[2020年9月] Cloud Architect(Googleプロ認定資格)合格への道:第6回 Virtual Private Cloud(VPC)でネットワークのイロハを学ぶ

どうも、末岐碧衣です。

7月に Data Engineer 取ったばかりですが、9月末に今度は Cloud Architect に挑戦することになりました。

ということで、あと2週間切ってますが(!)、前回合格できた Professional Data Engineer の時と同じ手順で、お金をかけず、短期間で勝負を決めたいと思います。

私は技術畑をずっと歩いてきたエンジニアではないので、文系だったりあんまりI Tに自信ないけど、Google Cloud Certified プロ認定試験に挑戦して、資格取りたい!という方には参考にしていただける内容になると思います。

 

なお、このGoogleの教育プログラムなどに一切お金を使わず、2週間で集中学習する手順は、模試の受験が必須です。まだの方は、まずは模試を受験してみてください。その辺の手順は第1回の記事で詳しく記載しています。

 

今回のメインテーマ:Virtual Private Cloud(VPC)

模試でいうと、10問目です。

模試:10問目

 

暗記ポイント: Virtual Private Cloud(VPC)

Virtual Private Cloud(VPC)とは

Compute Engine 仮想マシン(VM)インスタンス、Google Kubernetes Engine(GKE)コンテナ、App Engine フレキシブル環境にネットワーク機能を提供します。

レガシー ネットワークと VPC ネットワークの違い

レガシー ネットワークは単一の IP 範囲のみを持つことができ、サブネットに分割できません。VPC ネットワークはサブネットに分割されます。

 

2 つのリージョンに 3 つのサブネットがあるカスタムモード VPC ネットワークの例

ポイントは、リージョン>サブネット>ゾーン。

同じリージョンであればサブネットが違っても同じゾーンとしてインスタンスを定義できる。

 

ネットワークとサブネットは異なるリソース

各 VPC ネットワークはサブネットと呼ばれる、区分された 1 つまたは複数の有用な IP 範囲で構成されます。

  •  VPC ネットワークはグローバル リソースです。特定のリージョンやゾーンには関連付けられていません。
  • サブネットはリージョン リソースです。サブネットごとに IP アドレスの範囲が定義されます。

グローバル リソースは、同じプロジェクトに属するすべてのゾーンのすべてのリソースからアクセスできます。

リージョン リソースには、同じリージョン内のすべてのリソースからアクセスできます。たとえば、特定のリージョンで静的外部 IP アドレスを予約した場合、その静的外部 IP アドレスは同じリージョン内のインスタンスにのみ割り当てることができます。

各リージョンには、1 つまたは複数のゾーンがあります。

 

サブネット

サブネットは、ネットワーク IP 空間をリージョン別にプレフィックス(サブネット)で分割し、インスタンスの内部 IP アドレスの割り当てに使用するプレフィックスを制御します。

 

ルートとファイアウォール ルール

ルート:インスタンスから出るパケット(下りトラフィック)のパスを定義する

ファイアウォール ルール:ネットワーク内の送信(下り)トラフィックと受信(上り)トラフィックの両方に適用される。

なお、すべての VPC ネットワークには、2 つの暗黙のファイアウォール ルールがある。

1 つの暗黙ルールはほとんどの下り(外向き)トラフィックを許可し、もう 1 つはすべての上り(内向き)トラフィックを拒否する、というもの。

 

ネットワーク タグ

VMインスタンスの「タグ」フィールドに設定した文字列。

タグ(文字列)を使って、特定のVMインスタンスにファイヤーウォールルール、ルートを適用することができる。

 

なお、上り(内向き)ファイアウォール ルールを作成するときは、ソースを指定する必要があります。ソースを定義するには、 IP アドレスか、特定のインスタンスを指定する。

インスタンスを指定する場合は、ソースタグまたはソース サービス アカウントを使用します。

 

共有 VPC

共有 VPCを使用すると、プロジェクトまたぎで共通の Virtual Private Cloud(VPC)ネットワークにリソースを接続できる。だから、ネットワークの内部 IP を使用して、安全で効率的な相互通信ができる。

 

VPC ネットワーク ピアリング

Google Cloud VPC ネットワーク ピアリングでは、2 つの Virtual Private Cloud(VPC)ネットワークが同じプロジェクトまたは同じ組織に属しているかにかかわらず、内部 IP アドレス接続できます。

