例: Cloud SQL インスタンスのプライベート接続

このページでは、Private Service Connect（PSC）を使用して、Private Service Access（PSA）可能なCloud SQL インスタンスと統合コネクタランタイムの間の接続を確立する方法について説明します。Cloud SQL インスタンスは、次のいずれかのタイプです。

考慮事項

PSC サービスアタッチメントを作成する場合は、次の点に注意してください。

PSC サービスアタッチメントとロードバランサは、同じ VPC 内の異なるサブネットに作成されます。具体的には、サービスアタッチメントは常に NAT サブネットに作成されます。
SOCKS5 プロキシサーバーは、0.0.0.0:<port> IP アドレスにバインドする必要があります。これは、ロードバランサとヘルスチェックプローブからの受信トラフィックに必要です。詳細については、ヘルスチェックをご覧ください。
ロードバランサとヘルスチェックプローブからのトラフィックは、同じポートに送信する必要があります。
ファイアウォールルールを構成して、トラフィックフローを促進します。
上り（内向き）ルール
- PSC サービスアタッチメントのサブネットからのトラフィックは、ILB のサブネットに到達する必要があります。
- ILB のサブネット内では、ILB は SOCKS5 プロキシサーバーにトラフィックを送信できる必要があります。
- ヘルスチェックプローブは SOCKS5 プロキシサーバーにアクセスできる必要があります。Google Cloud ヘルスチェックプローブには固定 IP 範囲（35.191.0.0/16, 130.211.0.0/22）があるため、これらの IP で SOCKS プロキシサーバーにトラフィックを送信できます。
下り（外向き）ルール

特定の拒否ルールが構成されていない限り、Google Cloud プロジェクトで下り（外向き）トラフィックはデフォルトで有効になっています。
PSC サービスアタッチメントやロードバランサなどの Google Cloud コンポーネントはすべて、同じリージョンに配置する必要があります。
セキュリティ上の懸念があるため、バックエンドシステムをパブリックネットワークに公開しないでください。ただし、次のシナリオでは、SOCKS5 プロキシサーバーがトラフィックを受け入れるようにしてください。
- パススルーロードバランサ（L4 TCP/UDP ILB）: PSC サービスアタッチメントの NAT IP からのリクエストは、SOCKS5 プロキシサーバーに到達できる必要があります。これらの NAT IP は自動生成されます。したがって、サービスアタッチメントが存在する NAT サブネットの IP 範囲全体を許可する必要があります。詳細については、Private Service Connect サブネットをご覧ください。
- プロキシベース/HTTP(S) ロードバランサ（L4 プロキシ ILB、L7 ILB）: すべての新しいリクエストがロードバランサから送信されます。そのため、SOCKS5 プロキシサーバーは VPC ネットワークのプロキシサブネットからのリクエストを受け入れる必要があります。詳細については、Envoy ベースのロードバランサのプロキシ専用サブネットをご覧ください。

Cloud SQL インスタンス用の PSC を設定する

統合コネクタは、Cloud SQL Auth Proxy を使用して Cloud SQL インスタンスに接続します。Cloud SQL Auth Proxy では、SOCKS5 プロキシを介したチェーンがサポートされています。これにより、Cloud SQL Auth Proxy から宛先の Cloud SQL インスタンスに暗号化されたトラフィックを転送できます。そのため、プライベート Cloud SQL インスタンスに接続するには SOCKS5 プロキシサーバーが必要です。

次の図は、サンプルの Cloud SQL インスタンス設定用に PSC サービスアタッチメントが構成された後、Google Cloud プロジェクトがどのように表示されるかを示しています。

この例では、PSKS5 プロキシサーバーはサービスアタッチメントを介して公開されているため、PSC は Cloud SQL インスタンスに安全に接続できます。SOCKS プロキシサーバーは、プライベートサービスアクセスを介して Cloud SQL インスタンスにアクセスできます。SOCKS5 プロキシサーバーは非マネージド Compute Engine インスタンスグループにあり、予想される上り（内向き）トラフィックに基づいてプロキシインスタンスの数を決定できます。

この例のトラフィックの流れ

Integration コネクタは、サービスアタッチメントにリクエストを送信します。
サービスアタッチメントがリクエストを L4 ILB に転送します。
L4 ILB は SOCKS5 プロキシサーバーにリクエストを送信します。
ILB には転送ルールがあり、ポート転送を行います。デフォルトでは、SOCKS5 プロキシは 1080 ポートをリッスンします。ただし、SOCKS5 プロキシサーバーが別のポートでリッスンしている場合は、そのポートも ILB でリッスンするために開く必要があります。
SOCKS5 プロキシサーバーは、リクエストを Cloud SQL インスタンスに転送します。

