ここまできた! Google Cloud Platform Virtual Private Cloud 徹底解説
14 likes3,291 views
Google Cloud Next '17 Tokyoで発表した, Google Cloud Platform の VPC 解説資料です。 https://cloudnext.withgoogle.com/tokyo/schedule#target=google-cloud-platform-virtual-private-cloud-6d2f751b-3dcb-4031-9b75-4c86a4a00597 https://youtu.be/jMQsrEQuhOU
![Private Google Access [GA]
Internet
GCP resource
プライベートな経路
*.googleapis.com
Private RFC 1918 space
Private IP
プロジェクト/
リソース
Webserver-prod
VPC
Storage-prod
プロジェクト/
リソース
GCE/GKE
パブリックな経路](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-21-320.jpg)
![Private Google Access [GA]
● Cloud Monitoring
API
● Dataflow API
● Dataproc API
● Cloud Pub/Sub
API
● Google Analytics
API
● Vision API
● Prediction API
● Genomics API
● Natural Language
API
● Machine Learning
Engine
● Translate API
● BigQuery API
● Cloud Spanner API
● Bigtable API
https://cloud.google.com/compute/docs/private-google-access/private-google-access](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-22-320.jpg)
![複数 NICs [New: Beta]
VPC Producer NetworkVPC Consumer Network
Project
service-prod
Project
customer-prod
Producer
devOps
エンジニア
Consumer
devOps
エンジニア
Consumer 側
セキュリティ
ネットワーク
管理者
組織
example.com
Serving Instance
Compute Engine
Cloud Load
Balancing
Backend
Compute Engine
Producer 側
セキュリティ
ネットワーク
管理者](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-24-320.jpg)
![VPC ネットワークピアリング [Beta]
VPC Producer NetworkVPC Consumer Network
Project
service-prod
Project
customer-prod
Producer
devOps
エンジニア
Consumer
devOps
エンジニア
Consumer 側
セキュリティ
ネットワーク
管理者
組織
example.com
Serving Instance
Compute Engine
Cloud Load
Balancing
Backend
Compute Engine
Producer 側
セキュリティ
ネットワーク
管理者
組織
SaaS.com](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-25-320.jpg)
![共有 VPC ネットワーク
(Shared VPC Networks)
共有 VPC ネットワーク [GA]
Project
Webserver-prod
Project
Analytics-prod
Project
Database-prod
Webserver
devOps
エンジニア
Analytics
devOps
エンジニア
Analytics Backend
Compute Engine
ネットワーク
管理者
Serving Instance
Compute Engine
Cloud Load
Balancing
Database Backend
Compute Engine
Database
devOps
エンジニア
組織
example.com](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-27-320.jpg)
![組織ポリシー サービス [Beta]
プロジェクト
Dev Test Prod
Compute
Engine
App
Engine
Cloud
Storage
Cloud
Pub/Sub
Compute
Engine
Cloud
Storage
instance_a queue_a bucket_a topic_a instance_a bucket_b bucket_c
ポリシー継承
example.com
フォルダ
プロジェクト プロジェクト
組織
フォルダ
プロジェクト
リソース
リソース
外部 IP 付与の制限
シリアルコンソールア
クセス制限
等](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-28-320.jpg)
![Egress ファイアウォール [Beta]
● Ingress と Egress ファイアウォールに対応
● 許可|拒否 ポリシーが設定可能に
● 優先度が設定可能に](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-29-320.jpg)
![Identity-Aware Proxy [Beta]
● Google で研究され、利用された Beyond Corp の思想
● 誰でも簡単に、ユーザ|グループ認可 を追加可能
● GSuite と組み合わせ, 物理セキュリティ キーの二段階認証
● An overview: “A New Approach to Enterprise Security”
● How Google did it: “Design to Deployment at Google”
● Google’s front-end infrastructure: “The Access Proxy”](https://image.slidesharecdn.com/googlecloudplatformvirtualprivatecloud-170620135753/85/Google-Cloud-Platform-Virtual-Private-Cloud-31-320.jpg)
