クラウド アーキテクトは、Azure のクラウド インフラストラクチャの柱の一つがネットワークであることを理解しています。さまざまなリソースを接続する方法、ネットワーク セグメンテーションを実現する方法、セキュリティを確保する方法などが、Google Cloud で作業する際のクラウド アーキテクトの主な関心事です。

Azure には複数のリージョンがあり、そこに必要な数だけ仮想ネットワーク（VNet）をデプロイできます。VNet は、インフラストラクチャとその内部のデプロイメントを接続するための、分離された専用リソースです。

Azure の VNet は、範囲がリージョンに依存し、単一のリージョン内でのみ存在できます。ただし、Microsoft のバックボーンを使った Peering Service を利用することで、プライバシーと完全性を確保しながら VNet を相互接続できます。

ハイブリッドなシナリオに対応する必要がある場合は、Azure の仮想ネットワーク ゲートウェイを利用することで、ローカルのデータセンターと通信できます。

Azure では、すべての仮想ネットワークとサブネットが、1 つのリージョン上のすべてのアベイラビリティ ゾーンにまたがっています。これは、仮想ネットワークやサブネットをアベイラビリティ ゾーンごとに分割する必要はないということです。ベスト プラクティスに従い、セキュリティ グループ、ルートテーブル、Azure Firewall ルールを作成することで、ネットワーク セキュリテイを強化できます。

以上の内容を念頭に置いたうえで、堅牢なアーキテクチャをデプロイできる Google Cloud のネットワーキング サービスについて学んでいきましょう。

概要

Google Cloud Virtual Private Cloud（VPC）は、Compute Engine 仮想マシン（VM）インスタンス、Kubernetes Engine コンテナ、App Engine フレキシブル環境にネットワーキング機能を提供しています。つまり、VPC ネットワークがなければ VM インスタンス、コンテナ、App Engine アプリケーションを作成することはできません。そのため、新しい Google Cloud プロジェクトには、すぐに使えるように デフォルトの ネットワークが用意されています。

VPC ネットワークは、Google Cloud 内で仮想化されているという点を除き、物理ネットワークと同様のものと考えることができます。VPC ネットワークは、複数のデータセンター内のリージョン仮想サブネットワーク（サブネット）のリストで構成されるグローバル リソースであり、すべてグローバルな広域ネットワーク（WAN）で接続されています。VPC ネットワークは、Google Cloud 内で互いに論理的に分離されています。

このラボでは、ファイアウォール ルールを含む自動モードの VPC ネットワークと、2 つの VM インスタンスを作成します。その後、自動モードのネットワークをカスタムモードのネットワークに変換し、さらに以下のネットワーク図の例に示すカスタムモード ネットワークを追加で作成します。また、ネットワーク間の接続性もテストします。

目標

このラボでは、次のタスクの実行方法について学びます。

• デフォルトの VPC ネットワークについて確認する
• ファイアウォール ルールを含む自動モードのネットワークを作成する
• 自動モードのネットワークをカスタムモードのネットワークに変換する
• ファイアウォール ルールを含むカスタムモードの VPC ネットワークを作成する
• Compute Engine を使用して VM インスタンスを作成する
• VPC ネットワーク間の VM インスタンスの接続性を調べる

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. シークレット ウィンドウを使用して Google Skills にログインします。

2. ラボのアクセス時間（例: 1:15:00）に注意し、時間内に完了できるようにしてください。 一時停止機能はありません。必要な場合はやり直せますが、最初からになります。

3. 準備ができたら、[ラボを開始] をクリックします。

4. ラボの認証情報（ユーザー名とパスワード）をメモしておきます。この情報は、Google Cloud コンソールにログインする際に使用します。

5. [Google コンソールを開く] をクリックします。

6. [別のアカウントを使用] をクリックし、このラボの認証情報をコピーしてプロンプトに貼り付けます。 他の認証情報を使用すると、エラーや料金が発生します。

7. 利用規約に同意し、再設定用のリソースページをスキップします。

タスク 1. デフォルトのネットワークについて確認する

各 Google Cloud プロジェクトは default ネットワークを備えています。このネットワークには、サブネット、ルート、ファイアウォール ルールが含まれています。

