みなさまは、”プライベートクラウド”という言葉をご存じでしょうか。
「全然聞いたことがない!」
「プライベートっていうことは、誰でも使えるものじゃないってこと?」
という方も多いのではないでしょうか。
ネットワークと同様にクラウド上の環境も、プライベートとパブリックがあります。
・プライベートクラウド=決められた人だけがアクセスできる
・パブリッククラウド=誰でもアクセスできる
本記事では、情報システム部門のコンサルティングやBIツールでのデータの可視化・分析などデータ活用に関する多くの知見のある株式会社KUIXがこれまでの経験をもとにGCP(Google Cloud Platform)が提供する「Virtual Private Cloud」にフォーカスし、VPCの概要やGCPのVPC利用における料金体系などを解説いたします。
Virtual Private Cloud とは
Virtual Private Cloudは、日本語では仮想プライベートクラウドとも呼ばれ、頭文字を取ってVPCとも呼ばれることがあります。
VPCを一言で表すと、クラウド環境に仮想ネットワークを構築するためのサービスです。
本記事ではGCP(Google Cloud Platform)が提供するVPCのご紹介をしますが、構築されたVPCを利用しているGoogle Compute EngineやGoogle Kubernetes EngineなどのGCPサービスは、他のGCPサービスとは完全に独立したネットワーク上にあ離ます。
そのため、WebサーバーやDBなどのリソースに対してアクセス制限をしたい場合などに利用するサービスとなっています。
前述の通り、VPCはGCP内にプライベートなネットワークを構築するサービスのため、サブネットを作成し、インスタンスが接続するサブネットを制御することやファイアウォールのルールを作成し、アクセス制御などを行うことができます。
Virtual Private Cloudの機能
VPCには、以下の機能があります。
・GKEクラスタ、App Engine、Compute Engine上に構築された他のGCPサービスとの接続を行う。
・内部HTTP(S)負荷分散用のネイティブな内部TCP/UDP負荷分散システムとプロキシを提供する。
・CloudVPNトンネルとCloudInterconnectアタッチメントを使用してオンプレミスネットワークに接続する。
・GCPの外部ロードバランサからバックエンドにトラフィックを分散する。
補足:サブネット とは
サブネット(サブネットワーク)とは、ネットワーク内のIPアドレス範囲です。
サブネットを作成することでVPCという大きなネットワークのまとまりの中に、小さいネットワークの集まりを作ることができます。
なお、Compute Engine の VM (仮想サーバ)は、サブネットの中に配置しますが、別リージョン内であっても同一VPC内のサブネット同士は相互に通信することができます。
例えばVPCで全体のネットワーク空間を、下記のアドレス範囲で設定したとします。
10.0.0.0 /16
このIPアドレスの範囲内で、インターネットと通信できるパブリックなネットワークと、外部から遮断したいプライベートなネットワークを定義します。
パブリックサブネット :10.0.1.0/24
プライベートサブネット:10.0.2.0/24
このようにサブネットを利用することで、ネットワークごとに役割を設定することができます。
Virtual Private Cloud の特徴
VPCの概要を理解したところで、GCPのVPCは一般的なクラウドサービスのVPCと何が違うの?と思うと思います。
GCPのVPCの最大の特徴は、リージョンに跨ったグローバルで管理するネットワークであることです。
他の一般的なクラウドサービスのVPCでは、単一のリージョンにVPCを作成しますが、GCPのVPCはGCPのリージョン全てで利用できるVPCを作成できます。
そのため、GCPではVPC作成時にIPアドレスはサブネットに紐づくため、IPアドレス指定をする必要がありません。
Virtual Private Cloud の料金体系
VPCの作成のみは無料ですが、以下のデータ量や利用時間に対して料金が発生します。
・下り(Egress)トラフィックのデータ量
・確保したExternalIP(外部IP)アドレスの利用時間
・その他、階層型ファイアウォールポリシーなど利用機能に応じた課金
※Virtual Private Cloud の料金プランに関する最新情報は公式ドキュメントを参照ください。
Virtual Private Cloudの料金
https://cloud.google.com/vpc/pricing?hl=ja
トラフィックデータ量に対する課金
VPC内を通るトラフィックデータ量に応じて課金されますが、パケットの通信方向によって課金の有無が異なります。
VPC側(=VM側)を上側/Internal側とみなし、インターネットやオンプレミス側を下側/External側としたときに、上り(Ingress)パケットは課金されませんが、下り(Egress)パケットは課金される点が特徴です。
ExternalIP(外部IP)アドレスの利用時間に対する課金
InternalIP(内部IP=Private IP)には課金されませんが、インターネットとの通信に必要なExternalIP(外部IP=PublicIP)には割り当て時間に応じた課金が発生します。
なお、ExternalIPには、VMを停止すると解放される「エフェメラルIP」と固定的に確保できる「静的IP」がありますが、どちらも同様に課金されます。
その他、階層型ファイアウォールポリシーなど利用機能に応じた課金
「階層型ファイアウォールポリシー」や「Cloud Firewall Standard」、「Private Service Connect」、「Packet Mirroring」など他のVPC機能利用に対して料金が発生します。
まとめ
GCP(Google Cloud Platform)が提供する「Virtual Private Cloud」について、VPCの概要やGCPのVPC利用における料金体系などをご紹介しました。
Google Compute EngineやGoogle Kubernetes EngineなどのGCPサービスを利用している方で、
「セキュリティ上の理由から個人情報などの特定のデータを利用しているサービスへのアクセスを制限したい。」
といった方は、Virtual Private Cloudの導入・利用を検討してはいかがでしょうか。
株式会社KUIXではGCPを用いたシステムの開発やコンサルティングを行っています。本格的なGCP環境の構築・導入をご検討される際は、ぜひ一度ご連絡ください!お問い合わせはこちらから
