Cloud Service
Network Intelligence Center
ネットワークの可視化・診断・最適化を一画面に集約する Network Intelligence Center。トポロジ表示や到達性テスト、構成の問題検知をマネージドで提供し、障害の切り分けと改善を素早く行える。AWS の Reachability Analyzer や VPC 系可視化機能に相当。
- 1.VPC やハイブリッド接続の状態を可視化し、到達性や構成の問題を診断するネットワーク可観測性スイート。
- 2.トポロジ、Connectivity Tests、Performance Dashboard、Network Analyzer など複数モジュールで構成される。
- 3.AWS の Reachability Analyzer に近く、設定変更前後の到達性検証や継続的な構成チェックに使える。
解決する課題
クラウドのネットワークは、VPC・サブネット・ルート・ファイアウォール・ロードバランサ・ハイブリッド接続が層になって絡み合い、「なぜ通信できないのか」「どこが詰まっているのか」を人手で追うのは困難です。Network Intelligence Center(NIC)は、これらの可視化・診断・最適化を 1 つのコンソールに集約し、問題の切り分けを高速化します。
- VPC やオンプレ接続が複雑化し、ネットワーク全体の構成と疎通状況が把握しづらい
- 設定変更の前後で特定の通信が到達するかどうかを安全に検証したい
- 「通信できない」原因がルートかファイアウォールか経路かを切り分けたい
- 過剰・未使用のファイアウォールルールや構成上の問題を継続的に検知したい
- リージョン間やインターネットへの遅延・パケットロスの傾向をモニタリングしたい
主要概念と用語
- Network Topology(ネットワーク トポロジ): VPC・インスタンス・ロードバランサ・ハイブリッド接続などを実際のトラフィック量とともにグラフで可視化するモジュール。構成と通信の流れを俯瞰できる
- Connectivity Tests(接続テスト): 送信元と宛先、プロトコル、ポートを指定して、構成(ルート・ファイアウォール)上その通信が到達するかを静的に解析する診断機能。実トラフィックを流さずに到達性を判定する
- Performance Dashboard(パフォーマンス ダッシュボード): Google のネットワーク内および VPC のリージョン間・ゾーン間のパケットロスやレイテンシなどの性能指標を可視化するモジュール
- Firewall Insights(ファイアウォール インサイト): ファイアウォールルールのヒット状況を分析し、過剰に許可されたルールや未使用(シャドウ)ルールなどを洗い出す
- Network Analyzer(ネットワーク アナライザ): VPC 構成を自動でスキャンし、IP 枯渇・到達不能なルート・誤った構成などの潜在的な問題を継続的に検知するモジュール
- AWS の相当機能: Connectivity Tests は AWS の Reachability Analyzer、トポロジ・性能可視化は VPC のモニタリング系機能群におおむね対応する
仕様・制限・クォータ
- モジュールの集合体: NIC は単一機能ではなく、Network Topology・Connectivity Tests・Performance Dashboard・Firewall Insights・Network Analyzer など複数モジュールの総称として提供される
- 構成ベースの解析: Connectivity Tests は実際にパケットを送るのではなく、ルートやファイアウォールなどの構成を静的に解析して到達可否を判定する。そのため、アプリケーション層の障害や瞬間的な輻輳までは表現しない場合がある
- 対象スコープ: 自プロジェクトの VPC が中心だが、共有 VPC やピアリング、ハイブリッド接続(VPN・Interconnect)を跨いだ解析にも対応する範囲がある。対象範囲はモジュールごとに異なる
- 権限: 各モジュールの参照や実行には対応する IAM 権限が必要。最小権限で閲覧者・編集者を分けて付与する
- クォータ: テストの作成数などに上限があり、具体値は変動するため公式ドキュメントとプロジェクトのクォータ画面で確認する
内部の仕組み
NIC の中核は、GCP が保持するネットワーク構成のメタデータ(VPC・サブネット・ルート・ファイアウォール・転送ルールなど)と、テレメトリ(VPC Flow Logs やバックボーンの計測値)を読み取り、解析・可視化することにあります。
- Connectivity Tests は、送信元から宛先までの経路上にあるルートとファイアウォールを順にたどり、パケットがどこで許可・拒否・転送されるかを論理的にシミュレートして結果を返す(構成解析であり、実トラフィックは流さない)
- Network Topology は、構成情報と Flow Logs 等のトラフィック実績を突き合わせ、エンティティ間のエッジに通信量を載せてグラフ描画する
- Performance Dashboard は、Google のグローバルバックボーンや VPC 内の計測値を集約し、リージョン間・ゾーン間のレイテンシやパケットロスを時系列で表示する
- Network Analyzer は構成を定期的にスキャンし、ルールベースで潜在的な問題(到達不能ルート、IP 枯渇の兆候、未使用構成など)を検出してインサイトとして提示する
Connectivity Tests は構成を静的に解析するため、本番環境でも実際のパケットを送らずに到達性を確認できます。ファイアウォールやルートの変更前後で同じテストを実行すると、変更による影響を安全に比較できます。
設計パターン / ベストプラクティス
- 変更前後の到達性検証: ファイアウォールやルートを変更する前後で Connectivity Tests を実行し、意図しない疎通断や到達拡大が起きていないかを確認する
- トポロジでの定点観測: Network Topology を定期的に確認し、想定外の通信エッジやトラフィック集中を早期に把握する
- 構成衛生の継続改善: Network Analyzer のインサイトを定期レビューし、到達不能ルートや IP 枯渇の兆候を計画的に解消する
- ファイアウォールの最小化: Firewall Insights で未使用・過剰許可ルールを洗い出し、デフォルト拒否へ近づける
- 性能傾向のベースライン化: Performance Dashboard でリージョン間の通常レイテンシを把握しておき、異常時の判断基準にする
