【GoogleCloud入門】VPC の作成手順

12月 5, 2023GoogleCloud

概要

  • Google Cloud入門の記事 2つ目になります。今回は、Google Compute Engine (GCE) 等の IaaS を利用する際に必要となるVirtual Private Cloud (VPC) を作成します。

VPC の特徴

  • Virtual Private Cloud (VPC) の公式ページには以下の記載があります。
    • 200 以上の国と地域、38 のリージョン、115 のゾーンからなる稼働率 99.99% を誇るネットワーク
    • 1 つの VPC で複数のリージョンをカバーし、公共のインターネットを経由せずに通信が可能
  • 補足しますね。Google Cloud はInternet へ通信を行う際に、デフォルトでプレミアム ティアを使用します。プレミアム ティアは、Google Network のバックボーンを介した通信であり、低レイテンシ、高品質です。コストを優先して、スタンダード ティアを使用することも可能です(スタンダード ティアをサポートするリージョンはこちら)。
  • Google Cloud の場合、VPC はグローバルリソースになります(AWSはリージョナルリソースのため異なる)。そのため、マルチリージョン構成が容易になります。また、サブネットはリージョン単位であり、ゾーン単位ではありません(AWSはアベイラビリティゾーン(AZ)単位のため異なる)。
  • デフォルトで default VPC が作成されています。default VPC のサブネットは、自動サブネットモードで作成されています。こちらは、PoC やテストなどの一部のユースケースに使用しますが、Google Cloud のベストプラクティスはカスタムサブネットモードを使用した作成になります。
  • プライベートサブネット、パブリックサブネットの区別はありません。デフォルトはインターネットへのルートが設定されます(AWSの場合、Internet Gatewayの作成およびInternet へのデフォルトルート(0.0.0.0/0)の設定は個別に必要になる)。
  • VPCの主な料金は以下となります。詳細は、こちらのページを参照ください。
    • 上り(内向き)トラフィックに対する料金は発生しない。ただし、上り(内向き)トラフィックを処理するリソースは課金される(ロードバランサ、Cloud NAT等)。
      • リクエストに対するレスポンスは下り(外向き)としてカウントされ、課金される。
    • リソースの内部 IP アドレスを使用する場合の、同じリージョン内の同じゾーンへの下り(外向き): 無料
    • 内部 IP アドレスを使用する場合、同じリージョン内の異なるゾーンへの下り(外向き): $0.01 /GB単位
    • 外部 IP アドレスを使用する場合、同じリージョン内(ゾーンは問わず)にある VM 間の下り(外向き): $0.01 /GB単位
    • 内部または外部 IP アドレスを使用する同じVPCの異なるリージョン内にある VM 間の下り(外向き): リージョンにより異なる
    • その他詳細は、こちらを参照。

 

VPC の作成手順

  • ナビゲーション メニューから、「VPC ネットワーク」を選択します。アカウントを作成後、初めてアクセスした際に、以下の画面が表示されました。「続行」を選択します。

  • 以下の画面が表示されます。「有効にする」を選択し、Compute Engine API を有効にします。

 

  • 「VPC ネットワーク」に再度アクセスします。以下の画面が表示されます。

 

  • 「VPC ネットワークを作成」を選択します。
  • 先ず、VPC の「名前」を指定します。
    • 名前は、先頭が小文字で、その後に最大 62 文字の小文字、数字、ハイフンで構成します。末尾をハイフンにすることはできません
  • 次に、VPC 内のリソースに内部IPv6 アドレスを使用する場合は、「VPC ネットワーク ULA の内部 IPv6 範囲」を「有効」に設定します。IPv4 アドレスを使用する場合は、「無効」に設定します。
    • ULA(unique local address)は、IPv6アドレスの規格で定義されたプライベートアドレスを指します。

 

  • サブネット作成モードは、「カスタム」モードを選択します。
    • 自動モードは、10.128.0.0/9 のIP範囲から /20の単位で各リージョンにサブネットを自動で作成します。PoC やテストなどの一部のユースケースに使用しますが、本番には使用しません。
  • サブネットの名前、リージョンを指定します。
    • 名前は、先頭が小文字で、その後に最大 62 文字の小文字、数字、ハイフンで構成します。末尾をハイフンにすることはできません。
    • サブネットの名前は、プロジェクト内において一意である必要があります。
  • IP スタックタイプに、「IPv4(シングル スタック)」、「IPv4 と IPv6(デュアル スタック)」のいずれかを設定します。
    • デュアル スタックを選択した場合、IPv6 アクセスタイプに「外部」or「内部」を設定します。VM が内部 IPv6 アドレス(ULA)と外部 IPv6 アドレス(グローバルのアドレス)のどちらを受信するかを選択します。外部 IPv6 アドレスを受信する設定は、VM のネットワークインタフェースに外部 IPv6 アドレスが割り当てられます。
    • IPv6 アクセスタイプに「内部」を設定する場合は、前述の「VPC ネットワーク ULA の内部 IPv6 範囲」を「有効」に設定します。

 

  • 限定公開の Google アクセスは、このサブネットの VM が外部 IP アドレスを割り当てずに Google サービスにアクセスできるかどうかの設定です。通常は、オンにします。
  • ハイブリッド サブネットをオンにすると、VPC ネットワーク ルーティングの動作が変更され、サブネットの IP アドレス範囲とカスタム動的ルートのアドレス範囲の重複が可能になります。

 

  • ファイアウォール ルールには、デフォルトのルールが4つ準備されています。今回は選択しません。
  • その他に、暗黙の IPv4 ファイアウォール ルールが 2 つあります。暗黙の IPv4 の下り(外向き)許可ルールと、暗黙の IPv4 上り(内向き)拒否ルールになります。詳細はこちらを参照。

 

  • 動的ルーティング モードは、VPC が他のネットワーク(オンプレ等)に接続される場合の Cloud Router の動作を制御します。デフォルトは「リージョン」です。ルートを他のネットワーク(オンプレ等)に広報する際は、「グローバル」を選択します。
  • 最後に、「作成」を選択します。

 

  • 新規に、VPC が作成されました。

 

  • 「ルート」を選択し、ルートを表示するリージョンを選択します。
  • VPC 作成後は、デフォルトで以下のルートが設定されています。

 

 

ファイアウォールの作成手順

  • VPC 作成後は、ファイアウォール ルールはありません。

 

  • ファイアウォール ルールを作成します。「ファイアウォール ルールを追加」を選択します。
  • ファイアウォール ルールの名前を指定します。
    • 名前は、先頭が小文字で、その後に最大 62 文字の小文字、数字、ハイフンで構成します。末尾をハイフンにすることはできません。
  • ネットワーク内でルールが適用される順序を指定できます。値が小さいルールほど優先順位が高くなります。デフォルトは 1000 です。

 

  • ファイアウォール ルールに設定するトラフィックの方向(上りは受信、下りは送信のトラフィックに適用される)、一致した時にトラフィックを許可または拒否するかのアクションを設定します。
  • ターゲットにファイアウォール ルールが適用されるインスタンスを指定します。
  • ソースフィルタに「IPv4 範囲」,「IPv6 範囲」,「ソースタグ」のいずれかを選択します。「IPv4 範囲」を選択した場合、送信元の IPv4 範囲に送信元のCIDR を指定します。

 

  • ファイアウォール ルールに設定するプロトコルとポートを指定します。
  • 最後に、「作成」を選択します。

 

  • 新規に、ファイアウォール ルールが作成されました。

 

 

参考資料