当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。
みずほリサーチ&テクノロジーズ株式会社の舘山です。当記事では、Google Cloud の専用線サービス Cloud Interconnect においてハブアンドスポーク (Hub-and-Spoke) 構成を取る際の注意点をご紹介します。
ハブアンドスポーク構成の注意点
Google Cloud の Cloud Interconnect 接続を複数の VPC で共用する構成には、いくつか選択肢があります。
代表的な選択肢は以下のとおりです。
- 各VPCにVLANアタッチメント作成
- 共有VPC
- VPCピアリングによるハブアンドスポーク構成
- Cloud VPNによるハブandスポーク構成
上記の一番目の「各VPCにVLANアタッチメント作成」は、「1つのInterconnect接続に関連付けることができるVLANアタッチメントの最大数が16である」というハードリミットが存在することから、大規模な組織では採用が難しいはずです。
各方式の比較は割愛しますが、VPC ピアリングによるハブアンドスポーク構成を採用する場合の注意点について、続けてご説明します。
VPC ピアリンググループに関する上限
Google Cloud では、VPC ピアリング接続可能な VPC 数の上限の初期値は 25 です(サポートケースで増加をリクエスト可能)。
また VPC ピアリンググループ(起点となる VPC と直接ピアリングされた VPC の集合)単位で VM インスタンス数等の上限があります。
ピアリンググループ単位の上限の消費状況を直接確認できる Cloud Monitoring 指標は提供されていません。
一方、各ネットワーク毎のVM数などは、Cloud Monitoringの割り当て指標 で確認することができます。
ピアリンググループ単位のVM数などをモニタリングする方法として、Cloud Monitoring 指標スコープを利用し、グループを構成するプロジェクトの割り当て指標を合算する方法があります。
VPC ピアリング推移的アクセス制限
Google Cloud の VPC ピアリングには推移的アクセスが不可能であるという 制限事項 があります。
そのため、オンプレミスから2つの VPC ピアリングを経由して、Google 管理 VPC 内の Cloud SQL インスタンス等には直接アクセスするということは不可能です。
Cloud SQL だけでなく、Cloud Build プライベートプール等も Google 管理 VPC 内からのアクセスとなるため、同様に制限を受けます。
オンプレミスと Google 管理の VPC 間の通信は、踏み台サーバ、プロキシサーバを経由する等の手当が必要です。VPC ピアリングではなく、VPN を利用することも制限回避策となります。
関連記事
舘山 浩之
みずほリサーチ&テクノロジーズ
先端技術研究部に所属。個人のキャリアではAWSの利用経験が長く、Google Cloudは2022年より利用開始。