VPC ネットワーク ピアリングの設定と管理

Google Cloud VPC ネットワーク ピアリングを使用すると、2 つの Virtual Private Cloud(VPC)ネットワークが同じ Google Cloud プロジェクトまたは組織に属しているかどうかにかかわらず、内部 IP アドレス接続を使用できます。ピアリングは、IPv4 のみ、デュアルスタック、IPv6 のみのサブネットの任意の組み合わせを使用するネットワーク間の接続をサポートします。

始める前に

IAM の権限

プロジェクトで次のいずれかのロールがあることを確認します。

  • Compute ネットワーク管理者のロールroles/compute.networkAdmin
  • 次の権限を含むカスタムロール:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

ピアリング構成を作成する

操作を始める前に、ピアリング先の VPC ネットワークの名前を確認する必要があります。ネットワークが別のプロジェクト内にある場合は、プロジェクト ID も必要です。VPC ネットワークのピアリング リクエストの一覧は表示できません。必要に応じて、ピアリングするネットワークの管理者にネットワーク名とプロジェクト ID を確認してください。

それぞれのネットワークが相手側のネットワークを参照するピアリングを構成すると、両方のネットワークが接続されます。詳細については、ピアリング接続についてをご覧ください。

Google Cloud では、ピアリングされたネットワーク間で一度に 1 つのピアリング オペレーションしか許可されません。たとえば、あるネットワークとのピアリングを設定し、すぐに別のネットワークとのピアリングを設定しようとすると、オペレーションは失敗し、Error: There is a peering operation in progress on the local or peer network. Try again later. が返されます。

コンソール

ピアリング接続の両側で次の操作を行います。

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [接続を作成] をクリックします。

  3. [続行] をクリックします。

  4. [Peering connection name] フィールドに、ピアリング構成の名前を入力します。

  5. [VPC ネットワーク] フィールドで、ピアリングするネットワークを選択します。

  6. [ピアリングした VPC ネットワーク] セクションで、ピアリングするネットワークを選択します。

    • ピアリング先のネットワークが同じプロジェクト内にある場合は、[プロジェクト [name-of-your-project]] を選択した後、ピアリング先のネットワークを選択します。
    • ピアリング先のネットワークが別のプロジェクト内にある場合は、[別のプロジェクト] を選択します。ピアリング先のネットワークを含むプロジェクト ID と、その VPC ネットワークの名前を指定します。

  7. ピアリングされたネットワーク間で交換するルートの IP バージョンを選択します。

    • IPv4(シングルスタック): IPv4 ルートのみを交換します。
    • IPv4 と IPv6(デュアル スタック): IPv4 ルートと IPv6 ルートの両方を交換します。

  8. IPv4 カスタムルートを交換するには、[IPv4 カスタムルートの交換] セクションで、次のオプションのいずれかまたは両方を選択します。

    • カスタムルートをインポートする: ピア ネットワークからカスタムルートをインポートします。ルートをインポートするには、ピア ネットワークでカスタムルートのエクスポートを有効にする必要があります。
    • カスタムルートをエクスポートする: カスタムルートをピア ネットワークにエクスポートします。ルートをエクスポートするには、ピア ネットワークでカスタムルートのインポートを有効にする必要があります。

  9. ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IPv4 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。

    プライベートで使用されるパブリック IPv4 サブネット ルートをインポートするには、[プライベートで使用されるパブリック IPv4 アドレスを使用したサブネット ルートの交換] セクションで、[パブリック IP を使用したサブネット ルートのインポート] を選択します。

  10. [詳細オプション] セクションで、ピアリング接続の更新戦略を選択します。

    • 独立(デフォルト): このオプションを選択すると、ピアリング接続の両側で、いつでも接続を更新または削除できます。詳細については、接続モードをご覧ください。
    • コンセンサス: このオプションを選択した場合、接続を削除するには、ピアリング接続の両側で削除リクエストを送信する必要があります。詳細については、接続モードをご覧ください。

