Google Cloud

GCP VPC 設計パターン完全ガイド|Shared VPC・Peering・Cloud NAT・Cloud Armor

2026-05-24
NicheeLab編集部

GCP VPC はグローバルリソースとして 1 つの VPC が全リージョンを跨ぐ独自のアーキテクチャ。 本記事では VPC 設計の基本パターン、Shared VPC / Peering、Firewall / Cloud Armor、Cloud NAT、ロードバランサ選択、Flow Logs 活用までまとめます。

GCP VPC の特徴

  • グローバルリソース: 1 VPC で全リージョン跨ぐ (AWS / Azure と最大の違い)
  • サブネットはリージョン単位: VPC は Global、Subnet は Regional
  • Auto-mode vs Custom-mode: Auto は全リージョンに自動 Subnet (本番非推奨)、Custom は明示定義
  • Routing はグローバル: クロスリージョン Subnet 通信は自動
  • BGP 学習: Cloud Router で動的経路

主要設計パターン

1. Single VPC (小規模)

  • 1 プロジェクト + 1 VPC、シンプル
  • 用途: 個人プロジェクト、PoC、小規模 SaaS

2. Shared VPC (中〜大規模、推奨)

  • ホストプロジェクト = ネットワーク管理
  • サービスプロジェクト = アプリチーム
  • ネットワーク統制 + 事業部独立性の両立
  • 用途: エンタープライズ、マルチチーム

3. Hub & Spoke (NCC ベース)

  • 中央ハブ VPC + 複数スポーク VPC
  • Network Connectivity Center で統合管理
  • 用途: マルチリージョン WAN、マルチクラウド統合

4. VPC Peering (組織横断)

  • 2 つの独立 VPC を直接接続
  • 推移的でない (A↔B、B↔C → A↔C は別途)
  • 用途: 組織間連携、SaaS プロバイダ ↔ 顧客

Firewall

VPC Firewall Rules

  • Stateful、Allow / Deny
  • Priority (0-65535、小さいほど優先)
  • Source / Target で Tag / SA 指定
  • Direction: Ingress / Egress

Hierarchical Firewall Policy

  • 組織 / フォルダレベルで定義
  • プロジェクト Firewall Rules より優先評価
  • 用途: 「全プロジェクトで SSH from internet 禁止」等の最低限

Cloud NAT

  • Private IP のみ VM → インターネット送信を実現 (Outbound のみ)
  • マネージド、HA、リージョン単位
  • ポート割当: Static (固定) または Dynamic (利用に応じて拡張)
  • VM に Public IP 不要 → セキュリティ向上 + IP コスト削減

Cloud Armor (WAF + DDoS)

  • OWASP Top 10 対策プリセット (XSS / SQLi / LFI 等)
  • Rate Limiting (IP / クライアント単位)
  • Geo ベースブロック (国 / 地域)
  • Adaptive Protection (ML ベース DDoS 検知 + 自動緩和)
  • Threat Intelligence (悪意ある IP / ボットネット)
  • reCAPTCHA Enterprise 統合
  • Standard / Plus / Enterprise の 3 ティア

ロードバランサ 7 種類

種別レイヤスコープ用途
Global External HTTPS LBL7Globalグローバル Web アプリ
Regional External HTTPS LBL7Regional地域要件、PCI
Internal HTTPS LBL7Regional / Cross-region内部マイクロサービス
Global External Proxy Network LB (TCP/SSL)L4Global非 HTTPS グローバル
External Passthrough Network LBL4RegionalUDP、レガシー
Internal Passthrough Network LBL4Regional内部 L4
Cross-region Internal HTTPS LBL7Cross-regionHA な内部サービス

VPC Flow Logs

  • 5-tuple (src/dst IP+port、protocol) + Action + Bytes をログ化
  • サンプリングレート設定可 (CPU / コスト最適化)
  • 用途: トラブル分析、セキュリティ分析、コスト按分
  • BigQuery エクスポート + Looker / Looker Studio で可視化が定石

頻出ひっかけ問題

  • VPC は Global、Subnet は Regional: AWS との最大の違い
  • VPC Peering は非推移的: フルメッシュが必要なら NCC 検討
  • Cloud NAT は Outbound only: Inbound には LB / IAP
  • Hierarchical Firewall は IAM 順序より優先: 組織レベルの Deny は破れない
  • Auto-mode VPC は本番非推奨: 全リージョンで Subnet 重複の危険

GCP VPC と AWS / Azure VPC の違いは?

