このページでは、Private Service Connect に関連するコンセプトについて説明します。Private Service Connect は、次の目的で使用できます。
- 異なるグループ、チーム、プロジェクト、組織に属する複数の Virtual Private Cloud(VPC)ネットワークから AlloyDB for PostgreSQL インスタンスに接続します。
- プライマリ インスタンスまたはそのリードレプリカのいずれかに接続するか、セカンダリ インスタンスに接続します。
Private Service Connect を使用すると、VPC ネットワークとGoogle Cloud サービス(AlloyDB など)の間にプライベートで安全な接続を作成できます。
Private Service Connect は、コンシューマとプロデューサーのコンセプトを使用します。たとえば、VPC ネットワークは、 Google Cloudによって公開された AlloyDB サービスのコンシューマであり、 Google Cloudはプロデューサーです。AlloyDB インスタンスは、サービス アタッチメント URL(インスタンスへの接続に使用される一意の識別子)を公開します。許可されたプロジェクト内の許可されたネットワークは、エンドポイントを作成して AlloyDB サービスへの安全な接続を確立します。
AlloyDB で Private Service Connect を使用する方法については、Private Service Connect を使用してインスタンスに接続するをご覧ください。
サービス アタッチメント
Private Service Connect 対応クラスタ内に AlloyDB インスタンスを作成すると、AlloyDB はそのインスタンスに固有のサービス アタッチメントを作成します。作成されたプライマリ インスタンス、読み取りプール インスタンス、セカンダリ インスタンスごとに、一意のサービス アタッチメント URL が生成されます。このサービス アタッチメント URL は、プロジェクトまたはネットワークの Private Service Connect エンドポイントの作成に使用されます。
Private Service Connect エンドポイント
Private Service Connect エンドポイントは、内部 IP アドレスに関連付けられた転送ルールです。エンドポイントの作成の一環として、AlloyDB インスタンスに関連付けられているサービス アタッチメントを指定します。これにより、VPC ネットワークはエンドポイントを介してインスタンスにアクセスできるようになります。
DNS 名とレコード
複数のエンドポイントが 1 つのサービス アタッチメントに接続できるため、エンドポイントが属するネットワークに関係なく、DNS 名を使用してサービス アタッチメントに常に接続することをおすすめします。DNS 名は、対応する VPC ネットワークの限定公開 DNS ゾーンに DNS レコードを作成するために使用されます。
許可された Private Service Connect プロジェクト
AlloyDB インスタンスを作成するときに、VPC ネットワーク内のどのプロジェクトが AlloyDB クラスタ内の AlloyDB インスタンスにアクセスできるかを定義できます。
VPC ネットワークで許可されているプロジェクトごとに、一意の Private Service Connect エンドポイントを作成します。プロジェクトが明示的に許可されていない場合でも、プロジェクト内のインスタンスのエンドポイントを作成できますが、エンドポイントは PENDING 状態で保持されます。
次のステップ
- AlloyDB ネットワーキングの Private Service Connect について学習する。
- Private Service Connect を使用してインスタンスに接続する方法を確認する。