はじめに

この記事では、Google CloudのNetwork Connectivity Center (NCC) を使い、
別のプロジェクト(社外)にあるVPCネットワークを、共通のハブに「スポーク」として追加接続する手順を解説します。

特に社外である顧客に対してどのようなオペレーションをして、スポークを用意してもらうかのイメージを本記事で紹介できればと考えています。

Network Connectivity Centerのハブ&スポーク

Network Connectivity Centerは、Google CloudのネットワークをVPCやVPN等を用いてNW間を接続するサービスです。
今回スポークについては、VPC間接続をターゲットとして紹介致します。

  • ハブ
    • ネットワークの中心となる接続ポイント
  • スポーク
    • ハブに接続する個々のネットワーク線

作業の流れ

スポークを追加する側(社外)と、それを承認する側(ハブ管理者)の2つの役割が登場します。全体の流れは以下の通りです。

1.スポークの作成・接続リクエスト(社外)
2.スポークの承認(ハブ管理者)
3.接続ステータスの最終確認(社外)

手順

前提

予め接続先であるハブは作成済みとします。

また、スポークを作成するIAMユーザに対しては最低限roles/networkconnectivity.spokeAdminのロール付与が必要となります。
参考URL:ロールと権限

1.スポークの作成・接続リクエスト

スポーク追加画面へ移動

コンソール上でNCCの画面を表示して、タブの[スポーク]を選択します。
そこから「スポークを追加する」をクリック。

スポーク追加

[別のプロジェクト内]を選択し、接続先のプロジェクトIDとハブ名を入力し、次のステップをクリック。

新しいスポーク画面で、新規作成するスポーク名を入力し、関連付けするVPCネットワークを選択後に作成をクリック。

スポークが作成されました。
ステータス上では承認されるまで無効扱いとなります。

2.スポークの承認(ハブ管理者側)

承認を行う

スポークの指定先が正しく設定されていれば、ハブ管理者側のNCCハブ画面上で、追加されたスポークが確認できます。
該当スポークを選択して、[スポークを承認]をクリックして承認してください。
少し待機後にステータスが有効扱いとなります。

3.接続ステータスの最終確認

スポークのステータス確認

接続元であるスポークもステータスが有効になっていることが確認できます。

さいごに

作業自体は非常にシンプルなため、迷わずにできるかと思います。

この作業により、社外のVPCネットワークはハブに接続された状態となります。
通信を行うためには、VPCファイヤーウォールルールの通信許可設定が基本は必要となりますので、確認をお願いします。

ちなみに、NCCハブはスポーク同士の通信においてはルート伝搬を自動的に伝搬してくれるので、手動でのルート設定は基本的に不要です。
そのため、うまく通信が行えないケースはまずファイヤーウォールルールの設定を見直してみてください。

外部の担当者に作業をお願いする時に、この記事が少しでも役立てればと思います。