developersIO
【アップデート】VPCネットワークピアリングにコンセンサスモードでのピアリング接続がサポート(GA)されました

【アップデート】VPCネットワークピアリングにコンセンサスモードでのピアリング接続がサポート(GA)されました

Google Cloud (GCP)VPCVPC Peering
FacebookHatena blogX
2025.11.04

はじめに

こんにちは。
クラウド事業本部コンサルティング部の渡邉です。

2025年11月3日に、VPCネットワークピアリングにコンセンサスモードでのピアリング接続がサポート(GA)されました。
VPC release notes  |  Virtual Private Cloud  |  Google Cloud Documentation

クラウドインフラを運用する上で、「意図しないネットワーク接続の削除」は最も避けたいインシデントの一つです。
特に複数の組織やチーム間でVPCネットワークピアリングを利用している場合、片方のチームが誤って接続を削除してしまうと、ビジネスクリティカルなサービスが停止する可能性があります。
コンソール上だと、数クリックで接続を削除することもできますので、誤った操作によって接続が削除されインシデントになってしまうことも考えられます。

コンセンサスモードとは?

VPCネットワークピアリングのコンセンサスモードとは、VPCネットワークピアリング接続の削除に両側のネットワーク管理者の承認を必須とするピアリング管理機能です。
つまり、コンソール上で誤って、VPCネットワークピアリングの接続を削除しようとしても接続元と接続先両方の承認がないと削除することができなくなります

コンセンサスモードによって解決する課題

従来の独立モード(デフォルト)では、接続のどちらの側からでも自由にピアリング接続を削除できます。これは開発環境では即時にリソースの削除ができるため便利ですが、本番環境では以下のようなリスクがあります。

  • 一方のチームが誤って接続を削除
  • 組織間の調整なしにピアリングが切断
  • サービス停止による業務影響

しっかりとIAMによる最小権限に沿った権限管理が行われていれば、上記のようなリスクも少ないかもしれませんが、過剰なIAM権限を持つユーザのミスによって上記のようなことが起こりうる可能性は十分あり得ます。
コンセンサスモードは、両側の明示的な合意なしには接続を削除できない仕組みを提供することで、これらのリスクを軽減することができます。

主な特徴

  • 両側の合意が必須: 削除には両ネットワークの管理者による承認が必要
  • ダウンタイムなし: 削除リクエストが保留中でも通信は継続
  • 意図しない変更を防止: 一方的な削除を完全にブロック
  • クリティカルサービス向け: 本番環境や組織間ピアリングに最適

独立モード と コンセンサスモード:どちらを選ぶべきか

独立モードとコンセンサスモードの比較表になります。

比較表

項目 独立モード コンセンサスモード
削除方法 片側のみで即座に削除可能 両側の承認が必要
削除時の動作 即座にダウンタイム発生 両側承認まで通信継続
設定変更 いつでも可能 不可(削除→再作成が必要)
推奨環境 開発・テスト環境 本番環境
適用ケース 同一チーム管理 組織間ピアリング

コンセンサスモードを使うべき場合

以下の条件に当てはまる場合は、コンセンサスモードの採用を検討してもよいと思います。

  • 本番環境のクリティカルサービス
  • 異なる組織間のVPCピアリング
  • 厳格なSLA要件があるサービス
  • 24時間365日稼働が求められるシステム

使用を避けるべき場合

一方、以下のような環境では、独立モード(デフォルト)の方が適しています。

  • 開発・テスト環境(柔軟な変更が必要)
  • 頻繁に設定変更が必要な環境
  • 同一チームが管理する一時的な接続
  • 迅速な変更が求められるプロトタイピング

制約事項

コンセンサスモードを導入する前に、以下の制約を必ず理解しておく必要があります。

制約1: ルート交換設定の事前一致が必須

コンセンサスモードを導入する前に、以下のルート交換フラグが両側で一致している必要があります。

ローカル側 ピア側 必須条件
import-custom-routes export-custom-routes 対になっている必要あり
export-custom-routes import-custom-routes 対になっている必要あり
import-subnet-routes-with-public-ip export-subnet-routes-with-public-ip 対になっている必要あり
export-subnet-routes-with-public-ip import-subnet-routes-with-public-ip 対になっている必要あり
stack-type stack-type 完全一致が必要

設定が一致しない場合、接続モードの更新要求は拒否されます。

制約2: 設定の更新はサポートされていない

コンセンサスモードのピアリング接続では、updateコマンドやコンソール上での設定変更はサポートされていません。
設定を変更したい場合は、以下のプロセスが必要になります。

  1. 既存のピアリング接続を削除(両側の承認が必要)
  2. 新しい設定でピアリング接続を再作成

制約3: モード変更の非可逆性

コンセンサスモードへの変更は一方向のみです

  • 独立モード → コンセンサスモード: 可能
  • コンセンサスモード → 独立モード: 不可能

一度コンセンサスモードに変更すると、独立モードに戻すことはできません。(制約2の設定の更新がサポートされていないため)

コンセンサスモードを使ってみた

前提条件

以下のリソースは作成済みとします。

  • 接続元VPC (test-vpc-01)
  • 接続先VPC (test-vpc-02)

