のものから構成されています。
- HA VPN トンネル
- Cloud Interconnect VLAN アタッチメント
- ルーター アプライアンス VM
ハブアンドスポーク接続を使用すると、次のことができます。
- 複数の VPC ネットワークを相互に接続する。VPC ネットワークは、同じ Google Cloud 組織内の異なるプロジェクトまたは異なる組織に配置できます。
- 複数の VPC ネットワークをオンプレミスまたは他のクラウド プロバイダ ネットワークに接続する。これらの外部ネットワークには、任意のタイプのハイブリッド スポークからアクセスできます。この手法は、サイトツークラウド接続と呼ばれます。
- ルーター アプライアンス VM を使用して、VPC ネットワーク間の接続を管理する。
- Google Cloud VPC ネットワークを広域ネットワーク(WAN)として使用し、Google Cloud の外部にあるネットワークに接続する。外部サイト間の接続を確立するには、任意のタイプのハイブリッド スポークを使用します。この手法は、サイト間接続と呼ばれます。
仕組み
ハブが VPC スポークを使用する場合、VPC ネットワークの一部またはすべてでサブネット ルートを交換することにより、ハブに接続されている VPC ネットワーク間の接続を構成できます。
ハブが VPC スポークとハイブリッド スポークの両方を使用する場合、これらのスポーク全体で任意の接続がサポートされます。
ハブが単一の VPC ネットワーク内にあるハイブリッド スポークを使用する場合は、サイト間データ転送を構成して、ネクストホップがハイブリッド スポーク(Cloud Interconnect VLAN アタッチメントなど)である動的ルートが、VPC ネットワーク内の他のハイブリッド スポークの BGP セッションによってオンプレミス ネットワークにアドバタイズされるようにできます。
ハブとスポークの詳細については、以降のセクションをご覧ください。
ハブ
Network Connectivity Center ハブは、スポークを接続するグローバル リソースです。1 つのハブに複数のリージョンのスポークを配置できます。ただし、ハブのスポークのいずれかがサイト間データ転送機能を使用している場合、これらのスポークに関連付けられたリソースはすべて同じ VPC ネットワークに存在する必要があります。サイト間データ転送を使用しないスポークは、プロジェクト内の任意の VPC ネットワークに関連付けることができます。
スポーク
スポークは、ハブに接続されている 1 つ以上の Google Cloud ネットワーク リソースを表します。
スポークを作成する際は、サポートされている 1 つ以上の接続リソース(バッキング リソースとも呼ばれます)に関連付ける必要があります。
スポークでは、次の Google Cloud リソースのいずれかをバッキング リソースとして使用できます。
VPC スポーク
VPC スポークでは、IPv4 サブネット ルートを交換するように、複数の VPC ネットワークをハブに接続できます。1 つのハブに接続された VPC スポークは、同じプロジェクトまたは別のプロジェクト(別の組織のプロジェクトを含む)の VPC ネットワークを参照できます。
VPC スポークの詳細については、VPC スポークの概要をご覧ください。
VPC スポークは、複数の VPC ネットワークの IPv4 サブネット範囲間の接続を提供します。
プロデューサー VPC スポーク(プレビュー)
VPC ネットワーク ピアリングを介して別のプロジェクトのプロデューサー ネットワークからサービスを利用する既存の VPC スポークがある場合は、プロデューサー VPC スポークを作成して、Network Connectivity Center ハブ内の他のスポークからサービスにアクセスできるようにします。
プロデューサー VPC スポークの詳細については、プロデューサー VPC スポークをご覧ください。
ハイブリッド スポーク
ハイブリッド スポークは、ハブに接続されている 1 つ以上のネットワーク接続リソースを表します。ハイブリッド スポークのタイプは、スポークが関連付けられている次のいずれかのリソースにすることができます。
- ルーター アプライアンス VM
- HA VPN トンネル
- Cloud Interconnect VLAN アタッチメント
1 つのハイブリッド スポークを同じタイプの複数のリソースに関連付けることができます。たとえば、ハイブリッド スポークは 2 つ以上の HA VPN トンネルを参照できますが、この同じハイブリッド スポークはルーター アプライアンス VM または Cloud Interconnect VLAN アタッチメントを参照することはできません。ハイブリッド スポークは、Network Connectivity Center ハブと同じプロジェクトに存在する必要があります。
ハイブリッド スポークを使用したサイト間データ転送では、スポークが同じ VPC ネットワークに配置されている必要があります。詳細については、サイト間データ転送の概要をご覧ください。
ルーター アプライアンス スポーク
ルーター アプライアンス VM インスタンスに関連付けられたスポークは、次のユースケースをサポートします。
- IPv4 サイトツークラウド接続: 外部サイトと VPC ネットワーク リソース間の接続を確立します。
- IPv4 サイト間データ転送: 外部サイトを含む広域ネットワーク(WAN)の一部として Google のネットワークを使用して、すべてのサイト間でデータを移動します。
- VPC ネットワーク間の IPv4 接続: サードパーティのネットワーク仮想アプライアンスを使用して、VPC ネットワーク間の接続を確立します。
