セルフホスト データソースの概要

Gemini Enterprise は、お客様が管理するセルフホスト型のサードパーティ データソースに安全に接続できます。これらの接続は、Private Service Connect プロデューサー サービスを介して確立されます。

この接続モデルにより、機密データはユーザーの管理下とネットワーク境界内に保持され、Gemini Enterprise はこれらのデータソースに含まれる情報にアクセスして使用できます。Private Service Connect を使用すると、公共のインターネットをバイパスして安全でスケーラブルな通信チャネルを確立し、従来のネットワーク構成に関連する潜在的なセキュリティ リスクを最小限に抑えることができます。

セルフホスト データソースのアクセス パターン。
セルフホスト型データソースのアクセス パターン

Gemini Enterprise は、次のセルフホスト データソース パターンをサポートしています。

  • オンプレミスまたはマルチクラウド: ハイブリッド ネットワーク接続を使用して、データセンターまたは別のクラウド プロバイダ(Amazon Web Services EC2 または EKS、Microsoft Azure 仮想マシンなど)にデプロイされたデータソース。

  • Google Kubernetes Engine: GKE クラスタ内でホストされているデータソース。

  • Google Cloud Compute Engine: Google Compute Engine VM にデプロイされたデータソース。

セルフホスト サービスで Private Service Connect を使用する

Private Service Connect は、コンシューマーの Virtual Private Cloud ネットワークからマネージド サービスへのプライベート アクセスを可能にする Google Cloud ネットワーキング機能です。サービス コンシューマーとサービス プロデューサー間の安全で明示的な接続が作成されるため、Virtual Private Cloud ピアリング、複雑なルーティング、パブリック IP アドレスは不要になります。

Gemini Enterprise Private Service Connect のデプロイは、次の方法で設定できます。

  • サービス コンシューマーとしての Gemini Enterprise

  • オンプレミス、マルチクラウド、または Google Cloud コンピューティング リソースをサービス プロデューサーとして参照するロードバランサを含むネットワーク

Private Service Connect を使用してセルフホスト サービスを Gemini Enterprise に接続する特定の方法については、次のセクションをご覧ください。

VPC ネットワークとサブネットの構成

次の点にご注意ください。

  • プロキシの割り当ては、ロードバランサ レベルではなく VPC レベルで行われます。Envoy ベースのロードバランサを使用する仮想ネットワーク(VPC)の各リージョンに、プロキシ専用サブネットを 1 つ作成する必要があります。同じリージョンおよび同じ VPC ネットワーク内に複数のロードバランサをデプロイすると、ロード バランシング用に同じプロキシ専用サブネットが共有されます。

  • ヘルスチェック プローブは、リージョン内のプロキシ専用サブネットにある Envoy プロキシから発信されます。ヘルスチェック プローブが正常に機能するには、プロキシ専用サブネットからのトラフィックが外部バックエンドに到達できるように、外部環境にファイアウォール ルールを作成する必要があります。

  • プロキシ専用サブネットは、クロス クラウド データベースをターゲットとする送信元サブネットです。このサブネットが Cloud Router によってアドバタイズされていることを確認します。詳細については、特定の VPC サブネットをアドバタイズするをご覧ください。

  • プロキシ専用サブネットは、オンプレミスまたは Cross-Cloud ファイアウォールの許可リストに登録されている必要があります。

  • VPC ネットワークが自動モードかカスタムモードかに関係なく、プロキシ専用サブネットを作成する必要があります。プロキシ専用サブネットでは 64 個以上の IP アドレスを指定する必要があります。これは、/26 以下のプリフィックス長に対応します。推奨されるサブネット サイズは /23(512 個のプロキシ専用アドレス)です。

Private Service Connect NAT サブネット

コンシューマー VPC ネットワークからのパケットは送信元 NAT(SNAT)を使用して変換され、元の送信元 IP アドレスが、プロデューサーの VPC ネットワーク内にある NAT サブネットからの送信元 IP アドレスに変換されます。Private Service Connect for NAT サブネットは、ワークロードをホストできません。

Private Service Connect NAT の最小サブネット サイズは /29 です。トラフィックを中断することなく、いつでもサービス アタッチメントに NAT サブネットを追加できます。

事前定義されたダッシュボードまたは Private Service Connect NAT 使用量の Google Cloud 指標を使用して、公開サービスをモニタリングできます。

ロードバランサの構成

サービス プロデューサーは、アプリケーションまたはサービスを Google Cloud 内部ロードバランサの背後に配置します。内部 TCP プロキシ ロードバランサを使用することをおすすめします。Google Kubernetes Engine を使用している場合は、内部パススルー ネットワーク ロードバランサを使用できます。

Gemini Enterprise はすべてのロケーションで使用できるわけではないため、内部ロードバランサの転送ルールを作成するときにグローバル アクセスを有効にする必要があります。グローバル アクセスを有効にしないと、Gemini Enterprise(サービス コンシューマー)のエンドポイントの作成が失敗する可能性があります。Private Service Connect サービス アタッチメントを作成する前に、グローバル アクセスが有効になっていることを確認してください。内部ロードバランサのクライアント アクセスの詳細については、クライアント アクセスをご覧ください。

サービス アタッチメントの構成

Private Service Connect を使用してサービスを公開するには、サービス プロデューサーがサービス アタッチメントを作成します。このアタッチメントにより、Gemini Enterprise などのサービス コンシューマーはプロデューサーのサービスに接続できます。サービスの公開とサービス アタッチメントの作成については、サービスを公開するをご覧ください。

サービス プロデューサーには、次の接続設定を使用して管理されるコンシューマー接続を制御するための 2 つの主なオプションがあります。

  • すべての接続を自動的に受け入れる: 明示的な承認なしで、すべてのコンシューマーが接続できるようになります。

  • 選択したプロジェクトの接続を受け入れる(明示的な承認): 接続をリクエストする各プロジェクトを手動で承認する必要があります。このオプションを使用すると、プロジェクトを承認するか拒否するかを選択できます。

    明示的なプロジェクト承認を使用する場合は、サービス アタッチメントへの接続を確立するために、次の操作を行う必要があります。

    1. データストア(Jira Data Center データストアなど)を作成します。

    2. Google Cloudコンソールの [Private Service Connect] ページで、新しいデータストアの Gemini Enterprise テナント プロジェクトからの保留中の接続を承認します。テナント プロジェクトは、-tp で終わるプロジェクト ID で識別できます。詳細については、公開サービスへのアクセス リクエストを管理するをご覧ください。

    3. Google Cloud コンソールの [Gemini Enterprise] ページの [データストア] で、新しいデータストアの名前をクリックしてステータスを確認します。データストアのステータスは、[データ] ページに表示されます。

    Gemini Enterprise テナント プロジェクト ID は、データストアを作成するまで表示されません。Private Service Connect でプロジェクト接続を承認するまで、データストアのステータスは [作成中] のままになります。

サービス アタッチメントを作成するときは、セルフホスト サービスでサポートされていない限り、プロキシ プロトコルを選択しないでください。このようにすると、SSL/TLS エラーが発生します。サービス アタッチメントを編集して、プロキシ プロトコルの選択を解除できます。

ファイアウォール構成

Private Service Connect NAT サブネットとプロデューサー サービス ロードバランサのバックエンド VM 間のトラフィックを許可するように、上り(内向き)ファイアウォール ルールを構成します。ハイブリッド NEG またはインターネット NEG をバックエンドとして使用している場合、ファイアウォール ルールは必要ありません。

次のステップ