1. はじめに
概要
このラボでは、Network Connectivity Center(NCC)が NCC Gateway を使用して安全な接続を確立する方法について説明します。ユーザーは Secure Access Connect を実装してサードパーティのセキュリティ サービス エッジ(SSE)プロダクトを統合し、トラフィック フローの堅牢な検査と保護を実現します。この構成は、Google Cloud 環境に出入りするトラフィックを保護するための一元化されたゲートウェイ ベースのモデルを提供することで、ネットワーク管理を簡素化します。
作成するアプリの概要
この Codelab では、NCC ハブを使用して論理的なハブアンドスポーク トポロジを構築します。このトポロジは、3 つの異なる VPC 間でフルメッシュの VPC 接続ファブリックを実装します。
学習内容
- ハイブリッド検査トポロジ
- NCC Gateway
- セキュア アクセス接続
- Palo Alto Network SSE
必要なもの
- GCP VPC ネットワークの知識
- Cloud Router と BGP ルーティングの知識
- この Codelab には 5 つの VPC が必要です。これらの VPC の 1 つは、NCC ハブとは別のプロジェクトに存在する必要があります。
- 割り当て: ネットワークを確認し、必要に応じて追加のネットワークをリクエストします。以下のスクリーンショットを参照してください。
目標
- GCP 環境を設定する
- ハイブリッド検査用に Network Connectivity Center を構成する
- SSE 用に Palo Alto Network Stratacloud Manager をプロビジョニングする
- データパスの検証
- NCC のサービス機能を確認する
- 使用したリソースをクリーンアップする
始める前に
Google Cloud コンソールと Cloud Shell
このラボでは、GCP を操作するために、Google Cloud コンソールと Cloud Shell の両方を使用します。
NCC Hub プロジェクト(Google Cloud コンソール)
Cloud コンソールには、https://console.cloud.google.com からアクセスできます。
Google Cloud で次の項目を設定すると、Network Connectivity Center を簡単に構成できます。
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
注: この手順で作成するリソースをそのまま保持する予定でない場合、既存のプロジェクトを選択するのではなく、新しいプロジェクトを作成してください。チュートリアルの終了後にそのプロジェクトを削除すれば、プロジェクトに関連するすべてのリソースを削除できます。
Cloud Shell を起動します。この Codelab では、$variables を使用して、Cloud Shell での gcloud 構成の実装を支援します。
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
IAM ロール
NCC では、特定の API にアクセスするために IAM ロールが必要です。必要に応じて、NCC IAM ロールを使用してユーザーを構成してください。
役割/説明 | 権限 |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. ネットワーク環境を設定する
このセクションでは、VPC ネットワークとファイアウォール ルールを単一のプロジェクトにデプロイします。論理図は、このステップで設定するネットワーク環境を示しています。
VPC とサブネットを作成する
VPC ネットワークには、データパスの検証用に GCE VM をインストールするサブネットが含まれています。
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
VPC ファイアウォール ルールを構成する
各 VPC にファイアウォール ルールを構成して、
- SSH
- 内部 IAP
- 10.0.0.0/8 範囲
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
各 VPC で GCE VM を構成する
「vm1-vpc1-ncc」にパッケージをインストールするには、一時的なインターネット アクセスが必要です。
4 つの仮想マシンを作成します。各 VM は、前に作成した VPC のいずれかに割り当てられます。
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. NCC ハイブリッド検査トポロジ
このセクションでは、ハイブリッド検査トポロジ用の Network Connectivity Center ハブをデプロイします。NCC ハイブリッド検査トポロジは、NCC Gateway を特にサポートするために、プリセット NCC スポーク ポリシーを実装します。論理図は、このステップで設定するネットワーク環境を示しています。
ハイブリッド スポーク検査用の NCC ハブ
NCC Hub を作成するときに、-preset-topology=hybrid-inspection フラグを使用して、NCC スポークタイプの 4 つのグループを作成します。NCC スポークには次の 4 つのタイプがあります。
Groups:gateways | ゲートウェイ スポークは、オンプレミスや他のクラウドから Google Cloud に入るトラフィック フローのリージョン エントリ ポイントとエグジット ポイントとして機能します。これらは、Palo Alto Networks や Symantec などのサードパーティ SSE サービスを介したトラフィック検査を容易にします。注: このトポロジで NCC Gateway スポークを含めることができるのは、このグループのみです |
グループ:サービス | このグループは共有リソースの「ハブ」として機能します。このグループのスポークは、他のすべてのスポーク グループ(本番環境、非本番環境、ゲートウェイ)に接続できます。共有サービス VPC(ロギング、認証、モニタリング、共通ツールなど) |
Groups:prod | ユースケース: ミッション クリティカルなワークロード(VM、GKE クラスタ)を含む本番環境アプリケーション VPC を割り当てます。 |
Groups:non-prod | 割り当てられたリソース: 開発環境、テスト環境、ステージング環境で使用される非本番環境アプリケーション VPC。 |
ハイブリッド検査のプリセット トポロジを使用するように NCC ハブを構成する
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
出力例
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
gcloud コマンドを使用して、NCC ハブのプリセット ルーティング テーブルを確認します。
gcloud network-connectivity hubs describe cl-hi-hub
出力例
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
NCC スポークをグループに追加して、トラフィック フロー ポリシーを適用できます。NCC スポークは 1 つのグループにのみ属することができます。このリリースでは、HYBRID-INSPECTION という特定のプリセット トポロジで、ゲートウェイ、本番環境、非本番環境、サービスという 4 つのグループが導入されています。
