Google Cloud Networking 101

Takao Setaka @twtko

もう7月ですよ…ということで!? #GoogleCloud の Networking 101 をノンビリとなぞっていくシリーズを来週からやってみようと思います〜。 cloud.google.com/blog/topics/de…

Takao Setaka @twtko

#GoogleCloud Networking 101-1 Google Cloud のネットワークというとこのGlobalに引き回された海底ケーブル網を思い浮かべる方が多いかと思いますが、このスライドでその外にピュッとInternetへの接続が複数伸びている通り、別にこの回線はInternetのために引いている訳ではないという点が重要です。 pic.twitter.com/N6MURcpLSX

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-2 Googleがグローバルに引き回したこの回線がGoogle Cloudではどう活用されているかといえば色々なのですが、特にこの絵にGlobal VPCと書かれている点が超重要です。Google CloudにおけるVPCはグローバルリソースです。リージョンに制限されません！テスト出るからなー。 pic.twitter.com/z7d8Lbby1p

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-3 VPCがグローバルとはどういうことか？つまりVPCを構成するだけで日本とアメリカとヨーロッパにまたがったプライベートネットワークを10秒で作れるという事です。リージョン間の接続をユーザ側で別途構成したりする必要はありません。VPCを作る、以上！ということです。 pic.twitter.com/Uvzgy2FOuV

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-4 リージョンをまたがったプライベートVPCを作れるということは、当然リージョン間でプライベート通信が必要です。ここで、このグローバルに引き回された光ファイバー網が活用されます。つまり、リージョン間のVPC"内"通信はInternetを経由しているわけではありません。 pic.twitter.com/uO6aYxxLmd

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-5 ユーザが意識する必要はありませんが、Global VPC毎の同じIPや個別のルーティングは区別し制御される必要があります。しかも超大規模スケールで、です。Googleのグローバル網はInternetではないのでTCP/IPである必要もなく自由に実装できるネットワークが支えています。 pic.twitter.com/934nz8RafK

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-6 Google Cloud のサービスを提供する最小単位はZoneで、近接Zone 3つ以上でRegionを構成します。Google Cloudの各サービスは、Global、Region、Zoneの単位で提供されているため、利用したいサービスが「どの単位で利用できるサービスなのか」を押さえることが大切です。 pic.twitter.com/LPuW9mHlX6

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-7 Zoneはリソースのデプロイ単位であり障害ドメインです。各ゾーンには物理リソース単位を示すクラスタがそれぞれ紐付きますが、その紐付けは固定ではありません。こうした裏側に興味がある方は是非 "ゾーンの仮想化" ページをお読み下さい。 cloud.google.com/compute/docs/r… pic.twitter.com/YgVySO1aAr

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-8 Regionは広帯域低遅延なネットワークで接続されたZoneの集合で、Subnetの構成可能範囲です。国内には東京と大阪の2つのRegionが存在します。基本Zone内通信は無料ですが、同一Region内Zone間通信には僅かなコストが、Region間通信にはもう少し多いコストがかかります。 pic.twitter.com/lNTNzvbkhU

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-9 Google Cloudが外部ネットワークと接続を行うポイントをPOPと呼びます。POPは単に接続点なだけではなく、GFE (Google Front End)としてLBやそれに付随するCDNやWAF等の処理が行われています。この辺りに興味がある方は、Maglevについて解説する論文が公開されています。 pic.twitter.com/vKJeiSmjNF

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-10 GoogleのDCは全てカーボンニュートラルを達成していますが、使用する電力自体のカーボンフリーの達成率はRegionにより大きく異なります。Google CloudはGlobal VPCですので、法的要件や遅延が問題とならない処理についてはよりエコなRegionを利用することが容易です。 pic.twitter.com/zeZKDispbE

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-11 Google Cloud のVPCは1つのIP体系に対してグローバルで1つ構成すれば良いグローバルリソースであり、構成時にPrefixの指定なども不要です。SubnetはRegion範囲に制限され、ブロードキャストドメインを意味しません。Google Cloudではユニキャストのみが利用頂けます。 pic.twitter.com/4llix4LdD9

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-12 Google Cloudのサブネットはブロードキャストドメインを意味しないため、構成後の拡張が可能です。GCEインスタンスからはOSにより異なりますが /32 として動作します。IPアドレスはDHCPが基本ですが、予約により静的な紐付けも可能です(その場合もOS的にはDHCPです)。 pic.twitter.com/km4YIiNP13

