NCC Gateway の概要

NCC Gateway は、Network Connectivity Center ハブに接続できるスポークタイプです。これは、クロスクラウド ネットワークのトラフィックのセキュリティを有効にするリージョン プロダクトです。NCC Gateway を使用すると、サードパーティのセキュリティ サービス エッジ(SSE)、Secure Access Service Edge(SASE)のクラウドで提供されるセキュリティ コンポーネントなどのセキュリティ機能を有効にして、Interconnect 接続を終了できます。

NCC Gateway には次の機能があります。

  • SSE 統合の効率化: SSE を透過的なステアリングとシームレスに統合して、ユーザーとアプリケーション間の保護とパフォーマンスを向上させることができます。
  • リージョン デプロイ: データセンターや他のクラウド プロバイダとの物理的な近接性に基づいて、さまざまなリージョンに NCC Gateway をデプロイできます。
  • リモート ワークフォースの保護: 支店、データセンター、リモート オフィスなどのリモート ワークフォースを、 Google Cloud、オンプレミス、他のクラウド プロバイダのプライベート アプリケーションや、Palo Alto Networks Prisma Access や Symantec Cloud Secure Web Gateway(Cloud SWG)などのパブリック アプリケーションに安全に接続できます。
  • セキュリティの強化: マルチクラウド トラフィックに対して SSE などのセキュリティ機能を有効にできます。
  • 管理の簡素化: NCC Gateway を使用すると、VPC ネットワークとリモート ネットワークへの接続の管理に関連する複雑さと運用コストを削減できます。
  • パフォーマンスの可視化: NCC Gateway を使用すると、指標とテレメトリー データでネットワーク パフォーマンスに関する分析情報を取得できます。

利点

NCC Gateway には次の利点があります。

  • レイテンシの短縮による最適なアプリケーション エクスペリエンス: NCC Gateway を使用した SSE サービスの高帯域幅のクラウド ファースト消費と、Google のプライベート バックボーンによるパフォーマンスの向上。

  • すべてのユーザー トラフィックに対する統合セキュリティ: 単一の統合セキュリティ スタックでセキュリティ ポスチャーを強化し、上り(内向き)と下り(外向き)のポイントを制限することで攻撃対象領域を縮小します。

  • Network Connectivity Center による管理の簡素化。

主な用語

NCC Gateway を理解するには、次の用語を理解しておいてください。

ハイブリッド アタッチメント: NCC Gateway に直接接続するように構成するハイブリッド接続。

セキュリティ サービス機能: NCC Gateway に接続されているサービス。たとえば、ユーザーとアプリケーション間の保護を行うには、SSE サービスを NCC Gateway に関連付ける必要があります。

アプリケーションまたはワークロード VPC ネットワーク: ワークロード VPC ネットワークは通常、Compute Engine 仮想マシン(VM)または Google Kubernetes Engine(GKE)コンテナをワークロードとして使用するネットワークです。ワークロード VPC ネットワークは、通常の VPC ネットワークでも、ホスト プロジェクトと複数のサービス プロジェクトを含む共有 VPC でもかまいません。ワークロード VPC ネットワークは、ハブのスポークとして構成する必要があります。

スポーク グループ: Network Connectivity Center ハブ内のスポークをグループ化する方法。スポーク グループを使用すると、スポークを異なるルーティング ドメインに分離できます。スポーク グループには複数のスポークを含めることができますが、スポークは 1 つのグループにのみ属することができます。さまざまなトポロジのスポーク グループの詳細については、事前定義された接続トポロジをご覧ください。

ハイブリッド検査トポロジ: NCC Gateway スポークをグループに追加して、ポリシーを適用できます。ハイブリッド検査トポロジの詳細については、ハイブリッド検査トポロジをご覧ください。

Secure Access Connect: サードパーティの SSE プロダクトを NCC Gateway に接続して、セキュリティ処理と安全なインターネット下り(外向き)を実現します。Secure Access Connect の詳細については、Secure Access Connect の概要をご覧ください。

