Network Connectivity Center を介した Private Service Connect 接続の伝播

Private Service Connect を使用すると、コンシューマーは Virtual Private Cloud（VPC）ネットワーク内からマネージドサービスにプライベート接続でアクセスできます。同様に、マネージドサービスのプロデューサーはこれらのサービスを個別の VPC ネットワークとプロジェクトでホストし、コンシューマーとのプライベート接続を提供できます。Private Service Connect 接続は、VPC スポーク間で推移的ではありません。Network Connectivity Center ハブを介して Private Service Connect サービスを伝播すると、これらのサービスは、ルートテーブルを介して同じハブ内の他のスポーク VPC から到達可能になります。

Network Connectivity Center は、リージョンエンドポイントの伝播もサポートしています。リージョンエンドポイントの詳細については、Private Service Connect エンドポイントを介したリージョンエンドポイントへのアクセスについてをご覧ください。

Network Connectivity Center の Private Service Connect 接続の伝播機能は、次のユースケースで役立ちます。

共通サービス VPC ネットワークを使用して、複数の Private Service Connect コンシューマーエンドポイントを作成できます。1 つの共通サービス VPC ネットワークを Network Connectivity Center ハブに追加すると、VPC ネットワーク内のすべての Private Service Connect コンシューマーエンドポイントが、Network Connectivity Center ハブを介して他の VPC スポークに推移的にアクセスできるようになります。この接続により、各 VPC ネットワーク内の Private Service Connect エンドポイントを個別に管理する必要がなくなります。
ハイブリッドスポークで到達可能なオンプレミスネットワークから、VPC スポークネットワーク内のマネージドサービスにアクセスできます。

接続の伝播が有効になっているハブに VPC スポークを接続すると、Network Connectivity Center は、同じハブに接続されているエンドポイントについて、そのスポークに伝播接続を作成します。ただし、エンドポイントのサブネットがエクスポートの対象から除外されている場合は除きます。VPC ネットワークが VPC スポークとして Network Connectivity Center ハブに追加されると、新しい Private Service Connect エンドポイントも伝播されます。ただし、エンドポイントのサブネットがエクスポートから除外されている場合を除きます。

Private Service Connect の伝播接続を有効にしてハブを設定するには、ハブ管理者が Private Service Connect の伝播を使用してハブを作成するか、--export-psc フラグを使用して伝播設定を更新する必要があります。さらに、ハブ管理者は VPC ネットワークをスポークとしてハブに追加する必要があります。スポークオーナーは、--exclude-export-ranges フラグと --include-export-ranges フラグを使用して、特定の Private Service Connect 割り当てサブネットを Network Connectivity Center のルーティングから除外できます。これにより、指定したサブネットに他の VPC ネットワークから到達できなくなるため、ローカル VPC ネットワークに対してプライベートな状態を維持できます。

Private Service Connect の伝播接続については、伝播接続についてをご覧ください。

--exclude-export-ranges フラグと --include-export-ranges フラグの詳細については、エクスポートフィルタを使用した VPC 接続をご覧ください。