コンセンサスモードでの削除検証

  1. 接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)へのピアリングの作成

  • VPCネットワークピアリングページに移動し、接続を作成をクリック。
    vpc-peering-settings-01

  • ピアリング接続の作成】の画面に遷移するので、続行をクリック。
    vpc-peering-settings-02

  • 基本情報を入力(ピアリング名、VPCネットワーク、ピアVPCネットワークなど)
    詳細オプションを展開し、更新戦略コンセンサスを選択し、作成をクリック。
    vpc-peering-settings-03

  • 接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)のVPCネットワークピアリングが作成完了。更新戦略がコンセンサスになります。また、この状態では、接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)へのVPCネットワークピアリング設定がないため、ステータスが【非アクティブ】の状態になっています。
    vpc-peering-settings-04

  1. 接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)へのピアリングの作成

  • 同様に接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)のVPCネットワークピアリングを作成します。
    vpc-peering-settings-05

  • 両側のVPCネットワークピアリングの設定が完了すると、ステータスが【アクティブ、同期中】になり、VPCネットワークピアリングの接続が完了した状態になっています。
    vpc-peering-settings-06

  • コンセンサスモードでVPCネットワークピアリングを行った場合は、設定変更を行おうとすると、【アクティブなコンセンサスピアリングで接続では編集がサポートされていません】と表示され編集を行うことができません。(制約2
    vpc-peering-settings-07

  1. 接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)へのピアリングの削除リクエスト

  • ここで、接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)のVPCネットワークピアリングを削除リクエストをしてみます。【削除をリクエスト】をクリックします。
    vpc-peering-settings-08

  • ピアリング接続を削除するリクエスト】というポップアップが出るので、【確認】をクリックします。
    vpc-peering-settings-09

  • 削除リクエスト後、ピアリングの詳細画面では、削除リクエスト済みで、ピア側からも削除がリクエストされると削除可能になる文言が表示されます。このため現段階では、ピアリング接続を削除することができていません。
    vpc-peering-settings-10

  • この状態では、ピアリングの接続自体は【アクティブ】のままなので、通信ができないダウンタイムは発生していません。削除リクエスト済みという文言が出ています。
    vpc-peering-settings-11

  1. 接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)へのピアリングの削除リクエスト

  • ここで、接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)のVPCネットワークピアリングを削除リクエストしてみます。【削除をリクエスト】をクリックします。
    vpc-peering-settings-12

  • 先ほどと同様に、【ピアリング接続を削除するリクエスト】というポップアップが出るので、【確認】をクリックします。
    vpc-peering-settings-13

  • 両方のVPCネットワークピアリングで削除リクエストが行われ、承認されている状態になるのでステータス上で、【削除を承認済み(両側で再度削除が必要)】と表示されます。
    この状態でも、ステータスはアクティブなので接続は続いています。
    vpc-peering-settings-14

  1. 接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)へのピアリングの削除

  • 両方のVPCネットワークピアリングで削除リクエストが行われ、承認されている状態なので、ようやく削除を行うことができます。接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)のVPCネットワークピアリングを削除してみます。【削除】をクリックします。
    vpc-peering-settings-15

  • ピアリング接続の削除】というポップアップが出るので、【削除】をクリックします。
    vpc-peering-settings-16

  • 接続元VPC(test-vpc-01)から接続先VPC(test-vpc-02)のVPCネットワークピアリングは削除され、接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)のVPCネットワークピアリングのステータスは【非アクティブ】になります。この時点で、相互の通信はできなくなっています。
    vpc-peering-settings-17

  1. 接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)へのピアリングの削除

  • 同様に、接続先VPC(test-vpc-02)から接続元VPC(test-vpc-01)のVPCネットワークピアリングを削除してみます。【削除】をクリックします。
    vpc-peering-settings-18

  • ピアリング接続の削除】というポップアップが出るので、【削除】をクリックします。
    vpc-peering-settings-19

  • 両方のVPCネットワークピアリングを削除することができました。
    vpc-peering-settings-20

最後に

2025年11月3日にGAされた、VPCネットワークピアリングにコンセンサスモードでのピアリング接続について紹介しました。

Google CloudのVPCネットワークピアリングにおけるコンセンサスモードは、クリティカルな本番環境の安定性を高めるための強力な機能になっています。
制約を理解した上で適切に運用すれば、意図しないネットワーク切断のリスクを大幅に軽減し、より安全なクラウドインフラを構築できます。

この記事が誰かの助けになれば幸いです。

以上、クラウド事業本部コンサルティング部の渡邉でした!

この記事をシェアする

FacebookHatena blogX

関連記事

【Terraform】GCSバケットをトリガーにするCloud RunをTerraformで作成する時には注意してね、という話
川中子凌平
2025.11.01
Cloud SQL の Cloud SQL Studio が便利
すらぼ
2025.10.31
Cloud SQL に IAM 認証を使ってパスワードレスの接続をする
すらぼ
2025.10.29
Cloud Storageのアクセス制御方法について
渡邉 光
2025.10.28