GSP911

概要

Network Connectivity Center（NCC）では、Google ネットワークを活用して Google Cloud 外部のさまざまなエンタープライズ ネットワークを結び付け、企業がグローバル規模のリーチと高い信頼性を迅速に実現できるようにします。Google 以外のネットワーク間のトラフィックはデータ転送トラフィックと呼ばれます。これは、Cloud VPN、Dedicated Interconnect、Partner Interconnect などの既存の標準クラウド ネットワーク接続リソースを使用することで実現できます。

このラボでは、Google のバックボーン ネットワークを使用して、Google 以外の 2 つのネットワーク間でトラフィックをルーティングする中継ハブとして NCC を設定するプロセスを説明します。

アーキテクチャ

NCC はハブ アンド スポーク リソースで構成されます。

ハブ

ハブは、複数の接続されたスポークを支えるグローバルな Google Cloud リソースです。ハブを使用すると、スポーク同士を簡単に接続できるようになり、スポーク間のデータ転送が可能になります。また、接続されたスポークを通じて、異なるオンプレミス ロケーションと Virtual Private Cloud（VPC）ネットワーク間のデータ転送が実現されます。

スポーク

スポークは、ハブに接続された Google Cloud ネットワーク リソースです。なお、スポークはハブの一部であり、先にハブが作成されていなければ作成できません。スポークによって、リモート ネットワークのアドレス ブロックにトラフィックが転送され、複数のリモート ネットワークの接続が可能になります。

スポークは次のいずれかのタイプになります。

• HA VPN トンネル
• VLAN アタッチメント
• お客様または特定のパートナーが Google Cloud 内にデプロイしているルーター アプライアンス インスタンス

次のネットワーク トポロジは、地理的に離れた 2 つの場所に支店を持つお客様の典型的なデプロイに似ています。このラボでは、 および 内の 2 つの VPC（vpc-a と vpc-b）をそれぞれ支店としてシミュレートします。

これらの支店は、HA VPN のペアを終端する中央ハブの VPC（vpc-transit）に接続されています。これらの VPN は、支店に最も近いリージョン内で構成されています。実際には、これらの VPN は相互接続を使用して置き換えることができます。

vpc-transit ネットワーク内に NCC ハブを構成し、HA VPN トンネルをスポークとして使用して遠隔地にある 2 つの支店を接続します。

このラボの達成目標は次のとおりです。

1. vpc-transit というハブ VPC を作成する。
2. 遠隔地にある vpc-a と vpc-b という 2 つの支店の VPC を作成する。
3. vpa-a から vpc-transit、および vpc-b から vpc-transit への HA VPN を作成する。
4. NCC ハブリソースを作成し、HA VPN をスポークとして接続する。
5. 遠隔地の支店の VPC に VM をデプロイして、設定をエンドツーエンドでテストする。

前提条件

• Google VPC ネットワーキングと Compute Engine に関する基本的な知識。
• ネットワーキング（基礎編）と VPC ネットワーキング: Cloud HA-VPN のラボを完了していると、手順を進める上で役立ちます。

タスク 1. vpc-transit を作成する

1. Google Cloud コンソールの右上のツールバーにある [Cloud Shell をアクティブにする] ボタンをクリックし、次のコマンドを実行してデフォルト ネットワークを削除します。

gcloud compute networks delete default

2. Google Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] に移動します。
3. [VPC ネットワークを作成] をクリックします。
4. ネットワークの名前「vpc-transit」を入力します。
5. vpc-transit のサブネットを作成する必要はないため、[新しいサブネット] の横にある [削除] をクリックします。
6. VPC ネットワークの動的ルーティング モードとして [グローバル] を選択します。

注: 動的ルーティングの詳細については、動的ルーティング モードに関するドキュメントをご覧ください。

6. [作成] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

vpc-transit ネットワークを作成する

タスク 2. 遠隔地の支店の VPC を作成する

1. Google Cloud コンソールのナビゲーション メニューで、[VPC ネットワーク] に移動します。

2. [VPC ネットワークを作成] をクリックします。

3. ネットワークの名前に「vpc-a」と入力します。

4. [サブネット作成モード] で [カスタム] を選択します。

5. [新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。

   • サブネットの名前: vpc-a-sub1-use4。
   • リージョン: 。
   • IP アドレス範囲: 10.20.10.0/24。これはサブネットのプライマリ IP 範囲です。

