 本記事は 春のスキルアップ応援フェア2026 4/28付の記事です。 |
こんにちは!Catoクラウド担当の佐藤です。
これまで、Terraformからのデプロイ方法しかなかったGCP(Google Cloud )のvSocketですが、
ようやくMarketplaceからのデプロイに対応しました。
筆者が、実際に一から構築を行った結果をもとに、構築手順を解説していきます!
はじめに
vSocket (virtual Socket)とは、組織のクラウド環境をCatoクラウドに接続するための仮想アプライアンスです。本社や支店などの拠点に設置する実機の「Socket」と同等の機能を提供します。
GCP vSocketの構築自体はこれまでもTerraformを利用することで可能でしたが、TerraformをさらにGCP Cloud Buildで制御するテンプレートがMarketplaceより提供されることとなりました。
Cato社が提供する最新版の構築手順は下記となりますので、本記事と併せてご参照ください。
Marketplace から GCP vSocket をデプロイする
本書と上記ナレッジベースの内容に差異がある場合、ナレッジベースの内容を正とします。
構成イメージ
構成イメージは以下のようになります。
vSocketの作成のために、3つのVPC/サブネットを作成し、各インターフェースを割り当てます。
それぞれの役割は以下の通りです。
- MGMTサブネット:vSocketの管理用
- WANサブネット:Catoクラウドと接続するための外部通信用
- LANサブネット:vSocketとGCP内の環境を接続するための内部通信用
事前準備
前提条件
vSocket構築前に以下の条件がクリアされているかご確認ください。
- Marketplaceからソリューションをデプロイするための権限
ユーザに対して「オーナー」または「編集者」のロールを割り当ててください。 - サービスアカウントのロールについて
既存のサービスアカウントを使う場合以下のロールが割り当てられているかを確認してください。・roles/config.agent・
roles/compute.networkAdmin
・roles/compute.admin
・roles/iam.serviceAccountUser
・roles/config.admin
検証時の環境
検証時のアドレス設計を以下に示します。
画像内で入力されているアドレスが何のアドレスか確かめる際にご参照ください。
| MGMTサブネット |
10.10.32.0/24 |
| WANサブネット |
10.10.33.0/24 |
| LANサブネット |
10.10.34.0/24 |
| LANインタフェースIP |
10.10.34.4 |
構築手順
vSocketの構築手順を解説していきます。
以下のステップで設定を進めます。
2.GCP設定
2-1.MarketPlace
2-2.パラメータの入力とデプロイ
手順1.CatoクラウドでのvSocket Site作成
まず、Cato側でのvSocket Site(拠点)作成を行います。
1. CMAのナビゲーション・メニューから、「Network」 > 「Sites」をクリックします。
2. 「New」をクリックします。
3. Add Siteウィンドウから、サイトの設定を行い、「Apply」をクリックしてください。
- Site Name:ユニークなサイト名
- Site Type : 任意で設定(動作には影響なし)
- Connection Type : vSocket GCPを選択
- Country : 使用する国を選択
- State : 使用する地域を選択(日本の場合選択不要)
- Time Zone : 使用するタイムゾーンを選択
- License Type/License :使用するライセンスを選択
- Downstream : ライセンスの帯域幅に従って設定
- Upstream : ライセンスの帯域幅に従って設定
- Native Range : LANサブネットのIP範囲を設定
- Local IP :LAN側のLocal IPを設定( =LANインタフェースIP)
4. 「Network」>「Sites」からAzure vSocket Siteの設定で作成したサイトをクリックします。
5. 「Site Configuration」>「Socket」をクリックし、シリアル番号(S/N)をコピーして控えてください。
手順2. GCP設定
続いて、GCP側での設定を行います。
GCPの場合は、AWSやAzureと違い、構築のために必要なパラメータ情報を1画面内で入力します。
入力に時間がかかってしまった場合は、ページタイムアウトでやり直しになる可能性がありますので、
あらかじめパラメータを決定しておくことをおすすめします
2-1. MarketPlaceの起動
1. GCP Marketplace から “cato” を検索し、「Cato Networks Virtual Socket」を選択します。
2. 「運用開始」を選択します。
※「使ってみる」などの表示になっている可能性もあります。
3.APIの有効化を求められた場合は、左下の「有効にする」を選択します。
2-2. パラメータの入力とデプロイ
Market Placeの起動後、以下のようなパラメータ入力画面に移ります。
この画面内でパラメータを入力し、「デプロイ」をクリックすることで構築が開始されます。
各パラメーターの説明をしていきます。
Deployment name:
任意の名前を設定してください。
デプロイ名には、小文字の英字・数字・ハイフンのみ使用できます。
また、小文字の英字で始まる必要があり、ハイフンで終わることはできません。
Deployment Service Account:
既存アカウントを指定するか、新しいアカウントの「サービスアカウント名」と「サービスアカウントID」を指定して下さい。