サブネットを確認する

デフォルトの ネットワークには、各 Google Cloud リージョンのサブネットが含まれています。

• Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] の順にクリックします。
• default ネットワークとそのサブネットが表示されます。
  各サブネットはそれぞれ 1 つの Google Cloud リージョンとプライベート RFC 1918 CIDR ブロックに関連付けられています。この CIDR ブロックは内部 IP アドレス範囲とゲートウェイに使用されます。

ルートを表示する

ルートは、VM インスタンスと VPC ネットワークに対して、インスタンスから宛先（ネットワーク内部または Google Cloud の外部）にトラフィックを送信する方法を指定するものです。各 VPC ネットワークにはいくつかのデフォルト ルートが用意されており、サブネット間でのトラフィックのルーティングや、条件を満たすインスタンスからインターネットへのトラフィックの送信に使用されます。

• 左側のペインで [ルート] をクリックします。
  各サブネットのルートと、デフォルト インターネット ゲートウェイ（0.0.0.0/0）のルートが表示されます。
  これらのルートは自動的に管理されますが、カスタムの静的ルートを作成して一部のパケットを特定の宛先に送信することもできます。たとえば、NAT ゲートウェイとして構成されたインスタンスにすべての送信トラフィックを送るルートを作成することも可能です。

ファイアウォール ルールを表示する

各 VPC ネットワークには、構成可能な分散仮想ファイアウォールが実装されています。ファイアウォール ルールを使用すると、どのパケットをどの宛先に送信できるようにするかをコントロールできます。また、あらゆる VPC ネットワークには、すべての受信接続をブロックし、すべての送信接続を許可するという 2 つの暗黙ファイアウォール ルールが存在します。

• 左側のペインで、[ファイアウォール] をクリックします。
  default ネットワークには、次の 4 つの内向きのファイアウォール ルールがあります。

  • default-allow-icmp
  • default-allow-rdp
  • default-allow-ssh
  • default-allow-internal

  これらのファイアウォール ルールにより、任意の送信元（0.0.0.0/0）からの ICMP、RDP、SSH の内向きトラフィックと、このネットワーク（10.128.0.0/9）内の TCP、UDP、ICMP のすべてのトラフィックが許可されます。[ターゲット]、[フィルタ]、[プロトコル / ポート]、[アクション] の各列でこれらのルールの設定がわかります。

ファイアウォール ルールを削除する

1. 左側のペインで、[ファイアウォール] をクリックします。
2. デフォルト ネットワークのファイアウォール ルールをすべて選択します。
3. [削除] をクリックします。
4. [削除] をもう一度クリックして、ファイアウォール ルールの削除を確定します。

デフォルト ネットワークを削除する

1. 左側のペインで [VPC ネットワーク] をクリックします。
2. default ネットワークを選択します。
3. [VPC ネットワークの削除] をクリックします。
4. [削除] をクリックして、default ネットワークの削除を確定します。

ネットワークが削除されるまで待ってから次に進みます。

5. 左側のペインで [ルート] をクリックします。

ルートが表示されていないことを確認します。

6. 左側のペインで、[ファイアウォール] をクリックします。

ファイアウォール ルールが表示されていないことを確認します。

注: VPC ネットワークがない場合は、ルートもありません。

VM インスタンスを作成してみる

VPC ネットワークがない場合は VM インスタンスを作成できないことを確認します。

1. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。
2. [インスタンスを作成] をクリックします。
3. デフォルト値をそのまま使用して [作成] をクリックします。

エラーが表示されます。

4. [インスタンスを作成] をクリックします。
5. [詳細オプション] をクリックします。
6. [ネットワーキング] をクリックします。[ネットワーク インターフェース] に「使用できるその他のネットワークがありません」というエラーが表示されます。
7. [キャンセル] をクリックします。

