Google Cloud ネットワーク 勉強会

Transcript

1. Google Cloud ネットワーク 勉強会 世界を支える インフラ技術 と Google Cloud 2022

   年 10 月 14 日

2. 本発表について • スライドでは細かな説明は省略しています • 発表時間： 45 分 • 発表者 ◦

   @aoyagi9936 ◦ クラウドエンジニア（主に Google Cloud を扱っています） ◦ 環境問題を解決する新規事業の立ち上げ＆プラットフォーム構築中です ◦ メンバー大募集中です 2

3. Google プロダクト と Google Cloud の関係 • Google は世界の 10

   億人以上が利用する サービス を多数運営しています ◦ サービス は グローバル に スケール し、信頼性の高いクラウド基盤によって支えられています ◦ その クラウド基盤 を一般提供しているのが Google Cloud です 3 etc.

4. 何が凄い？ Google の設備 ① • Google は自社所有の データセンター を運営しています ◦

   10月11日、 Google が日本の ネットワークインフラ に総額 1,000 億以上を投資し千葉県 印西市に日本初となる データセンター を建設することが発表されました ◦ Google は世界各国で カーボンフリー エネルギー を利用した データセンター を建設して います（2011年稼働の フィンランド ハミナデータセンター が有名） ◦ 買収した Deep Mind の AI を利用し設備の稼働状況や冷却設備の最適化を自動化する ことで消費電力を最適化しています 4 Google Data Center 360° Tour - YouTube

5. 何が凄い？ Google の設備 ➁ • Google は自社所有の 海底ケーブル も敷設しています ◦

   海底ケーブル を利用し世界各地にある データセンター が保持する膨大なデータを 低レ イテンシ に転送し相互接続しています ◦ 海底ケーブル は多額の資金だけではなく政府機関との交渉も必要で共同出資がほとん どでしたが、 Google は単独で所有する 海底ケーブル をいくつも保有しています（2022 年4月にはカナダと日本を結ぶ「Topaz」が新たに誕生しました） ◦ 海底ケーブル事業は Microsoft, Meta 等の 巨大IT企業 がしのぎを削っています 5 GoogleやMetaがのみ込む海底ケーブル、超巨大 ITのイントラ網に | 日経クロステック

6. 何が凄い？ Google の設備 ③ • データセンター ネットワーク「Jupiter」とSDN基盤「Andromeda」 ◦ Google はサーバーあたり

   100 Gb/秒 での帯域幅で数万台のサーバーが均一で任意の 通信を行える独自のネットワークアーキテクチャ Jupiter を構築しています（2015年時点 では 40Gb/秒 でした） ◦ 高いパフォーマンス、可用性、分離性を実現する仮想化ネットワーク基盤 Andromeda も 開発しています 6 The evolution of Google’s Jupiter data center network | Google Cloud Blog Enter the Andromeda zone: Google Cloud Platform's latest networking stack | Google Cloud Blog Google Cloud networking in depth: How Andromeda 2.2 enables high-throughput VMs | Google Cloud Blog

7. Google Cloud で利用できる ロケーション 7 • 2022年10月現在、Google Cloud には 34

   のリージョンと 103 のゾーンがあります ◦ 日本には 東京（asia-northeast1）と 大阪（asia-northeast2）があります ◦ 大阪リージョン は利用できるサービス が 東京リージョン より若干少ないので、国内で冗 長構成を検討される際は最新情報をご確認ください

8. Google Cloud プロダクト と ロケーション 8 • Google Cloud に限らず

   クラウド上にシステムを設計する上では ロケーション の理解が 重要です ◦ リージョン同士は地理的に完全に分離されるため障害発生の影響も完全に分離されます ▪ ゾーン も単一障害ドメインですが自然災害等では同時障害もあり得ます ▪ リージョン間のデータ転送 は地理的な距離が離れるため ネットワークレイテンシ が 大幅に低下します ▪ そこで前述した 海底ケーブル が重要な役割を担います ◦ リージョン と ゾーン を適切に使い分け、いかに対象システムのレイテンシ・可用性・耐久 性要件を充たして設計するかが アーキテクト には求められます

9. Google Cloud ネットワーク設計の基本 ① 9 • Google Cloud には「ゾーン リソース」「リージョン

   リソース」「グローバル リソース（マルチリー ジョン リソース）」があります ◦ VPC ネットワーク 及び ルート は グローバル リソース です ◦ アドレス は グローバル／リージョン リソース です ◦ サブネット は リージョン リソース です ◦ 以下のような ネットワーク構成 を ピアリング なしで簡単に実現できます VPC Subnet asia-northeast1 Subnet asia-northeast2 IP Address

10. Google Cloud ネットワーク設計の基本 ② 10 • VPC ネットワークを集約する VPC ネットワーク「共有VPC」

    ◦ １つの VPC に様々なリソースを紐づけると大規模ネットワークでは管理が煩雑になったり 制限に引っかかる場合もあるため適切に分離・集約します ◦ ファイアウォール も グローバル リソース あり、共有VPCを用いて以下のように セキュリ ティ も集約できます ▪ ちなみに、送信元 0.0.0.0/0 の インバウンド通信 を拒否する 暗黙ルール が全ての VPC に存在します（コンソールにも表示されません） Shared VPC VPC Network VPC Network Firewall

11. VPC Google Cloud ネットワーク設計の基本 ③ 11 • VPC ネットワーク同士を接続する「VPC ネットワーク

    ピアリング」 ◦ 組織/プロジェクトに関わらず VPC 同士を接続し サブネットルート を交換できます（カスタ ムルート は オプション 必須） ◦ VPC 間のネットワーク トラフィック は公共のインターネットを通過せずに プライベート IP でアクセスできます ◦ ハブスポークを構成しスポーク間の通信が必要な場合は Cloud VPN を利用します VPC Subnet asia-northeast1 Subnet asia-northeast2

12. Google Cloud ネットワーク設計の応用 ① 12 • VPC ネットワークの各種セキュリティ機能 ◦ 外部IP

    で公開されている Google API にプライベートにアクセスできる「限定公開 Google アクセス」 ◦ Google によって作成される VPC とプライベートに接続する「プライベート サービス アクセ ス」 ◦ サーバレス サービス と プライベート に接続する「サーバレス VPC アクセス」 VPC Google VPC Google API Cloud SQL, Memorystore etc. VM Machine Cloud Run Cloud Functions App Engine

13. Google Cloud ネットワーク設計の応用 ② 13 • Google Cloud に関する API

    自体を保護する「VPC Service Controls」 ◦ VPC ネットワークに紐づかない SaaS サービスの操作や作成されるリソース は ファイア ウォール では保護できません ◦ VPC Service Controls を利用することで、Cloud Storage の操作や BigQuery のデータ 移動などを保護することができます ▪ ポリシーによる上り/下り制御や異なる VPC Service Controls 境界同士を繋ぐ境界 ブリッジなどの機能があります ▪ プロダクト同士が暗黙的に API を使ったりするので上級者用サービスです VPC BigQuery API Cloud Storage API …

14. ご清聴ありがとうございました 14