プロジェクト間のバインディング ゾーン

このページでは、プロジェクト間のバインディングの概要とプロジェクト間のバインディング ゾーンの作成方法について説明します。

一般的な共有 VPC 設定では、サービス プロジェクトが仮想マシン(VM)アプリケーションまたはサービスの所有権を持っていますが、VPC ネットワークとネットワーク インフラストラクチャの所有権はホスト プロジェクトが所有します。多くの場合、VPC ネットワークの名前空間から DNS 名前空間が分割され、サービス プロジェクトのリソースと一致します。このような設定では、各サービス プロジェクトの DNS 名前空間の管理を各サービス プロジェクトの管理者(多くは別の部門または事業)に委任するほうが便利です。プロジェクト間のバインディングを使用すると、サービス プロジェクトの DNS 名前空間の所有権と VPC ネットワーク全体の DNS 名前空間の所有権を分離できます。

次の図は、DNS ピアリングを使用した一般的な共有 VPC 設定を示しています。

DNS ピアリングを使用した共有 VPC 設定。
DNS ピアリングを使用した共有 VPC 設定(クリックで拡大)

次の図は、プロジェクト間のバインディングを使用した設定を示しています。Cloud DNS では、各サービス プロジェクトが独自の DNS ゾーンを作成して所有できますが、それはホスト プロジェクトが所有する共有ネットワークにバインドされています。これにより、DNS ゾーン管理者の自律性が高まり、権限の境界がより明確になります。

プロジェクト間のバインディングを使用した設定。
プロジェクト間のバインディングを使用した設定(クリックして拡大)

プロジェクト間のバインディングには次の機能があります。

  • サービス プロジェクトの管理者とユーザーが独自の DNS ゾーンを作成して管理できます。
  • プレースホルダ VPC ネットワークを作成する必要はありません。
  • ホスト プロジェクトの管理者は、サービス プロジェクトを管理する必要がありません。
  • IAM ロールは引き続きプロジェクト レベルで適用されます。
  • すべての DNS ゾーンは共有 VPC ネットワークに直接関連付けられます。
  • 多対多の DNS 解決がすぐに利用できます。共有 VPC ネットワークのどの VM も関連するゾーンを解決できます。
  • 推移的なホップ上限はありません。ハブ アンド スポーク設計で管理できます。

プロジェクト間のバインディング ゾーンを作成する

同じ組織内の異なるプロジェクトが所有するネットワークにバインド可能なマネージド限定公開ゾーンを作成するには、次の操作を行います。

  1. 手順に沿って限定公開ゾーンを作成します

  2. 同じプロジェクトでネットワークを指定する代わりに、同じ組織の別のプロジェクトでネットワークの URL を指定します。

次のステップ