はじめのProfessional Cloud Network Engineer認定取得講座①Google Cloudネットワークの設計、計画、プロトタイピングを説明します!

クラウド

今回から新シリーズです。

私は、今年の11月にGoogle CloudのProfessional Cloud Network Engineer 認定資格を受験します。それにあたり、現在認定資格取得のための勉強を行っております。

当ブログでは、私が学習した内容をアプトプットし、今後Professional Cloud Network Engineer 認定資格を目指す方のお力になればと考えています。

今回から、試験受験までは、Professional Cloud Network Engineer 認定資格取得の為のブログを書いていきます。

是非、最後までご覧いただけると嬉しいです。

試験概要と試験範囲

概要

Professional Cloud Network Engineer(PCNE)は、Google Cloud Platform(GCP)のネットワークサービスに関する専門的な知識とスキルを証明する認定資格です。PCNEを取得することで、GCPのネットワークサービスを使用して、企業のネットワークを設計、構築、運用、管理できるようになります。

PCNEの試験は、2時間で50-60問出題されます。試験内容は、GCPのネットワークサービスに関する基礎知識から、高度な技術まで多岐にわたります。PCNEを取得するには、GCPのネットワークサービスに関する幅広い知識とスキルが必要となります。

PCNEを取得することで、GCPのネットワークエンジニアとして活躍することができます。また、PCNEを取得することで、GCPのネットワークサービスに関する知識とスキルを身につけることができ、ネットワークエンジニアとしてのキャリアアップにつながります。

PCNEは、GCPのネットワークエンジニアとして活躍したい方や、GCPのネットワークサービスに関する知識とスキルを身につけたい方におすすめの認定資格です。

試験範囲

試験範囲は、下記Google Cloud のHPに記載されています。

Professional Cloud Network Engineer 試験ガイド  |  Google Cloud
Professional Cloud Network Engineer 認定試験の公式試験ガイドを確認します。Google Cloud 認定の Cloud Network Engineer を目指しましょう。

まず、当ブログでは、セクション毎の各項目に関する概要を説明した上で、より詳しい内容や分かりづらい専門用語等について説明します。試験範囲のセクションは下記になります。

  • セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング
  • セクション 2: Virtual Private Cloud(VPC)インスタンスの実装
  • セクション 3: ネットワーク サービスの構成
  • セクション 4: ハイブリッド相互接続の実装
  • セクション 5: ネットワーク オペレーションの管理、モニタリング、最適化

今回のブログでは、「セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング」について説明します。

セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング

1.1 全体的なネットワーク アーキテクチャを設計する

高可用性、フェイルオーバー、障害復旧の戦略

Google Cloud Platform(GCP)は、高可用性、フェイルオーバー、障害復旧の戦略を備えたクラウドプラットフォームです。GCPの高可用性戦略は、冗長化、分散化、自動切り替え、および復旧計画に基づいています。

  • 冗長化:GCPは、同じ機能を複数のシステムで実行することで、障害が発生した場合でもシステムが継続的に稼働できるようにしています。たとえば、Compute Engineは、同じ仮想マシンを複数のゾーンに配置することで、ゾーン全体の障害に備えています。
  • 分散化:GCPは、システムを複数の拠点に分散させることで、地震や火災などの自然災害が発生した場合でもシステムが継続的に稼働できるようにしています。たとえば、App Engineは、複数の地域に分散することで、地域全体の障害に備えています。
  • 自動切り替え機能:GCPは、障害が発生した場合に、冗長化されたシステムを自動的に切り替える機能を備えています。たとえば、Load Balancingは、障害が発生したサーバーを自動的に切り替えることで、システムの可用性を向上させています。
  • 復旧計画:GCPは、障害が発生した場合に復旧するための手順を定義した計画を備えています。たとえば、災害復旧計画は、地震や火災などの自然災害が発生した場合に、システムを復旧するための手順を定義しています。

GCPの高可用性、フェイルオーバー、障害復旧の戦略は、システムの可用性を向上させるために不可欠な要素です。これらの技術を適切に組み合わせることで、システムをより信頼性の高いものにすることができます。

DNS 戦略

Google Cloud Platform(GCP)のDNS戦略は、オンプレミス、Cloud DNS、GSLBの組み合わせで構成されています。

  • オンプレミス

オンプレミスDNSサーバーは、GCPのネットワークサービスと統合して使用することができます。オンプレミスDNSサーバーは、GCPのネットワークサービスへのアクセスを制御するために使用することができます。また、オンプレミスDNSサーバーは、GCPのネットワークサービスへのアクセスを最適化するために使用することができます。

  • Cloud DNS

Cloud DNSは、GCPのDNSサービスです。Cloud DNSは、高可用性、セキュリティ、パフォーマンス、スケーラビリティを備えています。Cloud DNSは、GCPのすべてのサービスと統合されています。また、Cloud DNSは、オンプレミスのDNSサーバーと統合することもできます。

  • GSLB

GSLB(Global Server Load Balancing)は、グローバルな負荷分散を行うサービスです。GSLBは、ユーザーの位置に応じて、最適なサーバーにトラフィックを送信します。GSLBは、可用性とパフォーマンスを向上させるために使用することができます。

GCPのDNS戦略は、オンプレミス、Cloud DNS、GSLBの組み合わせで構成されています。この組み合わせにより、高可用性、セキュリティ、パフォーマンス、スケーラビリティを備えたDNSサービスを提供することができます。

セキュリティとデータの引き出しの要件

Google Cloud Platform(GCP)は、データのセキュリティと抽出要件を満たすように設計されたクラウドプラットフォームです。GCPは、次のような機能を提供することで、データのセキュリティを保護します。

  • データの暗号化:GCPは、データの保存、転送、使用時に、データの暗号化を提供します。
  • アクセス制御:GCPは、データへのアクセスを制御するアクセス制御機能を提供します。
  • 監視:GCPは、データの使用状況を監視する監視機能を提供します。
  • 回復性:GCPは、データの損失を防ぐための回復性機能を提供します。

GCPは、データの抽出要件も満たすように設計されています。GCPは、次のような機能を提供することで、データの抽出を容易にします。

  • データのポータビリティ:GCPは、データのポータビリティをサポートしています。これにより、GCPに保存されているデータを、他のクラウドプラットフォームやオンプレミスシステムに簡単に移行することができます。
  • データの分析:GCPは、データの分析をサポートしています。これにより、GCPに保存されているデータを、分析ツールを使用して簡単に分析することができます。
  • データの共有:GCPは、データの共有をサポートしています。これにより、GCPに保存されているデータを、他のユーザーと簡単に共有することができます。