同じハブに接続されているすべてのサイト間スポークのバッキング リソースが同じ VPC ネットワークに配置されている必要があります。
HA VPN トンネル スポーク
Cloud VPN(HA VPN)トンネルに関連付けられたスポークは、次のユースケースをサポートします。
- IPv4 サイトツークラウド接続: 外部サイトと VPC ネットワーク リソース間の接続を確立します。
- IPv4 サイト間データ転送: 外部サイトを含む広域ネットワーク(WAN)の一部として Google のネットワークを使用して、すべてのサイト間でデータを移動します。
単一のスポークでリンクされているすべてのアプライアンスと、すべての Cloud VPN トンネル、VLAN アタッチメントが同じ VPC ネットワーク内にある必要があります。
Cloud Interconnect VLAN アタッチメント スポーク
Cloud Interconnect VLAN アタッチメントに関連付けられたスポークは、次のユースケースをサポートします。
- IPv4 サイトツークラウド接続: 単一のスポークからリンクされているすべてのアプライアンスが同じ VPC ネットワーク内にある必要があります。
- IPv4 サイト間データ転送: すべての Cloud VPN トンネル、VLAN アタッチメント、またはその両方が同じ VPC ネットワーク内にある必要があります。
VPC 接続によるルート交換
Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用するサブネット IPv4 アドレス範囲の交換がサポートされます。プライベートで使用されるパブリック IPv4 アドレスはサポートされません。動的ルート(BGP を介してハイブリッド スポークによって学習されたルート)は、VPC スポークまたは他のハイブリッド スポークと交換することもできます。スポーク VPC ネットワーク内の静的ルートは、ハブ内の他の VPC スポークと交換できません。
ハイブリッド スポークのハブサブネットのインポート
ハイブリッド スポークのハブサブネットのインポートを有効にすると、BGP を介して VPC スポーク IP サブネット範囲をオンプレミス ネットワークや他のクラウド プロバイダ ネットワークに自動的にアドバタイズできます。この機能を有効にすると、ハブ ルートテーブルに作成された新しい VPC サブネットがハイブリッド スポークによって自動的にインポートされ、BGP を介してリモートピアにアドバタイズされます。
VPC スポークのサブネット IP アドレス範囲をハイブリッド スポークに自動的にアドバタイズするには、スポークの作成時に ALL_IPV4_RANGES フィールドで --include-import-ranges フラグを使用します。デフォルトでは、--include-import-ranges フィールドは空です。つまり、ALL_IPV4_RANGES が指定されるまで、ハブのサブネットは新しいハイブリッド スポークまたは既存のハイブリッド スポークにインポートされません。
ハイブリッド スポークの作成方法の詳細については、スポークを操作するをご覧ください。
カスタム ルート アドバタイズ
Cloud Router のカスタム ルート アドバタイズを使用すると、ハイブリッド スポークによってアドバタイズされるプレフィックスを手動で制御できます。VPC スポーク サブネットの自動アドバタイズが不要な場合は、すべての BGP セッションにカスタム アドバタイズ ルートを指定できます。デフォルト ルート(IPv4 ルートの場合は 0.0.0.0/0、IPv6 ルートの場合は ::/0)も指定できます。デフォルトでは、他の VPC スポークのサブネットはアドバタイズされません。つまり、オンプレミスのロケーションは、これらの IP アドレス範囲へのネットワーク到達性を自動的に学習しません。
ハブサブネットのインポートに関する考慮事項
ハブサブネットのインポート機能を使用する場合は、次の点に注意してください。
- ハイブリッド スポークの
--include-import-rangesフィールドにALL_IPV4_RANGESが指定されている場合、デフォルトでは、ハブ ルート テーブル内のすべての VPC スポーク サブネットがハイブリッド スポークにアドバタイズされます。 - ルートの優先度は、ランディング VPC ネットワーク サブネット、ハブサブネット、Cloud Router カスタムルートの順です。
- Network Connectivity Center は、ルーティング VPC サブネットと他の VPC スポークのハブサブネット間の重複を防ぎます。
- Cloud Router のカスタムルートが、ランディング VPC サブネットまたはハブサブネットと完全に同じか重複している場合、その Cloud Router のカスタムルートは無視されます。
- ハブサブネットの BGP 属性は、ハイブリッド スポークのランディング VPC のサブネットと同じです。
- BGP セッションの Cloud Router ポリシーは、Network Connectivity Center にインポートされたハブサブネットにも適用されます。
- ハイブリッド スポークのルーティング VPC ネットワークで動的ルーティング モードが
regionalに設定されている場合、ハイブリッド スポークと同じリージョン内のハブサブネットのみがアドバタイズされます。
サンプル ユースケース
以降のセクションでは、Network Connectivity Center の主なユースケースについて説明します。
Network Connectivity Center で異なる VPC ネットワークを接続する