準備

サンプルシナリオ用の PSC サービスアタッチメントを作成する前に、次の作業を行います。

gcloud CLI をインストールします。
Google Cloud プロジェクトで Compute Engine API と Service Networking API を有効にします。
CLI コマンドの詳細度を下げるには、次のコマンドを使用して PROJECT_ID、REGION、ZONE の値を設定します。
```
gcloud config set project PROJECT_ID
gcloud config set compute/region REGION
gcloud config set compute/zone ZONE
```
このチュートリアルのコマンドでは、BACKEND_SERVER_PORT を 1080 に置き換えます。これは、SOCKS5 プロキシサーバーが実行されるデフォルトのポートです。
このサンプルシナリオを試す場合は、新しい VPC ネットワークを作成して使用することをおすすめします。シナリオをテストしたら、VPC ネットワークやその他のリソースを削除できます。
少なくとも 1 つの既存の接続が作成されている必要があります。任意の接続のタイプを使用できます。既存の接続があると、Integration Connectors ランタイムからサービスディレクトリのプロジェクト ID を取得できます。PSC サービスアタッチメントを作成するには、このプロジェクト ID が必要です。

PSC サービスアタッチメントの作成

サンプルシナリオ用の PSC サービスアタッチメントを作成するには、次の作業を行います。

VPC ネットワークと必要なサブネットを作成します。
1. VPC ネットワークを作成します。
```
gcloud compute networks create VPC_NETWORK \
--project=PROJECT_ID --subnet-mode=custom --mtu=1460 \
--bgp-routing-mode=regional
```
2. サブネット1を追加
```
gcloud compute networks subnets create SUBNET_NAME_1 \
--network=VPC_NETWORK --range=SUBNET_RANGE_1 \
--purpose=PRIVATE_SERVICE_CONNECT
```
  このコマンドは、PSC サービスアタッチメントのホストにのみ使用される NAT サブネットとして Subnet-1 を作成します。この NAT サブネット内の他のサービスはホストできません。
3. サブネット2を追加
```
gcloud compute networks subnets create SUBNET_NAME_2 \
--network=VPC_NETWORK --range=SUBNET_RANGE_2
```
注: PSC サービスアタッチメントをロードバランサと同じサブネット内に配置することはできません。そのため、2 つのサブネットが必要です。
プライベート Cloud SQL インスタンスを作成します。
1. プライベートサービスアクセスを構成する
  1. IP アドレス範囲を割り振る
```
gcloud compute addresses create google-managed-services-VPC_NETWORK \
--global --purpose=VPC_PEERING --prefix-length=16 \
--network=projects/PROJECT_ID/global/networks/VPC_NETWORK
```
  2. プライベート接続を作成します。
```
gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=google-managed-services-VPC_NETWORK \
--network=VPC_NETWORK \
--project=PROJECT_ID
```
2. プライベート IP を使用して Cloud SQL インスタンスを作成します。
```
gcloud beta sql instances create \
INSTANCE_NAME \
--database-version=DATABASE_VERSION \
--cpu=NUMBER_OF_CPUs \
--memory=MEMORY \
--zone=ZONE \
--root-password=ROOT_PASSWORD \
--network=projects/PROJECT_ID/global/networks/VPC_NETWORK \
--no-assign-ip \
--allocated-ip-range-name=google-managed-services-VPC_NETWORK
```
  作成するインスタンスのタイプに基づいて DATABASE_VERSION を指定します。MySQL、PostgreSQL、SQL Server タイプのインスタンスを作成できます。サポートされているすべてのデータベースバージョンの一覧については、SQL データベースバージョンをご覧ください。
  
  このコマンドは、Cloud SQL インスタンスのデフォルトユーザーを作成します。さまざまな Cloud SQL * インスタンス用に作成されるデフォルトユーザーは次のとおりです。
  - Cloud SQL for MySQL - root
  - Cloud SQL for SQL Server - sqlserver
  - Cloud SQL for PostgreSQL - postgres
3. （省略可）デフォルトユーザーを使用しない場合は、新しく作成した Cloud SQL インスタンス用に新しいユーザーを作成します。
```
gcloud sql users create USER --host=% --instance=INSTANCE_NAME \
--password=PASSWORD
```
  次のステップで作成するデータベースへのアクセスに必要なすべての権限がユーザーに付与されていることを確認します。
4. 新しく作成した Cloud SQL インスタンスにデータベースを作成します。
```
gcloud sql databases create DATABASE_NAME \
--instance=INSTANCE_NAME
```

Cloud NAT を構成する

シンプルなルーターを作成します。

gcloud compute routers create NAT_ROUTER_NAME \
    --network=VPC_NETWORK

ネットワークアドレス変換を構成します。

gcloud compute routers nats create NAT_GATEWAY_NAME \
    --router=NAT_ROUTER_NAME \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges

SOCKS5 プロキシサーバーを実行するための Compute Engine VM インスタンスを作成します。
1. プロキシインスタンス 1 を作成します。
```
gcloud compute instances create PROXY_INSTANCE_1 \
--project=PROJECT_ID \
--network-interface=network-tier=PREMIUM,subnet=SUBNET_NAME_2,no-address
```
要件に応じて、必要な数の VM インスタンスを作成できます。

VM インスタンスへの SSH 接続を許可するファイアウォールルールを作成します。

gcloud compute firewall-rules create FIREWALL_RULE_NAME_SSH \
--direction=INGRESS --priority=1000 --network=VPC_NETWORK --allow=tcp:22

SOCKS5 プロキシをインストールします。

SOCKS5 プロキシサーバーのインストールと構成の詳細な手順は、このドキュメントでは扱いません。任意の SOCKS5 プロキシをインストールできます。次の手順は、Dante SOCKS5 プロキシサーバーをインストールして構成する方法を示しています。

VM インスタンスに SSH で接続します。

gcloud compute ssh \
    --tunnel-through-iap \
    PROXY_INSTANCE_1

Dante SOCKS5 プロキシサーバーをインストールします。
```
sudo apt update
sudo apt install dante-server
```
サーバーインターフェースを確認します。
```
sudo ip a
```
Dante 構成のバックアップを作成します。
```
sudo mv /etc/danted.conf /etc/danted.conf.bak
```
新しい Dante 構成ファイルを作成します。
```
sudo nano /etc/danted.conf
```

構成ファイルに次の構成をコピーします。

logoutput: /var/log/socks.log
# Bind the server to the 0.0.0.0 IP address to allow traffic
# traffic from the load balancer and the health check probes.
internal: 0.0.0.0 port = 1080
external: ens4
clientmethod: none
socksmethod: none
user.privileged: root
user.notprivileged: nobody
client pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}
client block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}
socks pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}
socks block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}

Dante サーバーを再起動し、ステータスを確認します。
```
sudo systemctl restart danted
sudo systemctl status danted
```
VM インスタンスを終了します。
```
exit
```

非マネージドインスタンスグループを設定します。
1. 非マネージドインスタンスグループを作成します。
```
gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME
```
  注: このチュートリアルでは、非マネージドインスタンスグループを使用します。信頼性を高めるためにマネージドインスタンスグループを作成できます。
2. 手順 3 で作成した VM インスタンスをグループに追加します。
```
gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME \
--instances=PROXY_INSTANCE_1
```
ヘルスチェックプローブを作成し、プローブからのトラフィックを許可します。
1. ヘルスチェックプローブを作成します。
```
gcloud compute health-checks create tcp HEALTH_CHECK_NAME \
--port BACKEND_SERVER_PORT --region=REGION
```
  このコマンドで、BACKEND_SERVER_PORT を 1080 に設定します。これは、SOCKS5 プロキシサーバーが実行されるデフォルトのポートです。
2. プローブからのトラフィックを許可するファイアウォールルールを作成します。
```
gcloud compute firewall-rules create FIREWALL_RULE_NAME_HEALTHCHECK \
--direction=INGRESS --priority=1000 --network=VPC_NETWORK --allow=tcp:BACKEND_SERVER_PORT \
--source-ranges=35.191.0.0/16,130.211.0.0/22
```

L4 内部ロードバランサを作成し、ロードバランサからのトラフィックを許可します。

バックエンドサービスを作成します。

gcloud compute backend-services create BACKEND_SERVICE \
--load-balancing-scheme=internal --protocol=tcp --health-checks=HEALTH_CHECK_NAME \
--health-checks-region=REGION

バックエンドサービスにインスタンスグループを追加します。

gcloud compute backend-services add-backend BACKEND_SERVICE \
--instance-group=INSTANCE_GROUP_NAME \
--instance-group-zone=ZONE

転送ルールを作成します。

gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
--load-balancing-scheme=internal --network=VPC_NETWORK --subnet=SUBNET_NAME_2 \
--ip-protocol=TCP --ports=BACKEND_SERVER_PORT --backend-service=BACKEND_SERVICE \
--backend-service-region=REGION

ロードバランサからインスタンスグループへの内部トラフィックを許可するファイアウォールルールを作成します。

gcloud compute firewall-rules create FIREWALL_RULE_NAME_INTERNAL \
--direction=INGRESS --priority=1000 --network=VPC_NETWORK \
--action=ALLOW --rules=all --source-ranges=SUBNET_RANGE_2