サポートされている SSE プロダクト

NCC Gateway は、次の SSE プロダクトへの接続をサポートしています。

ユースケース

NCC Gateway は、アプリケーションへのハイブリッド ワークフォースのアクセスを保護したい組織に最適です。NCC Gateway は、統合パートナー エコシステムを通じてハイブリッド ワークフォースにセキュリティを提供し、選択した SSE プロバイダに接続できるようにします。NCC Gateway を使用すると、 Google Cloud、オンプレミス、他のクラウド プロバイダでホストされているプライベート アプリケーション、インターネットでホストされているパブリック アプリケーション、SaaS アプリケーションへのアクセスを保護できます。NCC Gateway を使用すると、データセンターの近接性を最適化するリージョン デプロイを作成し、 Google Cloudのプライベート バックボーンでリージョン間のトラフィックを管理できます。

Google Cloud ユーザーのユースケースには、次のようなものがあります。

  • ブランチ ユーザーからインターネットへのトラフィック
  • ブランチ ユーザーからプライベート アプリケーションへのトラフィック
  • プライベート アプリケーションからインターネットへのトラフィック

サポートされているパートナーの一部は、次のユースケースの 1 つ以上を提供しています。

  • モバイル ユーザーからインターネットへのトラフィック
  • モバイル ユーザーからプライベート アプリケーションへのトラフィック
  • ブランチ ユーザーからパートナー アプリケーションへのトラフィック
  • プライベート アプリケーションからパートナー アプリケーションへのトラフィック

トラフィック フロー

このセクションでは、各ユースケースに応じた NCC Gateway のトラフィック フローパスについて説明します。

Google Cloud ユーザーのユースケースにおけるトラフィック フロー

ブランチ ユーザーからインターネットへのトラフィック

次の図では、トラフィックは、オンプレミス ブランチ ユーザーから NCC Gateway とサードパーティの SSE スタックを経由してインターネットに流れます。

ブランチ ユーザーからインターネットへのトラフィック フロー。
ブランチ ユーザーからインターネットへのトラフィック フロー(クリックして拡大)。

ブランチ ユーザーからプライベート アプリケーションへのトラフィック

次の図では、トラフィックは、オンプレミス ブランチ ユーザーから NCC Gateway を経由し、サードパーティの SSE を通過してから、NCC Gateway を経由してプライベート アプリケーションに戻ります。

ブランチ ユーザーからプライベート アプリケーションへのトラフィック フロー。
ブランチ ユーザーからプライベート アプリケーションへのトラフィック フロー(クリックして拡大)。

プライベート アプリケーションからインターネットへのトラフィック

次の図では、トラフィックは、 Google Cloudから NCC Gateway を経由して、サードパーティの SSE を通過してから、NCC Gateway を経由してインターネットに戻ります。

プライベート アプリケーションからインターネットへのトラフィック フロー。
プライベート アプリケーションからインターネットへのトラフィック フロー(クリックして拡大)。

サポートされているパートナーのユースケースにおけるトラフィック フロー

モバイル ユーザーからインターネットへのトラフィック

次の図では、トラフィックは、モバイル ユーザーからサードパーティの SSE を経由してインターネットに流れています。この場合、トラフィックは NCC Gateway を通過しません。

モバイル ユーザーからインターネットへのトラフィック フロー。
モバイル ユーザーからインターネットへのトラフィック フロー(クリックして拡大)。

モバイル ユーザーからプライベート アプリケーションへのトラフィック

次の図では、トラフィックは、モバイル ユーザーからサードパーティの SSE サービスと NCC Gateway を経由して、VPC ネットワークでホストされているプライベート アプリケーションに流れます。

モバイル ユーザーからプライベート アプリケーションへのトラフィック フロー。
モバイル ユーザーからプライベート アプリケーションへのトラフィック フロー(クリックして拡大)。