6. [完了] をクリックします。

7. VPC ネットワークの動的ルーティング モードとして [リージョン] を選択します。

8. [作成] をクリックします。

9. 2 つ目の遠隔地の支店の VPC を追加するには、[VPC ネットワークを作成] をクリックします。

10. ネットワークの名前に「vpc-b」と入力します。

11. [サブネット作成モード] で [カスタム] を選択します。

12. [新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。

13. サブネットの名前に「vpc-b-sub1-usw2」を指定します。

14. リージョンに [] を選択します。

15. IP アドレス範囲「10.20.20.0/24」を入力します。

16. [完了] をクリックします。

17. VPC ネットワークの動的ルーティング モードとして [リージョン] を選択します。

18. [作成] をクリックします。

これで、VPC ネットワーク コンソールに次のような 3 つの VPC がすべて表示されるようになりました。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

遠隔地にある支店の VPC（vpc-a と vpc-b）を作成する

タスク 3. 遠隔地の支店の VPC と中継ハブの VPC の間に HA VPN を構成する

注: このラボでは、遠隔地の支店を Google Cloud VPC としてシミュレートするため、記載されている手順を使用して Google Cloud ネットワーク間に HA VPN を作成します。

実際の実装で HA VPN を使用して支店に接続している場合は、次に示す手順を、ピア VPN ゲートウェイへの HA VPN ゲートウェイを作成する手順に置き換えることができます。

このセクションでは、遠隔地にある支店の VPC（vpc-a と vpc-b）と中継ハブの VPC（vpc-transit）の間に HA VPN を構成します。HA VPN は、Google Cloud とピア ネットワークの間でルートを動的に交換する際に BGP を使用します。HA VPN を構成する前に、各 VPC ネットワークに関連する Cloud Router を作成する必要があります。

注: Cloud Router の詳細については、Cloud Router の概要に関するドキュメントをご覧ください。

ステップ 1: Cloud Router を作成する

VPC ごとに新しい Cloud Router を作成するには、次の情報を指定します。

1. Google Cloud コンソールのタイトルバーにある検索フィールドに「Network Connectivity」と入力し、[検索結果] で [Network Connectivity] をクリックします。
2. [Network Connectivity] の横にある固定アイコンをクリックします。
3. [Cloud Router] を選択し、[ルーターを作成] をクリックします。
4. 名前に「cr-vpc-transit-use4-1」と入力します。
5. ネットワークとして [vpc-transit] を選択します。
6. リージョンとして [] を選択します。
7. [Cloud Router の ASN] に「65000」と入力します。
8. [Cloud Router に表示されるすべてのサブネットにアドバタイズ（デフォルト）] を選択します。
9. [作成] をクリックします。
10. 上記の手順に沿って、次の詳細を使用して追加の Cloud Router を作成します。

名前	ネットワーク	リージョン	Cloud Router の ASN
cr-vpc-transit-usw2-1	vpc-transit		65000
cr-vpc-a-use4-1	vpc-a		65001
cr-vpc-b-usw2-1	vpc-b		65002

ステップ 2: HA VPN ゲートウェイを作成する

次の手順で、 リージョンの vpc-transit ネットワーク内に HA VPN ゲートウェイを作成します。

1. ナビゲーション メニューで [Network Connectivity] に移動し、[VPN] を選択します。
2. [VPN 接続を作成] をクリックします。
3. [高可用性（HA）VPN] を選択します。
4. [続行] をクリックします。
5. VPN ゲートウェイ名として「vpc-transit-gw1-use4」を指定します。
6. [ネットワーク] で [vpc-transit] を選択します。
7. [リージョン] として [] を選択します。
8. [作成して続行] をクリックします。