すべての NCC Gateway リソース(ハイブリッド接続を含む)は、ゲートウェイ グループの一部です。ゲートウェイ グループのスポークは相互に通信できます。また、ゲートウェイと他のスポーク グループ間のトラフィックは検査の対象となります(サービス ポリシーの構成によって異なります)。
NCC スポーク グループ接続ルール
ソースグループ | アクセス可能(許可) | アクセス不可(制限あり) |
Services Group | gateways、prod、non-prod、services | なし |
プロダクト グループ | ゲートウェイ、サービス、本番環境スポーク | 非本番環境のスポーク |
非本番環境グループ | ゲートウェイ、サービス、非本番環境スポーク | 本番環境のスポーク |
Gateways Group | ゲートウェイ、サービス、本番環境、非本番環境 | なし |
gcloud コマンドを使用して、NCC Hub の事前設定されたグループを一覧表示する
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
出力例
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
ウェブ コンソールで、[ネットワーク接続] > [Network Connectivity Center] に移動し、[cl-hi-hub] を選択して NCC ハブの構成を表示します。
NCC グループ prod のスポークとしてのワークロード VPC2
gcloud コマンドを使用して、ワークロード VPC3 を(ワークロード)スポークとして構成し、スポークを group:prod に割り当てます。
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
出力例
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
gcloud コマンドを使用して、NCC ハブの「prod」ルートテーブルのプレフィックスを表示します。
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
出力例
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
ワークロード VPC3 を NCC グループ non-prod のスポークとして構成する
gcloud コマンドを使用して、ワークロード VPC3 を(ワークロード)スポークとして構成し、スポークを group:non-prod に割り当てます。
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
出力例
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
gcloud コマンドを使用して、NCC ハブの「prod」ルートテーブルのプレフィックスを表示します。
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
出力例
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
ワークロード VPC1 を NCC グループ:services のスポークとして構成します。
gcloud コマンドを使用して、ワークロード VPC1 を(ワークロード)スポークとして構成し、スポークを group:services に割り当てます。
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
出力例
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
us-central1 の SSE ゲートウェイ用に NCC Gateway スポークを構成する
gcloud コマンドを使用して、us-central1 に NCC Gateway スポークを作成します。
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
出力例
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
gcloud コマンドを使用して NCC スポークを一覧表示します。
gcloud network-connectivity spokes list
出力例
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
「cl-hi-hub」NCC ハブで構成されている NCC スポークを調べます。
NCC Gateway から NCC Hub に IP プレフィックスをアドバタイズする
特定のプレフィックスを NCC ハブのルートテーブルに通知するように NCC Gateway を構成します。
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud コマンドを使用して、ゲートウェイ スポークから発信されたアドバタイズド ルートを一覧表示する
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
出力例
NCC Gateway スポークのアドバタイズド ルートを調べる
ウェブ コンソールで、[Network Connectivity] > [Network Connectivity Center] に移動し、[スポーク] タブを選択して、[cl-ncc-gw-usc-sp] をクリックします。
4. Cloud Interconnect ハイブリッド接続
この記事の執筆時点では、NCC Gateway は Google Cloud Interconnect のみをサポートしています。NCC Gateway は、Google テナント プロジェクトのグローバル VPC と Cloud Router を使用して、VLAN アタッチメントと BGP ピアリング セッションを終了します。
図では、NCC Gateway に論理的に接続された Cloud Interconnect と VLAN アタッチメントのペアが示されていますが、VLAN アタッチメントを終端する基盤となるコンポーネントは、Google マネージド テナント グローバル VPC の Cloud Router です。このセクションでは、オンプレミス接続の BGP セッションを管理するように、NCC Gateway に関連付けられた Cloud Router を構成します。
us-central1 の NCC Gateway 固有の Cloud Router
gcloud コマンドを使用して、NCC Gateway 専用の Cloud Router を構成します。
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
出力例
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: NCC Gateway スポークの完全な URI。URI の形式は次のパターンに従います。https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: トラフィックを Google Cloud に誘導するためにオンプレミス ネットワークにアドバタイズする IP 範囲。
この gcloud コマンドを使用して、作成したばかりのルーターを一覧表示します
gcloud compute routers list --filter="region:(us-central1)"
