Google Cloud Next Tokyo ’23の Day2 にて行われたセッション「大解剖! Google Cloud ネットワーキング サービス」のレポートです。

Google Cloud Next Tokyo ’23 とは
2023 年 11 月 15、16 日に東京ビッグサイトで開催された、Google Cloud が主催するイベントです。
https://cloudonair.withgoogle.com/events/next-tokyo

登壇者

Google Cloud
ソリューション&テクノロジー部 カスタマーエンジニア 有賀 征爾 氏

セッション内容

サービスの接続

  • 一般的な構成
    • フロントに Load Balancer、バックエンドにサーバーレス、VM、オンプレミスなど
  • ネットワーク同士の接続(Google内部の通信で完結)
    • VPC ピアリングによるフルメッシュ
    • Cloud VPN によるハブ&スポーク
    • Network Connectivity Center
      • NAT を介すため VPC の IP が被っていてもOK
      • VPC 経由でその先のネットワークにはいけない(今後サポートされる予定)
  • ネットワーク間の接続
    • Cross Cloud Networking
      • Google をハブにすることで、クラウド間やオンプレミス間、SaaS への接続が可能
  • サービス指向接続
    • プライベートサービスコネクト(PSC)
    • サービスレイヤーでの接続が可能という観点に注目したい

サービスの提供

外部 Load Balancer

  • エッジロケーションにルーティングされる
  • 外部 Load Balancer の基盤
  • 2 種類の外部 Load Balancer
    • Google Front End (GFE) にて終端される
    • プロキシ型:HTTP(S)、TCP/SSL
      • グローバル:上記の基盤のうちエッジロケーションにルーティング
      • リージョナル:そのリージョンの基盤に作られる
    • パススルー型:TCP/UDP など
      • リージョナル
  • 柔軟なルーティングとトラフィック管理
    • 重みづけ
    • リダイレクト
    • URL 書き換え
    • フォールトインジェクション
    • トラフィックのミラーリング
    • サーキットブレイカー
    • 外れ値検出
    • 分散モード
  • 様々なバックエンド
    • Serverless NEG
    • Internet NEG
    • Hybrid NEG
      • VPN 専用線を介して他クラウドやオンプレミスを選択可能
  • Google Cloud のキャッシュインフラ
    • Cloud CDN
      • 簡単な設定がメリットだったが機能拡充している
      • キャッシュインフラは外部 Load Balancer と同じところにある
    • Media CDN
      • ISP 内にインフラがあり、Cloud CDN よりも多くの場所に点在している
      • お客様が使っているISPから直接配信できるため、より低遅延
      • GA 済みだが利用するには Google へ申請が必要

内部 Load Balancer

  • リージョンの中で作成される
  • プロキシ型:HTTP(S)、TCP/SSL
    • クロスリージョン
    • リージョナル
  • パススルー型:TCP/UDP など
    • クロスリージョン
    • リージョナル
  • リージョン障害はどうする?
    • 内部 Load Balancer の機能では対応できない
    • Cloud DNS のヘルスチェックを活用して回避するなどの手法が必要
  • 共有 VPC による責任分担
    • サービスプロジェクトで Load Balancer を管理するだけでなく、ホストプロジェクトでも管理できるようになった

ドキュメントの紹介

ロードバランサの選択
ロードバランサの機能比較

サービスの防御

  • WAF/DDoS 対策
    • Cloud Armor:エッジロケーションで動いている
      • WAF ルール
      • DDoS 防御
      • アクセス制御
      • ボット管理(reCAPTCHA 連携)
      • レートリミット
      • 適応型 DDoS 防御(機械学習ベース)
      • 高度なレイヤ 3/4 DDoS 防御
      • 脅威情報に基づく防御
  • Cerfiticate Manager
    • Google マネージド証明書、セルフマネージド証明書
    • 最大 100 万件
    • ワイルドカードドメインのサポート
    • DNS ベースで所有者を確認可能
    • Certificate Authority Service との連携
    • 外部 ALB、外部プロキシ NLB、内部 ALB に対応
  • 内外のアクセス制限
    • Cloud NGFW
      • IP、タグ、サービスアカウント、ドメイン名だけでなく、地域や脅威情報での制限も可能
    • Secure Web Proxy
      • IP、タグ、サービスアカウント、ドメイン名だけでなく、URL、リクエスト、TLS インスペクションでの制限も可能
  • 侵入検知と防御
    • これまでは検知しかできなかったが防御もできるようになった
    • Palo Alto Networks から提供
  • Cloud NGFW
    • グローバル/リージョナルファイヤウォールポリシー
    • タグとの結合
    • ステートフルインスペクション
    • アドレスグループ
    • 脅威情報に基づく防御
    • ドメイン(FQDN)ベースのフィルタリング
    • 地域情報ベースのフィルタリング
    • Intrusion Prevention System

まとめ

  • プライベートサービスコネクトの活用
  • 様々なLBの機能によるサービス提供方法の高度化
  • 柔軟なサービス防御
    • WAF/DDoS 対策
    • ワークロードのアクセス防御
    • アプリケーション(TLS)レイヤの検査

感想

ネットワークに関するサービスはここ数年で非常に増えており、どのような手法が最適なのか見極めるのが難しい印象がありましたが、本セッションを聞くことで情報が整理できました。
Load Balancer についてはどこで動いているか種類ごとの説明があったため、ただ覚えるだけでなく仕組みと紐づけて考えることができました。
なお、資料は後ほど公開されるとのことです。