VPC スポークの概要

このページでは、Network Connectivity Center での Virtual Private Cloud(VPC)スポークのサポートの概要について説明します。

VPC スポーク

Network Connectivity Center は、VPC スポークのサポートを使用して VPC 間の大規模なネットワーク接続を提供します。VPC スポークを作成することで、VPC スポークと一元化された接続管理モデルを使用できるようになり、個々のペア単位の VPC ネットワーク ピアリング接続を管理する運営上の複雑さが軽減されます。VPC スポークは、Network Connectivity Center ハブ上の他のスポーク VPC からすべての IPv4 サブネット ルートをエクスポートおよびインポートします。これにより、これらの VPC ネットワークに存在するすべてのワークロード間で完全な IPv4 接続が保証されます。VPC 間のネットワーク トラフィックは Google Cloud ネットワーク内に留まり、インターネットを経由しないため、プライバシーとセキュリティが確保されます。

VPC スポークは、Network Connectivity Center ハブと同じプロジェクト / 組織に配置することも、別のプロジェクトと組織に配置することもできます。VPC スポークは一度に 1 つのハブに接続できます。

VPC スポークの作成方法については、VPC スポークを作成するをご覧ください。

VPC ネットワーク ピアリングとの比較

VPC スポークは、多くの異なる VPC ネットワークにある IPv4 サブネット範囲間でルーティングされる接続を必要とする、中規模から大規模のエンタープライズ ワークロードをサポートするように設計されています。

VPC ネットワークは Network Connectivity Center の VPC スポークになることも、VPC ネットワーク ピアリングを使用して他の VPC ネットワークに接続することもできます。ただし、スポークの VPC ネットワークが VPC ネットワーク ピアリングを使用してインポートするサブネット ルートは、Network Connectivity Center ハブに接続されている他の VPC スポークと共有されません。そのため、プライベート サービス アクセスを利用するマネージド サービスに、デフォルトでは Network Connectivity Center ハブの他の VPC スポークを使用して推移的に到達することはできません。この場合、プロデューサー VPC スポークプレビュー)を使用して、マネージド サービスにアクセスできるようにします。

特徴 VPC ネットワーク ピアリング VPC スポーク
VPC ネットワーク

最大 25(他の VPC 割り当てを減らす必要があります)。

ハブあたりのアクティブ VPC スポーク(最大 250)
VM インスタンス

ピアリング グループあたりのインスタンス数

Network Connectivity Center では、VPC ネットワークあたりの最大値がサポートされます(個別のピアリング グループの割り当ては不要です)。
サブネット範囲(サブネット ルート)

ピアリング グループあたりのサブネットワーク範囲

ルートテーブルあたりのサブネットワーク ルート
静的ルートと動的ルート

ピアリング グループあたりの静的ルート

ピアリング グループごとのリージョンあたりの動的ルート

ハブあたり 500 個の動的ルート。

静的ルートの交換はサポートされていません。
エクスポート フィルタ

特定のフィルタはサポートされていません。VPC ネットワーク ピアリングのドキュメントでルート交換オプションをご覧ください。

VPC スポークごとに最大 16 個の CIDR 範囲がサポートされます。
IP アドレス指定

内部 IP アドレス(プライベート IP アドレスとプライベートで使用されるパブリック IPv4 アドレスを含む)。有効な IPv4 範囲をご覧ください。

内部 IPv4 アドレス(プライベート IP アドレスを含む。プライベートで使用されるパブリック IPv4 アドレスは除く)。有効な IPv4 範囲をご覧ください。
IP アドレス ファミリー

IPv4 と IPv6/IPv4 のデュアル スタック アドレス。

IPv4 アドレスのみ。
パフォーマンスとスループット(他の VPC 接続メカニズムと比較した場合)

最小レイテンシ、最大スループット(VM 間で同等)。

最小レイテンシ、最大スループット(VM 間で同等)。

ハブとは異なるプロジェクトでの VPC スポーク

Network Connectivity Center を使用すると、VPC スポークとして表される VPC ネットワークを、別の組織のプロジェクトなど、別のプロジェクトの単一のハブに接続できます。これにより、複数のプロジェクトや組織にまたがる大規模な VPC ネットワークに接続できます。

ユーザーは次のいずれかのタイプになります。

  • 1 つのプロジェクトのハブを所有するハブ管理者
  • 別のプロジェクトの VPC ネットワークをスポークとしてハブに追加したい VPC ネットワーク スポークの管理者またはネットワーク管理者。