注: 想定どおり、VM インスタンスの作成には VPC ネットワークが必要です。

タスク 2. 自動モードのネットワークを作成する

ラボの冒頭で述べたように、自動モードのネットワークと 2 つの VM インスタンスを作成します。自動モードのネットワークは各リージョン内にサブネットを自動的に作成するため、簡単に設定して使用できます。ただし、VPC ネットワーク内で作成されるサブネットを完全に制御することはできません（使用するリージョンや IP アドレス範囲などを自由に設定することはできません）。

自動モードのネットワークを選択する際の考慮事項の詳細については、Google VPC ドキュメントをご覧ください。このラボでは、プロトタイピングを目的として自動モードのネットワークを使用することを想定します。

ファイアウォール ルールを含む自動モードの VPC ネットワークを作成する

1. ナビゲーション メニュー（）で、[VPC ネットワーク] > [VPC ネットワーク] をクリックします。
2. [VPC ネットワークを作成] をクリックします。
3. [名前] に「mynetwork」と入力します。
4. [サブネット作成モード] で [自動] をクリックします。

自動モードのネットワークは、各リージョンのサブネットを自動的に作成します。

5. [ファイアウォール ルール] で、選択可能なすべてのルールのチェックボックスをオンにします。

これらのルールは、デフォルト ネットワークに含まれている標準のファイアウォール ルールと同じです。deny-all-ingress ルールと allow-all-egress ルールも表示されますが、これらは暗黙のルールなので、選択したり無効にしたりすることはできません。この 2 つのルールは優先度が低いため（値が大きいほど優先度が低い）、ICMP、カスタム、RDP、SSH の許可ルールが先に検討されます。

6. [作成] をクリックします。

7. 新しいネットワークの準備ができたら、[mynetwork] をクリックします。 と のサブネットの IP アドレス範囲を書き留めておいてください。

注: デフォルト ネットワークを削除しても、上述のように自動モードのネットワークを作成すればすぐに作り直すことができます。

に VM インスタンスを作成する

リージョンに VM インスタンスを作成します。リージョンとゾーンを選択するとサブネットが決まり、そのサブネットの IP アドレス範囲から内部 IP アドレスが割り当てられます。

1. ナビゲーション メニュー（）で、[Compute Engine] > [VM インスタンス] をクリックします。

2. [インスタンスを作成] をクリックします。

3. 以下を指定します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	mynet-us-vm
   リージョン
   ゾーン

4. [シリーズ] で [E2] を選択します。

5. [マシンタイプ] で、[e2-medium（2 vCPU、4 GB メモリ）] を選択します。

6. [OS とストレージ] をクリックします。

7. 表示されるイメージが「Debian GNU/Linux 12（bookworm）」でない場合は、[変更] をクリックして [Debian GNU/Linux 12（bookworm）] を選択し、[選択] をクリックします。

8. [ネットワーキング] をクリックします。

9. [ネットワーク タグ] に「iap-gce」と入力します。

10. [作成] をクリックします。

に VM インスタンスを作成する

リージョンに VM インスタンスを作成します。

1. [インスタンスを作成] をクリックします。

2. 以下を指定します。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	mynet-eu-vm
   リージョン
   ゾーン

3. [シリーズ] で [E2] を選択します。

4. [マシンタイプ] で、[e2-medium（2 vCPU、4 GB メモリ）] を選択します。

5. [OS とストレージ] をクリックします。

6. 表示されるイメージが「Debian GNU/Linux 12（bookworm）」でない場合は、[変更] をクリックして [Debian GNU/Linux 12（bookworm）] を選択し、[選択] をクリックします。

7. [ネットワーキング] をクリックします。

8. [ネットワーク タグ] に「iap-gce」と入力します。

9. [作成] をクリックします。

注: どちらの VM インスタンスでも、[外部 IP] のアドレスは一時的なもの（エフェメラル）です。インスタンスが停止すると、インスタンスに割り当てられているエフェメラル外部 IP アドレスは解放されて汎用の Compute Engine プールに戻され、他のプロジェクトで使用できるようになります。