GCPは、データのセキュリティと抽出要件を満たすように設計されたクラウドプラットフォームです。GCPは、データの安全な保管、アクセス、分析、共有をサポートします。

負荷分散

Google Cloud Platform(GCP)の負荷分散は、ユーザーからのトラフィックを複数のサーバーに分散することで、システムのパフォーマンスと可用性を向上させる機能です。GCPでは、次の負荷分散サービスを提供しています。

  • Cloud Load Balancing

Cloud Load Balancingは、外部からアクセスされるアプリケーションの負荷分散を行うサービスです。Cloud Load Balancingは、HTTP、HTTPS、TCP、UDPなど、さまざまなプロトコルのトラフィックを分散できます。

  • Internal Load Balancing

Internal Load Balancingは、内部ネットワークからアクセスされるアプリケーションの負荷分散を行うサービスです。Internal Load Balancingは、HTTP、HTTPS、TCP、UDPなど、さまざまなプロトコルのトラフィックを分散できます。

  • Global Load Balancing

Global Load Balancingは、世界中のユーザーからのトラフィックを分散するサービスです。Global Load Balancingは、ユーザーの位置に応じて、最適なサーバーにトラフィックを送信します。

GCPの負荷分散サービスは、システムのパフォーマンスと可用性を向上させるために使用できます。

以下に、GCPの負荷分散サービスのメリットをいくつか説明します。

  • システムのパフォーマンスを向上させることができます。
  • システムの可用性を向上させることができます。
  • システムのスケーラビリティを向上させることができます。
  • システムのセキュリティを向上させることができます。
  • システムの管理を容易にすることができます。

GCPの負荷分散サービスは、システムのパフォーマンス、可用性、スケーラビリティ、セキュリティ、管理性を向上させるために使用できます。

プロジェクトごとおよび VPC ごとの割り当ての適用

Google Cloud Platform の全体的なネットワーク アーキテクチャ設計に関するプロジェクトごとおよびVPC ごとの割り当ての適用について説明します。

  • プロジェクト

プロジェクトは、GCPリソースをグループ化する単位です。プロジェクトは、組織、チーム、またはアプリケーションに関連付けることができます。

  • VPC

VPC は、プロジェクト内のプライベート ネットワークです。VPCは、インターネットから隔離されており、プロジェクト内のリソースのみにアクセスできます。

プロジェクトごとおよび VPC ごとの割り当ては、プロジェクトまたは VPC内のリソースにリソースを割り当てる方法です。この方法を使用すると、リソースをプロジェクトまたはVPCごとにグループ化し、アクセス制御を適用することができます。

プロジェクトごとおよび VPCごとの割り当ては、次の場合に役立ちます。

  • プロジェクトまたはVPC内のリソースをグループ化したい場合
  • アクセス制御を適用したい場合
  • リソースの使用量を監視したい場合

プロジェクトごとおよびVPCごとの割り当ては、次の方法で使用できます。

  • リソースをプロジェクトまたはVPCに割り当てる
  • リソースにアクセスできるユーザーを指定します。
  • リソースの使用量を監視します。

プロジェクトごとおよびVPCごとの割り当ては、GCPネットワークを安全かつ効果的に管理するために使用できます。

ハイブリッド接続(例: 限定公開の Google アクセスを使用したハイブリッド接続)

Google Cloud Platform(GCP)のハイブリッド接続は、オンプレミスネットワークとGCPのネットワークを接続する機能です。ハイブリッド接続を使用すると、オンプレミスネットワーク内のリソースとGCPのネットワーク内のリソースを相互に通信させることができます。

GCPでは、次のハイブリッド接続を提供しています。

  • Cloud VPN

Cloud VPNは、オンプレミスネットワークとGCPのネットワークをVPN(Virtual Private Network)で接続するサービスです。Cloud VPNは、セキュリティとパフォーマンスに優れています。

  • Cloud Interconnect

Cloud Interconnectは、オンプレミスネットワークとGCPのネットワークを専用線で接続するサービスです。Cloud Interconnectは、Cloud VPNよりもセキュリティとパフォーマンスに優れています。

  • Cloud Virtual Network Peering

Cloud Virtual Network Peeringは、GCPのネットワークをピアリング(相互接続)するサービスです。Cloud Virtual Network Peeringを使用すると、GCPのネットワーク内のリソースを直接通信させることができます。

GCPのハイブリッド接続を使用すると、オンプレミスネットワークとGCPのネットワークを接続することで、次のメリットを得ることができます。

  • オンプレミスネットワークとGCPのネットワークを相互に通信させることができます。
  • オンプレミスネットワークとGCPのネットワークを統合できます。
  • オンプレミスネットワークとGCPのネットワークをスケーリングできます。
  • オンプレミスネットワークとGCPのネットワークを保護できます。

GCPのハイブリッド接続は、オンプレミスネットワークとGCPのネットワークを接続することで、企業のデジタルトランスフォーメーションを支援します。

コンテナ ネットワーキング

Google Cloud Platform(GCP)のコンテナネットワーキングは、コンテナを実行するネットワークを管理する機能です。コンテナネットワーキングを使用すると、コンテナを相互に接続したり、外部ネットワークに接続したりすることができます。

GCPでは、次のコンテナネットワーキングを提供しています。

  • Kubernetes Engine

Kubernetes Engineは、コンテナを実行するためのマネージド Kubernetes サービスです。Kubernetes Engineは、コンテナ ネットワーキングを自動的に管理します。

  • Docker Container Registry

Docker Container Registryは、Dockerイメージを保存するためのサービスです。Docker Container Registryは、コンテナネットワーキングをサポートしています。

  • Cloud Load Balancing

Cloud Load Balancingは、トラフィックをコンテナに分散するサービスです。Cloud Load Balancingは、コンテナネットワーキングをサポートしています。

GCPのコンテナネットワーキングを使用すると、コンテナを相互に接続したり、外部ネットワークに接続したりすることで、アプリケーションをよりスケーラブルに、より信頼性の高いものにすることができます。

 IAMロール

Google Cloud Platform (GCP) の全体的なネットワーク アーキテクチャ設計では、IAM ロールを使用して、ユーザーにネットワーク リソースへのアクセス権を付与する必要があります。IAM ロールは、ユーザーがネットワークリソースを作成、読み取り、更新、削除する権限を付与します。

IAMロールは、プロジェクト レベル、VPC レベル、ネットワーク レベルで設定できます。プロジェクト レベルの IAM ロールは、プロジェクト内のすべてのリソースに適用されます。VPC レベルの IAMロールは、VPC 内のすべてのリソースに適用されます。ネットワークレベルの IAMロールは、ネットワーク内のすべてのリソースに適用されます。

