はじめに
この記事では、Google CloudのNetwork Connectivity Center (NCC) を使い、
別のプロジェクト(社外)にあるVPCネットワークを、共通のハブに「スポーク」として追加接続する手順を解説します。
特に社外である顧客に対してどのようなオペレーションをして、スポークを用意してもらうかのイメージを本記事で紹介できればと考えています。
Network Connectivity Centerのハブ&スポーク
Network Connectivity Centerは、Google CloudのネットワークをVPCやVPN等を用いてNW間を接続するサービスです。
今回スポークについては、VPC間接続をターゲットとして紹介致します。
- ハブ
- ネットワークの中心となる接続ポイント
- スポーク
- ハブに接続する個々のネットワーク線
作業の流れ
スポークを追加する側(社外)と、それを承認する側(ハブ管理者)の2つの役割が登場します。全体の流れは以下の通りです。
1.スポークの作成・接続リクエスト(社外)
2.スポークの承認(ハブ管理者)
3.接続ステータスの最終確認(社外)
手順
前提
予め接続先であるハブは作成済みとします。
また、スポークを作成するIAMユーザに対しては最低限roles/networkconnectivity.spokeAdmin
のロール付与が必要となります。
参考URL:ロールと権限
1.スポークの作成・接続リクエスト
スポーク追加画面へ移動
コンソール上でNCCの画面を表示して、タブの[スポーク]を選択します。
そこから「スポークを追加する」をクリック。
スポーク追加
[別のプロジェクト内]を選択し、接続先のプロジェクトIDとハブ名を入力し、次のステップをクリック。
新しいスポーク画面で、新規作成するスポーク名を入力し、関連付けするVPCネットワークを選択後に作成をクリック。
スポークが作成されました。
ステータス上では承認されるまで無効扱いとなります。
2.スポークの承認(ハブ管理者側)
承認を行う
スポークの指定先が正しく設定されていれば、ハブ管理者側のNCCハブ画面上で、追加されたスポークが確認できます。
該当スポークを選択して、[スポークを承認]をクリックして承認してください。
少し待機後にステータスが有効扱いとなります。
3.接続ステータスの最終確認
スポークのステータス確認
接続元であるスポークもステータスが有効になっていることが確認できます。
さいごに
作業自体は非常にシンプルなため、迷わずにできるかと思います。
この作業により、社外のVPCネットワークはハブに接続された状態となります。
通信を行うためには、VPCファイヤーウォールルールの通信許可設定が基本は必要となりますので、確認をお願いします。
ちなみに、NCCハブはスポーク同士の通信においてはルート伝搬を自動的に伝搬してくれるので、手動でのルート設定は基本的に不要です。
そのため、うまく通信が行えないケースはまずファイヤーウォールルールの設定を見直してみてください。
外部の担当者に作業をお願いする時に、この記事が少しでも役立てればと思います。