本記事はGoogle Cloud Next Tokyo 2025 で行われたセッション「セキュアなハイブリッド クラウド ネットワークの設計パターンの最新版」のレポートです。

セッション概要

「Google Cloud でハイブリット ネットワークを構成する場合の設計パターンやベスト プラクティスの最新版をご紹介する」というテーマのもと、Google Cloud のネットワーク関連サービスの使用パターンが解説されました。

登壇者

  • 守屋 裕樹 氏(Google Cloud クラウド コンサルタント)
  • 有賀 征爾 氏 (Google Cloud カスタマー エンジニア)

セッション内容

ハイブリッド接続の設計パターン

ハイブリッド接続のネットワークアーキテクチャのパターンには、「シングルVPC接続」「マルチVPC接続」「フルメッシュ接続」「スタートポロジー接続」の大きく4パターンあります。これら4つのハイブリッド接続パターンのネットワークアーキテクチャと名前解決の方法について紹介されました。

シングルVPC接続

「シングルVPC接続」は最もシンプルな構成で、オンプレミスなどの外部環境と1つのVPCを接続する際に利用されるパターンです。接続したVPCを複数のGoogle Cloudプロジェクトで利用することができます。
ハイブリッド接続は、Cloud Interconnectをオンプレミスとの間に引き、Cloud Routerとオンプレミス側ルーターとの間でBGPを構築することで確立できます。また、接続したGoogle Cloud VPCを共有VPCとして構成し、サブネットをサービスプロジェクトに払い出すことで他のGoogle Cloudプロジェクトから同一のVPCを介したオンプレミスへの接続を確保することもできます。

オンプレミスからの名前解決はCloud DNSの受信サーバーポリシーを作成することで実現できます。受信サーバーポリシーでは、オンプレミスからGoogle Cloud側に名前解決を行うインバウンドIPアドレスが作成されます。AWSで言うところのRoute 53 Inbound Endpointと同じ様なイメージで良いかと思います。Google Cloudからの名前解決は、Cloud DNSの転送ゾーン機能を利用します。Cloud DNS転送ゾーンはオンプレミス側のDNSサーバーに名前解決を転送することができます。

マルチVPC接続

オンプレミスとの単一の接続を複数のVPCで共有したい場合は「マルチVPC接続」を検討します。これは、本番用VPCと開発用VPCをオンプレミスと接続したい場合などに選定されます。

名前解決の方法はシングルVPCの時と同様、Cloud DNSの受信サーバーポリシーとDNS転送ゾーン機能を利用します。すでにオンプレミスと連携されているCloud DNSがある場合は新しく接続するプロジェクトのCloud DNSから既存のDNSに対してピアリングを行うことですでにオンプレミスと連携されている名前解決を利用することができます。

フルメッシュ接続

組織内で複数の独立した部署が保有する複数のVPCを単一のCloud Interconnecctを利用して外部環境と接続する場合には「フルメッシュ接続」を検討します。フルメッシュ接続はVPC同士を相互に接続したいという要件を満たすことが可能な接続パターンになります。オンプレミス側と接続用プロジェクトの接続方法はシングルVPC接続パターンと同一となります。フルメッシュ接続では、Network Connectivity Center(NCC)を利用してVPC間の接続を行っているところが他のパターンと異なります。接続したいプロジェクトVPCをNCC HubのVPC Spokeとして追加することで簡単にネットワークを拡張することができることから、マルチVPC接続パターンより高い拡張性を担保できます。

名前解決は先述のCloud DNS受信サーバーポリシーとDNS転送ゾーン機能でオンプレミスとGoogle Cloud間の相互名前解決を実現します。NCC Hubで接続されている他のCloud DNSからは、DNSピアリングを設定することで各VPCのCloud DNSからも名前解決を実現することが可能となります。

スタートポロジー接続

スタートポロジー接続はフルメッシュ接続パターンと似通っていますが、接続しているVPC Spoke同士の接続を制限する要件がある場合に採用します。構成は基本的にフルメッシュ接続パターンと同様ですが、NCC HubにSpokeを追加する際にCenter GroupとEdge Groupに分けて接続します。
Center Groupに所属するVPC SpokeはCenter Group内もしくはEdge GroupのVPC Spokeと相互に通信可能です。Edge Groupに所属するVPC SpokeはCenter GroupのVPC Spokeのみ接続可能になります。これにより、プロジェクト間の通信を明示的に制御できる様になります。
スタートポロジーの名前解決はフルメッシュ接続パターンと同様で、接続用プロジェクトにCloud DNS受信サーバーポリシーまたはDNS転送ゾーンを作成してオンプレミスとの名前解決を実現し、VPC Spoke間の名前解決にはDNSピアリングを使用します。

まとめ

本セッションでは、Google Cloud を利用してセキュアなハイブリッドクラウドネットワークを設計する上で非常に参考になる設計パターンが紹介されました。限られたリソースの中でも、Google Cloud の機能とサービスを効果的に組み合わせることで、ビジネス要件に合わせた堅牢なネットワーク環境を構築できることを再認識しました。