Google Cloud Next '17 Tokyoで発表した, Google Cloud Platform の VPC 解説資料です。
https://cloudnext.withgoogle.com/tokyo/schedule#target=google-cloud-platform-virtual-private-cloud-6d2f751b-3dcb-4031-9b75-4c86a4a00597
https://youtu.be/jMQsrEQuhOU
7. 世界規模のインフラストラクチャ
Iowa
FASTER (US, JP, TW) 2016
Unity (US, JP) 2010
SJC (JP, HK, SG) 2013
4
3
Frankfurt
Singapore
S Carolina
N Virginia
Belgium
London
Taiwan
Mumbai
Sydney
Oregon
São Paulo
Finland
Tokyo
Montreal
California
Netherlands
2
3
3
3
3
33
3
2
3
3
3
3
Edge points of presence (>100)
Leased and owned fiber
#
#
Future regions and number of zones
Current regions and number of zones
3
3
過去 3 年間で $29.4B(約 3 兆 5 千億円)の投資
8. 透過的な プライベートネットワーク
Virtual Private Cloud
asia-northeast1
App Server
Compute Engine
us-east1
App Server
Compute Engine
europe-west1
App Server
Compute Engine
us-east1
App Server
Compute Engine
13. VPC ネットワーク
透過的な仮想ネットワーク
● PrivateなNW
● リージョンをまたいで構成可
● Point to Point IPv4
○ すべての通信はGW経由
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス
14. サブネット
VPC ネットワークを分割
● RFC 1918 空間で分割
● リージョンに紐づく
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス
15. Instance
NIC と 内部 IP を持つ
● NIC は 1 つの Subnet に所属
● 1 つの 内部 IP を持てる
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
外部 IP アドレス
16. 外部 IP アドレス
柔軟な外部 IP アドレス割当
● エフェメラルと静的の切替可
● 事前に静的アドレス予約可
● 利用: 内部 IP に紐づき NAT
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
Routes
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
17. ルート/
クラウド ルーター
ネットワーク全体の経路を制御
● 静的ルート
○ ルートを記述
● 動的ルート
○ クラウド ルータを作成
○ BGP を利用
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
ルート
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
18. ファイアウォール
簡単に、要件に合わせ制御可能
● Instance のタグを指定
● プロトコルとポート
● ソース IP
● ボトルネックにならない
● ステートフル
組織
プロジェクト
VPC-Network-01
リージョンA
ゾーン ゾーン
サブネット
Instance
NIC
内部 IP
Client
Load
Balancing
外部 IP アドレス
ファイアウォール
ルール
ルート
VPC-Network-02
リージョンB
ゾーン ゾーン
サブネット
サブネット
Instance
NIC
内部 IP Instance
NIC
内部 IP
Instance
NIC
内部 IP
20. VPC-Network-01
1. プライベート空間からも様々なサービスを利用
外部 IP を持たない Instance で
Google Cloud Storage
BigQuery
Cloud Spanner
Cloud Bigtable
Vision API
Cloud PubSub などを
利用したい
サブネット
Instance NIC
内部 IP
外部 IP アドレス
21. Private Google Access [GA]
Internet
GCP resource
プライベートな経路
*.googleapis.com
Private RFC 1918 space
Private IP
プロジェクト/
リソース
Webserver-prod
VPC
Storage-prod
プロジェクト/
リソース
GCE/GKE
パブリックな経路
22. Private Google Access [GA]
● Cloud Monitoring
API
● Dataflow API
● Dataproc API
● Cloud Pub/Sub
API
● Google Analytics
API
● Vision API
● Prediction API
● Genomics API
● Natural Language
API
● Machine Learning
Engine
● Translate API
● BigQuery API
● Cloud Spanner API
● Bigtable API
https://cloud.google.com/compute/docs/private-google-access/private-google-access
23. 2. 開発したサービスをプライベート空間で提供
外部 IP を持たせずに
開発したマイクロサービスを
SaaS サービスを
利用, 提供したい
VPC-Network-01
サブネット
Instance NIC
内部 IP
外部 IP アドレス サービス
30. VPNのセキュリティモデル:
● Trusted なセグメントは信用
● 接続さえできればシステムにアクセス
● ネットワーク設計の煩雑さ
● ロールベースでアクセス制御するには?
● 外部からアクセスをさせるには?
新しいセキュリティモデルの解は?
4. ネットワークセキュリティだけに頼らない
Trusted ネットワークセグメント
VPN
A : System Xを
利用するユーザ
B : System Xを
利用しないユーザ
System X
?
31. Identity-Aware Proxy [Beta]
● Google で研究され、利用された Beyond Corp の思想
● 誰でも簡単に、ユーザ|グループ認可 を追加可能
● GSuite と組み合わせ, 物理セキュリティ キーの二段階認証
● An overview: “A New Approach to Enterprise Security”
● How Google did it: “Design to Deployment at Google”
● Google’s front-end infrastructure: “The Access Proxy”