  11. [作成] をクリックします。

gcloud

gcloud compute networks peerings create コマンドを使用します。

デフォルト構成を使用してピアリング構成を作成することも、構成をカスタマイズすることもできます。

デフォルトのピアリング構成を作成する

デフォルトのピアリング構成を作成するには、次のコマンドを実行します。

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \

次のように置き換えます。

  • PEERING_NAME: ピアリング構成の名前。
  • NETWORK: ピアリングするプロジェクトのネットワーク名。
  • PEER_PROJECT_ID: ピアリング先のネットワークを含むプロジェクトの ID。ピア ネットワークがネットワークと同じプロジェクトにある場合、このフラグは省略可能です。
  • PEER_NETWORK_NAME: ピアリング先のネットワーク名。

たとえば、project-anetwork-aproject-bnetwork-b とピアリングするには、次の操作を行います。

  1. network-a のピアリング構成を作成します。通常、この手順は network-a のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b

  2. network-b のピアリング構成を作成します。通常、この手順は network-b のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a

両方のネットワークでピアリング状態が ACTIVE に変わります。

ピアリング構成をカスタマイズする

ピアリング構成をカスタマイズするには、次のオプション パラメータを使用します。

  • --stack-type はピアリング接続のスタックタイプを設定します。デフォルトでは、IPv4 ルートのみが交換され、スタックタイプは IPV4_ONLY に設定されます。IPv4 ルートと IPv6 ルートの両方を交換するには、IPV4_IPV6 を指定します。
  • --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IPv4 アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IPv4 アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --update-strategy はピアリング接続の更新戦略を設定します。デフォルトでは、更新戦略は INDEPENDENT に設定されています。コンセンサス モードを使用するように接続を構成するには、CONSENSUS を指定します。更新戦略は、接続の両側で同じである必要があります。詳細については、接続モードをご覧ください。
例: ピアリング接続でカスタムルートを交換する

project-anetwork-aproject-bnetwork-b でカスタムルートを交換できるようにするには、ピアリング接続の作成時に次の操作を行います。

  1. network-a のピアリング構成を作成します。通常、この手順は network-a のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes

  2. network-b のピアリング構成を作成します。通常、この手順は network-b のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --export-custom-routes

両方のネットワークでピアリング状態が ACTIVE に変わります。この例の詳細については、2 つの VPC ネットワークをピアリングするクイックスタートをご覧ください。

例: コンセンサス モードでピアリング接続を作成する

コンセンサス モードでピアリング接続を作成するには、更新戦略を CONSENSUS に設定します。この例では、project-bnetwork-b とピアリングするように project-anetwork-a を構成します。

  1. network-a のピアリング構成を作成します。通常、この手順は network-a のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --update-strategy=CONSENSUS

  2. network-b のピアリング構成を作成します。通常、この手順は network-b のネットワーク管理者が行います。

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --update-strategy=CONSENSUS

両方のネットワークでピアリング状態が ACTIVE に変わります。

Terraform

Terraform モジュールを使用してピアリング構成を作成できます。

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 12.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

ピアリングされた 2 つの VPC ネットワークの場合、各セルフリンクにはプロジェクト ID と VPC ネットワークの名前が含まれます。VPC ネットワークのセルフリンクを取得するには、VPC ネットワーク プロジェクトそれぞれで gcloud compute networks describe コマンドまたは networks.get メソッドを使用します。

local_network から peer_network へのピアリングを作成すると、ピアリング関係は双方向になります。peer_network から local_network へのピアリングが自動的に作成されます。