ブランチ ユーザーからパートナー アプリケーションへのトラフィック

次の図では、トラフィックは、オンプレミス ブランチ ユーザーから NCC Gateway を経由して、サードパーティの SSE を通過してから、NCC Gateway を経由してオンプレミス ブランチに戻ります。

ブランチ ユーザーからパートナー アプリケーションへのトラフィック フロー。
ブランチ ユーザーからパートナー アプリケーションへのトラフィック フロー(クリックして拡大)。

プライベート アプリケーションからパートナー アプリケーションへのトラフィック

次の図では、トラフィックは、プライベート アプリケーションから NCC Gateway を経由し、サードパーティの SSE を通過してから、NCC Gateway を経由してパートナー アプリケーションに戻ります。

プライベート アプリケーションからパートナー アプリケーションへのトラフィック フロー。
プライベート アプリケーションからパートナー アプリケーションへのトラフィック フロー(クリックして拡大)。

処理能力

NCC Gateway スポークの処理能力は、そのプロビジョニングされた帯域幅です。パケットが一部のトラフィック フローのフロー方向ごとにゲートウェイ スポークに複数回出入りする可能性があることを考慮して、各トラフィック フローの方向を考慮した十分な帯域幅をプロビジョニングする必要があります。

次の例を参考に、ゲートウェイ スポークに必要な処理能力を計算してください。

例: ブランチ ユーザーからインターネットへのトラフィック

ブランチ ユーザーからインターネットへのトラフィックのユースケースに示すように、ブランチのオンプレミス ネットワークがインターネットに接続されているとします。パケットは各方向で NCC Gateway を 1 回通過し、ブランチとインターネットには 1 Gbps の全二重通信の帯域幅が必要です。ブランチのオンプレミス ネットワークからインターネットへのトラフィックに 1 Gbps、インターネットからブランチ ネットワークへのトラフィックに 1 Gbps です。この場合、ユーザーは 2 Gbps の処理能力を必要とします。この例では、SSE パートナーがパケットをドロップしないことも前提としています。選択した SSE パートナーが、この例で計算された値よりも高い帯域幅を推奨している場合は、パートナーの推奨事項に従ってください。

例: ブランチ ユーザーからプライベート アプリケーションへのトラフィック

ブランチのオンプレミス ネットワークがブランチ ユーザーからプライベート アプリケーションへのトラフィックのユースケースに示すように、Google Cloud に接続されており、ブランチとプライベート アプリケーションに 1 Gbps の全二重通信の帯域幅(ブランチからアプリケーションへのトラフィックに 1 Gbps、アプリケーションからブランチへのトラフィックに 1 Gbps)が必要であるとします。この例では、SSE パートナーがパケットをドロップしないことも前提としています。選択した SSE パートナーが、この例で計算された値よりも高い帯域幅を推奨している場合は、パートナーの推奨事項に従ってください。

ブランチのオンプレミス ネットワークを Network Connectivity Center ハブに接続する NCC Gateway スポークには、Cloud Interconnect SLA の要件を満たすために 1 Gbps の VLAN アタッチメントが 2 つ必要です。これにより、1 つの VLAN アタッチメントがオフラインの場合でも(Interconnect 接続のメンテナンスの場合など)、1 つの VLAN アタッチメントでブランチとプライベート アプリケーション間の 1 Gbps の全二重通信の帯域幅を提供できます。

ゲートウェイ スポークに必要な処理能力は、次の理由により 4 Gbps です。

  • ブランチのオンプレミス ネットワークから Network Connectivity Center ハブへのトラフィックには、1 Gbps の帯域幅が必要です。このトラフィックは、次の 2 か所でゲートウェイによって処理されるため、2 Gbps のゲートウェイ帯域幅が必要です。

    • パケットがブランチに接続する VLAN アタッチメントからのゲートウェイ スポークに送信されるときに 1 Gbps
    • パケットがゲートウェイ スポークからハブに送信されるときに 1 Gbps

