このページは Cloud Translation API によって翻訳されました。

Virtual Private Cloud（VPC）の概要

Virtual Private Cloud（VPC）は、Compute Engine 仮想マシン（VM）インスタンス、Google Kubernetes Engine（GKE）クラスタ、サーバーレスワークロードにネットワーキング機能を提供します。

VPC は、クラウドベースのリソースとサービスに、スケーラブルで柔軟性に優れたグローバルなネットワーキングを提供します。

このページでは、VPC のコンセプトと機能の概要を説明します。

VPC ネットワーク

VPC ネットワークは、Google Cloud 内で仮想化されている点を除き、物理ネットワークと同じように考えることができます。VPC ネットワークは、データセンター内のリージョン仮想サブネットワーク（サブネット）のリストで構成されるグローバルリソースであり、すべてグローバルな広域ネットワークで接続されています。VPC ネットワークは、Google Cloud 内で互いに論理的に隔離されています。

VPC ネットワークは次のことを行います。

Google Kubernetes Engine（GKE）クラスタ、サーバーレスワークロード、Compute Engine VM 上に構築された他の Google Cloud プロダクトなど、Compute Engine 仮想マシン（VM）インスタンスに向けた接続を提供します。
内部アプリケーションロードバランサ用に組み込みの内部パススルーネットワークロードバランサとプロキシシステムを提供します。
Cloud VPN トンネルと、Cloud Interconnect 用の VLAN アタッチメントを使用して、オンプレミスネットワークに接続します。
Google Cloud の外部ロードバランサからバックエンドにトラフィックを分散します。

詳細については、VPC ネットワークをご覧ください。

ファイアウォールルール

各 VPC ネットワークには、構成可能な分散仮想ファイアウォールが実装されています。ファイアウォールルールを使用すると、どのパケットをどの宛先に送信できるようにするかを制御できます。すべての VPC ネットワークには、すべての着信接続をブロックし、すべての発信接続を許可する 2 つの暗黙のファイアウォールルールがあります。

default ネットワークには、default-allow-internal ルールなどの、ネットワークでのインスタンス間の通信を許可する追加のファイアウォールルールがあります。

詳細については、VPC ファイアウォールルールをご覧ください。

ルート

ルートは、VM インスタンスと VPC ネットワークに対して、インスタンスから宛先（ネットワーク内部または Google Cloud の外部）にトラフィックを送信する方法を通知するものです。各 VPC ネットワークにはいくつかのシステム生成ルートが用意されており、サブネット間でのトラフィックのルーティングや、適切なインスタンスからインターネットへのトラフィックの送信ができます。

カスタム静的ルートを作成して、一部のパケットを特定の宛先に送信できます。

詳細については、ルートをご覧ください。

転送ルール

ルートは、インスタンスから発信されるトラフィックを制御しますが、転送ルールは、IP アドレス、プロトコル、ポートに基づいて VPC ネットワーク内の Google Cloud リソースにトラフィックを転送します。

転送ルールには、Google Cloud 外部からネットワーク内の宛先にトラフィックを転送するものと、ネットワーク内からトラフィックを転送するものがあります。転送ルールの宛先は、ターゲットインスタンス、ロードバランサターゲット（バックエンドサービス、ターゲットプロキシ、ターゲットプール）、Classic VPN ゲートウェイです。

詳細については、転送ルールの概要をご覧ください。

インターフェースと IP アドレス

VPC ネットワークは、IP アドレスと VM ネットワークインターフェース用の次の構成を提供します。

IP アドレス

Compute Engine VM インスタンス、転送ルール、GKE コンテナなどの Google Cloud リソースは、IP アドレスを利用して通信します。

詳細については、IP アドレスをご覧ください。

エイリアス IP 範囲

単一の VM インスタンス上で実行しているサービスが複数ある場合は、エイリアス IP 範囲を使用して各サービスに異なる内部 IP アドレスを割り当てることができます。VPC ネットワークは特定のサービス宛てのパケットを、対応する VM に転送します。

詳細については、エイリアス IP 範囲をご覧ください。

複数のネットワークインターフェース

1 つの VM インスタンスに複数のネットワークインターフェースを追加できます。各インターフェースは固有の VPC ネットワーク内にあります。複数のネットワークインターフェースにより、ネットワークアプライアンス VM がさまざまな VPC ネットワーク間またはインターネットとの間のトラフィックを保護するゲートウェイとして機能するようになります。

詳細については、複数のネットワークインターフェースをご覧ください。

Google Cloud には、プロジェクト間で VPC ネットワークを共有し、VPC ネットワークを相互に接続するための次の構成が用意されています。

共有 VPC

1 つのプロジェクト（ホストプロジェクトと呼ばれます）から Google Cloud 組織内の他のプロジェクトに VPC ネットワークを共有できます。共有 VPC ネットワーク全体へのアクセスを許可するか、特定の IAM 権限を使用してサブネットを選択できます。これにより、組織の柔軟性を維持しながら、一般的なネットワーク上で集中管理を行うことができます。共有 VPC は、大規模な組織で特に役立ちます。

詳細については、共有 VPC をご覧ください。

VPC ネットワークピアリング

VPC ネットワークピアリングを利用すると、Google Cloud に Software as a Service（SaaS）エコシステムを構築できます。これにより、ネットワークが同じプロジェクト、異なるプロジェクト、または別の組織のプロジェクトかどうかに関係なく、異なる VPC ネットワーク間でサービスを非公開で利用できるようになります。

VPC ネットワークピアリングでは、内部 IP アドレスを使用してすべての通信が行われます。ファイアウォールルールに従い、ピアリングしたネットワーク内の VM インスタンスは、外部 IP アドレスを使用せずに互いに通信できます。

ピアリングしたネットワークは、プライベート IP アドレス範囲のサブネットルートを自動的に交換します。VPC ネットワークピアリングでは、次の種類のルートを交換するかどうかを構成できます。

非公開で再利用されるパブリック IP 範囲のサブネットルート
カスタムの静的ルートと動的ルート

ピアリングされる各ネットワークのネットワーク管理は変わりません。IAM ポリシーが VPC ネットワークピアリングによって交換されることはありません。たとえば、1 つの VPC ネットワークのネットワーク管理者とセキュリティ管理者が、ピアリングされたネットワークのロールを自動的に取得することはありません。

詳細については、VPC ネットワークピアリングをご覧ください。

ハイブリッドクラウド

Google Cloud には、VPC ネットワークをオンプレミスネットワークや他のクラウドプロバイダのネットワークに接続できる次の構成が用意されています。

Cloud VPN

Cloud VPN を使用すると、安全なバーチャルプライベートネットワークを使用して、VPC ネットワークを物理的なオンプレミスネットワークまたは別のクラウドプロバイダに接続できます。

詳細については、Cloud VPN をご覧ください。

Cloud Interconnect

Cloud Interconnect を使用すると、高速な物理接続を使って、VPC ネットワークをオンプレミスネットワークに接続できます。

詳細については、Cloud Interconnect をご覧ください。

Cloud Load Balancing

Google Cloud には、多くのバックエンドタイプにトラフィックとワークロードを分散するロードバランシング構成がいくつか用意されています。

詳細については、Cloud Load Balancing の概要をご覧ください。

サービスへのプライベートアクセス

Private Service Connect、限定公開の Google アクセス、限定公開サービスアクセスを使用すると、外部 IP アドレスを持たない VM がサポート対象のサービスと通信できるようになります。

詳細については、サービスのプライベートアクセスオプションをご覧ください。