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

ピアリングされた VPC ネットワーク間でトラフィックが送受信されていることを確認する

VPC Flow Logs を使用すると、VM インスタンスで送受信されたネットワーク フローを確認できます。また、ファイアウォール ルールロギングを使用して、ネットワーク間でのトラフィックの受け渡しを確認することもできます。ピアリングされるネットワーク間のトラフィックを許可(または拒否)する VPC ファイアウォール ルールを作成し、それらのルールのファイアウォール ルールロギングを有効にします。Cloud Logging で、どのファイアウォール ルールが一致したかを確認できます。

ピアリング接続を更新する

既存のピアリング接続を更新すると、次のことができます。

  • VPC ネットワークが、ピア VPC ネットワーク間でカスタムルートまたはプライベート パブリック IPv4 サブネット ルートのエクスポートまたはインポートを行うかどうかを変更します。
  • ピアリング接続を更新して、ピアリング ネットワーク間の IPv6 ルート交換を有効または無効にします。
  • 接続の更新戦略を変更して、ピアリング接続モードを独立(デフォルト)からコンセンサスに更新します。

ルートをインポートするのは、ピア ネットワークがルートをエクスポートしている場合のみです。ピア ネットワークでは、ルートをインポートする場合にのみルートを受け取ります。

接続を更新する(独立モード)

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 更新するピアリング接続を選択します。

  3. [編集] をクリックします。

  4. ピアリングされたネットワーク間で交換するルートの IP バージョンを更新するには、次のいずれかを選択します。

    • IPv4(シングルスタック): 既存の IPv6 ルートの交換を停止し、IPv4 ルートのみの交換を継続します。
    • IPv4 と IPv6(デュアル スタック): 一致するピアリング構成でもこのオプションが有効になっている場合、IPv4 ルートと IPv6 ルートの両方の交換を開始します。

  5. IPv4 カスタムルートを交換するには、[IPv4 カスタムルートの交換] セクションで、次のオプションのいずれかまたは両方を選択します。

    • カスタムルートをインポートする: ピア ネットワークからカスタムルートをインポートします。ルートをインポートするには、ピア ネットワークでカスタムルートのエクスポートを有効にする必要があります。
    • カスタムルートをエクスポートする: カスタムルートをピア ネットワークにエクスポートします。ルートをエクスポートするには、ピア ネットワークでカスタムルートのインポートを有効にする必要があります。

  6. ネットワークまたはピア ネットワークが、サブネット内でプライベート パブリック IPv4 範囲を使用している場合、これらのルートはデフォルトでエクスポートされますが、インポートされません。

    プライベートで使用されるパブリック IPv4 サブネット ルートをインポートするには、[プライベートで使用されるパブリック IPv4 アドレスを使用したサブネット ルートの交換] セクションで、[パブリック IP を使用したサブネット ルートのインポート] を選択します。

  7. [保存] をクリックします。

gcloud

gcloud compute networks peerings update コマンドを使用します。次のコマンドの角かっこ [] は、省略可能なフラグを示します。

  • --stack-type はピアリング接続のスタックタイプを設定します。デフォルトでは、IPv4 ルートのみが交換され、スタックタイプは IPV4_ONLY に設定されます。IPv4 ルートと IPv6 ルートの両方を交換するには、IPV4_IPV6 を指定します。
  • --import-custom-routes を使用すると、ネットワークはピアリングされるネットワークからカスタムルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-custom-routes を使用すると、ネットワークはピアリングされるネットワークにカスタムルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --import-subnet-routes-with-public-ip を使用すると、ネットワークがサブネット内でプライベート パブリック IPv4 アドレスを使用している場合に、ピアリングされたネットワークからサブネット ルートを受け取ります。まず、ピアリングされたネットワークでルートをエクスポートする必要があります。
  • --export-subnet-routes-with-public-ip を使用すると、ネットワークはプライベートで使用されているパブリック IPv4 アドレスを含むサブネット ルートをエクスポートします。ルートをインポートするように、ピアリングされたネットワークを設定する必要があります。
  • --update-strategy はピアリング接続の更新戦略を設定します。デフォルトでは、更新戦略は INDEPENDENT に設定されています。コンセンサス モードを使用するように接続を構成するには、CONSENSUS を指定します。更新戦略は、接続の両側で同じである必要があります。詳細については、接続モードをご覧ください。
gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip] \
    [--update-strategy=UPDATE_STRATEGY]

