オンプレミスのデータセンターで実行されている Google Distributed Cloud クラスタを Google Cloud ネットワークに接続するにはさまざまな方法があります。次のような方法が可能です。
- 標準のインターネット接続
- HA VPN
- Partner Interconnect
- Dedicated Interconnect
標準のインターネット接続
特定のシナリオでは、Google とオンプレミス データセンター間の接続としてインターネットを使用できます。例:
Google Distributed Cloud のデプロイはオンプレミスでの自己完結型であり、オンプレミス コンポーネントが Google Cloud ネットワークと通信することはほとんどありません。この接続は主にクラスタ管理に使用します。接続の速度、信頼性、セキュリティは重要ではありません。
Cloud SQL のような Google サービスへのアクセスを除き、オンプレミス クラスタは自己完結型です。オンプレミス クラスタと Google サービス間のトラフィックには、パブリック IP アドレスが使用されます。ファイアウォール ルールを構成して、セキュリティを確保します。
HA VPN
HA VPN と Cloud Router では、Google とオンプレミスのデータセンター間のトラフィックは公共のインターネットを経由しますが、暗号化されます。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Cloud Router では、Google Cloud ネットワークとオンプレミス ネットワーク間のルートが動的に交換されます。動的ルーティングでは、正しいルーティング状態がオンプレミスのデータセンターに確実に伝えられるため、ネットワークの拡張や変更時に特にメリットがあります。
Partner Interconnect
Partner Interconnect は、サポートされているサービス プロバイダを介して、お客様のオンプレミス ネットワークと Google Cloud ネットワークを接続します。Google とオンプレミス データセンター間のトラフィックは、公共のインターネットを経由しません。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Google への接続は高速かつ安全で、信頼性を備えています。
Dedicated Interconnect
Dedicated Interconnect は、オンプレミス ネットワークと Google Cloud ネットワークの間の物理的な直接接続を提供します。高帯域幅が必要な場合は、このタイプの接続が費用対効果を高くできます。Google とオンプレミス データセンター間のトラフィックは、公共のインターネットを経由しません。オンプレミス コンポーネントは、プライベート IP アドレスを使用して、クラウド コンポーネントと通信できます。Google への接続は安全性と信頼性が高く、Partner Interconnect を使用する接続よりも高速です。
一時的な接続解除の影響
接続が切断された場合の影響については、Google Cloud からの一時的な接続解除の影響をご覧ください。
接続タイプの選択
接続タイプの選択に関する詳しい説明は、次をご覧ください。
ネットワーク モニタリング
Google との基本的な接続方法に関係なく、ネットワークのロギングとモニタリングから得られる分析情報を活用できます。詳細については、Google Distributed Cloud のロギングとモニタリングをご覧ください。
基本的な接続の強化
基本的な接続が確立されたら、アクセス、セキュリティ、可視性を強化する機能を追加できます。たとえば、限定公開の Google アクセスまたは Connect を有効にできます。
このトピックの以降の部分では、Google への基本的な接続に次のいずれかのオプションを使用していることを前提としています。
限定公開の Google アクセス
限定公開の Google アクセスでは、プライベート IP アドレスのみを持つ VM が有効化され、Google API とサービスの IP アドレスにアクセスします。このシナリオには、Google Distributed Cloud クラスタのノードにプライベート IP アドレスしかない場合も含まれます。限定公開の Google アクセスは、サブネット レベルで有効にします。
限定公開の Google アクセスでは、オンプレミス データセンターから Google サービスへのリクエストは、公共のインターネットではなく、Cloud Interconnect または Cloud VPN 接続を経由します。
次のような状況では、限定公開の Google アクセスを使用します。
パブリック IP アドレスのないオンプレミス VM が、BigQuery、Pub/Sub、Container Registry などの Google サービスに接続する必要がある。
公共のインターネットを経由せずに、Google サービスに接続する必要がある。
オンプレミス VM からの限定公開の Google アクセスをサポートするサービスのリストについては、サポートされるサービスをご覧ください。オンプレミス VM からの限定公開の Google アクセスの使用については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。
限定公開の Google アクセスを必要としないサービス
プライベート IP アドレスのみを持つ VM からサービスにアクセスするのに、限定公開の Google アクセスが不要な場合もあります。例:
パブリック IP アドレスとプライベート IP アドレスの両方を持つ Cloud SQL インスタンスを作成します。これにより、オンプレミス コンポーネントはプライベート IP アドレスを使用して Cloud SQL インスタンスにアクセスできます。この場合、Google サービスのパブリック IP アドレスにアクセスする必要がないため、限定公開の Google アクセスは必要ありません。このアプローチは、Cloud Router が Cloud SQL インスタンスのプライベート IP アドレスをオンプレミス ネットワークにアドバタイズする場合にのみ機能します。
Google Cloud に Google Distributed Cloud クラスタがあり、クラスタノードにはプライベート IP アドレスがあります。オンプレミス コンポーネントは、クラウドの Google Distributed Cloud クラスタの NodePort Service または内部ロードバランサ Service にアクセスできます。
VPC Service Controls
データ漏洩に対する保護設定を強化するには、VPC Service Controls を使用します。VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界をまたがるデータの移動を制御できます。
VPC Service Controls を使用している場合、"Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services"
などの一部の gkectl
コマンドを実行するとエラーが表示される場合があります。これらのエラーを回避するには、コマンドに --skip-validation-gcp
パラメータを追加します。
Connect
Connect を使用すると、Google Cloud コンソールからオンプレミスのユーザー クラスタを表示して管理できます。