注: VPN トンネルを追加する前に、追加の VPN ゲートウェイを作成する必要があります。

9. [VPN トンネルの追加] ページで、[キャンセル] をクリックします。
10. [Cloud VPN ゲートウェイ] を選択し、[VPN ゲートウェイの作成] をクリックします。
11. 上記の手順に沿って、次の詳細を使用して追加の VPN ゲートウェイを作成します。

VPN ゲートウェイの名前	VPC ネットワーク	リージョン
vpc-transit-gw1-usw2	vpc-transit
vpc-a-gw1-use4	vpc-a
vpc-b-gw1-usw2	vpc-b

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

Cloud Router と HA VPN ゲートウェイを作成する

ステップ 3: vpc-transit と vpc-a の間に VPN トンネルのペアを作成する

vpc-transit から vpc-a への VPN トンネルを追加する

次の手順を使用して VPN トンネルのペアを作成します。

1. [VPN] ページで [Cloud VPN ゲートウェイ] をクリックし、[vpc-transit-gw1-use4] を選択します。

2. [VPN トンネルの追加] をクリックします。

3. [ピア VPN ゲートウェイ] で、[Google Cloud VPN ゲートウェイ] を選択します。

4. ラボに関連付けられているプロジェクト ID を選択します。

5. リモート VPN ゲートウェイ vpc-a-gw1-use4 を選択します。

6. 高可用性を実現するために、[VPN トンネルのペアを作成する] を選択します。

7. Cloud Router cr-vpc-transit-use4-1 を選択します。

8. VPN トンネルをクリックして、トンネルの詳細を入力します。

   • Cloud VPN および関連付けられたピア VPN ゲートウェイのインターフェース情報が事前入力されています。
   • 名前: transit-to-vpc-a-tu1
   • IKE バージョン: IKEv2
   • IKE 事前共有キー: gcprocks

9. [完了] をクリックします。

10. 2 番目のトンネルに手順を繰り返します。

    • 名前: transit-to-vpc-a-tu2
    • IKE バージョン: IKEv2
    • IKE 事前共有キー: gcprocks

11. [完了] をクリックします。

12. [作成して続行] をクリックします。

vpc-transit から vpc-a への構成済み VPN トンネルごとに BGP セッションを追加します。

次の手順では、VPN トンネル transit-to-vpc-a-tu1 の BGP セッションを構成します。

1. [transit-to-vpc-a-tu1 の BGP セッションを構成] をクリックします。
   • BGP セッション名: transit-to-vpc-a-bgp1
   • ピア ASN: 65001
   • BGP IPv4 アドレスの割り振り: 手動
   • Cloud Router の BGP IPv4 アドレス: 169.254.1.1
   • BGP ピアの IPv4 アドレス: 169.254.1.2
2. [保存して次へ] をクリックします。

• 手順を繰り返して、VPN トンネル transit-to-vpc-a-tu2 の BGP セッションを構成します。

3. [transit-to-vpc-a-tu2 の BGP セッションを構成] をクリックします。

• BGP セッション名: transit-to-vpc-a-bgp2
• ピア ASN: 65001
• BGP IPv4 アドレスの割り振り: 手動
• Cloud Router の BGP IPv4 アドレス: 169.254.1.5
• BGP ピアの IPv4 アドレス: 169.254.1.6

4. [保存して次へ] をクリックします。
5. [BGP 構成を保存] をクリックします。
6. [OK] をクリックします。

vpc-a から vpc-transit への VPN トンネルを追加する

次の手順を使用して、vpc-a から vpc-transit への VPN トンネルのペアを作成し、双方向トンネルの構成を完了します。

1. [VPN] ページで、[Cloud VPN ゲートウェイ] [vpc-a-gw1-use4] を選択します。

2. [VPN トンネルの追加] をクリックします。

3. [ピア VPN ゲートウェイ] で、[Google Cloud VPN ゲートウェイ] を選択します。

4. ラボに関連付けられているプロジェクト ID を選択します。

5. リモート VPN ゲートウェイ vpc-transit-gw1-use4 を選択します。

6. 高可用性を実現するために、[VPN トンネルのペアを作成する] を選択します。

7. Cloud Router cr-vpc-a-use4-1 を選択します。

8. VPN トンネルをクリックして、トンネルの詳細を入力します。

   • Cloud VPN とピア VPN ゲートウェイのインターフェース情報は事前に入力されている必要があります。
   • 名前: vpc-a-to-transit-tu1
   • IKE バージョン: IKEv2
   • IKE 事前共有キー: gcprocks

