Google Cloud Next '17 Tokyoで発表した, Google Cloud Platform の VPC 解説資料です。 https://cloudnext.withgoogle.com/tokyo/schedule#target=google-cloud-platform-virtual-private-cloud-6d2f751b-3dcb-4031-9b75-4c86a4a00597 https://youtu.be/jMQsrEQuhOU

1. ここまできた
徹底解説
Yuta Hono | 寳野 雄太
Cloud Customer Engineer, Google
yutah@google.com

2. 本スライドに関する注意点
● 本スライドは 2017 年 6 月 15 日 に開催されたイベントでの発表に使われたものです。
● 情報は 2017 年 6 月 14 日に基づきます。最新の情報は Google Cloud Platform 公式ドキュメントを参照してください。
● 発表に関して口頭で補足した内容も多くも有りますので、興味が有る方は youtube 版ビデオを御覧ください。

3. 3
Google の Network
そのインフラを利用した
Google Cloud Platform の
ネットワークとは

4. Google Cloud Platform におけるネットワーク
負荷分散
コンテンツを配信
クラウドとつなぐ 環境を作る
Loadbalancer
CDN
Interconnect
Virtual
Private Cloud
(VPC)

5. Google Cloud Platform におけるネットワーク
コンテンツを配信 クラウドとつなぐ 環境を作る
Loadbalancer
CDN
Interconnect
Virtual
Private Cloud
(VPC)

6. Virtual Private Cloud（VPC）- 特徴
● 透過的な プライベート ネットワーク
● 高速な帯域
● 高い フレキシビリティ ・容易な設定

7. 世界規模のインフラストラクチャ
Iowa
FASTER (US, JP, TW) 2016
Unity (US, JP) 2010
SJC (JP, HK, SG) 2013
4
3
Frankfurt
Singapore
S Carolina
N Virginia
Belgium
London
Taiwan
Mumbai
Sydney
Oregon
São Paulo
Finland
Tokyo
Montreal
California
Netherlands
2
3
3
3
3
33
3
2
3
3
3
3
Edge points of presence (>100)
Leased and owned fiber
#
#
Future regions and number of zones
Current regions and number of zones
3
3
過去 3 年間で $29.4B（約 3 兆 5 千億円）の投資

8. 透過的な プライベートネットワーク
Virtual Private Cloud
asia-northeast1
App Server
Compute Engine
us-east1
App Server
Compute Engine
europe-west1
App Server
Compute Engine
us-east1
App Server
Compute Engine

9. 高速な帯域
● Compute Engine Instance : 最大 Throughput 16 Gbps
● Compute Engine チームが定期的に測定
○ シングルストリーム: 平均で 8.5 Gbps を達成
○ マルチストリーム: 平均で 15 Gbps を達成
https://cloud.google.com/compute/docs/networks-and-firewalls#egress_throughput_caps

10. Google がこのようなインフラを作り上げた理由
● BigQuery / Dremel
大量のコンピュートリソースを
用い、並列分散処理
● Spanner
世界中のリージョンをまたいだ
レプリケーション, スケールアウト
お客様の環境としても非常に強力

11. 11
Network Security
機能徹底解説
Google Cloud Platform では
どのようにセキュリティを
担保できるのか

12. 組織
Virtual Private Cloud
基本コンポーネント
紹介
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス

13. VPC ネットワーク
透過的な仮想ネットワーク
● PrivateなNW
● リージョンをまたいで構成可
● Point to Point IPv4
○ すべての通信はGW経由
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス

14. サブネット
VPC ネットワークを分割
● RFC 1918 空間で分割
● リージョンに紐づく
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス

15. Instance
NIC と 内部 IP を持つ
● NIC は 1 つの Subnet に所属
● 1 つの 内部 IP を持てる
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス

16. 外部 IP アドレス
柔軟な外部 IP アドレス割当
● エフェメラルと静的の切替可
● 事前に静的アドレス予約可
● 利用: 内部 IP に紐づき NAT
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP

17. ルート/
クラウド ルーター
ネットワーク全体の経路を制御
● 静的ルート
○ ルートを記述
● 動的ルート
○ クラウド ルータを作成
○ BGP を利用
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
ルート
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP

18. ファイアウォール
簡単に、要件に合わせ制御可能
● Instance のタグを指定
● プロトコルとポート
● ソース IP
● ボトルネックにならない
● ステートフル
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
ルート
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP

19. より、細かい要件にも対応可能に
● Private Google Access
● 複数 NICs
● VPC ネットワークピアリング
● 共有 VPC ネットワーク
● Egress ファイアウォール
● カスタム IAM ロール
● 組織ポリシー サービス
● Identity-Aware Proxy
セキュアな VPC ネットワーク クラウドならではのセキュリティ

20. VPC-Network-01
1. プライベート空間からも様々なサービスを利用
外部 IP を持たない Instance で
Google Cloud Storage
BigQuery
Cloud Spanner
Cloud Bigtable
Vision API
Cloud PubSub などを
利用したい
サブネット
Instance NIC
内部 IP
外部 IP アドレス

