Private Service Connect がハイブリッドかつグローバルに

※この投稿は米国時間 2023 年 4 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

プライベート接続は、この数年間で、Google Cloud のマネージド サービスにアクセスするための事実上の標準方式にまでなりました。Private Service Connect（PSC）は、共有スケーリングの依存性を排除し、セキュリティを高め、マネージド サービスのプロデューサーとコンシューマ間の IP 調整を軽減する、ピアリングに代わるオプションとして高く評価されています。これらの進歩により、多くのGoogle サービスおよびサードパーティ サービスが PSC をサポートするようになりました。さらに、複数の PSC エンドポイントにまたがるハイブリッド アクセスとグローバル アクセスを可能にする新しいオプションの導入で、PSC は次の段階へと進化しています。以下で詳しくご説明します。

Private Service Connect の概要

Private Service Connect は、コンシューマとプロデューサーの間のトラフィックにネットワーク アドレス変換（NAT）を使用し（トラフィックにそのまま NAT を適用し）、双方の複雑な依存関係を排除します。つまり、コンシューマとプロデューサー間のすべてのトラフィックが、相互に指定したプライベート アドレス範囲になるよう NAT が適用されます。これにより、コンシューマとプロデューサーのそれぞれが、もう一方の構成に関係なく、選択したアドレス範囲を使用できるようになります。

以下の図は PSC の仕組みを表しています。コンシューマ PSC エンドポイントは、コンシューマ VPC のロードバランサ アドレスとして示されています。PSC エンドポイントに送られるすべてのトラフィックに NAT が適用されています。その送信元はプロデューサー VPC 内のサービス アタッチメント NAT サブネットで、公開済みのサービスに直接転送されています。このため、プロデューサーが何を公開し、コンシューマと何を共有しているのかが極めて明示的になります。これにより、独立したパーティ間の接続性を確立するうえでのセキュリティ体制が強化されます。希望のサービスだけが公開され、それ以外のプライバシーが保たれるからです。これは、サービス ネットワーキングの原則に基づくものです。

また、Private Service Connect だけのアーキテクチャにより、以下が実現されます。

• ラインレートでの VM 間のレイテンシおよび帯域幅。

• 帯域幅の制限やレイテンシ ヒットなし。PSC トラフィックはコンシューマ ホストからプロデューサー ホストに直接ルーティングされます。

• 中間プロキシなし。すべてのロード バランシングと NAT はコンシューマ ホストとプロデューサー ホストに直接適用されます。

ハイブリッド アクセス

Private Service Connect では、数か月前に相互接続トラフィックの機能が導入され、公開済みサービスに Private Service Connect エンドポイントを介してアクセスできるようになりました。これにより、オンプレミスのクライアントも、マルチクラウドのクライアントも Google Cloud のマネージド サービスへのプライベート アクセスが可能になりました。詳しくは、ハイブリッド ネットワークからエンドポイントへのアクセスをご覧ください。

グローバル アクセス

本日は、Private Service Connect グローバル アクセスのプレビューをご紹介します。これにより、Google Cloud のあらゆるリージョンのクライアントから PSC エンドポイントにアクセスできるようになります。グローバル アクセスを有効にすると、Compute Engine VM、Cloud VPN トンネル、Cloud Interconnect からのトラフィックが、異なるリージョンの Private Service Connect エンドポイントに到達できます。PSC エンドポイントは引き続きサービス アタッチメントと同じリージョンに存在する必要がありますが、クライアントと PSC エンドポイント間のトラフィック フローはリージョンの境界をまたがることができます。

Google Cloud ではグローバル VPC がサポートされているので、新規または既存の PSC エンドポイントへのグローバル アクセスを簡単に有効にできます。以下のコマンドを既存の、または新規の PSC 転送ルールに適用すれば、トラフィックを中断することなくグローバル アクセスが有効になります。グローバル アクセスはコンシューマ側の構成で有効化でき、プロデューサーへの変更は必要ありません。コンシューマで簡単かつシームレスに、あらゆるリージョンのマネージド サービスへのアクセスを有効にできます。

マルチリージョン サービス

ユーザーは、すでにグローバル アクセスを使用したさまざまなマネージド サービスのデプロイを開始し、新しい高可用性アーキテクチャを実現しています。

MongoDB Atlas もそのようなサービスの一例として、グローバルな MongoDB クラスタをサポートしています。PSC エンドポイントのグローバル アクセスを有効にすることで、MongoDB クライアントはあらゆるリージョンの MongoDB ノードにアクセス可能になり、システム全体のフォールト トレラントが確保され、信頼性が高まります。

MongoDB Atlas クラスタの PSC グローバル アクセスの構成方法については、Accessing multi-regional MongoDB Atlas with Private Service Connect（マルチリージョン MongoDB Atlas への Private Service Connect を使用したアクセス）のチュートリアルに詳細な手順が記載されています。

「Private Service Connect のグローバル アクセスは、大きな変革をもたらす機能です。リリース以来 PSC に導入されてきた多くの改善点にグローバル アクセスが加わることで、世界中に分散された MongoDB クラスタに、異なるリージョンやオンプレミスのデータセンターなど、どこからでもアクセス可能になります。これにより、ユーザーは簡素なユーザー エクスペリエンスを維持しながら、最高水準のスケーリングと可用性を達成できます」 - MongoDB、プロダクト リーダー Chris Shum 氏

Apache Kafka を基盤とする Confluent もまた、あらゆる環境とマルチリージョンの接続パターンにおけるデプロイをサポートするクラウドネイティブなマネージド サービスです。PSC グローバル アクセスの活用により、Confluent Cloud への完全にプライベートでリージョンの境界をまたがるアクセスが可能になり、最高レベルのセキュリティと高可用性が確立されます。詳しくは、Confluent で Private Service Connect を構成する方法をご覧ください。

「グローバル アクセスは、復元性に優れたマルチリージョン アーキテクチャを容易に実現し、Confluent Cloud を差別化するうえで大きな役割を果たしました。グローバルなマネージド サービスをシンプルに実現する Google の優れた特長により、Confluent を Google Cloud で実行することの利点がまた 1 つ増えました」 - Confluent Cloud、プロダクト管理担当シニア ディレクター Dan Rosanova 氏

マネージド サービス エクスペリエンスの向上

Private Service Connect は、グローバル アクセスとハイブリッド アクセスを実現することで、1 つの VPC 内で可能な通信フローと同等の接続性を提供できるようになりました。このため、マネージド サービスの使用が一層簡単になり、コンシューマが独自ホストのサービスで使用するのと同等の利便性を可能にしています。Private Service Connect ではさらに以下が可能になります。

• 完全にプライベートのネットワークを用いて通信のセキュリティを確保する

• コンシューマとプロデューサー間の複雑な調整を排除する

• コンシューマとプロデューサー間のリソースとスケーリングの依存性を排除する

簡単に言えば、Private Service Connect はユーザー エクスペリエンスやスケーラビリティを損なうことなく、アプリケーションのセキュリティを強化しますが、さらにグローバル アクセスが導入されたことにより、グローバルな接続性も維持できるようになりました。