接続用に外向きの静的 IP アドレスを構成する

このページでは、接続に静的 IP アドレスを割り当てる方法について説明します。静的 IP アドレスを使用すると、バックエンド システムへのアクセスを制限できるため、接続のセキュリティが強化されます。

Integration Connector をバックエンド システムに接続する場合は、プライベート接続を使用できます。ただし、プライベート接続の設定を詳細に行いたくない場合は、バックエンド システムをパブリック IP アドレスで公開してから、ファイアウォール ルールでアクセスを制限することを検討してください。ファイアウォール ルールでは、Integration Connectors から発信された IP アドレスのみをバックエンド システムに接続できます。接続がパブリック エンドポイントに接続できるようにするには、次の概要の手順を行う必要があります。

  1. ファイアウォールを作成し、下り(外向き)トラフィックをそのファイアウォールを通してルーティングします。
  2. 接続に静的 IP アドレスを割り当てます。
  3. ファイアウォールで、割り当てられた静的 IP アドレスを許可リストに登録します。

ファイアウォールの作成と構成の手順は、このページの対象外です。このページでは、接続に静的 IP アドレスを割り当てる方法のみについて説明します。

デフォルトでは、Integration Connectors は自動的に IP アドレスを割り振ります。ただし、自動 IP アドレスではなく、静的 IP アドレスを生成するように Integration Connectors を構成できます。Integration Connectors は、リージョン レベルで静的 IP アドレスを割り当てます。たとえば、us-east1 リージョンの静的 IP アドレスは、us-west2 リージョンの静的 IP アドレスとは異なります。

接続に静的 IP アドレスを割り当てるには、次の手順を行います。

  1. 静的 IP アドレスを割り振る接続のリージョンを取得します。接続リージョンは、[接続] ページの [Location] 列で確認できます。

    [接続] ページに移動

  2. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  3. Integration Connectors を構成して、手順 1 で取得したリージョンに静的 IP アドレスを割り当てます。Cloud Shell で次のコマンドを実行します。
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "static_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

    LOCATION を手順 1 で取得したリージョンに設定します。

    このコマンドを実行すると、次のようなレスポンスが返されます。

    {
    "name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
    "metadata": {
      "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
      "createTime": "2023-10-09T08:43:14.467058513Z",
      "target": "projects/test-01/locations/us-central1/regionalSettings",
      "verb": "update",
      "requestedCancellation": false,
      "apiVersion": "v1"
     },
    "done": false
    }

    このコマンドはオペレーション ID を返し、長時間実行オペレーション(LRO)を開始します。LRO は完了するまでに時間がかかることがあります。LRO が完了するまで待ちます。次のコマンドを使用して、オペレーションの進行状況を追跡できます。

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

    静的 IP アドレスの割り当てが成功すると、次のようなレスポンスを受け取ります。

    ...
    ...
    "response": {
      "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
      "name": "projects/test-01/locations/us-central1/regionalSettings",
      "networkConfig": {
       "egressMode": "STATIC_IP",
        "egressIps": [
          "35.193.227.203",
          "34.133.63.9",
          "35.223.253.58",
          "34.170.27.253"
        ]
      }
    }
    

    このサンプル レスポンスでは、us-central1 リージョンに 4 つの静的 IP アドレスが割り振られ、リージョンの egressModeSTATIC_IP に設定されます。

  4. ファイアウォール ルールで静的 IP アドレス(ステップ 4 で取得したもの)を許可リストに登録してください。

リージョンの静的 IP アドレスを取得する

リージョン(ロケーション)に割り当てられた静的 IP アドレスをいつでも取得するには、次のコマンドを実行します。

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

このコマンドを実行すると、次のようなレスポンスが返されます。

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

自動 IP アドレスをリージョンに割り当てる

リージョンの静的 IP アドレス構成を削除して IP アドレスを自動的に割り当てるには、ターミナルで次のコマンドを実行する必要があります。

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

前述の静的 IP アドレスの構成コマンドと同様に、このコマンドもオペレーション ID を返し、長時間実行オペレーション(LRO)を開始します。LRO は完了するまでに時間がかかることがあります。LRO が完了するまで待ちます。

考慮事項

リージョンに静的 IP アドレスを割り振る場合は、次の点を考慮してください。

  • 予約された静的 IP アドレスのセットは、プロジェクト内のリージョンによって異なります。
  • リージョンの下り(外向き)モードを STATIC_IP から AUTO_IP に変更すると元の静的 IP アドレスのセットは保持されないため、下り(外向き)モードを再び STATIC_IP から AUTO_IP に変更すると、静的 IP アドレスの新しいセットが割り振られます。
  • 下り(外向き)モードを AUTO_IP から STATIC_IP(またはその逆)に変更すると、数秒程度のダウンタイムが予想されます。