2 つ以上の VPC スポークをハブに接続すると、Network Connectivity Center は、スポークによって表されるすべての VPC ネットワーク間の IPv4 サブネット接続を提供します。ハブを使用すると、大規模なメッシュ サブネット接続の管理が簡単になります。ハブに接続できる VPC ネットワークの数については、割り当てをご覧ください。
次の図は、2 つの VPC スポークを示しています。
VPC スポークのオンプレミス接続
VPC スポークは、他の(ルーティング)VPC ネットワークにあるハイブリッド スポークを使用して、オンプレミス ネットワークに接続できます。各 Network Connectivity Center ハブは、複数の VPC スポークと、ハイブリッド スポークとして追加された Cloud Interconnect VLAN アタッチメント、HA VPN トンネル、ルーター アプライアンス VM をサポートします。次の図は、同じ Network Connectivity Center ハブに VPC スポークとハイブリッド スポークの両方があるハブの例を示しています。
ルーター アプライアンス VM を使用してネットワークを接続する
Network Connectivity Center では、次の 2 つの IPv4 接続シナリオでルーター アプライアンス VM を使用できます。
- 動的ルートを使用して、VPC ネットワークをオンプレミスまたは他のクラウド プロバイダ ネットワークに接続する
- 動的ルートを使用して 2 つの VPC ネットワークを相互に接続する
このオプションを使用すると、Cloud Router はルーター アプライアンス VM の BGP セッションを管理します。
外部ネットワークを Google Cloud に接続する
次の図は、ルーター アプライアンス VM とのハイブリッド スポークを使用して、2 つの VPC ネットワークを外部ネットワークに接続しています。Cloud Router VM には、VPC ネットワークごとに 1 つのネットワーク インターフェース(NIC)があります。
このユースケースの詳細については、サードパーティ アプライアンスを使用するサイトツークラウド トポロジをご覧ください。
VPC ネットワーク間の接続を管理する
次の図は、専用のファイアウォールまたはパケット検査ソフトウェアを実行しているルーター アプライアンス VM でハイブリッド スポークを使用し、2 つの VPC ネットワークに接続しています。
詳細については、サードパーティ アプライアンスを使用する VPC 間のトポロジをご覧ください。
Google のネットワーク経由でデータ転送を行う(サイト間)
データ転送では、Google Cloud VPC ネットワークとハイブリッド スポークを使用して、外部ネットワーク間の IPv4 接続を提供します。複数のオンプレミス ネットワークまたは他のクラウド ネットワーク間でデータを転送できます。
ハイブリッド スポークを作成するときに、そのスポークのデータ転送オプションを有効にできます。同じハブに接続されたハイブリッド スポークでデータ転送を有効にすると、各 Router アプライアンス VM、Cloud VPN トンネル、Cloud Interconnect VLAN アタッチメントが学習した動的ルートが他の VM、トンネル、または同じハブに接続されたハイブリッド スポークに関連付けられているVLAN アタッチメントに再度アドバタイズされます。データ転送では、すべてのハイブリッド スポークは、単一の VPC ネットワーク内の Router アプライアンス VM、Cloud VPN トンネル、または Cloud Interconnect VLAN アタッチメントを参照する必要があります。
たとえば、ニューヨーク、シドニー、東京にデータセンターがあるとします。サポートされているリソースを使用して各ネットワークを VPC ネットワークに接続すると、スポークを作成して各ネットワークを表すことができます。この設定が完了すると、Network Connectivity Center は 3 つすべてのサイト間のフルメッシュ接続を提供します。
次の図に示すように、Cloud VPN、Cloud Interconnect、ルーター アプライアンスなどの接続リソースに依存するスポークを作成できます。
この図には Cross-Cloud Interconnect が示されていませんが、Cross-Cloud Interconnect の VLAN アタッチメントも使用できます。
このユースケースに関するより詳しい内容については、サイト間データ転送の概要をご覧ください。
Network Connectivity Center の考慮事項
Network Connectivity Center を設定する前に、次のセクションを確認してください。
IP アドレス指定
Network Connectivity Center は、IPv4 アドレス指定をサポートしています。IPv6 はサポートしていません。次に例を示します。
スポークでサイト間データ転送が有効になっている場合、スポークに関連付けられたリソースは IPv4 トラフィックをサポートします。これらのスポークは IPv6 トラフィックを交換できません。これは、すべてのスポークタイプ(ルーター アプライアンス、VLAN アタッチメント、VPN スポーク)に適用されます。
サイトツークラウドのルーター アプライアンス スポークは、IPv4 トラフィックをサポートします。IPv6 トラフィックはサポートされません。
ルーター アプライアンス VM を作成する場合、VM のプライマリ内部 IPv4 アドレスは RFC 1918 アドレスである必要があります。
VPC スポークに IPv4 サブネットと IPv6 サブネットの両方が含まれている場合、IPv4 サブネットのみが交換されます。
ルーティング
Network Connectivity Center ハイブリッド スポークによってインストールされたルートは、動的ルートとして扱われます。
