たろログ2

実験的運用により、記事品質が乱高下することがあります。予めご了承ください。

2022-07-25 Google Cloud Skills Boost 実施

前書き

引き続き Course Resources | Google Cloud Skills Boost for Partners の PDF ファイルを読み進めた。

「Module 2: Networking Pricing and Billing」、「Module 3: Network Design and Deployment」の二つを完了。

かなりネットワークには詳しくなったと思う。本来の目的は「Cloud Security Engineer」だったと思うのだが、前提としてネットワークの学習が勧められているのでこんなことになっている。

Cloud Security Engineer を受験してしまうのもありなんじゃないかと少し考えていたりする。

トラフィック量に対する課金

GCE を例に、基本的な考え方を学んだ。

まず、 Ingressトラフィックは無料。 Egress に課金される。

また、内部IPアドレス同士で行われる同一ゾーン内での通信にも課金されない。

Egress のトラフィックについても、Youtube など Google への通信へは課金されない。

同一リージョン内における、 Google Cloud の別サービス (App Engine など) へのリクエストは課金されない。

同一ゾーン内での通信であっても、外部IPアドレスを利用して行う通信については課金される。

また異なるゾーン間の通信、異なるリージョン間の通信は課金される。当然だが、前者が後者よりも高くなることはないと考えられる (同額になることはありうるだろう)。

Static Address に対する課金

使っていない Static Address に対する課金は最も大きくなる。

GCE インスタンスの他、 CLB に用いられる forwarding rules にも Static Address を割り当てることができる。

Premier Tier と Regional Tier の違い

Premier Tier

  • Global で機能するネットワークであり、 CDN 機能が有効になる
  • Global SLA がある (Global SLA というのが何なのかはわからなかった)

Regional Tier

  • Regional に機能するネットワークである
  • Global SLA がない

VM の設置に関する推奨デザイン

ここから、ネットワーク周りに関するデザインについての説明となった。

まずは、 VM の設置は Availality Zone をまたぐように行おうねという話がされた。

Availavility を重視する場合は、同じサブネット内かつ異なるゾーンに VM インスタンスをデプロイし、耐障害性を高める。

サブネットについて同じものとするのは、 firewall ルールなどの付随する要素を一括管理できるためである。

なお、更なる耐障害性を求めるのであれば、リージョンを分けることになる。この場合、サブネットワークは別となる。

このような構成とする場合は、 LB でリージョン間のルーティングを行うのが楽ちんであるため推奨される。

Shared VPC を用いたネットワークのデザイン例

Shared VPC のホストネットワークをトラフィックのエンドポイントとする。

セキュリティアプライアンスをデプロイした GCE インスタンスを経由させ、子のプロジェクトの VPC にルーティングし、コンテンツを提供する。

これにより、セキュリティスキャンや WAF の機能をホストプロジェクトで提供し、またネットワークやプロジェクトについても分割することができる。

Cloud NAT

外部IPアドレスを割り当てることなく、 GCE のインスタンスがインターネットに接続できるようになる。

なお、適用されるのはアウトバウンド方向のみであるため、外部から GCE のインスタンスに接続することはできない。それを行うためには外部IPアドレスを割り当てる必要がある。

Private Google Access

外部IPアドレスの割り当てなしに、 GCE のインスタンスGoogle API の Public IP アドレスと通信できるようになる。

Teraform

かなりページを割いて、 Teraform について解説が行われていた。

Monitoring

ダッシュボードで CPU の使用状況やトラフィックの状況を可視化することができる。