![[Cloud OnAir] Google Cloud で実現するバックアップ ディザスタリカバリのベストプラクティス 2019年4月25日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/0425-190425095700-thumbnail.jpg?width=560&fit=bounds)
![[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/dddddd-180906091548-thumbnail.jpg?width=560&fit=bounds)
![[Cloud OnAir] Google Cloud へのデータ移行 2019年1月24日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/124-190124123019-thumbnail.jpg?width=560&fit=bounds)
![[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!](https://cdn.slidesharecdn.com/ss_thumbnails/pr25-190409082439-thumbnail.jpg?width=560&fit=bounds)
![[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス](https://cdn.slidesharecdn.com/ss_thumbnails/amazonauroratips-170307140000-thumbnail.jpg?width=560&fit=bounds)
![[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/0307-190307093545-thumbnail.jpg?width=560&fit=bounds)
![[Cloud OnAir] Google Cloud Next '18 in London 最新情報 2018年10月18日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/ooooo-181018091804-thumbnail.jpg?width=560&fit=bounds)
More Related Content
What's hot (20)
Similar to ここまできた! Google Cloud Platform Virtual Private Cloud 徹底解説 (20)
![[Cloud OnAir] Anthosで実現するハイブリッドクラウド ? GKE On-Prem編 ? 2019年8月29日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/08292-190829102027-thumbnail.jpg?width=560&fit=bounds)
![[Cloud OnAir] BigQuery へデータを読み込む 2019年3月14日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/0314-190314100128-thumbnail.jpg?width=560&fit=bounds)
![[External] 2021.12.15 コンテナ移行の前に知っておきたいこと @ gcpug 湘南](https://cdn.slidesharecdn.com/ss_thumbnails/external2021-211216025522-thumbnail.jpg?width=560&fit=bounds)
![[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect](https://cdn.slidesharecdn.com/ss_thumbnails/20130904aws-meister-regenerate-vpc-dxvpn-130906043520--thumbnail.jpg?width=560&fit=bounds)
![[AWSマイスターシリーズ] Amazon Virtual Private Cloud (VPC)](https://cdn.slidesharecdn.com/ss_thumbnails/20130828aws-meister-regenerate-vpc-130906043454--thumbnail.jpg?width=560&fit=bounds)
Recently uploaded (11)
ここまできた! Google Cloud Platform Virtual Private Cloud 徹底解説
- 1. ここまできた 徹底解説 Yuta Hono | 寳野 雄太 Cloud Customer Engineer, Google yutah@google.com
- 2. 本スライドに関する注意点 ● 本スライドは 2017 年 6 月 15 日 に開催されたイベントでの発表に使われたものです。 ● 情報は 2017 年 6 月 14 日に基づきます。最新の情報は Google Cloud Platform 公式ドキュメントを参照してください。 ● 発表に関して口頭で補足した内容も多くも有りますので、興味が有る方は youtube 版ビデオを御覧ください。
- 3. 3 Google の Network そのインフラを利用した Google Cloud Platform の ネットワークとは
- 4. Google Cloud Platform におけるネットワーク 負荷分散 コンテンツを配信 クラウドとつなぐ 環境を作る Loadbalancer CDN Interconnect Virtual Private Cloud (VPC)
- 5. Google Cloud Platform におけるネットワーク コンテンツを配信 クラウドとつなぐ 環境を作る Loadbalancer CDN Interconnect Virtual Private Cloud (VPC)
- 6. Virtual Private Cloud(VPC)- 特徴 ● 透過的な プライベート ネットワーク ● 高速な帯域 ● 高い フレキシビリティ ?容易な設定
