接続用に外向きの静的 IP アドレスを構成する

このページでは、接続に静的 IP アドレスを割り当てる方法について説明します。静的 IP アドレスを使用すると、バックエンド システムへのアクセスを制限できるため、接続のセキュリティが強化されます。

Integration Connector をバックエンド システムに接続する場合は、プライベート接続を使用できます。ただし、プライベート接続の設定を詳細に行いたくない場合は、バックエンド システムをパブリック IP アドレスで公開してから、ファイアウォール ルールでアクセスを制限することを検討してください。ファイアウォール ルールでは、Integration Connectors から発信された IP アドレスのみをバックエンド システムに接続できます。接続がパブリック エンドポイントに接続できるようにするには、次の概要の手順を行う必要があります。

1. ファイアウォールを作成し、下り（外向き）トラフィックをそのファイアウォールを通してルーティングします。
2. 接続に静的 IP アドレスを割り当てます。
3. ファイアウォールで、割り当てられた静的 IP アドレスを許可リストに登録します。

ファイアウォールの作成と構成の手順は、このページの対象外です。このページでは、接続に静的 IP アドレスを割り当てる方法のみについて説明します。

デフォルトでは、Integration Connectors は自動的に IP アドレスを割り振ります。ただし、自動 IP アドレスではなく、静的 IP アドレスを生成するように Integration Connectors を構成できます。Integration Connectors は、リージョン レベルで静的 IP アドレスを割り当てます。たとえば、us-east1 リージョンの静的 IP アドレスは、us-west2 リージョンの静的 IP アドレスとは異なります。

接続に静的 IP アドレスを割り当てるには、次の手順を行います。

1. 静的 IP アドレスを割り振る接続のリージョンを取得します。接続リージョンは、[接続] ページの [Location] 列で確認できます。

   [接続] ページに移動

2. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

3. Integration Connectors を構成して、手順 1 で取得したリージョンに静的 IP アドレスを割り当てます。Cloud Shell で次のコマンドを実行します。

   curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -d '{"networkConfig": {"egressMode": "static_ip"}}' \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

   LOCATION を手順 1 で取得したリージョンに設定します。

   このコマンドを実行すると、次のようなレスポンスが返されます。

   {
   "name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
   "metadata": {
     "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
     "createTime": "2023-10-09T08:43:14.467058513Z",
     "target": "projects/test-01/locations/us-central1/regionalSettings",
     "verb": "update",
     "requestedCancellation": false,
     "apiVersion": "v1"
    },
   "done": false
   }

   このコマンドはオペレーション ID を返し、長時間実行オペレーション（LRO）を開始します。LRO は完了するまでに時間がかかることがあります。LRO が完了するまで待ちます。次のコマンドを使用して、オペレーションの進行状況を追跡できます。

   curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

   静的 IP アドレスの割り当てが成功すると、次のようなレスポンスを受け取ります。

   ...
   ...
   "response": {
     "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
     "name": "projects/test-01/locations/us-central1/regionalSettings",
     "networkConfig": {
      "egressMode": "STATIC_IP",
       "egressIps": [
         "35.193.227.203",
         "34.133.63.9",
         "35.223.253.58",
         "34.170.27.253"
       ]
     }
   }
   

   このサンプル レスポンスでは、us-central1 リージョンに 4 つの静的 IP アドレスが割り振られ、リージョンの egressMode は STATIC_IP に設定されます。

4. ファイアウォール ルールで静的 IP アドレス（ステップ 4 で取得したもの）を許可リストに登録してください。

リージョンの静的 IP アドレスを取得する

リージョン（ロケーション）に割り当てられた静的 IP アドレスをいつでも取得するには、次のコマンドを実行します。

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

このコマンドを実行すると、次のようなレスポンスが返されます。

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

自動 IP アドレスをリージョンに割り当てる

リージョンの静的 IP アドレス構成を削除して IP アドレスを自動的に割り当てるには、ターミナルで次のコマンドを実行する必要があります。

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

前述の静的 IP アドレスの構成コマンドと同様に、このコマンドもオペレーション ID を返し、長時間実行オペレーション（LRO）を開始します。LRO は完了するまでに時間がかかることがあります。LRO が完了するまで待ちます。

考慮事項

リージョンに静的 IP アドレスを割り振る場合は、次の点を考慮してください。

• 予約された静的 IP アドレスのセットは、プロジェクト内のリージョンによって異なります。
• リージョンの下り（外向き）モードを STATIC_IP から AUTO_IP に変更すると元の静的 IP アドレスのセットは保持されないため、下り（外向き）モードを再び STATIC_IP から AUTO_IP に変更すると、静的 IP アドレスの新しいセットが割り振られます。
• 下り（外向き）モードを AUTO_IP から STATIC_IP（またはその逆）に変更すると、数秒程度のダウンタイムが予想されます。