次のように置き換えます。

  • PEERING_NAME: 既存のピアリング構成の名前。
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。
  • STACK_TYPE: ピアリング接続のスタックタイプ。
    • IPv6 ルートの既存の交換を停止し、IPv4 ルートのみの交換を継続するには、IPV4_ONLY を指定します。
    • 一致するピアリング接続の stack_typeIPV4_IPV6 に設定されている場合は、IPv4 ルートと IPv6 ルートの交換を開始するために、IPV4_IPV6 を指定します。
  • UPDATE_STRATEGY: ピアリング接続の更新戦略(INDEPENDENT(デフォルト)または CONSENSUS)。このオプションを使用するには、接続をコンセンサス モードに更新するをご覧ください。

接続をコンセンサス モードに更新する

ピアリング接続を独立モード(デフォルト)からコンセンサス モードに更新するには、接続の更新戦略を変更します。更新戦略を変更する前に、コンセンサス モードの要件を確認してください。

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 更新するピアリング接続をクリックします。

  3. [編集] をクリックします。

  4. [詳細オプション] セクションで、[コンセンサス] を選択します。

  5. [保存] をクリックします。

    ローカル構成の更新戦略が「コンセンサス」に変更されます。更新リクエストを完了するには、ピア ネットワークのネットワーク管理者が、ピア構成に対して手順 1~4 を実行して、リクエストを承認する必要があります。

    両方の構成が更新されると、ピアリング接続の有効な更新戦略がコンセンサスに変更されます。

gcloud

gcloud compute networks peerings update コマンドを使用します。

  1. ローカル ピアリング構成を更新します。

    gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    --update-strategy=CONSENSUS

    次のように置き換えます。

    • PEERING_NAME: 既存のピアリング構成の名前。
    • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。

  2. 更新リクエストのステータスを表示します。

    gcloud compute networks describe NETWORK

    NETWORK は、ピアリングされたプロジェクト内のネットワークの名前に置き換えます。

    出力の consensusState フィールドには、次のステータスが表示されます。

    • ローカル ネットワークの構成では、PENDING_PEER_ACKNOWLEDGMENT
    • ピア ネットワークのマッチング構成では、PENDING_LOCAL_ACKNOWLEDGMENT

  3. 接続のピア側に対して手順 1 のコマンドを実行して、更新リクエストを承認します。

    通常、この手順はピア ネットワークのネットワーク管理者が行います。リクエストが完了すると、両方の構成の consensusState フィールドが IN_SYNC に変わります。

ピア ネットワークの承認を待機している更新リクエストを元に戻すには、更新戦略を独立にリセットします。

ピアリング接続を一覧表示する

既存のピアリング接続を一覧表示すると、それぞれのステータスと、カスタムルートのインポートまたはエクスポートが行われているかを確認できます。

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 目的のピアリング接続を選択し、詳細を表示します。

gcloud

gcloud compute networks peerings list

ピアリング接続を表示する

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. [ステータス] 列で、接続のステータスを確認します。

gcloud

gcloud compute networks describe コマンドを使用します。

gcloud compute networks describe NETWORK

NETWORK は、ピアリングされたプロジェクト内のネットワークの名前に置き換えます。

出力の peerings.connectionStatus フィールドには、ピアリング接続の有効なステータスが示されます。詳細については、接続ステータスをご覧ください。

ピアリング ルートを一覧取得する

コンソール

[適用されているルート] タブを使用すると、VPC ネットワークで使用可能なすべてのルートタイプ(インポートされたピアリング サブネット、ピアリング静的ルート、ピアリング動的ルートなど)を確認できます。