停止したインスタンスが再起動されると、インスタンスに新しいエフェメラル外部 IP アドレスが割り当てられます。または、静的な外部 IP アドレスを予約して、明示的に解放するまで無期限でプロジェクトに割り当てることもできます。

VM インスタンスの接続性を確認する

mynetwork で作成したファイアウォール ルールでは、mynetwork の内部（内部 IP）と外部（外部 IP）からの SSH と ICMP の内向きトラフィックが許可されます。

1. ナビゲーション メニューで、[Compute Engine] > [VM インスタンス] をクリックします。

mynet-eu-vm の外部 IP アドレスと内部 IP アドレスを書き留めます。

2. mynet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。

注: allow-ssh ファイアウォール ルールによって、tcp:22 に対する内向きトラフィックがすべて許可（送信元は任意: 0.0.0.0/0）されているため、SSH でインスタンスに接続できます。また、Compute Engine が SSH 認証鍵を自動的に作成して次のいずれかの場所に保存するため、SSH 接続はシームレスに機能します。

• デフォルトでは、生成された鍵はプロジェクトまたはインスタンスのメタデータに追加されます。
• OS Login を使用するようにアカウントが構成されている場合、生成された鍵はユーザー アカウントとともに保存されます。

SSH 認証鍵を作成し、公開 SSH 認証鍵のメタデータを編集することで、Linux インスタンスへのアクセスを制御することもできます。

3. 次のコマンドを実行して、mynet-eu-vm の内部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、mynet-eu-vm の内部 IP に置き換えます。

ping -c 3 <mynet-eu-vm の内部 IP を入力>

allow-custom ファイアウォール ルールで許可されているため、mynet-eu-vm の内部 IP に ping を実行できます。

4. 次のコマンドを実行して、mynet-eu-vm の外部 IP への接続性をテストします。コマンドのプレースホルダは、mynet-eu-vm の外部 IP に置き換えます。

ping -c 3 <mynet-eu-vm の外部 IP を入力>

注: 想定どおり、mynet-us-vm に SSH で接続し、mynet-eu-vm の内部 IP アドレスと外部 IP アドレスに対して ping を通すことができます。同様に、SSH で mynet-eu-vm に接続し、mynet-us-vm の内部 IP アドレスと外部 IP アドレスに対して ping を通すこともできます。

カスタムモードのネットワークに変換する

これまでのところ、自動モードのネットワークは正常に機能しています。次のタスクでは、これをカスタムモードのネットワークに変換し、新しいリージョンが利用可能になっても自動的にサブネットが作成されないようにします。サブネットが自動的に作成されると、手動で作成したサブネットや静的ルートで使用される IP アドレスとの重複が発生したり、ネットワーク計画全体に影響したりする可能性があります。

1. ナビゲーション メニュー（）で、[VPC ネットワーク] > [VPC ネットワーク] をクリックします。
2. [mynetwork] をクリックしてネットワークの詳細を表示します。
3. [編集] をクリックします。
4. [サブネット作成モード] で [カスタム] を選択します。
5. [保存] をクリックします。
6. [VPC ネットワーク] ページに戻ります。

mynetwork の [モード] が [カスタム] に変わるまで待ちます。

待機中に [更新] をクリックして、現在の状態を確認することもできます。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 VPC ネットワークと VM インスタンスを作成する

注: 自動モードのネットワークは簡単にカスタムモードのネットワークに変換できます。この変換を行うことで、より柔軟にネットワークを構成できるようになります。本番環境ではカスタムモードのネットワークを使用することをおすすめします。

タスク 3. カスタムモードのネットワークを作成する

このタスクでは、以下のサンプル図のように SSH、ICMP、RDP の内向きトラフィックを許可するファイアウォール ルールを含む 2 つのカスタム ネットワーク（managementnet と privatenet）と、VM インスタンス（vm-appliance 以外）を作成します。