- 7. 世界規模のインフラストラクチャ Iowa FASTER (US, JP, TW) 2016 Unity (US, JP) 2010 SJC (JP, HK, SG) 2013 4 3 Frankfurt Singapore S Carolina N Virginia Belgium London Taiwan Mumbai Sydney Oregon S?o Paulo Finland Tokyo Montreal California Netherlands 2 3 3 3 3 33 3 2 3 3 3 3 Edge points of presence (>100) Leased and owned fiber # # Future regions and number of zones Current regions and number of zones 3 3 過去 3 年間で $29.4B(約 3 兆 5 千億円)の投資
- 8. 透過的な プライベートネットワーク Virtual Private Cloud asia-northeast1 App Server Compute Engine us-east1 App Server Compute Engine europe-west1 App Server Compute Engine us-east1 App Server Compute Engine
- 9. 高速な帯域 ● Compute Engine Instance : 最大 Throughput 16 Gbps ● Compute Engine チームが定期的に測定 ○ シングルストリーム: 平均で 8.5 Gbps を達成 ○ マルチストリーム: 平均で 15 Gbps を達成 https://cloud.google.com/compute/docs/networks-and-firewalls#egress_throughput_caps
- 10. Google がこのようなインフラを作り上げた理由 ● BigQuery / Dremel 大量のコンピュートリソースを 用い、並列分散処理 ● Spanner 世界中のリージョンをまたいだ レプリケーション, スケールアウト お客様の環境としても非常に強力
- 11. 11 Network Security 機能徹底解説 Google Cloud Platform では どのようにセキュリティを 担保できるのか
- 12. 組織 Virtual Private Cloud 基本コンポーネント 紹介 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing ファイアウォール ルール Routes VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP 外部 IP アドレス
- 13. VPC ネットワーク 透過的な仮想ネットワーク ● PrivateなNW ● リージョンをまたいで構成可 ● Point to Point IPv4 ○ すべての通信はGW経由 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing ファイアウォール ルール Routes VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP 外部 IP アドレス
- 14. サブネット VPC ネットワークを分割 ● RFC 1918 空間で分割 ● リージョンに紐づく 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing ファイアウォール ルール Routes VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP 外部 IP アドレス
- 15. Instance NIC と 内部 IP を持つ ● NIC は 1 つの Subnet に所属 ● 1 つの 内部 IP を持てる 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing ファイアウォール ルール Routes VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP 外部 IP アドレス
- 16. 外部 IP アドレス 柔軟な外部 IP アドレス割当 ● エフェメラルと静的の切替可 ● 事前に静的アドレス予約可 ● 利用: 内部 IP に紐づき NAT 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing 外部 IP アドレス ファイアウォール ルール Routes VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP
- 17. ルート/ クラウド ルーター ネットワーク全体の経路を制御 ● 静的ルート ○ ルートを記述 ● 動的ルート ○ クラウド ルータを作成 ○ BGP を利用 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing 外部 IP アドレス ファイアウォール ルール ルート VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP
- 18. ファイアウォール 簡単に、要件に合わせ制御可能 ● Instance のタグを指定 ● プロトコルとポート ● ソース IP ● ボトルネックにならない ● ステートフル 組織 プロジェクト VPC-Network-01 リージョンA ゾーン ゾーン サブネット Instance NIC 内部 IP Client Load Balancing 外部 IP アドレス ファイアウォール ルール ルート VPC-Network-02 リージョンB ゾーン ゾーン サブネット サブネット Instance NIC 内部 IP Instance NIC 内部 IP Instance NIC 内部 IP
- 19. より、細かい要件にも対応可能に ● Private Google Access ● 複数 NICs ● VPC ネットワークピアリング ● 共有 VPC ネットワーク ● Egress ファイアウォール ● カスタム IAM ロール ● 組織ポリシー サービス ● Identity-Aware Proxy セキュアな VPC ネットワーク クラウドならではのセキュリティ
- 20. VPC-Network-01 1. プライベート空間からも様々なサービスを利用 外部 IP を持たない Instance で Google Cloud Storage BigQuery Cloud Spanner Cloud Bigtable Vision API Cloud PubSub などを 利用したい サブネット Instance NIC 内部 IP 外部 IP アドレス
- 21. Private Google Access [GA] Internet GCP resource プライベートな経路 *.googleapis.com Private RFC 1918 space Private IP プロジェクト/ リソース Webserver-prod VPC Storage-prod プロジェクト/ リソース GCE/GKE パブリックな経路