ハブ管理者は、Identity and Access Management(IAM)権限を使用して、ハブに関連付けられた別のプロジェクトで VPC スポークを作成できるユーザーを制御します。VPC ネットワーク スポーク管理者は、ハブと異なるプロジェクトでスポークを作成します。これらのスポークは、作成時にはアクティブになりません。ハブ管理者は、それらを確認して、スポークを承認するか拒否するかを選択できます。ハブ管理者がスポークを承認すると、スポークがアクティブになります。

Network Connectivity Center は、ハブと同じプロジェクトで作成されたスポークを自動的に承認し来ます。

ハブと異なるプロジェクトで VPC スポークを使用するハブの管理方法については、ハブ管理の概要をご覧ください。スポーク管理者の詳細については、スポーク管理の概要をご覧ください。

エクスポート フィルタを使用した VPC 接続

Network Connectivity Center を使用すると、すべてのスポーク VPC 接続をスポーク VPC 内のサブネットワークのサブセットに限定できます。アドバタイズされる IP アドレス範囲を指定し、VPC ネットワークからアドバタイズできる CIDR 範囲のリストを設定することで、接続を制限できます。許可された CIDR 範囲のリストを指定することで接続を制限し、許可された範囲を除くすべての範囲をブロックすることもできます。

エクスポート範囲を除外する

Google Cloud CLI の --exclude-export-ranges フラグまたは API の excludeExportRanges フィールドを使用して、IP アドレス範囲のアドバタイズを防ぐことができます。指定された範囲に一致するサブネットワークは、ハブへのエクスポートから除外されます。このフィルタは、VPC ネットワーク内でプライベートにする必要のあるサブネットが存在する場合や、ハブ ルート テーブル内の他のサブネットと重複する可能性がある場合に便利です。

エクスポート範囲を含める

VPC スポークからアドバタイズできる CIDR 範囲のリストを設定するには、include-export-ranges フラグまたは API の includeExportRanges フィールドを使用します。除外エクスポート フィルタの IP アドレス範囲とともに使用すると、より正確な接続が確立されます。このフィルタリングにより、特定のサブネット範囲を VPC ネットワークからアドバタイズできるかどうかが決まります。

考慮事項

エクスポート範囲の除外フィルタと含めるフィルタを使用する場合は、次の点を考慮してください。

  • 含める範囲は互いに排他的である必要があります。つまり、含める範囲が重複してはなりません。たとえば、次の 3 つの IP アドレス範囲があるとします。

    Range 1: 10.100.64.0/18

    Range 2: 10.100.250.0/21

    Range 3: 10.100.100.0/22

    Range 1range 2 は重複しないため、有効な範囲です。ただし、range 3range 1 の下にあり、重複が発生する可能性があるため、range 3 は無効です。

  • Network Connectivity Center には、ネットワーク構成ポリシーで使用できる除外エクスポート フィルタがすでにあるため、除外エクスポート フィルタと含めるエクスポート フィルタの両方が、有効なネットワーク構成の CIDR 範囲に影響します。含めるエクスポート フィルタと除外するエクスポート フィルタの両方を使用する場合、含める IP アドレス範囲は除外する IP アドレス範囲のサブセットである必要があります。

  • デフォルトでは、すべての VPC 接続ポリシーに 0.0.0.0/0 の CIDR 範囲が含まれます。つまり、VPC スポークの作成時に包含フィルタを指定しない場合、Network Connectivity Center は、有効な IPv4 範囲で定義されているすべての有効なプライベート IPv4 アドレスにデフォルトの包含範囲を設定します。

  • 含める範囲を絞り込むには、除外範囲を複数追加します。たとえば、包含範囲として 10.1.0.0/16 を指定し、除外範囲として 10.1.100.0/2410.1.200.0/24 を指定した場合は、包含フィルタと除外フィルタの両方を組み合わせて接続が絞り込まれます。この範囲には、10.1.0.0/2410.1.99.0/2410.1.101.0/2410.1.199.0/2410.1.201.0/2410.1.255.0/24 のすべてが含まれます。