Private Service Connect の伝播接続用のハブの設定については、ハブを構成するをご覧ください。

接続の伝播の上限

伝播接続の上限については、伝播接続の上限をご覧ください。

考慮事項

Private Service Connect の伝播接続を有効にする前に、次の点に注意してください。

Private Service Connect の伝播接続は、VPC スポークでのみ機能します。
VPC スポーク間の Private Service Connect IPv6 伝播接続はサポートされていません。
ハイブリッドスポークに接続されたオンプレミスネットワークで Private Service Connect の伝播接続を使用できるようにする必要がある場合:
- Network Connectivity Center ハブには、すべてのハイブリッドスポークを含むルーティング VPC ネットワークが 1 つだけ必要です。
- ハブの 1 つのルーティング VPC ネットワークも VPC スポークである必要があります。
ハブに 2 つ以上のルーティング VPC ネットワークがある場合は、どのルーティング VPC ネットワークも VPC スポークにすることはできません。そのため、2 つ以上のルーティング VPC ネットワークを持つハブでは、Private Service Connect の伝播接続をオンプレミスネットワークで使用できません。
ハイブリッドスポークで Private Service Connect の伝播が機能するようにするには、ルーティング VPC ネットワークを VPC スポークとしても追加する必要があります。
スポークの作成後に、スポークに対する --exclude-export-ranges フィルタを変更することはできません。このため、Private Service Connect エンドポイントをホストする 2 つのサブネットを作成することをおすすめします。1 つは VPC 内ネットワーク専用の Private Service Connect エンドポイント用のサブネット、もう 1 つはハブと共有する Private Service Connect エンドポイント用のサブネットです。VPC ネットワークをスポークとしてハブに追加する場合は、VPC 内ネットワーク専用の VPC ネットワークをホストするサブネットの IP アドレス範囲を --exclude-export-ranges フィルタに追加して、ハブと共有されないようにします。
VPC スポークのサブネットが、Network Connectivity Center ハブにアクセスするように Private NAT を使用して構成されている場合、そのサブネットから伝播 Private Service Connect サービスへのトラフィックは破棄されます。--nat-all-subnet-ip-ranges を使用して Private NAT ゲートウェイが構成されている場合、Network Connectivity Center を介した Private Service Connect の伝播は、このスポーク VPC 内のすべてのサブネットで機能しません。この VPC スポークの重複しないサブネットから伝播を機能させるには、Private NAT ゲートウェイに --nat-custom-subnet-ip-ranges を使用します。NAT を使用して、重複しないサブネットから Network Connectivity Center ハブにトラフィックをルーティングしないでください。
Private Service Connect エンドポイントを短期間で作成、削除、再作成すると、伝播ステータスが正確でなくなる可能性があります。ただし、しばらくすると、伝播ステータスは正確になり、伝播接続の実際の状態が反映されます。これには最大で 15 分かかることがあります。
Private Service Connect 接続の伝播は、スポークの作成後または削除後に非同期になります。VPC スポークがハブから削除されると、Private Service Connect の伝播接続の更新に時間がかかることがあります。Private Service Connect の伝播接続の更新が進行中である場合、VPC スポークが新しいハブに追加された後も、VPC ネットワーク内の VM からのトラフィックがバックエンドに流れることがあります。バックエンドへのトラフィックフローを避けるには、スポークを別のハブに追加する前に、ソーススポークかターゲットスポークかを問わず、以前のハブの VPC ネットワークの伝播ステータスエントリがすべて削除されていることを確認します。

Private Service Connect 接続の伝播ステータス

Network Connectivity Center を使用すると、Network Connectivity Center ハブ内の Private Service Connect 接続の伝播ステータスを表示できます。ステータスの概要を表示したり、特定のエラーをドリルダウンしてエラーの詳細を確認したりできます。

次の表に、伝播ステータスコードとその意味を示します。

コード	メッセージ
Ready	Private Service Connect の伝播接続の準備ができました。
Propagating	Private Service Connect 接続の伝播が保留中です。これは一時的な状態です。
Error, producer propagated connection limit exceeded	ターゲットスポークの VPC ネットワークまたはプロジェクトが、プロデューサーによって設定された伝播接続の上限を超えたため、Private Service Connect 接続の伝播に失敗しました。この問題に対処するには、プロデューサーのドキュメントを参照するか、サポートチームにお問い合わせください。
Error, producer NAT IP space exhausted	NAT IP サブネット空間が使い果たされたため、Private Service Connect 接続の伝播に失敗しました。これは PSC 接続の `Needs attention` ステータスと同等です。詳細については、Private Service Connect のドキュメントの接続ステータスをご覧ください。
Error, producer quota exceeded	プロデューサー VPC ネットワークの `PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK` 割り当てを超えたため、Private Service Connect 接続の伝播に失敗しました。
Error, consumer quota exceeded	コンシューマー VPC ネットワークの `PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK` 割り当てを超えたため、Private Service Connect 接続の伝播に失敗しました。

Private Service Connect 接続の伝播ステータスを表示する方法については、Private Service Connect 接続の伝播ステータスを表示するをご覧ください。Private Service Connect 接続の伝播に関するトラブルシューティングについては、Private Service Connect 接続の伝播エラーのトラブルシューティングをご覧ください。

次のステップ

ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
一般的な問題の解決策については、トラブルシューティングをご覧ください。
API と Google Cloud CLI コマンドの詳細については、API とリファレンスをご覧ください。