PSC サービスアタッチメントを作成します。
1. PSC サービスアタッチメントから前のステップで作成した内部ロードバランサへのトラフィックを許可するファイアウォールルールを作成します。
```
gcloud compute firewall-rules create FIREWALL_RULE_NAME_SA \
--direction=INGRESS --priority=1000 --network=VPC_NETWORK \
--allow=tcp:BACKEND_SERVER_PORT --source-ranges=SUBNET_RANGE_1
```
2. 明示的な承認を使用してサービスアタッチメントを作成します。
```
gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME \
--producer-forwarding-rule=FORWARDING_RULE_NAME  \
--connection-preference=ACCEPT_MANUAL \
--consumer-accept-list=SERVICE_DIRECTORY_PROJECT_ID=LIMIT \
--nat-subnets=SUBNET_NAME_1
```
  このコマンドで、LIMIT はプロジェクトの接続上限です。接続上限は、このサービスに接続できるコンシューマ Private Service Connect エンドポイントの数になります。SERVICE_DIRECTORY_PROJECT_ID の取得方法については、サービスディレクトリのプロジェクト ID を取得するをご覧ください。
エンドポイントアタッチメントを作成します。
エンドポイントアタッチメントは、PSC サービスアタッチメントへのインターフェースと考えることができます。PSC サービスアタッチメントを直接使用してプライベート接続を構成することはできません。PSC サービスアタッチメントには、エンドポイントアタッチメントを使用してのみアクセスできます。エンドポイントアタッチメントは、IP アドレスまたはホスト名として作成できます。エンドポイントアタッチメントは、作成したコネクタをプライベート接続用に構成するときに使用できます。詳細については、エンドポイントアタッチメントを作成するをご覧ください。

注: 接続の作成時に、SOCKS5 プロキシのアドレスとしてエンドポイントアタッチメントの IP アドレスまたはホスト名を使用する必要があります。
PSC の設定を確認します。
プライベート接続を確認するには、Cloud SQL 接続を作成し、このチュートリアルに示すように SOCKS5 プロキシサーバーを設定します。接続を作成する詳しい手順については、Cloud SQL for MySQL、Cloud SQL for PostgreSQL、Cloud SQL SQL for SQL Server コネクタ）のドキュメントをご覧ください。接続を作成するときは、Destinations セクション（ステップ 5）で Destination type を Host address として選択し、エンドポイントアタッチメントの IP アドレスまたは　SOCKS5 プロキシサーバーの詳細のホスト名を入力します。SOCKS5 プロキシサーバーに別のポートを構成していない限り、ポート値を 1080 に設定します。接続が正常に作成されると、新しく作成された接続のステータスが Cloud Console の [接続] ページで Active になります。

サービスディレクトリのプロジェクト ID を取得する

PSC サービスアタッチメントは、指定された Google Cloud プロジェクトからのリクエストのみを受け入れるように作成することをおすすめします。ただし、これを行うには、Google Cloud プロジェクトに関連付けられたサービスディレクトリのプロジェクト ID が必要です。サービスディレクトリのプロジェクト ID を取得するには、次の例に示すように List Connections API を使用します。

構文

curl -X GET \
    -H "authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://connectors.googleapis.com/v1/projects/CONNECTORS_PROJECT_ID/locations/-/connections"

次のように置き換えます。

CONNECTORS_PROJECT_ID: 接続を作成した Google Cloud プロジェクトの ID。

例

この例では、connectors-test Google Cloud プロジェクトのサービスディレクトリのプロジェクト ID を取得します。

curl -X GET \
    -H "authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://connectors.googleapis.com/v1/projects/connectors-test/locations/-/connections"

ターミナルでこのコマンドを実行すると、次のような出力が表示されます。

.....
{
  "connections": [
    {
      "name": "projects/connectors-test/locations/asia-northeast1/connections/big-query-iam-invalid-sa",
      "createTime": "2022-10-07T09:02:31.905048520Z",
      "updateTime": "2022-10-07T09:22:39.993778690Z",
      "connectorVersion": "projects/connectors-test/locations/global/providers/gcp/connectors/bigquery/versions/1",
      "status": {
        "state": "ACTIVE"
      },
      "configVariables": [
        {
          "key": "project_id",
          "stringValue": "connectors-test"
        },
        {
          "key": "dataset_id",
          "stringValue": "testDataset"
        }
      ],
      "authConfig": {},
      "serviceAccount": "564332356444-compute@developer.gserviceaccount.com",
      "serviceDirectory": "projects/abcdefghijk-tp/locations/asia-northeast1/namespaces/connectors/services/runtime",
      "nodeConfig": {
        "minNodeCount": 2,
        "maxNodeCount": 50
      }
    },
....

このサンプル出力では、connectors-test Google Cloud プロジェクトの場合、サービスディレクトリのプロジェクト ID は abcdefghijk-tp です。