Google Cloud Platform Japan Blog
最新情報や使い方、チュートリアル、国内外の事例やイベントについてお伝えします。
Shared VPC : 複数プロジェクトにまたがる仮想ネットワークを一元管理
2017年6月28日水曜日
複数のクラウド プロジェクトを同時に進めている大規模組織は、物理リソースの共有機能を重視しつつ、グループや部署単位では論理的にリソースを分離したいと考えています。
そこで私たちは、Google Cloud Next '17 で
Shared VPC
(旧称 : Cross-Project Networking)を発表しました。これは、
組織内
で複数のプロジェクトにまたがる 1 つもしくは複数の仮想ネットワークの構成や一元管理を可能にするもので、
Google Cloud Platform
(GCP)のリソース階層におけるトップ レベルの Cloud Identity & Access Management(Cloud IAM)リソースです。
Shared VPC を利用すれば、組織全体に対するルートやファイアウォール、サブネット IP アドレス範囲、VPN 接続などの作成を一元管理できるほか、開発者が自ら請求、割当、IAM 権限を所有でき、自律的に開発プロジェクトを運用できます。
この投稿では、先ごろ正式公開(GA)となった Shared VPC の概要や推奨例を紹介します。
Shared VPC の仕組み
Shared VPC は、仮想ネットワークのデータ プレーンに対して透過的な管理制御プレーン内に完全に実装されています。管理制御プレーンでは、一元管理されたプロジェクトが
ホスト プロジェクト
として有効化されており、そこには 1 つまたは複数の共有仮想ネットワークが含まれます。
必要な Cloud IAM 権限を設定したら、1 つまたは複数の
サービス プロジェクト
とホスト プロジェクトをリンクすることで、共有仮想ネットワーク内に仮想マシン(VM)を作成できます。このように仮想ネットワークを共有することで、ファイアウォールなどの重要なネットワーク リソースへのアクセスを制御でき、小さい負荷で一元管理できるようになるのです。
さらに共有仮想ネットワークでは、VM は共有ネットワーク上に配置されていない場合と同様の
ネットワーク スループットの上限
や VM 間レイテンシの恩恵を受けられます。これは、VM と VPN、さらにはロード バランサと VM の通信においても同様です。
例として、単一の外部向けウェブ アプリケーション サーバーを考えてみましょう。そのアプリケーション サーバーは、パーソナライゼーションやレコメンデーション、アナリティクスなどのサービスを使っており、すべては内部で利用可能になっているものの、異なる開発チームが構築したものとします。
Shared VPC 設定における接続形態の例
このような仮想ネットワークを自社で設計するときの推奨パターンを見ていきましょう。
Shared VPC 管理者の役割
共有ホスト プロジェクトのネットワーク管理者は、組織内で
Shared VPC 管理者の役割
も担う必要があります。そうすることで単一の中央グループが、Shared VPC のホスト プロジェクトにリンクされた新たなサービス プロジェクトを設定できるようになります。また同時に、個々のサブネットワークを共有ネットワーク内にセットアップし、特定のサービス プロジェクトの管理者が利用する IP 範囲を設定することもできます。通常、これらの管理者はサービス プロジェクトの
インスタンス管理者という役割
を有します。
サブネットワークの USE 権限
サービス プロジェクトを共有ネットワークに接続するときは、サービス プロジェクトの管理者に対して、リージョンごとに 1 つ(または複数)のサブネットワーク上における compute.subnetworks.use の権限を(
ネットワーク ユーザーの役割
を通じて)与えることをお勧めします。こうすることで、サブネットワークが単一のサービス プロジェクトで利用されることになります。
これにより、組織内の異なるチームがサブネットワークをきれいに分けて利用できるようになります。将来的には、どのサービス プロジェクトを利用しているかに応じて、各サブネットワークに特定のネットワーク ポリシーを関連づけることも可能でしょう。
サブネットワークの IP 範囲
同一もしくは異なるリージョンにおいてサブネットワークの IP アドレス範囲を設定するときは、今後の拡張に備えて、サブネットワーク間に十分な IP スペースを確保しておきましょう。GCP の場合、仮想ネットワーク内の既存 VM が所有する IP アドレスに影響を与えずに、またダウンタイムを発生させることもなく、
既存のサブネットワークを拡張
できます。
Shared VPC とフォルダ
組織内で作成したプロジェクトを管理するにあたって
フォルダ
を利用する場合は、Shared VPC セットアップのホスト プロジェクトとサービス プロジェクトをすべて同一フォルダに配置してください。ホスト プロジェクトの親フォルダは、サービス プロジェクトの親の階層に配置しておく必要があります。
こうすることで、ホスト プロジェクトの親フォルダに Shared VPC セットアップ内のすべてのプロジェクトが含まれることになります。サービス プロジェクトとホスト プロジェクトを関連づける場合は、今後これらのプロジェクトが別フォルダに移動しないようにしつつ、ホスト プロジェクトとリンクした状態を保つようにしてください。
外部アクセスの制御
パブリック IP を保有するためインターネットにアクセスできる VM を制御し制限するには、VM の
外部 IP アクセスを無効にする組織ポリシーの設定
が効果的です。これは、パーソナライゼーションやレコメンデーション、アナリティクス サービスなど、上記で挙げた例のように内部アクセスだけで進めるプロジェクトに対してのみ適用しましょう。
以上のように、Shared VPC は組織にとって GCP をより柔軟に管理しやすくする強力なツールです。Shared VPC の詳細については
こちらのドキュメント
を参照してください。
* この投稿は米国時間 6 月 7 日、Staff Software Engineer である Neha Pattan によって投稿されたもの(投稿は
こちら
)の抄訳です。
- By Neha Pattan, Staff Software Engineer
0 件のコメント :
コメントを投稿
12 か月間のトライアル
300 ドル相当が無料になるトライアルで、あらゆる GCP プロダクトをお試しいただけます。
Labels
.NET
.NET Core
.NET Core ランタイム
.NET Foundation
#gc-inside
#GoogleCloudSummit
#GoogleNext18
#inevitableja
Access Management
Access Transparency
Advanced Solutions Lab
AI
AI Hub
AlphaGo
Ansible
Anvato