これらのネットワークの IP CIDR 範囲は重複していないため、ネットワーク間に VPC ピアリングなどのメカニズムを設定できます。お使いのオンプレミス ネットワークとは異なる IP CIDR 範囲を指定すると、VPN または Cloud Interconnect を使用したハイブリッド接続の構成も可能になります。

managementnet ネットワークを作成する

Cloud コンソールを使用して managementnet ネットワークを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] の順にクリックします。

2. [VPC ネットワークを作成] をクリックします。

3. [名前] に「managementnet」と入力します。

4. [サブネット作成モード] で [カスタム] をクリックします。

5. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	managementsubnet-us
   リージョン
   IPv4 範囲	10.240.0.0/20

6. [完了] をクリックします。

7. [同等のコマンドライン] をクリックします。

   これらのコマンドは、gcloud コマンドラインを使用してネットワークとサブネットを作成できることを示しています。後ほど、このようなコマンドに同様のパラメータを指定して、privatenet ネットワークを作成します。

8. [閉じる] をクリックします。

9. [作成] をクリックします。

privatenet ネットワークを作成する

gcloud コマンドラインを使用して privatenet ネットワークを作成します。

1. Google Cloud コンソールで、Cloud Shell をアクティブにするアイコン（）をクリックします。
2. プロンプトが表示されたら、[続行] をクリックします。
3. 次のコマンドを実行して privatenet ネットワークを作成します。[承認] をクリックします（求められた場合）。

gcloud compute networks create privatenet --subnet-mode=custom

4. 次のコマンドを実行して privatesubnet-us サブネットを作成します。

gcloud compute networks subnets create privatesubnet-us --network=privatenet --region={{{project_0.default_region|Lab region}}} --range=172.16.0.0/24

5. 次のコマンドを実行して privatesubnet-eu サブネットを作成します。

gcloud compute networks subnets create privatesubnet-eu --network=privatenet --region={{{project_0.default_region_2|Region 2}}} --range=172.20.0.0/20

6. 次のコマンドを実行して、使用可能な VPC ネットワークを一覧表示します。

gcloud compute networks list

出力は次のようになります。

NAME: managementnet SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: NAME: mynetwork SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: NAME: privatenet SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

7. 次のコマンドを実行して、使用可能な VPC サブネットを（VPC ネットワーク別に並び替えて）一覧表示します。

gcloud compute networks subnets list --sort-by=NETWORK 注: managementnet ネットワークと privatenet ネットワークはカスタムモードのネットワークであるため、作成したサブネットのみが含まれます。mynetwork もカスタムモードのネットワークですが、最初に自動モードのネットワークとして開始したため、各リージョンにサブネットが作成されています。

8. Cloud コンソールのナビゲーション メニュー（）で [VPC ネットワーク] > [VPC ネットワーク] の順にクリックします。
   Cloud コンソールにも同じネットワークとサブネットが一覧表示されることを確認します。

managementnet 用のファイルウォール ルールを作成する

managementnet ネットワーク上の VM インスタンスに対する SSH、ICMP、RDP の内向きトラフィックを許可するように、ファイアウォール ルールを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] > [ファイアウォール] をクリックします。

2. [ファイアウォール ルールを作成] をクリックします。

3. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	managementnet-allow-icmp-ssh-rdp
   ネットワーク	managementnet
   ターゲット	ネットワーク上のすべてのインスタンス
   ソースフィルタ	IPv4 範囲
   送信元 IPv4 範囲	0.0.0.0/0
   プロトコルとポート	指定したプロトコルとポート

注: すべてのネットワークを指定するために、[ソース IPv4 の範囲] には /0 を含めます。

4. [tcp] を選択し、ポート「22」と「3389」を指定します。

5. [その他のプロトコル] を選択して、icmp プロトコルを指定します。

6. [同等のコマンドライン] をクリックします。

   これらのコマンドは、gcloud コマンドラインでもファイアウォール ルールを作成できることを示しています。後ほど、これらのコマンドに同様のパラメータを指定して、privatenet のファイアウォール ルールを作成します。