IAMロールは、次の場合に役立ちます。

  • ユーザーにネットワークリソースへのアクセス権を付与する場合
  • ユーザーがネットワークリソースを作成、読み取り、更新、削除する権限を制御する場合
  • ネットワークリソースのセキュリティを向上させる場合

IAM ロールを適切に設定することで、ネットワークリソースを安全かつ効果的に管理することができます。

SaaS、PaaS、IaaS サービス

Google Cloud Platform (GCP) では、ネットワークの設計、計画、プロトタイピングに役立つ SaaS、PaaS、IaaS サービスを提供しています。

  • SaaS

SaaS サービスは、ソフトウェアをクラウド上で提供するものであり、ユーザーはソフトウェアをインストールする必要がありません。SaaSサービスには、Google Cloud VPN、Cloud Load Balancing、Cloud DNS などがあります。

  • PaaS

PaaSサービスは、アプリケーションの開発と実行を支援するプラットフォームを提供するものであり、ユーザーはアプリケーションの実行に必要なインフラストラクチャを管理する必要がありません。PaaSサービスには、Google App Engine、Cloud Functions、Cloud Run などがあります。

  • IaaS

IaaSサービスは、インフラストラクチャをクラウド上で提供するものであり、ユーザーは仮想マシン、ストレージ、ネットワークなど、必要なインフラストラクチャを自分で管理できます。IaaSサービスには、Google Compute Engine、Cloud Storage、Cloud Networking などがあります。

これらのサービスは、GCP ネットワークの設計、計画、プロトタイピングを支援するために使用できます。たとえば、Google Cloud VPN を使用して、オンプレミス ネットワークと GCPネットワークを接続することができます。Cloud Load Balancing を使用して、アプリケーションへのトラフィックを分散することができます。Cloud DNS を使用して、アプリケーションのドメイン名を管理することができます。Google App Engine を使用して、アプリケーションを開発して実行することができます。Cloud Functions を使用して、イベントドリブンなアプリケーションを開発することができます。Cloud Run を使用して、コンテナベースのアプリケーションを実行することができます。Google Compute Engine を使用して、仮想マシンを作成することができます。Cloud Storage を使用して、データを保存することができます。Cloud Networkingを使用して、ネットワークを作成することができます。

これらのサービスを組み合わせて使用することで、GCPネットワークを安全かつ効果的に設計、計画、プロトタイピングすることができます。

セキュリティ目的でのマイクロセグメンテーション(例: メタデータ、タグ、サービス アカウントの使用)

Google Cloud Platform(GCP)のセキュリティ目的でのマイクロセグメンテーションは、ネットワークを細分化し、特定のリソースへのアクセスを制限することで、セキュリティを向上させる方法です。マイクロセグメンテーションは、次の方法で実現できます。

  • メタデータの使用

メタデータは、リソースに関する情報を格納するデータです。メタデータを使用することで、特定のリソースへのアクセスを制限することができます。たとえば、特定のユーザーやサービスアカウントにのみ、特定の仮想マシンへのアクセスを許可することができます。

  • タグの使用

タグは、リソースに関連付けるキーと値のペアです。タグを使用して、リソースをグループ分けしたり、特定のリソースへのアクセスを制限したりすることができます。たとえば、タグを使用して、特定の地域にあるすべての仮想マシンへのアクセスを制限することができます。

  • サービスアカウントの使用

サービスアカウントは、アプリケーションやサービスがGCPリソースにアクセスするために使用するアカウントです。サービスアカウントを使用して、特定のリソースへのアクセスを制限することができます。たとえば、特定のサービスアカウントにのみ、特定のストレージバケットへのアクセスを許可することができます。

マイクロセグメンテーションは、GCPのセキュリティを向上させるための強力なツールです。マイクロセグメンテーションを適切に使用することで、特定のリソースへのアクセスを制限し、セキュリティを向上させることができます。

1.2 Virtual Private Cloud(VPC)インスタンスを設計する

IP アドレスの管理とお客様所有 IP アドレスの使用(BYOIP)

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するIPアドレスの管理とお客様所有IPアドレスの使用(BYOIP)について説明します。

GCPでは、VPCインスタンスにIPアドレスを割り当てることができます。IPアドレスは、VPC内の各インスタンスに一意に割り当てられます。IPアドレスは、次の2種類に分類されます。

  • グローバルIPアドレス

グローバルIPアドレスは、インターネットからアクセスできるIPアドレスです。グローバルIPアドレスは、Webサーバやメールサーバなどの外部に公開する必要があるインスタンスに割り当てられます。

  • プライベートIPアドレス

プライベートIPアドレスは、インターネットからアクセスできないIPアドレスです。プライベートIPアドレスは、Webサーバやメールサーバなどの外部に公開する必要のないインスタンスに割り当てられます。

  • お客様所有IPアドレスの使用(BYOIP)

BYOIPを使用すると、お客様が所有するIPアドレスをGCPのVPCインスタンスに使用することができます。BYOIPを使用すると、次のメリットがあります。

  • 既存のIPアドレスリソースを再利用できます。
  • IPアドレスのコスト削減を実現できます。
  • 柔軟なIPアドレス管理を実現できます。

BYOIPは、GCPのVPCインスタンス設計において、柔軟なIPアドレス管理を実現する有効な手段です。BYOIPを使用すると、既存のIPアドレスリソースを再利用したり、IPアドレスのコスト削減を実現したりすることができます。

スタンドアロン VPC と共有 VPC

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するスタンドアロンVPCと共有VPCについて説明します。

  • スタンドアロンVPC

スタンドアロンVPCは、プロジェクトごとに作成されるVPCです。スタンドアロンVPCは、プロジェクト内のリソースのみを接続できます。スタンドアロンVPCは、プロジェクトのセキュリティを向上させるために使用されます。

  • 共有VPC

共有VPCは、組織全体で使用できるVPCです。共有VPCは、組織内のプロジェクト間でリソースを接続できます。共有VPCは、組織のコスト削減や管理の簡素化のために使用されます。

スタンドアロンVPCと共有VPCのどちらを使用するかは、プロジェクトのニーズによって異なります。プロジェクトのセキュリティを向上させたい場合は、スタンドアロンVPCを使用する必要があります。プロジェクトのコスト削減や管理の簡素化を実現したい場合は、共有VPCを使用する必要があります。

スタンドアロンVPCと共有VPCの両方を混在して使用することもできます。たとえば、一部のリソースをプロジェクトごとに接続したい場合はスタンドアロンVPCを使用し、一部のリソースを組織全体で接続したい場合は共有VPCを使用することができます。

