概要

このラボでは、2 つのネットワーク間に VPC ネットワーク ピアリングを構成します。その後、次の図に示すように、両ネットワーク内の 2 つの VM 間のプライベート通信を検証します。

VPC ネットワーク ピアリングを使用すると、Google Cloud で SaaS（Software-as-a-Service）エコシステムを構築できるため、組織内および組織間の複数の VPC ネットワーク間でサービスを非公開で利用できるようになります。それによって、ワークロードの通信を RFC 1918 規定のプライベート空間で行えるようになります。

VPC ネットワーク ピアリングは、外部 IP アドレスや VPN を使用してネットワークを接続する場合に比べて以下のようなさまざまな利点があります。

• ネットワークのレイテンシ: パブリック IP ネットワークは、プライベート ネットワークよりもレイテンシが高くなります。
• ネットワーク セキュリティ: サービス オーナーは、サービスをインターネットに公開して関連するリスクに対処する必要がありません。
• ネットワークの費用: Google Cloud では、同じゾーン内のトラフィックであっても、外部 IP を使用して通信するネットワークに対して下り（外向き）帯域幅の料金が発生します。ただし、ネットワークがピアリングされている場合、内部 IP を使用して通信することで、このような下り（外向き）の費用を節約できます。この場合でも、通常のネットワーク料金はすべてのトラフィックに適用されます。

目標

このラボでは、次のタスクの実行方法について学びます。

• ピアリングされていない VPC ネットワーク間の接続性を確認する。
• VPC ネットワーク ピアリングを構成する。
• ピアリングされた VPC ネットワーク間のプライベート通信を検証する。
• VPC ネットワーク ピアリングを削除する。

設定と要件

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] パネルでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] パネルでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスのリストを含むメニューを表示するには、左上のナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

タスク 1. ピアリングされていない VPC ネットワーク間の接続性を確認する

Google Cloud プロジェクトはいずれも default ネットワークで開始します。さらに、ラボでは mynetwork、privatenet、managementnet が、ICMP-SSH-RDP トラフィックを許可するファイアウォール ルールと 4 つの VM インスタンスとともに用意されています。

VPC ネットワーク ピアリングの要件を確認する

ピアリングされる VPC ネットワークで、他のサブネットと重複するサブネット IP 範囲は設定できません。そのため、mynetwork と privatenet のサブネットの CIDR ブロックが重複していないことを確認する必要があります。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] > [VPC ネットワーク] をクリックします。

2. mynetwork のサブネットの IP アドレス範囲を確認します。

   mynetwork のサブネットは、10.128.0.0/9 CIDR ブロック内に収まります。Google Cloud の新しいリージョンが利用可能になると、そのブロックの IP 範囲を使用して、リージョン内の新しいサブネットがこの自動モード ネットワークに自動的に追加されます。

3. privatenet のサブネットの IP アドレス範囲を確認します。

   privatenet のサブネットは、172.16.0.0/24 および 172.20.0.0/24 CIDR ブロック内に収まります。これらは mynetwork の 10.128.0.0/9 CIDR ブロックとは重複しません。

注: サブネットの CIDR ブロックが重複していないため、mynetwork と privatenet の間に VPC ネットワーク ピアリングを構成できます。

mynetwork と privatenet の間の接続性を確認する

VPC ネットワーク ピアリングを構成する前に、mynetwork と privatenet の間の現在の接続性を確認します。

1. ナビゲーション メニュー（）で、[VPC ネットワーク] > [VPC ネットワーク ピアリング] の順にクリックします。 ピアリング接続がないことを確認します。

   このページには、VPC ネットワーク ピアリング接続を構成する際に戻って来ることになります。

2. ナビゲーション メニューで、[VPC ネットワーク] > [ルート] の順にクリックします。

3. 以下を指定します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ネットワーク	mynetwork
   リージョン

4. [表示] をクリックします。ネクストホップとしてのピアリング接続がどのルートにもないことを確認します。

   このページには、VPC ネットワーク ピアリング接続を構成した後に戻って来ることになります。

5. ナビゲーション メニューで、[VPC ネットワーク] > [ファイアウォール] の順にクリックします。 mynetwork と privatenet のプロトコル / ポートに、SSH と ICMP を許可するファイアウォール ルールがあることを確認します。これらはあらかじめ作成されています。

6. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。 mynet-notus-vm、mynet-us-vm、privatenet-us-vm、managementnet-us-vm のインスタンスがあることを確認します。

