プライベート サービス アクセス
このページでは、プライベート サービス アクセスの概要について説明します。
Google とサードパーティ(まとめてサービス プロデューサーとも呼ばれます)は、VPC ネットワークでホストされているサービスを提供できます。プライベート サービス アクセスを使用すると、プライベート接続を使用して、これらの Google とサードパーティのサービスの内部 IP アドレスにアクセスできます。これは、VPC ネットワーク内の VM インスタンスに、外部 IP アドレスではなく内部 IP アドレスを使用させる場合に便利です。プライベート サービス アクセスの使用方法の詳細については、プライベート サービス アクセスを構成するをご覧ください。
プライベート サービス アクセスには、まず内部 IPv4 アドレス範囲を割り振り、プライベート接続を作成する必要があります。割り振り範囲は、ローカル VPC ネットワークでは使用できない予約済みの CIDR ブロックです。これはサービス プロデューサー専用に確保されていて、VPC ネットワークとサービス プロデューサーの VPC ネットワークの重複を防ぎます。
プライベート接続は、VPC ネットワークをサービス プロデューサーの VPC ネットワークにリンクします。この接続により、VPC ネットワーク内の VM インスタンスは内部 IPv4 アドレスを使用してサービス リソースにアクセスできます。インスタンスに外部 IP アドレスを指定することもできますが、外部 IP アドレスは必須ではなく、プライベート サービス アクセスには使用されません。
1 つのサービス プロデューサーで複数のサービスを提供する場合でも、必要なプライベート接続は 1 つのみです。プライベート接続を作成するときは、Service Networking API を使用します。ただし、Google Cloud はこの接続を VPC ネットワークとサービス プロデューサーの VPC ネットワーク間の VPC ネットワーク ピアリング接続として実装します。VPC ネットワークではこの接続はピアリング接続として表示され、プライベート接続を削除するには、ピアリング接続を削除する必要があります。
プライベート サービス アクセスでの IPv6 アドレス範囲の使用はサポートされていません。
プライベート サービス アクセスは、それをサポートするサービスでのみ使用できます。プライベート接続を作成する前に、サービス プロデューサーに確認してください。
サービス プロデューサー ネットワーク
プライベート接続のサービス プロデューサー側には VPC ネットワークがあり、そこではサービス リソースがプロビジョニングされています。サービス プロデューサーのネットワークはそれぞれのお客様専用に作成され、そこにはお客様のリソースのみが含まれます。
サービス プロデューサー ネットワーク内のリソースは、VPC ネットワーク内の他のリソースと似ています。たとえば、このリソースは VPC ネットワーク内の他のリソースから内部 IP アドレスを介して到達可能です。VPC ネットワークにファイアウォール ルールを作成して、サービス プロデューサーのネットワークへのアクセスを制御することもできます。
サービス プロデューサー側の詳細については、Service Infrastructure のドキュメントのプライベート サービス アクセスを有効にするをご覧ください。このドキュメントは参考情報であり、プライベート サービス アクセスを有効化または使用するために必須ではありません。
プライベート サービス アクセスとオンプレミス接続
ハイブリッド ネットワーキングのシナリオでは、Cloud VPN または Cloud Interconnect 接続を経由して、オンプレミス ネットワークを VPC ネットワークに接続します。デフォルトでは、オンプレミス ホストはプライベート サービス アクセスを使用してサービス プロデューサーのネットワークに到達することはできません。
VPC ネットワークでは、トラフィックをオンプレミス ネットワークに正しく転送するためのカスタム静的ルートまたは動的ルートがあります。ただし、サービス プロデューサーのネットワークにはこれらと同じルートが含まれていません。プライベート接続を作成すると、VPC ネットワークとサービス プロデューサー ネットワークはサブネット ルートのみを交換します。
サービス プロデューサーのネットワークには、インターネットに接続するデフォルト ルート(0.0.0.0/0
)があります。サービス プロデューサーのネットワークに対するデフォルト ルートをエクスポートしても、このルートは無視され、サービス プロデューサー ネットワークのデフォルト ルートが優先されます。代わりに、より具体的な宛先を指定してカスタムルートを定義し、エクスポートしてください。詳細については、ルーティング順序をご覧ください。