スタンドアロンVPCと共有VPCのどちらを使用するかは、プロジェクトのニーズによって異なります。プロジェクトのニーズに合ったVPCを選択することで、セキュリティ、コスト削減、管理の簡素化を実現することができます。

複数と単一

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関する複数と単一の論理ネットワークについて説明します。

  • 複数の論理ネットワーク

複数の論理ネットワークを使用すると、異なるリソースを異なるネットワークに分離することができます。これにより、セキュリティを向上させることができます。たとえば、Webサーバー、データベースサーバー、アプリケーションサーバーをそれぞれ異なるネットワークに分離することができます。

  • 単一の論理ネットワーク

単一の論理ネットワークを使用すると、リソースをすべて同じネットワークに統合することができます。これにより、管理を簡素化することができます。たとえば、小規模なプロジェクトでは、単一の論理ネットワークを使用する方が適している場合があります。

複数の論理ネットワークを使用するか、単一の論理ネットワークを使用するかは、プロジェクトのニーズによって異なります。プロジェクトのセキュリティを向上させたい場合は、複数の論理ネットワークを使用する必要があります。プロジェクトの管理を簡素化したい場合は、単一の論理ネットワークを使用する必要があります。

複数の論理ネットワークと単一の論理ネットワークの両方を混在して使用することもできます。たとえば、一部のリソースを異なるネットワークに分離したい場合は複数の論理ネットワークを使用し、一部のリソースを同じネットワークに統合したい場合は単一の論理ネットワークを使用することができます。

複数の論理ネットワークと単一の論理ネットワークのどちらを使用するかは、プロジェクトのニーズによって異なります。プロジェクトのニーズに合った論理ネットワークを選択することで、セキュリティ、管理の簡素化、コスト削減を実現することができます。

リージョンとマルチリージョンの比較

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するリージョンとマルチリージョンの比較について説明します。

  • リージョン

リージョンは、GCPの物理的なデータセンターの集合です。リージョンは、地理的に分散されており、各リージョンには、複数のゾーンがあります。ゾーンは、物理的に独立したデータセンターであり、電力、ネットワーク、冷却などのインフラストラクチャが冗長化されています。

  • マルチリージョン

マルチリージョンは、複数のリージョンにまたがるVPCです。マルチリージョンは、高可用性と耐障害性を向上させるために使用されます。たとえば、マルチリージョンのVPCを使用すると、データベースを複数のリージョンに分散して保存することができます。これにより、データベースが1つのリージョンで障害が発生した場合でも、他のリージョンのデータベースにアクセスすることができます。

リージョンとマルチリージョンのどちらを使用するかは、プロジェクトのニーズによって異なります。プロジェクトの高可用性と耐障害性を向上させたい場合は、マルチリージョンを使用する必要があります。プロジェクトのコスト削減を実現したい場合は、リージョンを使用する必要があります。

リージョンとマルチリージョンの両方を混在して使用することもできます。たとえば、一部のリソースをリージョンに配置し、一部のリソースをマルチリージョンに配置することができます。

リージョンとマルチリージョンのどちらを使用するかは、プロジェクトのニーズによって異なります。プロジェクトのニーズに合ったVPCを選択することで、高可用性、耐障害性、コスト削減を実現することができます。

VPC ネットワーク ピアリング

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するVPCネットワークピアリングについて説明します。

  • VPCネットワークピアリング

VPCネットワークピアリングは、2つのVPCネットワークを相互に接続する機能です。VPCネットワークピアリングを使用すると、2つのVPCネットワーク内のインスタンスが、プライベートIPアドレスを使用して相互に通信することができます。

VPCネットワークピアリングを使用すると、次のメリットがあります。

  • プライベートIPアドレスを使用して2つのVPCネットワーク内のインスタンスが相互に通信することができます。
  • インターネットを経由せずに2つのVPCネットワーク内のインスタンスが相互に通信することができます。
  • 2つのVPCネットワーク間のネットワークトラフィックのセキュリティを向上させることができます。

VPCネットワークピアリングは、GCPのVPCインスタンス設計において、重要な機能です。VPCネットワークピアリングを使用すると、2つのVPCネットワーク間のネットワークトラフィックを効率的に管理することができます。

ファイアウォール(サービス アカウント ベース、タグベースなど)

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するファイアウォール(サービス アカウント ベース、タグベースなど)について説明します。

  • ファイアウォール

ファイアウォールは、ネットワークトラフィックを制御する機能です。ファイアウォールを使用すると、特定のIPアドレス、ポート、プロトコルからインスタンスへのアクセスを許可または拒否することができます。

ファイアウォールを使用すると、次のメリットがあります。

  • インスタンスへの不正アクセスを防ぐことができます。
  • インスタンスへのアクセスを制御することができます。
  • インスタンスのセキュリティを向上させることができます。

ファイアウォールは、GCPのVPCインスタンス設計において、重要な機能です。ファイアウォールを使用すると、インスタンスへのアクセスを効率的に制御することができます。

  • サービスアカウントベース

サービス アカウントベースのファイアウォールは、特定のサービスアカウントからのアクセスを許可または拒否するファイアウォールです。サービスアカウントベースのファイアウォールを使用すると、インスタンスへのアクセスをより細かく制御することができます。

  • タグ ベース

タグベースのファイアウォールは、特定のタグが付いたインスタンスへのアクセスを許可または拒否するファイアウォールです。タグベースのファイアウォールを使用すると、インスタンスへのアクセスをより柔軟に制御することができます。

ファイアウォールは、GCPのVPCインスタンス設計において、重要な機能です。ファイアウォールを使用すると、インスタンスへのアクセスを効率的に制御することができます。

 カスタムルート

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するカスタムルートについて説明します。

  • カスタムルート

カスタムルートは、VPCネットワーク内のインスタンスが、VPCネットワーク外のリソースにアクセスするためのルートです。カスタムルートを使用すると、VPCネットワーク内のインスタンスが、VPCネットワーク外のリソースにアクセスするための最適なルートを指定することができます。

カスタムルートを使用すると、次のメリットがあります。

  • VPCネットワーク内のインスタンスが、VPCネットワーク外のリソースにアクセスするための最適なルートを指定できます。
  • VPCネットワーク内のインスタンスのパフォーマンスを向上させることができます。
  • VPCネットワーク内のインスタンスのセキュリティを向上させることができます。

カスタムルートは、GCPのVPCインスタンス設計において、重要な機能です。カスタムルートを使用すると、VPCネットワーク内のインスタンスが、VPCネットワーク外のリソースに効率的にアクセスすることができます。