7. [閉じる] をクリックします。

8. [作成] をクリックします。

privatenet 用のファイアウォール ルールを作成する

gcloud コマンドラインを使用して privatenet ネットワーク用のファイアウォール ルールを作成します。

1. Cloud Shell に戻ります。必要に応じて、Cloud Shell をアクティブにするアイコン（）をクリックします。
2. 次のコマンドを実行して、privatenet-allow-icmp-ssh-rdp ファイアウォール ルールを作成します。

gcloud compute firewall-rules create privatenet-allow-icmp-ssh-rdp --direction=INGRESS --priority=1000 --network=privatenet --action=ALLOW --rules=icmp,tcp:22,tcp:3389 --source-ranges=0.0.0.0/0

出力は次のようになります。

NAME: privatenet-allow-icmp-ssh-rdp NETWORK: privatenet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: icmp,tcp:22,tcp:3389 DENY: DISABLED: False

3. 次のコマンドを実行して、すべてのファイアウォール ルールを（VPC ネットワーク別に並び替えて）一覧表示します。

gcloud compute firewall-rules list --sort-by=NETWORK

出力は次のようになります。

NAME: managementnet-allow-icmp-ssh-rdp NETWORK: managementnet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: tcp:22,tcp:3389,icmp DENY: DISABLED: False NAME: mynetwork-allow-custom NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: all DENY: DISABLED: False NAME: mynetwork-allow-icmp NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: icmp DENY: DISABLED: False NAME: mynetwork-allow-rdp NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: tcp:3389 DENY: DISABLED: False NAME: mynetwork-allow-ssh NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: tcp:22 DENY: DISABLED: False NAME: privatenet-allow-icmp-ssh-rdp NETWORK: privatenet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: icmp,tcp:22,tcp:3389 DENY: DISABLED: False

mynetwork ネットワークのファイアウォール ルールはあらかじめ作成されています。複数のプロトコルとポートを、1 つのファイアウォール ルール（privatenet や managementnet）で定義することも、それぞれ別のルール（default と mynetwork）に分けて定義することも可能です。

4. Cloud コンソールのナビゲーション メニュー（）で、[VPC ネットワーク] > [ファイアウォール] をクリックします。
   Cloud コンソールにも同じファイアウォール ルールが一覧表示されることを確認します。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 ファイアウォール ルールを含むカスタムモードの VPC ネットワークを作成する

次に、2 つの VM インスタンスを作成します。

• managementnet-us-vm を managementsubnet-us に作成
• privatenet-us-vm を privatesubnet-us に作成

managementnet-us-vm インスタンスを作成する

Cloud コンソールを使用して managementnet-us-vm インスタンスを作成します。

1. Cloud コンソールのナビゲーション メニュー（）で、[Compute Engine] > [VM インスタンス] の順にクリックします。

2. [インスタンスを作成] をクリックします。

3. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   名前	managementnet-us-vm
   リージョン
   ゾーン
   シリーズ	E2
   マシンタイプ	e2-micro（2 vCPU、1 GB メモリ）
   ブートディスク	Debian GNU/Linux 12（bookworm）

4. [詳細オプション] をクリックします。

5. [ネットワーキング] をクリックします。

6. [ネットワーク インターフェース] で、プルダウンをクリックして編集モードにします。

7. 次のように指定し、残りの設定はデフォルトのままにします。

   プロパティ	値（値を入力するか、指定されたオプションを選択）
   ネットワーク	managementnet
   サブネットワーク	managementsubnet-us

注: 選択可能なサブネットは、選択したリージョンのサブネットに限定されます。

8. [完了] をクリックします。

9. [同等のコマンドライン] をクリックします。

   これらのコマンドは、gcloud コマンドラインでも VM インスタンスを作成できることを示しています。これらのコマンドに同様のパラメータを指定して、privatenet-us-vm インスタンスを作成します。

