dombri-dev.diary

ぺーぺークラウドインフラエンジニアの奮闘記。

GCP day2:ユーザとリソースの関係・NW

f:id:dombri:20191105234125j:plain

こんにちは、丼です。

GCPの勉強を「ゆるっと」から「きりっと」に切り替えるべく(?)始めたアウトプット1週間チャレンジ。

本日は2日目です。
タイトルの通り、主にGCPのユーザ・リソースの関係性とネットワークについて学びました。

普段は Microsoft Azure 使いなので、Azureと似ているところ・異なるところ等見つけながら進めていこうと思います。

全体的には、基本的な考え方は近しいが、呼び方が違うことでややこしくなるなぁという印象でした。
あとは力を入れているサービスが違う。顧客のニーズも違うんだろうな。
AWSもいつか勉強したいと思いました。いつか・・・

ユーザ・アカウント・プロジェクト

f:id:dombri:20191106123234j:plain

プロジェクト

  • まずはプロジェクトを作成する
    • 複数のユーザやサービス、リソースを管理するテナントに相当
    • 課金アカウントを紐づける
    • ユーザアカウントは複数のプロジェクトに所属できる
    • 不要になったらプロジェクトごと削除できる

リージョン・ゾーン

  • リージョン

    • 複数のゾーンを含む地域の単位
    • 国内は東京・大阪リージョン
    • リージョンまたぎの冗長化構成可能
  • ゾーン

    • 複数のデータセンターからなる単位
    • 1つのリージョン内に3つのゾーン
    • ゾーン冗長が構成可能
note

それぞれのリージョン間はGoogleの内部的なNWで接続されている。
インターネットを経由せずに通信でき、高速

仮想ネットワーク

主に二つのサービス形態。

  • Legacy Network

    • リージョンをまたいだ単一のサブネットを形成
    • gcloud コマンドでのみ作成可能
  • Subnet Network

    • リージョン個別のサブネット
    • GUIから操作できる

Azure との比較

Azure でリージョンまたぎのネットワーク構成しようとすると、Vnetピアリングが必要かも?
分かりづらいから普段使いはSubnetの方でOK。

ちょっと驚いたのは、ファイアウォールの設定方法が違う。

GCPVMに付与するタグでFW設定する。

一方Azureはネットワークセキュリティグループ(NSG)でルールを作り、VMNICまたはサブネットに適用する。

Azureはネットワーク通信分離が目的でサブネット用意したりするのに対し、GCPはそれが不要、と。
(Azureもアプリケーションセキュリティグループあたりでにたようなことができるのかも?)

タグでFWってどんな感じなのか感覚がつかめない・・・この辺りは実際にGCP触りながら確かめてみよう。
本日はここまで。また明日!