VPC ネットワーク ピアリングを使用すると、異なる VPC ネットワーク内のワークロードが内部で通信できるように、VPC ネットワークを接続できます。トラフィックは Google のネットワーク内に留まり、公共のインターネットを経由することはありません。

  • Google Cloud の SaaS(Service-as-a-Service)エコシステムを使用する場合。組織内や複数の組織にあるさまざまな VPC ネットワークで非公開にサービスを使用できます。
  • 複数のネットワーク管理ドメインを持つ組織が相互にピアリングできる場合。

 

意味不明だったキーワード

ネクストホップ

next hopとは、ルータなどが持つ経路表(ルーティングテーブル)に記載される情報の一つで、個々の宛先ネットワーク毎に決められた、 次に転送すべき隣接ルータ(のIPアドレス)のこと。

 

トポロジ

数学の一分野、位相幾何学。

ギリシャ語を語源とした位置を表す言葉「トポ」(topo)と学問を表す「ロジ」(logy)が組み合わされた言葉で、日本語では「位相幾何学」と訳されるケースが多く見られます。 GISにおいて「トポロジ」とは「図形と図形の空間的な位置関係を管理するモデルまたは機能」を指します。

ネットワークトポロジーとは、コンピュータネットワークの配線に端末や各種機器がどのような形状で接続されているのかを表す用語。

ネットワークトポロジーの形状として、バス型、スター型、リング型、ツリー型、メッシュ型、複合型、階層型が存在している。

 

GIS

地理情報システム(GIS:Geographic Information System)は、地理的位置を手がかりに、位置に関する情報を持ったデータ(空間データ)を総合的に管理・加工し、視覚的に表示し、高度な分析や迅速な判断を可能にする技術である。

 

IPsec(Security Architecture for Internet Protocol、アイピーセック)

暗号技術を用いることで、IP パケット単位で改竄検知や秘匿機能を提供するプロトコル。

 

DHCP(Dynamic Host Configuration Protocol)

LAN内のパソコンやスマートフォンなどにIPアドレスなどの情報を自動で割振り(設定)する機能のことを言います。

 

ユニキャスト、マルチキャスト、ブロードキャスト

  • ユニキャスト:1台の端末を指定しデータ転送する方式
    • WEBサイトの閲覧、メールの送受信など
  • マルチキャスト:複数台の端末を指定しデータ転送する方式
    • ネットワーク上の動画配信やテレビ会議システムなど
  • ブロードキャスト:1つのネットワーク内の不特定多数の端末(全端末)に対してデータを送信する方式
    • ブロックチェーンなど

※VPC ネットワークは、IPv4 ユニキャスト トラフィックのみをサポート。IPv6やマルチキャスト、ブロードキャストはサポートされていないので注意。

 

CIDR(クラスレス方式)

Classless Inter-Domain Routing(CIDR、サイダー)は、インターネット上のルーターにおけるルーティングテーブルの肥大化速度を低減させるための仕組み。

クラスレスは、「サブネットマスク」を用いてネットワーク部のビット長を指定するため、どこまでがネットワーク部でどこからがホスト部なのか自体は不定となります。そのため、ネットワークの需要に応じた、より適切な数のIPアドレスを割り当てることができます。

 

GKE Pod

Kubernetes でデプロイできる最小かつ最も基本的なオブジェクト。Pod は、クラスタ内で実行されるプロセスの単一インスタンスを表します。

Pod には、Docker コンテナなどのコンテナが 1 つ以上含まれています。

 

 

ネットワークはなんか、、、覚えること多くてイメージも湧きにくい。あんまやったことないからだろうけど。でも頑張る。もう明日しかないのでサクサクいかねば。テキトーテキトー!!

 

次回に続く!

それでは!

末岐 碧衣
  • 末岐 碧衣
  • フリーランス のシステムエンジニア。独立後、一度も営業せずに月収 96 万円を達成。1986年大阪生まれ。早稲田大学理工学部卒。システムエンジニア歴 12年。
    2009年、ITコンサルティング企業に入社。3年目でコミュ障が爆発し人間関係が崩壊。うつにより休職するも、復帰後はコミュ障の自覚を持ち、「チームプレイ」を徹底的に避け、会社組織内においても「一人でできる仕事」に専念。社内外から評価を得た。
    無理に「チームプレイ」するよりも「一人でできる仕事」に専念した方が自分も周囲も幸せにできることを確信し、2015年フリーランスとして独立。