限定公開の Google アクセス（Private Google Access）

内部 IP アドレスしか持たない VM インスタンス（外部 IP アドレスなし）は、限定公開の Google アクセスを使用して、Google API とサービスの外部 IP アドレスにアクセスできます。パケットの送信元 IP アドレスは、ネットワーク インターフェースのプライマリ内部 IP アドレスか、インターフェースに割り当てられたエイリアス IP 範囲です。限定公開の Google アクセスを無効にすると、それらの VM インスタンスは Google API とサービスにアクセスできなくなり、VPC ネットワーク内でのみトラフィックを送信できます。

限定公開の Google アクセスは外部 IP アドレスを持つインスタンスには影響しません。外部 IP アドレスを持つインスタンスは、インターネット アクセス要件に従ってインターネットにアクセスできます。Google API とサービスの外部 IP アドレスにリクエストを送信するための特別な構成は必要ありません。

サブネットごとに限定公開の Google アクセスを有効にします。これは VPC ネットワークのサブネットの設定です。限定公開の Google アクセスのサブネットを有効にして要件を表示するには、限定公開の Google アクセスの構成をご覧ください。

サポート対象のサービス

限定公開の Google アクセスを使用すると、Google の本番環境インフラストラクチャ内の Google API とサービスにアクセスできます。

他の Google サービスは VPC ネットワークでホストされており、次の方法でアクセスできます。

• Service Networking API を使用して公開サービスに接続するには、プライベート サービス アクセスをご覧ください。

• Private Service Connect を使用して公開サービスに接続するには、マネージド サービスにアクセスするをご覧ください。

例

次の図に、限定公開の Google アクセスの実装を示します。

VPC ネットワークは、Google API とサービスに関する DNS、ルーティング、ファイアウォール ネットワークの要件を満たすように構成されています。限定公開の Google アクセスは subnet-a では有効になっていますが、subnet-b では有効になっていません。

• VM A1 は Google API とサービス（Cloud Storage を含む）にアクセスできます。これは、このネットワーク インターフェースが subnet-a にあり、このサブネットで限定公開の Google アクセスが有効になっているためです。このインスタンスは内部 IP アドレスしか持っていないため、限定公開の Google アクセスが適用されます。

• VM B1 は、内部 IP アドレスしか持たず、subnet-b では限定公開の Google アクセスが無効になっているため、Google API とサービスにアクセスできません。

• VM A2 と VM B2 はそれぞれ外部 IP アドレスを持っているため、どちらも Cloud Storage を含む Google API とサービスにアクセスできます。限定公開の Google アクセスは、これらのインスタンスが Google API とサービスにアクセスできるかどうかに影響を与えません。これは、どちらも外部 IP アドレスを持っているためです。

次のステップ

• 限定公開の Google アクセスを構成する。限定公開の Google アクセスの構成をご覧ください。