Cloud Service
Cloud Router
経路を BGP で自動交換し、拠点増減に追従するハイブリッド接続を支えるマネージドルータ Cloud Router。静的ルートの手動更新から解放され、Cloud VPN や Interconnect の冗長化も担う。AWS の Virtual Private Gateway/Transit Gateway の BGP 機能に相当。
中級信頼性運用上の優秀性パフォーマンス効率
最終更新: 2026-06-28公式ドキュメント ↗
TL;DR要点だけ先に
- 1.VPC と拠点の経路を BGP で動的に交換するフルマネージドの仮想ルータ。
- 2.Cloud VPN や Cloud Interconnect、Cloud NAT と組み合わせて使う制御プレーン。
- 3.ルート広報の範囲をカスタムで絞り込め、ECMP で冗長化とロードバランスができる。
解決する課題
オンプレミス拠点と Google Cloud の VPC をハイブリッド接続したとき、双方のサブネット情報を手作業で同期せず、経路を自動で交換し続けたいというニーズに応えます。
- 拠点側のサブネット追加・削除に静的ルートの手動更新で追従するのは煩雑で、設定漏れが障害につながる
- VPN や専用線を冗長構成にしたとき、経路を自動でフェイルオーバーさせたい
- 複数トンネルや複数回線で**負荷分散(ECMP)**を効かせたい
- VPC 側のどのサブネットを拠点へ広報するか、広報範囲を細かく制御したい
- Cloud NAT の設定配布など、ネットワークの制御プレーンを 1 か所に集約したい
主要概念と用語
- Cloud Router: VPC ネットワーク内に置く、BGP を話すフルマネージドの仮想ルータ。物理機器ではなくソフトウェア定義のサービスで、リージョン単位で動作する
- BGP(Border Gateway Protocol): ルータ同士が到達可能な経路を広報し合う動的ルーティングプロトコル。Cloud Router は eBGP を用いて対向と経路を交換する
- ASN(自律システム番号): BGP セッションで自他を識別する番号。Cloud Router 側と対向(ピア)側でそれぞれ設定する。プライベート ASN を使うのが一般的
- BGP ピア(BGP セッション): Cloud Router と対向ルータの間に張る経路交換の論理セッション。VPN トンネルや Interconnect の接続(VLAN アタッチメント)ごとに張る
- 学習ルート(受信経路): 対向から広報され、VPC のルートテーブルに反映される経路。これにより拠点側サブネットへ到達できるようになる
- 広報ルート(送信経路): Cloud Router が対向へ知らせる VPC 側の経路。既定の自動モードとカスタムモードがある
- ルート広報モード: 自動モードは VPC のサブネット範囲を自動広報、カスタムモードは広報する範囲を明示的に指定する
- ECMP(等コストマルチパス): 同じ宛先へ等コストの経路が複数あるとき、トラフィックを分散・冗長化する仕組み
仕様・制限・クォータ
- リージョン単位のリソース。1 つの Cloud Router は 1 つの VPC・1 つのリージョンに属し、そのリージョンの接続を扱う
- 動的ルーティングモード: VPC には「リージョナル」と「グローバル」の動的ルーティングがあり、グローバルにすると学習した経路を全リージョンへ波及させられる
- eBGP を使用。Cloud Router 側 ASN と対向 ASN を別番号にして外部 BGP として接続する。プライベート ASN の利用が一般的
- ピアあたりの学習経路数・広報経路数には上限の目安があり、想定経路数が多い場合は設計時に確認する
- ECMP の経路数にも上限があり、それを超える等コスト経路はすべてには使われない
- 単体ではデータ経路を持たず、必ず Cloud VPN・Cloud Interconnect・Cloud NAT などと組み合わせて使う制御プレーンである
- BGP のキープアライブ間隔やタイマーは調整でき、検知の速さと安定性のバランスをとる
- 具体的な経路数上限・タイマー値・クォータは変動するため、設計時は公式ドキュメントで最新値を確認する
内部の仕組み
Cloud Router は、VPC ネットワークに属するソフトウェア定義のマネージドルータです。専用の物理機器やルータ VM を持つのではなく、Google の基盤上で BGP の制御機能だけを提供し、実際のパケット転送は VPC のデータプレーンが担います。
- 対向ルータ(オンプレミスのルータや VPN の終端)との間に BGP セッションを確立し、互いの経路を広報し合う
- 対向から学習した経路は VPC のルートテーブルに反映され、拠点側サブネットへ自動で到達できるようになる。拠点でサブネットを増減すると、その変化が BGP で伝わり手動更新なしに追従する
- VPC 側からは、自動モードならサブネット範囲を、カスタムモードなら指定した範囲を対向へ広報する
- 複数のトンネルや回線で同じ宛先への経路が複数あると、ECMP によって負荷分散とフェイルオーバーが行われる