Apache Beam
Apache Maven
Apache Spark
API
Apigee
APIs Explore
App Engine
App Engine Flex
App Engine flexible
AppArmor
AppEngine
AppScale
AprilFool
AR
Artifactory
ASL
ASP.NET
ASP.NET Core
Attunity
AutoML Vision
AWS
Big Data
BigQuery
BigQuery Data Transfer Service
Billing Alerts
Bime by Zendesk
Bitbucket
Borg
BOSH Google CPI
Bower
bq_sushi
BreezoMeter
BYOSL
Capacitor
Chromium OS
Client Libraries
Cloud API
Cloud Armor
Cloud Audit Logging
Cloud AutoML
Cloud Bigtable
Cloud Billing Catalog API
Cloud Billing reports
Cloud CDN
Cloud Client Libraries
Cloud Console
Cloud Consoleアプリ
Cloud Container Builder
Cloud Dataflow
Cloud Dataflow SDK
Cloud Datalab
Cloud Dataprep
Cloud Dataproc
Cloud Datastore
Cloud Debugger
Cloud Deployment Manager
Cloud Endpoints
Cloud Foundry
Cloud Foundry Foundation
Cloud Functions
Cloud Healthcare API
Cloud IAM
Cloud IAP
Cloud Identity
Cloud IoT Core
Cloud Jobs API
Cloud KMS
Cloud Launcher
Cloud Load Balancing
Cloud Machine Learning
Cloud Memorystore
Cloud Memorystore for Redis
Cloud monitoring
Cloud NAT
Cloud Natural Language API
Cloud Networking
Cloud OnAir
Cloud OnBoard
cloud Pub/Sub
Cloud Resource Manager
Cloud Resource Manager API
Cloud SCC
Cloud SDK
Cloud SDK for Windows
Cloud Security Command Center
Cloud Services Platform
Cloud Source Repositories
Cloud Spanner
Cloud Speech API
Cloud Speech-to-Text
Cloud SQL
Cloud Storage
Cloud Storage FUSE
Cloud Tools for PowerShell
Cloud Tools PowerShell
Cloud TPU
Cloud Translation
Cloud Translation API
Cloud Virtual Network
Cloud Vision
Cloud VPC
CloudBerry Backup
CloudBerry Lab
CloudConnect
CloudEndure
Cloudflare
Cloudian
CloudML
Cluster Federation
Codefresh
Codelabs
Cohesity
Coldline
Colossus
Compute Engine
Compute user Accounts
Container Engine
Container Registry
Container-Optimized OS
Container-VM Image
Couchbase
CRE
CSEK
Customer Reliability Engineering
Data Studio
Databases
Dbvisit
DDoS
Debugger
Dedicated Interconnect
deep learning
Deployment Manager
Developer Console
Developers
DevOps
Dialogflow
Disney
DLP API
Docker
Dockerfile
Drain
Dreamel
Eclipse
Eclipse Orion
Education Grants
Elasticsearch
Elastifile
Energy Sciences Network
Error Reporting
ESNet
Evernote
FASTER
Fastly
Firebase
Firebase Analytics
Firebase Authentication
Flexible Environment
Forseti Security
G Suite
Gartner
gcloud
GCP
GCP Census
GCP 移行ガイド
GCPUG
GCP導入事例
gcsfuse
GEO
GitHub
GitLab
GKE
Go
Go 言語
Google App Engine
Google Apps
Google Certified Professional - Data Engineer
Google Cloud
Google Cloud Certification Program
Google Cloud Client Libraries
Google Cloud Console
Google Cloud Dataflow
Google Cloud Datalab
Google Cloud Datastore
Google Cloud Endpoints
Google Cloud Explorer
Google Cloud Identity and Access Management
Google Cloud INSIDE
Google Cloud INSIDE Digital
Google Cloud Interconnect
Google Cloud Launcher
Google Cloud Logging
Google Cloud Next '18 in Tokyo
Google Cloud Platform
Google Cloud Resource Manager
Google Cloud Security Scanner
Google Cloud Shell
Google Cloud SQL
Google Cloud Storage
Google Cloud Storage Nearline
Google Cloud Summit '18
Google Cloud Summit ’18
Google Cloud Tools for IntelliJ
Google Code