   これらの VM インスタンスはあらかじめ作成されているものです。

7. privatenet-us-vm の内部 IP アドレスと外部 IP アドレスをメモしておきます。

8. mynet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。

9. 次のコマンドを実行して、privatenet-us-vm の外部 IP アドレスへの接続をテストします。コマンドのプレースホルダは、privatenet-us-vm の外部 IP に置き換えます。

ping -c 3 <privatenet-us-vm の外部 IP を入力>

応答があるはずです。

10. 次のコマンドを実行して、privatenet-us-vm の内部 IP アドレスへの接続をテストします。コマンドのプレースホルダは、privatenet-us-vm の内部 IP に置き換えます。

ping -c 3 <privatenet-us-vm の内部 IP を入力> 注: この場合は 100% パケットロスになり、ping に対する応答はありません。なぜでしょうか？

11. [VM インスタンス] ページで、列をクリックし、[ネットワーク] を選択します。

注: mynet-us-vm インスタンスと privatenet-us-vm インスタンスは同じゾーン内（）にありますが、VPC ネットワークが異なります（mynetwork と privatenet）。これらのネットワーク間には VPC ネットワーク ピアリングを構成していないため、両ネットワークのインスタンス間のプライベート通信は失敗します。

12. 目標を確認する前に、mynet-us-vm への SSH ターミナルを閉じてください。

exit

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 ピアリングされていない VPC ネットワーク間の接続性を確認する

タスク 2. VPC ネットワーク ピアリングを構成する

VPC ネットワーク ピアリングは、同一組織内および複数組織間の異なる VPC ネットワーク間で構成できます。このプロジェクトでは次のピアリング接続を構成します。

• peering-1-2: mynetwork を privatenet とピアリング
• peering-2-1: privatenet を mynetwork とピアリング

ピアリングの両側は別々に設定されます。両側の構成が一致する場合にのみ、ピアリングが有効になります。

peering-1-2 を作成する

mynetwork を privatenet とピアリングします。

1. Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] > [VPC ネットワーク ピアリング] の順にクリックします。
2. [接続を作成] をクリックします。
3. 要件を読みます。

注: 同じプロジェクト内の VPC ネットワークに接続しているため、プロジェクト ID は必要ありません。

4. [続行] をクリックします。

5. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	peering-1-2
   VPC ネットワーク	mynetwork
   VPC ネットワークの名前	privatenet

注: 別のプロジェクト内の VPC ネットワークとピアリングした場合は、そのプロジェクトでピアリング接続を作成するために、ネットワーク管理者かプロジェクトのオーナーまたは編集者の IAM ロールが必要になります。

6. [作成] をクリックします。

注: この時点では、片側の構成が済んでおらずネットワークがまだピアリングされていないため、ピアリングのステータスは [無効] のままになっています。

peering-2-1 を作成する

privatenet を mynetwork とピアリングします。

1. Cloud コンソールで、[VPC ネットワーク ピアリング] ページに戻ります。

2. [ピアリング接続の作成] をクリックします。

3. [続行] をクリックします。

4. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	peering-2-1
   VPC ネットワーク	privatenet
   VPC ネットワークの名前	mynetwork

5. [作成] をクリックします。

注: 想定のとおり、両側の構成が一致するとピアリングのステータスが [有効] に変わります。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 VPC ネットワーク ピアリングを構成する

タスク 3. ピアリングされた VPC ネットワーク間のプライベート通信を検証する

mynetwork と privatenet 間の RFC 1918 プライベート接続を検証します。

ネットワーク間のルートを検証する

mynetwork と privatenet の間にルートが確立されていることを確認します。

1. Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] > [ルート] の順にクリックします。
2. [ネットワーク] では mynetwork を選択します。
3. [リージョン] では を選択します。

mynetwork の各サブネットにネクストホップとして peering-1-2 を使用するルートが存在することを確認します。privatenet に切り替えると、privatenet の各サブネットにネクストホップとして peering-2-1 を使用するルートが存在することが確認できます。