  1. Google Cloud コンソールで、[ルート] ページに移動します。

    [ルート] に移動

  2. [適用されているルート] タブで、次の操作を行います。

    • VPC ネットワークを選択します。
    • リージョンを選択します。

  3. [表示] をクリックします。

  4. [フィルタ] テキスト フィールドをクリックして、次の操作を行います。

    • [プロパティ] メニューから [タイプ] を選択します。
    • [] メニューから次のいずれかを選択します。
      • ピアリング サブネット: ピア VPC ネットワークからサブネット ルートを確認します。
      • ピアリング静的: ピア VPC ネットワークからインポートされた静的ルートを確認します。
      • ピアリング ダイナミック: ピア VPC ネットワークからインポートされた動的ルートを確認します。

  5. 必要に応じて、[Show suppressed routes] をクリックして、抑制されたルートを表示します。[ステータス] 列のアイコンにポインタを合わせると、ルートの抑制理由が表示されます。理由には、説明のあるルーティング順序ドキュメントへのリンクが含まれます。

gcloud

次の Google Cloud CLI コマンドを使用して、以下の操作を行います。

  • VPC ネットワークからピア VPC ネットワークに送信されたルート エクスポートを一覧取得します。
  • VPC ネットワークのルート インポート候補を一覧取得します。
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

次のように置き換えます。

  • PEERING_NAME: 既存のピアリング接続の名前。
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。
  • REGION: すべての動的ルートの一覧を取得するリージョン。サブネット ルートと静的ルートはグローバルであるため、すべてのリージョンに表示されます。
  • DIRECTION: インポートされたルート(incoming)とエクスポートされたルート(outgoing)のどちらの一覧を取得するかを指定します。

ピアリング接続を削除する

ネットワークでピアリング構成を削除すると、相手側のネットワークでピアリング接続が非アクティブになり、ネットワーク間で共有されていたすべてのルートが削除されます。

ピアリング接続を削除する手順は、接続に構成されている更新戦略によって異なります。

  • 独立(デフォルト): ユーザーまたはピア VPC ネットワークのネットワーク管理者はいつでも接続を削除できます。接続を削除する(独立モード)をご覧ください。
  • コンセンサス: 接続を削除するには、ユーザーとピア VPC ネットワークのネットワーク管理者の両方が削除リクエストを送信する必要があります。接続を削除する(コンセンサス モード)をご覧ください。

接続を削除する(独立モード)

独立モード(デフォルト)でピアリング接続を削除するには、次の操作を行います。

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 削除するピアリング接続の横にあるチェックボックスをオンにします。

  3. [削除] をクリックします。

    ピア ネットワークの接続のステータスが [非アクティブ] に変わります。非アクティブな構成を削除するには、ピア ネットワークのネットワーク管理者が接続のピア側で次の手順を行います。

gcloud

gcloud compute networks peerings delete コマンドを使用します。

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

次のように置き換えます。

  • PEERING_NAME: 削除するピアリング構成の名前。
  • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。

ピア ネットワークに対して、接続のステータスが INACTIVE に変わります。非アクティブな構成を削除するには、ピア ネットワークのネットワーク管理者が接続のピア側でこの手順を実行します。

接続を削除する(コンセンサス モード)

コンセンサス モードでピアリング接続を削除するには、次の操作を行います。

コンソール

  1. Google Cloud コンソールで [VPC ネットワーク ピアリング] ページに移動します。

    [VPC ネットワーク ピアリング] に移動

  2. 削除するピアリング接続をクリックします。

  3. [ピアリング接続の詳細] ページで、[削除をリクエスト]、[確認] の順にクリックします。

  4. 接続のピア側で手順 1~3 を実行して、削除リクエストを承認します。

    通常、これらの手順はピア ネットワークのネットワーク管理者によって実行されます。ピアリング接続の両側で削除リクエストが送信されると、両方の構成で接続のステータスが [Active, delete acknowledged] に変わります。

