このページでは、AlloyDB for PostgreSQL がプライベート サービス アクセスを使用して、AlloyDB インスタンスと、動作に必要なさまざまな内部リソース間のネットワーク接続を確立する方法について説明します。
AlloyDB でのネットワーク接続の仕組みの概要については、接続の概要をご覧ください。
クラスタと内部リソース間の接続
プライベート サービス アクセスを使用すると、AlloyDB クラスタは、それらを有効にする内部リソースと通信できます。
インスタンスと内部リソース
Google Cloud プロジェクトで作成する AlloyDB クラスタとインスタンスは、多くの内部低レベルの Google Cloudリソースに依存します。これには、AlloyDB ノードとロードバランサとして機能する仮想マシン(VM)インスタンスや、データを保持するストレージ ボリュームなどがあります。クラスタを機能させるすべてのリソースは、Google 内部にあり、Google によって管理されるGoogle Cloud プロジェクト内で実行されます。
通常、これらの内部リソースに直接接続することはありません。代わりに、 Google Cloud コンソールまたは Google Cloud CLI を使用してクラスタとインスタンスを管理します。アプリケーションはプライベート IP アドレスを介して AlloyDB インスタンスに接続し、データをクエリして変更します。AlloyDB は、内部 API を使用して、必要に応じて管理リクエストまたはデータクエリをクラスタのリソースに渡します。
AlloyDB インスタンスは、この複雑なパーツのコレクションの論理抽象化として機能します。AlloyDB は、プライベート静的 IP アドレスと一貫した PostgreSQL 互換のデータベース インターフェースを提供することで、アクティブなインスタンスの内部ネットワーク ルートを自由に更新したり、内部リソースを再配置したりできます。これにより、ダウンタイムや中断なしで、最適化されたスループットと高可用性が実現されます。
クラスタがプライベート サービス アクセスを使用する方法
プロジェクト内の AlloyDB クラスタとインスタンスは、プライベート サービス アクセスを介して内部リソースと通信します。これにより、独自のプロジェクトの Virtual Private Cloud(VPC)ネットワークと、内部リソースをホストする Google 管理プロジェクトで使用される個別の VPC の間に永続的なピアリング接続が確立されます。この接続により、プロジェクト内の AlloyDB クラスタとインスタンスは、独自のプロジェクトの VPC 内にあるかのように、プライベート IP アドレスを使用して内部リソースに接続できます。
Google Cloud VPC ネットワークでプライベート サービス アクセスを構成するには、連続したプライベート IP アドレスの 1 つ以上のブロックを予約する必要があります。Google Cloud がプロジェクトの VPC と内部プロジェクトの VPC の間にピアリング接続を確立すると、AlloyDB は予約済み IP ブロックのアドレスを、インスタンスに必要な低レベルのリソースに適用します。これにより、クラスタのすべての動作部分間でプライベート ネットワーク接続が可能になります。
AlloyDB クラスタを作成する際は、プライベート サービス アクセスですでに設定されているプロジェクト内の VPC ネットワークを指定する必要があります。プロジェクトで AlloyDB またはプライベート サービスへのアクセスを必要とする他の Google Cloud プロダクトをすでに使用している場合は、プロジェクトで適格な VPC ネットワークがすでに使用可能になっている可能性があります。プロジェクトにプライベート サービス アクセス用の VPC ネットワークが設定されていない場合は、AlloyDB クラスタを作成する前に VPC ネットワークを構成する必要があります。
AlloyDB がクラスタを作成した後に、クラスタの限定公開サービス アクセス構成を変更することはできません。
サポートされているプライベート サービス アクセスの構成
AlloyDB は、AlloyDB と同じプロジェクト内にある VPC ネットワークまたは他のプロジェクトにある VPC ネットワークで、プライベート サービス アクセス構成を使用できます。
クラスタと同じプロジェクト内の VPC ネットワーク
AlloyDB クラスタと同じ Google Cloud プロジェクトにある VPC ネットワークを使用して AlloyDB 接続を構成する方法は、VPC ネットワークにプライベート サービス アクセス構成がすでに存在するかどうかによって異なります。
VPC ネットワークにプライベート サービス アクセスがまだ構成されていない場合は、プライベート サービス アクセス構成を作成します。
VPC ネットワークに既存のプライベート サービス アクセス構成がある場合は、構成に AlloyDB に十分な IP アドレス空間があることを確認し、必要に応じてアドレス空間を増やします。
共有 VPC ネットワーク
AlloyDB クラスタを含むプロジェクトとは異なる Google Cloud プロジェクトにある VPC ネットワークを使用して AlloyDB 接続を構成するには、次の操作を行います。
VPC ネットワークが存在するプロジェクトを共有 VPC 用に構成し、そのプロジェクトをホスト プロジェクトとして、AlloyDB が存在するプロジェクトをサービス プロジェクトとして構成します。
VPC ネットワークのプライベート サービス アクセス構成に AlloyDB に十分な IP アドレス空間があることを確認し、必要に応じてアドレス空間を増やす。
AlloyDB リソースを作成できるユーザーを サービス プロジェクト管理者として構成し、プライベート サービス アクセス構成で適切に割り振られた IP アドレス範囲へのアクセス権を付与します。
共有 VPC の詳細については、共有 VPC の概要と共有 VPC のプロビジョニングをご覧ください。
IP アドレス範囲のサイズに関する考慮事項
AlloyDB のニーズと、同じアドレスプールからの IP アドレスを必要とする他のGoogle Cloud サービスのニーズに対応できる十分な範囲のプライベート サービス アクセス アドレス範囲を選択することが重要です。このプールのサイズはいつでも調整できます。
AlloyDB は、クラスタをデプロイする各リージョンでサイズ /24 のサブネットを使用します。このため、サブネット マスクが /16 のプライベート サービス アクセス IP アドレス範囲を割り当てることをおすすめします。これにより、複数のリージョンにクラスタとインスタンスを作成し、他の Google Cloud サービスで使用できる IP アドレスを十分に残すことができます。この推奨事項の詳細については、IP アドレス範囲のサイズをご覧ください。