Question#4(Professional Cloud Network Engineer)

組織の Google Cloud 内に、異なるプロジェクトに属する5つの VPC があり、これらには高スループットの接続が必要です。各 VPC の IP アドレス使用状況を監査したところ、2つの VPC で以下の重複するサブネットが使用されていることが判明しました：240.0.0.0/16 と 240.128.0.0/24。

クラス E サブネット (240.0.0.0/4) は VPC 間接続を必要としませんが、それ以外のすべてのサブネットは互いに接続できる必要があります。これらの要件を満たすルーティングソリューションをデプロイする必要があります。何をすべきですか？

A. 5つの VPC すべての間にフルメッシュの VPC ネットワークピアリング接続を作成する。パブリック IP アドレスを持つサブネットルートをインポート・エクスポートしないように設定し、ファイアウォールルールで通信を許可する。
B. メッシュトポロジの Network Connectivity Center (NCC) ハブを作成する。5つの VPC それぞれに対して VPC スポークを追加し、240.0.0.0/4 を対象とする export exclude filter（エクスポート除外フィルタ）を構成する。ファイアウォールルールで通信を許可する。
C. 各 VPC にインターフェースを持つマルチ NIC VM を複数作成し、インスタンスグループに配置する。各 VPC に内部パススルーネットワークロードバランサ (L4 ILB) を作成し、バックエンドにそのインスタンスグループを指定する。各 VPC でロードバランサを次ホップとするカスタム静的ルートを構成する。
D. 5つの VPC すべての間にフルメッシュの VPC ネットワークピアリング接続を作成する。その際、すべての接続で 240.0.0.0/4 を対象とする export exclude filter を構成する。ファイアウォールルールで通信を許可する。

正解と解説ディスカッション 0

正解：B

この問題のポイントは、「重複する IP アドレスがある状況で、いかに効率的かつスケーラブルに VPC 間を接続するか」です。

1. なぜ B が正しいのか？

スケーラビリティ: 5つの VPC を「フルメッシュ」で接続する場合、VPC ピアリングだと $n(n-1)/2$ 、つまり 10 本の接続を手動で管理する必要があります。Network Connectivity Center (NCC) を使えば、ハブに各 VPC をスポークとして繋ぐだけで全対全（メッシュ）の接続が容易に実現できます。
重複 IP の制御 (Exclude Filter): NCC の VPC スポークでは、特定のルートをハブに広報しないようにする export exclude filter が使えます。問題文にある「接続不要なクラス E 重複サブネット (240.0.0.0/4)」を除外設定にすることで、IP 重複によるルーティングの競合（エラー）を回避しつつ、他の必要なサブネット同士の通信を確立できます。

Question#4(Professional Cloud Network Engineer)

1. なぜ B が正しいのか？

コメント

コメント

コメントするコメントをキャンセル

1. なぜ B が正しいのか？

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル