はじめのGCP⑧Google Associate Cloud Engineer取得までの道のり-その捌-

今回も、「Google Associate Cloud Engineer」認定取得の勉強におけるアウトプット内容となっています。

将来、「Google Associate Cloud Engineer」認定取得を目指している方向けに、ぴったりの内容となっています。

今回は、ネットワーキング③について説明します。今回で、ネットワーキングの説明は最後です。

Cloud VPN
Cloud Interconnect
クラウドピアリング
Cloud DNS
まとめ

Cloud VPN

Cloud VPNは、オンプレミスのネットワークとGoogle CloudのVPCを接続する仮想ネットワークサービスです。

Cloud VPNの特徴

IPsec VPNを使用しデータを暗号化
少量のデータ接続に最適
高可用性VPN構成の場合、SLA(サービス品質保証)は99.99%
ゲートウェイは、Classic VPNとHA VPNの2つ
Classic VPNゲートウェイは、1つのインターフェースと外部IPアドレス有り
高可用性VPNゲートウェイは、2つのインターフェースと外部IPアドレス有り
サイト間VPNをサポート
静的ルート対応
Cloud Routerを使用した動的ルート対応
IKEv1暗号とIKEv2暗号をサポート
オンプレミスVPNゲートウェイの最大転送単位(MTU)は1,460バイト

IPsec VPN

IPsec VPNの「IPsec」とは、「Internet Protocol Security」の略です。ネットワークを流れるデータは、パケットという箱に入って送受信されます。その箱のことをIPパケットとよび、IPsecは、そのIPパケットという箱を暗号化して送受信するので、外部からそのデータを読み取ることができないものになります。

例えば、1つの会社で「東京本社」と「大阪支社」をIPsec VPNで接続する場合、片方の拠点、例えば東京本社から流れるデータを暗号化して送信し、受信する大阪支社で復号化して使用します。

要は、ファイルを送る際、ファイルをzip形式で圧縮し、そのファイルにパスワードを設定して、メールで送るのと同じことをしています。

IPsec VPNは、拠点間でVPNを構築する際によく使用されます。

Classic VPN

Classic VPNは、静的ルーティングに対応したVPNとなります。

静的ルーティングとは、決められたルートでデータを通信する方法になります。

ネットワークの通信には、静的ルーティングと動的ルーティングの２つがあります。静的ルーティングは下記のイラストのようになります。

例えば、家からスーパーまでいく道順が予め決められていて、その道中が工事中などで通れない時、迂回等して臨機応変に対応できないのが静的ルーティングです。

逆に、動的ルーティングは、目的地にいくまでのルーティングを、臨機応変に変更できるルーティングになります。下記のイラストが動的ルーティングです。

現在は、Classic VPNよりHA VPNが使用されます。

HA VPN

HA VPNは、動的ルーティングに対応したVPNとなります。

HAとは、「High Availability」の略で、可用性が高いことを意味する言葉です。可用性とは、システム等でメインサーバが壊れた際、サブサーバがメインサーバの役割をするように、システムがダウンしない構成にすることをいいます。

HA VPNを構築する際、ネットワークの入り口であるHA VPNゲートウェイの2つのインターフェースに2つの外部IPアドレスが割り当てられます。

それを接続先のゲートウェイと2本のトンネルを作成することによって、片方のゲートウェイが障害等で使用できない際、もう片方のゲートウェイを使用して通信を行います。

しかし、この構成の場合、接続先のゲートウェイが1つしかない場合、接続先の機器（又はサービス）に障害が発生した場合、通信ができません。接続先のゲートウェイとIPアドレスも2つ用意することで高可用性になります。

Google Cloudで動的ルーティングを使用する際は、Cloud Routerが必要になります。

Cloud Router

Cloud Routerは、BGP(Border Gateway Protocol)を使用して、VPN間のルートを管理します。

BGP(Border Gateway Protocol)とは、通信のルート情報を接続する拠点間の機器(サービス）と交換することによって、最適なルートで通信できる取り決めになります。