動的ルートが他のタイプのルートと比較してどのように扱われるかについては、VPC ドキュメントの適用範囲と順序をご覧ください。
| リソース | 該当するユースケース |
|---|---|
| 優先度の指定 | すべてのハイブリッド スポーク リソースは Cloud Router を使用します。Cloud Router で使用されるパス選択モデルの詳細については、Cloud Router の概要の AS パスの先頭付加と AS パスの長さをご覧ください。 |
| ASN | 単一のスポークに関連付けられている Google 以外のすべてのピアリング ルーターでは、Cloud Router に接頭辞をアドバタイジングする際に同じ ASN を使用する必要があります。2 つのピアが異なる ASN または AS パスで同じ接頭辞をアドバタイズすると、その接頭辞に対して一方のピアの ASN パスと AS パスのみが再アドバタイズされます。スポークごとに異なる ASN を使用する必要があります。つまり、2 つの BGP セッションが異なるスポークに属している場合、異なる ASN が必要となります。また、データ転送機能を使用している場合は、サイト間データ転送の ASN の要件で説明されているように ASN を割り当てる必要があります。 |
| BGP セッション | BGP コミュニティ属性は、サポートされていません。 |
サイト間データ転送を使用する場合のルート アドバタイズの変更
Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルをハイブリッド スポークに追加すると、Network Connectivity Center は、サイト間のデータ転送オプションが有効になっているハブのハイブリッド スポークのいずれかに接続され、他の Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルの BGP セッションで学習した接頭辞を再度アドバタイズできるように、VLAN アタッチメントまたは Cloud VPN トンネルの対応する BGP セッションを更新します。
他のプロダクトのサポート
以降のセクションでは、Network Connectivity Center が他のネットワーキング プロダクトや機能と連携する仕組みについて説明します。
VPC スポークと VPC ネットワーク ピアリング
Network Connectivity Center の VPC スポークでは、プライベート アドレスを使用する有効なサブネット IPv4 アドレス範囲の交換のみがサポートされます。プライベートで使用されるパブリック IPv4 アドレス、IPv6 サブネット範囲、静的ルートと動的ルートはサポートされません。
Network Connectivity Center の VPC スポークの詳細については、VPC スポークの概要をご覧ください。
VPC ネットワーク ピアリングを使用したルートの交換方法については、VPC ネットワーク ピアリングのドキュメントでルート交換のオプションをご覧ください。
Network Connectivity Center VPC のスポークでは、静的ルートまたは動的ルートの交換はサポートされていませんが、スポーク VPC ネットワークでは、VPC ネットワーク ピアリングを使用して別の VPC ネットワークから静的ルートと動的ルートをインポートできます。他の VPC ネットワークに、オンプレミス ネットワークに接続するネクストホップ Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルを持つ動的ルートがある場合、スポーク VPC ネットワークをオンプレミス ネットワークに接続できます。VPC ネットワーク ピアリング ドキュメントのトランジット ネットワークの例で説明されているように、この接続は、Cloud Router のカスタムルート アドバタイズと VPC ネットワーク ピアリング ルート交換のオプションを使用して行います。
共有 VPC ネットワーク
共有 VPC ネットワークを使用する場合は、ホスト プロジェクトにハブを作成する必要があります。この制限はハイブリッド スポークにのみ適用されます。
networkconnectivity.googleapis.com/spokeAdmin ロールをサービス プロジェクトの管理者に割り当てることをおすすめします。このロールと他の Network Connectivity Center のロールの詳細については、ロールと権限をご覧ください。
レガシー ネットワーク
スポーク リソースをレガシー ネットワークの一部にはできません。
VPN トンネル
Classic VPN トンネルはサポートされていません。
データ移行
データ転送を使用する場合は、サイト間データ転送の概要の考慮事項セクションを確認してください。
サービスレベル契約
Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約(SLA)をご覧ください。
料金
料金については、Network Connectivity Center の料金をご覧ください。
次のステップ
- ハブとスポークの管理方法については、ハブとスポークの操作をご覧ください。
- Cloud VPN スポークの使用方法については、Cloud VPN スポークを使用して 2 つのサイトを接続するをご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを取得するには、Network Connectivity Center パートナーをご覧ください。
- Network Connectivity Center の割り当てと上限については、割り当てと上限をご覧ください。