サービス プロバイダのネットワークがルートをインポートし、オンプレミス ネットワークにトラフィックを正しく転送できるように、VPC ネットワークのカスタムルートをエクスポートする必要があります。プライベート接続に関連付けられた VPC ピアリング構成を更新して、カスタムルートをエクスポートします。
Network Connectivity Center を使用したサービスの推移性
限定公開サービス アクセスで利用できる一部のサービスでは、Network Connectivity Center を使用してプロデューサー VPC スポークを作成することで、ハブ上の他のスポークからサービスにアクセスできるようにします。サポートされているサービスなど、詳細については、プロデューサー VPC スポークをご覧ください。
考慮事項
プライベート サービス アクセスを構成する前に、VPC ネットワークと IP アドレス範囲の選択に関する考慮事項を理解しておく必要があります。
サポート対象のサービス
プライベート サービス アクセスをサポートする Google サービスは次のとおりです。
- AI Platform Training
- AlloyDB for PostgreSQL
- Apigee
- バックアップと DR
- Cloud Build
- Cloud Intrusion Detection System
- Cloud SQL(DNS ピアリングはサポートされていません)
- Cloud TPU
- Converge Enterprise Cloud with IBM Power for Google Cloud
- Filestore
- Google Cloud VMware Engine
- Looker(Google Cloud コア)
- Memorystore for Memcached
- Memorystore for Redis
- NetApp Cloud Volumes Service
- Vertex AI
例
次の例では、お客様の VPC ネットワークが Google サービスの 10.240.0.0/16
アドレス範囲を割り当て、割り当て範囲を使用するプライベート接続を確立しました。各 Google サービスは、Cloud SQL インスタンスなどの新しいリソースを所定のリージョンにプロビジョニングするために、割り当てられたブロックからサブネットを作成します。
- プライベート接続には
10.240.0.0/16
割り当て範囲が割り当てられます。Google サービスは、新しいリソースがプロビジョニングされるサブネットをこの割り当てから作成できます。 - プライベート接続の Google サービス側では、Google がお客様のプロジェクトを作成します。このプロジェクトは分離されていて他のお客様と共有されることはなく、費用はお客様がプロビジョニングしたリソースに対してのみ発生します。また、Google はこの分離されたプロジェクトで VPC ネットワークを作成し、VPC ネットワーク ピアリングを使用してお客様のネットワークに接続します。
- 各 Google サービスは、リソースをプロビジョニングするためのサブネットを作成します。サブネットの IP アドレス範囲は、割り当てられた IP アドレス範囲内の CIDR ブロックです。CIDR ブロックはサービスによって選択されます。通常、IP アドレス範囲は
/29
から/24
です。サービス プロデューサーのサブネットは変更できません。サービスは、そのサービスで以前に作成された既存のリージョン サブネットに新しいリソースをプロビジョニングします。サブネットがいっぱいの場合、サービスは同じリージョンに新しいサブネットを作成します。 - サブネットが作成されると、お客様のネットワークはサービス ネットワークからルートをインポートします。
- お客様のネットワーク内の VM インスタンスは、サービスがサポートしていれば、あらゆるリージョンのサービス リソースにアクセスできます。サービスによっては、リージョン間通信をサポートしないものもあります。詳細については、関連するサービスのドキュメントをご覧ください。
- Cloud SQL インスタンスには、IP アドレス
10.240.0.2
が割り当てられます。お客様の VPC ネットワークでは、宛先が10.240.0.2
のリクエストは、プライベート接続を経由してサービス プロデューサーのネットワークへとルーティングされます。サービス ネットワークに到達すると、サービス ネットワークにはリクエストを正しいリソースに送るルートが含まれます。 - VPC ネットワーク間のトラフィックは、公共のインターネットを経由せず、Google のネットワーク内を内部的に転送されます。
料金
プライベート サービス アクセスの料金については、VPC の料金ページのプライベート サービス アクセスをご覧ください。
次のステップ
- IP アドレス範囲の割り当て、プライベート接続の作成、プライベート DNS ゾーンの共有については、プライベート サービス アクセスを構成するをご覧ください。