  • Network Connectivity Center ハブからブランチのオンプレミス ネットワークへのトラフィックにも 1 Gbps の帯域幅が必要です。このトラフィックは、次の 2 か所で Gateway によって処理されるため、Gateway の帯域幅が 2 Gbps 追加で必要になります。

    • パケットがハブからゲートウェイ スポークに送信されるときに 1 Gbps
    • パケットがゲートウェイ スポークからブランチに接続する VLAN アタッチメントに送信されるときに 1 Gbps

ゲートウェイの処理能力と VLAN アタッチメントの帯域幅を構成するには、次の戦略をおすすめします。

  • ゲートウェイ処理能力は、すべてのゲートウェイ NIC 間で各方向に必要な帯域幅の合計です。
  • ゲートウェイの処理能力とは異なり、VLAN アタッチメントの帯域幅は全二重通信です。共通の Interconnect 接続を使用する VLAN アタッチメントがダウンした場合でも、必要な帯域幅をサポートできるように、常に十分な数の VLAN アタッチメントをプロビジョニングします。

考慮事項

NCC Gateway を使用する場合は、次の点に注意してください。

  • NCC Gateway は、SSE サービスの挿入のみをサポートします。
  • VLAN アタッチメントは NCC Gateway スポークにのみ接続できます。Cloud VPN とルーター アプライアンスはサポートされていません。
  • すべての NCC Gateway スポークは、同じゲートウェイ スポーク グループに存在する必要があります。NCC Gateway を構成するには、Network Connectivity Center ハブでプリセット ハイブリッド検査トポロジを使用する必要があります。
  • NCC Gateway に接続できるサービスは一度に 1 つだけです。
  • Cloud Router は、同じリージョン内の NCC Gateway にリンクする必要があります。
  • NCC Gateway にリンクされた Cloud Router で作成された VLAN アタッチメントのみがゲートウェイに接続されます。
  • ハブあたりリージョンごとに 1 つの NCC Gateway スポークのみを設定できます。
  • NCC Gateway スポークとハブは同じプロジェクトに存在する必要があります。
  • ゲートウェイ スポークの作成時に処理能力を指定する必要があります。処理能力は、必要に応じて後で変更できます。
  • 割り当てられた IP アドレス範囲は変更できません。一部の IP アドレス範囲は SSE パートナー用に予約されています。
  • NCC Gateway からトラフィックのサブセットをバイパスするトラフィック ステアリング ポリシーはありません。
  • ゲートウェイ アドバタイズド ルートは VPC ルートテーブルに表示されません。これらは、VPC ネットワークが属するスポーク グループのハブ ルートテーブルで確認できます。
  • ゲートウェイ アドバタイズド ルートは、標準の最適パス選択モードを使用してプログラムされます。
    • ハブ ルートテーブル内のゲートウェイ アドバタイズ ルートの優先度は、6553665537 などの有効な Andromeda ルートの優先度を反映します。ゲートウェイ アドバタイズド ルートの作成時に設定された優先度は、有効な Andromeda ルートの優先度の計算時に考慮されます。
    • 静的ルートの優先度は常に 0-65535 の範囲内であるため、同じ宛先プレフィックスのゲートウェイ アドバタイズ ルートよりも優先されます。したがって、宛先が 0/0 のゲートウェイ アドバタイズ ルートを使用してインターネット トラフィックをゲートウェイに転送する場合は、システム生成のデフォルト ルートを削除する必要があります。

ゲートウェイとハブ ルートテーブルの適用されているルートのビュー

リージョンの観点からハブ ルートテーブルをクエリできます。これにより、ゲートウェイ経由かどうかに関係なく、ルートを選択する際にリージョン間の費用が考慮されます。このクエリを使用すると、特定のリージョンからパケットを送信した場合に、どの特定のゲートウェイ インスタンスがトラフィックを受信するかを確認できます。

ユーザー ジャーニーの例

既存の接続設定がない場合は、NCC Gateway の設定の概要をご覧ください。

料金

料金については、Network Connectivity Center の料金をご覧ください。

次のステップ