Network Connectivity Center

解決する課題

拠点が増え VPC が増えるほど、接続の組み合わせは爆発的に増えます。VPC ピアリングだけで全 VPC を相互接続しようとすると、N 個の VPC に対して網の目状（フルメッシュ）の配線が必要になり、しかもピアリングは推移的に伝播しないため運用が破綻します。Network Connectivity Center（NCC）は、これらの接続を 1 つのハブに集約することで解決します。

多数の VPC を相互接続したいが、VPC ピアリングのフルメッシュ配線と管理が煩雑
VPC ピアリングは推移的でない（A-B、B-C をつないでも A-C は通信できない）制約を回避したい
オンプレ拠点（VPN / Interconnect）と複数 VPC を一元的に集約して相互到達させたい
複数拠点・複数クラウド・SD-WAN をGoogle のバックボーン経由で結びたい

主要概念と用語

ハブ（Hub）: 接続を集約する中心となるグローバルなマネージドリソース。スポーク同士の到達性を管理する
スポーク（Spoke）: ハブにぶら下がる接続単位。VPC ネットワーク、HA VPN トンネル、Cloud Interconnect の VLAN アタッチメント、ルーターアプライアンス（サードパーティ仮想アプライアンス）などをスポークとして登録する
VPC スポーク: VPC をハブに接続するタイプ。ハブに参加した複数 VPC 間でサブネットルートが交換され、フルメッシュのピアリングなしに相互到達できる
ハイブリッドスポーク: HA VPN・Interconnect・ルーターアプライアンスなど、外部（オンプレや他クラウド）との接続を表すスポーク
データ転送（推移的な転送）: スポーク間でトラフィックを通過させる機能。あるスポーク経由で受け取った経路を別スポークへ広告し、拠点同士の通信を成立させる
トポロジー: ハブ&スポーク型。すべての通信はハブを論理的な中心として経路交換される
AWS の相当サービス: AWS の Transit Gateway にほぼ対応する。Transit Gateway が VPC・VPN・Direct Connect をアタッチメントとして束ねるのと同様の役割を担う

仕様・制限・クォータ

グローバルリソース: ハブはグローバルに 1 つ作成し、各リージョンのスポークを束ねられる。組織のネットワーク全体の集約点として機能する
スポークの種類: VPC スポークと、ハイブリッドスポーク（HA VPN トンネル、Interconnect の VLAN アタッチメント、ルーターアプライアンス）をサポート
推移的ルーティング: ハイブリッドスポーク間ではデータ転送が可能で、拠点同士が NCC を経由して通信できる。VPC スポーク同士の通信可否や転送の扱いはスポーク種別ごとに条件があるため、要件に応じて設計時に確認する
ルート交換: スポークとして参加した VPC のサブネットルートがハブを通じて他スポークへ自動的に広告される
クォータ: ハブあたりのスポーク数、VPC あたりの参加可能ハブ数などに上限がある。具体値は変動するため、公式ドキュメントとプロジェクトのクォータ画面で確認し、必要に応じて引き上げ申請する
重複サブネット非対応: ハブ配下で IP アドレス範囲が重複する VPC は接続できない。アドレス設計の事前整理が前提

内部の仕組み

NCC のハブは、参加するスポークが持つ経路（ルート）を収集し、ポリシーに従って他のスポークへ再広告するコントロールプレーンとして動作します。実際のパケットは Google のグローバルバックボーンを通って転送されます。

VPC スポークを追加すると、その VPC のサブネットルートがハブに取り込まれ、同一ハブの他 VPC スポークへ広告される。これにより各 VPC は相手のサブネットへ到達できるようになる（フルメッシュのピアリング設定が不要）
ハイブリッドスポークでは、オンプレ側から Cloud Router が BGP で学習した経路がハブへ渡り、他のハイブリッドスポークへ再広告される。これが拠点間の推移的な通信を可能にする
ハブはグローバルなマネージドコントロールプレーンであり、リージョンを跨いだスポーク間の経路交換も Google バックボーン上で完結する
ルーターアプライアンススポークを使うと、サードパーティの SD-WAN / NGFW 仮想アプライアンスを経路上に挟み込み、独自のルーティングやインスペクションを実現できる

ピアリングとの使い分け

少数の VPC を 1 対 1 でつなぐだけなら VPC ピアリングで十分です。VPC が増えてフルメッシュが煩雑になる、または推移的な到達性（拠点同士の通信）が必要になった段階で NCC のハブ集約に切り替えると、構成がシンプルになります。

設計パターン / ベストプラクティス

ハブ&スポークへの集約: 多数 VPC のフルメッシュピアリングを 1 つのハブに置き換え、配線数と運用負荷を削減する
アドレス設計を先に固める: ハブ配下では IP 範囲の重複が許されないため、組織全体で非重複の CIDR 計画を最初に作る
ハイブリッド集約: 複数拠点の HA VPN / Interconnect をハイブリッドスポークとしてまとめ、データ転送を有効化して拠点間通信を一元化する
セキュリティアプライアンスの挿入: ルーターアプライアンススポークで集約点に NGFW / SD-WAN を配置し、東西・南北トラフィックを検査する
冗長性の確保: ハイブリッド接続は HA VPN（2 トンネル）や複数 Interconnect で冗長化し、単一拠点障害でハブ全体が孤立しないようにする
段階的移行: 既存ピアリングから NCC へ移行する際は、ルート広告の重複や優先順位を確認しながら段階的に切り替える