- Cloud NAT と組み合わせる場合、Cloud Router は NAT の設定(NAT 対象や IP 割り当て)を配布する制御プレーンとして働き、BGP のデータ経路とは別の役割を担う
Cloud Router 自体はパケットを運ばない
Cloud Router は経路情報を交換する制御プレーンであり、それ自体がトラフィックの通り道になるわけではありません。 実際の暗号化や転送は Cloud VPN や Cloud Interconnect が行います。「Cloud Router を作れば拠点とつながる」のではなく、VPN/Interconnect のデータ経路に BGP の自動経路交換を足すもの、と理解するのが正確です。
設計パターン / ベストプラクティス
- ハイブリッド接続では**静的ルートではなく BGP(Cloud Router)**を標準採用し、拠点サブネットの増減に自動追従させる
- HA VPN や冗長な Interconnect では、各トンネル・各回線ごとに BGP セッションを張り、ECMP で冗長化とロードバランスを効かせる
- 広報する経路はカスタムモードで最小限に絞り、意図しないサブネットを拠点へ晒さない
- 学習経路を全リージョンへ届けたいなら VPC のグローバル動的ルーティングを有効化する。不要なら不用意に広げない
- BGP の MED(メトリック)や AS パスを使い、プライマリ経路とバックアップ経路の優先度を明示する
- ルートの上限に余裕があるか設計時に見積もり、経路数の急増で学習が打ち切られる事態を避ける
- Cloud NAT を使う場合は、その制御プレーンとして同一リージョンに Cloud Router を用意する
運用・監視
- Cloud Monitoring で BGP セッションの状態(確立/未確立)、学習経路数、広報経路数を監視し、想定どおり経路が交換されているか確認する
- BGP が確立しない場合は、ASN の不一致・BGP ピア IP の設定ミス・ファイアウォールでの遮断・対向ルータ側の設定を疑う
- 学習経路数が急に減ったら片側トンネルや片側回線の障害を示唆するため、アラートを設定して早期検知する
- gcloud のルータステータス確認(後述の CLI 例)で、ピアごとの状態や学習・広報している経路を点検する
- 冗長構成では、片系を意図的に落としたときにECMP で正しくフェイルオーバーするかを定期的に試験する
- 設定変更は Cloud Audit Logs で追跡し、広報範囲や ASN の変更を監査する
コスト
Cloud Router 自体に固有の課金はなく、組み合わせて使う Cloud VPN・Cloud Interconnect・Cloud NAT 側の料金や、リージョン間・外向きのデータ転送量が実質的なコストになります。経路を波及させる構成では、リージョン間転送が増えないかに注意します。
| コスト要素 | 課金の考え方 | 節約のヒント |
|---|---|---|
| Cloud Router 本体 | ルータ単体には固有課金なし | 不要なリージョンにルータを残さない |
| VPN/Interconnect | 組み合わせる接続側の料金が中心 | 必要な冗長度に絞り過剰な回線を避ける |
| データ転送量 | リージョン間・外向き転送に課金 | 拠点と同リージョンへ寄せ転送を最小化 |
| グローバル動的ルーティング | 経路波及でリージョン間通信が増えうる | 全リージョン波及が要るか吟味する |
セキュリティ
- 広報範囲をカスタムモードで最小化し、拠点へ晒すサブネットを必要なものだけに限定する
- BGP セッションには MD5 認証を設定でき、対向との間で経路情報の改ざん・なりすましを抑止する
- VPC ファイアウォールルールで、学習した経路を通る通信の到達範囲を最小権限に絞る
- 経路の広報・学習や設定変更を Cloud Audit Logs で追跡し、意図しない経路漏れを検知する
- 不要な経路を広報しない設計により、到達面(経路の漏れ)を構造的に小さく保つ
アンチパターン
広報を自動モードのまま放置し、VPC の全サブネットを無条件に拠点へ広報してしまう構成は避けたいパターンです。 内部専用のサブネットや別環境の範囲まで対向に晒され、意図しない到達経路や経路の競合を生みます。カスタムモードで広報範囲を明示し、最小限の経路だけを交換しましょう。
Well-Architected の観点
- 信頼性(Reliability): BGP による自動経路交換と ECMP で、片系障害時も経路が自動フェイルオーバーする。静的ルートの単一構成より復旧が速い
- 運用上の優秀性(Operational Excellence): 拠点サブネットの増減に手動更新なしで追従でき、経路を 1 か所で集中管理できる。状態はメトリクスとログで可視化する
- パフォーマンス効率(Performance): 複数経路を ECMP で束ねて帯域を活用し、グローバル動的ルーティングで適切なリージョンへ到達させる
試験で問われるポイント
頻出
- 「拠点サブネットの増減に自動追従したい」「ハイブリッド接続で動的ルーティング」→ Cloud Router(BGP)。静的ルートではない点を押さえる。
