2022-07-25 Google Cloud Skills Boost 実施
前書き
引き続き Course Resources | Google Cloud Skills Boost for Partners の PDF ファイルを読み進めた。
「Module 2: Networking Pricing and Billing」、「Module 3: Network Design and Deployment」の二つを完了。
かなりネットワークには詳しくなったと思う。本来の目的は「Cloud Security Engineer」だったと思うのだが、前提としてネットワークの学習が勧められているのでこんなことになっている。
Cloud Security Engineer を受験してしまうのもありなんじゃないかと少し考えていたりする。
トラフィック量に対する課金
GCE を例に、基本的な考え方を学んだ。
まず、 Ingress のトラフィックは無料。 Egress に課金される。
また、内部IPアドレス同士で行われる同一ゾーン内での通信にも課金されない。
Egress のトラフィックについても、Youtube など Google への通信へは課金されない。
同一リージョン内における、 Google Cloud の別サービス (App Engine など) へのリクエストは課金されない。
同一ゾーン内での通信であっても、外部IPアドレスを利用して行う通信については課金される。
また異なるゾーン間の通信、異なるリージョン間の通信は課金される。当然だが、前者が後者よりも高くなることはないと考えられる (同額になることはありうるだろう)。
Static Address に対する課金
使っていない Static Address に対する課金は最も大きくなる。
GCE インスタンスの他、 CLB に用いられる forwarding rules にも Static Address を割り当てることができる。
Premier Tier と Regional Tier の違い
Premier Tier
Regional Tier
- Regional に機能するネットワークである
- Global SLA がない
VM の設置に関する推奨デザイン
ここから、ネットワーク周りに関するデザインについての説明となった。
まずは、 VM の設置は Availality Zone をまたぐように行おうねという話がされた。
Availavility を重視する場合は、同じサブネット内かつ異なるゾーンに VM インスタンスをデプロイし、耐障害性を高める。
サブネットについて同じものとするのは、 firewall ルールなどの付随する要素を一括管理できるためである。
なお、更なる耐障害性を求めるのであれば、リージョンを分けることになる。この場合、サブネットワークは別となる。
このような構成とする場合は、 LB でリージョン間のルーティングを行うのが楽ちんであるため推奨される。
Shared VPC を用いたネットワークのデザイン例
Shared VPC のホストネットワークをトラフィックのエンドポイントとする。
セキュリティアプライアンスをデプロイした GCE インスタンスを経由させ、子のプロジェクトの VPC にルーティングし、コンテンツを提供する。
これにより、セキュリティスキャンや WAF の機能をホストプロジェクトで提供し、またネットワークやプロジェクトについても分割することができる。
Cloud NAT
外部IPアドレスを割り当てることなく、 GCE のインスタンスがインターネットに接続できるようになる。
なお、適用されるのはアウトバウンド方向のみであるため、外部から GCE のインスタンスに接続することはできない。それを行うためには外部IPアドレスを割り当てる必要がある。
Private Google Access
外部IPアドレスの割り当てなしに、 GCE のインスタンスが Google API の Public IP アドレスと通信できるようになる。
Teraform
かなりページを割いて、 Teraform について解説が行われていた。