- 22. Private Google Access [GA] ● Cloud Monitoring API ● Dataflow API ● Dataproc API ● Cloud Pub/Sub API ● Google Analytics API ● Vision API ● Prediction API ● Genomics API ● Natural Language API ● Machine Learning Engine ● Translate API ● BigQuery API ● Cloud Spanner API ● Bigtable API https://cloud.google.com/compute/docs/private-google-access/private-google-access
- 23. 2. 開発したサービスをプライベート空間で提供 外部 IP を持たせずに 開発したマイクロサービスを SaaS サービスを 利用, 提供したい VPC-Network-01 サブネット Instance NIC 内部 IP 外部 IP アドレス サービス
- 24. 複数 NICs [New: Beta] VPC Producer NetworkVPC Consumer Network Project service-prod Project customer-prod Producer devOps エンジニア Consumer devOps エンジニア Consumer 側 セキュリティ ネットワーク 管理者 組織 example.com Serving Instance Compute Engine Cloud Load Balancing Backend Compute Engine Producer 側 セキュリティ ネットワーク 管理者
- 25. VPC ネットワークピアリング [Beta] VPC Producer NetworkVPC Consumer Network Project service-prod Project customer-prod Producer devOps エンジニア Consumer devOps エンジニア Consumer 側 セキュリティ ネットワーク 管理者 組織 example.com Serving Instance Compute Engine Cloud Load Balancing Backend Compute Engine Producer 側 セキュリティ ネットワーク 管理者 組織 SaaS.com
- 26. 組織 プロジェクトA 3. サービスごとにプロジェクトを分割したい 様々な組織がマイクロサービスを 開発する 予算の都合で 権限管理の都合で プロジェクトを分けたい しかし、 プライベート空間で通信させたい インターネット通信は管理したい VPC-Network-01 サブネット 外部 IP アドレス サービスA プロジェクトB VPC-Network-02 サブネット サービスB ?
- 27. 共有 VPC ネットワーク (Shared VPC Networks) 共有 VPC ネットワーク [GA] Project Webserver-prod Project Analytics-prod Project Database-prod Webserver devOps エンジニア Analytics devOps エンジニア Analytics Backend Compute Engine ネットワーク 管理者 Serving Instance Compute Engine Cloud Load Balancing Database Backend Compute Engine Database devOps エンジニア 組織 example.com
- 28. 組織ポリシー サービス [Beta] プロジェクト Dev Test Prod Compute Engine App Engine Cloud Storage Cloud Pub/Sub Compute Engine Cloud Storage instance_a queue_a bucket_a topic_a instance_a bucket_b bucket_c ポリシー継承 example.com フォルダ プロジェクト プロジェクト 組織 フォルダ プロジェクト リソース リソース 外部 IP 付与の制限 シリアルコンソールア クセス制限 等
- 29. Egress ファイアウォール [Beta] ● Ingress と Egress ファイアウォールに対応 ● 許可|拒否 ポリシーが設定可能に ● 優先度が設定可能に
- 30. VPNのセキュリティモデル: ● Trusted なセグメントは信用 ● 接続さえできればシステムにアクセス ● ネットワーク設計の煩雑さ ● ロールベースでアクセス制御するには? ● 外部からアクセスをさせるには? 新しいセキュリティモデルの解は? 4. ネットワークセキュリティだけに頼らない Trusted ネットワークセグメント VPN A : System Xを 利用するユーザ B : System Xを 利用しないユーザ System X ?
- 31. Identity-Aware Proxy [Beta] ● Google で研究され、利用された Beyond Corp の思想 ● 誰でも簡単に、ユーザ|グループ認可 を追加可能 ● GSuite と組み合わせ, 物理セキュリティ キーの二段階認証 ● An overview: “A New Approach to Enterprise Security” ● How Google did it: “Design to Deployment at Google” ● Google’s front-end infrastructure: “The Access Proxy”
- 32. 振り返り: より細かい要件にも対応可能に ● Private Google Access ● 複数 NICs ● VPC ネットワークピアリング ● 共有 VPC ネットワーク ● Egress ファイアウォール ● カスタム IAM ロール ● 組織ポリシー サービス ● Identity-Aware Proxy セキュアな VPC ネットワーク クラウドならではのセキュリティ
- 33. Google Cloud Platform におけるネットワーク Loadbalancer / CDN Interconnect Virtual Private Cloud (VPC)
- 34. Related sessions 世界規模のクラウド ネットワークの 負荷分散、最適化、セキュリティ確保 6/14 5:20pm - See at Youtube ハイブリッド クラウド環境のワークロードをサポー トするクラウド ネットワーキング ソリューション 6/14 4:15pm - See at Youtube