  5. 削除するピアリング接続を選択して、[削除] をクリックします。

    ピア ネットワークの接続のステータスが [非アクティブ] に変わります。非アクティブな構成を削除するには、ピア ネットワークのネットワーク管理者が接続のピア側でこの手順を実行します。

gcloud

gcloud compute networks peerings request-delete コマンドと gcloud compute networks peerings delete コマンドを使用します。

  1. 削除リクエストを開始します。

    gcloud compute networks peerings request-delete PEERING_NAME \
    --network=NETWORK

    次のように置き換えます。

    • PEERING_NAME: 削除するピアリング接続の名前。
    • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。

  2. 削除リクエストのステータスを確認します。

    gcloud compute networks describe NETWORK

    NETWORK は、ピアリングされたプロジェクト内のネットワークの名前に置き換えます。

    出力の deleteStatus フィールドには、次のステータスが表示されます。

    • ローカル ネットワークの構成では、LOCAL_DELETE_REQUESTED
    • ピア ネットワークのマッチング構成では、PEER_DELETE_REQUESTED

  3. 接続のピア側に対して手順 1 のコマンドを実行して、削除リクエストを承認します。

    通常、この手順はピア ネットワークのネットワーク管理者が行います。接続の両側で削除リクエストが送信されると、両方の構成で deleteStatus フィールドのステータスが DELETE_ACKNOWLEDGED に変わります。

  4. ピアリング接続を削除します。

    gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

    次のように置き換えます。

    • PEERING_NAME: 削除するピアリング構成の名前。
    • NETWORK: ピアリングされているプロジェクト内のネットワークの名前。

    ピア ネットワークに対して、接続のステータスが INACTIVE に変わります。非アクティブな構成を削除するには、ピア ネットワークのネットワーク管理者が接続のピア側でこの手順を実行します。

トラブルシューティング

以降のセクションでは、VPC ネットワーク ピアリングのトラブルシューティング方法について説明します。

ピア VM に到達できない

ピアリング接続が ACTIVE になった後、ピアリングされたネットワーク間ですべてのトラフィック フローが設定されるまでに 1 分ほどかかることがあります。所要時間は、ピアリングしているネットワークのサイズによって異なります。ピアリング接続を最近設定した場合は、1 分ほど待ってからもう一度試してください。また、ピア VPC ネットワークのサブネット CIDR へのアクセスおよび CIDR からのアクセスをブロックするファイアウォール ルールがないことを確認してください。

カスタムルートが見つからない

このセクションでは、カスタムルートが見つからない場合のトラブルシューティング方法について説明します。

ピアリング接続の状態を確認する

ピアリング接続の状態を確認する手順は次のとおりです。

  1. ピアリング接続を一覧取得します
  2. トラブルシューティングするピアリング接続を特定し、ピアリングの状態を確認します。
    1. 状態が ACTIVE の場合は、次のセクションの手順に沿って操作します。
    2. ピアリング状態が INACTIVE の場合、他のネットワークのネットワーク管理者が VPC ネットワークにピアリング構成を作成する必要があります。

ACTIVE 接続のトラブルシューティング

ACTIVE ピアリング接続でカスタムルートが見つからない場合にトラブルシューティングを行うには:

  1. VPC ネットワークのピアリング ルートを一覧取得します。[適用されているルート] タブで、次の操作を行います。

    1. 動的ルートがプログラムされるリージョンは、カスタムルートをエクスポートする VPC ネットワークの動的ルーティング モードによって異なります。詳細については、動的ルーティング モードの影響をご覧ください。グローバル動的ルーティング モードでは、ネクストホップのリージョンと一致しないリージョンに、最も高いランクの動的ルートのみがプログラムされます。