マネージド サービス(Cloud SQL、Memorystore など)の使用

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するマネージドサービス(Cloud SQL、Memorystore など)の使用について説明します。

  • Cloud SQL

Cloud SQLは、GCPのSQLデータベースサービスです。Cloud SQLを使用すると、MySQL、PostgreSQL、SQL ServerなどのSQLデータベースを、GCPのクラウドインフラストラクチャ上で実行することができます。

Cloud SQLを使用すると、次のメリットがあります。

  • データベースの管理を簡素化できます。
  • データベースのスケーラビリティを向上させることができます。
  • データベースのセキュリティを向上させることができます。

Cloud SQLは、GCPのVPCインスタンス設計において、重要なサービスです。Cloud SQLを使用すると、データベースを効率的に管理し、スケーラビリティとセキュリティを向上させることができます。

  • Memorystore

Memorystoreは、GCPのインメモリキャッシュサービスです。Memorystoreを使用すると、Redis、Memcachedなどのインメモリキャッシュを、GCPのクラウドインフラストラクチャ上で実行することができます。

Memorystoreを使用すると、次のメリットがあります。

  • アプリケーションのパフォーマンスを向上させることができます。
  • アプリケーションのスケーラビリティを向上させることができます。
  • アプリケーションのセキュリティを向上させることができます。

Memorystoreは、GCPのVPCインスタンス設計において、重要なサービスです。Memorystoreを使用すると、アプリケーションのパフォーマンス、スケーラビリティ、セキュリティを向上させることができます。

マネージド サービスは、GCPのVPCインスタンス設計において、重要な役割を果たします。マネージド サービスを使用すると、データベースやインメモリキャッシュなどのリソースを効率的に管理し、スケーラビリティとセキュリティを向上させることができます。

マルチ NIC と内部ロードバランサをネクストホップまたは等価コスト マルチパス(ECMP)ルートとして使用する VPC へのサードパーティ デバイス挿入(NGFW)

Google Cloud Platform(GCP)のVirtual Private Cloud(VPC)インスタンス設計に関するマルチ NICと内部ロードバランサをネクストホップまたは等価コストマルチパス(ECMP)ルートとして使用するVPCへのサードパーティデバイス挿入(NGFW)について説明します。

  • マルチ NIC

マルチ NIC は、1 台の仮想マシン (VM) に複数のネットワークインターフェース カード (NIC) を追加する機能です。マルチ NIC を使用すると、VM に複数の IP アドレスを割り当てたり、複数のネットワークに接続したりすることができます。

マルチ NIC を使用すると、次のメリットがあります。

  • VM に複数の IP アドレスを割り当てることができます。
  • VM を複数のネットワークに接続することができます。
  • VM のパフォーマンスを向上させることができます。
  • VM の可用性を向上させることができます。

・内部ロードバランサ

内部ロードバランサは、VPC 内の VM へのトラフィックを分散する機能です。内部ロードバランサを使用すると、VM へのトラフィックを均等に分散したり、特定の VM にトラフィックを集中させたりすることができます。

内部ロードバランサを使用するには、次の手順に従います。

  1. 内部ロードバランサを作成します。
  2. 内部ロードバランサに VM を追加します。
  3. 内部ロードバランサのトラフィックを分散する方法を選択します。

内部ロードバランサを使用すると、次のメリットがあります。

  • VM へのトラフィックを均等に分散することができます。
  • 特定の VM にトラフィックを集中させることができます。
  • VM へのアクセスを簡易化することができます。
  • VM の可用性を向上させることができます。

・サードパーティデバイス挿入

サードパーティデバイス挿入は、VPC にサードパーティのネットワークデバイスを追加する機能です。サードパーティデバイスを使用すると、VPC 内のネットワークトラフィックをフィルタリングしたり、暗号化したり、監視したりすることができます。

サードパーティデバイスを挿入するには、次の手順に従います。

  1. VPC にサードパーティデバイスの IP アドレスを追加します。
  2. サードパーティデバイスに VPC 内のネットワークトラフィックをルーティングします。
  3. サードパーティデバイスでネットワークトラフィックをフィルタリング、暗号化、監視します。

サードパーティデバイスを挿入すると、次のメリットがあります。

  • VPC内のネットワークトラフィックをフィルタリングできます。
  • VPC内のネットワークトラフィックを暗号化できます。
  • VPC内のネットワークトラフィックを監視できます。
  • VPC内のネットワークトラフィックのセキュリティを向上させることができます。
  • VPC内のネットワークトラフィックの可用性を向上させることができます。

マルチ NIC、内部ロードバランサ、サードパーティ デバイス挿入の組み合わせを使用すると、VPC 内のネットワークトラフィックを効率的に管理し、セキュリティと可用性を向上させることができます。

1.3 ハイブリッド クラウドとマルチクラウドのネットワークを設計する。 以下のような点を考慮します。

Dedicated Interconnect と Partner Interconnect

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するDedicated Interconnect と Partner Interconnectについて説明します。

  • Dedicated Interconnect

Dedicated Interconnectは、GCPとオンプレミスネットワークを専用の1Gbpsまたは10Gbpsのリンクで接続するサービスです。Dedicated Interconnectを使用すると、GCPとオンプレミスネットワーク間のネットワークトラフィックを高速化したり、セキュリティを向上させることができます。

Dedicated Interconnectを使用すると、次のメリットがあります。

  • GCPとオンプレミスネットワーク間のネットワークトラフィックを高速化できます。
  • GCPとオンプレミスネットワーク間のネットワークトラフィックをセキュリティを向上させることができます。
  • GCPとオンプレミスネットワーク間のネットワークトラフィックを可用性を向上させることができます。

・Partner Interconnect

Partner Interconnectは、GCPとサードパーティネットワークを専用の1Gbpsまたは10Gbpsのリンクで接続するサービスです。Partner Interconnectを使用すると、GCPとサードパーティネットワーク間のネットワークトラフィックを高速化したり、セキュリティを向上させることができます。

Partner Interconnectを使用すると、次のメリットがあります。

  • GCPとサードパーティネットワーク間のネットワークトラフィックを高速化できます。
  • GCPとサードパーティネットワーク間のネットワークトラフィックをセキュリティを向上させることができます。
  • GCPとサードパーティネットワーク間のネットワークトラフィックを可用性を向上させることができます。

Dedicated InterconnectとPartner Interconnectは、GCPとオンプレミスネットワーク、またはGCPとサードパーティネットワークを接続する際に使用できるサービスです。どちらのサービスを利用するかは、ネットワークの要件によって異なります。Dedicated Interconnectは、専用のリンクを使用するため、Partner Interconnectよりも高速で、セキュリティが向上しています。ただし、Dedicated Interconnectは、Partner Interconnectよりも高価です。