Cloud Router は VPC に関連付けられていません
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Cloud Router のインターフェースとして使用される既存の専用 Cloud Interconnect から VLAN アタッチメントを作成します。次の構成例では、リンクローカル IP アドレスを候補サブネット範囲として使用しています。この範囲の特定のホストアドレスは、BGP ピアリングの構成に使用されます。
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
インターフェースを使用して us-central1 で NCC Gateway Cloud Router を構成する
gcloud コマンドを使用して、us-central で作成した VLAN アタッチメントを NCC Gateway Cloud Router に関連付けます。
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
出力:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
上記で作成した VLAN アタッチメントの BGP ピアを構成します。
次の gcloud コマンドを使用して、Cloud Router インターフェースで BGP ピアリングを有効にします。
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
出力:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
2 つ目の VLAN アタッチメント インターフェースを使用して、us-central1 で NCC Gateway Cloud Router を構成する。
gcloud コマンドを使用して、2 番目の VLAN アタッチメントを NCC Gateway の Cloud Router のインターフェースとして追加します。
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
出力:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
次の gcloud コマンドを使用して、Cloud Router インターフェースで BGP ピアリングを有効にします。
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
オンプレミス BGP スピーカーで BGP ピアリングのステータスを確認する
gcloud コマンドを使用して、オンプレミス ルーターの BGP ピアのステータスを確認し、NCC Gateway Cloud Router がオンプレミス ネットワークに送信しているルートを確認します。
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
出力:
BGP の状態が [確立済み] であることを確認します。
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
gcloud コマンドを使用して、NCC Gateway Cloud Router がオンプレミス ネットワークから受信しているルートを確認します。
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
出力:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
サブネット ルートは自動的にアドバタイズされるため、GCP カスタム プレフィックスをオンプレミスにアドバタイズします。カスタム プレフィックスの「サマリー」ルートをアドバタイズできます。**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
出力:
Updating router [ncc-gw-usc1-cr]...done.
5. サードパーティの SSE と NCC Gateway の統合
Secure Access Connect は、サードパーティのセキュリティ サービス エッジ(SSE)プロダクトを NCC Gateway に接続して、上り(内向き)と下り(外向き)のトラフィックを保護できる機能です。主な機能は、GCP とサードパーティの SSE プロバイダ間のリンクを確立することです。
このセクションでは、Strata Cloud Manager にログインして、NCC Gateway で SSE プロキシ サービスを有効にして構成します。
このサービスは、次の 2 つの主要なリソースで構成されています。
- Secure Access Connect レルム: Google Cloud プロジェクトを SSE サービスにリンクするグローバル リソース。VPC またはユーザーのグループに共有セキュリティ ポリシー空間を確立し、同じセキュリティ ポリシーのセットに則って管理する必要があるゲートウェイを SSE プロバイダに公開します。
- Secure Access Connect アタッチメント: NCC Gateway が SSE サービスでトラフィックを処理できるようにするリージョン論理リソース。パートナーの SSE スタックとの信頼と接続を確立するために必要なメタデータを保持します。
Secure Access Connect レルムを作成する
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
ペア設定キーを特定する
セキュア アクセス接続レルムを Prisma Access に関連付けるには、ペア設定キーが必要です。この英数字文字列は、Strata Cloud Manager ウェブポータルを使用して SSE ゲートウェイを構成し、プロビジョニングするために使用されます。
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Prisma Access で Managed Cloud WAN を使用してパートナー レルムを作成する
- Strata Cloud Manager にログインし、割り当てられた SSE ゲートウェイ テナントを使用していることを確認します。
- SAC レルムをパートナー テナントに接続するには、次の場所に移動します。
[System Settings] -> [Integrations] -> [Managed Cloud WANs]
[接続] をクリックします。
- [Connect Google NCC Gateway Account] ダイアログ ボックスに、SAC レルムのペアリングキーを入力します。[確認] をクリックして、レルムの作成を開始します。
NCC Gateway のステータスが [接続済み] に更新されるまで数分かかります。
GCP Cloud Shell で、gcloud コマンドを使用して SAC レルムに関連付けられているペア設定キーを見つけます。
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
GCP Console でペア設定キーを確認することもできます。
次の場所に移動して、NCC Gateway SSE クラスタをマネージド Cloud WAN 接続として追加します。
[Configuration] > [NGFW and Prisma Access] > [Configuration Scope] をクリックし、[Prisma Access] セクションで [Remote Network] を選択します。