9. [完了] をクリックします。

10. 2 番目のトンネルに手順を繰り返します。

    • 名前: vpc-a-to-transit-tu2
    • IKE バージョン: IKEv2
    • IKE 事前共有キー: gcprocks

11. [完了] をクリックします。

12. [作成して続行] をクリックします。

vpc-a から vpc-transit への構成済み VPN トンネルごとに BGP セッションを追加する

次の手順では、VPN トンネル transit-to-vpc-a-tu1 の BGP セッションを構成します。

1. [vpc-a-to-transit-tu1 の BGP セッションを構成] をクリックします。
   • BGP セッション名: vpc-a-to-transit-bgp1
   • ピア ASN: 65000
   • BGP IPv4 アドレスの割り振り: 手動
   • Cloud Router の BGP IPv4 アドレス: 169.254.1.2
   • BGP ピアの IPv4 アドレス: 169.254.1.1
2. [保存して次へ] をクリックします。

手順を繰り返して、VPN トンネル transit-to-vpc-a-tu2 の BGP セッションを構成します。

3. [vpc-a-to-transit-tu2 の BGP セッションを構成] をクリックします。
   • BGP セッション名: vpc-a-to-transit-bgp2
   • ピア ASN: 65000
   • BGP IPv4 アドレスの割り振り: 手動
   • Cloud Router の BGP IPv4 アドレス: 169.254.1.6
   • BGP ピアの IPv4 アドレス: 169.254.1.5
4. [保存して次へ] をクリックします。
5. [BGP 構成を保存] をクリックします。
6. [OK] をクリックします。

この手順が完了すると、VPN トンネルのステータスは [確立済み]、BGP のステータスは [BGP が確立されました] になります。

ステップ 4: vpc-transit と vpc-b の間に VPN トンネルのペアを作成する

• 上記の手順（手順 3）を繰り返し、次の詳細を使用して vpc-transit ネットワークと vpc-b ネットワークの間に双方向 HA VPN トンネルを作成します。

vpc-transit から vpc-b への VPN トンネルを追加する

ピア VPN ゲートウェイの名前	vpc-b-gw1-usw2
Cloud Router	cr-vpc-transit-usw2-1
VPN トンネル 1	transit-to-vpc-b-tu1
事前共有キー	gcprocks
VPN トンネル 2	transit-to-vpc-b-tu2
事前共有キー	gcprocks

vpc-transit から vpc-b への構成済み VPN トンネルごとに BGP セッションを追加する

トンネル transit-to-vpc-b-tu1 の BGP セッション:

BGP セッション	transit-to-vpc-b-bgp1
ピア ASN	65002
Cloud Router の BGP IPv4 アドレス	169.254.1.9
BGP ピア IPv4 アドレス	169.254.1.10

トンネル transit-to-vpc-b-tu2 の BGP セッション:

BGP セッション	transit-to-vpc-b-bgp2
ピア ASN	65002
Cloud Router の BGP IPv4 アドレス	169.254.1.13
BGP ピア IPv4 アドレス	169.254.1.14

vpc-b から vpc-transit への VPN トンネルを追加する

ピア VPN ゲートウェイの名前	vpc-transit-gw1-usw2
Cloud Router	cr-vpc-b-usw2-1
VPN トンネル 1	vpc-b-to-transit-tu1
事前共有キー	gcprocks
VPN トンネル 2	vpc-b-to-transit-tu2
事前共有キー	gcprocks

vpc-b から vpc-transit への構成済み VPN トンネルごとに BGP セッションを追加する

トンネル vpc-b-to-transit-tu1 の BGP セッション:

BGP セッション	vpc-b-to-transit-bgp1
ピア ASN	65000
Cloud Router の BGP IPv4 アドレス	169.254.1.10
BGP ピア IPv4 アドレス	169.254.1.9

トンネル vpc-b-to-transit-tu2 の BGP セッション:

BGP セッション	vpc-b-to-transit-bgp2
ピア ASN	65000
Cloud Router の BGP IPv4 アドレス	169.254.1.14
BGP ピア IPv4 アドレス	169.254.1.13

ステップ 5: VPN ページで VPN 接続のすべてのステータスを確認する

• ページを下にスクロールして、すべての接続が正常であることを確認します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

vpc-transit と vpc-a および vpc-b の間に VPN トンネルのペアを作成する

タスク 4. NCC ハブ リソースを作成し、HA VPN をスポークとして接続する

このセクションでは、VPC を作成し、その VPC 内に 2 つのサブネットを作成します。この作業は、Google Cloud Shell 内で gcloud CLI コマンドを使用するだけで完了します。

Network Connectivity Center のタスクを行う前に、Network Connectivity API を有効にする必要があります。

1. ナビゲーション メニューで、[API とサービス] を検索します。
2. [ライブラリ] をクリックし、「Network Connectivity API」を検索します。
3. [Network Connectivity API] を選択します。

4. [有効にする] をクリックします。

5. このラボでは、gcloud コマンドを使用して Network Connectivity Center を構成します。Cloud Shell が gcloud コマンドを実行できるように承認するには、[Cloud Shell をアクティブにする]（）をクリックして Google Cloud Shell を開きます。

6. 次のコマンドを実行して、アクティブなアカウント名を一覧表示します。

gcloud auth list

7. [承認] をクリックします。

ステップ 1: NCC ハブを作成する

• テキスト ボックスの右上にある「クリップボード」アイコンをクリックすると、内容をコピーできます。

gcloud alpha network-connectivity hubs create transit-hub \ --description=Transit_hub

ステップ 2: 支店 1 のスポークを作成する

• テキスト ボックスの右上にある「クリップボード」アイコンをクリックすると、内容をコピーできます。

gcloud alpha network-connectivity spokes create bo1 \ --hub=transit-hub \ --description=branch_office1 \ --vpn-tunnel=transit-to-vpc-a-tu1,transit-to-vpc-a-tu2 \ --region={{{project_0.default_region_1 | Region 1 }}}

ステップ 3: 支店 2 のスポークを作成する

• テキスト ボックスの右上にある「クリップボード」アイコンをクリックすると、内容をコピーできます。

gcloud alpha network-connectivity spokes create bo2 \ --hub=transit-hub \ --description=branch_office2 \ --vpn-tunnel=transit-to-vpc-b-tu1,transit-to-vpc-b-tu2 \ --region={{{project_0.default_region_2 | Region 2 }}}

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

NCC ハブ リソースを作成し、HA VPN をスポークとして接続する

タスク 5. 遠隔地の支店の VPC に VM をデプロイして、設定をエンドツーエンドでテストする

ハブとスポークの構成が完了すると、branch office1 の仮想マシン（VM）インスタンスから branch office2 の VM インスタンスにトラフィックを渡せるようになります。これを行うには、vpc-a に vpc-a-vm-1 を、vpc-b に vpc-b-vm-1 をそれぞれ作成します。

まず、上り（内向き）の SSH トラフィックと ICMP トラフィックを許可するために、ファイアウォール ルールを作成します（vpc-a-sub1-use4 サブネット内の vpc-a-vm-1 用の fw-a と、vpc-b-sub1-usw2 サブネット内の vpc-b-vm-1 用の fw-b）。