    2. [Show suppressed routes] 切り替えボタンをクリックしてオンの位置に切り替え、ルートを確認します。ルートの抑制の理由を表示するには、[ステータス] 列のアイコンにカーソルを合わせます。 Google Cloud は、VPC ネットワーク ピアリングを使用してルートをインポートする VPC ネットワークで、リージョンごとにルート競合を解決します。

    3. VPC ネットワークがピアリング グループ割り当てあたりのリージョンごとの動的ルートの上限に達したことを示す警告を確認します。VPC ネットワークがこの割り当ての上限に達している場合、1 つ以上のピアリング動的ルートがプログラムされていません。どのピアリング動的ルートがプログラムされていないかを正確に示すことはできないため、ピアリング グループごとのリージョンあたりの動的ルートの割り当て上限の増加をリクエストします。

  2. 想定したルートがまだ表示されない場合は、次の操作を行います。

    1. ピアリング構成を確認し、必要に応じてピアリング構成を更新して、カスタムルートをインポートします。

    2. ルートが、VPC ネットワーク ピアリングを使用して交換できない次のルートタイプのいずれかではないことを確認します。

      • ピアリングされた VPC ネットワーク内のピアリング サブネット、ピアリング静的ルート、ピアリング動的ルートは、他のピア ネットワークから受信されたもので、VPC ネットワーク ピアリングを使用して VPC ネットワークと交換することはできません。

      • デフォルト インターネット ゲートウェイのネクストホップを使用する静的ルート、およびネットワーク タグを持つ静的ルートは、VPC ネットワーク ピアリングを使用して交換できません

      詳細については、ルート交換オプションをご覧ください。

    3. ピアリングされた VPC ネットワークのネットワーク管理者に、次のことを依頼します。

      1. VPC ネットワーク内のルートを一覧取得して、想定されるルートを探します。

      2. ピアリング構成を確認して、必要に応じてピアリング構成を更新し、カスタムルートをエクスポートするようにします。

ピア ネットワークを宛先とするトラフィックがドロップされる

接続テストを使用すると、ピア ネットワークを宛先とするトラフィックがドロップされる理由を特定できます。カスタムルートを使用してトラフィックを送信する必要がある場合は、カスタムルートが見つからないをご覧ください。

トラフィックが想定外のネクストホップに送信される

接続テストを使用すると、トラフィックが想定外のネクストホップに送信される理由を特定できます。カスタムルートを使用してトラフィックを送信する必要がある場合は、カスタムルートが見つからないをご覧ください。

特定の VPC ネットワークとピアリングできない

特定の VPC ネットワークでピアリング構成を作成できない場合は、組織のポリシーによって、ネットワークでピアリングできる VPC ネットワークが制限されていることもあります。組織ポリシーで、許可されたネットワークのリストに、ロードバランサを作成するピアを追加するか、組織管理者にお問い合わせください。詳細については、constraints/compute.restrictVpcPeering の制約をご覧ください。

IPv6 ルートが交換されない

まず、ピアリング接続とピアリングされた VPC ネットワークのピアリング接続の両方で、スタックタイプが IPV4_IPV6 に設定されていることを確認します。必要であれば、次の操作を行います。

  • ピアリング接続を更新して、スタックタイプを IPV4_IPV6 に設定します。
  • ピアリング接続を更新してスタックタイプを IPV4_IPV6 に設定するよう、ピアリングされた VPC ネットワークのネットワーク管理者に依頼します。

両方のピアリング接続でスタックタイプが IPV4_IPV6 に設定されると、IPv6 サブネット ルート(内部と外部の両方)が交換されます。IPv6 サブネット ルートは、すべての Google Cloud VPC ネットワーク内で一意です。

IPv6 カスタムルートを交換するには:

  • ピアリング接続を更新して、カスタムルートのインポートとエクスポートを行います。
  • ピアリング接続を更新してカスタムルートのインポートとエクスポートを行うように、ピアリングされた VPC ネットワークのネットワーク管理者に依頼します。

次のステップ