マルチクラウド接続

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するマルチクラウド接続について説明します。

  • マルチクラウド接続

マルチクラウド接続は、複数のクラウドプラットフォームを相互に接続するサービスです。マルチクラウド接続を使用すると、複数のクラウドプラットフォーム間でデータを共有したり、アプリケーションを実行したりすることができます。

マルチクラウド接続には、次の種類があります。

  • VPN(Virtual Private Network)
  • SD-WAN(Software-Defined Wide Area Network)
  • Cloud Interconnect

VPNは、暗号化されたトンネルを使用して、複数のクラウドプラットフォームを相互に接続します。

SD-WANは、ネットワークトラフィックを最適化しながら、複数のクラウドプラットフォームを相互に接続します。

Cloud Interconnectは、専用のリンクを使用して、複数のクラウドプラットフォームを相互に接続します。

マルチクラウド接続は、複数のクラウドプラットフォームを相互に接続する際に使用できるサービスです。どのサービスを利用するかは、ネットワークの要件によって異なります。VPNは、最も一般的なマルチクラウド接続サービスです。SD-WANは、VPNよりもパフォーマンスが優れていますが、VPNよりも高価です。Cloud Interconnectは、VPNやSD-WANよりもパフォーマンスが優れていますが、VPNやSD-WANよりも高価です。

マルチクラウド接続を使用すると、複数のクラウドプラットフォーム間でデータを共有したり、アプリケーションを実行したりすることができます。これにより、コスト削減、パフォーマンス向上、セキュリティ向上などのメリットを得ることができます。

ダイレクト ピアリング

Google Cloud Platform(GCP)のハイブリッドクラウドとマルチクラウドのネットワーク設計に関するダイレクトピアリングについて説明します。

  • ダイレクトピアリング

ダイレクトピアリングは、2つのネットワークをプライベート接続で接続する機能です。ダイレクトピアリングを使用すると、2つのネットワーク間でトラフィックを直接送受信することができ、インターネットを経由するよりも高速で、セキュリティが向上します。

ダイレクトピアリングは、2つのネットワークをプライベート接続で接続する際に使用できる機能です。ダイレクトピアリングを使用すると、2つのネットワーク間でトラフィックを直接送受信することができ、インターネットを経由するよりも高速で、セキュリティが向上します。

ダイレクト ピアリングを使用すると、次のメリットを得ることができます。

  • 高速なパフォーマンス
  • 向上したセキュリティ
  • 低いコスト

ダイレクトピアリングは、2つのネットワークをプライベート接続で接続する際に最適な方法です。

IPsec VPN

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するIPsec VPNについて説明します。

  • IPsec VPN

IPsec VPNは、IPsecプロトコルを使用して、2つのネットワークを安全に接続する機能です。IPsec VPNを使用すると、2つのネットワーク間でトラフィックを暗号化することができ、セキュリティを向上させることができます。

IPsec VPNは、2つのネットワークを安全に接続する際に使用できる機能です。IPsec VPNを使用すると、2つのネットワーク間でトラフィックを暗号化することができ、セキュリティを向上させることができます。

IPsec VPNを使用すると、次のメリットを得ることができます。

  • 向上したセキュリティ
  • 拡張性
  • 柔軟性

IPsec VPNは、2つのネットワークを安全に接続する際に最適な方法です。

フェイルオーバーと障害復旧戦略

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するフェイルオーバーと障害復旧戦略について説明します。

  • フェイルオーバー

フェイルオーバーとは、システムが正常に動作しているときには使用されていないバックアップシステムに切り替える機能です。フェイルオーバーを使用すると、システムが障害が発生した場合でも、継続してサービスを提供することができます。

フェイルオーバーには、次の種類があります。

  • 自動フェイルオーバー
  • 手動フェイルオーバー

自動フェイルオーバーは、システムが障害が発生すると自動的にバックアップシステムに切り替える機能です。手動フェイルオーバーは、システムが障害が発生しても、ユーザーが手動でバックアップシステムに切り替える機能です。

フェイルオーバーは、システムが障害が発生した場合でも、継続してサービスを提供するために重要な機能です。

  • 障害復旧

障害復旧とは、システムが障害が発生した場合に、システムを復旧させるための計画です。障害復旧計画には、次の内容が含まれています。

  • 障害が発生する可能性のあるシステムの特定
  • 障害が発生した場合のシステムの復旧方法の策定
  • 障害復旧訓練の実施

障害復旧計画は、システムが障害が発生した場合でも、迅速にシステムを復旧させるために重要なものです。

GCPでは、フェイルオーバーと障害復旧を実現するためのさまざまな機能を提供しています。これらの機能を活用することで、システムの可用性を向上させることができます。

リージョン ルーティング モードとグローバル VPC ルーティング モード

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するリージョンルーティングモードとグローバルVPC ルーティングモードについて説明します。

  • リージョンルーティングモード

リージョンルーティングモードは、VPC内のトラフィックを、VPC内のルートテーブルを使用してルーティングするモードです。リージョンルーティングモードを使用すると、VPC 内のトラフィックを、VPC内のリソースにのみルーティングすることができます。

  • グローバル VPC ルーティング モード

グローバルVPCルーティング モードは、VPC内のトラフィックを、VPC 内のルート テーブルと、VPC 外部のルートテーブルを使用してルーティングするモードです。グローバル VPC ルーティングモードを使用すると、VPC内のトラフィックを、VPC内のリソースと、VPC 外部のリソースにルーティングすることができます。

リージョンルーティングモードとグローバルVPCルーティングモードのどちらを使用するかは、ネットワークの要件によって異なります。リージョンルーティング モードを使用する場合は、VPC 内のリソースへのアクセスのみを許可したい場合に使用します。グローバルVPルーティングモードを使用する場合は、VPC内のリソースと、VPC外部のリソースへのアクセスを許可したい場合に使用します。

リージョンルーティング モードとグローバルVPCルーティングモードのメリットとデメリットは次のとおりです。

リージョンルーティングモード

メリット:

  • シンプルで管理しやすい
  • コストが低い

デメリット:

  • VPC内のリソースへのアクセスのみを許可できる

グローバルVPC ルーティング モード

メリット:

  • VPC内のリソースと、VPC外部のリソースへのアクセスを許可できる
  • スケーラブル

デメリット:

  • 複雑で管理しにくい
  • コストが高い

リージョンルーティング モードとグローバルVPC ルーティング モードのどちらを使用するかは、ネットワークの要件によって異なります。リージョンルーティング モードを使用する場合は、VPC 内のリソースへのアクセスのみを許可したい場合に使用します。グローバルVPCルーティングモードを使用する場合は、VPC 内のリソースと、VPC 外部のリソースへのアクセスを許可したい場合に使用します。

オンプレミスのロケーションから複数の VPC へのアクセス(例: 共有 VPC、マルチ VPC ピアリング トポロジなど)

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するオンプレミスのロケーションから複数の VPC へのアクセス(例: 共有 VPC、マルチ VPC ピアリング トポロジなど)について説明します。

  • 共有 VPC

共有 VPC は、複数の VPC を単一の論理ネットワークに統合する機能です。共有 VPC を使用すると、複数の VPC 内のリソースを相互にアクセスしたり、管理したりすることができます。

共有 VPCを使用すると、複数の VPC内のリソースを効率的に管理し、アクセスすることができます。

  • マルチ VPCピアリングトポロジ

マルチVPCピアリング トポロジは、複数のVPCをプライベート接続で接続するトポロジです。マルチ VPCピアリングトポロジを使用すると、複数のVPC間のトラフィックを直接送受信することができ、インターネットを経由するよりも高速で、セキュリティが向上します。

マルチVPCピアリングトポロジを使用すると、複数の VPC 間のトラフィックを効率的に管理し、アクセスすることができます。

共有VPCとマルチVPC ピアリング トポロジは、オンプレミスのロケーションから複数のVPCにアクセスするための 2 つの方法です。どちらの方法を使用するかは、ネットワークの要件によって異なります。共有 VPC を使用する場合は、複数のVPC 内のリソースを相互にアクセスしたり、管理したりしたい場合に使用します。マルチVPCピアリングトポロジを使用する場合は、複数のVPC間のトラフィックを直接送受信したい場合に使用します。

ハイブリッド接続ソリューションにより提供される帯域幅と制約

Google Cloud Platform(GCP)のハイブリッド接続ソリューションは、オンプレミスネットワークとGCPのネットワークを接続するさまざまな方法を提供します。これらのソリューションは、帯域幅と制約が異なります。

  • VPN接続

VPN接続は、オンプレミスネットワークとGCPのネットワークを暗号化されたトンネルで接続する方法です。VPN接続は、帯域幅と制約が柔軟に設定できます。

  • Cloud Interconnect

Cloud Interconnectは、オンプレミスネットワークとGCPのネットワークを専用のリンクで接続する方法です。Cloud Interconnectは、VPN接続よりも帯域幅とパフォーマンスが優れていますが、コストも高くなります。

  • Direct Peering

Direct Peeringは、2つのGCPネットワークをプライベート接続で接続する方法です。Direct Peeringは、VPN接続よりも帯域幅とパフォーマンスが優れていますが、コストも高くなります。

GCPのハイブリッド接続ソリューションを選択する際には、帯域幅、パフォーマンス、コスト、セキュリティなどの要件を考慮する必要があります。

オンプレミス ロケーションから Google のサービスまたは API へのプライベート アクセス

Google Cloud Platform(GCP)では、オンプレミス ロケーションから GoogleのサービスまたはAPI へのプライベートアクセスを実現するために、さまざまな方法を提供しています。これらの方法は、次のとおりです。

  • VPN 接続

VPN 接続は、オンプレミス ロケーションと GCP のネットワークを暗号化されたトンネルで接続する方法です。VPN接続を使用すると、オンプレミスロケーションからGCPのサービスまたはAPIにプライベートにアクセスすることができます。

  • Cloud Interconnect

Cloud Interconnectは、オンプレミスロケーションとGCPのネットワークを専用のリンクで接続する方法です。Cloud Interconnectを使用すると、VPN 接続よりも帯域幅とパフォーマンスが優れていますが、コストも高くなります。

  • Cloud VPN

Cloud VPNは、GCPのネットワークと、他のクラウドプラットフォームのネットワークを暗号化されたトンネルで接続する方法です。Cloud VPNを使用すると、オンプレミスロケーションから他のクラウド プラットフォームのサービスまたはAPIにプライベートにアクセスすることができます。

GCPでは、オンプレミスロケーションからGoogleのサービスまたはAPIへのプライベート アクセスを実現するために、これらの方法を組み合わせて使用することもできます。たとえば、オンプレミス ロケーションからGCPのネットワークを経由して、他のクラウド プラットフォームのサービスまたはAPIにアクセスすることができます。

GCPのネットワーク サービスを使用して、オンプレミス ロケーションからGoogle のサービスまたは APIへのプライベートアクセスを実現することで、次のメリットを得ることができます。

  • セキュリティの向上
  • パフォーマンスの向上
  • スケーラビリティの向上
  • コスト削減

オンプレミス ロケーションとクラウド間の IP アドレス管理

Google Cloud Platform(GCP)のハイブリッド クラウドとマルチクラウドのネットワーク設計に関するオンプレミスロケーションとクラウド間の IP アドレス管理について教えてください。

オンプレミス ロケーションとクラウド間の IP アドレス管理は、ネットワークセキュリティとパフォーマンスに重要な要素です。IP アドレスの重複や不一致があると、ネットワークが不安定になったり、セキュリティが低下したりする可能性があります。

GCP では、オンプレミス ロケーションとクラウド間の IPアドレス管理を効率的に行うために、次の方法を提供しています。

  • NAT Gateway

NAT Gatewayは、オンプレミス ロケーションからインターネットへのアクセスをルーティングするサービスです。NAT Gatewayを使用すると、オンプレミスロケーションに割り当てられた IP アドレスをインターネットに公開する必要がなく、セキュリティを向上させることができます。

  • Cloud VPN

Cloud VPNは、オンプレミスロケーションとGCPのネットワークを暗号化されたトンネルで接続するサービスです。Cloud VPNを使用すると、オンプレミスロケーションとGCPのネットワーク間でIPアドレスを共有することができます。

  • Cloud Interconnect

Cloud Interconnectは、オンプレミスロケーションとGCPのネットワークを専用のリンクで接続するサービスです。Cloud Interconnectを使用すると、オンプレミスロケーションとGCPのネットワーク間で IPアドレスを共有することができます。

GCPのネットワークサービスを使用して、オンプレミスロケーションとクラウド間の IP アドレス管理を効率的に行うことで、次のメリットを得ることができます。

  • セキュリティの向上
  • パフォーマンスの向上
  • スケーラビリティの向上
  • コスト削減

DNSピアリングと転送

Google Cloud Platform (GCP) のハイブリッド クラウドとマルチクラウドのネットワーク設計に関する DNSピアリングと転送について説明します。