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-13 Public IPは必要に応じてインスタンスに紐付け可能である他、Cloud VPN利用時のCloud Routerや、Cloud NAT等でも利用されます。外部IPも予約が可能で、BYOIP頂くことも可能です。内部IP / 外部IPいずれでもIPv6をご利用頂けますが、仕様に従って払い出されます。 pic.twitter.com/rceqNvszqU

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-14 IPv4内部アドレスとして利用可能なIP範囲はRFC1918等で規定されている範囲に限定されており、加えて禁止されているIP範囲が存在します。Subnetサイズは/29が最小で、ネットワーク及びブロードキャストアドレスに加え最初(Default GW)と最後のアドレスが予約されます。 pic.twitter.com/fYJ6s5IN4j

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-15 VPCでは特定VMに紐づけてSecondary IPを定義できます。これにより特にGKEのPodをVPCで制御できます。また追加のIPアドレスを紐付けるAlias IP機能もあります。private / restricted .googleapis.com は、主にVPC内からGoogle CloudのAPI通信を管理する為の仕組みです。 pic.twitter.com/7N599jYyMg

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-16 ネットワークをかじったことのある人なら誰もが学ぶ!? OSIモデルやInternetモデルですが、その知識や経験はクラウドにおいても活用頂けます。ただし、L1についてはどんなサービスを使おうともマネージドな範囲になりますので、L1だけは意識不要？かもしれません…。 pic.twitter.com/I5q5fKJYIC

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-17 Google Cloud をご利用頂く際に唯一L2を意識して頂くパラメータがCloud InterconnectにおけるVLANアタッチメントです。Google Cloudに直接接続頂くDedicated Interconnectの場合、VLANアタッチメントの構成によって単一の専用線を複数のVPCとの接続にご利用頂けます。 pic.twitter.com/cVU8VzjRlF

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-17 Cloud VPNやCloud Interconnectを用いたGoogle Cloudとの接続では必ずBGPを用いたL3接続が必要となります。その他VPC間のPeeringなど、ネットワーク境界となる部分は基本的にL3で区分されます（Region内のZone間でSubnetをまたいで作成頂けますが、これもL2では…）。 pic.twitter.com/GcvYg8NEMi

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-18 Google Cloudが提供するマネージドサービスなロードバランサにはL4とL7に対応したLBが提供されています（L7は基本的にHTTP(S)前提）。また、外部HTTP(S)ロードバランサと組み合わせてご利用頂けるWAFであるCloud ArmorもL7に対応したネットワークサービスといえます。 pic.twitter.com/PkoiFWdvso

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-19 このスライドはTCPとUDPの重要なポイントを押さえた内容で、あまり #GoogleCloud に特化していないのであまり解説することがないのですが、QUIC や TLS などは昨今のInternetにおいて重要な要素であり、これらの標準化に対してしっかりと追随し続けることは重要です。 pic.twitter.com/kWvXxHlEiW

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-20 QUICとそれを用いるHTTP/3や、TLS 1.3への対応はInternetを通じて提供されるサービスにおいては必須とも言える要素であり、これらへの対応と追随がサービスとして提供される点もまた、Google Cloud を始めとしたPublic Cloudを利用することの利点の1つといえます。 pic.twitter.com/hBhdrJ17b3

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-21 L2はフレーム、L3はパケットとか、昔習った気がしますが、Google CloudのVPCにおけるSubnetはブロードキャストドメインではないのでL2範囲でもなかったりと、当たり前が当たり前ではなくなってきていたりもしますが、ネットワークはまだまだ工夫の余地がある世界です。 pic.twitter.com/8XHHu8d1c9

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-22 ネットワーク同士の接続になりますので、MTUは重要です。Cloud VPNの場合は1440、Cloud VPCは当初は1460だけでしたが1500にも対応、同一Subnet範囲内でのみ8896のジャンボフレームも利用可能になるなど、継続的に進化し続けていますので最新情報をご確認下さい。 pic.twitter.com/NWWOgtxCTJ

拡大

Takao Setaka @twtko

#GoogleCloud Networking 101-23 VPC内のGCEインスタンスをネットワークアプライアンスとして利用することも可能ですが、マルチキャストの利用はサポートされておりませんのでOSPF等のルーティングプロトコルはご利用いただけません。また、ルーティング動作をさせる為にはVM展開時に指定が必要です。 pic.twitter.com/Wgu5SR0M20

拡大