運用・監視

Cloud Monitoring / Cloud Logging でハブ・スポークの状態、ハイブリッド接続（VPN トンネル・Interconnect）の稼働とトラフィック量を監視する
Network Topology / Network Intelligence Center でハブを中心とした接続トポロジーと経路を可視化し、意図しない到達性や断線を早期に検知する
BGP セッションの状態と学習経路を Cloud Router 側で確認し、ハイブリッドスポークの経路広告が期待どおりかを点検する
スポークの追加・削除はルート再広告を伴うため、変更管理として影響範囲（どの VPC・拠点に新経路が届くか）を事前評価する

コスト

NCC 自体のハブ・スポーク管理に加え、実際に流れるトラフィックのネットワーク課金（下り・リージョン間転送）や、ハイブリッド接続（VPN / Interconnect）の利用料が組み合わさって費用が決まります。料金は変動するため、ここでは課金の「考え方」を示します。

コスト要素	課金の考え方	節約のヒント
スポーク（接続管理）	登録するスポークの種類や数に応じた管理課金が生じうる	不要なスポークを整理し集約する
データ転送量	ハブを通過するトラフィック量とリージョン間転送で課金	通信の多い拠点を同一リージョン近くに寄せる
ハイブリッド接続	VPN や Interconnect の接続料金が別途必要	拠点ごとの帯域を実需に合わせて見直す
下り(外部)通信	外部への下りは別途ネットワーク課金	不要な外部経路を絞り内部完結させる

セキュリティ

ファイアウォール設計: ハブ集約で到達性が広がるため、各 VPC のファイアウォールルール / ファイアウォールポリシーで許可を最小化し、デフォルト拒否を基本にする
集約点でのインスペクション: ルーターアプライアンススポークに NGFW を置き、スポーク間トラフィックを検査・制御する
IAM による管理権限の分離: ハブ・スポークの作成や変更は強力な操作のため、ネットワーク管理者ロールを限定し、最小権限で付与する
重複・誤広告の防止: 意図しない CIDR の広告は横展開のリスクになるため、経路広告の範囲をレビューしハブに参加させる VPC を厳選する
VPC Service Controls との併用: 機密データを扱う場合は境界制御を併用し、到達性の拡大が情報持ち出し経路にならないよう設計する

Well-Architected の観点

信頼性（Reliability）: ハイブリッド接続を HA VPN / 複数 Interconnect で冗長化し、ハブを単一障害点にしない。グローバルなマネージドコントロールプレーンにより、リージョン跨ぎの到達性を安定して維持する
運用性（Operational Excellence）: フルメッシュのピアリング配線を 1 つのハブへ集約することで構成がシンプルになり、スポークの追加・削除だけで接続を増減でき、変更の見通しと監査性が向上する

試験で問われるポイント

頻出

VPC ピアリングは推移的でない（A-B、B-C があっても A-C は不通）。多数 VPC の相互接続や拠点間の推移的通信が要件なら NCC のハブ集約を選ぶ
ハブはグローバルリソースで、VPC・HA VPN・Interconnect・ルーターアプライアンスをスポークとして束ねる
ハブ配下ではIP アドレス範囲の重複は不可。非重複の CIDR 設計が前提
ハイブリッドスポーク間のデータ転送を有効化すると、拠点同士が NCC を経由して通信できる
AWS の Transit Gateway に相当するサービス、という対応関係を押さえる

観点	Network Connectivity Center (GCP)	Transit Gateway (AWS)
位置づけ	ハブ&スポークで拠点とVPCを集約接続	VPC・VPN・Direct Connectを束ねる中継ハブ
接続単位	スポーク（VPC/VPN/Interconnect/アプライアンス）	アタッチメント（VPC/VPN/DX/Peering）
スコープ	ハブはグローバル、スポークは各リージョン	原則リージョン単位（Peeringで跨ぐ）
推移的接続	データ転送で拠点間の推移通信が可能	ルートテーブルで推移ルーティングを実現
主な代替	少数なら VPC ピアリングで代替可	少数なら VPC Peering で代替可
経路制御	Cloud Router と BGP で経路交換	TGW ルートテーブルで制御

ハンズオン / CLI例

# 1. ハブを作成（グローバルな集約点）
gcloud network-connectivity hubs create my-hub \
  --description="central connectivity hub"

# 2. VPC ネットワークをスポークとしてハブに接続
gcloud network-connectivity spokes linked-vpc-network create vpc-a-spoke \
  --hub=my-hub \
  --vpc-network=projects/my-project/global/networks/vpc-a \
  --global

# 3. もう一つの VPC をスポークとして追加（フルメッシュ不要で相互到達）
gcloud network-connectivity spokes linked-vpc-network create vpc-b-spoke \
  --hub=my-hub \
  --vpc-network=projects/my-project/global/networks/vpc-b \
  --global

# 4. ハイブリッド接続（HA VPN トンネル）をスポークとして接続
gcloud network-connectivity spokes linked-vpn-tunnels create onprem-spoke \
  --hub=my-hub \
  --region=asia-northeast1 \
  --vpn-tunnels=onprem-tunnel-0,onprem-tunnel-1 \
  --site-to-site-data-transfer

# 5. ハブとスポークの状態を確認
gcloud network-connectivity hubs describe my-hub
gcloud network-connectivity spokes list --hub=my-hub

Network Connectivity Center

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

Network Connectivity Centerを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点