DNS ピアリングは、2つのDNS サーバーが相互に DNS レコードを共有する方法です。DNS ピアリングを使用すると、2つのDNS サーバーが同じ DNS レコードをキャッシュし、ユーザーがDNSクエリを送信したときに、より迅速に応答することができます。

DNS 転送は、1つのDNSサーバーが別の DNS サーバーにDNSクエリを転送する方法です。DNS 転送を使用すると、1つの DNS サーバーがキャッシュしていない DNS レコードをユーザーに提供することができます。

GCPでは、DNSピアリングとDNS転送を組み合わせて使用することで、オンプレミスネットワークと GCP ネットワーク間でDNSリソースを共有することができます。これにより、ユーザーがオンプレミス ネットワークとGCPネットワークの両方から同じDNSリソースにアクセスすることができます。

DNSピアリングとDNS転送を使用すると、次のメリットを得ることができます。

  • パフォーマンスの向上
  • スケーラビリティの向上
  • コスト削減

DNSピアリングとDNS転送は、GCPのネットワーク設計において重要な要素です。これらの機能を組み合わせて使用することで、オンプレミスネットワークとGCPネットワーク間のDNSリソースを効率的に共有することができます。

1.4 Google Kubernetes Engine の IP アドレス指定プランを設計する

一般公開クラスタノードと限定公開クラスタノード

Google Kubernetes Engine (GKE) は、Google Cloud Platform (GCP) 上で Kubernetesクラスタを管理するためのサービスです。GKEでは、2つの異なるIPアドレス指定プランが提供されています。

  • 一般公開クラスタノード

一般公開クラスタノードは、インターネットからアクセスできるIPアドレスをノードに割り当てます。一般公開クラスタノードは、インターネット経由でアクセスする必要があるアプリケーションに最適です。

  • 限定公開クラスタノード

限定公開クラスタノードは、インターネットからアクセスできない IPアドレスをノードに割り当てます。限定公開クラスタノードは、インターネット経由でアクセスする必要のないアプリケーションに最適です。

一般公開クラスタノードと限定公開クラスタノードの違いは、次のとおりです。

機能一般公開クラスタノード限定公開クラスタノード
IPアドレスインターネットからアクセスできる IP アドレスをノードに割り当てます。インターネットからアクセスできない IP アドレスをノードに割り当てます。
セキュリティインターネットからアクセス可能なため、セキュリティが低くなります。インターネットからアクセスできないため、セキュリティが高くなります。
コスト限定公開クラスタノードよりもコストがかかります。一般公開クラスタノードよりもコストがかかりません。

一般公開クラスタノードと限定公開クラスタノードを選択する際には、アプリケーションのセキュリティ要件とコストを考慮する必要があります。

コントロール プレーンのパブリック エンドポイントとプライベート エンドポイント

Google Kubernetes Engine (GKE) は、Google Cloud Platform (GCP) 上でKubernetesクラスタを管理するためのサービスです。GKEでは、2 つの異なるコントロール プレーンエンドポイントが提供されています。

  • パブリックエンドポイント

パブリックエンドポイントは、インターネットからアクセスできるコントロールプレーンのエンドポイントです。パブリックエンドポイントは、インターネット経由でクラスタにアクセスする必要があるアプリケーションに最適です。

  • プライベートエンドポイント

プライベートエンドポイントは、インターネットからアクセスできないコントロール プレーンのエンドポイントです。プライベートエンドポイントは、インターネット経由でアクセスする必要のないアプリケーションに最適です。

パブリックエンドポイントとプライベート エンドポイントの違いは、次のとおりです。

機能パブリックエンドポイントプライベートエンドポイント
アクセスインターネットからアクセスできます。インターネットからアクセスできません。
セキュリティインターネットからアクセス可能なため、セキュリティが低くなります。インターネットからアクセスできないため、セキュリティが高くなります。
コストプライベートエンドポイントよりもコストがかかります。プライベートエンドポイントよりもコストがかかりません。

パブリックエンドポイントとプライベートエンドポイントを選択する際には、アプリケーションのセキュリティ要件とコストを考慮する必要があります。

サブネットとエイリアス IP

Google Cloud Platform (GCP) のGoogle Kubernetes Engine (GKE) では、IP アドレス指定の計画にサブネットとエイリアスIPを使用できます。

  • サブネット

サブネットは、IPアドレスの範囲です。サブネットは、クラスタのノードにIPアドレスを割り当てるために使用されます。

  • エイリアス IP

エイリアスIP は、1つのノードに複数の IPアドレスを割り当てるために使用されます。エイリアスIPは、クラスタのノードが複数のネットワークに接続する必要がある場合に使用されます。

サブネットとエイリアスIPの違いは、次のとおりです。

機能サブネットエイリアス IP
IP アドレスの範囲1 つの範囲複数の範囲
ノードに割り当てられるIPアドレスの数1 つ複数
使用クラスタのノードにIPアドレスを割り当てるクラスタのノードが複数のネットワークに接続する必要がある場合に使用される

サブネットとエイリアス IP を選択する際には、クラスタのノードに必要な IP アドレスの数と、ノードが接続する必要があるネットワークの数を考慮する必要があります。

RFC 1918、RFC 1918 以外、プライベートで使用されるパブリック IP(PUPI)アドレス オプション

Google Kubernetes Engine (GKE) は、Google Cloud Platform (GCP) 上で Kubernetes クラスタを管理するためのサービスです。GKEでは、RFC1918アドレスと RFC1918以外のアドレスの両方を使用できます。

RFC1918アドレス

RFC1918アドレスは、プライベートネットワーク用に予約されているIPアドレスです。RFC1918アドレスは、インターネットからアクセスできません。

RFC1918以外のアドレス

RFC1918以外のアドレスは、インターネット用に予約されているIPアドレスです。RFC1918以外のアドレスは、インターネットからアクセスできます。

GKE では、RFC1918アドレスと RFC1918以外のアドレスの両方を使用できます。RFC1918アドレスを使用すると、クラスタのノードがインターネットからアクセスされません。RFC1918以外のアドレスを使用すると、クラスタのノードがインターネットからアクセスされます。

GKEで使用するアドレスの種類を選択する際には、アプリケーションのセキュリティ要件を考慮する必要があります。

まとめ

本日は下記2点について説明しました。

  1. 試験概要と試験範囲
  2. セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング

今回説明した「セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング」は、概要になります。今後のブログでより詳細に説明を行うので、まずは概要をしっかり抑えてください。

これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!

それでは、次回のブログで!

タイトルとURLをコピーしました