Cloud VPC
VPC はグローバル、リージョンごとにサブネットおける
サブネットはリージョンスコープで複数ゾーンまたげる
VPC 内のすべてのサブネット同士は基本的に通信できる・ピアリングでも交換される
共有VPC
サブネットやファイヤウォールを一元管理したいとき
VPC を管理する = ホストプロジェクト
サブネットなど割り当てて利用する = サービスプロジェクト
ファイヤウォール
サービスアカウント ネットワークタグでフィルタできる
優先度は小さいほど高い 0 = 最高
暗黙に下りは許可、上りは拒否
これらは優先度最低でデフォルトで入ってる
既存のルールと重複するファイアウォール ルールや、ヒットのないルール、未使用のファイアウォール ルール属性(IP アドレスやポート範囲など)を含むルールを特定する際に役立ちます
ピアリング
2つの VPC ネットワーク同士を内部 IP で
非推移的なピアリング(推移的なものはサポートしてない)
ピアリングされたネットワーク間での通信は直接的な関係を持つネットワーク間のみ許可
A ⇔ B / B ⇔ C のピアがあるときに A ⇔ C は許可されない(非推移)
異なる Google Cloud の組織間のピアリングができる
サブネット共有はない、独立した IP アドレス範囲で通信ルートが確保されるだけ
IPv4 サブネットはデフォルトでルートがインポート&エクスポートされる
roles/compute.networkAdmin
既存のルールと重複するファイアウォール ルールや、ヒットのないルール、未使用のファイアウォール ルール属性(IP アドレスやポート範囲など)を含むルールを特定する際に役立ちます
相互に視認できる
パブリックインターネット経由で通信したくない
Private Google Access / 制限付き googleapis.com
Google Cloud 内からのみアクセス可能なエンドポイント
Cloud Interconnect からルーティングできる
Cloud Interconnect
種類
Dedicated Interconnect (オンプレとつなぐ、帯域大)
Partner Interconnect (サポートプロバイダとの接続)
Cross-Cloud Interconnect、AWs や Azure との接続
パブリックインターネット通らない
内部IPの経路ができる、NAT や VPN 不要