- Cloud Router は経路交換の制御プレーンで、データ経路そのものは Cloud VPN/Cloud Interconnect が担う。
- HA VPN の SLA は Cloud Router の BGP と冗長トンネルを組み合わせて成立する。
- 学習経路を全リージョンへ波及させたいなら VPC をグローバル動的ルーティングにする。
- Cloud NAT の設定配布も Cloud Router が担う(NAT のデータ経路ではない)。
- 相当する AWS の機能は Virtual Private Gateway/Transit Gateway の BGP。
関連サービス・比較
Cloud Router は経路交換の制御プレーンであり、データ経路を提供する Cloud VPN や Cloud Interconnect とセットで使います。AWS では、これらの BGP 機能を Virtual Private Gateway や Transit Gateway が内包しており、独立したルータリソースとして切り出されていない点が対照的です。
| 観点 | Cloud Router(GCP) | VGW/Transit Gateway の BGP(AWS) |
|---|---|---|
| 位置づけ | BGP を話す独立したマネージド仮想ルータ | VPN/DX 接続に内包される BGP 機能 |
| 役割 | 経路交換の制御プレーン(データ転送はしない) | ゲートウェイの一部として経路交換を担う |
| 組み合わせ先 | Cloud VPN/Interconnect/Cloud NAT | Site-to-Site VPN/Direct Connect |
| スコープ | リージョン単位(グローバル波及は VPC 設定) | VGW は VPC 単位、TGW はリージョン単位 |
| 動的ルーティング | eBGP(ASN を双方で指定) | BGP(ASN を双方で指定) |
| 冗長・分散 | ECMP で負荷分散とフェイルオーバー | 複数トンネル・複数接続で冗長化 |
| 広報範囲制御 | 自動/カスタムモードで明示的に指定 | ルート伝播やフィルタで制御 |
ハンズオン / CLI例
# 1. Cloud Router を作成(VPC・リージョン・BGP の ASN を指定)
gcloud compute routers create my-router \
--network=my-vpc \
--region=asia-northeast1 \
--asn=65001
# 2. 広報をカスタムモードにし、広報する範囲を明示(最小限に絞る)
gcloud compute routers update my-router \
--region=asia-northeast1 \
--advertisement-mode=custom \
--set-advertisement-ranges=10.10.0.0/16
# 3. VPN トンネル用のインターフェースと BGP ピアを追加
gcloud compute routers add-interface my-router \
--interface-name=if-tunnel-0 \
--vpn-tunnel=tunnel-0 \
--region=asia-northeast1
gcloud compute routers add-bgp-peer my-router \
--peer-name=bgp-peer-0 \
--interface=if-tunnel-0 \
--peer-asn=65002 \
--region=asia-northeast1
# 4. ルータの状態を確認(BGP セッションと学習・広報経路を点検)
gcloud compute routers get-status my-router \
--region=asia-northeast1
Google Cloud Service
Cloud Routerを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: Google Cloud / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
Cloud VPN や Cloud Interconnect、Cloud NAT と組み合わせて使う制御プレーン。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- Google Cloud
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / operational / performance
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「VPC と拠点の経路を BGP で動的に交換するフルマネージドの仮想ルータ。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。