21. Private Google Access [GA]
Internet
GCP resource
プライベートな経路
*.googleapis.com
Private RFC 1918 space
Private IP
プロジェクト/
リソース
Webserver-prod
VPC
Storage-prod
プロジェクト/
リソース
GCE/GKE
パブリックな経路

22. Private Google Access [GA]
● Cloud Monitoring
API
● Dataflow API
● Dataproc API
● Cloud Pub/Sub
API
● Google Analytics
API
● Vision API
● Prediction API
● Genomics API
● Natural Language
API
● Machine Learning
Engine
● Translate API
● BigQuery API
● Cloud Spanner API
● Bigtable API
https://cloud.google.com/compute/docs/private-google-access/private-google-access

23. 2. 開発したサービスをプライベート空間で提供
外部 IP を持たせずに
開発したマイクロサービスを
SaaS サービスを
利用, 提供したい
VPC-Network-01
サブネット
Instance NIC
内部 IP
外部 IP アドレス サービス

24. 複数 NICs [New: Beta]
VPC Producer NetworkVPC Consumer Network
Project
service-prod
Project
customer-prod
Producer
devOps
エンジニア
Consumer
devOps
エンジニア
Consumer 側
セキュリティ
ネットワーク
管理者
組織
example.com
Serving Instance
Compute Engine
Cloud Load
Balancing
Backend
Compute Engine
Producer 側
セキュリティ
ネットワーク
管理者

25. VPC ネットワークピアリング [Beta]
VPC Producer NetworkVPC Consumer Network
Project
service-prod
Project
customer-prod
Producer
devOps
エンジニア
Consumer
devOps
エンジニア
Consumer 側
セキュリティ
ネットワーク
管理者
組織
example.com
Serving Instance
Compute Engine
Cloud Load
Balancing
Backend
Compute Engine
Producer 側
セキュリティ
ネットワーク
管理者
組織
SaaS.com

26. 組織
プロジェクトA
3. サービスごとにプロジェクトを分割したい
様々な組織がマイクロサービスを
開発する
予算の都合で
権限管理の都合で
プロジェクトを分けたい
しかし、
プライベート空間で通信させたい
インターネット通信は管理したい
VPC-Network-01
サブネット
外部 IP アドレス
サービスA
プロジェクトB
VPC-Network-02
サブネット
サービスB
?

27. 共有 VPC ネットワーク
(Shared VPC Networks)
共有 VPC ネットワーク [GA]
Project
Webserver-prod
Project
Analytics-prod
Project
Database-prod
Webserver
devOps
エンジニア
Analytics
devOps
エンジニア
Analytics Backend
Compute Engine
ネットワーク
管理者
Serving Instance
Compute Engine
Cloud Load
Balancing
Database Backend
Compute Engine
Database
devOps
エンジニア
組織
example.com

28. 組織ポリシー サービス [Beta]
プロジェクト
Dev Test Prod
Compute
Engine
App
Engine
Cloud
Storage
Cloud
Pub/Sub
Compute
Engine
Cloud
Storage
instance_a queue_a bucket_a topic_a instance_a bucket_b bucket_c
ポリシー継承
example.com
フォルダ
プロジェクト プロジェクト
組織
フォルダ
プロジェクト
リソース
リソース
外部 IP 付与の制限
シリアルコンソールア
クセス制限
等

29. Egress ファイアウォール [Beta]
● Ingress と Egress ファイアウォールに対応
● 許可|拒否 ポリシーが設定可能に
● 優先度が設定可能に

30. VPNのセキュリティモデル:
● Trusted なセグメントは信用
● 接続さえできればシステムにアクセス
● ネットワーク設計の煩雑さ
● ロールベースでアクセス制御するには?
● 外部からアクセスをさせるには?
新しいセキュリティモデルの解は?
4. ネットワークセキュリティだけに頼らない
Trusted ネットワークセグメント
VPN
A : System Xを
利用するユーザ
B : System Xを
利用しないユーザ
System X
？

31. Identity-Aware Proxy [Beta]
● Google で研究され、利用された Beyond Corp の思想
● 誰でも簡単に、ユーザ|グループ認可 を追加可能
● GSuite と組み合わせ, 物理セキュリティ キーの二段階認証
● An overview: “A New Approach to Enterprise Security”
● How Google did it: “Design to Deployment at Google”
● Google’s front-end infrastructure: “The Access Proxy”

32. 振り返り: より細かい要件にも対応可能に
● Private Google Access
● 複数 NICs
● VPC ネットワークピアリング
● 共有 VPC ネットワーク
● Egress ファイアウォール
● カスタム IAM ロール
● 組織ポリシー サービス
● Identity-Aware Proxy
セキュアな VPC ネットワーク クラウドならではのセキュリティ

33. Google Cloud Platform におけるネットワーク
Loadbalancer
/ CDN Interconnect
Virtual
Private Cloud
(VPC)

34. Related sessions
世界規模のクラウド ネットワークの
負荷分散、最適化、セキュリティ確保
6/14
5:20pm -
See at Youtube
ハイブリッド クラウド環境のワークロードをサポー
トするクラウド ネットワーキング
ソリューション
6/14
4:15pm -
See at Youtube

35. Thank You.
yutah@google.com