VPC Service Controls を使用した限定公開の Google アクセス

限定公開の Google アクセスは、プライベート IP アドレスを使用して Google API とサービスにアクセスする VPC ネットワーク、またはオンプレミス ネットワークのホストへのプライベート接続を提供します。VPC Service Controls サービス境界をこれらのネットワークのホストに拡張して、保護されたリソースへのアクセスを制御できます。

VPC ネットワーク内のホストは、プライベート IP アドレスのみを持ち(パブリック IP アドレスは不可)、限定公開の Google アクセスが有効なサブネット内に配置されている必要があります。

オンプレミス ホストが制限付き Google API サービスに接続するには、Google API へのリクエストを Cloud VPN トンネルまたは Cloud Interconnect 接続を経由して VPC ネットワーク経由で送信する必要があります。

いずれの場合も、Google API とサービスに対するすべてのリクエストを restricted.googleapis.com の仮想 IP(VIP)アドレス範囲に送信することをおすすめします。IP アドレス範囲はインターネットに公開されません。VIP に送信されるトラフィックは、Google のネットワーク内のみに留まります。

private.googleapis.com VIP と restricted.googleapis.com VIP の詳細については、限定公開の Google アクセスの構成をご覧ください。

restricted.googleapis.com の IP アドレス範囲

restricted.googleapis.com ドメインには、次の 2 つの IP アドレス範囲が関連付けられています。

  • IPv4 範囲: 199.36.153.4/30
  • IPv6 範囲: 2600:2d00:0002:1000::/64

IPv6 範囲を使用して Google API にアクセスする方法については、IPv6 サポートをご覧ください。

VPC ネットワークの例

次の例では、サービス境界に 2 つのプロジェクトがあります。1 つのプロジェクトには承認済みの VPC ネットワークが設定され、もう 1 つのプロジェクトには保護された Cloud Storage リソースが設定されています。VPC ネットワークでは、VM インスタンスが 限定公開の Google アクセス が有効なサブネット内に配置されている必要があり、VPC Service Controls の制限付きサービスへのアクセス権のみが必要です。承認済みの VPC ネットワーク内の VM インスタンスから Google API またはサービスへのクエリは restricted.googleapis.com に解決され、保護されたリソースにアクセスできます。

VPC Service Controls を使用した限定公開の Google アクセス(クリックして拡大)
VPC Service Controls を使用した限定公開の Google アクセス(クリックして拡大)
  • DNS が VPC ネットワーク内で構成され、*.googleapis.com リクエストを restricted.googleapis.com にマッピングします。これは 199.36.153.4/30 に解決されます。
  • VPC ネットワークに追加されているカスタム静的ルートにより、宛先が 199.36.153.4/30 のトラフィックがネクストホップとして default-internet-gateway に転送されます。default-internet-gateway がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。
  • 両方のプロジェクトが同じサービス境界にあるため、VPC ネットワークは My-authorized-gcs-project にアクセスする権限があります。

オンプレミス ネットワークの例

静的ルーティングを使用するには、オンプレミス ルーターで静的ルートを構成するか、Cloud Router から Border Gateway Protocol(BGP)経由で制限付きの Google API アドレス範囲を通知します。

VPC Service Controls を使用してオンプレミス ホストで限定公開の Google アクセスを使用するには、オンプレミス ホストにプライベート接続を設定して、VPC Service Controls を構成します。オンプレミス ネットワークに接続している VPC ネットワークを使用するプロジェクトにサービス境界を定義します。

次のシナリオでは、プロジェクト sensitive-buckets 内のストレージ バケットはプロジェクト main-project 内の VM インスタンスと接続されたオンプレミス アプリケーションからのみアクセスできます。オンプレミス ホストは、sensitive-buckets と同じサービス境界内にある VPC ネットワークをトラフィックが通過するため、プロジェクト sensitive-buckets のストレージ バケットにアクセスできます。

  • オンプレミス DNS 構成では、*.googleapis.com リクエストが restricted.googleapis.com にマッピングされ、199.36.153.4/30 に解決されます。
  • Cloud Router は、VPN トンネルを使用して 199.36.153.4/30 IP アドレス範囲をアドバタイズするように構成されています。Google API に送信されるトラフィックは、このトンネル経由で VPC ネットワークにルーティングされます。
  • VPC ネットワークに追加されているカスタム静的ルートにより、宛先が 199.36.153.4/30 のトラフィックがネクストホップとして default-internet-gateway に転送されます。default-internet-gateway がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。
  • VPC ネットワークは、sensitive-buckets プロジェクトにアクセス権があり、オンプレミス ホストに同じアクセス権があります。
  • オンプレミス ホストは、サービス境界の外側にある他のリソースにアクセスできません。

オンプレミス ネットワークに接続するプロジェクトが制限付きのリソースにアクセスするには、サービス境界のメンバーにする必要があります。オンプレミス アクセスは、関連プロジェクトが境界ブリッジで接続されている場合にも機能します。

次のステップ