10. [閉じる] をクリックします。

11. [作成] をクリックします。

privatenet-us-vm インスタンスを作成する

gcloud コマンドラインを使用して privatenet-us-vm インスタンスを作成します。

1. Cloud Shell に戻ります。必要に応じて、Cloud Shell をアクティブにするアイコン（）をクリックします。
2. 次のコマンドを実行して privatenet-us-vm インスタンスを作成します。

gcloud compute instances create privatenet-us-vm --zone={{{project_0.default_zone|Lab Zone}}} --machine-type=e2-micro --subnet=privatesubnet-us --image-family=debian-12 --image-project=debian-cloud --boot-disk-size=10GB --boot-disk-type=pd-standard --boot-disk-device-name=privatenet-us-vm

3. 次のコマンドを実行して、（ゾーン別に並び替えた）すべての VM インスタンスを一覧表示します。

gcloud compute instances list --sort-by=ZONE

4. Cloud コンソールのナビゲーション メニュー（）で、[Compute Engine] > [VM インスタンス] をクリックします。

VM インスタンスが Cloud コンソールに一覧表示されることを確認します。

5. [列] で [ゾーン] を選択します。

   にはインスタンスが 3 つ、 にはインスタンスが 1 つあります。ただし、これらのインスタンスは 3 つの VPC ネットワーク（managementnet、mynetwork、privatenet）に分散されており、どのインスタンスも他のインスタンスと同じゾーンまたはネットワーク内にありません。次のタスクでは、これが内部の接続性に及ぼす影響について調べます。

[進行状況を確認] をクリックして、目標に沿って進行していることを確認します。 VM インスタンスを作成する

注: 各 VM インスタンスのネットワーク情報を詳しく調べるには、[内部 IP] 列にある [nic0] リンクをクリックします。表示されるネットワーク インターフェースの詳細ページに、サブネットと IP CIDR の範囲、そのインスタンスに適用されるファイアウォール ルールとルート、その他のネットワーク分析情報が示されます。

タスク 4. ネットワーク間の接続性を調べる

VM インスタンス間の接続性を調べます。具体的には、VM インスタンスが同じゾーン内にある場合と、同じ VPC ネットワーク内にある場合についてそれぞれの影響を確認します。

外部 IP アドレスに ping する

VM インスタンスの外部 IP アドレスに ping して、公共のインターネットからインスタンスにアクセスできるかどうかを調べます。

1. Cloud コンソールのナビゲーション メニューで、[Compute Engine] > [VM インスタンス] の順にクリックします。
   mynet-eu-vm、managementnet-us-vm、privatenet-us-vm の外部 IP アドレスをメモします。
2. mynet-us-vm で [SSH] をクリックしてターミナルを起動し、接続します。
3. 次のコマンドを実行して、mynet-eu-vm の外部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、mynet-eu-vm の外部 IP に置き換えます。

ping -c 3 <mynet-eu-vm の外部 IP を入力>

応答があるはずです。

4. 次のコマンドを実行して、managementnet-us-vm の外部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、managementnet-us-vm の外部 IP に置き換えます。

ping -c 3 <managementnet-us-vm の外部 IP を入力>

応答があるはずです。

5. 次のコマンドを実行して、privatenet-us-vm の外部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、privatenet-us-vm の外部 IP に置き換えます。

ping -c 3 <privatenet-us-vm の外部 IP を入力>

応答があるはずです。

注: VM インスタンスが異なるゾーンや VPC ネットワークにある場合でも、すべての VM インスタンスの外部 IP アドレスに ping を通すことができます。これにより、これらのインスタンスへの公開アクセスが、先ほど設定した ICMP ファイアウォール ルールによってのみ制御されていることを確認できます。

内部 IP アドレスに ping する

VM インスタンスの内部 IP アドレスに ping して、VPC ネットワーク内からインスタンスにアクセスできるかどうかを調べます。

1. Cloud コンソールのナビゲーション メニューで、[Compute Engine] > [VM インスタンス] の順にクリックします。
   mynet-eu-vm、managementnet-us-vm、privatenet-us-vm の内部 IP アドレスをメモします。
2. mynet-us-vm の SSH ターミナルに戻ります。
3. 次のコマンドを実行して、mynet-eu-vm の内部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、mynet-eu-vm の内部 IP に置き換えます。

ping -c 3 <mynet-eu-vm の内部 IP を入力> 注: mynet-eu-vm の内部 IP アドレスは ping のソース（mynet-us-vm）と同じ VPC ネットワークにあるため、両方の VM インスタンスのゾーン、リージョン、大陸が異なっていても、ping を通すことができます。

