このページでは、プライベート IP アドレスを使用して AlloyDB for PostgreSQL インスタンスに接続する方法の概要について説明します。
プライベート IP アドレスを使用すると、データ トラフィックが保護されたネットワーク内に保持され、傍受のリスクを最小限に抑えることができます。リソースの内部 IP アドレスはネットワーク内にあり、インターネットからアクセスできないため、AlloyDB インスタンスへのアクセス範囲と潜在的な攻撃対象領域の両方を効果的に制限できます。
プライベート IP 接続方法
プライベート IP を使用して AlloyDB インスタンスにアクセスするには、プライベート サービス アクセスまたは Private Service Connect を選択します。各接続方法にはそれぞれ異なる利点とトレードオフがあるため、このドキュメントの情報を使用して、特定の要件に最適なアプローチを選択してください。
プライベート サービス アクセス
プライベート サービス アクセスは、お客様の VPC ネットワークと、基盤となる Google Cloud AlloyDB for PostgreSQL インスタンスが存在する VPC ネットワークとの間の Virtual Private Cloud(VPC)ピアリング接続として実装されます。プライベート接続を使用すると、VPC ネットワーク内の VM インスタンスとアクセスするサービスで、内部 IP アドレスを使用して排他的に通信できるようになります。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
Terraform を使用してプライベート サービス アクセスを備えた AlloyDB クラスタの設定を自動化するには、Terraform を使用して AlloyDB をデプロイするをご覧ください。
接続にプライベート サービス アクセスを使用する方法の詳細については、プライベート サービス アクセスの概要をご覧ください。
Private Service Connect
Private Service Connect を使用すると、VPC ネットワークとサービス(AlloyDB for PostgreSQL など)の間にプライベートで安全な接続を作成できます。 Google Cloud 異なるグループ、チーム、プロジェクト、組織に属する複数の VPC ネットワークから AlloyDB インスタンスに接続できます。AlloyDB クラスタを作成するときに、Private Service Connect をサポートするように有効にできます。クラスタ内に AlloyDB インスタンスを作成するときに、VPC ネットワーク内のどのプロジェクトがインスタンスにアクセスできるかを指定します。
Private Service Connect の使用方法の詳細については、Private Service Connect の概要と動画「Private Service Connect とは」をご覧ください。
使用する方法を選択する
接続方法としてプライベート サービス アクセスと Private Service Connect のどちらを使用するかを決定する前に、次の比較を検討してください。
| プライベート サービス アクセス | Private Service Connect |
|---|---|
| コンシューマ VPC から CIDR 範囲(最小 /24)を予約する必要があります。IP 範囲は、使用されているかどうかに関係なく予約されるため、範囲内のすべての IP アドレスがロックされます。 | VPC ネットワークごとにエンドポイントに転送ルールを作成するには、単一の IP アドレスが必要です。 |
| RFC 1918 IP 範囲に制限される | エンドポイントには、RFC 1918 範囲と RFC 1918 以外の範囲の両方を使用できます。 |
| 同じ VPC ネットワーク内のプロジェクトに接続します。 | 複数の VPC またはプロジェクトをまたいで接続する。 |
| 小規模な単一 VPC シナリオを選択します。 | 大規模なマルチ VPC 設定を選択します。 |
| プロジェクトに含まれる既存の VPC ピアリングを使用するため、費用は最小限に抑えられます。 | 初期設定、各エンドポイントの 1 時間あたりの使用、GiB あたりのデータ転送に関連する費用が原因で、限定公開サービス アクセスと比較して費用が高くなります。 |
| 直接接続のため、Private Service Connect と比較して安全性が低い。 | コンシューマ VPC とプロデューサー VPC が分離されているため、セキュリティが強化されます。 |
| 接続は双方向で、インバウンド接続とアウトバウンド接続が可能です。 | 接続は単方向で、インバウンド接続のみを許可します。 |
次のステップ
- プライベート サービス アクセスの概要
- Private Service Connect の概要
- Cloud Skills Boost の動画で、プライベート サービス アクセスを使用してプロデューサー サービスへのアクセスを提供する方法をご覧ください。