「サービスアカウントの説明」は必須ではありませんので任意で入力してください。
Deployment Type:
プライマリSocketかセカンダリSocketか選択してください。
シングル構成または、HA構成の1台目の場合は、プライマリを選択してください。
ZoneとRegion:
ご利用環境で適切なゾーンとリージョンを設定してください。
Network Tier:
vSocketの公開IPから外部向けの通信に関するものです。
プレミアムかスタンダードを選択してください。
-
- Premium tier
Googleのグローバルバックボーンを用いて、高速で安定した通信が可能。 - Standard tier
通常のISP回線からインターネットに接続。プレミアムより安価
- Premium tier
Management/WAN/LAN VPC Name:
作成する3つのVPC(MGMT、WAN、LAN)の名前をそれぞれ設定してください。
Management/WAN/LAN Subnet Name:
作成する3つのサブネット(MGMT、WAN、LAN)の名前をそれぞれ設定してください。
Management/WAN/LAN Subnet CIDR:
作成する3つのサブネット(MGMT、WAN、LAN)のIP範囲をそれぞれ設定してください。
Management/WAN Public IP Name:
MGMTとWANの公開IPの名前を設定してください。
VM Instance Name:
vSocketとなるVM (Virtual Machine)の名前を設定してください。
Management/WAN/LAN network IP:
MGMT、WAN、LANそれぞれのインタフェースに割り当てるIPアドレスを設定して下さい。
GCPでは、サブネットごとに予約されているアドレスがあります。以下のようなアドレスは使用できませんのでご注意ください。
例)サブネットが10.10.32.0/24の場合の予約
| アドレス | 用途 |
| 10.10.32.0 | ネットワークアドレス |
| 10.10.32.1 | デフォルトゲートウェイ |
| 10.10.32.254 | 予備 |
| 10.10.32.255 | ブロードキャストアドレス |
Primary Socket Cato Serial ID:
手順1で控えたvSocketのシリアル番号を入力してください。
オプションの選択:
-
- Assign Public IP to Management/WAN Interface:
MGMTとWANのインタフェースに公開IPを付ける場合はチェックを入れてください。
必須ではありませんが、公開IPを付けない場合は、別途インターネットへ出るためのCloud NATの設定が必要になります。 - Create LAN Default Route:
LAN用のルートを作成する場合はチェックを入れてください。内部セグメントに対してこのルートを割り当てないと接続ができないため、
チェックを入れない場合は、別途手動での作成をお願いいたします。<ルート内容>
宛先:0.0.0.0/0
ネクストホップ:vSocketのVM
- Assign Public IP to Management/WAN Interface:
パラメータをすべて入力し終えたら、左下の「デプロイ」をクリックします。
デプロイには数分かかります。
CMA上でのステータスが「Connected」と表示されていれば作成完了です。
補足: 疎通確認と既存NWとの接続
疎通確認
実際に作成したvSocketを通して、GCP内のリソースに疎通できるかを確認してみました。
以下のイメージ図のように、外部モバイルクライアントからLAN VPC内に作成したTest VMへping通信ができるかを試します。
問題なくPingが通ることを確認できました。
既存NWとの接続
上記の疎通確認のように、GCP内環境で新たに作成したリソースや、既存のセグメントとvSocketとの接続時は、以下3点に注意してください。
- LAN用ルートの割り当て
GCPではVPC単位でルートの設定を行うため、LAN VPCに対してデプロイ時に作成したデフォルトのLAN用ルート、または手動作成したものが適切に割り当てられているか確認してください。
※別VPCとの接続は、VPCPeering等の設定が必要になります。
- ファイヤウォールでの許可ルールの設定
GCPでは、VPCに対してデフォルトで内向きのトラフィック全拒否のルールが設定されています。
そのため、VPC内のリソースにアクセスしたい場合は、明示的な許可ルールを追加する必要があります。
例えば、Pingで疎通確認する場合は、LAN VPCのファイアウォール設定で「ICMP許可」のルールを作成します。
- Catoクラウドにルーティングを登録する
GCP環境内でCatoに接続させたいセグメントに関しては、ルーティングをCato上でも登録する必要があります。
「Network」> 「対象のSite」> 「Site Configuration」>「Networks」> 「New」から設定が可能です。
Type「Routed」を選択し、追加したいセグメントの範囲を宛先として登録してください。
※ゲートウェイはネイティブレンジから自動で指定されます。
おわりに
本記事では、GCPのvSocket構築手順を解説しました。
AWSやAzureと比べても、1画面で設定が完了するため、Terraformを使った方法と比べて構築のハードルは大きく下がったと感じます。
作成するVPCやサブネットなどの構成や役割などは他vSocketと同じでしたが、GCP特有のFWルールの割り当てやルートの考え方があるため、そこは丁寧に設定することが必要でした。
GCPのvSocket構築の機会がありましたら、本記事をご参考にしていただけますと幸いです。
以上です。ご覧いただきありがとうございました!