Cloud VPC - pokutuna

Cloud VPC

VPC はグローバル、リージョンごとにサブネットおける

サブネットはリージョンスコープで複数ゾーンまたげる

VPC 内のすべてのサブネット同士は基本的に通信できる・ピアリングでも交換される

共有VPC

サブネットやファイヤウォールを一元管理したいとき

VPC を管理する = ホストプロジェクト

サブネットなど割り当てて利用する = サービスプロジェクト

ファイヤウォール

VPC ファイアウォールルール | Cloud NGFW | Google Cloud

サービスアカウントネットワークタグでフィルタできる

優先度は小さいほど高い 0 = 最高

暗黙に下りは許可、上りは拒否

これらは優先度最低でデフォルトで入ってる

ファイアウォールインサイトの概要 | ファイアウォールのインサイト | Google Cloud

既存のルールと重複するファイアウォールルールや、ヒットのないルール、未使用のファイアウォールルール属性（IP アドレスやポート範囲など）を含むルールを特定する際に役立ちます

ピアリング

2つの VPC ネットワーク同士を内部 IP で

非推移的なピアリング(推移的なものはサポートしてない)

ピアリングされたネットワーク間での通信は直接的な関係を持つネットワーク間のみ許可

A ⇔ B / B ⇔ C のピアがあるときに A ⇔ C は許可されない(非推移)

異なる Google Cloud の組織間のピアリングができる

サブネット共有はない、独立した IP アドレス範囲で通信ルートが確保されるだけ

VPC ネットワークピアリング | Google Cloud

IPv4 サブネットはデフォルトでルートがインポート&エクスポートされる

VPC ネットワークピアリングを使用する | Google Cloud

roles/compute.networkAdmin

既存のルールと重複するファイアウォールルールや、ヒットのないルール、未使用のファイアウォールルール属性（IP アドレスやポート範囲など）を含むルールを特定する際に役立ちます

相互に視認できる

VPC Service Control

パブリックインターネット経由で通信したくない

Private Google Access / 制限付き googleapis.com

Google API とサービスへのプライベート接続の設定 | VPC Service Controls | Google Cloud

限定公開の Google アクセスを構成する | VPC | Google Cloud

Google Cloud 内からのみアクセス可能なエンドポイント

Cloud Interconnect からルーティングできる

Cloud Interconnect

Cloud Interconnect の概要 | Google Cloud

種類

Dedicated Interconnect (オンプレとつなぐ、帯域大)

Partner Interconnect (サポートプロバイダとの接続)

Cross-Cloud Interconnect、AWs や Azure との接続

パブリックインターネット通らない

内部IPの経路ができる、NAT や VPN 不要

ネットワーク接続プロダクトの選択 | Network Connectivity | Google Cloud