例えば、東京本社に営業部と経理部のサブネットがあり、大阪支社に営業部のサブネットがあったとします。

今回、大阪支社にも経理部を新設し、新規にサブネットを作成した場合、静的ルーティングの場合、東京本社から大阪支社の経理部のルートを設定する必要があります。しかし、動的ルーティングの場合、BGPがそのルートを伝えることによって、東京本社から大阪支社の経理部へのルートが確立されて通信ができるようになります。

Cloud Interconnect

Cloud Interconnectは、オンプレミスとGoogle CloudのVPC又はサービスを専用線を使用して接続するものになります。

Cloud Interconnectを使用した場合、データはインターネットを介さないので、データを保護するメリットがあります。

Cloud Interconnectには、「Partner Interconnect」と「Dedicated Interconnect」との2つがあります。

Partner Interconnect

Partner Interconnectは、オンプレミスのネットワークとGoogle CloudのVPCを、認可された専用回線を提供しているサービスプロバイダを介して接続するサービスになります。

日本の場合、認可された専用回線のサービスプロバイダにNTTやKDDI、ソフトバンク等があります。その他のサービスプロバイダは、Googleドキュメントのこちらを参照してください。

Dedicated Interconnect

Dedicated Interconnectは、オンプレミスのネットワークとGoogleのネットワークを直接接続するサービスです。

ネットワーク間で大容量のデータを直接やりとりしたい場合は、Dedicated Interconnectを使用します。

Dedicated Interconnectでは、Google Cloudのデータセンターにサーバを配置し、サーバとGoogle Cloudを直接接続します。

10Gbps〜100Gbpsの帯域が必要な場合に使用します。

使用頻度は極めて少ないです。通常は、「Partner Interconncet」が使用されます。

クラウドピアリング

クラウドピアリングは、オンプレミスの環境とGoogle Cloudのデータセンターをインターネット網を使用してピアリング接続するサービスです。

クラウドピアリングには、「ダイレクトピアリング」と「プライベートピアリング」の２種類があります。

ダイレクトピアリングの特徴

Google Cloudとオンプレミス環境のゲートウェイでBGPルートを交換
Google Cloudのフルパッケージにアクセス可能
SLA(サービス品質保証)は無し
世界中90箇所を超えるインターネットエクスチェンジ

インターネットエクスチェンジ

インターネットエクスチェンジとは、異なるインターネットプロバイダを接続するポイントです。

例えて言うなら、国境の入国管理局みたいなものです。アメリカとカナダのように違う国の国境部分には、相手国に入国するための入国管理局がありますが、その役割がインターネットエクスチェンジになります。

キャリアピアリングの特徴

サービスプロバイダ経由でGoogle Cloudとピアリング
SLA(サービス品質保証)は無し
Google Cloudのフルパッケージにアクセス可能
ダイレクトピアリングが利用できない時に利用

Cloud DNS

Cloud DNSは、Google Cloudが提供している、高パフォーマンスのDNSサービスです。

Cloud DNSは、インターネット上に公開されたアドレスの「一般公開ゾーン」と、VPC内で公開された「限定公開ゾーン」の２つを提供しています。

DNSとは

DNSは「Domain Name System」の略で、インターネット上のホスト名とIPアドレスを紐付けるシステムです。

例えば、ユーザーがインターネットで「https://hajimenoit.com」にアクセスする時、そのユーザが使用しているネットワーク内のルータがこのURL(ドメイン名)のIPアドレスを調べます。その調べる時に使用されるのDNSサーバです。DNSサーバから「hajimenoit.com」のIPアドレスをルータが受け取るとそのIPアドレスにアクセスして、ダウンロードした内容をユーザのWebブラウザで表示します。

これを名前解決と呼び、URL(ドメイン名)からIPアドレスを求めることを「正引き」と呼び、IPアドレスからURL(ドメイン名)を割り出すことを「逆引き」とよびます。

一度調べた正引きの情報は、一定期間DNSサーバ又はルータにキャッシュという形で保存されるので、再度ユーザがアクセスした場合、そのキャッシュから情報を参照します。