- テストの定型化: 主要な通信パス(外部からのフロントエンド、内部のバックエンド、オンプレ宛など)をテストとして保存し、再利用できるようにする
運用・監視
- 障害切り分けの起点: 「通信できない」報告を受けたら、まず Connectivity Tests で送信元・宛先・ポートを指定し、ルートかファイアウォールか経路かを機械的に切り分ける
- トポロジでの影響範囲把握: Network Topology で対象リソース周辺のエッジとトラフィック量を確認し、影響範囲を視覚的に掴む
- インサイトの定期確認: Network Analyzer と Firewall Insights のインサイトを運用サイクルに組み込み、構成のドリフトを継続的に検知する
- Cloud Monitoring / Cloud Logging との併用: 性能指標やログ(Flow Logs 等)と組み合わせ、構成上の到達性と実トラフィックの両面から判断する
- 権限分離: 解析・テスト実行と構成変更の権限を分け、診断は広く許可しつつ変更は限定する
コスト
NIC のモジュールには無償で使えるものと、データ量やテスト実行などに応じて課金されるものが混在します。料金は変動するため、ここでは課金の「考え方」を整理します。
| コスト要素 | 課金の考え方 | 節約のヒント |
|---|---|---|
| トポロジ可視化 | 可視化の対象データ量に応じて課金される場合がある | 必要なスコープに絞って参照する |
| Connectivity Tests | テスト実行や保有数に応じた課金が生じうる | 定型テストを整理し重複を避ける |
| Flow Logs 連携 | ログ収集・保管のコストが別途かかる | サンプリング率と保持期間を見直す |
| 性能/インサイト | 無償提供のモジュールもある | 対象範囲と頻度を要件に合わせる |
NIC 全体を一律の料金で捉えず、利用するモジュール単位で課金有無と単位を公式の料金ページで確認してください。とくに Flow Logs を前提とする可視化は、ログ側のコストが支配的になることがあります。
セキュリティ
- IAM による最小権限: 各モジュールの閲覧・実行権限を職務に応じて分離し、診断者と構成変更者の権限を分ける
- 到達性の継続検証: Connectivity Tests を使い、意図しない経路でセグメント間が到達可能になっていないか(過剰な開放)を定期的に点検する
- ファイアウォール衛生: Firewall Insights で過剰許可・未使用ルールを削減し、攻撃面を縮小する
- 構成ドリフトの検知: Network Analyzer で誤構成や到達不能ルートを継続的に検出し、セキュリティ境界の崩れを早期に発見する
- 可視化情報の取り扱い: トポロジやテスト結果はネットワーク内部構造を含むため、閲覧範囲を必要な担当者に限定する
関連サービス・比較
NIC の Connectivity Tests は、構成から到達可否を解析するという点で AWS の Reachability Analyzer と発想が近く、対応関係で理解すると整理しやすいです。NCC や VPC が「接続そのもの」を作るのに対し、NIC は「その接続を可視化・診断する」立場にあります。
| 観点 | Network Intelligence Center (GCP) | Reachability Analyzer (AWS) |
|---|---|---|
| 位置づけ | 可視化・診断・最適化の統合スイート | リソース間の到達性を解析する診断ツール |
| 到達性検証 | Connectivity Tests で構成を静的解析 | 経路上の構成を解析して到達可否を判定 |
| 可視化 | トポロジと性能ダッシュボードを内蔵 | 可視化は別の VPC モニタリング機能 |
| 構成チェック | Network Analyzer で継続的に検知 | 別途 Inspector や Config 等を併用 |
| 実トラフィック | 原則として流さず構成から判定 | 原則として流さず構成から判定 |
ハンズオン / CLI例
# 1. 接続テストを作成(送信元 VM から宛先 IP への到達性を構成解析)
gcloud network-management connectivity-tests create my-test \
--source-instance=projects/my-project/zones/asia-northeast1-a/instances/web-vm \
--destination-ip-address=10.20.0.10 \
--destination-port=443 \
--protocol=TCP
# 2. テスト結果(到達可否と経路上の判定)を確認
gcloud network-management connectivity-tests describe my-test
# 3. 構成変更後に同じテストを再実行して影響を比較
gcloud network-management connectivity-tests rerun my-test
# 4. 作成済みテストの一覧を確認
gcloud network-management connectivity-tests list
Google Cloud Service
Network Intelligence Centerを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: Google Cloud / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
トポロジ、Connectivity Tests、Performance Dashboard、Network Analyzer など複数モジュールで構成される。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Google Cloud
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- operational / reliability / performance
判断チェックリスト
- 自社の用途が「ネットワーキング / operational」に近いか確認する。
- 強みである「VPC やハイブリッド接続の状態を可視化し、到達性や構成の問題を診断するネットワーク可観測性スイート。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。