これらのルートは、VPC ピアリング接続に伴って自動的に作成されました。

注: ユーザーが構成したルートは、ピアリングされたネットワーク間で伝播されません。ネットワーク内のルートを VPC ネットワーク内の宛先に構成しても、ピアリングされたネットワークからその宛先には到達できません。

mynetwork から privatenet に ping を実行する

mynet-us-vm から privatenet-us-vm の内部 IP に ping が実行できるか試してみます。

1. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。
2. privatenet-us-vm の内部 IP アドレスをメモしておきます。
3. mynet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。
4. 次のコマンドを実行して、privatenet-us-vm の内部 IP アドレスへの接続をテストします。コマンドのプレースホルダは、privatenet-us-vm の内部 IP に置き換えます。

ping -c 3 <privatenet-us-vm の内部 IP を入力>

ピアリング接続によってルートが確立されているため、これは正常に動作するはずです。

5. 目標を確認する前に、mynet-us-vm への SSH ターミナルを閉じてください。

exit

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 privatenet-us-vm の内部 IP への接続性をテストする

privatenet から mynetwork に ping を実行する

同様に、privatenet-us-vm から mynet-us-vm の内部 IP に ping が実行できるか試してみます。

1. mynet-us-vm の内部 IP アドレスをメモしておきます。
2. privatenet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。
3. 次のコマンドを実行して、mynet-us-vm の内部 IP アドレスへの接続をテストします。コマンドのプレースホルダは、mynet-us-vm の内部 IP に置換します。

ping -c 3 <mynet-us-vm の内部 IP をこちらに入力>

ピアリング接続によってルートが確立されているため、これも正常に動作するはずです。

4. ピアリングされたネットワーク間の Compute Engine DNS をテストするには、次のコマンドを実行します。

ping -c 3 mynet-us-vm

出力:

ping: mynet-us-vm: Name or service not known 注: ネットワークで作成した Compute Engine 内部 DNS 名では、ピアリングされたネットワークにアクセスできません。ピアリングされたネットワーク内の VM インスタンスに達するには、VM の IP アドレスを使用する必要があります。

5. 目標を確認する前に、privatenet-us-vm への SSH ターミナルを閉じてください。

exit

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 mynet-us-vm の内部 IP および Compute Engine DNS への接続性をテストする

注: これで VPC ピアリング接続が検証されたので、両方のインスタンスを停止してその外部 IP アドレスを削除できます。削除しておくと、インスタンスの保護とネットワーキング費用の削減に役立ちます。Cloud IAP トンネルを使用すれば、引き続きパブリック IP アドレスなしでインスタンスに SSH 接続できます。

タスク 4. VPC ピアリング接続を削除する

VPC ピアリング接続の削除と、削除の確認を行います。

ピアリング接続を削除する

peering-1-2 接続を削除します。

1. ナビゲーション メニューで、[VPC ネットワーク] > [VPC ネットワーク ピアリング] の順にクリックします。
2. peering-1-2 接続を選択します。
3. [削除] をクリックします。
4. [削除] をクリックして削除を確定します。 接続を削除したら、peering-2-1 のステータスが [無効] になっていることを確認します。

注: ピアリング接続の片側を削除すると、ピアリング接続全体が停止します。

ピアリングの削除を確認する

ピアリング接続のルートがなくなったことと、mynetwork と privatenet の間に RFC 1918 プライベート接続がないことを確認します。

1. ナビゲーション メニューで、[VPC ネットワーク] > [ルート] の順にクリックします。 VPC ピアリング ルートがなくなっていることを確認します。

注: VPC ピアリング接続の片側を削除すると、すべてのピアリング ルートが削除されます。

3. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。
4. privatenet-us-vm の内部 IP アドレスをメモしておきます。
5. mynet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。
6. 次のコマンドを実行して、privatenet-us-vm の内部 IP アドレスへの接続をテストします。コマンドのプレースホルダは、privatenet-us-vm の内部 IP に置き換えます。

ping -c 3 <Enter privatenet-us-vm's internal IP here> 注: この場合は 100% パケットロスになり、ping に対する応答はありません。

7. 目標を確認する前に、mynet-us-vm への SSH ターミナルを閉じてください。

exit

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 VPC ピアリング接続を削除する

確認

このラボでは、2 つのネットワーク（privatenet と mynetwork）の間に VPC ネットワーク ピアリングを構成しました。その後、両ネットワーク内の VM に対してそれぞれの内部 IP アドレスで ping を実行することで、mynetwork と privatenet の間の RFC 1918 プライベート接続を検証しました。最後に、VPC ネットワーク ピアリング接続の片側を削除し、これによって両ネットワーク間の RFC 1918 プライベート接続が削除されたことを確認しました。

ラボを終了する

ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Cloud Skills Boost から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。

Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。