Cloud Interconnect

解決する課題

オンプレミスのデータセンターと Google Cloud の間を、インターネットを経由せずに専用線で結びます。これにより、安定した帯域・低遅延・予測可能な性能でハイブリッドクラウドを実現できます。

• インターネット経由の VPN では帯域や遅延が安定せず、大容量・低遅延の通信を確保したい
• オンプレと VPC の内部 IP アドレス同士をプライベートに通信させたい
• 機密データを公衆インターネットに晒さずに転送したい
• 大規模なデータ移行やバックアップ、基幹システム連携など、継続的に高い帯域を要する

主要概念と用語

• Dedicated Interconnect（専用接続）: Google のコロケーション施設で、自社のルーターと Google のルーターを物理的に直結する方式。10 Gbps または 100 Gbps 単位の回線を使う（AWS の Dedicated Connection に相当）
• Partner Interconnect（パートナー接続）: サポート対象のサービスプロバイダ（パートナー）の回線網を経由して接続する方式。コロケーション施設に自前設備を持てない場合や、より小さい帯域から始めたい場合に使う（AWS の Hosted Connection に近い）
• VLAN アタッチメント（InterconnectAttachment）: 物理的な Interconnect 上に作る論理接続。1 本の物理回線を複数の VPC・リージョンに割り当てるための単位
• Cloud Router: VPC 側で BGP を話すマネージドルーター。オンプレのルーターと経路（プレフィックス）を動的に交換し、サブネットの増減を自動で反映する
• コロケーション施設（Colocation Facility）: Google のネットワークと相互接続できるデータセンター拠点。Dedicated Interconnect ではここに自社ルーターを設置する
• MACsec: Dedicated Interconnect の物理リンクをレイヤー 2 で暗号化するオプション

仕様・制限・クォータ

• Dedicated Interconnect は 10 Gbps または 100 Gbps の回線単位で提供され、複数本を束ねて帯域を拡張できる
• Partner Interconnect は、より小さい帯域（数百 Mbps 程度から）を含む幅広い選択肢から選べ、パートナーの提供形態に依存する
• 各 VLAN アタッチメントには容量（キャパシティ）の上限があり、用途に応じた帯域を割り当てる
• 接続にはオンプレ側で BGP を扱えるルーターと、プライベート ASN が必要
• Interconnect 自体は VPC 内部へのプライベート IP 通信を提供する（インターネット向けの公開サービスへの接続用途には Direct Peering など別の選択肢がある）
• リージョンやプロジェクトごとに、Interconnect 本数や VLAN アタッチメント数にクォータがあり、引き上げ申請が可能

内部の仕組み

Cloud Interconnect は、物理回線（Interconnect）の上に論理的な VLAN アタッチメントを作り、それを Cloud Router に結びつけて経路交換を行う三層構成です。

• 物理層では、Dedicated はコロケーション施設で自社ルーターと Google ルーターをクロスコネクトで直結し、Partner はパートナー網を経由して Google に到達する
• VLAN アタッチメントは特定のリージョンと VPC に紐づき、1 本の物理回線を複数の論理接続に分割できる
• Cloud Router がオンプレのルーターと BGP セッションを確立し、VPC 側のサブネット経路をオンプレへ広告し、オンプレ側の経路を VPC へ取り込む
• これにより、サブネット追加などのネットワーク変更が静的ルート設定なしで自動的に反映される

設計パターン / ベストプラクティス

• 冗長な VLAN アタッチメントと Cloud Router を、異なるエッジ可用性ドメインに分散配置して単一障害点をなくす
• 高い可用性 SLA を狙うなら、Google が定める**冗長トポロジ（複数メトロ・複数ドメイン）**に従って構成する
• 小さく始めるなら Partner Interconnect、コロケーション設備を持ち大容量・低単価を狙うなら Dedicated Interconnect を選ぶ
• コストを最優先しつつ可用性も担保したい場合は、Interconnect を主回線、HA VPN をバックアップとするハイブリッド冗長も有効
• Cloud Router のルート広告を絞り込み、必要なプレフィックスのみを交換して経路爆発を防ぐ
• 複数 VPC・複数リージョンへ接続を共有する場合は、Network Connectivity Center によるハブ＆スポーク構成を検討する

運用・監視

• Cloud Monitoring で Interconnect の稼働状態、回線の使用帯域、エラー・破棄パケット、光信号レベルなどのメトリクスを監視する
• BGP セッションの状態（確立・切断）と、交換されている学習経路数を常時確認する
• 帯域の使用率がキャパシティに近づいたら、回線増設や VLAN アタッチメントの容量見直しを行う
• メンテナンス通知に備え、冗長回線で計画停止を吸収できる構成にしておく
• アラートは「BGP ダウン」「帯域逼迫」「物理リンク断」を中心に設定する

コスト

課金は大きく「Interconnect の回線（ポート）に対する固定的な料金」と「VLAN アタッチメントおよび下り通信（エグレス）に応じた料金」で構成されます。Dedicated と Partner で料金体系が異なります。

セキュリティ

• Interconnect の通信は公衆インターネットを経由しないため、経路上の盗聴・改ざんリスクを大きく低減できる
• ただし、Interconnect 自体は既定で暗号化されない点に注意。要件に応じて MACsec（Dedicated の物理リンク暗号化） を有効化する
• アプリケーション層・トランスポート層の暗号化（TLS など）は引き続き利用側で担保する
• Cloud Router のルート広告を最小限にし、意図しないプレフィックスの露出を防ぐ
• VPC ファイアウォールルールでオンプレからの受信トラフィックを必要なものだけに限定する
• 接続関連リソースの変更権限は IAM で最小化する

Well-Architected の観点

• 信頼性（Reliability）: 異なるエッジ可用性ドメインを跨ぐ冗長回線で単一障害点を排除し、SLA 要件を満たす。バックアップに HA VPN を併用するとさらに堅牢になる
• セキュリティ（Security）: インターネットを経由しないプライベート経路に加え、MACsec や上位レイヤー暗号化、ファイアウォールと IAM の最小権限で多層防御する
• パフォーマンス効率（Performance Efficiency）: 専用線による低遅延・安定帯域で、VPN では難しい大容量・遅延敏感なワークロードを支える。BGP による動的経路で構成変更にも追従する

試験で問われるポイント

関連サービス・比較

Cloud Interconnect は AWS の Direct Connect に対応するサービスです。物理直結の Dedicated、事業者経由の Partner という方式の分かれ方も両者で近い構造を持ちます。

ハンズオン / CLI例

# 1. VPC 側に Cloud Router を作成（プライベート ASN を指定）
gcloud compute routers create onprem-router \
  --network=my-vpc \
  --region=asia-northeast1 \
  --asn=65001

# 2. VLAN アタッチメントを作成（Partner Interconnect の例）
#    パートナーから受け取るペアリングキーをこのあと連携する
gcloud compute interconnects attachments partner create my-attachment \
  --region=asia-northeast1 \
  --router=onprem-router \
  --edge-availability-domain=availability-domain-1

# 3. 作成したアタッチメントのペアリングキーを確認
gcloud compute interconnects attachments describe my-attachment \
  --region=asia-northeast1 \
  --format="value(pairingKey)"

# 4. BGP セッション（オンプレ側ピア）を Cloud Router に追加
gcloud compute routers add-bgp-peer onprem-router \
  --region=asia-northeast1 \
  --peer-name=onprem-peer \
  --interface=my-interface \
  --peer-asn=65010