ステップ 1: vpc-a のファイアウォール ルールを作成する

1. Cloud Platform Console 画面の左上のナビゲーション メニュー（）をクリックします。

2. [VPC ネットワーク] > [ファイアウォール] に移動します。

3. [ファイアウォール ルールを作成] をクリックし、図のように詳細を指定します。

4. 同様に、vpc-b 用のファイアウォール ルール fw-b を作成します。

ステップ 2: vpc-a に VM を作成する

1. Cloud コンソールのナビゲーション メニュー（☰）で、[Compute Engine] > [VM インスタンス] をクリックし、[インスタンスを作成] をクリックします。

注: 最初に初期化する際は 1 分ほどかかることがあります。

新しいインスタンスの作成時に構成できるパラメータは多数ありますが、このラボでは以下を使用します。

2. [マシンの構成] を参照します。

   次のフィールドに値を入力します。

   フィールド	値
   名前	vpc-a-vm-1
   リージョン
   ゾーン
   シリーズ	E2
   マシン	e2-medium

3. [OS とストレージ] をクリックします。

   [変更] をクリックしてブートディスクの構成を開始し、次の値を選択します。

   フィールド	値
   オペレーティング システム	Debian
   バージョン	Debian GNU/Linux 11（bullseye）x86/64
   ブートディスクの種類	balanced persistent disk
   サイズ（GB）	10 GB

4. [ネットワーキング] をクリックします。

   • [ネットワーク インターフェース]: [default] をクリックして編集します。
     • [ネットワーク]: vpc-a
     • [サブネットワーク]: vpc-a-sub1-use4

5. すべてのセクションを構成したら、下にスクロールして [作成] をクリックし、新しい仮想マシン インスタンスを起動します。

注: インスタンスは非同期で作成されます。右上の [アクティビティ] アイコンを使用して、タスクのステータスを確認できます。完了するまで 1 分ほどお待ちください。注: VM の作成時にエラーが発生した場合は、[詳細] をクリックします。ほとんどの場合、別のゾーンでやり直す必要があります。

完了すると、[VM インスタンス] ページに新しい仮想マシンが表示されます。

同様に、次のパラメータを使用して vpc-b に別の VM を作成します。

6. [マシンの構成] を参照します。

   次のフィールドに値を入力します。

   フィールド	値
   名前	vpc-b-vm-1
   リージョン
   ゾーン
   シリーズ	E2
   マシン	e2-medium

7. [OS とストレージ] をクリックします。

   [変更] をクリックしてブートディスクの構成を開始し、次の値を選択します。

   フィールド	値
   オペレーティング システム	Debian
   バージョン	Debian GNU/Linux 11（bullseye）x86/64
   ブートディスクの種類	balanced persistent disk
   サイズ（GB）	10 GB

8. [ネットワーキング] をクリックします。

   • [ネットワーク インターフェース]: [default] をクリックして編集します。
     • [ネットワーク]: vpc-b
     • [サブネットワーク]: vpc-b-sub1-usw2

9. すべてのセクションを構成したら、下にスクロールして [作成] をクリックし、新しい仮想マシン インスタンスを起動します。

完了すると、[VM インスタンス] ページに 2 つの仮想マシンが表示されます。

10. vpc-b-vm-1 の内部 IP をコピーします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

遠隔地にある支店の VPC 内に VM を作成する

ステップ 3: ping コマンドを実行し、NCC トランジット経由の bo2 への接続を確認する

エンドツーエンドの接続を確認するには、次の手順を使用して vpc-a-vm-1 と vpc-b-vm-1 の間で ping テストを実行します。

1. vpc-a-vm-1 の右側にある [SSH] をクリックして、vpc-a-vm-1 に SSH 接続します。これによって、ブラウザから直接 SSH クライアントを起動できます。

注: 仮想マシンに SSH 接続することもできます。SSH の詳細については、インスタンスへの SSH 接続に関するドキュメントをご覧ください。

2. vpc-a-vm-1 から vpc-b-vm-1 の内部 IP に ping テストを実行します。

3. テキスト ボックスの右上にある「クリップボード」アイコンをクリックすると、内容をコピーできます。

ping -c 5 <vpc-b-vm-1 の内部 IP アドレス>

お疲れさまでした

これで、Network Connectivity Center を中継ハブとして構成し、HA VPN をスポークとして使用するラボは完了です。

マニュアルの最終更新日: 2025 年 7 月 2 日

ラボの最終テスト日: 2025 年 5 月 16 日

Copyright 2025 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。