Google Compute Engine
Google Container Engine
Google Data Analytics
Google Data Studio
Google Date Studio
Google Deployment Manager
Google Drive
Google Earth Engine
Google Genomics
Google Kubernetes Engine
Google maps
google maps api
Google Maps APIs
Google Maps Platform
Google SafeSearch
Google Service Control
Google Sheets
Google Slides
Google Translate
Google Trust Services
Google VPC
Google マップ
Google 公認プロフェッショナル
GoogleNext18
GPU
Gradle
Grafeas
GroupBy
gRPC
HA / DR
Haskell
HEPCloud
HIPAA
Horizon
HTCondor
IaaS
IAM
IBM
IBM POWER9
icon
IERS
Improbable
INEVITABLE ja night
inevitableja
InShorts
Intel
IntelliJ
Internal Load Balancing
Internet2
IoT
Issue Tracker
Java
Jenkins
JFrog
JFrog Artifactory SaaS
Jupiter
Jupyter
Kayenta
Khan Academy
Knative
Komprise
kubefed
Kubeflow Pipelines
Kubernetes
KVM
Landsat
load shedding
Local SSD
Logging
Looker
Machine Learning
Magenta
Managed Instance Group
Managed Instance Group Updater
Maps API
Maps-sensei
Mapsコーナー
Maven
Maxon Cinema 4D
MightyTV
Mission Control
MongoDB
MQTT
MySQL
Nearline
Network Time Protocol
Networking
neural networks
Next
Node
NoSQL
NTP
NuGet パッケージ
OCP
OLDISM
Open Compute Project
OpenCAPI
OpenCAPI Consortium
OpenShift Dedicated
Orbitera
Organization
Orion
Osaka
Paas
Panda
Particle
Partner Interconnect
Percona
Pete's Dragon
Pivotal
Pivotal Cloud Foundry
PLCN
Podcast
Pokemon GO
Pokémon GO
Poseidon
Postgre
PowerPoint
PowerShell
Protocol Buffers
Puppet
Pythian
Python
Rails
Raspberry Pi
Red Hat
Redis
Regional Managed Instance Groups
Ruby
Rust
SC16
ScaleArc
Secure LDAP
Security & Identity
Sentinel-2
Service Broker
Serving Websites
Shared VPC
SideFX Houdini
SIGOPS Hall of Fame Award
Sinatra
Site Reliability Engineering
Skaffold
SLA
Slack
SLI
SLO
Slurm
Snap
Spaceknow
SpatialOS
Spinnaker
Spring
SQL Server
SRE
SSL policies
Stack Overflow
Stackdriver
Stackdriver Agent
Stackdriver APM
Stackdriver Debugger
Stackdriver Diagnostics
Stackdriver Error Reporting
Stackdriver Logging
Stackdriver Monitoring
Stackdriver Trace
Stanford
Startups
StatefulSets
Storage & Databases
StorReduce
Streak
Sureline
Sysbench
Tableau
Talend
Tensor Flow
Tensor Processing Unit
TensorFlow
Terraform
The Carousel
TPU
Trace
Transfer Appliance
Transfer Service
Translate API
Uber
Velostrata
Veritas
Video Intelligence API
Vision API
Visual Studio
Visualization
Vitess
VM
VM Image
VPC Flow Logs
VR
VSS
Waze
Weave Cloud
Webyog
Wide and Deep
Windows Server
Windows ワークロード
Wix
Worlds Adrift
Xplenty
Yellowfin
YouTube
Zaius
Zaius P9 Server
Zipkin
ZYNC Render
アーキテクチャ図
イベント
エラーバジェット
エンティティ
オンライン教育
クラウド アーキテクト
クラウド移行
ゲーム
コードラボ
コミュニティ
コンテスト
コンピューティング
サーバーレス
サポート
ジッター
ショート動画シリーズ
スタートガイド
ストレージ
セキュリティ
セミナー
ソリューション ガイド
ソリューション: メディア
データ エンジニア
データセンター
デベロッパー
ビッグデータ
ファジング
プリエンプティブル GPU
プリエンプティブル VM
フルマネージド
ヘルスケア
ホワイトペーパー
マイクロサービス
まっぷす先生
マルチクラウド
リージョン
ロード シェディング
運用管理
可用性
海底ケーブル
機械学習
金融
継続的デリバリ
月刊ニュース
資格、認定
新機能、アップデート
深層学習
人気記事ランキング
内部負荷分散
認定試験
料金
Archive
2018
12
11
10
9
8
7
6
5
4
3
2
1
2017
12
11
10
9
8
7
6
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
1
2014
12
11
10
9
8
6
5
4
3
2
Feed
月刊ニュースレターに
登録
新着ポストをメールで受け取る
Google
on
Follow @GoogleCloud_jp
0 件のコメント :
コメントを投稿