以前のバージョンの GKE On-Prem のドキュメントを表示しています。最新のドキュメントをご覧ください

Google への接続

オンプレミス データセンターで実行している GKE On-Prem クラスタを、Google のネットワークに接続するにはさまざまな方法があります。次のような方法が可能です。

通常のインターネット接続

特定のシナリオでは、Google とオンプレミス データセンター間の接続としてインターネットを使用できます。例:

  • GKE On-Prem のデプロイはオンプレミスで独立しており、オンプレミス コンポーネントは Google のネットワークとほとんど通信しません。この接続は主にクラスタ管理に使用します。接続の速度、信頼性、セキュリティは重要ではありません。

  • Cloud SQL のような Google サービスへのアクセスを除き、オンプレミス クラスタは自己完結型です。オンプレミス クラスタと Google サービス間のトラフィックには、パブリック IP アドレスが使用されます。ファイアウォール ルールを構成して、セキュリティを確保します。

静的ルートを使用する Cloud VPN

Cloud VPN では、Google とオンプレミスのデータセンター間のトラフィックは公共のインターネットを経由しますが、暗号化されます。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。静的ルートでは、Google Cloud ネットワークとオンプレミス ネットワーク間のルートを手動で構成する必要があります。セキュリティが重要な場合は Cloud VPN を使用しますが、速度はそれほど問題にはなりません。

Cloud Router を使用する Cloud VPN

Cloud VPNCloud Router では、Google とオンプレミスのデータセンター間のトラフィックは公共のインターネットを経由しますが、暗号化されます。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Cloud Router では、Google Cloud ネットワークとオンプレミス ネットワーク間のルートが動的に交換されます。動的ルーティングでは、正しいルーティング状態がオンプレミスのデータセンターに確実に伝えられるため、ネットワークの拡張や変更時に特にメリットがあります。

Partner Interconnect

Partner Interconnect は、サポートされているサービス プロバイダを介してオンプレミス ネットワークと Google のネットワークを接続します。Google とオンプレミス データセンター間のトラフィックは、公共のインターネットを経由しません。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Google への接続は高速かつ安全で、信頼性を備えています。

Dedicated Interconnect

Dedicated Interconnect は、オンプレミス ネットワークと Google のネットワークを物理的に直接接続します。高帯域幅が必要な場合、コスト効率に優れます。Google とオンプレミス データセンター間のトラフィックは、公共のインターネットを経由しません。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Google への接続は安全性と信頼性が高く、Partner Interconnect を使用する接続よりも高速です。

接続タイプの選択

接続タイプの選択に関する詳しい説明は、次をご覧ください。

ネットワーク モニタリング

Google との基本的な接続方法に関係なく、ネットワークのロギングとモニタリングから得られる分析情報を活用できます。詳細については、GKE On-Prem のロギングとモニタリングをご覧ください。

基本的な接続の強化

基本的な接続が確立されたら、アクセス、セキュリティ、可視性を強化する機能を追加できます。たとえば、限定公開の Google アクセスVPC Service ControlsConnect を有効化できます。

このトピックの以降の部分では、Google への基本的な接続に次のいずれかのオプションを使用していることを前提としています。

限定公開の Google アクセス

限定公開の Google アクセスでは、プライベート IP アドレスのみを持つ VM が有効化され、Google API とサービスの IP アドレスにアクセスします。これには、GKE On-Prem クラスタノードにプライベート IP アドレスしかない場合も含まれます。限定公開の Google アクセスは、サブネット レベルで有効にします。

限定公開の Google アクセスでは、オンプレミス データセンターから Google サービスへのリクエストは、公共のインターネットではなく、Cloud Interconnect または Cloud VPN 接続を経由します。

次のような状況では、限定公開の Google アクセスを使用します。

  • パブリック IP アドレスのないオンプレミス VM が、BigQuery、Pub/Sub、Container Registry などの Google サービスに接続する必要がある。

  • 公共のインターネットを経由せずに、Google サービスに接続する必要がある。

オンプレミス VM からの限定公開の Google アクセスをサポートするサービスのリストについては、サポートされるサービスをご覧ください。オンプレミス VM からの限定公開の Google アクセスの使用については、オンプレミス ホスト用の限定公開の Google アクセスの構成を参照してください。

限定公開の Google アクセスを必要としないサービス

プライベート IP アドレスのみを持つ VM からのサービスへのアクセスには、限定公開の Google アクセスが必要ない場合があります。例:

  • パブリック IP アドレスとプライベート IP アドレスの両方を持つ Cloud SQL インスタンスを作成します。そうすると、プライベート IP アドレスを使用して、Cloud SQL インスタンスにアクセスできます。この場合、Google サービスのパブリック IP アドレスにアクセスする必要がないため、限定公開の Google アクセスは必要ありません。これは、Cloud Router がオンプレミス ネットワークに Cloud SQL インスタンスのプライベート IP アドレスをアドバタイズする場合にのみ機能します。

  • Google のクラウドに GKE クラスタがあり、クラスタノードにはプライベート IP アドレスがあります。オンプレミス コンポーネントは、Cloud GKE クラスタの NodePort Service または内部ロードバランサ Service にアクセスできます。

VPC Service Controls

データ漏洩に対する保護設を強化するには、VPC Service Controls を使用します。 VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界を移動するデータを制御できます。

交流

Connect を使用すると、Google Cloud Console からオンプレミスのユーザー クラスタを表示して管理できます。

次のステップ