NECネッツエスアイ
NECネッツエスアイ

GCPコトハジメ

限定公開のGoogleアクセスとCloud VPN併用時に気を付けること

更新日付:2023年2月27日

 運用開発グループのtateです。このブログではGoogle Cloud(GCP)を利用していく上でちょっとした話などを紹介しています。

 今回はGCPが提供する限定公開のGoogleアクセス(Private Google Access)について、Cloud VPNを併用した場合に注意することを今回は照会します。(所謂、ハイブリッドクラウド構成でしょうか。)

※本ブログに記載する内容については筆者の経験を元に記載しております。
 最新の状況についてはドキュメントを参照いただくようにお願いいたします。

  1. 限定公開のGoogleアクセスについて
  2. オンプレミスホスト用の限定公開のGoogleアクセスについて
  3. Cloud VPNについて
  4. 限定公開のGoogleアクセスとCloudVPNの併用時に気を付けること

1.限定公開Googleのアクセスについて

 限定公開のGoogleアクセス(Private Google Access) はCloud NATや外部IPアドレスを利用しない環境下で、
Google APIに対するアクセスを提供する機能です。この機能を有効化することで、外部IPを持たないGCEはデフォルトのインターネット ゲートウェイ(0.0.0.0)を経由してGoogle APIにアクセスを行います。
(デフォルトゲートウェイという記載はありますが、Googleネットワーク内での処理です。)

サービスの対応状況については公式ドキュメントを参照してください。

限定公開のGoogleアクセス – サポート対象のサービス
https://cloud.google.com/vpc/docs/private-google-access?hl=ja#pga-supported

2.オンプレミスホスト用の限定公開のGoogleアクセスについて

 オンプレミスホスト用の限定公開のGoogleアクセス(Private Google Access) はCloud InterconnectやCloud VPNを経由してオンプレミス環境から内部IPを利用してGoogle APIに対するアクセスを提供する機能です。

サービスの対応状況については公式ドキュメントを参照してください。

オンプレミスホスト用の限定公開Googleアクセス
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid?hl=ja#config-choose-domain

3.Cloud VPNについて

 CloudVPNはオンプレミスとGoogle Cloud(VPC Netrowrk)のサイト間VPNを提供するサービスです。この機能により、オンプレミスから内部IPしてGCEへのアクセスやオンプレミスホスト用の限定公開Googleアクセスを利用したGoogle APIへのアクセスを行うことが可能になります。

 オンプレミスとGCPはIPSecを利用してサイト間VPNを構成しますが、オンプレミスとのルーティングはBGPを利用します。経路情報を交換するため、オンプレミとVPCのサブネットが重複しないように注意する必要があります。

GCP環境を閉じた環境とみなして、オンプレミスからデフォルトルートをアドバタイズすることも可能ですが、ここでも注意することが出てきます。

Cloud VPN の概要
https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview?hl=ja

4.限定公開のGoogleアクセスとCloudVPNの併用時に気を付けること

 オンプレミスからBGPのデフォルトルートをアドバタイズする際に注意することは、限定公開Googleアクセスを有効化するとデフォルトのインターネットゲートウェイ(0.0.0.0)を経由してGoogle APIにアクセスを行われないことがあることです。

Cloud Consoleより[VPC ネットワーク]->[ルート]を確認してみましょう。
優先度が1000、ネクストホップがデフォルトのインターネットゲートウェイとなっているルーティング情報が確認できると思います。(優先度が低いほど、処理が優先されます。)

 ここでオンプレミスから優先度が1000未満のデフォルトゲートウェイ(0.0.0.0)がアドバタイズされると、優先度1000のルーティングは利用されなくなります。この場合、限定公開のGoogleアクセスで期待していたルートを通らず、オンプレミスを経由してGoogle APIにアクセスを行おうとします。そのため、想定していないトラヒックがオンプレミスを通ることになります。また、場合によってはオンプレミスを経由したトラヒックを拒否してしまうことも考えられます。

 デフォルトゲートウェイをオンプレミスからアドバタイズした場合にカスタムルーティングを設定することで、
この事象を回避することができます。カスタムルーティングの設定はCloud Console上より行うことができます。

カスタムルートアドバタイズ
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-overview?hl=ja

 このように、限定公開のGoogleアクセスとCloud VPNの併用時にはルーティングの情報も意識して行う必要があります。複数の拠点を繋ぐ場合などはルーティングに関しても割り当てと上限が存在するため、こちらについても考慮する必要があります。

割り当てと上限
https://cloud.google.com/network-connectivity/docs/router/quotas?hl=ja#limits

今回は限定公開のGoogleアクセスとCloudVPNの併用時に気を付けることを紹介しました。
次回こそはdnf automaticについての深掘りやVM Managerによるパッチ管理などに触れていきたいと思います。

tate

tate

関連記事

TOP