  • 既存のサブネット範囲は引き続き正常に動作します。新しいサブネット範囲の作成時に、含める範囲と除外範囲が重複すると、エラーが発生します。

無効な新しいサブネット範囲の例

次の例は、無効なサブネット範囲を示しています。

  • 除外範囲との重複: 次の IP アドレス範囲があるとします。

    範囲を含める: 10.0.0.0/8

    Exclude range 4: 10.1.1.0/24

    Subnet range 4: 10.1.0.0/16

    この場合、含める範囲には subnet range 4 が含まれます。ただし、exclude range 4 のスーパーセットです。したがって、subnet range 4 は無効です。

  • 含める範囲との重複: 次の IP アドレス範囲があるとします。

    範囲を含める: 10.1.1.0/24

    Subnet range 5: 10.1.0.0/16

    Subnet range 5 は包含範囲と重複しているため、無効です。

サブネットの作成プロセス中に無効なサブネット範囲を入力すると、次のような Invalid IPCiderRange エラーが発生します。

Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION

プリセット トポロジ

Network Connectivity Center を使用すると、すべての VPC スポークに必要な接続構成を指定できます。次の 2 つの事前定義されたトポロジのいずれかを選択できます。

  • メッシュ トポロジ
  • スタートポロジ

gcloud network-connectivity hubs create コマンドを使用してハブを作成する場合は、プリセットのメッシュまたはスター トポロジを選択します。トポロジが指定されていない場合、デフォルトはメッシュになります。ハブの作成時に設定した特定のハブのトポロジは変更できません。

スポークのトポロジ設定を変更するには、スポークを削除し、別のトポロジを使用する新しいハブで新しいスポークを作成します。

メッシュ トポロジ

メッシュ トポロジは、VPC スポーク間の大規模なネットワーク接続を提供します。このトポロジでは、すべてのスポークが相互に接続して通信できます。これらの VPC スポーク内のサブネットは、exclude export filters を指定しない限り、完全に到達可能です。デフォルトでは、2 つ以上のワークロード VPC ネットワークがスポークとして Network Connectivity Center ハブに参加するように構成されている場合、Network Connectivity Center は各スポーク間のフルメッシュ接続を自動的に構築します。

メッシュ トポロジ内のすべてのスポークは、単一のデフォルト グループに属します。メッシュ トポロジは、VPC スポーク タイプとハイブリッド スポーク タイプでサポートされています。

次の図は、Network Connectivity Center のメッシュ トポロジ接続を示しています。

Network Connectivity Center のメッシュ トポロジ接続。
Network Connectivity Center メッシュ トポロジの接続(クリックして拡大)

スタートポロジ

スター トポロジは VPC スポークでのみサポートされます。接続にスター トポロジを使用する場合、エッジ スポークとそれに関連付けられたサブネットは、指定されたセンター スポークにのみ到達できます。一方、センター スポークは他のすべてのスポークに到達できます。これにより、エッジ VPC ネットワーク間でのセグメンテーションと接続の分離が確実に行われるようにします。

VPC スポークは別のプロジェクトのハブに接続できるため、VPC スポークは異なる管理ドメインから取得できます。ハブとは異なるプロジェクトにあるこれらのスポークは、Network Connectivity Center ハブ内の他のすべてのスポークと通信する必要がない場合があります。

スター トポロジは、次のユースケースに選択できます。

  • 異なる VPC ネットワークで実行され、相互接続は不要だが、中央の共有サービス VPC ネットワークを介して VPC ネットワークにのみアクセスする必要があるワークロード。

  • 複数の VPC ネットワーク間の通信に対するセキュリティ制御。トラフィックは、一連の集中型ネットワーク仮想アプライアンス(NVA)を通過する必要があります。

次の図は、Network Connectivity Center のスター トポロジ接続を示しています。center-vpc-acenter-vpc-b はセンター グループに関連付けられ、edge-vpc-cedge-vpc-d はエッジ グループに関連付けられます。この場合、スター トポロジを使用すると、edge-vpc-cedge-vpc-dcenter-vpc-acenter-vpc-b に接続し、サブネットをセンター グループに伝播できますが、相互に接続されません(edge-vpc-cedge-vpc-d の間に直接到達可能ではありません)。一方、center-vpc-acenter-vpc-b は相互に接続され、edge-vpc-cedge-vpc-d の両方に接続されているため、センター グループ VPC からエッジ グループ VPC への完全な到達が可能になります。

Network Connectivity Center のスター型トポロジ接続。
Network Connectivity Center のスター トポロジ接続(クリックして拡大)