[概要] ページで [設定] をクリックし、[マネージド Cloud WAN 接続] を選択します。
[マネージド Cloud WAN サイトを追加] をクリックします。
NCC Gateway で SSE インスタンスを有効にする
GCP コンソールに切り替え、gcloud コマンドを使用して Secure Access Connect アタッチメントを作成します。
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
パートナー ゲートウェイを作成する
マネージド クラウド WAN 接続のパラメータを入力します。
- サイト名 - 接続に固有の名前を入力します。
- **サービスタイプ -**サービスタイプとして Google NCC Gateway を選択します。
- 接続名 - N CC Gateway SAC アタッチメントの有効化と作成で作成した GCP サービス ロケーションを選択します。
- Prisma Access コンピューティング ロケーション - Prisma Access と NCC ゲートウェイの統合をデプロイするコンピューティング ロケーションを選択します。
- 帯域幅(Mbps) - 割り当てる帯域幅を Mbps で選択します。割り当て可能な最大値は 10,000 Mbps(10 Gbps)です。
割り当て可能な最大値は 10,000 Mbps(10 Gbps)です。
完了したら、[保存] をクリックします。
NCC Gateway の SSE インスタンス構成を同期する
[Push Config] を選択して、NCC Gateway スポークにパートナー SSE インスタンスを作成します。
[Push Config] をクリックして [Jobs] を選択し、進行状況をモニタリングします。特定のジョブのすべての「結果」が完了するまで待ちます。
完了したら、[完了] をクリックします。
[Configuration] > [NGFW and Prisma Access] > [Configuration Scope] > [Prisma Access] > [Remote Networks] > [Setup] > [Managed Cloud WAN Connections] に移動して、パートナーの SSE ゲートウェイのステータスを確認します。
Prisma Access は、Managed Cloud WAN Connection の BGP 構成を自動的にプロビジョニングします。
6. NCC Gateway を介したデータパスを確認する
GCP Cloud Shell コンソールに切り替えます。
gcloud コマンドを使用して、ゲートウェイ スポークから発信されたアドバタイズ ルートを表示します。
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
「vm1-vpc1-ncc」に SSH 接続し、TCP ダンプを開始して「vm2-vpc2-ncc」からの ICMP パケットをトレースします。この VM は VPC2 に存在します。
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
「vm1-vpc2-ncc」への SSH セッションを確立し、「vm1-vpc1-ncc」の IP アドレスを ping します。
vm1-vpc2-ncc
ping 10.1.1.2
出力:
vm1-vpc1-ncc に次のトレースが表示されます。
VM-1 でオンプレミス HTTP サーバーに対して curl コマンドを実行して、オンプレミスの到達可能性をテストする
vm1-vpc1-ncc
curl 172.16.101.11 -vv
出力:
「vm1-vpc2-ncc」への SSH セッションを確立し、IP アドレス「1.1.1.1」を ping します。
vm1-vpc2-ncc
ping 1.1.1.1
出力:
Prisma(Strata Cloud Manager)で許可する必要があるため、ping が機能しません。有効にしてみましょう。
Strata Cloud Manager —-> [Configuration] —-> [NGFW and Prisma Access] に移動すると、次のように表示されます。
左上の [Global] プルダウン メニューを押し、[Remote Networks] を選択します。次に、[Security Services] タブをクリックして [Security Policy] を選択します。以下をご覧ください。
右上の [ルールの追加] をクリックし、「icmp を許可」ルールを作成して、vm1-vpc2-ncc と 1.1.1.1 間の ICMP トラフィックを許可します。完了したら、右上の [構成をプッシュ] をクリックします。
ジョブを確認して、構成が正常に push されたことを確認します。[Push Config](プッシュ構成) -> [Jobs](ジョブ)をクリックします。
ジョブが成功したら、vm1-vpc2-ncc からもう一度 ping テストを行います。
成功しました。この Codelab を完了しました。
7. ラボのクリーンアップ
VLAN アタッチメントを削除する
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
NCC Gateway Cloud Router の BGP ピアと BGP インターフェースを削除する
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ncc-gw-usc1-cr と ncc-gw-usc1-cr を削除する
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
ゲートウェイ アドバタイズド ルートを削除する
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
NCC VPC スポークを削除する
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
ncc-gateway スポークを削除する
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
セキュア アクセス レルムを削除する
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
NCC Hub を削除する
gcloud network-connectivity hubs delete ncc-hub --quiet
ファイアウォール ルールを削除する
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
GCE インスタンスを削除する
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
VPC サブネットを削除する
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
VPC を削除する
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. 完了
Network Connectivity Center ラボが完了しました。
学習した内容
- NCC ハイブリッド検査トポロジを構成する
- NCC Gateway スポーク
- Google Cloud 上の Palo Alto Network SSE Gateway
- PANW: Strata Cloud Manager
次のステップ