4. 次のコマンドを実行して、managementnet-us-vm の内部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、managementnet-us-vm の内部 IP に置き換えます。

ping -c 3 <managementnet-us-vm の内部 IP を入力> 注: 100% パケットロスで、ping に対する応答はありません。

5. 次のコマンドを実行して、privatenet-us-vm の内部 IP アドレスへの接続性をテストします。コマンドのプレースホルダは、privatenet-us-vm の内部 IP に置き換えます。

ping -c 3 <privatenet-us-vm の内部 IP を入力> 注: この場合も 100% パケットロスで、ping に対する応答はありません。managementnet-us-vm と privatenet-us-vm の内部 IP アドレスに ping を通すことはできません。これらの IP アドレスは同じゾーンにありますが、ping のソース（mynet-us-vm）とは別の VPC ネットワーク内にあるためです。

タスク 5. まとめ

このラボでは、デフォルト ネットワークについて確認し、VPC ネットワークが VM インスタンスの作成に不可欠であることを確かめました。そのために、サブネット、ルート、ファイアウォール ルールを含む新しい自動モードの VPC ネットワークと 2 つの VM インスタンスを作成し、VM インスタンスの接続性をテストしました。本番環境には自動モードのネットワークの使用は推奨されないため、自動モードのネットワークをカスタムモードのネットワークに変換しました。

次に、Cloud コンソールと gcloud コマンドラインを使用して、ファイアウォール ルールを含む 2 つのカスタムモード VPC ネットワークと VM インスタンスを追加で作成しました。その後、VPC ネットワーク間の接続性をテストして、外部 IP アドレスに対しては ping が通るものの、内部 IP アドレスに対しては ping が通らないことを確認しました。

デフォルトでは、VPC ネットワークは分離されたプライベート ネットワーク ドメインです。そのため、内部 IP アドレスによるネットワーク間通信は、VPC ピアリングや VPN などのメカニズムを設定しない限り許可されません。

Google Cloud では、VPC を作成する際に「自動」と「カスタム」の 2 種類のモードを利用できます。自動モードでは、Azure によって VNet が作成されるのと同様に、Google Cloud によって IP アドレス指定とルーティングが管理されます。一方、カスタムモードでは、独自の IP アドレス範囲やサブネットを定義するなど、ユーザーが VPC の構成をより細かく制御できます。

• カスタムモードは柔軟な制御が可能ですが、構成と管理の負担も増えます。
• 自動モードはシンプルに利用でき、VPC を大きくカスタマイズする必要のないユーザーに最適です。

2 つのサービスの類似点と相違点を以下にまとめます。

類似点:

• Azure と Google Cloud のどちらも、クラウド リソースを分離してネットワーキング環境を制御するためのネットワーキング サービスを提供している。
• どちらのクラウドも、サブネット化、セキュリテイ グループ、ルーティング テーブルなどの機能を提供しており、ネットワーク インフラストラクチャの管理をサポートできる。
• Azure の VNet ピアリングを利用すると、複数の VNet を相互接続し、より大規模なネットワークを作成できる。

相違点:

• Azure の VNet はオートモードで動作するよう設計されている。オートモードでは、クラウド プロバイダが VNet の IP アドレス指定とルーティングを管理する。
• Google Cloud VPC は、自動モードまたはカスタムモードで運用できる。カスタムモードでは、ユーザーが VPC の構成をより細かく制御できる。
• Google Cloud VPC の機能は、セキュリティ強化に貢献する Cloud Identity-Aware Proxy、Cloud Armor といった他の Google Cloud サービスと緊密に統合されている。

ラボを終了する

ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Skills から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。

Copyright 2026 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。