スポーク グループ

スポーク グループは、ハブに接続されているスポークのサブセットです。スター トポロジを使用して Network Connectivity Center を構成するには、すべての VPC スポークを 2 つの異なるグループ(ルーティング ドメインとも呼ばれます)に分割する必要があります。

  1. スポークの中心グループ。ハブに接続されている他のすべてのスポークと通信します。
  2. スポークのエッジ グループ。中央グループに属するスポークとのみ通信します。

VPC スポークは一度に 1 つのグループにのみ所属できます。グループは、ハブを作成するときに自動的に作成されます。

ハブ管理者は、gcloud network-connectivity hubs groups update コマンドを使用してスポーク グループを更新できます。ハブ管理者は、プロジェクト ID またはプロジェクト番号のリストを追加して、スポークの自動承諾を有効にできます。自動承諾を有効にすると、自動承諾プロジェクトからスポークが自動的にハブに接続され、個々のスポーク提案の審査は不要になります。

gcloud network-connectivity hubs groups list --hub コマンドを使用すると、特定のハブのネストされたリソースとしてセンター グループとエッジグループを一覧表示できます。メッシュ トポロジで作成されたハブの場合、出力でデフォルト グループが返されます。スター トポロジで作成されたハブの場合、出力ではセンター グループとエッジグループが返されます。

VPC スポークのメッシュまたはスター トポロジを構成する方法の詳細については、ハブを構成するをご覧ください。

制限事項

このセクションでは、VPC スポークの一般的な制限事項と、別のプロジェクトのハブに接続している場合の制限事項について説明します。これらの制限は、プロデューサー VPC スポーク(プレビュー)にも適用されます。

VPC スポークの制限事項

  • VPC ネットワークには、Network Connectivity Center のハブまたは VPC ネットワーク ピアリングを介して排他的に接続できます。
  • 同じ Network Connectivity Center ハブに接続されている 2 つの VPC スポーク間で VPC ネットワーク ピアリングを使用することはできません。ただし、次の点にご注意ください。
    • プロデューサー VPC スポークには、同じハブ上の VPC スポークへのピアリング接続が必要です。プロデューサー VPC スポークとピアリングされた VPC スポークの間に Network Connectivity Center を介した接続が確立されていません。
    • VPC ネットワーク ピアリングを使用すると、Network Connectivity Center に接続している VPC スポークを Network Connectivity Center の一部ではない別の VPC にピアリングできます。
  • Network Connectivity Center と VPC ネットワーク ピアリングを組み合わせて接続された VPC は推移的なものではありません。
  • VPC スポーク間の IPv4 静的ルート交換はサポートされていません。
  • 他の VPC スポークの内部パススルー ネットワーク ロードバランサの仮想 IP アドレスを指すルートもサポートされていません。
  • 重複するサブネットは、除外エクスポート フィルタでマスキングする必要があります。
  • VPC スポークの作成後に export range filters を更新することはできません。
  • ハブとは異なるプロジェクトのスポークの場合、新しい VPC Service Controls 境界が追加されたときに、境界に違反する新しいスポークを追加することはできませんが、既存のスポークは引き続き機能します。
  • スター トポロジ接続は、ハイブリッド スポークや動的ルート交換をサポートしていません。

VPC スポーク削除後のクールダウン期間の要件

別のハブに接続された同一の VPC ネットワークに対して新しいスポークを作成する場合は、10 分以上のクールダウン期間を設ける必要があります。十分なクールダウン期間を設定しないと、新しい構成が有効にならない場合があります。VPC ネットワークが同じハブにスポークとして追加されている場合、このクールダウン期間は必要ありません。

割り当てと上限

割り当ての詳細については、割り当てと上限をご覧ください。

課金

スポーク時間

スポーク時間は、スポーク リソースが存在するプロジェクトに課金され、標準のスポーク時間の料金に従います。スポーク時間は、スポークが ACTIVE 状態にある場合にのみ課金されます。

アウトバウンド トラフィック

アウトバウンド トラフィックは、トラフィックの発生元のスポーク リソースのプロジェクトに課金されます。トラフィックがプロジェクトの境界を越えるかどうかに関係なく、料金は同じです。

サービスレベル契約

Network Connectivity Center サービスレベル契約については、Network Connectivity Center サービスレベル契約(SLA)をご覧ください。

料金

料金については、Network Connectivity Center の料金をご覧ください。

次のステップ