GCP VPC はグローバルリソース (1 VPC で世界全リージョン)、AWS / Azure はリージョン単位。サブネットだけがリージョン依存。クロスリージョン VPC Peering 不要は GCP の強み。

Shared VPC とは?

ホストプロジェクトで VPC を中央管理し、複数のサービスプロジェクトに割り当てる構成。ネットワーク管理は中央チーム、アプリは事業部チームという責任分離が実現できます。

VPC Peering と Shared VPC どちらを使う?

組織内で中央統制したい → Shared VPC、独立した組織 / プロジェクト間 → VPC Peering。VPC Peering は推移的 (A↔B、B↔C でも A↔C は不可)。

Hierarchical Firewall Policy とは?

組織 / フォルダレベルで Firewall Rule を強制定義。プロジェクトごとに上書きされない最低限の制御 (例: SSH 全拒否) を一括適用できます。

Cloud NAT は何のため?

Private IP のみの VM からインターネットへの送信通信を可能にする (Outbound のみ)。Public IP を VM に付与せずに済むためセキュリティ向上。

Cloud Armor は WAF ですか?

はい。OWASP Top 10 対策、Rate Limiting、Geo ベースブロック、Adaptive Protection (ML ベース DDoS 防御)、Threat Intelligence 連携など。

Global vs Regional ロードバランサ?

Global は単一の Anycast IP で世界中から最寄りに分散 (HTTPS / TCP / SSL Proxy)、Regional は地域内分散。グローバルアプリは Global、PCI 等の地域要件は Regional。

VPC Flow Logs は何に使う?

VPC 内のフロー (5-tuple + Action) をログ化。トラブルシュート、セキュリティ分析、ネットワーク利用統計に必須。BigQuery エクスポート + Looker 可視化が定石。

関連記事・ネットワーク

GCP Professional Cloud Network Engineer (PCNE) 完全ガイド|VPC・Interconnect・Load Balancing

Google Cloud Professional Cloud Network Engineer の試験範囲、VPC / Cloud Interconnect / Cloud Load Balancing / Cloud Armor、AWS ANS・Azure AZ-700 比較を詳解。

GCP Professional Cloud Developer (PCD) 完全ガイド|Cloud Run・GKE・CI/CD・APM

Google Cloud Professional Cloud Developer の試験範囲、Cloud Run / GKE / Cloud Build / Cloud Trace、AWS DVA / Azure AZ-204 比較、学習ロードマップを徹底解説。

Cloud Logging 完全ガイド|ログクエリ・Log Router・Audit Logs・保持期間 (GCP)

Google Cloud Cloud Logging の全機能解説。Logging Query Language (LQL)、Log-based Metric、Log Router (Sink)、Audit Logs、Log Bucket、料金、CloudWatch Logs / Azure Monitor 比較を網羅。

Cloud Scheduler + Cloud Functions/Run で定期バッチ自動化チュートリアル (GCP)

Google Cloud Scheduler と Cloud Functions / Cloud Run Job で定期バッチ自動化。cron 形式、OIDC 認証、リトライ、Dead Letter、Workflows 連携、Cloud Run Job 並列実行を 2026 年最新版で解説。

※ Google Cloud は Google LLC の商標です。最新情報は VPC 公式 をご確認ください。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

GCP 試験対策ページを見る
この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。


関連記事
Google Cloud

Google Cloud (GCP) 認定資格ロードマップ 2026 完全版|全 15 試験を体系化

Google Cloud 認定資格 全 15 試験 (Foundational 2 + Associate 3 + Pr...

Google Cloud

Cloud Digital Leader (CDL) 完全ガイド|出題範囲・学習リソース・合格戦略

Google Cloud Cloud Digital Leader (CDL) の完全ガイド。6 ドメイン 92 bul...

Google Cloud

Generative AI Leader (GAIL) 完全ガイド|Google Cloud 生成 AI 認定

Google Cloud Generative AI Leader (GAIL、2025-05-14 リリース) の完全...

Google Cloud

Vertex AI 入門|Google Cloud 統合 ML プラットフォームの全機能

Google Cloud Vertex AI の入門解説。Vertex AI Studio / Agent Builde...

Google Cloud

GCP Associate Cloud Engineer (ACE) 完全ガイド|試験範囲・受験料・学習ロードマップ

Google Cloud Associate Cloud Engineer (ACE) の試験範囲・受験料 125 US...

Google Cloudの記事一覧 (102件)
© 2026 NicheeLab All rights reserved.